Auf Kamera mittels DynDNS zugreifen

Hallo,

ich habe soeben meine 3 FOSCAM C2 installiert. Funktionieren alle einwandfrei. Ich würde jetzt gerne von der "Ferne" darauf zugreifen. Habe einen Speedport Hybrid als Gateway und dahinter noch eine Sophos UTM.

Speedport hat die 192.168.178.1, die WAN Schnittstelle der UTM die 192.168.178.2
Das eigentliche Netz bzw. die IP des Sophos WebAdmin ist die 192.168.107.1 -> eigentliches Netz in dem sich alles befindet -> 192.168.107.0/24

Dort auch meine Kameras: 192.168.107.50 ist eine davon.

Jetzt habe ich auf dem Speedport folgende Portweiterleitung eingerichtet:
TCP/UDP 88 -> TCP/UDP 88 - gilt für folgendes Gerät: 192.168.178.2

Auf der Sophos UTM folgendes:
DNAT, Quelle: Any, Dienst: TCP/UDP 88, Ziel: 192.168.107.50 (Kamera), Ziel ändern in: 192.168.107.50 (Kamera), Dienst ändern in: TCP/UDP 88

ausgehende Firewallregeln stehen aktuell wegen Tests auf Any-Any-Any (also wird nichts blockiert)

Kann mir jemand sagen, was ich falsch mache?

P.S.: DynDns habe ich getestet, das funktioniert. Der Anbieter bekommt die neue IP immer wieder mitgeteilt.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 315015

Url: https://administrator.de/forum/auf-kamera-mittels-dyndns-zugreifen-315015.html

Ausgedruckt am: 22.04.2025 um 21:04 Uhr

16 Kommentare

Neuester Kommentar

Hi.

P.S.: DynDns habe ich getestet, das funktioniert.

Are you really testing access from outside your current network ? (3G/etc.). I ask this because Hairpin-NAT (NAT-Loopback) could become a problem because cheap routers often do not support this.

Der Anbieter bekommt die neue IP immer wieder mitgeteilt.

Is this a real public ip or is this a provider grade NAT address of type RFC1918 (one from 10.0.0.0/8, 172.16.0.0/12,192.168.0.0/16)?

Regards

ich habe soeben meine 3 FOSCAM C2 installiert.

Oha, die berühmt berüchtigten FosCams. Das Übelste was man sich in Puncto Sicherheit kaufen kann:
http://www.heise.de/ct/ausgabe/2016-4-Passwortverrat-und-Firewall-Unter ...
Ob du dir damit einen Gefallen getan hast...eher wohl nicht, denn da muss man in dauernder Angst leben das die ganze Welt mit zuschaut.

Jetzt habe ich auf dem Speedport folgende Portweiterleitung eingerichtet:

Generell keine gute Idee, denn damit gehen alle Videodaten vollkommen ungeschützt über das Internet. Mit der löchrigen Sicherheit die die Kamera als solches schon hat machst du dich damit ganz nackig.
Es ist auch vollkommen unverständlich, denn mit dem UTM hast du eine Firewall die VPNs supportet !
Damit wäre es ein Leichtes das zu installieren und gleichzeitig sicher zu sein ! Warum nutzt du das nicht ?
Außerdem nutzen die nur TCP. UDP zusätzlich freizugeben bohrt ein weiteres unnützes Loch in die Firewall Sicherheit.

Kann mir jemand sagen, was ich falsch mache?

Generell nichts, denn durch deine Router Kaskade musst du ja zwangsweise ein doppeltes Port Forwarding machen sofern du ohne VPN arbeitest.
Nutzt die Kamera denn wirklich Port TCP 88 für die Bildübertragung ?? Üblich ist ja eigentlich 80 (HTTP). Solltest du sicherheitshalber im lokalen LAN nochmal genau mit dem Wireshark verifizieren !

Du solltest zum Troubleshooting wie immer strategisch vorgehen:

Schliesse einen Wireshark Sniffer PC ans LAN des Peedports mit der IP der UTM .2. Die UTM klemmst du testweise ab.
Jetzt mache von extern einen Port TCP 88 Request. Browser öffnen mit URL http://meine.dyndnsIP.com:88 Oder auch telnet meine.dyndnsIP.com 88 Beides geht.
Diesen Request müsstest du im Wireshark sehen. Das verifiziert dann das der Speedport diese Daten sauber forwardet. Bei den gruseligen Speedports ist das nicht immer üblich. Die neueste Firmware solltest du hier zwingend geflasht haben !
Jetzt klemmst du den Wireshark PC wieder ab und die UTM wieder an und wiederholst die Prozedur im UTM lokalen LAN. Hier den Wireshark PC dann mit der Kamera IP und Kamera ab.
Wieder solltest du hier den eingehenden Request sehen.

So kannst du ganz genau feststellen ob die beiden Router die externen TCP 88 Requests sauber forwarden.
Wichtig auch das was der Kollege highload oben beschreibt.
Den Request kannst du NICHT vom internen Local LAN testen, da die Speedport Gurke KEIN Hairpin NAT kann !
Du musst also einen wirklich remoten Rechner haben. Z.B. Smartphone im Mobilfunk Netz etc.
Noch besser: Gar kein Port Forwarding machen sondern VPN nutzen !

Danke für die ausführliche Antwort. Ich kenne mich nur leider mit VPN nicht wirklich aus. wie muss ich das denn anstellen?

Ja das mit den Speedports ist wirklich haarsträubend... vorher mit meinem Modem war das kein Problem...

Ich kenne mich nur leider mit VPN nicht wirklich aus.

Dafür gibt es ja administrator.de:
VPNs einrichten mit PPTP
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Brauchst nur noch abzutippen

vorher mit meinem Modem war das kein Problem...

Und warum setzt du das nicht wieder ein ?!

weil dann das LTE vom Hybrid nicht geht. Sprich ich gehe mit 384 KBit/s ins Netz. Das ist absolut inakzeptabel....

Kann ich VPN einrichten trotz des bescheidenen Speedport Hybrid, der das Gateway darstellt?

Hallo,

Zitat von @129511:
Habe einen Speedport Hybrid als Gateway und dahinter noch eine Sophos UTM.

Und zur Zeit ist DSL aktiv? Über (Hybrid) UTM wird es wohl wegen Privater IPs und/oder DSL Lite nicht klappen.

TCP/UDP 88 -> TCP/UDP 88 - gilt für folgendes Gerät: 192.168.178.2

DNAT, Quelle: Any, Dienst: TCP/UDP 88, Ziel: 192.168.107.50 (Kamera), Ziel ändern in: 192.168.107.50 (Kamera), Dienst ändern in: TCP/UDP 88

Sollte das nicht

DNAT, Quelle: Any, Dienst: TCP/UDP 88, Ziel: WAN Schnittstelle, Ziel ändern in: IP 192.168.107.50 (Kamera), Dienst ändern in: TCP/UDP 88

Sicher das du nur Port 88 benötigst?
Automatische Firewall Regeln erstellen angehakt oder machst du das manuell?
Protokollierung Aktiv?
Firewall Log sag was bei deinen Versuch von ausserhalb deines LAN/DMZ - Direkt aus dem Internet ansonsten per IP direkt aus deiner sog. DMZ (du hast ja eine Router Kaskade)?
Was sagt dann das Firewall Protokoll bzw. ein Mitschnitt am WAN Port (Wireshark) wenn du versuchst darauf zuzugreifen?
https://sophserv.sophos.com/repo_kb/115343/file/308674.pdf

P.S.: DynDns habe ich getestet, das funktioniert. Der Anbieter bekommt die neue IP immer wieder mitgeteilt.

Ohne DynDNS also per IP aus dein Netz zwischen Speedport und Sophos. Die Sophos loggt alles wenn du es ihr sagst...

Gruß,
Peter

Ja, du richtest das dann auf dem UTM ein.
Möglich auch das du ein generelles Problem hast bei der Verwendung von LTE.

Hast du mal geprüft welche IP Adressen du im LTE Netz bekommst ?
Wenn das private RFC 1918 IP Adressen sind https://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche
Dann wird das eh nicht klappen.
Dann nutzt dein Provider ein zentralisiertes NAT Gateway und das ist dann der Todesstoß für Port Forwarding oder VPNs !
VPN über webn walk Stick IV nicht mehr möglich
Gleiches gilt für DS-Lite.
Du benötigst dafür zwingend eine öffentliche IP Adresse am Router WAN Port.