36
Portweiterleitung ist böse. tatsächlich? (Externzugriff auf Fritzbox)
Hallo zusammen,
ich würde gerne von extern über eine subdomain auf meine IP-Kamera im lokalen Frizbox-Netwerkwerk (7590 AX) zugreifen.
1.) In der DNS würde ich die Subdomain via CNAME auf das Fritz-Net meiner Fritbox leiten, das Fritz-Net kennt die jeweils aktuelle IP meines Hausanschlusses und leitet die Anfrage an meine Fritzbox weiter.
2.) In der Fritzbox setze ich eine Freigabe und den Port der auf die lokale IP der IP-Kamera weiterleitet.
3.) DieZugriff auf die IP-Kamera ist mit Benutzername und Passwort gesvchützt.
Was würde gegen eine solche Konstelation sprechen bzw. wie ist eine solche abzusichern?
Welche alternativen wären realistisch?
Warum über Portfreigabe?
VPN scheidet aus, habe nur eine magere 35 Mbit Leitung zur Verfügung (GF sollerst in den nächsten zwei Jahren kommen)
Bezüglich Firewall überwiegen anscheinend die Ansichten, dass eine Firewall in einem privaten Netzwerk mit Kanonen auf Spatzen geschossen wäre...
ich würde gerne von extern über eine subdomain auf meine IP-Kamera im lokalen Frizbox-Netwerkwerk (7590 AX) zugreifen.
1.) In der DNS würde ich die Subdomain via CNAME auf das Fritz-Net meiner Fritbox leiten, das Fritz-Net kennt die jeweils aktuelle IP meines Hausanschlusses und leitet die Anfrage an meine Fritzbox weiter.
2.) In der Fritzbox setze ich eine Freigabe und den Port der auf die lokale IP der IP-Kamera weiterleitet.
3.) DieZugriff auf die IP-Kamera ist mit Benutzername und Passwort gesvchützt.
Was würde gegen eine solche Konstelation sprechen bzw. wie ist eine solche abzusichern?
Welche alternativen wären realistisch?
Warum über Portfreigabe?
VPN scheidet aus, habe nur eine magere 35 Mbit Leitung zur Verfügung (GF sollerst in den nächsten zwei Jahren kommen)
Bezüglich Firewall überwiegen anscheinend die Ansichten, dass eine Firewall in einem privaten Netzwerk mit Kanonen auf Spatzen geschossen wäre...
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670317
Url: https://administrator.de/forum/portweiterleitung-ist-boese-tatsaechlich-externzugriff-auf-fritzbox-670317.html
Ausgedruckt am: 20.01.2025 um 21:01 Uhr
36 Kommentare
Neuester Kommentar
Hallo,
warum sollte der VPN nicht über 35 MBit funktionieren? VPN ist aus meiner Sicht nicht nur sicherer, sondern auch einfacher. Warum groß mit nötigen Ports und einer Subdomain beschäftigen, wenn VPN hinter Myfritz ( Fritz-net ?) in Minuten eingerichtet ist.
Gruß
warum sollte der VPN nicht über 35 MBit funktionieren? VPN ist aus meiner Sicht nicht nur sicherer, sondern auch einfacher. Warum groß mit nötigen Ports und einer Subdomain beschäftigen, wenn VPN hinter Myfritz ( Fritz-net ?) in Minuten eingerichtet ist.
Gruß
Moin,
Es gibt im Netz verschiedene Bots, die die ganzen IP-Netze nach erreichbaren Ports scannen.
Ergebnisse kann man sich z. B. Auf Shodan ansehen
Mit VPN hast nur du/ jeder, der die Zugangsdaten kennt, Zugriff auf die Kamera.
Und 35Mbit sind 35Mbit. Mit VPN (je nach Protokoll) kommen da immernoch 30-35 Mbit durch
2.) In der Fritzbox setze ich eine Freigabe und den Port der auf die lokale IP der IP-Kamera weiterleitet.
Und damit hätte jeder, der deine IP kennt, Zugriff auf deine Kamera.Es gibt im Netz verschiedene Bots, die die ganzen IP-Netze nach erreichbaren Ports scannen.
Ergebnisse kann man sich z. B. Auf Shodan ansehen
Mit VPN hast nur du/ jeder, der die Zugangsdaten kennt, Zugriff auf die Kamera.
Und 35Mbit sind 35Mbit. Mit VPN (je nach Protokoll) kommen da immernoch 30-35 Mbit durch
Nicht zu vergessen sind evt. Sicherheitslücken von embedded devices die sich nicht mehr fixen lassen, dann hast du einen schönen Zombie in deinem Netz hängen ... Deswegen gehören solche embedded devices über die man Software technisch keine vollkommene Kontrolle hat, niemals mit Portfreigaben direkt ins Netz gehängt.
Glaube hier liegt einiges an Unwissen vor was ein VPN überhaupt bedeutet.
Gruß gastric
VPN scheidet aus, habe nur eine magere 35 Mbit Leitung
Was hat ein VPN mit der Bandbreite zu tun??Glaube hier liegt einiges an Unwissen vor was ein VPN überhaupt bedeutet.
Gruß gastric
1
2.) In der Fritzbox setze ich eine Freigabe und den Port der auf die lokale IP der IP-Kamera weiterleitet.
Und damit hätte jeder, der deine IP kennt, Zugriff auf deine Kamera.Es gibt im Netz verschiedene Bots, die die ganzen IP-Netze nach erreichbaren Ports scannen.
Ergebnisse kann man sich z. B. Auf Shodan ansehen
Ok, er kommt auf die Loginseite der Kamera, welche mit Benutzername und einem starken Passwort versehen sind.
Wo ist das Risiko grösser als bei einer Website mit Benutzerlogin?
Es wäre also tatsächlich nur die Kamera betroffen und nicht das restliche Netzwerk, sofern der Login standhält?
Was hat ein VPN mit der Bandbreite zu tun??
Tatsächlich ernst gemeint?Glaube hier liegt einiges an Unwissen vor was ein VPN überhaupt bedeutet.
Wie kommst Du darauf?Wo ist das Risiko grösser als bei einer Website mit Benutzerlogin?
Auf die Software die auf der Kamera läuft hast du nur indirekten Einfluss, evt. offene Sicherheitslücken sind bis zum Fixen dauerhaft offen und ein Angriffsziel ....Mit VPN hast nur du/ jeder, der die Zugangsdaten kennt, Zugriff auf die Kamera.
Mit einer Portweiterleitung wird der Login der Kamera freihaus mitgeliefert?
Ja. Ein Einwahl-VPN nutzt man ja nur wenn man auf die Kamera zugreifen will, der Rest läuft normal ohne VPN weiter. Insofern ist ein VPN wie jede andere Verbindung mit etwas mehr overhead.
Wer auf so eine Idee kommt hat meist keine A.... was er sich damit antut 😉
Glaube hier liegt einiges an Unwissen vor was ein VPN überhaupt bedeutet.
Wie kommst Du darauf?Es wäre also tatsächlich nur die Kamera betroffen und nicht das restliche Netzwerk, sofern der Login standhält?
Wenn die Kamera infiltriert und gehackt ist, ist auch dein restliches Netz gefährdet denn dann dient die Kamera als Jumphost für den Angreifer auf der er entsprechende Tools installiert und dein Netzwerk weiter zu durchsuchen oder Traffic abzuschnorcheln etc. pp...
Zitat von @Nullcheck:
Ok, er kommt auf die Loginseite der Kamera, welche mit Benutzername und einem starken Passwort versehen sind.
Wo ist das Risiko grösser als bei einer Website mit Benutzerlogin?
Ok, er kommt auf die Loginseite der Kamera, welche mit Benutzername und einem starken Passwort versehen sind.
Wo ist das Risiko grösser als bei einer Website mit Benutzerlogin?
Provider hier.
Wenn wir Abuse-Reports bekommen, ist fast immer Malware im Spiel. Nicht selten solche, die auf vermeintlich gut gesicherten Kameras läuft. Weil die Firnware einfach oft haarsträubende Sicherheitslücken hat und man an dieser Passwortabfrage dann einfach vorbei kommt.
Es wäre also tatsächlich nur die Kamera betroffen und nicht das restliche Netzwerk, sofern der Login standhält?
Sobald Malware auf der Kamera ist, kann man von dort jedes andere Gerät in deinem Netzwerk attackieren. Jedes. Und die Firmware der anderen Geräte ist regelmäßig auch nicht besser, so dass dann auch der Fernseher oder "smarte" Thermostate in ein Botnetz integriert werden.
Wer auf so eine Idee kommt hat meist keine A.... was er da tut 😉
Naja, dafür gibt es glücklicherweise solche Foren wo man Antworten von User mit A.... erhält, mit denen man auch etwas anfangen kann.
Wenn jeder A.... hätte, würden wir uns vermutlich nicht hier über über meine Frage unterhalten
Moin...
das ist Blödsinn hoch3... also mit VPN ist es genauso langsam wie es mit 35 MBit eben ist!
ich gehe jetzt mal davon aus, das du natürlich den WEB Service und die Dienste in deiner Cam de-assembliert hast, und da keine Funktionrn drin sind, die eine Backdoor oder ähnliches erlauben!
dann würde ich natürlich sagen, CNAME und Portforwarding sind völlig übertrieben, einafch PnP einschalten... den rest macht die Cam dann selber... und du hast immer zugriff, und halb China... ach nee, hast ja den Quelltext geprüft- und Benutzernamen und Login kennt ja sowiso keiner.... außer deiner einer!
Frank
VPN scheidet aus, habe nur eine magere 35 Mbit Leitung zur Verfügung (GF sollerst in den nächsten zwei Jahren kommen)
hm... nachts ist es dunkler als draußen.... oder ohne VPN ist das Inet schneller das ist Blödsinn hoch3... also mit VPN ist es genauso langsam wie es mit 35 MBit eben ist!
Es wäre also tatsächlich nur die Kamera betroffen und nicht das restliche Netzwerk, sofern der Login standhält?
oha... da spricht der Fachmann ich gehe jetzt mal davon aus, das du natürlich den WEB Service und die Dienste in deiner Cam de-assembliert hast, und da keine Funktionrn drin sind, die eine Backdoor oder ähnliches erlauben!
dann würde ich natürlich sagen, CNAME und Portforwarding sind völlig übertrieben, einafch PnP einschalten... den rest macht die Cam dann selber... und du hast immer zugriff, und halb China... ach nee, hast ja den Quelltext geprüft- und Benutzernamen und Login kennt ja sowiso keiner.... außer deiner einer!
Mit einer Portweiterleitung wird der Login der Kamera freihaus mitgeliefert?
braucht es nicht... da sind öfter mal backdoors drin... oder meinst du, die Bilder der Nachbarin sind im Netztm weil alles das Passwort haben?!?!? wo doch eigentlich nur die Katze überwacht werden sollte Wo ist das Risiko grösser als bei einer Website mit Benutzerlogin?
der Quelltext!Frank
2
Also erstmal - dir sollte einfach mal klar sein das deine Kamara damit nen offenes Ziel ist... Dabei halte ich es nicht mal für so wahrscheinlich das die dann als Bot genommen wird - aber du wirst ggf. auch Aufnahmen plötzlich im Netz finden die du da nich haben willst. Und im dümmsten Fall auch Einbrechern freundlich Hilfestellung geben...
Dein VPN hat mal so gar nix mit Bandbreite zu tun... so genau 0. Nix. Nada! Ok, du brauchst nen paar kBit für die Einwahl, whooohoo... Bei 35 mbit?!? Kein problem. Selbst dein Uplink reicht dafür locker aus (und der is idR. deutlich kleiner, ich denke mal bei dir 2-5 mbit max). Ist dir eigentlich bewusst das es nicht so lange her ist da sind ganze Firmen froh gewesen wenn die 35 mbit haben? Und du brauchst dabei ja nicht permanent das VPN, sondern nur eher selten....
Von daher: Wenn du wirklich lernen willst und auf Leute hören willst die Ahnung haben - dann nimm den Vorschlag an das über nen VPN zu lösen...
Dein VPN hat mal so gar nix mit Bandbreite zu tun... so genau 0. Nix. Nada! Ok, du brauchst nen paar kBit für die Einwahl, whooohoo... Bei 35 mbit?!? Kein problem. Selbst dein Uplink reicht dafür locker aus (und der is idR. deutlich kleiner, ich denke mal bei dir 2-5 mbit max). Ist dir eigentlich bewusst das es nicht so lange her ist da sind ganze Firmen froh gewesen wenn die 35 mbit haben? Und du brauchst dabei ja nicht permanent das VPN, sondern nur eher selten....
Von daher: Wenn du wirklich lernen willst und auf Leute hören willst die Ahnung haben - dann nimm den Vorschlag an das über nen VPN zu lösen...
1Dein VPN hat mal so gar nix mit Bandbreite zu tun... so genau 0. Nix. Nada! Ok, du brauchst nen paar kBit für die Einwahl, whooohoo... Bei 35 mbit?!? Kein problem. Selbst dein Uplink reicht dafür locker aus (und der is idR. deutlich kleiner, ich denke mal bei dir 2-5 mbit max). Ist dir eigentlich bewusst das es nicht so lange her ist da sind ganze Firmen froh gewesen wenn die 35 mbit haben? Und du brauchst dabei ja nicht permanent das VPN, sondern nur eher selten....
Von daher: Wenn du wirklich lernen willst und auf Leute hören willst die Ahnung haben - dann nimm den Vorschlag an das über nen VPN zu lösen...
Von daher: Wenn du wirklich lernen willst und auf Leute hören willst die Ahnung haben - dann nimm den Vorschlag an das über nen VPN zu lösen...
Wenn Du alles genau verfolgt hast, wurde die Bandbreite seitens "der Profis hier" eingebracht...
Und wenn wir schon einmal dabei sind... Nimm mal 12 VPN Verbindungen (mit der FB 7590 möglich), berücksichtige die Latenz und mögliche Serverlast der Gegenseite welche auch wieder Auswirkung auf die Latenz hat...
Tatsächlich nada und nichts?
Mal 'ne Frage @Nullcheck
Wieso fragst du eigentlich, wenn du offenbar sowieso alles besser weißt und handfeste Argumente der Kollegen vom Tisch wischst?
Manuel
Wieso fragst du eigentlich, wenn du offenbar sowieso alles besser weißt und handfeste Argumente der Kollegen vom Tisch wischst?
Manuel
2
dass eine Firewall in einem privaten Netzwerk mit Kanonen auf Spatzen geschossen wäre...
Das die eigene Fritte auch eine Firewall hat blendet der TO scheinbar auch laienhaft aus?! 
Den TO begrüsst man demnächst auch am Internet Pranger für ungesicherte Kameras...
http://www.insecam.org/en/bycountry/DE/
4
Zitat von @Nullcheck:
Wenn Du alles genau verfolgt hast, wurde die Bandbreite seitens "der Profis hier" eingebracht...
Und wenn wir schon einmal dabei sind... Nimm mal 12 VPN Verbindungen (mit der FB 7590 möglich), berücksichtige die Latenz und mögliche Serverlast der Gegenseite welche auch wieder Auswirkung auf die Latenz hat...
Tatsächlich nada und nichts?
Wenn Du alles genau verfolgt hast, wurde die Bandbreite seitens "der Profis hier" eingebracht...
Und wenn wir schon einmal dabei sind... Nimm mal 12 VPN Verbindungen (mit der FB 7590 möglich), berücksichtige die Latenz und mögliche Serverlast der Gegenseite welche auch wieder Auswirkung auf die Latenz hat...
Tatsächlich nada und nichts?
Nabend.
Die Bandbreite haben die Kollegen nicht als Problem identifiziert, sondern das Thema Sicherheit.
Kameras sind mit schlechter Software ausgestattet und sollten, wie die Kollegen es schon betonten, nicht direkt aus dem Internet erreichbar gemacht werden. Auch Internet benötigen die Geräte nicht.
Shodan ist da auf jeden Fall einen Blick wert, um sich mal selbst vor Augen zu halten, wie es nicht laufen sollte.
Eine Fritzbox ist ja kein "Leistungswunder". Zwei bis drei VPN Verbindungen parallel kann die aber verpacken.
Mit Wireguard ist man bei der Fritte auch mit einem schnell eingerichtetem und performanten Protokoll unterwegs.
Damit merkst du keinen Unterschied beim Zugriff.
Alles ist besser als eine direkte Freigabe auf ein Gerät im eigenen Netz, ohne zusätzliche Absicherung.
Die Kamera wird 2FA nicht beherrschen, daher ab hinter einen VPN Zugang damit.
Gruß
Marc
2Zitat von @Nullcheck:
Wenn Du alles genau verfolgt hast, wurde die Bandbreite seitens "der Profis hier" eingebracht...
Und wenn wir schon einmal dabei sind... Nimm mal 12 VPN Verbindungen (mit der FB 7590 möglich), berücksichtige die Latenz und mögliche Serverlast der Gegenseite welche auch wieder Auswirkung auf die Latenz hat...
Tatsächlich nada und nichts?
Dein VPN hat mal so gar nix mit Bandbreite zu tun... so genau 0. Nix. Nada! Ok, du brauchst nen paar kBit für die Einwahl, whooohoo... Bei 35 mbit?!? Kein problem. Selbst dein Uplink reicht dafür locker aus (und der is idR. deutlich kleiner, ich denke mal bei dir 2-5 mbit max). Ist dir eigentlich bewusst das es nicht so lange her ist da sind ganze Firmen froh gewesen wenn die 35 mbit haben? Und du brauchst dabei ja nicht permanent das VPN, sondern nur eher selten....
Von daher: Wenn du wirklich lernen willst und auf Leute hören willst die Ahnung haben - dann nimm den Vorschlag an das über nen VPN zu lösen...
Von daher: Wenn du wirklich lernen willst und auf Leute hören willst die Ahnung haben - dann nimm den Vorschlag an das über nen VPN zu lösen...
Wenn Du alles genau verfolgt hast, wurde die Bandbreite seitens "der Profis hier" eingebracht...
Und wenn wir schon einmal dabei sind... Nimm mal 12 VPN Verbindungen (mit der FB 7590 möglich), berücksichtige die Latenz und mögliche Serverlast der Gegenseite welche auch wieder Auswirkung auf die Latenz hat...
Tatsächlich nada und nichts?
Ok - jetzt kommst du mit 12 VPN-Verbindungen.. Ganz davon ab das es für die Fritzbox immer noch kein Problem darstellt da dann nur dein Upload für die Kamara nich ausreichen wird (meine machen z.B. 2K-Bilder, selbst im besten Fall mit Kompression, wenig Bewegung,...) bräuchte ich noch 300-500kBit pro "Viewer".
Latenz kommst du jetzt mit - was auch wieder ein völlig unsinniger Parameter ist. Denn dich interessiert ja nicht ob dein Bild jetzt mit 200ms oder 1000ms Verzögerung kommt. Die Latenz wird idR. deutlich geringer als die Pufferzeit deines Players sein.
Serverlast auf der Gegenseite? Was hat das damit zu tun? Wenn die "Gegenseite" (also derjenige der auf die Kamara zugreifen will) ausgelastet ist dann ist die Seite ausgelastet, ob nun per Portforwarding oder per VPN...
Aber ganz einfach: Du weisst es eh besser - also mache dein Portforwarding. Du würdest nunmal eh nur zulassen das man dir sagt "ganz tolle Idee, sollte jeder so tun". Nur weil dir hier jeder sagt "is ne blöde idee" - was weiss der Rest der Welt schon, nur weil es die meisten hier sogar täglich im Job machen. Vermutlich werden wir alle nämlich nur von AvM u. Co. bezahlt um dich auf VPN zu drücken - damit du ne grössere Box kaufst (aber sags nich weiter, das is ne grosse Deep-State-Verschwörung!).
2
Wenn mehrere User gleichzeitig auf die Kamera zugreifen sollen und du selbst Bandbreite sparen willst mach es so:
Billigen vServer im Netz mieten und einen RTMP Server aufsetzen. Dann aus dem eigenen Netz per RTMP den Kamera-Stream an den RTMP Streaming-Server pushen.
Der Vorteil du sendest den Kamera-Stream nur einmal an den Server und abgreifen können diesen vom vServer beliebig viele User, bzw. natürlich nur so viel der Server an Bandbreite bietet.
Der Nachteil, der Stream muss dann halt dauerhaft laufen, aber wenn du mindestens zwei User auf der Kamera online hast lohnt sich der Aufwand schon.
Billigen vServer im Netz mieten und einen RTMP Server aufsetzen. Dann aus dem eigenen Netz per RTMP den Kamera-Stream an den RTMP Streaming-Server pushen.
Der Vorteil du sendest den Kamera-Stream nur einmal an den Server und abgreifen können diesen vom vServer beliebig viele User, bzw. natürlich nur so viel der Server an Bandbreite bietet.
Der Nachteil, der Stream muss dann halt dauerhaft laufen, aber wenn du mindestens zwei User auf der Kamera online hast lohnt sich der Aufwand schon.
Mal 'ne Frage @Nullcheck
Wieso fragst du eigentlich, wenn du offenbar sowieso alles besser weißt und handfeste Argumente der Kollegen vom Tisch wischst?
Wieso fragst du eigentlich, wenn du offenbar sowieso alles besser weißt und handfeste Argumente der Kollegen vom Tisch wischst?
Nun, mit meiner Frage möchte ich eigentlich die Möglichkeit zur Nutzung der Portweiterleitung erörtern, dass dass VPN ausscheidet habe ich direkt dazu gesetzt...
Was haben sachliche Argumente (die nun mal nicht von der Hand zu weisen sind), mit "Besserwisserei" zu tun?
Nun - dann is die Antwort einfach: ist es möglich mit einer Portweiterleitung zu arbeiten? Ja, ist es.... Ist es eine gute Idee - nein, wenn man nur grundlegend was über Sicherheit weiss dann nicht, aber das willst du nicht einsehen...
2
2. Server an anderer Lokation mit mehr Bandbreite?
Auch ca. 40 Kameras brauchen teils nur 50 MBit/s. Eine somit viel wneiger. Wenn man nicht auf Full-HD geht.
https://zoneminder.com/
Damit wäre nur 1x Tunnel nötig um das "RZ" auf der anderen Seite zu verbinden. Alternativ ZM lokal installieren und nur Alarm-Streams empfangen oder Einzelbilder runterladen. Da gibt es ja zig Methoden.
Manche haben früher auch mit curl Einzelbilder geholt. Würde aber zu ZM tendieren. Wenn es eng wird hilft es die Bilder vorher auszuwerten.
Ebenso haben viele Cams einen Substream. Geringere Auflösung, der nicht so viel verbraucht. Damit könnte man dauerhaft betrachten, sieht aber entsprechend weniger!
Lösung:
- Kamera die Main-/ Substream liefert über gängige Protokolle: https/ rtsp
-- https://www.ispyconnect.com/de/ z.B. zum Testen nehmen. Kann auch Substreams verabeiten
- Aufösung runter. Ggf. 2. Kamera. 2x niedrige Auflösung ist meist immer noch weniger Bandbreite als Full-HD
-- Kameras so platzieren das Einzelbider fast schon automatsich rausfallen. Glastüren, etc. wo Leute vor stoppen müssen und durch die stark verlangsamte Bewegung dann auch wenige Bilder pro Sekunde ein gutes Ergebnis liefern.
Grundsätzlich ist das unabhängig von Serern wie ZM oder Lösunge wie ispy die auch auf aufzeichnen. ZM bietet auch die Einstellung Aufwärmframes anzufangen mit auszuliefern. Ist die Bewegung jetzt ausreichend für einen Alarm, so werden auch wenige Sekunden vorher mitgeliefert. Das reicht meist aus um zu sehen woher jemand kam.
Normal sind diese Systeme auf Alarm-Frames ausgelegt. Dauerstream geht auch. Bei einer Cam sollte es kein Problem sein.
Mietserver sind ja nicht teuer - erst recht Linux basiert. An dieser Lokation sollten auch hunderte von VPN Verbindungen kein Problem sein Für die Cam reicht ja eine, die Co-Worker wählen sich an den Knoten ein um ZM zu bedienen.
Das wäre so Alternativen.... Wen es am Standort zu eng wird halt einen neuen Knoten schaffen. Wenn mehr als Alarm-Frames empfangen werden sollen, so kann auch die auswertung dort dann erfolgen, bzw. der dauerhafte Stream abgegriffen werden.
Lokation1 <> RZ = 1:1 Tunnel
RZ <> Roadwarriorn = 1:n
ZM am gleichen Standort wie die Kamera hat halt den Nachteil dass es so wäre wie jetzt. Via HTTPS und ZM greifen viele auf den Server zu und schauen die Bilder an. Lagert man das aus, so wäre die jetzige Leitung nur mit wenigen MBit beansprucht.
Ist ein kleiner Aufwand, aber ZM ist ja kostenlos. Die Gebühren für Mietserver sind eher gering. 1x Monitor unter ZM sollte damit zu realisireen sein.
Auch ca. 40 Kameras brauchen teils nur 50 MBit/s. Eine somit viel wneiger. Wenn man nicht auf Full-HD geht.
https://zoneminder.com/
Damit wäre nur 1x Tunnel nötig um das "RZ" auf der anderen Seite zu verbinden. Alternativ ZM lokal installieren und nur Alarm-Streams empfangen oder Einzelbilder runterladen. Da gibt es ja zig Methoden.
Manche haben früher auch mit curl Einzelbilder geholt. Würde aber zu ZM tendieren. Wenn es eng wird hilft es die Bilder vorher auszuwerten.
Ebenso haben viele Cams einen Substream. Geringere Auflösung, der nicht so viel verbraucht. Damit könnte man dauerhaft betrachten, sieht aber entsprechend weniger!
Lösung:
- Kamera die Main-/ Substream liefert über gängige Protokolle: https/ rtsp
-- https://www.ispyconnect.com/de/ z.B. zum Testen nehmen. Kann auch Substreams verabeiten
- Aufösung runter. Ggf. 2. Kamera. 2x niedrige Auflösung ist meist immer noch weniger Bandbreite als Full-HD
-- Kameras so platzieren das Einzelbider fast schon automatsich rausfallen. Glastüren, etc. wo Leute vor stoppen müssen und durch die stark verlangsamte Bewegung dann auch wenige Bilder pro Sekunde ein gutes Ergebnis liefern.
Grundsätzlich ist das unabhängig von Serern wie ZM oder Lösunge wie ispy die auch auf aufzeichnen. ZM bietet auch die Einstellung Aufwärmframes anzufangen mit auszuliefern. Ist die Bewegung jetzt ausreichend für einen Alarm, so werden auch wenige Sekunden vorher mitgeliefert. Das reicht meist aus um zu sehen woher jemand kam.
Normal sind diese Systeme auf Alarm-Frames ausgelegt. Dauerstream geht auch. Bei einer Cam sollte es kein Problem sein.
Mietserver sind ja nicht teuer - erst recht Linux basiert. An dieser Lokation sollten auch hunderte von VPN Verbindungen kein Problem sein
Für die Cam reicht ja eine, die Co-Worker wählen sich an den Knoten ein um ZM zu bedienen.Das wäre so Alternativen.... Wen es am Standort zu eng wird halt einen neuen Knoten schaffen. Wenn mehr als Alarm-Frames empfangen werden sollen, so kann auch die auswertung dort dann erfolgen, bzw. der dauerhafte Stream abgegriffen werden.
Lokation1 <> RZ = 1:1 Tunnel
RZ <> Roadwarriorn = 1:n
ZM am gleichen Standort wie die Kamera hat halt den Nachteil dass es so wäre wie jetzt. Via HTTPS und ZM greifen viele auf den Server zu und schauen die Bilder an. Lagert man das aus, so wäre die jetzige Leitung nur mit wenigen MBit beansprucht.
Ist ein kleiner Aufwand, aber ZM ist ja kostenlos. Die Gebühren für Mietserver sind eher gering. 1x Monitor unter ZM sollte damit zu realisireen sein.
Nun - dann is die Antwort einfach: ist es möglich mit einer Portweiterleitung zu arbeiten? Ja, ist es.... Ist es eine gute Idee - nein, wenn man nur grundlegend was über Sicherheit weiss dann nicht, aber das willst du nicht einsehen...
Prima, Danke
Dann zur Sicherheit ohne VPN...
Welche (höchstmöglichen) Alternativen gibt es für Netzwerke ohne Firewall/Veam/Reverse?
@Crusher79 Danke für dein ausführliches Feedback.
Die Kamera (habe 12) war jedoch nur ein Bespiel, habe noch andere Clients (IoT) im Netz.
Die Kamera (habe 12) war jedoch nur ein Bespiel, habe noch andere Clients (IoT) im Netz.
…
Prima, Danke
Dann zur Sicherheit ohne VPN...
Wohl er „ohne Sicherheit“Prima, Danke
Dann zur Sicherheit ohne VPN...
Die Kamera (habe 12) war jedoch nur ein Bespiel, habe noch andere Clients (IoT) im Netz.
Jetzt mal Butter bei de Fische:
Dein Vorhaben ist der Geund, warum so viel Sche!ße im Internet passiert:
Deine Systeme stehen offen für jeder Mann zur Verfügung. Über Lücken im System werden die gekapert und sorgen dann als verteiltes Botnetz dafür, das andere Systeme angegriffen werden und wiederum diese stümperhaft etablierten Systeme ebenfalls gekapert werden.
Und wir sagen dir nicht aus Langeweile: „lass den Sche!ß mit dem Portforwarding und nutze stattdessen VPN“. Das dient dem Schutz aller.
Und je nachdem wo die Kameras platziert sind: ich kenne weder dein Alter noch deine familiäre Situation, aber folgendes Szenario (was nicht selten ist): Du hast ein kleines Kind und im Kinderzimmer eine Kamera für die Einschlafphasen installiert. Jetzt wird die Kamera kompromittiert und filmt, wie ihr euer Kind auf dem Wickeltisch wickelt. Es gibt hinreichend abartige Personen da draus, die sich daran ergötzen und das Bildmaterial am Ende weiter verkaufen. Jetzt ist dein Spross irgendwann größer/ älter und wird - wie auch immer - mit den eigenen Bildern konfrontiert.
Oder: Kamera zeigt in den Garten. Im Sommer spielen eure Kinder da, gerne auch unbekleidet, weil rings herum alles schön blickdicht zugewachsen - außer eben die Kamera.
Und eine billige Abfrage von Benutzername + Kennwort hilft da nicht. Mittels Bruteforce und/ oder erbeuteten Passwortlisten ein Kinderspiel. Oder per Lücke in Quellcode.
Und da du mit deinem Namen nullckeck ein Stückweit dein Wissensstand suggerierst, bitten wir dich alle inständig: Nutze VPN
Hat, am Rande, noch einen weiteren Vorteil. Du musst keine 12 Portforwarding einrichten. Einmal den VPN aufgebaut, kommst du ohne weiteres Zutun an alle internen Endgeräte innerhalb deines LANs.
Also deutlich pflegeleichter.
Neue Kamera: Zack, im VPN erreichbar.
4
1. Was heißt denn „Bandbreite“? 35 Mbit/s Up- oder Download?
2. Zum Rest ist alles ausführlich dargestellt worden. Will der Thread-Eröffner das nicht hören, ist das Forum von Chip, ComputerBild und dem Kamera-Hersteller evtl. die bessere Anlaufstelle?
2. Zum Rest ist alles ausführlich dargestellt worden. Will der Thread-Eröffner das nicht hören, ist das Forum von Chip, ComputerBild und dem Kamera-Hersteller evtl. die bessere Anlaufstelle?
Das die eigene Fritte auch eine Firewall hat blendet der TO scheinbar auch laienhaft aus?
Wieso? Die Fritzbox ist doch ein Router. Was hat das mit Firewall zu tun?
Anscheinend Denkweise des TO.
Moin,
kurz um. Auch mal mehr aus der Provider Sicht:
Da deine Kamera Software vermutlich nicht wirklich gepatcht wird, ist das ganze Vorhaben grob fahrlässig.
Du reihst dich schneller in die Gruppe der Spam schleudern ein, als du vermuten magst.
Jeder der irgend einen Dienst so ins Netz stellt, ist für den Dienst verantwortlich.
Als Provider haben wir die Anschlüsse nach Aufforderung ohne Handlung gesperrt da unsere Kunden gefährdet waren.
Greif per VPN darauf zu. Am besten nutzt du dazu Wireguard falls deine Fritte das mittlerweile kann.
Alternativ kauf dir Kameras die mit so einer China Cloud funktionieren. Dann existiert das Risiko zumindest nicht direkt an deinem Anschluss. (Wer auch immer da dann mitschaut)
Gruß
Spirit
kurz um. Auch mal mehr aus der Provider Sicht:
Da deine Kamera Software vermutlich nicht wirklich gepatcht wird, ist das ganze Vorhaben grob fahrlässig.
Du reihst dich schneller in die Gruppe der Spam schleudern ein, als du vermuten magst.
Jeder der irgend einen Dienst so ins Netz stellt, ist für den Dienst verantwortlich.
Als Provider haben wir die Anschlüsse nach Aufforderung ohne Handlung gesperrt da unsere Kunden gefährdet waren.
Greif per VPN darauf zu. Am besten nutzt du dazu Wireguard falls deine Fritte das mittlerweile kann.
Alternativ kauf dir Kameras die mit so einer China Cloud funktionieren. Dann existiert das Risiko zumindest nicht direkt an deinem Anschluss. (Wer auch immer da dann mitschaut)
Gruß
Spirit
Zitat von @Nullcheck:
@Crusher79 Danke für dein ausführliches Feedback.
Die Kamera (habe 12) war jedoch nur ein Bespiel, habe noch andere Clients (IoT) im Netz.
@Crusher79 Danke für dein ausführliches Feedback.
Die Kamera (habe 12) war jedoch nur ein Bespiel, habe noch andere Clients (IoT) im Netz.
Oh man... 12 Stck? Stand das oben irgendwo? Es summiert sich doch alles. Wie schon gesagt durch vernünftige Settings kann man viel erreichen, schließt auch die Position mit ein.
Bitte was? Noch mehr IoT? Was soll das nun wieder heißen! Willst du für die auch dann Port öffnen? Ka Garagentor oder was auch immer???
Grundlegend kann man auch hier kurz WSUS, Windows Update untereinander oder einen Cache Proxy (der mit richtiger config viele Binaries bereitstellt) einwerfen. Damit kann man noch an der ein oder andere Ecke sparen.
Wie @Visucius schon sagte ist die Richtung entscheidend. 35 MBit/s bei was? 35 kann sein, wenn man Verluste hat. Normal sind die Werte ja aufgerunded. 50, 100 MBit. Du hast nun aber nicht mit WLAN Client gemessen? Schon die Werte, die die Fritte anzeigt? Sorry, aber bei der ganzen Fragestellung halte ich das gerade auch noch für möglich.
"Mehrere IoT Geräte" klingt ja fast wie eine Drohung
"Helft mir, oder ich entlasse alle ins große WAN!"Kurz Abriss:
- VPN
- Ggf. Cache Proxies umd generell bei Updates u.ä. die Bandbreite massiv zu entlasten - Squid mit entsprechender Config, vgl. IPcop und desses damaligen Abkömmlingen
- Kamera so aufstellen das ohne HD alles gut zu erkennen ist, Bandbreite runter - 3 bis 5 Bilder die Sekunde bei sehr geringer Bewegung im Bild
- Kamera Server wie z.B. ZoneMinder o.ä. um nix zu verlieren und nur das Remote auswerten zu müssen, was nötig ist - also Vorfilterung
- Schwarz-weiß statt Farbe - spart auch eine Menge
- Ggf. LTE Backup an richtigen Gateway (OPNsense, pfsesnse, o.ä.) das z.B. nur für VPN Einwahl da ist. In geringeren Maße und mit aktuellen Verträgen durchaus zu handhaben.
So würde ich vorgehen. Werdegang: ISDN, DSL auf dem Land mit 1.500 MBit und nun 100 MBit. Alles schon mal gesehen. Mit ein paar Tricks und guten alten Cache-Proxy lässt sich aber so einiges bewegen. Damit wäre dann VPN Debatte von sich aus fast vom Tisch!
1
5
Provider hier.
wir drehen solche Kunden regelmäßig ab - begründet durch die Gefährdung der Netzintegrität. (AGBs)
Wird dann oft recht teuer für den Kunden (Restlaufzeit vom Vertrag wird abgerechnet, …)
Also gerne auch von meiner Seite: nimm VPN.
wir drehen solche Kunden regelmäßig ab - begründet durch die Gefährdung der Netzintegrität. (AGBs)
Wird dann oft recht teuer für den Kunden (Restlaufzeit vom Vertrag wird abgerechnet, …)
Also gerne auch von meiner Seite: nimm VPN.
4
Wenn man "unsichere" Kameras für mehrere Nutzer verfügbar machen möchte, kann man den Stream auch zu Twitch oder Youtube streamen und dort können dann alle gerne zuschauen...
Tschau
Uwe
Tschau
Uwe
Moinsen,
was mich in so einem Profiforum wundert: warum hat noch niemand VPN vorgeschla...AU! Ist ja schon gut... ;)
was mich in so einem Profiforum wundert: warum hat noch niemand VPN vorgeschla...AU! Ist ja schon gut... ;)
1
Naja - ich denke mal der TO weiss schon was er will... möchte halt "Big Brother" als art "open source" aufbauen... dann noch ein wenig den weihnachtlichen Gedanken ("Freie Daten für freie Bürger") und aus nächstenliebe die Kamaras den div. Spam-Anbietern als Verteiler geben...
Ich würde daher vorschlagen direkt Port 80/443 weiterleiten (bei mehr als 10 Kamaras halt 80-100, 443-460+) und einfach eben die default-usernamen behalten. Das spart den Leuten wenigstens die Zeit um zB. versteckte Recovery-User zu nutzen oder über irgendwelche Bugs/Backdoors da was machen zu müssen... Man könnte auch noch eben ne Kamara direkt in der Dusche/Badezimmer aufhängen mit nem Livestream an $Pornoseite schon voreingerichtet... So brauchen die Scriptkiddys nich lang suchen - bisserl Service darf man schon mal anbieten ;)
Ich würde es ggf. noch eben beim Provider anmelden... zumindest wissen die dann was die ganzen abuse-mails sollen...
Ich würde daher vorschlagen direkt Port 80/443 weiterleiten (bei mehr als 10 Kamaras halt 80-100, 443-460+) und einfach eben die default-usernamen behalten. Das spart den Leuten wenigstens die Zeit um zB. versteckte Recovery-User zu nutzen oder über irgendwelche Bugs/Backdoors da was machen zu müssen... Man könnte auch noch eben ne Kamara direkt in der Dusche/Badezimmer aufhängen mit nem Livestream an $Pornoseite schon voreingerichtet... So brauchen die Scriptkiddys nich lang suchen - bisserl Service darf man schon mal anbieten ;)
Ich würde es ggf. noch eben beim Provider anmelden... zumindest wissen die dann was die ganzen abuse-mails sollen...
2halt 80-100, 443-460+
Besser nicht! Als Administator und Berater weisst du nur zu gut das das alles fest reservierte IANA Ports sind. Wenn, dann verwendet man dafür immer Ephemeral Ports.Reduziert dann auch gleich das Angriffsrisiko deutlich, weil diese Ports im Gegensatz zu den o.a. selten in den üblichen Scannern abgeschnorchelt werden.
1
Ich denke die Moderatoren sollten diesen Beitrag schließen / sperren.
Der TO ist beratungsresistent. Wie es sich später rausstellt, geht nicht um 1 Kamera, sondern um 12. Zudem kommen dann auch weitere IoT Geräte ins Spiel.
Der TO ist beratungsresistent. Wie es sich später rausstellt, geht nicht um 1 Kamera, sondern um 12. Zudem kommen dann auch weitere IoT Geräte ins Spiel.
10
