wimaflix
Goto Top

Live-Stream absichern

Hallo alle zusammen,

ich habe eine VU+, die unter anderem auch streamen kann (Programme & Aufnahmen). Die Aufnahmen streamt das Geräte brav über TLS (https://vuduo4kse.local:443/file?file=/media/hdd/movie/xxxxxxx.ts), für Programme ist das offenbar nicht vorgesehen (http://vuduo4kse.local:8001/1:0):...face-smile. Da ich mein Netz segmentiert habe (Mikrotik-Router), befindet sich die VU+ in einem anderen Segment als z. B. mein PC. Für den Zugriff aus meinem ins Entertainment-Netz habe ich die entsprechenden Ports geöffnet.

Es ist natürlich ein eher theoretisches Problem, da alle diese Netze "privat" sind, mich würde aber mal interessieren, wie ich die unverschlüsselten Streams absichern könnte. Erste Idee war, auf der VU+ einen Reverse Proxy zu installieren, der nach außen TLS spricht und intern http://localhost:8001/1:0:...: aufruft. Zweite Idee wäre, das irgendwie per VPN zu realisieren, wobei ich da keine Idee habe, wie es am besten aufzubauen wäre.

Vielleicht hat noch jemand eine bessere Idee? Wie gesagt, ist kein akutes Problem, mich interessiert nur, was man tun könnte.

VG
wimaflix

Content-ID: 7794365071

Url: https://administrator.de/forum/live-stream-absichern-7794365071.html

Ausgedruckt am: 27.12.2024 um 17:12 Uhr

aqui
aqui 10.07.2023 aktualisiert um 10:37:46 Uhr
Goto Top
für Programme ist das offenbar nicht vorgesehen
Doch, z.B. mit VLC klappt das auch völlig problemlos auch in segmentierten Umgebungen. Der Hostname vuduo4kse.local wird aber ohne einen mDNS/Bonjour Proxy nicht klappen aus anderen Netzen, denn das sind dynamische, lokale DNS Namen die über mDNS mit einem Local Link Multicast 224.0.0.251, Port UDP 5353 im lokalen Segment übertragen werden der einen TTL von 1 hat und damit nicht routebar ist. Sie sind immer nur im eigenen L2 Segment erreichbar ohne Proxy.
Wenn du aber vuduo4kse.local mit der IP Adresse des VU+ ersetzt klappt es fehlerlos. face-wink
wimaflix
wimaflix 10.07.2023 um 12:57:02 Uhr
Goto Top
Ich glaube, hier liegt ein Missverständnis vor. Mit "Programm" war keine App gemeint, sondern das TV-Programm als Livestream, man kann es auch "Channel" nennen. Der Aufruf über vuduo4kse.local funktioniert in jedem Fall problemlos.

Was ich eigentlich wissen wollte: die VU+ kann die Streams der Channels im Gegensatz zu den Streams der Aufnahmen nicht absichern (siehe URLs, kein https, läuft über die Ports 8001 (und 8002) statt 443). Jetzt wollte ich mal die Möglichkeiten ausloten, ob ich den Stream auf anderen Wegen sichern kann.
aqui
aqui 10.07.2023 um 13:58:36 Uhr
Goto Top
OK, sorry dann hast du dich gedrückt aus falsch oben! Das war leider dann missverständlich. face-sad
wimaflix
wimaflix 10.07.2023 um 15:07:07 Uhr
Goto Top
Jepp, war mein Fehler. Nichtsdestotrotz danke für deine Erläuterungen.
aqui
aqui 23.07.2023 um 11:18:13 Uhr
Goto Top
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
wimaflix
wimaflix 23.07.2023 um 12:04:43 Uhr
Goto Top
Leider gab es ja auf die eigentliche Frage bislang keine Antwort...
7907292512
Lösung 7907292512 23.07.2023 aktualisiert um 13:04:36 Uhr
Goto Top
TV Programm absichern ?? Kann doch jeder eh öffentlich betrachten, da gibt es kein Geheimnis was man verbergen müsste.
Das nennt man dann wohl paranoid 😀.

Machen kann man das auf verschiedenste Weisen. Wireguard-Tunnel, IPSec gesicherter GRE Tunnel, SSH Tunnel, Reverse Proxy, ... aber ob sich das für ein TV Programm lohnt das eh schon so schlecht ist, muss wohl jeder selbst entscheiden, wohl nur für die Porno-Fraktion interessant 😂 ♥️🍌 ...

Gruß siddius
wimaflix
wimaflix 23.07.2023 um 18:47:28 Uhr
Goto Top
Darum geht es ja nicht. Selbst wenn es geheim wäre, da das alles in meinen privaten Netzen hinter der FW abläuft, könnte ich es auch komplett ungesichert lassen. Mich interessiert einfach, welche Optionen ich habe und welcher Weg sich aus welchen Gründen besonders anbieten würde.
7907292512
7907292512 23.07.2023 aktualisiert um 19:12:00 Uhr
Goto Top
Habe ich dir oben ja genannt. Nimm das was dir liegt, gefällt, oder kannst, was eben zu dir passt ...
Am simpelsten für end-to-end encryption ist ein reverse proxy weil das keinen Eingriff am Client der zugreift erfordert. Alles andere benötigt ja Eingriff am Client wenn man eine echte End-To-End Verschlüsselung möchte.
wimaflix
wimaflix 23.07.2023 um 22:52:48 Uhr
Goto Top
Wireguard scheidet wohl aus, ein opkg list-installed | grep wireguard liefert nichts in der Richtung. Reverse Proxy wäre auch mein Favorit gewesen, allerdings ist da im Zusammenspiel mit OpenWebIf wohl einiges an Filtering/Rewriting notwendig. opkg list-installed | grep vpn liefert immerhin schon mal OpenVPN, ich werde mir aber zuerst mal anschauen, ob es möglich wäre, einen SSH Tunnel einzurichten, da hatte ich nicht dran gedacht. Danke für den Tipp.
wimaflix
Lösung wimaflix 19.11.2023 um 20:01:00 Uhr
Goto Top
Hatte den Thread vergessen, mit dem SSH-Tunnel hat es damals dann perfekt funktioniert.