NAT und Portforwarding für IP Kameras durch mehrere Router ( mit Bildern )

[skorpion1800]

Hallo liebe Forengemeinde,

im Heimnetzwerk haben wir zuerst eine o2 Homebox 6441
hier habe ich wie man anhand der Bilder sehen kann in der Homebox die Ports freigeschaltet:



das ist von der Homebox zur Fritzbox 7490
in der Fritzbox selbst habe ich natürlich das mit der IP Kamera an sich relativ leicht einrichten können,
NUR bekommt man die Aufforderung:





diese direkt am Internet anzuschließen, da es sonst nicht funktioniert, ABER:

ich kann von unterwegs wie man sehen kann schon mit dem Handy und der MyFritzApp auf das Routermenü doch zugreifen:



auch ist es kein Problem, sich da ja passend über die App anzumelden ( was ja logisch ist, sonst hätte man ja keinen Zugriff auf die Benutzeroberfläche der fritzbox usw...):




Ist am Portforwarding was falsch eingestellt? Auch wenn man von der Homebox direkt die IP der ESP32 Kamera des 3D Druckers freigibt, kommt man auch nicht direkt weiter.
Woran kann dies noch liegen?
Bitte erstmal Aussagen wie:" Dann schschließe die Fritzbox als erstes am Internet an" außen vor lassen...
Der letzt Schritt fehlt da leider noch, das man auf das Interface selbst des Exposed Host der Kamera zugreifen kann.

Grüße
Patrick

 

[the other]

Moinsen,
was genau willst du denn erreichen? Die Kamera direkt aus dem Netz ansprechen?
Du wählst dich dazu vermutlich per DynDNS auf deine o2 Homebox ein, hast dort zwei Portweiterleitungen eingerichtet mit den Ports 80 sowie 4irgendwas (anonymisiert).
Zeigen denn die Weiterleitungen auch auf das passende Gerät (Kamera) und nutzt du auch die dafür nötigen Ports?
Oder zeigt deine Weiterleitung nur zur Fritzbox hinter der o2 Box?
Soll die Kamera selber erreicht werden, oder soll nur die Fritzbox erreicht werden, weil ggf über deren Menu die Kamera angesteuert wird?
Entschuldige die vielen Rückfragen, aber so ganz hab ich dein Ansinnen nicht verstanden (was vermutlich an meinem Erkältungskopf liegt)...

 

[skorpion1800]

vielen lieben herzlichen Dank @the other,
das sind sogar genau die richtigen Fragen

Also:

Moinsen,
was genau willst du denn erreichen? Die Kamera direkt aus dem Netz ansprechen?

unter anderem ja. Das dient jetzt mal zur Einrichtung, mit dem was man gerade so zur Verfügung hat und was da einem zur Verfügung auch steht usw.
Also erstmal nur die Kameras, damit dies funktioniert.

Du wählst dich dazu vermutlich per DynDNS auf deine o2 Homebox ein, hast dort zwei Portweiterleitungen eingerichtet mit den Ports 80 sowie 4irgendwas (anonymisiert).

Also DynDNS habe ich bisher noch NICHT aktiviert bzw. genutzt.
Ich weiß, das ich es brauchen werde, aber geht gerade auch so, da ich ja Router etc. ansprechen kann.
Port 80 sowie den 4xxxx Port habe ich einfach mal sowohl in der Homebox ALS AUCH in der Fritzbox ausprobiert, da ich nicht bisher direkt die Wege über die Boxen des Portforwardings bzw. die Logik und Steuerung dahinter kenne.

Zeigen denn die Weiterleitungen auch auf das passende Gerät (Kamera) und nutzt du auch die dafür nötigen Ports?

an sich ja... die IP Adressen sind richtig, ( ich kann es ja am Browser am PC zu hause aufrufen, in der Fritzbox ist auch eingestellt, das immer die gleiche IP Adresse an diese vergeben soll usw.. nur mit dem Portforwarding probiere ich gerade noch rum... aber die Port "müssten" ja auch stimmen, da diese in den Links hinten dran stehen teils... ( 192.168.188.58:4xxxx )

Oder zeigt deine Weiterleitung nur zur Fritzbox hinter der o2 Box?

Sowohl als ob.. bin gerade am durchtesten und habe nun alle Einstellungen / Optionen durch, das ich das Problem nun hier mal anspreche...

Soll die Kamera selber erreicht werden, oder soll nur die Fritzbox erreicht werden, weil ggf über deren Menu die Kamera angesteuert wird?

Macht so keinen direkten Unterschied. Ob man jetzt die Kamera direkt über den Link aufruft ( das war von Fritz so ein spezieller.. )
/ oder die IP,
oder ob man es über das Routermenü der Fritzbox macht bzw. der Weboberfläche der FritzboxAPP
( Hier dürfte es ja "nur" Unterschiede im Anmeldeverfahren geben etc. )

Entschuldige die vielen Rückfragen, aber so ganz hab ich dein Ansinnen nicht verstanden (was vermutlich an meinem Erkältungskopf liegt)...

Ich hoffe das konnte erstmal soweit helfen, und wollte nicht gleich dermaßen mit Infos sprengen, das es unübersichtlich wird etc...

Grüße

 

[the other]

Moinsen,
Also mal generell und aus meiner (sehr) persönlichen Perspektive:
Wenn ich Dienste im Heimnetz auch von extern nutze, dann mache ich das hier immer über einen VPN Zugang. Direkt gebe ich keine Dienste nach aussen frei.

Wenn du eine Portweiterleitung einrichtest, dann benötigst du Kenntnisse darüber, welche Ports diese Dienste nutzen. Denn um diese anzusprechen, wird ja in der Regel die interne (private) IP plus der jeweiligen Port des Dienstes benötigt.
Beispiel: um zb die Anmeldemaske meines NAS zu erreichen brauche ich die IP (oder Namen) des Gerätes plus den Port, der für http oder https vorgesehen ist auf dem NAS.
Du musst also dann (mit IPv4) von extern erst auf die öffentliche (dslite??) adresse deines Internetrouters, dessen eingerichtete Portweiterleitung schickt die Anfrage auf die IP und den Port der Kamera dann weiter zu selbiger, die deine externe Anfrage dann beantwortet. In vereinfachter Kurzform...
Allerdings ist das nicht gerade eine sichere Methode, denn Portweiterleitung ist generell ne Krücke und durchlöchert deinen Schutz des eigenen LANs. Besser daher zb mit VPN zu arbeiten, denn dann reduziert sich das Sicherheitsrisiko deutlich.
Jm2c

 

[skorpion1800]

Ich will das gar nicht sagen, das ich Fachinformatiker für digitale Vernetzung vor paar monaten abgelegt habe,
nur mit dem VPN einrichten...
ich habe da "zu viele Baustellen" von Proxmox Server, wo Pi-Hole noch nicht stabil zuverlässig läuft, bis über 7 Monitore wo hunderte Tabs auf je 7 Browsern geöffnet sind, bis über Hardwarefirewalls die noch nicht eingerichtet sind, über die Gast-Wlan-Netze im Heimnetz vom Vermieter was ich verwalte... Also Fritz hatte gerade die Möglichkeit geboten, das ultra einfach und schnell per 1 Klick Option einzurichten, über die Risiken bin ich vertraut und bewusst.

Ist jetzt nur die Frage, wie am besten bzw."schnellsten" einrichten, da ich "nebenbei" noch intensiv auf hochtouren Python lerne usw...
nur Grundverständnis ist schon da...
sollte einfach gehen, und das man da nicht stundenlang sich den Kopf zerbricht und tagelang dran rummacht nach der Arbeit...

Danke und... wie am besten weitermachen?
Weil der Hide.me VPN bietet diese Option nicht, und selber einrichten... hmmm... ( an sich aber gerne... ) muss es ja können und lernen..

Grüße

 

[the other]

Moinsen,
Tja, was soll ich sagen?
Spontan fällt mir dazu ein...
...viel hilft nicht immer viel...
...sortier dir dein Netzwerk und dokumentier es für dich nachvollziehbar...
...brach liegende Geräte (Hardware firewalls) bei Bedarf einsetzen und auf Stand bringen...
...oder eben mal schnell vpn einrichten. Mit der fritzbox ist das in 10 Minuten erledigt. Wie es mit der o2 Box aussieht, keine Ahnung.
Aber als

Fachinformatiker für digitale Vernetzung

findest du da sicher einen wesentlich eleganteren Weg.
Mehr Ideen als s.o. hab ich dann nicht...viel Glück!

 

[skorpion1800]

findest du da sicher einen wesentlich eleganteren Weg.
Mehr Ideen als s.o. hab ich dann nicht...viel Glück!

Da bin ich jetzt wieder genau am Anfangsproblem,
weil den VPN mit der Fritzbox ist ja eingerichtet, an der Homebox kommt man ja somit "vorbei" weil man auf die Fritzbox zugreifen kann, nur auf die Clients selbst nicht über den Webbrowser...

Und das wird sich noch über Monate so hinweg ziehen... da ist nichts mal zwischendurch irgendwie in Ordnung zu bringen, weil immer neues Zeugs konstant hinzukommt...

Also kann / könnte es somit nur noch am Portforwarding selbst liegen? Das geht aus dem www. über die Homebox an die Fritzbox und von dort an die Cam, das das Portforwarding direkt von Homebox zur Cam eingerichtet werden sollte? ( weil anders macht es sogar noch mehr faxen,... ) ( was irgendwie komisch und unlogisch auch wiederum ist.. )

 

[the other]

Moinsen,
Keine Ahnung, was du da an vpn eingerichtet hast.
Deine fritzbox scheint im ip client Modus zu arbeiten. Die routet also nix.
Wenn du per vpn also auf deine homebox gehst, dann sollten alle Geräte dahinter so erreichbar sein, als wärst du zuhause. Warum du dann noch extra pwl für Kamera oder anderes einrichtest, ergibt für mein Verständnis keinen Sinn.
Ich selber neige generell dazu: erst muss das LAN für sich a) funktionieren b)dokumentiert sein (Geräte, IPs, MAC Adressen, ggf Subnetze, dhcp, dns, welche Dienste für welche ports usw) und c)ein Backup für all den Kram vorhanden sein.
Dann überlege ich mir den externen Zugriff (wie, was, wer, womit).
Daher kann ich dir hier eben nur wiederholt raten: gib nicht einfach mal einen Port in die Portweiterleitung ein, wenn du nicht genau weißt warum.
Und auch wenn du im ersten Post geschrieben hast, dass du solche Empfehlungen nicht möchtest:
Ich rat dazu, wenn möglich die fritzbox ans WAN deines ISP zu hängen, dort dann den vpn Server zu nutzen und die myfritz Adresse. Das ist schnell eingerichtet und sollte dein Problem theoretisch lösen.

 

[blurrrr]

weil immer neues Zeugs konstant hinzukommt...

"Priorisierung" und "Fokus" (und ja, mitunter bleibt mal einfach etwas länger liegen, damit Du etwas anderes auch "fertig" bekommst)

Vielleicht beschreibst Du Deinen Aufbau/die Konfiguration mal etwas detailierter ("geht nicht" ist eher weniger hilfreich beim Troubleshooting). Ansonsten Portfreigaben/-weiterleitung mal löschen, Box neustarten und die Sachen wieder neu anlegen (Fritzbox ist da manchmal etwas zickig meiner bisherigen Erfahrung nach). Ansonsten Traffic mitschneiden und Pakete analysieren.

 

[Spielebernd]

Wenn ich dein aktuelles Setup richtig deute ist MyFritz eingerichtet was ein DynDNS ist kein VPN. Hier bekommst du die Meldung das diese keine öffentliche IPv4 Adresse hat und somit nicht aus dem Internet erreichbar ist. Das die Apps gehen liegt daran das du über IPv6 aufrufst.

Portfreigaben sind lediglich auf IPv4 eingerichtet keine auf IPv6. Bedeutet greift du über MyFritz auf die Kamera zu wird das nicht funktionieren.

Ist die FB 7490 im IP-Client Modus brauchst du in Ihr auch keine Portfreigaben da die Firewall sowie so deaktiviert ist.

Wie @blurrrr schon geschrieben hat beschreib bitte deinen Aufbau nochmal etwas besser vor allem wie die FB eingerichtet ist und was vorhanden ist öffentliche oder private IPv4 wie sieht’s mit IPv6 aus?

 

[skorpion1800]

Jungs,

einen vielen lieben herzlichen Dank erstmal,
ja, den Aufbau habe ich schon teils gemacht in einer Grafik usw,
und werde es die nächsten Tage nochmal überarbeiten usw. und mich dann nochmal melden. Das Netzwerk steht ja schon, läuft auch, muss nur verfeinert und angepasst werden. Erstmal danke soweit!