31
Private IP, VPN und Verzweifelung
Hallo zusammen,
Ich bin neu hier im Forum und habe eine Frage an der ich am verzweifeln bin.
Ziel ist, eine IP Kamera von INSTAR von aussen zu erreichen. Diese Kamera hat einen INSTAR DDNS Account, der auch funktioniert. Problem ist nun, das die Kamera mit einem Gigacube von Vodafone verbunden ist. Dieser bekommt von Vodafone keine öffentliche IP was offensichtlich Portfreigaben auf IPv4 verhindert. Soweit so gut.
Daraufhin habe ich bei mir zu Hause einen VPN Server eingerichtet. Der Gigacube ist lt. eigenem Status mit dem VPN Server verbunden. Die ist per WLAN mit dem Gigacube verbunden. Alle nötigen Ports für VPN sind in dem Router zu Hause offen.
Nun verbinde ich mich mit dem Handy per VPN mit dem Netzwerk zu Hause. Da über VPN eine virtuelle IP vergeben wird weiss ich jetzt aber nicht, über welche IP die Kamera erreicht werden kann.
Das Netz zu Hause hat die IP 192.168.1.xxx
Das Netz vom Gigacube hat die IP 192.168.2.xxx
Die Kamera hat die IP 192.168.2.55
Vom VPN Server wird die virtuelle IP 192.168.254.xxx vergeben.
Muss ich an dem Router zu Hause die Ports der Kamera auch noch freigeben?
Ist die Verbindung zur Kamera so überhaupt möglich?
Habt ihr irgendwelche andere Lösungsvorschläge wie die Kamera erreicht werden kann?
Vielleicht noch kurz zu mir: Ich bin alles aber kein IT-Profi. Das das mit dem VPN funktioniert macht mich schon n bischen stolz. Also sollte die Lösung nicht zu kompliziert sein und auch für nen Elektroniker verständlich sein
Danke schonmal im Voraus!
Grüße Dani
Ich bin neu hier im Forum und habe eine Frage an der ich am verzweifeln bin.
Ziel ist, eine IP Kamera von INSTAR von aussen zu erreichen. Diese Kamera hat einen INSTAR DDNS Account, der auch funktioniert. Problem ist nun, das die Kamera mit einem Gigacube von Vodafone verbunden ist. Dieser bekommt von Vodafone keine öffentliche IP was offensichtlich Portfreigaben auf IPv4 verhindert. Soweit so gut.
Daraufhin habe ich bei mir zu Hause einen VPN Server eingerichtet. Der Gigacube ist lt. eigenem Status mit dem VPN Server verbunden. Die ist per WLAN mit dem Gigacube verbunden. Alle nötigen Ports für VPN sind in dem Router zu Hause offen.
Nun verbinde ich mich mit dem Handy per VPN mit dem Netzwerk zu Hause. Da über VPN eine virtuelle IP vergeben wird weiss ich jetzt aber nicht, über welche IP die Kamera erreicht werden kann.
Das Netz zu Hause hat die IP 192.168.1.xxx
Das Netz vom Gigacube hat die IP 192.168.2.xxx
Die Kamera hat die IP 192.168.2.55
Vom VPN Server wird die virtuelle IP 192.168.254.xxx vergeben.
Muss ich an dem Router zu Hause die Ports der Kamera auch noch freigeben?
Ist die Verbindung zur Kamera so überhaupt möglich?
Habt ihr irgendwelche andere Lösungsvorschläge wie die Kamera erreicht werden kann?
Vielleicht noch kurz zu mir: Ich bin alles aber kein IT-Profi. Das das mit dem VPN funktioniert macht mich schon n bischen stolz. Also sollte die Lösung nicht zu kompliziert sein und auch für nen Elektroniker verständlich sein
Danke schonmal im Voraus!
Grüße Dani
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 526264
Url: https://administrator.de/contentid/526264
Printed on: April 19, 2024 at 13:04 o'clock
31 Comments
Latest comment
Guten Morgäähhhn
So ganz blicke ich da nicht durch
1) Die Kamera hat einen DDNS-Account? Wie kommt die ins Internet? Weil
2) "... Gigacube von Vodafone verbunden ist. Dieser bekommt von Vodafone keine öffentliche IP ..." .... ohne IP kein Netz.
Die passenden Subnetzmasken? Oder wo ist die "Schnittstelle" (= Router)? Wo geht's vom 1er ins 2er Netz und umgekehrt .... und kann der das?
Grundsätzlich:
- Das interne Netz (Die internen Netze) muß (müssen) funktionieren, inklusive routen.
- Das Gateway ins Internet detto
- .... und dann kann man von draußen aufs Gateway ......
So ganz blicke ich da nicht durch
1) Die Kamera hat einen DDNS-Account? Wie kommt die ins Internet? Weil
2) "... Gigacube von Vodafone verbunden ist. Dieser bekommt von Vodafone keine öffentliche IP ..." .... ohne IP kein Netz.
Zitat von @dso2si:
Das Netz zu Hause hat die IP 192.168.1.xxx
Das Netz vom Gigacube hat die IP 192.168.2.xxx
Die Kamera hat die IP 192.168.2.55
Vom VPN Server wird die virtuelle IP 192.168.254.xxx vergeben.
Das Netz zu Hause hat die IP 192.168.1.xxx
Das Netz vom Gigacube hat die IP 192.168.2.xxx
Die Kamera hat die IP 192.168.2.55
Vom VPN Server wird die virtuelle IP 192.168.254.xxx vergeben.
Die passenden Subnetzmasken? Oder wo ist die "Schnittstelle" (= Router)? Wo geht's vom 1er ins 2er Netz und umgekehrt .... und kann der das?
Grundsätzlich:
- Das interne Netz (Die internen Netze) muß (müssen) funktionieren, inklusive routen.
- Das Gateway ins Internet detto
- .... und dann kann man von draußen aufs Gateway ......
Moin,
was stellt denn das Hausnetz bereit? Da müsstest du ja schon dran gewesen sein um das VPN ans laufen zu bekommen. Oder liegt der VPN Server im 192.168.1.x und hat nur als Trägernetz im VPN die 192.168.254.x ?
Das sieht nämlich nach doppel NAT aus. Um dort Bsp. vom 192.168.1.x ins das 192.168.2.x Netz zu kommen, müsste auf dem GW des Hausnetzes eine Route auf den Gigacube zeigen.
Sollte der VPN Server im 192.168.2.x liegen, müsstest du dann direkt auf die Kamera im 192.168.2.x Netz kommen. Hier ist dann aber die Frage wie der VPN Server konfiguriert ist. Es müssen nicht alle zu erreichenden Clients direkt mit dem VPN Server verbunden werden, simples Routing reicht da.
Gruß
Spirit
was stellt denn das Hausnetz bereit? Da müsstest du ja schon dran gewesen sein um das VPN ans laufen zu bekommen. Oder liegt der VPN Server im 192.168.1.x und hat nur als Trägernetz im VPN die 192.168.254.x ?
Das sieht nämlich nach doppel NAT aus. Um dort Bsp. vom 192.168.1.x ins das 192.168.2.x Netz zu kommen, müsste auf dem GW des Hausnetzes eine Route auf den Gigacube zeigen.
Sollte der VPN Server im 192.168.2.x liegen, müsstest du dann direkt auf die Kamera im 192.168.2.x Netz kommen. Hier ist dann aber die Frage wie der VPN Server konfiguriert ist. Es müssen nicht alle zu erreichenden Clients direkt mit dem VPN Server verbunden werden, simples Routing reicht da.
Gruß
Spirit
Hallo.
Was für ein Router kommt denn zum Einsatz?
Welche Hardware ist zuständig für die Verbindung der beiden Netze (Switch, weiterer Router)?
Wer stellt den VPN Server bereit? Ein NAS à la QNAP oder Synology oder eine andere Hardware?
Bitte einmal etwas präziser die Infrastruktur benennen.
Gruß
Radiogugu
Was für ein Router kommt denn zum Einsatz?
Welche Hardware ist zuständig für die Verbindung der beiden Netze (Switch, weiterer Router)?
Wer stellt den VPN Server bereit? Ein NAS à la QNAP oder Synology oder eine andere Hardware?
Bitte einmal etwas präziser die Infrastruktur benennen.
Gruß
Radiogugu
Die Beschreibung ist in der Tat sehr verwirrend...
Wenn man es zwischen den Zeilen richtig versteht dann dreht es sich um diese 3 Fakten:
Durch das zentrale CGN mit RFC 1918 IPs beim Provider ist es technisch unmöglich das zentrale NAT Gateway des Providers von außen zu überwinden.
Das bedeutet also das weder ein offener Zugriff per DDNS / Port Forwarding noch ein VPN Zugriff auf lokale VPN Dienste möglich ist. Das ist Fakt.
Deshalb ist es auch vollkommen sinnfrei einen lokalen VPN Server zu installieren. Ein Zugriff von extern ist auch hier durch die private RFC 1918 Adressierung und CGN seitens des Providers technisch unmöglich.
Eine Lösung gibt es nur wenn der TO den Provider wechselt auf einen der (noch) öffentliche WAN IPs vergibt oder indem er ggf. den Tarif (Business) wechselt um eine feste öffentliche IP zu bekommen. Viele Provider offerieren diese Option für entsprechende Mehrkosten !
Die andere Option ist einen externen Server bei einem Hoster zu mietet und den als VPN "Transferserver" zu benutzen.
Das sind die 2 einzigen Optionen um einen remoten Zugang sicherzustellen.
Es sei den....wir haben hier die sehr verwirrende Darstellung des Netzdesigns missverstanden. Kein Mensch weiss was mit so dümmlichen Marketing Namen wie "Gigacube" gemeint ist. Zudem war der TO auch nichtmal in der Lage zu schildern welche Art VPN bzw. VPN Protokoll er realisiert hat und andere Ungereimtheiten. Von der Sinnhaftigkeit einen VPN Server per WLAN anzubinden mal gar nicht zu reden.
So oder so...mit RFC1918 Provider IP Adressierung und CGN ist der TO mit dem derzeitigen Setup eh chancenlos was eine remote Anbindung anbetrifft.
Wenn man es zwischen den Zeilen richtig versteht dann dreht es sich um diese 3 Fakten:
- TO hat einen DS-Lite Anschluss in jedem Falle aber einen CGN Anschluss mit RFC 1918 IPs im WAN
- TO hat keine öffentliche IP am Router
- VPN Server ist im lokalen Heimnetz installiert.
Durch das zentrale CGN mit RFC 1918 IPs beim Provider ist es technisch unmöglich das zentrale NAT Gateway des Providers von außen zu überwinden.
Das bedeutet also das weder ein offener Zugriff per DDNS / Port Forwarding noch ein VPN Zugriff auf lokale VPN Dienste möglich ist. Das ist Fakt.
Deshalb ist es auch vollkommen sinnfrei einen lokalen VPN Server zu installieren. Ein Zugriff von extern ist auch hier durch die private RFC 1918 Adressierung und CGN seitens des Providers technisch unmöglich.
Eine Lösung gibt es nur wenn der TO den Provider wechselt auf einen der (noch) öffentliche WAN IPs vergibt oder indem er ggf. den Tarif (Business) wechselt um eine feste öffentliche IP zu bekommen. Viele Provider offerieren diese Option für entsprechende Mehrkosten !
Die andere Option ist einen externen Server bei einem Hoster zu mietet und den als VPN "Transferserver" zu benutzen.
Das sind die 2 einzigen Optionen um einen remoten Zugang sicherzustellen.
Es sei den....wir haben hier die sehr verwirrende Darstellung des Netzdesigns missverstanden. Kein Mensch weiss was mit so dümmlichen Marketing Namen wie "Gigacube" gemeint ist. Zudem war der TO auch nichtmal in der Lage zu schildern welche Art VPN bzw. VPN Protokoll er realisiert hat und andere Ungereimtheiten. Von der Sinnhaftigkeit einen VPN Server per WLAN anzubinden mal gar nicht zu reden.
So oder so...mit RFC1918 Provider IP Adressierung und CGN ist der TO mit dem derzeitigen Setup eh chancenlos was eine remote Anbindung anbetrifft.
Zitat von @Franz-Josef-II:
Guten Morgäähhhn
So ganz blicke ich da nicht durch
1) Die Kamera hat einen DDNS-Account? Wie kommt die ins Internet? Weil
2) "... Gigacube von Vodafone verbunden ist. Dieser bekommt von Vodafone keine öffentliche IP ..." .... ohne IP kein Netz.
Guten Morgäähhhn
So ganz blicke ich da nicht durch
1) Die Kamera hat einen DDNS-Account? Wie kommt die ins Internet? Weil
2) "... Gigacube von Vodafone verbunden ist. Dieser bekommt von Vodafone keine öffentliche IP ..." .... ohne IP kein Netz.
Doch - VF wird da halt nen NAT machen - nix anderes als nen normaler Home-Use-Router....
Zitat von @dso2si:
Das Netz zu Hause hat die IP 192.168.1.xxx
Das Netz vom Gigacube hat die IP 192.168.2.xxx
Die Kamera hat die IP 192.168.2.55
Vom VPN Server wird die virtuelle IP 192.168.254.xxx vergeben.
Das Netz zu Hause hat die IP 192.168.1.xxx
Das Netz vom Gigacube hat die IP 192.168.2.xxx
Die Kamera hat die IP 192.168.2.55
Vom VPN Server wird die virtuelle IP 192.168.254.xxx vergeben.
Die passenden Subnetzmasken? Oder wo ist die "Schnittstelle" (= Router)? Wo geht's vom 1er ins 2er Netz und umgekehrt .... und kann der das?
Grundsätzlich:
- Das interne Netz (Die internen Netze) muß (müssen) funktionieren, inklusive routen.
- Das Gateway ins Internet detto
- .... und dann kann man von draußen aufs Gateway ......
Das interne Netzwerk wird halt nen Internet-Zugang haben - via NAT. Ich würde aber mal vermuten das hier aufm Cube noch ne Route fehlt was nun VPN ist und was nicht. Z.B. OpenVPN hat ja by Default 10.8.0.0/24 -> dann muss aber der VPN-Server natürlich auch wissen das er die Pakete dahin leiten muss UND die Clients müssen wissen das die Pakete dafür eben auch an den (richtigen) Router gehen (falls mehr als 1). Wenn das VPN steht kann man zwar den Server selbst sehen aber es gibt ja noch gar keinen Grund dass das Netz dahinter sichtbar ist.
Naja, angeblich kommt eine VPN Verbindung ja irgendwie zu stande. Scheint fast OpenVPN zu sein da IPsec bei dem Konstrukt sehr wahrscheinlich scheitern würde.
Un dem Fall muss ja vom Server nur das Zielnetz mitgegeben werden.
Aber ohne Antwort ist das alles nur raten.
Un dem Fall muss ja vom Server nur das Zielnetz mitgegeben werden.
Aber ohne Antwort ist das alles nur raten.
Moin,
sorry aber warum sollte das unmöglich sein? Im Endeffekt misshandelt man das VPN etwas und es geht. Wenn man irgendwo im Internet nen VPN-Server hat dann kann man OpenVPN auch hinter nem NAT problemlos anbinden (im Endeffekt dann als Client). Natürlich kann die Verbindung dann nicht vom Server aufgebaut werden sein, DER kann das NAT nicht überwinden. Aber: Der Client kann das VPN aufbauen - und hier muss man halt gucken. Ich z.B. nutze dafür nen normales Linux und mache einfach nen "umgekehrtes NAT". D.h. alles was ausm VPN ins interne Netz will wird vom VPN-Client per NAT genommen und fürs "interne" Netz siehts dann so aus als würde der Traffic vom VPN-Client selbst kommen. Damit umgeht man auch das Problem mit dem internen Gateway elegant -> jeder Netzteilnehmer im lokalen Netz sieht nur die IP vom VPN-Client und wird dem antworten. Der wiederrum hat seine NAT-Table und schickt es zurück ins VPN zum realen Sender...
Ich weiss das die Lösung nicht standardmässig ist, aber die funktioniert sehr zuverlässig...
sorry aber warum sollte das unmöglich sein? Im Endeffekt misshandelt man das VPN etwas und es geht. Wenn man irgendwo im Internet nen VPN-Server hat dann kann man OpenVPN auch hinter nem NAT problemlos anbinden (im Endeffekt dann als Client). Natürlich kann die Verbindung dann nicht vom Server aufgebaut werden sein, DER kann das NAT nicht überwinden. Aber: Der Client kann das VPN aufbauen - und hier muss man halt gucken. Ich z.B. nutze dafür nen normales Linux und mache einfach nen "umgekehrtes NAT". D.h. alles was ausm VPN ins interne Netz will wird vom VPN-Client per NAT genommen und fürs "interne" Netz siehts dann so aus als würde der Traffic vom VPN-Client selbst kommen. Damit umgeht man auch das Problem mit dem internen Gateway elegant -> jeder Netzteilnehmer im lokalen Netz sieht nur die IP vom VPN-Client und wird dem antworten. Der wiederrum hat seine NAT-Table und schickt es zurück ins VPN zum realen Sender...
Ich weiss das die Lösung nicht standardmässig ist, aber die funktioniert sehr zuverlässig...
Naja, angeblich kommt eine VPN Verbindung ja irgendwie zu stande.
Versteht man es richtig hat er diese VPN Verbindung ja nur lokal getestet. Vermutlich via Smartphone und im heimischen WLAN.Von remote ist es ja technisch mit RFC 1918 und CGN beim Provider vollkommen unmöglich den lokalen VPN Server zu erreichen. Das kann also niemals geklappt haben.
Es sei denn der TO hat uns hier technischen Unsinn geschildert und doch eine öffentliche Provider IP am WAN Port des Routers ??
Über die Status Seite des Routers hätte man sowas in 30 Sekunden im GUI sehen können welche IP Ranges dort wirklich vergeben sind. Oder wenn alle Stricke reissen über die VF Hotline. Aber auch dazu hat es scheinbar nicht gereicht beim TO...
Warum meinst du denn das es technisch nicht gehen kann? Nur mal mein genereller Aufbau:
10.xyz.12.0/24 <-- Internes Netzwerk
10.xyz.12.61/24 <-- Interne IP meines OpenVPN-Client
10.8.0.xx/24 <-- VPN-IP meines OpenVPN-Client
10.8.0.1/24 <--- VPN-Server IP
10.8.0.200/24 <-- meine aktuelle VPN-IP
Der OpenVPN-Client hängt hinter nem Cisco-Router welcher auch nur interne IPs hat. Von da geht es weiter über z.B. nen 4G-Router welcher dann als erstes mal ne "öffentliche" IP bekommt, kann aber auch ne SAT-Schüssel oder ne Richtfunk-Strecke sein... Aber alle öffentlichen IPs (ausser vSAT) hängen am äusseren Router, nie am Cisco. Der Cisco hat nur dann ne öffentliche wenns auf die SAT-Strecke geht.
Ich kann von meinem Rechner problemlos über das NAT-Geraffel jede interne IP erreichen - und das VPN läuft zuverlässig mit der o.g. Einschränkung das mein OpenVPN-Server (10.8.0.1) natürlich keine Verbindungen initiieren kann, das muss immer vom Client gemacht werden. Davon abgesehen gibt es jedoch keine Probleme.... Also so ganz "technischer Unsinn" muss das oben nicht sein.
10.xyz.12.0/24 <-- Internes Netzwerk
10.xyz.12.61/24 <-- Interne IP meines OpenVPN-Client
10.8.0.xx/24 <-- VPN-IP meines OpenVPN-Client
10.8.0.1/24 <--- VPN-Server IP
10.8.0.200/24 <-- meine aktuelle VPN-IP
Der OpenVPN-Client hängt hinter nem Cisco-Router welcher auch nur interne IPs hat. Von da geht es weiter über z.B. nen 4G-Router welcher dann als erstes mal ne "öffentliche" IP bekommt, kann aber auch ne SAT-Schüssel oder ne Richtfunk-Strecke sein... Aber alle öffentlichen IPs (ausser vSAT) hängen am äusseren Router, nie am Cisco. Der Cisco hat nur dann ne öffentliche wenns auf die SAT-Strecke geht.
Ich kann von meinem Rechner problemlos über das NAT-Geraffel jede interne IP erreichen - und das VPN läuft zuverlässig mit der o.g. Einschränkung das mein OpenVPN-Server (10.8.0.1) natürlich keine Verbindungen initiieren kann, das muss immer vom Client gemacht werden. Davon abgesehen gibt es jedoch keine Probleme.... Also so ganz "technischer Unsinn" muss das oben nicht sein.
Wir können hier auch weiter frei raten.
Mit OpenVPN lässt sich beinahe alles bauen sofern ein OpenVPN Server irgendwo mit ne öffentlichen IP erreichbar ist.
Nur wenn vom TO nichts kommt, ist das ganze nicht zielführend!
Mit OpenVPN lässt sich beinahe alles bauen sofern ein OpenVPN Server irgendwo mit ne öffentlichen IP erreichbar ist.
Nur wenn vom TO nichts kommt, ist das ganze nicht zielführend!
Warum meinst du denn das es technisch nicht gehen kann?
Der TO hat eine private RFC 1918 IP am Provider WAN Port vermutlich weil der Provider keine freien öffentlichen IPs mehr hat. Siehe hierSprich der Provider macht zentral für alle seine Kunden NAT (CGN https://de.wikipedia.org/wiki/Carrier-grade_NAT ) von seinen internen RFC 1918 Kunden IPs auf öffentliche IP.
Wie willst du denn da bitte aus dem Internet mit einer öffentlichen IP das Provider NAT Gateway überwinden um die RFC 1918 IP des TO Routers (WAN Port) zu erreichen ? Technisch ist das unmöglich da du ohne NAT Session inbound am NAT Gateway hängen bleibst. Gleiches Spielchen wie an jedem NAT Heimrouter.
Dein Beispiel oben hat ja ausnahmslos nur private 10er IP Adressen was ja völlig weltfremd ist, denn diese privaten RFC 1918 IP Adressen werden im Internet gar nicht geroutet, sind also völlig inexistent dort.
Mehr muss man sicher zu dem Thema nicht sagen...?!
https://www.heise.de/ct/ausgabe/2013-6-Internet-Dienste-trotz-DS-Lite-nu ...
Kollege @Spirit-of-Eli hat oben schon ganz Recht. Entweder ein VPN Server irgendwo mit einer öffentlichen IP erreichbar oder Provider Wechsel bzw. Tarif Wechsel. Das sind die einzigen Optionen des TO.
Eigentlich weiss man sowas auch vorher wenn man einen remoten Zugriff benötigt auf heimische Komponenten und lässt dann in weiser Voraussicht tunlichst die Finger von solchen CGN Providern und "Gigacubes" !
Zitat von @aqui:
Sprich der Provider macht zentral für alle seine Kunden NAT (CGN https://de.wikipedia.org/wiki/Carrier-grade_NAT ) von seinen internen RFC 1918 Kunden IPs auf öffentliche IP.
Wie willst du denn da bitte aus dem Internet mit einer öffentlichen IP das Provider NAT Gateway überwinden um die RFC 1918 IP des TO Routers (WAN Port) zu erreichen ? Technisch ist das unmöglich da du ohne NAT Session inbound am NAT Gateway hängen bleibst. Gleiches Spielchen wie an jedem NAT Heimrouter.
Warum meinst du denn das es technisch nicht gehen kann?
Der TO hat eine private RFC 1918 IP am Provider WAN Port vermutlich weil der Provider keine freien öffentlichen IPs mehr hat. Siehe hierSprich der Provider macht zentral für alle seine Kunden NAT (CGN https://de.wikipedia.org/wiki/Carrier-grade_NAT ) von seinen internen RFC 1918 Kunden IPs auf öffentliche IP.
Wie willst du denn da bitte aus dem Internet mit einer öffentlichen IP das Provider NAT Gateway überwinden um die RFC 1918 IP des TO Routers (WAN Port) zu erreichen ? Technisch ist das unmöglich da du ohne NAT Session inbound am NAT Gateway hängen bleibst. Gleiches Spielchen wie an jedem NAT Heimrouter.
Wenn du es nochmal genau liest - von aussen aus gar nicht, von INNEN raus macht man das ja auch -> der OpenVPN-Client initiert die Verbindung vom Netz aus an den (öffentlich erreichbaren) Server. Es ist dabei unerheblich ob du 192.168.x.y oder 10.x.y.z hast.
Dein Beispiel oben hat ja ausnahmslos nur private 10er IP Adressen was ja völlig weltfremd ist, denn diese privaten RFC 1918 IP Adressen werden im Internet gar nicht geroutet, sind also völlig inexistent dort.
Mehr muss man sicher zu dem Thema nicht sagen...?!
Mehr muss man sicher zu dem Thema nicht sagen...?!
Korrekt - das 10.xyz sind ja auch die INTERNEN IPs. Es sollte auch nur zeigen das eben durchaus ein VPN problemlos (mit OpenVPN) möglich ist wenn der OpenVPN-Rechner eine rein private IP hat. Auch da ist es unerheblich ob man jetzt 10.x.y.z oder 192.168.x.y nimmt.
https://www.heise.de/ct/ausgabe/2013-6-Internet-Dienste-trotz-DS-Lite-nu ...
Kollege @Spirit-of-Eli hat oben schon ganz Recht. Entweder ein VPN Server irgendwo mit einer öffentlichen IP erreichbar oder Provider Wechsel bzw. Tarif Wechsel. Das sind die einzigen Optionen des TO.
Eigentlich weiss man sowas auch vorher wenn man einen remoten Zugriff benötigt auf heimische Komponenten und lässt dann in weiser Voraussicht tunlichst die Finger von solchen CGN Providern und "Gigacubes" !
Kollege @Spirit-of-Eli hat oben schon ganz Recht. Entweder ein VPN Server irgendwo mit einer öffentlichen IP erreichbar oder Provider Wechsel bzw. Tarif Wechsel. Das sind die einzigen Optionen des TO.
Eigentlich weiss man sowas auch vorher wenn man einen remoten Zugriff benötigt auf heimische Komponenten und lässt dann in weiser Voraussicht tunlichst die Finger von solchen CGN Providern und "Gigacubes" !
Das setzt vorraus das du Alternativen hast, oder? Klar kann ich immer sagen "nimm die richtige Hardware" oder "Löse das technisch korrekt". Geht nur manchmal nicht. Warum nehme ich z.B. nicht einfach den Cisco-Router für nen VPN? Weil der nicht von mir verwaltet wird (Provider) da der Teil des SAT-Equipments ist. Selbst zuhause hatte ich damals mal LTE weil es eine lange Diskussion war hier überhaupt ne DSL-Leitung reinzubekommen. Die einzig freie Leitung musste beim Nachbar-Haus mit ner Kabelbrücke geschaltet werden. Das hat fast 1 Jahr gedauert bis das mal geklappt hat (Technisch 2 Minuten... Die Nachbarn davon zu überzeugen dass das ganze geht nur nach Ankündigung der Telekom das wenn der Anschluss nicht geprüft und gemacht werden darf das die ein Missbrauch annehmen und das Haus auch abklemmen).
Von daher mag ich immer die Aussagen das man Dinge anders lösen soll... Klar - ich würde auch eine ganze Menge lieber anders lösen nur leider kann ich die Realität nicht immer anpassen...
der OpenVPN-Client initiert die Verbindung vom Netz aus an den (öffentlich erreichbaren) Server.
Da sind wir dann wieder einer Meinung. Betonung liegt dann auf "öffentlich erreichbaren Server" !!!Das wurde ja auch schon als Lösungsweg erklärt oben.
Im Thread des TO ist aber mit keinem Wort erwähnt das er einen "öffentlich erreichbaren Server" sprich also einen mit einer öffentlichen IP Adresse im Zugriff hat !
Er redet lediglich von einem lokalen Server per WLAN angebunden, was dann vermutlich (geraten weil die Erklärung fehlt) wohl das eigene Hausnetz ist. Und dann geht es eben nicht denn auf den kann er von außen wegen der oben genannten Gründe niemals zugreifen.
Wie Kollege @Spirit-of-Eli schon richtig sagt können wir aber hier fröhlich im freien Fall weiter raten wenn der TO da nicht ein paar detailiertere Antworeten zum Design liefert.
Hallo zusammen,
Ich dachte das ich ziemlich viel Infos gegeben hatte.... wurde durch die vielen Fragen eines besseren belehrt.
Zum Aufbau:
Netz zu Hause: 192.168.1.xxx
VPN Server auf einem Synology NAS DS213+
VPN Typ ist PPTP und L2TP / IPsec (funktionieren beide)
Router ist eine Fritzbox 7590 mit öffentlicher IP
Der VPN Server kann über LTE (nicht lokal!) erreicht werden.
Der Gigacube ist ein LTE Router von Vodafone. Dieser bekommt keine öffentliche IP sondern glaube irgendwas mit NAT3. SORRY! Das hab ich auch nicht ganz verstanden.
Das lokale Netz vom Gigacube hat den IP Adressbereich 192.168.2.xxx
Kamera im Netz vom Gigacube mit 192.168.2.55
Hoffe ich konnte etwas Klarheit verschaffen
Danke für die rege Beteiligung!
EDIT: Der Gigacube stellt die Verbindung über L2TP her, das Smartphone über PPTP (L2TP hab ich da nicht zum Laufen bekommen)
Ich dachte das ich ziemlich viel Infos gegeben hatte.... wurde durch die vielen Fragen eines besseren belehrt.
Zum Aufbau:
Netz zu Hause: 192.168.1.xxx
VPN Server auf einem Synology NAS DS213+
VPN Typ ist PPTP und L2TP / IPsec (funktionieren beide)
Router ist eine Fritzbox 7590 mit öffentlicher IP
Der VPN Server kann über LTE (nicht lokal!) erreicht werden.
Der Gigacube ist ein LTE Router von Vodafone. Dieser bekommt keine öffentliche IP sondern glaube irgendwas mit NAT3. SORRY! Das hab ich auch nicht ganz verstanden.
Das lokale Netz vom Gigacube hat den IP Adressbereich 192.168.2.xxx
Kamera im Netz vom Gigacube mit 192.168.2.55
Hoffe ich konnte etwas Klarheit verschaffen
Danke für die rege Beteiligung!
EDIT: Der Gigacube stellt die Verbindung über L2TP her, das Smartphone über PPTP (L2TP hab ich da nicht zum Laufen bekommen)
PPTP musst du ein stampfen und ist unsicher!
LTE ist fast immer mit CGN! Wie funktioniert das nun wenn alles über LTE läuft??
Näheres schau ich mir später an.
LTE ist fast immer mit CGN! Wie funktioniert das nun wenn alles über LTE läuft??
Näheres schau ich mir später an.
Gut, jetzt habe ich es auch verstanden.
Das NAS hängt hinter der localen Fritte und spielt VPN-Server mit L2TP/IPsec. PPTP muss wie gesagt deaktiviert werden!
Der Gigacube baut nun ein VPN zum NAS auf welches funktioniert?
Das heißt du möchtest von beiden Seiten auf die Kamera hinter dem Gigacube?
Dafür muss nur eine Rückroute auf der Fritzbox zum NAS für das VPN Netz geschaffen werden. Bzw. eben für das Netz hinter dem Gigacube.
Teil uns bitte alle IPs mit welche die involvierten Clients halten. Also welche IP hat die Fritte, das NAS, welche IPs werden im VPN genutzt, der Gigacube usw. Dann können wir dir auch die Routen bauen welche auf der Fritte eingetragen werden müssen.
Das NAS hängt hinter der localen Fritte und spielt VPN-Server mit L2TP/IPsec. PPTP muss wie gesagt deaktiviert werden!
Der Gigacube baut nun ein VPN zum NAS auf welches funktioniert?
Das heißt du möchtest von beiden Seiten auf die Kamera hinter dem Gigacube?
Dafür muss nur eine Rückroute auf der Fritzbox zum NAS für das VPN Netz geschaffen werden. Bzw. eben für das Netz hinter dem Gigacube.
Teil uns bitte alle IPs mit welche die involvierten Clients halten. Also welche IP hat die Fritte, das NAS, welche IPs werden im VPN genutzt, der Gigacube usw. Dann können wir dir auch die Routen bauen welche auf der Fritte eingetragen werden müssen.
Ich dachte das ich ziemlich viel Infos gegeben hatte....
Nicht denken sondern nachdenken... 
Zu PPTP ist das hier lesenswert:
https://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...
Mittlerweile ein NoGo.
Der Gigacube stellt die Verbindung über L2TP her,
Bedeutet das der GigaCube einen L2TP VPN Client mit an Bord hat ??? Das wäre sehr sehr ungewöhnlich für so eine Billigbox vom Provider.Bist du dir da ganz sicher das der L2TP VPN Client spielen kann ??
Sieht man sich einmal die technischen Daten zu dem System an:
https://www.vodafone.de/downloadarea/gigacube-details.pdf
Dann steht da kein Sterbenswörtchen von VPN ! Und schon gar nicht von L2TP !
Das wäre auch sehr verwunderlich, denn in der Regel supporten diese billigen Boxen vom Provider nie solche VPN Features. Die wollen nur dein Vertragsgeld dich aber niemals mit toller Hardware ausstatten...logisch !
Bleibt also die Frage WER denn nun den VPN Tunnel eröffnet ??
Die grundsätzliche Frage die man sich auch stellen muss warum man, wenn man mit der FritzBox ja schon einen recht passablen VPN Router hat, sich dann ein Loch in die Router Firewall bohrt, ungeschützten VPN Traffic in sein lokales LAN lässt und das dann auch noch auf ein so zentrales Element wie ein NAS was als VPN Server missbraucht wird.
Sorry, aber umständlicher und unsicherer kann man es nicht mehr machen. Warum einfach machen wenn es umständlich auch geht...?!
Viel sicherer und auch funktional besser ist es wenn du den VPN Zugang auf der FritzBox nutzt !!!
Damit ist eine sehr einfache und zudem viel sicherere VPN Kopplung möglich, da das Port Forwarding von Internet Traffic auf ein internes Device (NAS) komplett entfällt. Der VPN Traffic wird da sicher terminiert wo er hingehört nämlich in die Peripherie ohne das NAS zu kompromitieren !
Es ist also völlig unverständlich warum du diese bessere und sicherere Option über die FB nicht nutzt ?!
Guckst du hier:
https://avm.de/service/vpn/uebersicht/
Alle Smartphones supporten den sicheren Zugriff damit ebenso.
Aber egal... Warum einfach und sicher machen wenn es umständlich und unsicher auch geht ?!
Hello!
Genau richtig, der Cube baut ein VPN zum NAS au welches auch funktioniert.
Richtig, vom Heimnetz aus auf die Kamera hinter dem Cube. Wenn möglich auch von unterwegs aus übers Handy.
Folgende IPs sind vergeben:
Fritzbox: 192.168.1.254
NAS: 192.168.1.5; vergibt den virtuellen IP Adressbereich 192.168.254.xxx
Gigacube: 192.168.2.254
Kamera: 192.168.2.55
Danke für deine Hilfe!
Genau richtig, der Cube baut ein VPN zum NAS au welches auch funktioniert.
Richtig, vom Heimnetz aus auf die Kamera hinter dem Cube. Wenn möglich auch von unterwegs aus übers Handy.
Folgende IPs sind vergeben:
Fritzbox: 192.168.1.254
NAS: 192.168.1.5; vergibt den virtuellen IP Adressbereich 192.168.254.xxx
Gigacube: 192.168.2.254
Kamera: 192.168.2.55
Danke für deine Hilfe!
Hallo!
Das mit dem PPTP habe ich verstanden! wird deaktiviert.
Genau, der Gigacube bringt einen VPN Client mit PPTP mit. Wenn man nach "Gigacube VPN Menü" googelt und sich die Bilder anschaut, dann schenkst du mir vielleicht etwas mehr Glauben ;)
Deswegen nochmal: Der Gigacube öffnet den VPN-Tunnel zum NAS, und es funktioniert. Heisst, wenn ich im WLAN vom Gigacube mit dem Handy angemeldet bin, komme ich beim Aufruf der IP 192.168.1.5 auf die Oberfläche vom NAS (zu Hause)!
Den VPN Server auf der Fritzbox einzurichten habe ich versucht. Ich konnte weder mit dem Handy noch mit dem Gigacube erfolgreich einen Tunnel öffnen. Daher der Umweg über das NAS. Den VPN-Server in der Fritzbox wäre mir auch lieber gewesen.
Grüße Daniel
Das mit dem PPTP habe ich verstanden! wird deaktiviert.
Genau, der Gigacube bringt einen VPN Client mit PPTP mit. Wenn man nach "Gigacube VPN Menü" googelt und sich die Bilder anschaut, dann schenkst du mir vielleicht etwas mehr Glauben ;)
Deswegen nochmal: Der Gigacube öffnet den VPN-Tunnel zum NAS, und es funktioniert. Heisst, wenn ich im WLAN vom Gigacube mit dem Handy angemeldet bin, komme ich beim Aufruf der IP 192.168.1.5 auf die Oberfläche vom NAS (zu Hause)!
Den VPN Server auf der Fritzbox einzurichten habe ich versucht. Ich konnte weder mit dem Handy noch mit dem Gigacube erfolgreich einen Tunnel öffnen. Daher der Umweg über das NAS. Den VPN-Server in der Fritzbox wäre mir auch lieber gewesen.
Grüße Daniel
Genau richtig, der Cube baut ein VPN zum NAS au welches auch funktioniert.
Kann er eigentlich gar nicht, denn laut Datenblatt ist das kein VPN Router.Kannst du mal ein Screenshot des VPN Setups aus dem Router hier posten. Nur damit das uns vom Gegenteil überzeugt das das o.a. Datenblatt des Routers da fehlerhaft ist !
der Gigacube bringt einen VPN Client mit PPTP mit
Mmmhhh...wenn das stimmt aber ganz sicher nur als Server !!! Sprich der GigaCube ist ein VPN Dialin Server auf den man sich per PPTP mit einem Client einwählen kann. Er ist aber niemals selber PPTP Client. Oder hat er auch eine Client Option ?Wäre auch Unsinn, denn mit PPTP ist ein Site to Site VPN auch technisch unmöglich. PPTP ist rein nur als Client VPN möglich.
Ich konnte weder mit dem Handy noch mit dem Gigacube erfolgreich einen Tunnel öffnen.
Das ist was den GigaCube anbetrifft auch völlig normal.Die FB supportet lediglich ein IPsec VPN und der Cube kann ja nur PPTP wenn das stimmt was du sagst.
IPsec und PPTP sind nun bekanntlich 2 völlig verschiedene Baustellen und NICHT kompatibel...logisch.
Bei deinem Smartphone ist das ganz sicher ein typisches PEBKAC Problem ?!
Die Smartphone Anleitungen auf der FB Seite oben sind, sorry, idiotensicher.
der Gigacube bringt einen VPN Client mit PPTP mit
SORRY! Mein Fehler! Sollte heißen L2TP Client
Grüße Dani
Hey!
Auf meinem Note10+ erscheint die Meldung: Verbinde....... dann Verbunden dann ist Verbunden wieder weg und ich kann das Spiel von vorne starten. Vom Klick auf die Verbindung bis "Verbunden" wieder verschwindet vergehen 1-2 Sekunden.
Grüße Dani
Bei deinem Smartphone ist das ganz sicher ein typisches PEBKAC Problem ?!
Die Smartphone Anleitungen auf der FB Seite oben sind, sorry, idiotensicher.
Habe es gerade nochmal versucht. SCHRITT FÜR SCHRITT nach der Anleitung.Die Smartphone Anleitungen auf der FB Seite oben sind, sorry, idiotensicher.
Auf meinem Note10+ erscheint die Meldung: Verbinde....... dann Verbunden dann ist Verbunden wieder weg und ich kann das Spiel von vorne starten. Vom Klick auf die Verbindung bis "Verbunden" wieder verschwindet vergehen 1-2 Sekunden.
Grüße Dani
Hier noch der Screenshot von den VPN Einstellungen des Gigacube.
Grüße Dani
Grüße Dani
Möchte das PEBKAC nochmal aufgreifen *grrrrr*
Mit den Smartphone funktioniert es jetzt. Alle Einstellungen 100mal kontrolliert und nix ging..... aus lauter Verzweiflung die FB neu gestartet..... jetzt funktioniert es mit dem Smartphone und IPsec.
Danke AVM!
Grüße Dani
FB neu gestartet..... jetzt funktioniert es mit dem Smartphone und IPsec.
👏 Glückwunsch ! So sollte es sein...Mit anderen Worten: Problem gelöst, alles klappt mit der FB und wir können den Thread schliessen, richtig ?
Bitte dann auch
How can I mark a post as solved?
nicht vergessen !
👏 Glückwunsch ! So sollte es sein...
Mit anderen Worten: Problem gelöst, alles klappt mit der FB und wir können den Thread schliessen, richtig ?
Mit anderen Worten: Problem gelöst, alles klappt mit der FB und wir können den Thread schliessen, richtig ?
Ähm.... nee! Lediglich L2TP auf dem Smartphone funktioniert.
Die Kamera immernoch nicht, und der Cube verbindet sich auch nicht mit der FB.
Wenn es dann soweit ist ;)
Grüße Dani
Soooooo,
Nun hab ich es so weit das der Cube eine L2TP Verbindung zur Fritzbox aufbauen kann.
Nun fehlt nur noch die Backroute (wenn das so funktioniert) wie von Spirit-of-Eli beschrieben. Welche IP Adressen muss ich in der Fritzbox dafür eintragen? Die Hilfe von AVM bringt mich da leider nicht weiter ;(
Grüße Dani
Nun hab ich es so weit das der Cube eine L2TP Verbindung zur Fritzbox aufbauen kann.
Nun fehlt nur noch die Backroute (wenn das so funktioniert) wie von Spirit-of-Eli beschrieben. Welche IP Adressen muss ich in der Fritzbox dafür eintragen? Die Hilfe von AVM bringt mich da leider nicht weiter ;(
Grüße Dani
Ja genau. Jetzt nur noch auf beiden Seiten die Route für das jeweils andere Netz angeben und zusätzlich noch die Route in das VPN Netz würde ich machen.
Beide der Fritte muss z.b. 192.168.2.0/24 zu GW 192.168.1.5
Beim Gigacube muss ja am VPN Client schon irgend eine Routing Info mitgegeben worden sein.
Ich dachte eigentlich das ich hier gestern schon geantwortet hätte.
Beide der Fritte muss z.b. 192.168.2.0/24 zu GW 192.168.1.5
Beim Gigacube muss ja am VPN Client schon irgend eine Routing Info mitgegeben worden sein.
Ich dachte eigentlich das ich hier gestern schon geantwortet hätte.
Nun hab ich es so weit das der Cube eine L2TP Verbindung zur Fritzbox aufbauen kann.
Das ist technisch völlig unmöglich, denn die FritzBox supportet definitiv kein L2TP VPN !!!Die FritzBox kann einzig nur native IPsec aber definitiv keinerlei L2TP weil ihr dieses Feature fehlt.
Das ist also unmöglich...es sei denn du verar... die Foren Community hier ?!
Beide der Fritte muss z.b. 192.168.2.0/24 zu GW 192.168.1.5
Beim Gigacube muss ja am VPN Client schon irgend eine Routing Info mitgegeben worden sein.
Beim Gigacube muss ja am VPN Client schon irgend eine Routing Info mitgegeben worden sein.
Hi! Könntest du das bitte etwas genauer beschreiben? Habe es gerade versucht aber das klappt nicht. Muss ich die Dynamische IP vom VPN Server auch noch irgendwo eintragen?
Danke schonmal!
Grüße Dani
Könntest du das bitte etwas genauer beschreiben?
Statische Route eintragen meint er damit:Zielnetzwerk: 192.168.2.0, Maske: 255.255.255.0, Gateway: 192.168.1.5
Muss ich die Dynamische IP vom VPN Server auch noch irgendwo eintragen?
Ja, beim VPN Client als Zieladresse.
