17
VPN-Tunnel für Webcam-Fernzugriff ohne Adminrechte auf Router (Portforwarding) möglich?
Hallo zusammen,
vielleicht weiß jemand, wie ich es schaffe, vom PC 1 an Standort A auf PC 2 an Standort B zuzugreifen bzw. die Webcam an Standort B über PC 2 aufzurufen.
Standort A:
- Fritzbox mit Vollzugriff
- Dyndns-Adresse vorhanden
- Windows 7 PC 1
Standort B:
- Speedport (keinerlei Zugriff, keine Portforwardings vorhanden)
- Dyndns-Adresse vorhanden
- Windows 10 PC 2 (fungiert als Werbe-PC-Display, läuft dauernd, nicht als Remotearbeitsplatz nutzbar)
- trotzdem jederzeitiger Fernzugriff per Teamviewer auf PC 2 möglich
- Webcam im selben WLAN
Ich möchte grundsätzlich nur folgendes erreichen: Die Webcam an Standort B soll von Standort A aufgerufen werden können. Da ich an Standort B keine Portforwardings einrichten kann, wird wohl der einzige Weg sein, eine (VPN-)Verbindung von B aus nach A aufzubauen, nicht umgekehrt. Mehr weiß ich dann aber leider auch schon nicht.
Um die Webcam zu sehen, muss sich mein Browser an PC 1 ja quasi (virtuell) im WLAN von Standort B befinden und das dürfte wohl nur irgendwie per VPN möglich sein. Allerdings sollte unbedingt vermieden werden, dass andere Geräte im WLAN von Standort B dann über den Tunnel auf mein Netzwerk an Standort A zugreifen können.
Vielleicht kann man auch irgendwie sowas wie einen Proxy auf PC 2 installieren, der die Webcam zu PC 1 an Standort A umleitet?
Vielen Dank für eine Idee.
vielleicht weiß jemand, wie ich es schaffe, vom PC 1 an Standort A auf PC 2 an Standort B zuzugreifen bzw. die Webcam an Standort B über PC 2 aufzurufen.
Standort A:
- Fritzbox mit Vollzugriff
- Dyndns-Adresse vorhanden
- Windows 7 PC 1
Standort B:
- Speedport (keinerlei Zugriff, keine Portforwardings vorhanden)
- Dyndns-Adresse vorhanden
- Windows 10 PC 2 (fungiert als Werbe-PC-Display, läuft dauernd, nicht als Remotearbeitsplatz nutzbar)
- trotzdem jederzeitiger Fernzugriff per Teamviewer auf PC 2 möglich
- Webcam im selben WLAN
Ich möchte grundsätzlich nur folgendes erreichen: Die Webcam an Standort B soll von Standort A aufgerufen werden können. Da ich an Standort B keine Portforwardings einrichten kann, wird wohl der einzige Weg sein, eine (VPN-)Verbindung von B aus nach A aufzubauen, nicht umgekehrt. Mehr weiß ich dann aber leider auch schon nicht.
Um die Webcam zu sehen, muss sich mein Browser an PC 1 ja quasi (virtuell) im WLAN von Standort B befinden und das dürfte wohl nur irgendwie per VPN möglich sein. Allerdings sollte unbedingt vermieden werden, dass andere Geräte im WLAN von Standort B dann über den Tunnel auf mein Netzwerk an Standort A zugreifen können.
Vielleicht kann man auch irgendwie sowas wie einen Proxy auf PC 2 installieren, der die Webcam zu PC 1 an Standort A umleitet?
Vielen Dank für eine Idee.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 387707
Url: https://administrator.de/contentid/387707
Ausgedruckt am: 26.11.2024 um 08:11 Uhr
17 Kommentare
Neuester Kommentar
Guten morgen,
ist das ein Produktivnetz und bist du berechtigt dazu, solche Dinge einzurichten?
Deiner Schreibweise nach klingt es so, das ist jetzt nicht böse gemeint, als wenn du nicht viel Hintergrundwissen zu der Thematik hast?
Wenn du dich nicht damit auskennst, solltest du das eventuell jemanden machen lassen, der Ahnung davon hat, sonst schaffst du dir wohlmöglich unbewusst Sicherheitslücken ins Haus, die nicht gut ausgehen können.
Gruß
ist das ein Produktivnetz und bist du berechtigt dazu, solche Dinge einzurichten?
Deiner Schreibweise nach klingt es so, das ist jetzt nicht böse gemeint, als wenn du nicht viel Hintergrundwissen zu der Thematik hast?
Wenn du dich nicht damit auskennst, solltest du das eventuell jemanden machen lassen, der Ahnung davon hat, sonst schaffst du dir wohlmöglich unbewusst Sicherheitslücken ins Haus, die nicht gut ausgehen können.
Gruß
Ja und ja.
Mit den Tiefen von VPN kenn ich mich nur bedingt aus, nutze aber z.B. vom Smartphone bei Bedarf aus einen Tunnel zur Fritzbox.
Genau weil ich für das Szenario keine wirkliche Lösung weiß, fragte ich hier, damit ich nicht versehentlich etwas umsetze, was kontraproduktiv ist. Vielleicht gibt es ja noch einen anderen Weg, der einfacher ist, ohne großes VPN-Gefummel. Will ja nur die Webcam von außen erreichen können (Kamera ist natürlich für sich passwortgeschützt).
Mit den Tiefen von VPN kenn ich mich nur bedingt aus, nutze aber z.B. vom Smartphone bei Bedarf aus einen Tunnel zur Fritzbox.
Genau weil ich für das Szenario keine wirkliche Lösung weiß, fragte ich hier, damit ich nicht versehentlich etwas umsetze, was kontraproduktiv ist. Vielleicht gibt es ja noch einen anderen Weg, der einfacher ist, ohne großes VPN-Gefummel. Will ja nur die Webcam von außen erreichen können (Kamera ist natürlich für sich passwortgeschützt).
wie ich es schaffe, vom PC 1 an Standort A auf PC 2 an Standort B zuzugreifen
Generell macht man sowas kinderleicht und einfach indem man beide Netze mit einem VPN koppelt oder noch einfacher nur den PC1 sich als VPN Client am Router, Firewall oder VPN Server am Standort B anmelden zu lassen.Als VPN Client arbeitet er dann wie ein lokale Rechner am Standort B.
Simples, einfaches, klassisches VPN Konzept wie es millionenfach gemacht wird.
Die Ausrüstung dort mit einem Speedport Schrottrouter ist natürlich nicht zielführend mit so einem Projekt.
Nicht nur das dieser üble Router kein VPN supportet, er hat auch bekanntermaßen Schwächen im Port Forwarding von VPN Protokollen wie IPsec, L2TP usw.
Hier kann man dir nur dringenst anraten diesen Router auszutauschen gegen eine FritzBox die von sich aus VPNs supportet oder du betreibst ihn in einer Kaskade mit einem VPN Router oder Firewall.
Siehe dazu auch hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Ob du als VPN Protokoll IPsec, L2TP oder OpenVPN nutzt spielt keine Rolle.
Da ich an Standort B keine Portforwardings einrichten kann, wird wohl der einzige Weg sein, eine (VPN-)Verbindung von B aus nach A aufzubauen
Ja ! Das ist in der Tat so, dann hast du keinerlei Chancen und musst den Speedport Router dort austauschen !Ist so oder so anzuraten, da das so ziemlich das Übelste und schlechteste an Routerhardware ist was man sich hinstellen kann. Generell gilt das aber auch für alle Provider Router. Ist ja auch klar, denn wenn sie was verschenken ist das natürlich nur das minimalste und mickrigste. Die Provider wollen nur dein monatliches Geld und dich nicht mit Premium Hardware beglücken. Ökonomie Grundschule....
Um die Webcam zu sehen, muss sich mein Browser an PC 1 ja quasi (virtuell) im WLAN von Standort B befinden und das dürfte wohl nur irgendwie per VPN möglich sein
Genau richtig !Genau DAS ist ja der tiefere Sinn und die Funktion eines VPNs !
dass andere Geräte im WLAN von Standort B dann über den Tunnel auf mein Netzwerk an Standort A zugreifen können.
Dafür gibt es ja entsprechende Access Listen auf Router und Firewall um sowas einfach und sicher umzusetzen:IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
usw. usw.
Vielleicht kann man auch irgendwie sowas wie einen Proxy auf PC 2 installieren
Nein ! Geht nicht.Denn das würde ja wieder zwingend ein Port Forwarding auf dem Router an Standort B voraussetzen um diese Daten aus dem Internet dann auf das entsprechende gerät zu forwarden. Hast du ausgeschlossen. Das hat auch einen guten Grund.
Denn so gewährst du dann mit dem simplen Port Forwarding wieder dem ganzen Internet gänzlich ungeschützt Zugriff auf diese Kamera Daten was sicher nicht dein Ziel ist, oder ?
Mit einem VPN ist das sicher und verschlüsselt und daran führt kein Weg für dich vorbei unter deinen vorgegebenen Umständen !
Fazit:
Ein einfacher VPN Router an Standort B entweder als Kaskade zum Speedport oder technisch besser, als Austausch zum Speedport, löst deine Aufgabe im Handumdrehen und ist wie bereits gesagt millionfache Praxis für die es eigentlich keinen Thread in einem Admin Forum bedurft hätte....
Vielen Dank für Deine Infos.
Leider kann ich den Speedport nicht tauschen. Wir haben an Standort B vom Speedport-Besitzer einfach nur WLAN-Zugriff gewährt bekommen, um unseren PC dort ans Internet anschließen zu können. Sonst wäre ich schon am Ziel, denn diese Konstellation hab ich ja schon mit Smartphone und meiner eigenen Fritzbox am laufen.
Das ist ja das Blöde, ich brauch jetzt praktisch eine umgekehrte Lösung, weiß aber keine.
Leider kann ich den Speedport nicht tauschen. Wir haben an Standort B vom Speedport-Besitzer einfach nur WLAN-Zugriff gewährt bekommen, um unseren PC dort ans Internet anschließen zu können. Sonst wäre ich schon am Ziel, denn diese Konstellation hab ich ja schon mit Smartphone und meiner eigenen Fritzbox am laufen.
Das ist ja das Blöde, ich brauch jetzt praktisch eine umgekehrte Lösung, weiß aber keine.
Da bist du dann chancenlos unter diesen Bedingungen...
Case closed.
Ist es also umgekehrt nicht möglich, den entfernten PC 2 und die Webcam per VPN (aufgebaut seitens des PC 2 zur Fritzbox) in mein Netz am Standort A einzubinden?
Doch, du hast recht, den Weg könnte man gehen. Sorry, das hatte ich im Eifer des (VPN) Gefechts nicht auf dem Radar 
Das ist sogar recht einfach und schnell umzusetzen.
Du konfigurierst dir einen VPN Zugang auf deiner FritzBox:
https://avm.de/service/vpn/uebersicht/
Dann nimmst du den PC 2 (Win10) der auf Speedport Seite steht, spielst dir da den AVM VPN Fernuzugangs Client drauf und baust das VPN zu deiner FritzBox von dieser Seite aus auf.
Das hat den Vorteil das du dann dort keinerlei Anpassungen am Speedport machen musst.
Damit ist dann der PC 2 direkt mit deinem lokalen Netz an der FritzBox per VPN Vewrbunden und du kannst von allen deinen Endgeräten in deinem FritzBox LAN auf diesen PC 2 zugreifen und von dem dann auf alle Komponenten im Speedport Netz.
Das würde so problemlos klappen. Voraussetzung natürlich das du mit deiner FritzBox keinen DS-Lite Anschluss hast bei deinem Provider !
https://www.heise.de/ct/ausgabe/2013-6-Internet-Dienste-trotz-DS-Lite-nu ...
Sorry nochmal für die (VPN) Verwirrung !
Das ist sogar recht einfach und schnell umzusetzen.
Du konfigurierst dir einen VPN Zugang auf deiner FritzBox:
https://avm.de/service/vpn/uebersicht/
Dann nimmst du den PC 2 (Win10) der auf Speedport Seite steht, spielst dir da den AVM VPN Fernuzugangs Client drauf und baust das VPN zu deiner FritzBox von dieser Seite aus auf.
Das hat den Vorteil das du dann dort keinerlei Anpassungen am Speedport machen musst.
Damit ist dann der PC 2 direkt mit deinem lokalen Netz an der FritzBox per VPN Vewrbunden und du kannst von allen deinen Endgeräten in deinem FritzBox LAN auf diesen PC 2 zugreifen und von dem dann auf alle Komponenten im Speedport Netz.
Das würde so problemlos klappen. Voraussetzung natürlich das du mit deiner FritzBox keinen DS-Lite Anschluss hast bei deinem Provider !
https://www.heise.de/ct/ausgabe/2013-6-Internet-Dienste-trotz-DS-Lite-nu ...
Sorry nochmal für die (VPN) Verwirrung !
Besten Dank.
Mal ganz konkret gedacht:
Die Fritzbox hat das Netz 192.168.100.0/24 und der Speedport vermutlich 192.168.2.0/24. Wenn der PC 2 sich nun per VPN zur Fritzbox verbunden hat, kann ich dann auf dem PC 1 an Standort A einfach die IP der Webcam (z.B. 192.168.2.30) aufrufen? Ginge das nicht eigentlich nur, wenn sich der Speedport direkt mit der Fritzbox verkoppelt hätte?
Oder kann ich dann tatsächlich nur auf den PC 2 zugreifen und nicht direkt auf die Webcam an Standort B?
Dann bräuchte ich ja zusätzlich noch sowas wie einen Proxy auf dem PC 2, der die Webcam auf diese Weise per VPN zugreifbar macht, oder?
Mal ganz konkret gedacht:
Die Fritzbox hat das Netz 192.168.100.0/24 und der Speedport vermutlich 192.168.2.0/24. Wenn der PC 2 sich nun per VPN zur Fritzbox verbunden hat, kann ich dann auf dem PC 1 an Standort A einfach die IP der Webcam (z.B. 192.168.2.30) aufrufen? Ginge das nicht eigentlich nur, wenn sich der Speedport direkt mit der Fritzbox verkoppelt hätte?
Oder kann ich dann tatsächlich nur auf den PC 2 zugreifen und nicht direkt auf die Webcam an Standort B?
Dann bräuchte ich ja zusätzlich noch sowas wie einen Proxy auf dem PC 2, der die Webcam auf diese Weise per VPN zugreifbar macht, oder?
kann ich dann auf dem PC 1 an Standort A einfach die IP der Webcam (z.B. 192.168.2.30) aufrufen?
Nein, das geht so ohne weiteres nicht !Erstmal ist ja dann nur der PC 2 mit deinem Netzwerk verbunden. Du kannst also erstmal rein nur auf den PC 2 zugreifen und sonst auf keine andere Komponente im lokalen Netz am Speedport !
Der PC 2 hat zwar noch ein Bein im LAN in dem lokalen Netz aber bei Windows ist per Default das IP Routing deaktiviert und du kannst so nicht vom VPN Adapter Netz auf das lokale Netz zugreifen.
Siehe dazu auch hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
und speziell hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Auch wenn man Das Routing aktivieren würde am PC 2, was ja problemlos geht, scheiterst du gleich wieder am Speedport Schrottrouter
Damit du die Webcam erreichen kannst müsste diese dein VPN IP Netz kennen.
Da sie ja den Speedport als Default Gateway eingetragen hat müsste dort eine statische IP Route auf dem Speedport konfiguriert werden, damit der IP Traffic der Webcam wieder den PC 2 und damit den VPN Tunnel zu dir erreichen kann.
Soweit so gut und auch machbar. Wäre da nicht diese üble Speedport Gurke
Diese ist ziemlich kastriert in den Features und supportet nämlich kein statische Routing was alle anderen "normalen" Router wie z.B. deine FritzBox können.
Man könnte es mit einer statischen Route auf der Kamera selber einfach lösen aber vermutlich ist die eine feste Appliance und nicht mit IP Routing konfigurierbar.
Besser wäre es dann gewesen du hättest einen Raspberry Pi mit Kamera, da wäre es dann kein Problem.
Fazit:
Keine Chance (nun aber wirklich !) andere Geräte im Speedport Netz zu erreichen ! Es geht nur PC 2.
Das was geht ist eine RDP Verbindung auf den PC 2 via VPN und dann kannst du dort in der RDP Session vom PC 2 die Kamera öffnen.
Mehr ist wirklich nicht drin unter diesen Voraussetzungen.
Es sei denn....man tauscht den gruseligen Speedport gegen einen Router der den Namen auch verdient
OK, Danke 
Die Kamera kann das leider nicht und auf den Speedport komme ich wie gesagt auch nicht. Da der Bildschirm des PC 2 ein Werbedisplay ist, kann ich den natürlich auch nicht nehmen, um die Kamera von außen indirekt per RDP anschauen. Kann man denn nicht irgendwie einen Umleitungsservice im Hintergrund auf dem PC laufen lassen, der Port 80 von der Webcam auf dem PC 2 zum Abtransport per VPN anbietet? Das meinte ich mit Proxy.
PS: Also ich meine damit, dass auf dem PC 2 eine SW läuft, die den Traffic der Webcam von z.B. 192.168.2.30:80 auf 192.168.100.25:8080 auf dem PC 2 umlenkt?
Die Kamera kann das leider nicht und auf den Speedport komme ich wie gesagt auch nicht. Da der Bildschirm des PC 2 ein Werbedisplay ist, kann ich den natürlich auch nicht nehmen, um die Kamera von außen indirekt per RDP anschauen. Kann man denn nicht irgendwie einen Umleitungsservice im Hintergrund auf dem PC laufen lassen, der Port 80 von der Webcam auf dem PC 2 zum Abtransport per VPN anbietet? Das meinte ich mit Proxy.
PS: Also ich meine damit, dass auf dem PC 2 eine SW läuft, die den Traffic der Webcam von z.B. 192.168.2.30:80 auf 192.168.100.25:8080 auf dem PC 2 umlenkt?
Die Kamera kann das leider nicht und auf den Speedport komme ich wie gesagt auch nicht.
Das war alles bekannt, deshalb ist eben nur das möglich was oben beschrieben ist.die den Traffic der Webcam von z.B. 192.168.2.30:80 auf 192.168.100.25:8080 auf dem PC 2 umlenkt?
Ja, das würde gehen mit folgendem Trick:- Auf der Webcam als Default Gateway die IP Adresse des PC 2 einstellen. Damit routet dann die Webcam allen Traffic zu unbekannten IP Netzen statt zum Speedport an den PC 2.
- IP Routing (IPv4 Forwarding) im PC 2 über die Registry oder Powershell aktivieren
- Das lokale IP Netz im VPN der FritzBox konfigurieren, das Traffic für das Speedport IP Netz von deinem lokalen Netz auch in den VPN Tunnel geroutet wird.
Die Frage ist letztlich warum du dir nicht einen kleinen 35 Euro Raspberry Pi oder noch besser einen kleinen Mikrotik Router wie den hexLite dort ins Netzwerk klemmst und das damit machst ?!
Das ist doch erheblich stressfreier, denn du musst nicht auf dem Werbe PC rumfrickeln und hast für 35 Euro ein eigenes Gerät dort was ungestört dein WebCam VPN realisiert unabhängig von dem PC.
Wäre doch letztlich sinnvoller ?!
Das klingt schon sehr nach Gewurstel, wie ich das seh, aber klar, ist ja so nicht anders möglich.
Was genau meinst Du mit der Pi-/hexLite-Lösung?
Würde sich das Gerät dann mit der Fritzbox per VPN verbinden? Und wie würde man den Router dort am Standort B ins WLAN einbinden bzw. wie die Kamera daran anbinden? Das ist mir noch unklar.
Was genau meinst Du mit der Pi-/hexLite-Lösung?
Würde sich das Gerät dann mit der Fritzbox per VPN verbinden? Und wie würde man den Router dort am Standort B ins WLAN einbinden bzw. wie die Kamera daran anbinden? Das ist mir noch unklar.
Ein Bild sagt mehr als 1000 Worte...
Wenn du Spanisch sprichst und dein Gegenüber auch sollte es ja keine Probleme bei der Kommunikation geben, oder ?!
Der Mikrotik und auch der RasPi haben ein WLAN Modulan Bord was sich einfach als WLAN Client konfigurieren lässt so das sie sich ins vorhandene WLAN einklinken können.
Die Kamera dort ist ja schon im Netz.
Noch besser wäre es natürlich wenn die Kamera deine eigene ist und du sie ins separate lokale LAN des Mikrotik legen könntest.
Das wäre technisch ideal und du wärst isoliert von neugierigen Mitguckern aus dem Speedport Netz.
Dann sähe das Design so aus:
Technisch gesehen wäre das die beste Lösung.
Würde sich das Gerät dann mit der Fritzbox per VPN verbinden?
Die Frage kannst du dir ja eigentlich selber beantworten... Die FritzBox spricht IPsec als VPN der Mikrotik oder auch der RasPi kann IPsec als VPN und IPsec ist ein weltweiter Standard.Wenn du Spanisch sprichst und dein Gegenüber auch sollte es ja keine Probleme bei der Kommunikation geben, oder ?!
Und wie würde man den Router dort am Standort B ins WLAN einbinden bzw. wie die Kamera daran anbinden? Das ist mir noch unklar.
Schaue aufs Bild oben !!Der Mikrotik und auch der RasPi haben ein WLAN Modulan Bord was sich einfach als WLAN Client konfigurieren lässt so das sie sich ins vorhandene WLAN einklinken können.
Die Kamera dort ist ja schon im Netz.
Noch besser wäre es natürlich wenn die Kamera deine eigene ist und du sie ins separate lokale LAN des Mikrotik legen könntest.
Das wäre technisch ideal und du wärst isoliert von neugierigen Mitguckern aus dem Speedport Netz.
Dann sähe das Design so aus:
Technisch gesehen wäre das die beste Lösung.
Cool, vielen Dank. So versteh ich das.
Die Kamera gehört mir, ja, kann ich einstellen, was ich will. Aber sie hat nur WLAN, kein LAN. Der Mikrotik kann nicht zufällig gleichzeitig Client und AP sein? Dann könnte ich die Kamera direkt am WLAN des Mikrotik anmelden.
Was ist denn das kleinstmögliche (bzgl. Leistungsumfang/Preis) Gerät von Mikrotik, das hierfür geeignet wäre? Einen Pi will ich nicht wirklich aufsetzen, das ist unnötiges "Neuland" ;)
Die Kamera gehört mir, ja, kann ich einstellen, was ich will. Aber sie hat nur WLAN, kein LAN. Der Mikrotik kann nicht zufällig gleichzeitig Client und AP sein? Dann könnte ich die Kamera direkt am WLAN des Mikrotik anmelden.
Was ist denn das kleinstmögliche (bzgl. Leistungsumfang/Preis) Gerät von Mikrotik, das hierfür geeignet wäre? Einen Pi will ich nicht wirklich aufsetzen, das ist unnötiges "Neuland" ;)
Der Mikrotik kann nicht zufällig gleichzeitig Client und AP sein?
Nein, das geht leider nicht, das kann kein AP der Welt weil der WiFi Standard sowas nicht vorsieht !Du müsstest dir dann einen WLAN Client Adapter für die Kamera beschaffen.
https://www.amazon.de/Vonets-VAP11G-WiFi-Bridge-Dongle/dp/B005OIB6XI/ref ...
Was ist denn das kleinstmögliche (bzgl. Leistungsumfang/Preis) Gerät von Mikrotik, das hierfür geeignet wäre?
Das wäre ein hAP lite:https://varia-store.com/de/produkt/1514-mikrotik-rb941-2nd-tc-hap-lite-m ...
Super, vielen Dank!
Immer gerne wieder...
Wenn's das denn war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen.
Wenn's das denn war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen.
