Routerfirewall vs. Firewall
vielleicht auch ein komplett falscher Titel
Hallo
Ich habe mich in den letzten Tagen mit Netzwerken beschäftigt und versuche unser aktuelles Firmennetzwerk ( zu rekonstruieren.
Ich dachte immer, dass unser Netzwerk aus folgenden Komponenten besteht:
Router Zyxel Series 600
Firewall Zywall 2
Switch ?
WLan-Router (Netgear WPN824 fungiert nur als AccessPoint)
Server
Workstations
4 LAN
1 WLAN
Was mir schon länger etwas laienhaft vorkommt ist die Verwendung von 3(4) verschiedenen Komponenten bei Router-Firewall-Accespoint-(Switch)
1. Was ist der Unterschied zwischen einer Firewall im Router und einer separaten Firewall ?
2. Beim Kauf eines Draytek Router mit Firewall (SPI) wird da eine externe Firewall empfohlen? (wird vielleicht bei Frage 1. beantwortet)
3. Ist es möglich, dass eine Firewall (z.B. Zywall 2 WG) teurer ist als ein Router mit Firewall (z.B. Draytek 2800)
Beim Zugang über die IP 192.168.1.1 gelange ich auf die Firewall Zywall 2, irgendwie gelange ich nicht auf die IP des Routers. Reseten möchte ich nicht, da ich sonst nicht sicher bin, ob ich danach alles wieder richtig einstellen kann.
4. Was könnte ich machen, um an die IP des Router ohne Reset zu gelangen?
5. Ist es normal, dass bei der Firewall die WAN ISP Daten hinterlegt sind? Warum?
Neu sollte noch eine Überwachungskamera angeschlossen werden. Im Netzwerk der Firma, kann ich ohne Problem über den Explorer auf die Kamera zugreifen. Wenn ich zuhause eine VPN-Verbindung mit dem Geschäft herstelle, kann ich wohl auf die Firewall über den Explorer zugreifen, aber nicht auf die Kamera. (http://ip:8000)
6. Mit einer VPN Verbindung sollte ich doch ohne Probleme auf die Kamera zugreifen können, wenn es im Netzwerk auch funktioniert. Oder? (wie oben beschrieben, stellt auch der Zugriff auf die Firewall kein Problem dar)
Eigentlich möchte ich sogar eine Verbindung mit der Kamera aufbauen, ohne VPN Verbindung. (Eine fixe IP im Geschäft besteht und das Port Forwarding (8000 -> direkt zur fixen IP der Kamera) habe ich bei der Firewall auch eingerichtet) Falls es nur bei diesem Punkt Probleme geben würde, läge es vermutlich am Router (weil dort kein Port Forwarding eingestellt ist, da ich ja nicht darauf zugreifen kann) aber zurzeit muss es noch eine andere Fehlerquelle haben.
Besten Dank für eure Hilfe !
Gruss
Samuel
PS: Mein Ziel ist es, ein neues Netzwerk in einem anderen Betrieb aufzubauen, wo folgendes möglich sein sollte:
- LAN
- WLAN
- Internet
- VPN
- Sicherheit: Firewall, AntiVirus
- so einfach wie möglich 1 Gerät? (Router, Firewall (VPN), AccessPoint, Switch in einem, oder doch getrennt?)
Hallo
Ich habe mich in den letzten Tagen mit Netzwerken beschäftigt und versuche unser aktuelles Firmennetzwerk ( zu rekonstruieren.
Ich dachte immer, dass unser Netzwerk aus folgenden Komponenten besteht:
Router Zyxel Series 600
Firewall Zywall 2
Switch ?
WLan-Router (Netgear WPN824 fungiert nur als AccessPoint)
Server
Workstations
4 LAN
1 WLAN
Was mir schon länger etwas laienhaft vorkommt ist die Verwendung von 3(4) verschiedenen Komponenten bei Router-Firewall-Accespoint-(Switch)
1. Was ist der Unterschied zwischen einer Firewall im Router und einer separaten Firewall ?
2. Beim Kauf eines Draytek Router mit Firewall (SPI) wird da eine externe Firewall empfohlen? (wird vielleicht bei Frage 1. beantwortet)
3. Ist es möglich, dass eine Firewall (z.B. Zywall 2 WG) teurer ist als ein Router mit Firewall (z.B. Draytek 2800)
Beim Zugang über die IP 192.168.1.1 gelange ich auf die Firewall Zywall 2, irgendwie gelange ich nicht auf die IP des Routers. Reseten möchte ich nicht, da ich sonst nicht sicher bin, ob ich danach alles wieder richtig einstellen kann.
4. Was könnte ich machen, um an die IP des Router ohne Reset zu gelangen?
5. Ist es normal, dass bei der Firewall die WAN ISP Daten hinterlegt sind? Warum?
Neu sollte noch eine Überwachungskamera angeschlossen werden. Im Netzwerk der Firma, kann ich ohne Problem über den Explorer auf die Kamera zugreifen. Wenn ich zuhause eine VPN-Verbindung mit dem Geschäft herstelle, kann ich wohl auf die Firewall über den Explorer zugreifen, aber nicht auf die Kamera. (http://ip:8000)
6. Mit einer VPN Verbindung sollte ich doch ohne Probleme auf die Kamera zugreifen können, wenn es im Netzwerk auch funktioniert. Oder? (wie oben beschrieben, stellt auch der Zugriff auf die Firewall kein Problem dar)
Eigentlich möchte ich sogar eine Verbindung mit der Kamera aufbauen, ohne VPN Verbindung. (Eine fixe IP im Geschäft besteht und das Port Forwarding (8000 -> direkt zur fixen IP der Kamera) habe ich bei der Firewall auch eingerichtet) Falls es nur bei diesem Punkt Probleme geben würde, läge es vermutlich am Router (weil dort kein Port Forwarding eingestellt ist, da ich ja nicht darauf zugreifen kann) aber zurzeit muss es noch eine andere Fehlerquelle haben.
Besten Dank für eure Hilfe !
Gruss
Samuel
PS: Mein Ziel ist es, ein neues Netzwerk in einem anderen Betrieb aufzubauen, wo folgendes möglich sein sollte:
- LAN
- WLAN
- Internet
- VPN
- Sicherheit: Firewall, AntiVirus
- so einfach wie möglich 1 Gerät? (Router, Firewall (VPN), AccessPoint, Switch in einem, oder doch getrennt?)
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 82232
Url: https://administrator.de/contentid/82232
Ausgedruckt am: 26.11.2024 um 12:11 Uhr
9 Kommentare
Neuester Kommentar
In Punkto Firewall hast du eigentlich 3 verschiedene Grundtypen:
-Personal Firewall
Dies ist meist die Software Firewall welche sich auf allen PC wie Servern befinden kann (Anti-
Virus ist ein muss!)
-Hardware Firewall
Wie der Name schon sag ist das ein Firewallgerät welches hinter den Router geklemmt wird.
Zyxel Router haben meist eine integrierte Firewall.
-Proxy
Dieser ist eher um den Internetzugang zu kontrollieren und/oder die verschiedenen Ports zu
verwalten
Wenn du jetzt diene IP-Adress 192.168.1.1 eingibst klemmt der sich auf dem Firewall ein weil du
der Firewall sagen musst dass er dich weiterleiten soll.
Deine Konstruktion scheint relativ gut zu sein wie du sie schilderst aber wenn du sowas versuchst aufzubauen solltest du doch shcon gewisse Kenntnisse haben und ich glaube die scheinst du nicht wirklich zu haben, ich kann mich aber auch irren.
Weist du was ein NAT ist und wie man damit arbeitet? Der NAT ist ein sehr wichtiger Bestandteil eines Routers wie auch einer Firewall.
-Personal Firewall
Dies ist meist die Software Firewall welche sich auf allen PC wie Servern befinden kann (Anti-
Virus ist ein muss!)
-Hardware Firewall
Wie der Name schon sag ist das ein Firewallgerät welches hinter den Router geklemmt wird.
Zyxel Router haben meist eine integrierte Firewall.
-Proxy
Dieser ist eher um den Internetzugang zu kontrollieren und/oder die verschiedenen Ports zu
verwalten
Wenn du jetzt diene IP-Adress 192.168.1.1 eingibst klemmt der sich auf dem Firewall ein weil du
der Firewall sagen musst dass er dich weiterleiten soll.
Deine Konstruktion scheint relativ gut zu sein wie du sie schilderst aber wenn du sowas versuchst aufzubauen solltest du doch shcon gewisse Kenntnisse haben und ich glaube die scheinst du nicht wirklich zu haben, ich kann mich aber auch irren.
Weist du was ein NAT ist und wie man damit arbeitet? Der NAT ist ein sehr wichtiger Bestandteil eines Routers wie auch einer Firewall.
Ob die FW auf dem Router läuft oder ein seperates Gerät ist ist mehr oder weniger egal.
Wenn ein Port zu ist, ist er zu.
Teurere Firewalls unterscheiden sich im Datendurchsatz und in den speziellen Eigenschaften, z.B. um Denial of Service Angriffe zu erkennen und abzuwehren, z. B. halboffene TCP Verbindungen ab einem Limit zu verwerfen.
Um auf die Webcam zuzugreifen muss man den Web-Cam-Port am Router "forwarden" auf die IP der Kamera damit die anfragenden Pakete überhaupt zur Cam gelangen können.
Die Draytec Geräte gefallen mir für kleinere Firmen sehr gut, zumindest nach dem Datenblatt. Wenns sie auch stabil laufen wäre das wohl das Produkt meiner Wahl.
Ich habe in grösseren Umgebungen jedoch eher mit Cisco Maschinen zu tun, die haben einfach einen grösseren Datendurchsatz und verkraften mehr Verbindungen, bei tausenden von Usern kommt man mit einem kleinen Router nicht weit.
Wenn ein Port zu ist, ist er zu.
Teurere Firewalls unterscheiden sich im Datendurchsatz und in den speziellen Eigenschaften, z.B. um Denial of Service Angriffe zu erkennen und abzuwehren, z. B. halboffene TCP Verbindungen ab einem Limit zu verwerfen.
Um auf die Webcam zuzugreifen muss man den Web-Cam-Port am Router "forwarden" auf die IP der Kamera damit die anfragenden Pakete überhaupt zur Cam gelangen können.
Die Draytec Geräte gefallen mir für kleinere Firmen sehr gut, zumindest nach dem Datenblatt. Wenns sie auch stabil laufen wäre das wohl das Produkt meiner Wahl.
Ich habe in grösseren Umgebungen jedoch eher mit Cisco Maschinen zu tun, die haben einfach einen grösseren Datendurchsatz und verkraften mehr Verbindungen, bei tausenden von Usern kommt man mit einem kleinen Router nicht weit.
1. Was ist der Unterschied zwischen einer Firewall im Router und einer separaten Firewall ?
Im Router ist meist nur eine NAT Firewall, die nicht stateful ist. Eine externe Firewall ist meistens eine statueful Firewall (sicherer)
1a. Wenn es praktisch das gleiche ist, warum kostet dann die Zywal 2 WG ca. 300 Euro und der Draytek Router 2800G inkl. Firewall (SPI) nur ca. 150 Euro?
Das ist der unterschied die Software für Stateful und non staeful zu programmieren.
2. Beim Kauf eines Draytek Router mit Firewall (SPI) wird da eine externe Firewall empfohlen? (wird vielleicht bei Frage 1. beantwortet)
Ist sicherer aber auch teurer...
3. Ist es möglich, dass eine Firewall (z.B. Zywall 2 WG) teurer ist als ein Router mit Firewall (z.B. Draytek 2800) (wird vermutlich bei 1a. beantwortet)
Beim Zugang über die IP 192.168.1.1 gelange ich auf die Firewall Zywall 2, irgendwie gelange ich nicht auf die IP des Routers. Reseten möchte ich nicht, da ich sonst nicht sicher bin, ob ich danach alles wieder richtig einstellen kann.
Das verhindern wahrscheinlich die Access Listen der Firewall. Also Firewall entsprechend konfigurieren, das die Zugriffe auf die IP des Routers (Telnet, HTTP etc.) zulässt.
4. Was könnte ich machen, um an die IP des Router ohne Reset zu gelangen?
4a. Wohin weiterleiten?
...auf den Router natürlich, wenn sie dies Packet blockt ! ...logisch ! Wenn alles nichts hilft einen PC direkt am Router anschliessen mit Hub oder Switch und Router direkt connecten ohne durch die FW zu müssen...
5. Ist es normal, dass bei der Firewall die WAN ISP Daten hinterlegt sind? Warum?
Das ist kompletter Unsinn es sei denn der Router ist kein Router und nur ein dummes passives DSL Modem. Oder er ist ein Router der mit dem PPPoE Passthrough Feature zu einem NUR Modem gemacht wurde !
Neu sollte noch eine Überwachungskamera angeschlossen werden. Im Netzwerk der Firma, kann ich ohne Problem über den Explorer auf die Kamera zugreifen. Wenn ich zuhause eine VPN-Verbindung mit dem Geschäft herstelle, kann ich wohl auf die Firewall über den Explorer zugreifen, aber nicht auf die Kamera. (http://ip:8000)
Da fehlt wohl das Port Forwarding bzw. Port Translation vom incoming Port TCP 8000 auf die IP und Port 80 der Kamera. Ggf. benutzt die Kamera auch noch weitere Ports als TCP 80 die dann ebenfalls freigegeben werden müssen.
6. Mit einer VPN Verbindung sollte ich doch ohne Probleme auf die Kamera zugreifen können, wenn es im Netzwerk auch funktioniert. Oder? (wie oben beschrieben, stellt auch der Zugriff auf die Firewall kein Problem dar)
Ja richtig. Eine VPN Verbindung verhält sich wie eine lokale Verbindung im lokalen Netz.
6a. Es besteht die Weiterleitung von Port 8000 -> zur static IP der Kamera (zumindest auf der Firewall) Aber ist dies im lokalen Netz bzw. bei einer VPN Verbindung überhaupt notwendig? (Früher oder später soll die Kamera von jedem Explorer aus erreichbar sein, auch wenn nur zu Übungszwecken, zuerst soll es mal "intern" bzw. über VPN 100% funktionieren.
Du musst ja 2mal forwarden, auf dem Router (sofern er als Router arbeitet ??!) und auf der Firewall. Die Packete müssen ja durch beide Geräte zur Kamera. ggf. fehlt auch noch ein Port wenns nicht nur Port TCP 80 ist.
siehe oben: (Eine fixe IP im Geschäft besteht und das Port Forwarding (8000 -> direkt zur fixen IP der Kamera) habe ich bei der Firewall auch eingerichtet) Wenn ich NAT zumindest oberflächlich verstanden habe, wird ein Portforwarding mit NAT eingerichtet.
Ja aber dir große Frage ist wer NAT macht, der Router, die FW oder beide ??? Ein Punkt den du ja selber nicht weisst scheibar
Ein guter Packet Sniffer wie www.WIRESHARK.de oder der MS NetMonitor
http://www.microsoft.com/downloads/details.aspx?FamilyID=18b1d59d-f4d8- ...
sind ein große Hilfe beim Troubleshooting...
Im Router ist meist nur eine NAT Firewall, die nicht stateful ist. Eine externe Firewall ist meistens eine statueful Firewall (sicherer)
1a. Wenn es praktisch das gleiche ist, warum kostet dann die Zywal 2 WG ca. 300 Euro und der Draytek Router 2800G inkl. Firewall (SPI) nur ca. 150 Euro?
Das ist der unterschied die Software für Stateful und non staeful zu programmieren.
2. Beim Kauf eines Draytek Router mit Firewall (SPI) wird da eine externe Firewall empfohlen? (wird vielleicht bei Frage 1. beantwortet)
Ist sicherer aber auch teurer...
3. Ist es möglich, dass eine Firewall (z.B. Zywall 2 WG) teurer ist als ein Router mit Firewall (z.B. Draytek 2800) (wird vermutlich bei 1a. beantwortet)
Beim Zugang über die IP 192.168.1.1 gelange ich auf die Firewall Zywall 2, irgendwie gelange ich nicht auf die IP des Routers. Reseten möchte ich nicht, da ich sonst nicht sicher bin, ob ich danach alles wieder richtig einstellen kann.
Das verhindern wahrscheinlich die Access Listen der Firewall. Also Firewall entsprechend konfigurieren, das die Zugriffe auf die IP des Routers (Telnet, HTTP etc.) zulässt.
4. Was könnte ich machen, um an die IP des Router ohne Reset zu gelangen?
Wenn du jetzt diene IP-Adress 192.168.1.1 eingibst klemmt der sich auf dem Firewall ein weil >du der Firewall sagen musst dass er dich weiterleiten soll.
4a. Wohin weiterleiten?
...auf den Router natürlich, wenn sie dies Packet blockt ! ...logisch ! Wenn alles nichts hilft einen PC direkt am Router anschliessen mit Hub oder Switch und Router direkt connecten ohne durch die FW zu müssen...
5. Ist es normal, dass bei der Firewall die WAN ISP Daten hinterlegt sind? Warum?
Das ist kompletter Unsinn es sei denn der Router ist kein Router und nur ein dummes passives DSL Modem. Oder er ist ein Router der mit dem PPPoE Passthrough Feature zu einem NUR Modem gemacht wurde !
Neu sollte noch eine Überwachungskamera angeschlossen werden. Im Netzwerk der Firma, kann ich ohne Problem über den Explorer auf die Kamera zugreifen. Wenn ich zuhause eine VPN-Verbindung mit dem Geschäft herstelle, kann ich wohl auf die Firewall über den Explorer zugreifen, aber nicht auf die Kamera. (http://ip:8000)
Da fehlt wohl das Port Forwarding bzw. Port Translation vom incoming Port TCP 8000 auf die IP und Port 80 der Kamera. Ggf. benutzt die Kamera auch noch weitere Ports als TCP 80 die dann ebenfalls freigegeben werden müssen.
6. Mit einer VPN Verbindung sollte ich doch ohne Probleme auf die Kamera zugreifen können, wenn es im Netzwerk auch funktioniert. Oder? (wie oben beschrieben, stellt auch der Zugriff auf die Firewall kein Problem dar)
Ja richtig. Eine VPN Verbindung verhält sich wie eine lokale Verbindung im lokalen Netz.
Um auf die Webcam zuzugreifen muss man den Web-Cam-Port am Router "forwarden" auf die > IP der Kamera damit die anfragenden Pakete überhaupt zur Cam gelangen können.
6a. Es besteht die Weiterleitung von Port 8000 -> zur static IP der Kamera (zumindest auf der Firewall) Aber ist dies im lokalen Netz bzw. bei einer VPN Verbindung überhaupt notwendig? (Früher oder später soll die Kamera von jedem Explorer aus erreichbar sein, auch wenn nur zu Übungszwecken, zuerst soll es mal "intern" bzw. über VPN 100% funktionieren.
Du musst ja 2mal forwarden, auf dem Router (sofern er als Router arbeitet ??!) und auf der Firewall. Die Packete müssen ja durch beide Geräte zur Kamera. ggf. fehlt auch noch ein Port wenns nicht nur Port TCP 80 ist.
Weist du was ein NAT ist und wie man damit arbeitet? Der NAT ist ein sehr wichtiger >Bestandteil eines Routers wie auch einer Firewall.
siehe oben: (Eine fixe IP im Geschäft besteht und das Port Forwarding (8000 -> direkt zur fixen IP der Kamera) habe ich bei der Firewall auch eingerichtet) Wenn ich NAT zumindest oberflächlich verstanden habe, wird ein Portforwarding mit NAT eingerichtet.
Ja aber dir große Frage ist wer NAT macht, der Router, die FW oder beide ??? Ein Punkt den du ja selber nicht weisst scheibar
Ein guter Packet Sniffer wie www.WIRESHARK.de oder der MS NetMonitor
http://www.microsoft.com/downloads/details.aspx?FamilyID=18b1d59d-f4d8- ...
sind ein große Hilfe beim Troubleshooting...
Also, das würd ich nicht unterschreiben, dass Routerfirewalls meist nicht statefull sind.
Die sind doch mittlerweile so gut wie alle statefull, selbst die 50€ WLAN Router bei MediaMurks.
Ob statefull sicherer ist da bin ich auch nicht sicher - es ist jedenfalls "bequemer" da von drinnen nach draussen erstmal alles funktioniert, und Antwortpakete anhand des SYN+Ack auch automatisch durchgelassen werden ohne dass man jeden Pups-Port extra öffnen muss.
Andererseits bläst ein Trojaner-infizierter PC reichlich Spam und anderes Ungemach ins Internet, da die Statefull halt so bequem ist und alles durchlässt was nicht explizit verboten wird per Regel.
Also eine Abwägung zwischen Bequemlichkeit und Sicherheit.
Aber ich glaub das geht jetzt allmählich am Thema vorbei.
Wo waren wir? Maut auf albanischen Autobahnen?
Die sind doch mittlerweile so gut wie alle statefull, selbst die 50€ WLAN Router bei MediaMurks.
Ob statefull sicherer ist da bin ich auch nicht sicher - es ist jedenfalls "bequemer" da von drinnen nach draussen erstmal alles funktioniert, und Antwortpakete anhand des SYN+Ack auch automatisch durchgelassen werden ohne dass man jeden Pups-Port extra öffnen muss.
Andererseits bläst ein Trojaner-infizierter PC reichlich Spam und anderes Ungemach ins Internet, da die Statefull halt so bequem ist und alles durchlässt was nicht explizit verboten wird per Regel.
Also eine Abwägung zwischen Bequemlichkeit und Sicherheit.
Aber ich glaub das geht jetzt allmählich am Thema vorbei.
Wo waren wir? Maut auf albanischen Autobahnen?
ad 1.)
Ja, Draytek ist eine gute Wahl die bieten eine SPI Firewall im Router, da wäre eine zusätzliche externe dann Unsinn.
ad 2.)
Das ist natürlich ein typischer und böser IP Konfigurationsfehler und darf niemals vorkommen ! IP Adressen müssen innerhalb des gleichen IP Netzes einzigartig sein !!!
ad 3.)
Nein, der Zugriff ist immer verweigert per default und du musst ihn explizit zulassen !
ad 4.)
Du musst es ja machen wenn der Router kein eingebautes Modem hat oder du musst ein dediziertes Modem verwenden. Das Modem Feature heisst oft "Bridge" oder "PPPoE Passthrough".
ad 5.)
Mit einer VPN Verbindung benutzt du IP Adressen aus deinem lokalen LAN, was verschlüsselt über einen IPsec (oder PPTP) Tunnel auf den Client PC geleitet wird. Bei einer VPN Verbindung ist also folglich logischerweise kein Port Forwarding nötig, da sich der Client dann wie ein lokal angeschlossener PC verhält !
Kommst du von aussen mit einer öffentlichen IP OHNE VPN Tunnel also mit der reinen datenverbindung musst du zwangsläufig Port Forwarding oder Translation machen.
Du solltest mit einem Packet Snifer wie dem www.WIRESHARK.org oder dem MS-Netmonitor einmal genau nachsehen ob diese Packete an deiner Kamera überhaupt ankommen und ob die Portzuweisung stimmt.
Damit kannst du das Problem schnell und auf Schlag lösen !!
VPN Verbindung:
Ja, wenn dein VPN Server hinter dem Router ist dann benötigst du zwingend eine Port Weiterleitung dahin.
Wenn der Router selber VPN Server ist wie bei den Drayteks, dann ist das nicht nötig. Deshalb ist diese Lösung technisch auch die bessere !
"Der Kamera habe ich eine fixe IP gegeben: 192.168.1.90 Die Firewall hat eine DHCP Range von 192.168.1.51 - 192.168.1.99. "
Diesen IP Unsinn muss man hier wohl nicht weiter kommentieren, oder ??? Das sollte dir auch als Laien schon einleuchten wenn du auf die Wahl der .90 siehst !!!
Die feste IP der Kamera ist mitten in der DHCP Range, was die Gefahr einer IP Doppelbelegung birgt.
Hast du naiv gedacht die Kamera wird dem DHCP Server schon irgendwie sagen das sie mitten in seiner Range liegt und er die .90 doch bitte nicht vergeben soll !! Falsch, beide wissen nichts voneinander und es kann ein IP Chaos mit der .90 drohen !
Das solltest du unbedingt ändern !
Ja, Draytek ist eine gute Wahl die bieten eine SPI Firewall im Router, da wäre eine zusätzliche externe dann Unsinn.
ad 2.)
Das ist natürlich ein typischer und böser IP Konfigurationsfehler und darf niemals vorkommen ! IP Adressen müssen innerhalb des gleichen IP Netzes einzigartig sein !!!
ad 3.)
Nein, der Zugriff ist immer verweigert per default und du musst ihn explizit zulassen !
ad 4.)
Du musst es ja machen wenn der Router kein eingebautes Modem hat oder du musst ein dediziertes Modem verwenden. Das Modem Feature heisst oft "Bridge" oder "PPPoE Passthrough".
ad 5.)
Mit einer VPN Verbindung benutzt du IP Adressen aus deinem lokalen LAN, was verschlüsselt über einen IPsec (oder PPTP) Tunnel auf den Client PC geleitet wird. Bei einer VPN Verbindung ist also folglich logischerweise kein Port Forwarding nötig, da sich der Client dann wie ein lokal angeschlossener PC verhält !
Kommst du von aussen mit einer öffentlichen IP OHNE VPN Tunnel also mit der reinen datenverbindung musst du zwangsläufig Port Forwarding oder Translation machen.
Du solltest mit einem Packet Snifer wie dem www.WIRESHARK.org oder dem MS-Netmonitor einmal genau nachsehen ob diese Packete an deiner Kamera überhaupt ankommen und ob die Portzuweisung stimmt.
Damit kannst du das Problem schnell und auf Schlag lösen !!
VPN Verbindung:
Ja, wenn dein VPN Server hinter dem Router ist dann benötigst du zwingend eine Port Weiterleitung dahin.
Wenn der Router selber VPN Server ist wie bei den Drayteks, dann ist das nicht nötig. Deshalb ist diese Lösung technisch auch die bessere !
"Der Kamera habe ich eine fixe IP gegeben: 192.168.1.90 Die Firewall hat eine DHCP Range von 192.168.1.51 - 192.168.1.99. "
Diesen IP Unsinn muss man hier wohl nicht weiter kommentieren, oder ??? Das sollte dir auch als Laien schon einleuchten wenn du auf die Wahl der .90 siehst !!!
Die feste IP der Kamera ist mitten in der DHCP Range, was die Gefahr einer IP Doppelbelegung birgt.
Hast du naiv gedacht die Kamera wird dem DHCP Server schon irgendwie sagen das sie mitten in seiner Range liegt und er die .90 doch bitte nicht vergeben soll !! Falsch, beide wissen nichts voneinander und es kann ein IP Chaos mit der .90 drohen !
Das solltest du unbedingt ändern !