Documentation
Voir ses caméras IP à distance, sans les exposer à Internet
Une caméra IP chez soi, à l’atelier ou dans une résidence secondaire, on veut la voir depuis son téléphone ou son PC, où qu’on soit. Les solutions habituelles — cloud du fabricant, P2P propriétaire, ouverture de port sur la box — reviennent toutes à confier le flux à un tiers ou à exposer la caméra à Internet. VIGIL-MESH prend l’autre chemin : la caméra (ou la machine qui l’agrège) rejoint un réseau privé chiffré, et vous consultez son flux RTSP à travers ce réseau, comme si vous étiez sur place. Zéro port ouvert, zéro compte cloud obligatoire, zéro configuration de box.
Les trois accès classiques, et ce qu'ils vous coûtent
Pour voir une caméra à distance, il faut bien que le flux vidéo sorte du réseau local d’une manière ou d’une autre. Le marché a trois réponses habituelles, et chacune règle le problème en créant un autre : une dépendance, une exposition, ou les deux.
Le cloud du fabricant
La caméra pousse son flux vers les serveurs du constructeur, et l’application mobile va le chercher là-bas. C’est simple, mais vos images transitent par une infrastructure que vous ne contrôlez pas : la confidentialité dépend des pratiques du fabricant, et l’accès lui-même dépend de la survie de son service — un cloud fermé, et la caméra devient muette à distance.
Le P2P propriétaire
Beaucoup de caméras embarquent un mécanisme « P2P » maison : la caméra et l’application se retrouvent via un serveur de rendez-vous du fabricant, sans rien configurer. Pratique, mais ces protocoles ne sont ni publiés ni auditables : vous accordez votre confiance à une boîte noire, souvent hébergée à l’étranger, dont vous ne pouvez vérifier ni le chiffrement ni les accès.
L'ouverture de port (et le DDNS)
Rediriger un port de la box vers la caméra ou le NVR, souvent complété par un nom DDNS, rend le flux joignable depuis Internet — par vous, et par tout le monde. Un service exposé est scanné en permanence ; chaque faille du firmware devient exploitable depuis n’importe où. Certaines caméras ouvrent même ce port toutes seules via UPnP, sans que vous l’ayez demandé.
| Cloud fabricant | P2P propriétaire | Ouverture de port | |
|---|---|---|---|
| Caméra exposée à Internet | Non, mais flux chez un tiers | Non, mais protocole opaque | Oui, joignable par tous |
| Dépendance à un service tiers | Totale | Totale (rendez-vous fabricant) | Aucune |
| Confidentialité du flux | Dépend du fabricant | Invérifiable | Flux souvent en clair, exposé |
| Si le service ferme | Plus d’accès distant | Plus d’accès distant | Sans objet |
| Configuration de la box | Aucune | Aucune | Redirection à créer et maintenir |
L'approche réseau privé : la caméra vous rejoint, pas Internet
Avec VIGIL-MESH, la question « comment faire sortir le flux ? » disparaît. Vos machines — le site où vivent les caméras, votre PC, votre téléphone — rejoignent un même réseau privé chiffré. À l’intérieur de ce réseau, chacune garde une adresse stable (dans 100.64.0.0/10) et un nom (MagicDNS) : vous ouvrez le flux RTSP de la caméra exactement comme si vous étiez sur le réseau local du site.
En pratique, le client VIGIL ne s’installe pas sur la caméra elle-même mais sur une machine du site qui la voit : le PC ou mini-PC qui fait tourner le logiciel d’enregistrement (NVR logiciel), un Jetson, une machine Linux ou Windows quelconque. Un seul nœud connecté côté site suffit à rendre tout le parc de caméras joignable dans le réseau privé.
- Zéro port entrant, zéro configuration de box — chaque machine n’établit que des connexions sortantes, un seul flux en 443 UDP, le même port que le web moderne. Rien à rediriger, rien à exposer, et ça fonctionne aussi derrière une connexion 4G/5G en CGNAT.
- Flux RTSP transporté tel quel, chiffré de bout en bout — RTSP est le protocole de flux standard des caméras IP, et il circule le plus souvent sans chiffrement propre. À travers le mesh, il voyage dans des sessions QUIC/TLS 1.3 de bout en bout : l’infrastructure ne voit passer que des paquets qu’elle ne peut pas lire.
- Adresses stables et noms de machines — la machine du site garde la même adresse et le même nom MagicDNS, où qu’elle soit et quel que soit le chemin du trafic. Vos lecteurs vidéo et outils VMS retrouvent les caméras sans rien reconfigurer.
- Accès fermé par défaut (ACL) — les politiques d’accès sont en deny by default : vous décidez explicitement quelles machines peuvent joindre le site caméras. Votre téléphone y accède ; le reste du réseau, non, sauf décision contraire.
Temps réel : de l'UDP de bout en bout, par le chemin le plus court
La vidéo en direct est un trafic temps réel : le flux RTSP négocie des paquets RTP, généralement transportés en UDP, et mieux vaut perdre une image que de tout retarder. Un transport qui empile du TCP sur du TCP dégrade précisément ce comportement. VIGIL-MESH transporte les datagrammes UDP comme tels à travers le tunnel chiffré : le flux garde sa nature temps réel de bout en bout.
Côté chemin, la connexion est immédiate via un relais (la vigie), puis migre sans coupure vers le chemin direct entre vos deux machines dès que la traversée NAT l’établit. Le flux vidéo emprunte alors la route la plus courte, de pair à pair, sans détour par un serveur tiers. Et tant que le trafic est relayé, la vigie est structurellement aveugle : elle ne détient pas les clés et ne voit jamais les images.
- Piloter une caméra PTZ — les commandes passent en datagrammes de bout en bout, sans tête de ligne bloquante : le mouvement suit la commande.
- Visualiser dans le navigateur — la console média sait lire un flux RTSP/RTP (H264/H265) directement dans l’onglet, sans plugin.
- Garder son lecteur habituel — un lecteur vidéo ou un VMS qui ouvre une URL RTSP fonctionne à travers le mesh comme en local, en visant le nom ou l’adresse stable de la machine du site.
Plusieurs lieux, un seul réseau : maison, atelier, résidence
Le cas réel est rarement une caméra unique : c’est la maison, plus l’atelier, plus la résidence secondaire — chacun derrière sa box, parfois derrière une connexion 4G. Avec un réseau privé, chaque site enrôle une machine, et tous les lieux se retrouvent dans le même espace : un seul inventaire, un nom par machine, et vos caméras consultables depuis n’importe où sans jongler entre trois applications.
- Un VMS central multi-sites — le logiciel de supervision installé chez vous voit les caméras des autres sites par leurs adresses stables, comme si tout était sur le même LAN.
- Des accès sur mesure — les ACL, fermées par défaut, permettent de donner à chacun ce qu’il doit voir : un proche accède aux caméras de la maison, pas à celles de l’atelier.
- Tous vos appareils — clients Windows, Linux, Android et NVIDIA Jetson : le téléphone qui consulte et le mini-PC qui agrège parlent le même réseau.
- Révocation immédiate — téléphone perdu ou volé ? Révoquez-le depuis la console : il perd aussitôt l’accès au réseau, donc aux flux.
L’enregistrement, lui, reste où il doit être : sur le site, dans le NVR ou sur la carte de la caméra. Le réseau privé ne remplace pas votre enregistreur ; il vous donne un accès sûr à ce qui est enregistré, et au direct, sans faire transiter vos archives par un cloud.
Découverte ONVIF : vos outils trouvent les caméras à travers le mesh
ONVIF est le standard d’interopérabilité des caméras IP, et sa découverte repose sur WS-Discovery : des annonces en multicast, conçues pour ne pas quitter le réseau local. C’est pour cela qu’un VMS distant, connecté par un VPN classique, ne « voit » pas les caméras : le multicast meurt au premier routeur.
VIGIL-MESH traite chaque réseau comme un domaine de diffusion : le multicast IP est répliqué chiffré entre les membres, avec un TTL transporté intact — les annonces arrivent comme si elles étaient locales. Les abonnements multicast sont détectés automatiquement (IGMP/MLD) : rien à déclarer, votre pile IP fait le travail. Un outil ONVIF lancé depuis chez vous découvre donc les caméras du site distant comme sur un LAN, et le mDNS des équipements qui s’annoncent ainsi traverse de la même façon.
Mettre en place l'accès à ses caméras, pas à pas
La mise en place tient en une séquence courte : on relie la machine du site qui voit les caméras, on relie les appareils qui consultent, et on ouvre le flux comme en local. Aucune étape ne touche à la box.
- 1Créer un compte et un espace de travailC’est l’espace qui contiendra votre réseau privé — gratuit pour un usage personnel.
- 2Installer le client sur les machines concernéesSur la machine du site qui voit les caméras (PC du NVR, mini-PC, Jetson) et sur les appareils qui consulteront : votre PC, votre téléphone Android.
- 3Enrôler chaque machineDans la console, page Réseaux → Machines → « Ajouter une machine » : une clé à usage unique par machine, à passer au client. La machine génère son identité et n’ouvre aucun port entrant.
- 4Vérifier la connectivitéChaque machine reçoit son adresse stable et son nom MagicDNS ; un ping entre le téléphone et la machine du site confirme que le réseau est en place.
- 5Ouvrir le flux comme en localDans votre lecteur ou votre VMS, visez la caméra via l’adresse ou le nom de la machine du site, avec l’URL RTSP habituelle de la caméra — exactement comme si vous étiez sur place.
Dépannage : les blocages classiques et leur cause
Quand « ça ne marche pas », la cause est presque toujours l’une des suivantes — et une seule règle d’or : validez d’abord le flux en local, sur le LAN du site, avant de chercher côté réseau privé.
- Le flux ne s’ouvre pas du tout — l’URL RTSP (chemin, identifiants, port — 554 par défaut) est propre à chaque fabricant. Testez-la depuis une machine du site : si elle échoue en local, le problème est côté caméra, pas côté réseau.
- « Connexion refusée » à travers le mesh alors que le local marche — les politiques d’accès sont fermées par défaut. Vérifiez dans la console qu’une règle autorise votre appareil à joindre la machine du site.
- L’image saccade en mobilité — le débit montant du site est la ressource rare. Passez sur le flux secondaire (substream) pour la consultation distante, et gardez le flux principal pour l’enregistrement local.
- La découverte ONVIF ne trouve rien — vérifiez que l’outil qui scanne et la machine du site sont membres du même réseau VIGIL : la diffusion est répliquée entre les membres d’un réseau, pas entre réseaux. À défaut, ajoutez la caméra par son adresse : la découverte est un confort, pas un prérequis.
- Site raccordé en 4G/5G — aucun port n’étant requis, le CGNAT de l’opérateur n’empêche rien : la machine du site se connecte en sortant. Si les deux extrémités sont derrière des NAT symétriques, le trafic reste relayé par la vigie aveugle — le flux passe, par un chemin plus long.
- Le nom ne se résout pas — essayez l’adresse stable (100.64.x.x) de la machine : si elle répond, le réseau fonctionne et le sujet est la résolution de noms côté appareil consultant.