tr1plx
Goto Top

Zugriff auf Netzwerk ohne public-IP

Hallo Admins,

ich habe folgendes Problem, bei dem ich nicht weiterkomme:

In einer Ferienwohnung im Ausland gibt es kostenloses WLAN 24/7. Eine Ubiqiti NanoStation am Balkon verbindet sich als client, ein per LAN daran angeschlossener TP-Link Router mit OpenWRT-Firmware spannt ein "privates WLAN" in der Wohnung auf. Die Internetverbindung funktioniert einwandfrei.

Nun sollen Überwachungs-IP-Kameras installiert werden im "privaten WLAN" - problem hier: Da ich am "Hauptrouter" kein Portforwarding einrichten kann habe ich kein Zugriff von extern auf die Kameras. Meine Überlegung hier war: Der OpenWRT Router baut als OpenVPN-Client eine Verbindung zu meinem OpenVPN Server auf und per Portforwarding komme ich dann auf die Kameras.

Nur leider habe ich keine Ahnung wie genau ich das einrichte (OpenWRT-Router muss statische IP vom Openvpn Server bekommen, Portforwarding auf die Kameras im WLAN ?)

Wer kann mir hierzu Tips geben ?

Content-ID: 321652

Url: https://administrator.de/forum/zugriff-auf-netzwerk-ohne-public-ip-321652.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

michi1983
michi1983 21.11.2016 um 15:33:37 Uhr
Goto Top
Hallo,

hast du denn einen OpenVPN Server zur Verfügung der eine statische public IP hat oder zumindest per DynDNS etc. erreichbar ist?

Falls ja ist das relativ einfach. Du baust einfach vom OpenWRT Router eine LAN to LAN Verbindung zu deinem OpenVPN Server auf und gut ist.
Damit musst du keine Ports mehr weiterleiten, da du ja über den Tunnel eh mit dem Netz verbunden bist.
Den IP Cams gibst du dann statische IP Adressen aus dem LAN und über die greifst du dann zu.

Gruß
tr1plx
tr1plx 21.11.2016 um 15:40:24 Uhr
Goto Top
Hi,

ja ich habe zu Hause einen OpenVPN Server auf einem Raspberry PI 2 laufen (für meine mobilen Endgeräte). Dort ist ein DualStack Anschluß mit public IPv4 und dyndns.

Nur versuche ich gerade rauszubekommen wie das mit der LAN-to-LAN Verbindung funktioniert. Bisher hatte ich nur Point-to-Point Verbindungen....
michi1983
michi1983 21.11.2016 um 15:58:29 Uhr
Goto Top
Zitat von @tr1plx:
Nur versuche ich gerade rauszubekommen wie das mit der LAN-to-LAN Verbindung funktioniert. Bisher hatte ich nur Point-to-Point Verbindungen....
Ist doch das selbe!
tr1plx
tr1plx 21.11.2016 um 16:22:27 Uhr
Goto Top
ok, aber ich versteh noch nicht ganz.

Standort zu Hause:
Netz 192.168.55.0/24 - erreichbar von extern über <meindyndns>
IPCam 1: 192.168.55.10 -> NAT von Port 443 intern auf 8434 extern - Kamera über https://<meindyndns>:8434 erreichbar
IPCam 2: 192.168.55.11 -> NAT von Port 443 intern auf 8435 extern - Kamera über https://<meindyndns>:8435 erreichbar
IPCam 3: ..... usw.

OpenVPN Server 192.168.55.20 - vergibt den Clients Adressen aus Netz 192.168.200.0/24 - Range 192.168.200.6 - 192.168.200.220

Standort Ferienwohnung:
Nanostation als Client im "offenen WLAN" - LAN-Kabel an WAN-Port des privaten Routers.
Dieser macht das Netz 192.168.10.0/24 - Verbindet sich als OpenVPN-Client und bekommt eine IP vom 192.168.200.0/24-Netz

Wie erreiche ich nun eine Kamera (bspw. die 192.168.10.20) über https://<meinednydns>:<portXY> ?

Gruß
Andi
Herbrich19
Herbrich19 23.11.2016 um 01:22:24 Uhr
Goto Top
'Ich hatte das Problem damals auch, am besten ist wie erwähnt eine VPN Verbindung und ohne Public IP tut es ein einfacher Linux V-Server der als Gateway Fungiert auch. Dann werden die Portweiterleitngen am VPS gemacht und der routet den Traffic über ein VPN deiner wahl (OpenVPN?) zum VPN-Gateway und dieses ist dann ja schon im Lokalen Netz und so kommst du dann auf deine Kameras rauf.
tr1plx
tr1plx 23.11.2016 um 10:49:49 Uhr
Goto Top
Ich hab gestern getestet und bin ein gutes Stück weiter, bzw. kurz vorm Ziel.

Standort zu Hause: Raspberry PI mit Debian als OpenVPN Server (192.168.55.20)
Standort Ferienwohnung (zum Testen Standort Büro): TP-Link Router mit OpenVPN Client (192.168.10.0/24) - hier ist eine Kamera an 192.168.10.20

Konfiguriert als Site-to-Site-VPN - ich kann von 192.168.10.0/24 alle Clients in 192.168.55.0/24 pingen und umgekehrt. Die Fritzbox auf 192.168.55.1 braucht hierzu eine statische IPv4-Route für 192.168.10.0/24 mit Gateway 192.168.55.20 (openvpn-Server)

Was aber noch nicht funktioniert ist, wenn ich am Standort 192.168.55.0/24 Portforwarding auf 192.168.10.20:443 mache. Aber ein Windowsclient 192.168.55.100 kommt auf die 192.168.10.20:443 weil er von der Fritzbox die Route mitbekommt. Wieso klappt das nicht mit Portforwarding ?

Ich bin kurz davor eine "cloud-basierte" IPCam zu kaufen, wie die Dinger von TP-Link. Dazu braucht man nur einen kostenlosen Cloudaccount und kann sich Portforwarding oder VPN sparen.
michi1983
michi1983 23.11.2016 um 10:55:11 Uhr
Goto Top
Ich verstehe noch immer nicht ganz genau warum du ein Portforwarding machen möchtest.
Warum öffnest du nicht zu Hause (192.168.55.0/24) einfach einen Browser und tippst dort die 192.168.10.20 in der Adresszeile ein.
Da kommst du dann ja auf die Cam oder?
Herbrich19
Herbrich19 23.11.2016 um 11:09:45 Uhr
Goto Top
Er möchte von draußen auf die Cams zugreifen.
michi1983
michi1983 23.11.2016 um 11:12:54 Uhr
Goto Top
Zitat von @Herbrich19:
Er möchte von draußen auf die Cams zugreifen.
Ja dann soll er von draußen auch ein VPN zu sich nach Hause aufbauen, dann hat er ja wieder Zugriff auf beide Seiten.
tr1plx
tr1plx 23.11.2016 um 11:16:18 Uhr
Goto Top
Ja... ein Portforwarding vereinfacht den Zugriff von extern. Ansonsten müsste ich von extern wieder ein VPN ins Heimnetz aufbauen.
Alternativ könnte ich über die Surveillance-Station übers NAS Zugriff auf das Kamerabild erhalten.
tr1plx
tr1plx 23.11.2016 um 11:19:01 Uhr
Goto Top
Das ist schon richtig. Beim Smartphone wäre das aber ein weiterer Schritt: VPN Verbindung aufbauen, dann Kamera-App öffnen, dann VPN Verbindung abbauen. Über Portforwarding wäre das einfacher ...
michi1983
michi1983 23.11.2016 aktualisiert um 11:32:32 Uhr
Goto Top
Zitat von @tr1plx:
Über Portforwarding wäre das einfacher ...
Und weniger sicher face-wink
Aber das ist ein anderes Thema.
Wenn du die Cams aber eh über die Surveillance Station der Synology einbinden kannst, würde ich das auf jeden Fall bevorzugen um ehrlich zu sein.
VPN vom Handy nach Hause (das sind 2 Clicks am Screen) und dann DS Cam öffnen. Dann hast du mit 3 Clicks alle Cams in der Übersicht.
tr1plx
tr1plx 23.11.2016 um 11:35:33 Uhr
Goto Top
Klar ist das weniger sicher, aber da die Kameras keine sensiblen Bilder übermitteln sondern nur den Garten und den Eingangsbereich ist mir das relativ egal. Ich denke ein sicheres Passwort und https statt http tut es hier.

Spätestens wenn ich verschiedenen Usern Zugriff zu den Kameras gewähren möchte wäre ein simples Portforwarding die beste Lösung.
Herbrich19
Herbrich19 23.11.2016 um 11:53:01 Uhr
Goto Top
Hallo,

Wen du den ganzen Internet zugrif gewähren möchtest ja. Man denke nur an Botnetze wie Mirai die sich solcher Geräte bemächtigen wollen. (Nur als Erweitertes Blickfeld für's Risiko).

Ein VPN einzurichten ist nicht schwer, und ein VPN zu benutzen auch nicht, mag sein das die Klicks am anfang erstmal nerven aber irgendwann gewöhnt man sich dran erst eine VPN Verbindung aufzubauen und dann ist auch kein großes ding mehr.

Gruß an die IT-Welt,
J Herbrich