Problem interne IPCam über RPI von außen zu ereichen

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
Benutzeravatar
Frosch6669
Beiträge: 155
Registriert: 02.07.2003 23:16:49
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Hamburg
Kontaktdaten:

Problem interne IPCam über RPI von außen zu ereichen

Beitrag von Frosch6669 » 18.01.2017 09:46:42

Liebes Forum,

folgendes Setup: nicht vertraueswürdige China IP Cam in Heimnetz -> Raspberry PI mit FHEM im Heimnetz aber aus Internet über Router erreichbar mit dynamic DNS.
Auf dem PI is nun der IP CAM Stream als Iframe eingebettet, offnet man dies aber von extern, kann man den Stream nicht erreichen, da er eine interne IP hat.

Frage: Wie löst man dieses Problem? Meine Idee war die IPtables vom PI so zu bearbeiten, dass ich den Stream so einbinde, als ob er auf den PI sei, geht das? Und wenn ja wie? Oder gibt es andere möglichkeiten?

Danke im Voraus :roll:

Gruß
Frosch

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Problem interne IPCam über RPI von außen zu ereichen

Beitrag von MSfree » 18.01.2017 10:40:41

Die Vertraueswürdigkeit der Kamera steigt nicht dadurch, daß du sie über den Raspi routest, forwardest oder sonstwie zugänglich machst.

Ich nehme mal an, daß du die Kamera über Port 80 (HTTP) und/oder Port 443 (HTTPS) ansprechen kannst. Natürlich kann man die Ports mit iptables vom Raspi auf die Kamera forwarden, Sicherheit gewinnst du damit allerdings nicht, wenn das von aussen erreichbar gemacht wird.

Ich würde ja damit anfangen, den Raspi nicht direkt von aussen erreichbar zu machen, indem du nur über VPN auf den Raspi zugreifst. Damit erledigt sich das Problem, daß du nicht von aussen auf die Kamera kommst, von alleine, weil du dich via VPN ins LAN tunnelst und so auch auf alle Geräte im LAN, die nur über lokale IP-Adressen erreichbar sind, zugreifen kannst.

Das vermutlich bereits eingerichtete Portforwarding vom Router auf den Raspi solltest du wieder löschen.

Benutzeravatar
Gharika
Beiträge: 209
Registriert: 28.09.2004 16:51:51
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Problem interne IPCam über RPI von außen zu ereichen

Beitrag von Gharika » 18.01.2017 15:13:18

Würde auch eher VPN dafür vorschlagen. Habe so etwas ähnliches bereits am Laufen. Hilfreich war folgende Anleitung: https://wiki.debian.org/OpenVPN sowie sslh, falls nur HTTP/S von außen erlaubt ist. Desweiteren gibt es z.B. openvpn in der portable version, mit einer passenden config funktioniert das fast von überall.
Beleidigungen sind die Argumente derer, die unrecht haben.

-- Jean Jacques Rousseau

uname
Beiträge: 12044
Registriert: 03.06.2008 09:33:02

Re: Problem interne IPCam über RPI von außen zu ereichen

Beitrag von uname » 18.01.2017 15:33:39

Du solltest mindestens sicherstellen, dass die Kamera nicht ins Internet ihre Datenpakete routen kann. Z.B. kannst du dafür eine Firewall verwenden, der Kamera kein Default-GW mitteilen oder vielleicht ein viel zu großes IP-Subnetz (/0) unterschieben. Wobei das habe ich auch noch nie probiert. Keine Ahnung ob das überhaupt geht.

Benutzeravatar
Frosch6669
Beiträge: 155
Registriert: 02.07.2003 23:16:49
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Hamburg
Kontaktdaten:

Re: Problem interne IPCam über RPI von außen zu ereichen

Beitrag von Frosch6669 » 20.01.2017 18:22:12

Hallo,

vielen Dank für die Antworten, an VPN habe ich auch schon gedacht. Sicherer is es, aber komplizierter. Mir ging es nicht darum, dass die Kamera unsichere Firmware hat (was zu 100% so ist), sondern das die Firmware nach draußen telefonieren könnte. Deshalb kann die Kamera auch nicht ins internet gehen im Moment. Nur um darauf zu zugreifen dachte ich den Datenverkehr durch den Raspberry zu routen.

Mir ist aber noch nicht klar, warum dieses Routing keine gute Idee sein soll?

Gruß
Frosch

Theophil T.
Beiträge: 394
Registriert: 22.10.2006 20:24:59
Lizenz eigener Beiträge: MIT Lizenz

Re: Problem interne IPCam über RPI von außen zu ereichen

Beitrag von Theophil T. » 20.01.2017 20:04:41

Mir ist aber noch nicht klar, warum dieses Routing keine gute Idee sein soll?
Du hast doch sicher der Kamera eine IP-Adresse im LAN zugewiesen. Wenn Du jetzt den Datenverkehr der Kamera einfach nur über den Raspberry PI routest, kann die Kamera doch trotzdem nach Hause telefonieren, nur über einen Netzknoten mehr.
Sinn machen würde dann z.B. eine Firewall-Regel auf dem Raspberry PI, die die Datenpakete der Kamera in Richtung Internet verwirft, siehe den Beitrag von uname.

Wegen des Zugriffs auf den Datenstrom der Kamera würde ich auch die Lösung von MSfree bevorzugen, ich habe das auch schon mal so gemacht und das geht sehr gut. Du greifst mit Hilfe den VPN ja dann quasi nur aus dem LAN auf die Kamera zu.

VG Theophil

TomL

Re: Problem interne IPCam über RPI von außen zu ereichen

Beitrag von TomL » 20.01.2017 20:07:56

Frosch6669 hat geschrieben:vielen Dank für die Antworten, an VPN habe ich auch schon gedacht. Sicherer is es, aber komplizierter. Mir ging es nicht darum, dass die Kamera unsichere Firmware hat (was zu 100% so ist), sondern das die Firmware nach draußen telefonieren könnte. Deshalb kann die Kamera auch nicht ins internet gehen im Moment. Nur um darauf zu zugreifen dachte ich den Datenverkehr durch den Raspberry zu routen.
Der Camera den Zugang ins Internet zu verbieten halte ich auch für ne gute Idee. Meine Cams sind alle vollständig im Router gesperrt, die können auch nicht raus. Aber hast Du Dir mal Gedanken darüber gemacht, wie Du den Pi absicherst, wenn Du den vom Internet aus zugänglich machst? Das ist die wirklich wichtige Frage.... wie sicherst Du den Pi gegen Einbruchs-Versuche aus dem Web ab? Also der Zugriff über DynDNS enthält hat keine Sicherheit, dass ist ja nur die Namensauflösung Deines Routers zuhause, weil Du unterwegs seine WAN-IP nicht kennst. Da musst Du Dir mal eine Lösung überlegen. Ich würde das auf jeden Fall und unbedingt auch über OpenVPN lösen.

Und mal ganz nebenbei gefragt.... was soll das bringen, wenn man der Cam den Pi als Gateway einträgt und dort die IP-Pakete dann umständlich über Iptables regelt? Viel einfacher ist es doch, der Cam auf dem Router eine feste IP zu vergeben und die dort zu sperren.

Theophil T.
Beiträge: 394
Registriert: 22.10.2006 20:24:59
Lizenz eigener Beiträge: MIT Lizenz

Re: Problem interne IPCam über RPI von außen zu ereichen

Beitrag von Theophil T. » 21.01.2017 19:30:04

Frosch6669, evtl. könnte noch Debianmotion das tun, was Du möchtest. Das ist ein Kommandozeilenprogramm zur Kamera-Überwachung [1]. Ich habe damit vor längerer Zeit mal experimentiert, die Software beinhaltet einen Webserver, der Kamerabilder oder Videos ausliefert, und zwar ohne html-Verweis auf die IP-Adresse der Kamera. Für den Zugriff auf den Webserver ist eine Authentifizierung möglich.

Allerdings hast Du dann wieder ein Sicherheitsproblem, weil Du den motion-Webserver aus dem Internet zugänglich machen musst. Wie das Tool selbst vom Sicherheitsaspekt her einzuschätzen ist, kann ich nicht beurteilen.
Wie schon mehrfach gesagt ist die VPN-Lösung sicherlich besser, die Einrichtung nicht so kompliziert und openvpn gut dokumentiert, z.B. [2],[3]

TomL, natürlich ist es vom Netzwerk her gesehen einfacher und klarer, die Kamera auf dem Router zu sperren. Das war auch nur als Beispiel gedacht, womit dieses Routing irgendeinen Sinn machen würde.
Auf der anderen Seite - will Frosch6669 vielleicht seiner Kamera gestatten, Bilder auf seinen FTP-Server im Web hochzuladen? Solch eine differenzierte Paketfilterung Richtung Internet können z.B. die Fritzboxen nicht. Und so eine kleine iptables-Filterregel finde ich auch nicht so viel umständlicher, als mich auf dem Router durch die Menus zu klicken ... :wink:

VG Theophil

[1] http://www.linux-magazin.de/Ausgaben/20 ... berwachung
[2] https://openvpn.net/index.php/open-sour ... howto.html
[3] https://sarwiki.informatik.hu-berlin.de ... deutsch%29

Antworten