Liebes Forum,
folgendes Setup: nicht vertraueswürdige China IP Cam in Heimnetz -> Raspberry PI mit FHEM im Heimnetz aber aus Internet über Router erreichbar mit dynamic DNS.
Auf dem PI is nun der IP CAM Stream als Iframe eingebettet, offnet man dies aber von extern, kann man den Stream nicht erreichen, da er eine interne IP hat.
Frage: Wie löst man dieses Problem? Meine Idee war die IPtables vom PI so zu bearbeiten, dass ich den Stream so einbinde, als ob er auf den PI sei, geht das? Und wenn ja wie? Oder gibt es andere möglichkeiten?
Danke im Voraus
Gruß
Frosch
Problem interne IPCam über RPI von außen zu ereichen
- Frosch6669
- Beiträge: 155
- Registriert: 02.07.2003 23:16:49
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Hamburg
-
Kontaktdaten:
Re: Problem interne IPCam über RPI von außen zu ereichen
Die Vertraueswürdigkeit der Kamera steigt nicht dadurch, daß du sie über den Raspi routest, forwardest oder sonstwie zugänglich machst.
Ich nehme mal an, daß du die Kamera über Port 80 (HTTP) und/oder Port 443 (HTTPS) ansprechen kannst. Natürlich kann man die Ports mit iptables vom Raspi auf die Kamera forwarden, Sicherheit gewinnst du damit allerdings nicht, wenn das von aussen erreichbar gemacht wird.
Ich würde ja damit anfangen, den Raspi nicht direkt von aussen erreichbar zu machen, indem du nur über VPN auf den Raspi zugreifst. Damit erledigt sich das Problem, daß du nicht von aussen auf die Kamera kommst, von alleine, weil du dich via VPN ins LAN tunnelst und so auch auf alle Geräte im LAN, die nur über lokale IP-Adressen erreichbar sind, zugreifen kannst.
Das vermutlich bereits eingerichtete Portforwarding vom Router auf den Raspi solltest du wieder löschen.
Ich nehme mal an, daß du die Kamera über Port 80 (HTTP) und/oder Port 443 (HTTPS) ansprechen kannst. Natürlich kann man die Ports mit iptables vom Raspi auf die Kamera forwarden, Sicherheit gewinnst du damit allerdings nicht, wenn das von aussen erreichbar gemacht wird.
Ich würde ja damit anfangen, den Raspi nicht direkt von aussen erreichbar zu machen, indem du nur über VPN auf den Raspi zugreifst. Damit erledigt sich das Problem, daß du nicht von aussen auf die Kamera kommst, von alleine, weil du dich via VPN ins LAN tunnelst und so auch auf alle Geräte im LAN, die nur über lokale IP-Adressen erreichbar sind, zugreifen kannst.
Das vermutlich bereits eingerichtete Portforwarding vom Router auf den Raspi solltest du wieder löschen.
- Gharika
- Beiträge: 209
- Registriert: 28.09.2004 16:51:51
- Lizenz eigener Beiträge: GNU Free Documentation License
Re: Problem interne IPCam über RPI von außen zu ereichen
Würde auch eher VPN dafür vorschlagen. Habe so etwas ähnliches bereits am Laufen. Hilfreich war folgende Anleitung: https://wiki.debian.org/OpenVPN sowie sslh, falls nur HTTP/S von außen erlaubt ist. Desweiteren gibt es z.B. openvpn in der portable version, mit einer passenden config funktioniert das fast von überall.
Beleidigungen sind die Argumente derer, die unrecht haben.
-- Jean Jacques Rousseau
-- Jean Jacques Rousseau
Re: Problem interne IPCam über RPI von außen zu ereichen
Du solltest mindestens sicherstellen, dass die Kamera nicht ins Internet ihre Datenpakete routen kann. Z.B. kannst du dafür eine Firewall verwenden, der Kamera kein Default-GW mitteilen oder vielleicht ein viel zu großes IP-Subnetz (/0) unterschieben. Wobei das habe ich auch noch nie probiert. Keine Ahnung ob das überhaupt geht.
- Frosch6669
- Beiträge: 155
- Registriert: 02.07.2003 23:16:49
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Hamburg
-
Kontaktdaten:
Re: Problem interne IPCam über RPI von außen zu ereichen
Hallo,
vielen Dank für die Antworten, an VPN habe ich auch schon gedacht. Sicherer is es, aber komplizierter. Mir ging es nicht darum, dass die Kamera unsichere Firmware hat (was zu 100% so ist), sondern das die Firmware nach draußen telefonieren könnte. Deshalb kann die Kamera auch nicht ins internet gehen im Moment. Nur um darauf zu zugreifen dachte ich den Datenverkehr durch den Raspberry zu routen.
Mir ist aber noch nicht klar, warum dieses Routing keine gute Idee sein soll?
Gruß
Frosch
vielen Dank für die Antworten, an VPN habe ich auch schon gedacht. Sicherer is es, aber komplizierter. Mir ging es nicht darum, dass die Kamera unsichere Firmware hat (was zu 100% so ist), sondern das die Firmware nach draußen telefonieren könnte. Deshalb kann die Kamera auch nicht ins internet gehen im Moment. Nur um darauf zu zugreifen dachte ich den Datenverkehr durch den Raspberry zu routen.
Mir ist aber noch nicht klar, warum dieses Routing keine gute Idee sein soll?
Gruß
Frosch
-
- Beiträge: 395
- Registriert: 22.10.2006 20:24:59
- Lizenz eigener Beiträge: MIT Lizenz
Re: Problem interne IPCam über RPI von außen zu ereichen
Du hast doch sicher der Kamera eine IP-Adresse im LAN zugewiesen. Wenn Du jetzt den Datenverkehr der Kamera einfach nur über den Raspberry PI routest, kann die Kamera doch trotzdem nach Hause telefonieren, nur über einen Netzknoten mehr.Mir ist aber noch nicht klar, warum dieses Routing keine gute Idee sein soll?
Sinn machen würde dann z.B. eine Firewall-Regel auf dem Raspberry PI, die die Datenpakete der Kamera in Richtung Internet verwirft, siehe den Beitrag von uname.
Wegen des Zugriffs auf den Datenstrom der Kamera würde ich auch die Lösung von MSfree bevorzugen, ich habe das auch schon mal so gemacht und das geht sehr gut. Du greifst mit Hilfe den VPN ja dann quasi nur aus dem LAN auf die Kamera zu.
VG Theophil
Re: Problem interne IPCam über RPI von außen zu ereichen
Der Camera den Zugang ins Internet zu verbieten halte ich auch für ne gute Idee. Meine Cams sind alle vollständig im Router gesperrt, die können auch nicht raus. Aber hast Du Dir mal Gedanken darüber gemacht, wie Du den Pi absicherst, wenn Du den vom Internet aus zugänglich machst? Das ist die wirklich wichtige Frage.... wie sicherst Du den Pi gegen Einbruchs-Versuche aus dem Web ab? Also der Zugriff über DynDNS enthält hat keine Sicherheit, dass ist ja nur die Namensauflösung Deines Routers zuhause, weil Du unterwegs seine WAN-IP nicht kennst. Da musst Du Dir mal eine Lösung überlegen. Ich würde das auf jeden Fall und unbedingt auch über OpenVPN lösen.Frosch6669 hat geschrieben:vielen Dank für die Antworten, an VPN habe ich auch schon gedacht. Sicherer is es, aber komplizierter. Mir ging es nicht darum, dass die Kamera unsichere Firmware hat (was zu 100% so ist), sondern das die Firmware nach draußen telefonieren könnte. Deshalb kann die Kamera auch nicht ins internet gehen im Moment. Nur um darauf zu zugreifen dachte ich den Datenverkehr durch den Raspberry zu routen.
Und mal ganz nebenbei gefragt.... was soll das bringen, wenn man der Cam den Pi als Gateway einträgt und dort die IP-Pakete dann umständlich über Iptables regelt? Viel einfacher ist es doch, der Cam auf dem Router eine feste IP zu vergeben und die dort zu sperren.
-
- Beiträge: 395
- Registriert: 22.10.2006 20:24:59
- Lizenz eigener Beiträge: MIT Lizenz
Re: Problem interne IPCam über RPI von außen zu ereichen
Frosch6669, evtl. könnte noch motion das tun, was Du möchtest. Das ist ein Kommandozeilenprogramm zur Kamera-Überwachung [1]. Ich habe damit vor längerer Zeit mal experimentiert, die Software beinhaltet einen Webserver, der Kamerabilder oder Videos ausliefert, und zwar ohne html-Verweis auf die IP-Adresse der Kamera. Für den Zugriff auf den Webserver ist eine Authentifizierung möglich.
Allerdings hast Du dann wieder ein Sicherheitsproblem, weil Du den motion-Webserver aus dem Internet zugänglich machen musst. Wie das Tool selbst vom Sicherheitsaspekt her einzuschätzen ist, kann ich nicht beurteilen.
Wie schon mehrfach gesagt ist die VPN-Lösung sicherlich besser, die Einrichtung nicht so kompliziert und openvpn gut dokumentiert, z.B. [2],[3]
TomL, natürlich ist es vom Netzwerk her gesehen einfacher und klarer, die Kamera auf dem Router zu sperren. Das war auch nur als Beispiel gedacht, womit dieses Routing irgendeinen Sinn machen würde.
Auf der anderen Seite - will Frosch6669 vielleicht seiner Kamera gestatten, Bilder auf seinen FTP-Server im Web hochzuladen? Solch eine differenzierte Paketfilterung Richtung Internet können z.B. die Fritzboxen nicht. Und so eine kleine iptables-Filterregel finde ich auch nicht so viel umständlicher, als mich auf dem Router durch die Menus zu klicken ...
VG Theophil
[1] http://www.linux-magazin.de/Ausgaben/20 ... berwachung
[2] https://openvpn.net/index.php/open-sour ... howto.html
[3] https://sarwiki.informatik.hu-berlin.de ... deutsch%29
Allerdings hast Du dann wieder ein Sicherheitsproblem, weil Du den motion-Webserver aus dem Internet zugänglich machen musst. Wie das Tool selbst vom Sicherheitsaspekt her einzuschätzen ist, kann ich nicht beurteilen.
Wie schon mehrfach gesagt ist die VPN-Lösung sicherlich besser, die Einrichtung nicht so kompliziert und openvpn gut dokumentiert, z.B. [2],[3]
TomL, natürlich ist es vom Netzwerk her gesehen einfacher und klarer, die Kamera auf dem Router zu sperren. Das war auch nur als Beispiel gedacht, womit dieses Routing irgendeinen Sinn machen würde.
Auf der anderen Seite - will Frosch6669 vielleicht seiner Kamera gestatten, Bilder auf seinen FTP-Server im Web hochzuladen? Solch eine differenzierte Paketfilterung Richtung Internet können z.B. die Fritzboxen nicht. Und so eine kleine iptables-Filterregel finde ich auch nicht so viel umständlicher, als mich auf dem Router durch die Menus zu klicken ...
VG Theophil
[1] http://www.linux-magazin.de/Ausgaben/20 ... berwachung
[2] https://openvpn.net/index.php/open-sour ... howto.html
[3] https://sarwiki.informatik.hu-berlin.de ... deutsch%29