schottenrock
Goto Top

Raspberry Pi 3B+ als Firewall für Port-Forwarding

Hallo Zusammen,

ich habe eine etwas ungewöhnliche Konstellation für den Internetzugang.

Einen Speedport Telekom Hybrid der Hybrid sowohl als Turbo als auch asl Ausfallbackup dient - funktioniert acuh, neulich hat ein Bagger ein Telekom-Kabel "gefunden" uund ich war der einzige in der ganzrn Straße mit Telefon und Internet - wir haben gar nix bemerkt.

Gut, an diesem Router habe ich (fast) alle Ports weitergeleitet. Ansonsten ist nix eingerichtet. Kein DECT, kein WLAN, nix. Nur ein DynDNS-Dienst ist angemeldet.
Der einzige Client im Netz ist meine FritzBox 7950. Es funktioniert alles, VPN, Telefonie, Fax, Portweiterleitung, Fernzugriff aus dem Internet - einfach alles, wie vorher beim DSL-Anschluss auch.

Port-Forwarding nutze ich um auf 4 Wecams zuzugreifen, die unser Haustier "verfolgen".

Ich rufe also zuhause.meine-dyndns.de:1234/cam/multiview.html auf und komme direkt auf eine Seite, auf welcher alle 4 Cams angezeigt werden.

Mein Problem ist nun, dass die Cams zwar so montiert sind, dass eigentlich nicht zufällig Personen gefilmt werden, aber trotzdem, ich habe ein schlechtes Gefühl einen Live-Stream ins Internet zu übertragen. Klar, ich könnte eine Anmeldung in die Webseite einbauen, aber das will ich nicht. Meine Kids sind da auch noch nicht alt genug. Ich würde das Port-Forwarding gerne über einen Raspi laufen lassen, den mit bekannten MAC-Adressen in eine Whitelist füttern und die dürfen zugreifen - andere bekommen eine Fehlerseite angezeigt. Ich versuche es mal grafisch darzustellen:

Internet >> Speedport Hybrid >> Fritzbox 7950 >> Raspi-Firewall >> HTTP-Server
            geht alles durch    blockt alles
                                außer
                                Port 1234        2234              1234
                                Port 1235        2235              1235
                                Port 1236        2236              1236
                                Port 1237        2237              1237

Der zu verwendente Raspi soll im Netz sein (also meine externe Firewall ist die Fritzbox. Auf dem Raspberry läuft auch ein DNS-Server mit pi-hole.net, falles es jemanden interessiert. ICh will also nicht noch eine klassische Firewall mit verschiedenen Netzen, ich will nur ein kleines Rechnerchen, das überprüft, wer von außen auf die Webcam zugreift und ob er das darf. Wenn ja, dann weiterleiten zum HTTP-Server, wenn nein, dann möglichst eine Fehlerseite anzeigen.

Nun meine ich mich aber zu erinnern, dass eine Webseite keine MAC-Adressen lesen kann. Deswegen kann ich die Zugansberechtigung nicht auf dem Webserver machen. Aber kann denn der PI als FW die MAC-ADresse lesen und entsprechend auswerten so dass die eigenen Geräte auf der Whitelist durchdürfen und alles anderen werden geblockt.

Gibt es da eine installierbare Firewall, oder geht es mit Boardmitteln oder gar nicht?

Ich freue mich auf Eure Antworten

Der Schotte im Rock

Content-ID: 457481

Url: https://administrator.de/contentid/457481

Ausgedruckt am: 08.11.2024 um 07:11 Uhr

tikayevent
tikayevent 31.05.2019 um 23:33:21 Uhr
Goto Top
Mit MAC-Adressen geht es gar nicht, da diese immer nur im gleichen Netzwerksegment sichtbar sind. Sprich die MAC-Adresse der Geräte auf der LAN-Seite deiner Fritzbox können vom Speedport schon nicht mehr gesehen werden. Die MAC-Adressen werden zwar von mehreren Technologien genutzt, also das was man heute LAN und WLAN nennt, Token Ring hat die in abgewandelter Form verwendet, aber z.B. auf einer ATM-basierten Strecke, die heute zum Teil noch im Rückgrat des Internets zu finden sind, haben MAC-Adressen keinerlei Zweck. Die Technik kennt die einfach nicht.

MAC-Adressen sind auch sehr leicht fälschbar. Mit Betriebssystem-Bordmitteln und in Sekunden.

Zusammengefasst: Was der Pi nicht bekommt, kann er nicht auswerten.
StefanKittel
StefanKittel 01.06.2019 um 00:05:09 Uhr
Goto Top
Hallo,

Du möchtest also eine bedingte Portweiterleitung.
Eine Portweiterleitung besteht ja nur aus Remote IP, Port, Destination IP und Port.

Du könntest Dich aber eines Tricks bedienen.
Man ruft vorher eine bestimmte URL im Browser auf.
Dabei wird die aktuelle Remote IP in der Firewall (iptable) gewhitelistet und nach 24 entfernt.

Ist nicht perfect, aber ein Ansatz.

Stefan
St-Andreas
St-Andreas 01.06.2019 um 00:19:17 Uhr
Goto Top
Was spricht gegen ein ordentliches VPN?
Lochkartenstanzer
Lochkartenstanzer 01.06.2019 aktualisiert um 11:08:54 Uhr
Goto Top
Zitat von @Schottenrock:

Internet >> Speedport Hybrid >> Fritzbox 7950 >> Raspi-Firewall >> HTTP-Server

Hallo Rocker,

Warum machst Du so einen Blödsinn?

Sinnvoller und besser wäre es entweder auf der Fritte oder auf der Himbeere ein VPN zu machen und darüber auf Deine Kameras zuzugreifen. Die Fritzbox hat schon alles an Bord und auch viele Anleitungen dazu.

Oder Du nimmst den raspberry. da gibt es genug Anleitungen vom Kollegen aqui hier im Forum:

IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

VPNs einrichten mit PPTP

OpenVPN Server installieren auf pfSense Firewall, Mikrotik oder DD-WRT Router

Netzwerk Management Server mit Raspberry Pi

lks
aqui
aqui 01.06.2019 aktualisiert um 13:13:59 Uhr
Goto Top
Port-Forwarding nutze ich um auf 4 Wecams zuzugreifen, die unser Haustier "verfolgen".
Sicher nicht nur du sondern auch der Rest der ganzen Welt:
https://www.insecam.org/en/bycountry/DE/
Ziemlich blauäugig solche Kameradaten per ungeschütztem Port Forwarding der ganzen Welt zugänglich zu machen. Deinen Privatsphäre scheint dir ja wahrlich nix wert zu sein. Zumal man einen Hardware (FritzBox) hat die sicheren VPN Zugang erlaubt. Port Forwarding ist laienhafte Anfänger Bastelei und exponiert die Daten ungeschützt. Aber egal... muss ja jeder selber wissen.
Kollege LKS hat ja oben schon alles zu dem Thema gesagt !!
norbertwangerin
norbertwangerin 02.06.2019 um 20:01:32 Uhr
Goto Top
Gegenfrage:

Wie hast du es überhaupt geschafft, Fernzugriffe zu realisieren?

Mir hat die Telekomhotline erklärt, Fernzugriffe über die mobile (LTE)-Verbindung des Speedport-Hybrid seien nicht möglich, weil sie nicht vorgesehen sind.


Jetzt habe ich zwar schnelles Internet (ca. 20k, statt 1,8k dsl) aber kann mich aber nicht mehr via Remotedesktop auf meine PCs zuhause verbinden
aqui
aqui 03.06.2019 aktualisiert um 09:05:00 Uhr
Goto Top
Wenn der LTE Anschluss des TO öffentliche IPs nutzt dann klappt das.
Mit RFC 1918 IPs und CGN auf Providerseite ist es technisch unmöglich und kann er dann auch nicht geschafft haben.
Schottenrock
Schottenrock 03.06.2019 um 23:17:55 Uhr
Goto Top
Ein Überraschungsurlaub zum Vatertag. Wie schön. Aber warum dann gleich mitten ins Funkloch? Sorry, wenn ich ein paar Tage off war. Nun ja, was soll ich sagen, es ist wie eine Kur. Mal ohne Internet & Co. lebt es sich nämlich auch ganz entspannt...

Nun aber erst mal herzlichen Dank an alle, die Beiträge geleistet haben. Ich möchte der Reihe nach Stellung beziehen:

@tikayevent: leider bestätigst Du, was ich mir schon gedacht habe...

@StefanKittel: klingt erst mal interessant, aber im Prinzip kommt'S auf dasselbe raus. Wer die Seite mit der Whitelistung kennt, kann sich whitelisten lassen. Gut, wenn es dann keine automatische WEiterleitung gibt sondern man die URL manuell eingeben muss, dann habe ich eine doppelte Hürde.

@St-Andreas: meine Kinder sprechen gegen ein ordentliches VPN. Die Jugend heute hat doch keine Ahnung was für mächtige Geräte die in der Hosentasche haben. Rechenpower von der mein C64 oder 486er nicht mal geträumt hat face-smile Nee, will sagen, die blicken noch nicht was sie da tun und wann verbinden und wann nicht. Gut könnte auch Autostart machen. Kommt wahrscheinlich auch so. Dann geht halt der gesamte Datenverkehr hier über meinen Router... Bevor der nächste Vorschlag kommt: nein, wenn VPN, dann komplett und nicht nur den bestimmten IP-Bereich. Denn auf Auslandsreisen kann man dann über Amazon Prime & Co. wie in Deutschland fernsehen/streamen. Oder auch Amazon Music. Und wir sind eigentlich regelmäßig im Ausland.

@Lochkartenstanzer: Danke für Deine "einfühlsam" (Blödsinn face-smile zunm Ausdruck gebrachte Sorge. Passt schon alles. ISt gerade nur ein VErsuch u schnell was auf die BEine zus tellen und ich will eben nicht wild auf verschiedneen Endgeräten einfach mal unkoordiniert VPN's anlegen. Natürlich kenne ich mein Frittchen gut. Ich habe auch von meinen Geräten aus VPN-Zugang. Das passt schon alles. Aber wir oben schon gesagt, das sollte die letzte Wahl sein, weil ich bei den Kids das eigentlich eher nicht möchte. DAher suchte ich zunächst nach einer FW-Lösung. Frei nach dem Motto: man wird doch wohl mal fragen dürfen.

@aqui: ebenso einfühlsam wie LKS. Nee, sit schon ok, einem das erst mal unter die Nase zu halten. Könnte ja sein, ich habe wirklich keinen Plan und weiß nicht, was ich da tue. Aber dem ist nicht so. Zudem habe ich gar keine blauen Augen. Aber da mir meine Privatsphäre was wert ist, sage ich Dir nicht, dass sie nicht blau sind face-smile

@norbertwangerin: Das war ehrlich gesagt, ne schwierige Geburt. Habe mich Nächtelang das Telekom-Forum hoch und runtergelesen. ICh gebe Dir mal 4 Links, die ich mir gespeichert hatte. Vor Allem die Internetseite von Alauny ist sehr hilfreich, vor Allem beim Portforwarding. Denn auf dem Speedport kann man nicht einfach alle Ports an das Frittchen weiterleiten und man kann immer nur bestimmte Blöcke weiterleiten. Da hat wohl einer lange gebastelt, bis der Router das geschluckt hat. Aber es funktioniert. Ansonsten ist schlicht und einfach alles aus. Kein WLAN, keine Telefonie, kein DECT, kein NAS, kein WLAN to Go.Nur DSL, LTE, DynDNS und Port-Forwading. Vor Allem keine Einschränkungen, welche orts NICHT über LTE laufen sollen. Dort gar nix blocken und einfach alles zulassen, entgegen jedem Hinweis in irgendwinem Forum. Und die Telekomiker von der Hotline, die sind so unwissend, dass es nicht mal mehr komisch ist. Vergiss die Hotline einfach. Das Telekomhilft Forum ist ganz ok.
https://telekomhilft.telekom.de/t5/Telefonie-Internet/myfritz-VPN-Fritzb ...
https://telekomhilft.telekom.de/t5/Telefonie-Internet/Fritzbox-hinter-de ...
https://telekomhilft.telekom.de/t5/Geraete-Zubehoer/Fritzbox-7590-hinter ...
https://lubensky.de/hybrid/
VPN nur über LTE habe ich noch nicht aktiv ausprobiert. Muss ich gelegentlich nachholen. Aber Telefonie und Fernsehen (MagentaTV) funktionieren ohne Probleme - auch bei DSL-Ausfall. Ach ja, ich habe in meiner "DMZ", an dem Speedort einen DNS-Server Pihole mit Werbefilter am laufen. Der fragt dann direkt meinen bevorzugten DNS-Server im Internet, fungiert als DNS-Chace im eigenen Netz und umgeht dabei gleichzeit die manchmal recht langsamen DNS-Server der Telekom. Läuft problemlos auf nem Raspi. Am Speedport Hybrid kann man die Telekom-Server nämlich nicht umgehen. In einer manuellen Konfiguration lässt sich zwar ein alternativer IPV4 DNS eintragen, aber die IPV6 DNS bleiben weiterhin unverrückbar Telekom-Server. Im Rankiung im Router stehen dann 2x IPV6 auf Platz 1 und 2, Platz 3 und 4 bekommen dann meine eigens eingetragenen IPV4 Server und auf 5 ud 6 stehen dann wieder Telekom-IPV6-Sever. Mit dem Raspi als DNS im eigenen Netz geht's aber wirklich verdsmmt flott.

@aqui: zu Deinem letzten Post muss ich leider sagen: das übersteigt meinen Horizont. ICh habe jetzt auch keine Lust RFC1918 nachzulesen. Was meinst Du denn mit der Abkürzung TO?

Anyhow, mein Fazit aus Euren Beiträgen wird sein, dass ich den Kindern ein VPN aus Handy klatschen muss. Hat nebenbei den Vorteil, dass dann der gesamte Datenverkehr auch über meinen DNS Server daheim läuft und auch so unterwegs die Werbung gefiltert wird.

In diesem Sinne nochmal herzlichen Dank an alle für die Vorschläge und Beiträge.

Der Schotte im Rock
aqui
aqui 04.06.2019 um 12:51:19 Uhr
Goto Top
Ch habe jetzt auch keine Lust RFC1918 nachzulesen.
Simples Klicken reicht !!
https://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche
Was meinst Du denn mit der Abkürzung TO?
TO = Thread Owner
Sorry, aber wenn es an solcherlei Banalitäten schon scheitert bei dir muss man sich doch wohl ernsthafte Sorgen um deine Privatsphäre machen. Blaue Augen hin oder her....
Mit dem VPN bist du aber schon mal auf dem richtigen Weg !
Schottenrock
Schottenrock 04.06.2019 um 13:06:29 Uhr
Goto Top
Ehrlich gesagt, lieber aqui, finde ich die Art und Weise, wie Du mit Dir fremden Menschen sprichst unangebracht. Ich möchte Dich daher bitten zu diesem Thema keine weiteren Beiträge zu schreiben. Ich glaube, ich mehr aufm Kasten als Du denkst und fühle mich mich durch Deine Art und Weise nicht wirklich ernst genommen. Ich habe doch geschrieben, dass ich VPN Zugriff habe und warum ich erst mal einen anderen Weg gesucht habe.

Aber lassen wir das, ich kann mit Deinen Kommentaren, die sicherlich nicht böse gemeint sind, nicht umgehen, oder sie kommen bei mir anders an als Du es meinst.

So long

Der Schotte im Rock