benselma
Goto Top

Knifflige Frage an die Experten 2 Router, VPN und IP-Kamera

Frage an die EXPERTEN unter Euch:

Habe einen DSL Router welcher mein Heimnetzwerk bedient. Der ist ziemlich ausgelastet, daher wollte ich meine IP-Kameras über ein separates LTE-Netz anbinden.

Habe einen LTE 2 Router mit einer Datenkarte, welche VPN zusässt (öffentliche IP und PPTP-Protokoll) mit dem komme ich nicht ins Internet, lediglich über VPN-Tunnel an einen Kamera-Server oder notfalls auch direkt an eine Kamera. Allerdings kommt ja die Kamera über dieses Netzwerk nicht raus, d.h. kann keine Email absetzen bei Alarmierung!

Daher meine Frage: kann man die beiden Netzwerke irgendwie kombinieren (z.B. über eine Balancer) dass

1.) die Kamera über den DSL-Router Emails versenden kann
2.) über die LTE-Verbindung auf die Kamera oder auf einen Kamera-Server zugegriffen werden kann (LTE hat schnellen Upload, so dass eigentlich gute Streams möglich sein sollten)

Bin gespannt auf Eure Vorschläge!

Gruss, Benselma

Content-ID: 324915

Url: https://administrator.de/forum/knifflige-frage-an-die-experten-2-router-vpn-und-ip-kamera-324915.html

Ausgedruckt am: 23.12.2024 um 23:12 Uhr

Lochkartenstanzer
Lösung Lochkartenstanzer 27.12.2016 um 21:08:59 Uhr
Goto Top
Moin,

Nennt sich DUAL-WAN-Router mit Policy-Routing.

Die üblichen verdächtigen findest Du bei Cisco, Lancom, Microtik, Bintec, usw. oder Du baust Die sowas mit pfsense und einem kleinen Board selbst zusammen.

lks
benselma
benselma 27.12.2016 um 22:35:58 Uhr
Goto Top
OK, sowas in dieser Richtung (Dual-WAN) hab ich mir schon gedacht. Pfsense würde mich schon interessieren, aber ich fang' lieber erst mal mit einem fertigen Produkt an. Bin wirklich gespannt, ob ich das hinkriege

Auf jeden Fall Danke für die richtungsweisende Info!

Benselma
benselma
benselma 28.12.2016 um 00:06:54 Uhr
Goto Top
..selbst wenn ich's schaffe, den Dual-Wan-Router hinzukriegen, ...ein Problem bleibt dann immer noch :

Mein LTE-Router hat zwar eine öffentliche Adresse (wie gesagt, da geht nur VPN, alles ausser PPtP und IPsec wird providerseitig verworfen) aaaaber leider eine dynamische. Habe zwar verschiedene DYNDNS-Dienste abonniert, aber die lassen sich nicht ansprechen über den "VPN-LTE-Router" , das ist echt blöd....

Benselma
aqui
aqui 28.12.2016 aktualisiert um 14:51:12 Uhr
Goto Top
Dann nutzt dein Provider vermutlich im LTE Netz eine RFC 1918 Adressierung mit privaten IPs sprich also Provider NAT.
Siehe auch hier:
VPN über webn walk Stick IV nicht mehr möglich
Dann hast du mit VPNs keine Chance.
Jedenfalls keine wenn du inbound arbeiten musst also von außen auf das LTE VPN zugreifen willst.
Outbound wird es aber problemlos klappen also wenn der VPN Router (oder der Client dahinter) selber über LTE die VPN Verbindung initiiert. Das klappt.
Alternative ist dann nur noch ein Business Account über LTE wo du eine öffentliche IP bekommst, was aber natürlich teurer ist !
Bedenke auch immer das LTE nur so gut ist wie User in der Funkzelle sind. Alle User teilen sich hier die max. mögliche Bandbreite. Viele User sind also der Tod der LTE Bandbreite. Und da die Provider die Zellen per Planung ca. 700 bis 800fach überbuchen kannst du also niemals auf konstant gute Bandbreite setzen.
Das wäre ein Märchen auf das Laien nur allzugern reinfallen.
benselma
benselma 03.01.2017 um 15:08:00 Uhr
Goto Top
Hi aqui,
ja, über diese Nachteile (LTE Bandbreite) bin ich mir im Klaren. Allerdings habe ich bislang eine sehr gute Performance: über Wochen hinweg nie unter 20Mbit/s im Upload. D.h. zur Übertragung meiner Kameras sollte es reichen.

Habe jetzt eine O2 Datenkarte mit öffentlicher IP aber: leider dynamisch und ohne Internet. Die kann lediglich VPN, verschienene DYNDns Dienste habe ich nicht zum Laufen gebracht, weil der LTE Router ja keine echte Internetverbindung herstellt, sondern nur einen VPN Tunnel (PPTP oder IPsec) zulässt. Das zweite Problem: bei Alarm kann die Kamera eine Email versenden, das geht bisher nur über Festnetz. Wie ich jetzt anschliessend über den VPN Tunnel an die Kamera komme, ist mir noch nicht ganz klar, denn dann habe ich ja zwei Router im Netz (DSL und LTE). Wahrscheinlich mit einem Dual-WAN-Router, siehe Thread... Ich halte Euch jedenfalls über den weiteren Fortgang auf dem laufenden..
aqui
aqui 03.01.2017 aktualisiert um 16:18:59 Uhr
Goto Top
Habe jetzt eine O2 Datenkarte mit öffentlicher IP aber: leider dynamisch und ohne Internet.
Bahnhof, Ägypten...?? Nix verstehn...
Eine öffentliche IP ist ja DAS Internet oder was willst du uns mit diesem wirren Satz sonst sagen ??
Wenn du eine wechselnde dynamische, öffentliche IP bekommst auf dem Router ist das doch kein Problem sondern genau das was man will, dann aktivierst du da das DynDNS Feature und gut iss. Damit ist das doch in Sekundenschnelle gelöst ?!
verschienene DYNDns Dienste habe ich nicht zum Laufen gebracht
Mmmmhhh warum das nicht ?? Ist ja vollkommen unverständlich...?! Credentials eintragen...geht. Was ist daran so schwer ?
weil der LTE Router ja keine echte Internetverbindung herstellt, sondern nur einen VPN Tunnel (PPTP oder IPsec) zulässt.
Sorry, aber das ist doch netztechnischer Schwachsinn, oder du meinst was anderes als du schreibst..?! Oder wir reden aneinander vorbei..
Wenn du eine öffentliche IP bekommst auf dem Router WAN Port, dann bist du ja voll und ganz "im Internet".
D.h. von allen Punkten auf der weiten Welt über die öffentliche IP Adresse zu erreichen.
Was bitte hat das jetzt erstmal mit einem VPN Tunnel zu tun ??
Wie ich jetzt anschliessend über den VPN Tunnel an die Kamera komme, ist mir noch nicht ganz klar,
Das ist doch immer wieder die gleiche Leier....
Wenn du über VPN gehst, dann machst du von extern einen VPN Tunnel auf auf deinen VPN Router...Fertig, das wars schon.
Ein verbundener VPN Client verhält sich genau so als ob er im lokalen Netz mit den Kameras ist. Sprich du greifst dann von deinem remoten Client genau so zu wie im lokalen Netz. Das ist ja genau der tiefere Sinn von VPNs !!
Das Verfahren ist das gleiche auch wenn du einen Dual WAN Port Router einsetzt.
Wo ist denn jetzt dein wirkliches Problem ?? Irgendwie kann man dir nicht mehr folgen...
TomPiXX
TomPiXX 03.01.2017 um 17:17:48 Uhr
Goto Top
Entscheide dich mal ob du nun Leerzeichen vor Satzzeichen setzt oder nicht (was übrigens falsch ist).

Ich bin mir aber sicher, du findest etwas dazu im Duden...
aqui
aqui 03.01.2017 um 18:54:43 Uhr
Goto Top
Klar, denn dort findet man auch bewehrt ! face-big-smile
Komm mal wieder runter ob des Spaßes oder willst du jetzt alle Posts hier kommentieren...?
benselma
benselma 05.01.2017 um 17:06:50 Uhr
Goto Top
Also ich bin ja leider kein Experte, daher kann ich nur die Symptome schildern: DYNDns funktioniert, wenn eine "normale" SIM eingesteckt ist, der Host wird laufend upgedatet. (Was natürlich nichts bringt, denn die upgedatete IP ist eine nichtöffentliche ..). Dann die "VPN-SIM" rein: und der DYN Dns geht nicht mehr. Zwar meldet der Router "Verbindung" aber hat kein Internet. Ich denke, das liegt daran, dass der Provider ausschliesslich PPTP oder IPSec-Pakete durchlässt, alle anderen Pakete werden verworfen!! --> also keine direkte Verbindung mit dem DYNDns-Host möglich.

Beim zweiten Punkt hast Du natürlich recht: über VPN komme ich ins lokale Netz und damit auf die Kamera (und wahrscheinlich auch auf einen Kamera-Server). Da hab ich mich beim Testen wohl etwas verstolpert: bin über den DSL-Router raus und habe einen VPN-Tunnel zum Funkrouter hergestellt, an welchen ich die Kamera angebunden hab. Ist natürlich Quatsch! Richtig wäre: Kamera ans lokale Netz anschliessen und dann mit dem Funkrouter über VPN verbinden. Sorry, bin halt kein Fachmann....

Aber das erste Problem bleibt: Der LTE-Router kann zwar ein Tunnel ins lokale Netz aufbauen aber er ist nicht in der Lage, dem DYNDns Host die neue IP zu melden. Dies müsste irgendwie trickreich über den Umweg des DSL-Routers laufen (welcher eine echte Internetverbindung hat). Das übersteigt aber meine bescheidenen Kenntnisse..
aqui
aqui 05.01.2017 aktualisiert um 17:44:32 Uhr
Goto Top
Zwar meldet der Router "Verbindung" aber hat kein Internet.
Dann stimmt ja irgendwas mit deinen Zugangsdaten nicht.
Es wäre ja völliger (sorry) Schwachsinn gerade auf einem Business Account wo ein User ja bewusst alles übertragen haben will und auch extra dafür bezahlt irgendwelche Daten zu filtern.
Da kannst du mal davon ausgehen das das Blödsinn ist und wohl eher die SIM defekt ist. Die solltest du dann besser tauschen.
Bekommst du generell keinerlei Internet Zugang oder war die laienhafte Aussage "aber hat kein Internet... bzw.also keine direkte Verbindung mit dem DYNDns-Host möglich. nur auf den Update zum DynDNS Provider bezogen ?
und habe einen VPN-Tunnel zum Funkrouter hergestellt, an welchen ich die Kamera angebunden hab. Ist natürlich Quatsch!
So ist es.... no comment.
Sorry, bin halt kein Fachmann....
Das merkt man leider schmerzlich... face-sad Nimm dir am besten jemanden an die Hand der weiss was er da macht. Das bedeutet weniger graue Haare für dich und besonders uns hier. Im Grunde ist es ja ein lächerliches Allerweltsszenario was du da umsetzen willst.
aber er ist nicht in der Lage, dem DYNDns Host die neue IP zu melden.
Da solltest du dir dann noch einmal ganz genau die DynDNS Settings ansehen auf dem Router !!! Irgendwas ist da faul.
Bedenke auch das du niemals beide Accounts parallel laufen lassen kannst und der DynDNS Provider gewisse Timeout Zeiten zw. den Updates hat. Ändert sich die IP zu schnell in einem gewissen Zeit Delta, blockt der den Zugriff aus gutem Grund.
Teste ggf. mal einen anderen alternativen DynDNS Provider auf dem LTE Router.
Dies müsste irgendwie trickreich über den Umweg des DSL-Routers laufen
Sowas wäre zwar übel aus Konfig Sicht aber ggf. ein machbarer Workaround.
Installier dir auf einem PC oder anderem Client (z.B. Raspberry Pi) im lokalen Netz die DynDNS Client Software des DynDNS Anbieters und sorge dafür das dieser PC / Client fest den LTE Router als Default Gateway eingestellt hat.
Dann schickt dieser Client seine Updates an den DynDNS Server immer über den LTE.
Durch das NAT am LTE WAN Port erkennt der DynDNS Server dann die Router IP als Absender IP des Clients und meldet die als IP Adresse.
Quick and Dirty... sollte aber klappen.
benselma
benselma 05.01.2017 um 21:13:01 Uhr
Goto Top
Danke! mit diesen Angaben komme ich sicher weiter! Insbesondere mit dem DYNDns-Umweg!
Nochmals zur "VPN-SIM", Auszug aus der Beschreibung von O2:

Beschreibung
Mit dem mobilen IP Dienst GPRS im O2 (Germany) Netzwerk haben Sie die Möglichkeit, ein IP-VPN
auch mobil zu nutzen. Als Endgeräte kommen hier Laptops, Notebooks und PDAs in Frage.
APN Eigenschaften
O2 (Germany) hat dazu einen speziellen APN (Access Point Name) im GPRS Netz eingerichtet. Dieser
hat folgende Eigenschaften:
· Der DHCP-Server vergibt öffentliche IP Adressen an die angeschlossenen GPRS-Clients. Die
öffentlichen IP Adressen benötigen die meisten VPN Systeme zum Tunneln.
· Die Firewall lässt ausschließlich IP Sec / PPTP Verkehr zu. Alle IP Pakete werden im Header
überprüft, ob sie IP Sec / PPTP codiert sind - alle anderen werden verworfen. Ebenso sind alle
Ports gesperrt, die nicht für den IP Sec / PPTP Verkehr benötigt werden.

· Der APN hat eine White List mit erlaubten MSISDNs, die die GPRS Option IP-VPN gebucht
haben. Nur diese dürfen sich anmelden.
Zu Beachten dabei ist, dass die GPRS Option IP-VPN nur in Verbindung mit einem Rahmenvertrag
aktiviert werden kann (Einschränkung des Nutzerkreises). Für Kundentests ist dies auch ohne
Rahmenvertrag nach vorheriger Absprache möglich.


Sieht also wirklich so aus, als ob mit dieser "kastrierten SIM" keine anderen Dienste nutzbar sind. Wäre aber für mich OK, denn mit Deinem Workaround. Über DynDNS Client Software auf einem lokalen PC/Raspberry sollte es tatsächlich funktionieren. Das Prinzip habe ich vollkommen verstanden. Die Umsetzung, Programmierung, Scripts, etc. ist dann sicher nochmals ein steiniger Weg. Ist ja lediglich Hobby, somit besteht kein Zeit- und Erfolgsdruck face-smile
aqui
aqui 06.01.2017 um 10:24:22 Uhr
Goto Top
Was ist das denn für eine Policy ?!!
Wieder ein Grund mehr der gruseligen O2 den Rücken zu kehren... Was für ein Unsinn...aber wenn sie solche Policy haben und man als Nutzer drauf reinfällt....
benselma
benselma 06.01.2017 um 21:48:58 Uhr
Goto Top
.. bei der Telekom war's noch schlimmer, daher bin ich ja froh, überhaut eine Lösung zu haben, auch wenn diese nicht optimal ist!

Aber noch ne Frage zu Deinem "Workaround-Vorschlag": wenn ich als Default Gateway auf dem "DynDNS-Client-PC" den LTE-Router eingebe, wird dann nicht das IP-Update auch über den LTE-Router gesendet? Das wäre schlecht, denn der LTE-Router lässt ja bekanntermassen keine Kommunikation mit dem DynDNS-Host zu, d.h. der Client muss über einen alternativen Gateway d,h, über den DSL-Router senden. Das muss ich mir erst noch erarbeiten...
aqui
aqui 08.01.2017 um 14:34:21 Uhr
Goto Top
Ja natürlich wirds dann über den LTE gesendet !
Das MUSS ja auch so sein, denn der LTE Router macht ja NAT zum Provider hin, ersetzt also die ursprüngliche Absender IP Adresse mit der eigenen IP Adresse des WAN Ports. (IP Adress Translation)
Und genau DIE IP Adresse will man ja "sehen" um den Router extern ansprechen zu können.
Deshalb MUSS ja irgendwie ein IP Paket mit der LTE Absender IP gesendet werden.
Wenn der Provider das blockt hast du ein Problem...dann kannst du dir nur was eigenes basteln mit einem Raspberry oder sowas...
benselma
benselma 09.01.2017 um 16:31:23 Uhr
Goto Top
Ja, das hab ich befürchtet!
Möglicherweise kann jedoch die DynDNS Client Software auch die IP Adresse des "fremden" LTE Routers ermitteln und über den anderen Gateway (DSL) an den Host senden. Wenn alles nicht geht, dann evtl. mit einem komfortablen Dual-Router, welchem man sagen kann welche Pakete über welchen Gateway rausgehen..
aqui
aqui 11.01.2017 um 14:05:53 Uhr
Goto Top
Das Sinnigste wird sein du wechslest zu einem normalen Provider. Sowas krankes wie oben ist ja schon irgendwie unnormal.