WatchGuard XTM22-W Firewall Regel IP Kamera
Hallo,
kurze Frage, stehe etwas auf dem Schlauch glaube ich.
Folgende Situation:
WatchGuard Firewall hängt hinter der FritzBox.
FritzBox:
IP Adresse: 192.168.178.1
Exposd Host Eintrag auf die 192.168.178.2
WatchGuard IP Konifguration
Externel Inteface IP: 192.168.178.2
Port 1 - 5 Bridged Mode Netz 192.168.1.0/24 DHCP 20-200.
Somit geht der komplette Internet Traffic über die WatchGuard Firewall.
Die Netzwerkkameras um die es geht haben die IP Adressen:
192.168.1.5
192.168.1.6
Bisher konnte ich die Kameras immer über die dynDNS die in der FirtzBox eingetragen ist erreichen.
Ports in der FritzBox habe ich damals wie folgt konfiguriert:
Port von 8081 bis 8081
an IP 192.168.1.5 (Cam01)
an Port 80
Wie realisiere ich dies in der WatchGuard Firewall als Regel?
Vielen Dank!
kurze Frage, stehe etwas auf dem Schlauch glaube ich.
Folgende Situation:
WatchGuard Firewall hängt hinter der FritzBox.
FritzBox:
IP Adresse: 192.168.178.1
Exposd Host Eintrag auf die 192.168.178.2
WatchGuard IP Konifguration
Externel Inteface IP: 192.168.178.2
Port 1 - 5 Bridged Mode Netz 192.168.1.0/24 DHCP 20-200.
Somit geht der komplette Internet Traffic über die WatchGuard Firewall.
Die Netzwerkkameras um die es geht haben die IP Adressen:
192.168.1.5
192.168.1.6
Bisher konnte ich die Kameras immer über die dynDNS die in der FirtzBox eingetragen ist erreichen.
Ports in der FritzBox habe ich damals wie folgt konfiguriert:
Port von 8081 bis 8081
an IP 192.168.1.5 (Cam01)
an Port 80
Wie realisiere ich dies in der WatchGuard Firewall als Regel?
Vielen Dank!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 240385
Url: https://administrator.de/contentid/240385
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
4 Kommentare
Neuester Kommentar
Somit geht der komplette Internet Traffic über die WatchGuard Firewall.
Nein ! Alles was aus .178.0 /24 ins Internet geht nicht ! Einzig alles was aus .1.0 /24 ins Internet geht !Du hast jetzt einen Router Kaskade aus 2 NAT Routern, da die Firebox hier wie ein NAT Router anzusehen ist. Beschrieben hier in der "Alternative 2":
Kopplung von 2 Routern am DSL Port
Technisch sehr unschön aber nungut....du hast es ja selber so gewollt.
Nachteil solch eines Konstrukts ist das du nun zwei kaskadierte NAT Firewall Systeme hast ! Logishcerweise musst du nun also 2mal Port Forwarding machen, damit Verbindungen von außen die Kameras erreichen können !
Also...
- Einmal in der FB wie du es schon hattest nun aber auf die IP der Watchguard
- Dann auf der Watchguard auf die reellen IPs der Kameras
Löschst du also die PFW Regel für TCP 8081 nicht blockt sie die Fritzbox !
Wenn du das beachtest funktioniert es auf Anhieb !
Nochmal ACHTUNG. Bei der Firebox musst du zusätzlich zur Port Forwarding Regel auch noch eingehende TCP Sessions auf dem WAN Port 178.2 für deine Kameras erlauben. Eine Firewall blockt überlicherweise jeglichen eingehenden Traffic !
Nachteil des ganzen Konstrukts:
- Port Forwarding ist sehr gefährlich, denn damit werden deine Video Daten komplett unverschlüsselt übertragen !! Die ganze Welt kann also ungehindert mitsehen WAS deine Kameras so alles einfangen. OK wenn du nur den Wellensittich von Oma Grete damit beobachtest sicher kein Thema. Bei anderen Daten aber schon !
Es ist vollkommen unverständlich warum du hier nicht mit VPNs arbeitest ???
Du setzt zwei ! Komponenten ein die uneingeschränkt VPN fähig sind !
a) Kannst du damit eine verschlüsselte Video Verbindung sicherstellen und b) ersparst du dir vollkommen diese unsägliche Frickelei mit Port Forwarding und FW Regeln ohne zusätzlich Löcher in deine beiden Firewalls zu bohren.
Warum also so ein unsicherer und laienhafter Bastelkram ? Oder ziehst du dir auch die Hose mit der Kneifzange an...vermutlich wohl ja ?!
Fazit: VPN benutzen und gut iss !
Hallo,
Und es ist aus deinen Informationen nicht eindeutig zu entnehmen das jetzt kein Portforwarding mehr existiert. Du weist was du wie und wo aufgebaut hast. Wir können nur aus deinen uns genannten geschreibsel entnehmen was du tatsächlich hast. Wir sind zwar geübte Kristallkugelnutzer und haben auch alle einen gültigen Wartungsvertrag bei der Hexeninnung, aber es ist oft nicht eindeutig.
Gruß,
Peter
jedoch stimmt die nicht so ganz, mit dem Exposed Host Eintrag leite ich alles was bei der FritzBox an kommt an die FW weiter.
Aber nur die Ports welche NICHT in eine Portforwarding Regeln genannt sind werden an den Exposed Host geleitet. @aqui hat Recht.Somit muss ich auf keinen Fall ein Forwarding auf der FritzBox machen, sonst würde das ganze Konstrukt nicht funktionieren.
Du hast aber auch recht mit deiner Aussage, weil du genau das bestätigst was @aqui gesagt hat Und es ist aus deinen Informationen nicht eindeutig zu entnehmen das jetzt kein Portforwarding mehr existiert. Du weist was du wie und wo aufgebaut hast. Wir können nur aus deinen uns genannten geschreibsel entnehmen was du tatsächlich hast. Wir sind zwar geübte Kristallkugelnutzer und haben auch alle einen gültigen Wartungsvertrag bei der Hexeninnung, aber es ist oft nicht eindeutig.
Ich konnte das Problem jedoch gerade lösen, beim SNAT auf der Firewall hat der Port 80 für die interne Kommunikation im Netz zur Kamera gefehlt.
Im Prinzip nichts anderes was auch deine Frittenschleuder macht, nur eben anders jedoch geht es hier um einen Einsatz für eine kurze Zeit, und viele User.
Das schreit doch dann danach die WebCams direkt in die sogenannte DMZ (für Arme) zu stellen, nämlich zwischen Frittenschmiede und Watchguard und einen zusätzlichen Dyndns mit anderen externen Daten für die vielen User zu nutzen, damit dein vermutlich regulärer Dyndns eben nicht rausposaunt werden muss. 2 Portforwardings auf der Frittenschmiede und die Webcams mit einer LAN IP vom Frittennetz versehen. Fertisch. Und dein Netz hinter der Watchguard wird nicht belastet. Natürlich solltest du auch so aus dein Watchguardnetz auf die WebCams zugreifen können. Fertisch, Sauber, ruhig Schlafen können. Nur deine Frittenschleuder und WebCams begrenzen die Anzahl an User ....Gruß,
Peter
edoch stimmt die nicht so ganz, mit dem Exposed Host Eintrag leite ich alles was bei der FritzBox an kommt an die FW weiter.
Nein !Hier irrst du de facto gewaltig. Es wird lediglich das weitergeleitet was die FB nicht selber in irgendwelchen Port Forwarding Statements konfiguriert hat und die Ports auf die sie nicht selber antwortet !
Das ist ein himmelweiter Unterschied ! Hättest du mal das Handbich gelesen, dann hättest du dir diesen Thread erspart...
Kollege Pjordorf hat ja schon alles dazu gesagt oben !
Wenns jetzt klappt ist ja alles gut...