demetz
Goto Top

WatchGuard XTM22-W Firewall Regel IP Kamera

Hallo,

kurze Frage, stehe etwas auf dem Schlauch glaube ich.

Folgende Situation:

WatchGuard Firewall hängt hinter der FritzBox.

FritzBox:
IP Adresse: 192.168.178.1
Exposd Host Eintrag auf die 192.168.178.2

WatchGuard IP Konifguration
Externel Inteface IP: 192.168.178.2
Port 1 - 5 Bridged Mode Netz 192.168.1.0/24 DHCP 20-200.

Somit geht der komplette Internet Traffic über die WatchGuard Firewall.

Die Netzwerkkameras um die es geht haben die IP Adressen:

192.168.1.5
192.168.1.6

Bisher konnte ich die Kameras immer über die dynDNS die in der FirtzBox eingetragen ist erreichen.
Ports in der FritzBox habe ich damals wie folgt konfiguriert:

Port von 8081 bis 8081
an IP 192.168.1.5 (Cam01)
an Port 80

Wie realisiere ich dies in der WatchGuard Firewall als Regel?

Vielen Dank!

Content-ID: 240385

Url: https://administrator.de/contentid/240385

Ausgedruckt am: 22.11.2024 um 04:11 Uhr

aqui
aqui 07.06.2014 aktualisiert um 14:47:10 Uhr
Goto Top
Somit geht der komplette Internet Traffic über die WatchGuard Firewall.
Nein ! Alles was aus .178.0 /24 ins Internet geht nicht ! Einzig alles was aus .1.0 /24 ins Internet geht !

Du hast jetzt einen Router Kaskade aus 2 NAT Routern, da die Firebox hier wie ein NAT Router anzusehen ist. Beschrieben hier in der "Alternative 2":
Kopplung von 2 Routern am DSL Port
Technisch sehr unschön aber nungut....du hast es ja selber so gewollt.

Nachteil solch eines Konstrukts ist das du nun zwei kaskadierte NAT Firewall Systeme hast ! Logishcerweise musst du nun also 2mal Port Forwarding machen, damit Verbindungen von außen die Kameras erreichen können !
Also...
  • Einmal in der FB wie du es schon hattest nun aber auf die IP der Watchguard
  • Dann auf der Watchguard auf die reellen IPs der Kameras
ACHTUNG: Du musst zwingend die erste Port Forwarding Regel entfernen, denn "exposed Host" nimmt einzig nur alle Ports die NICHT lokal fürs Port Forwarding oder eigene Funktionen der Fritzbox verwendet werden !!
Löschst du also die PFW Regel für TCP 8081 nicht blockt sie die Fritzbox !
Wenn du das beachtest funktioniert es auf Anhieb !
Nochmal ACHTUNG. Bei der Firebox musst du zusätzlich zur Port Forwarding Regel auch noch eingehende TCP Sessions auf dem WAN Port 178.2 für deine Kameras erlauben. Eine Firewall blockt überlicherweise jeglichen eingehenden Traffic !

Nachteil des ganzen Konstrukts:
  • Port Forwarding ist sehr gefährlich, denn damit werden deine Video Daten komplett unverschlüsselt übertragen !! Die ganze Welt kann also ungehindert mitsehen WAS deine Kameras so alles einfangen. OK wenn du nur den Wellensittich von Oma Grete damit beobachtest sicher kein Thema. Bei anderen Daten aber schon !
Vergiss das nicht!
Es ist vollkommen unverständlich warum du hier nicht mit VPNs arbeitest ???
Du setzt zwei ! Komponenten ein die uneingeschränkt VPN fähig sind !
a) Kannst du damit eine verschlüsselte Video Verbindung sicherstellen und b) ersparst du dir vollkommen diese unsägliche Frickelei mit Port Forwarding und FW Regeln ohne zusätzlich Löcher in deine beiden Firewalls zu bohren.

Warum also so ein unsicherer und laienhafter Bastelkram ? Oder ziehst du dir auch die Hose mit der Kneifzange an...vermutlich wohl ja ?!
Fazit: VPN benutzen und gut iss !
demetz
demetz 07.06.2014 um 14:50:55 Uhr
Goto Top
Hallo,

vielen Dank für deine lange Erklärung, jedoch stimmt die nicht so ganz, mit dem Exposed Host Eintrag leite ich alles was
bei der FritzBox an kommt an die FW weiter.

Somit muss ich auf keinen Fall ein Forwarding auf der FritzBox machen, sonst würde das ganze Konstrukt nicht funktionieren.

Ich konnte das Problem jedoch gerade lösen, beim SNAT auf der Firewall hat der Port 80 für die interne Kommunikation im Netz
zur Kamera gefehlt.

Mir ist natürlich klar das die Ports 8081 ... nicht sich sind, jedoch geht es hier um einen Einsatz für eine kurze Zeit, und viele User.

Vielen Dank für die Mit Hilfe.
Pjordorf
Pjordorf 07.06.2014 um 15:27:45 Uhr
Goto Top
Hallo,

Zitat von @demetz:

jedoch stimmt die nicht so ganz, mit dem Exposed Host Eintrag leite ich alles was bei der FritzBox an kommt an die FW weiter.
Aber nur die Ports welche NICHT in eine Portforwarding Regeln genannt sind werden an den Exposed Host geleitet. @aqui hat Recht.

Somit muss ich auf keinen Fall ein Forwarding auf der FritzBox machen, sonst würde das ganze Konstrukt nicht funktionieren.
Du hast aber auch recht mit deiner Aussage, weil du genau das bestätigst was @aqui gesagt hat face-smile

Und es ist aus deinen Informationen nicht eindeutig zu entnehmen das jetzt kein Portforwarding mehr existiert. face-smile Du weist was du wie und wo aufgebaut hast. Wir können nur aus deinen uns genannten geschreibsel entnehmen was du tatsächlich hast. Wir sind zwar geübte Kristallkugelnutzer und haben auch alle einen gültigen Wartungsvertrag bei der Hexeninnung, aber es ist oft nicht eindeutig. face-smile

Ich konnte das Problem jedoch gerade lösen, beim SNAT auf der Firewall hat der Port 80 für die interne Kommunikation im Netz zur Kamera gefehlt.
Im Prinzip nichts anderes was auch deine Frittenschleuder macht, nur eben anders face-smile

jedoch geht es hier um einen Einsatz für eine kurze Zeit, und viele User.
Das schreit doch dann danach die WebCams direkt in die sogenannte DMZ (für Arme) zu stellen, nämlich zwischen Frittenschmiede und Watchguard und einen zusätzlichen Dyndns mit anderen externen Daten für die vielen User zu nutzen, damit dein vermutlich regulärer Dyndns eben nicht rausposaunt werden muss. 2 Portforwardings auf der Frittenschmiede und die Webcams mit einer LAN IP vom Frittennetz versehen. Fertisch. Und dein Netz hinter der Watchguard wird nicht belastet. Natürlich solltest du auch so aus dein Watchguardnetz auf die WebCams zugreifen können. Fertisch, Sauber, ruhig Schlafen können. Nur deine Frittenschleuder und WebCams begrenzen die Anzahl an User ....

Gruß,
Peter
aqui
aqui 07.06.2014 aktualisiert um 20:06:18 Uhr
Goto Top
edoch stimmt die nicht so ganz, mit dem Exposed Host Eintrag leite ich alles was bei der FritzBox an kommt an die FW weiter.
Nein !
Hier irrst du de facto gewaltig. Es wird lediglich das weitergeleitet was die FB nicht selber in irgendwelchen Port Forwarding Statements konfiguriert hat und die Ports auf die sie nicht selber antwortet !
Das ist ein himmelweiter Unterschied ! Hättest du mal das Handbich gelesen, dann hättest du dir diesen Thread erspart...
Kollege Pjordorf hat ja schon alles dazu gesagt oben !
Wenns jetzt klappt ist ja alles gut...