|
Kein Boot Hier kann man allgemeinen Small Talk halten. Es muß ja nicht immer um Boote gehen. |
|
Themen-Optionen |
#1
|
||||
|
||||
Netzwerk: Knobelaufgabe
Ich gebe euch mal eine Problemstellung.
Für mich habe ich zwar eine Lösung gefunden - die ist aber so komplex, dass ich sie bislang nicht umgesetzt habe. Vielleicht hat ja einer einen pfiffigen Ansatz. Hier die Situation: Es geht um zwei (und mehr) IP-Überwachungskameras. Standardmäßig haben beide TCP-Port 80 für HTTP und TCP-Port 554 für RTSP eingestellt. Wir bewegen uns im IPV4 Umfeld. Jetzt sollen - welche Überraschung - beide Kameras von extern zugänglich gemacht werden. (DynDNS etc. können vorausgesetzt werden, Subdomain nehmen wir als gegeben an.) Beispiel: cam.medrow.com:81 für Kamera 1 cam.medrow.com:82 für Kamera 2 Es gibt noch einige weitere Geräte (NAS, Steckdosenleisten, Homematic-CCU), für die das gleiche gilt. nas.medrow.com:83 für NAS und so weiter und so fort. Frage: Wie kann erreicht werden, dass eine solche Konfiguration sowohl von extern (WAN) als auch von intern (LAN) funktioniert?
__________________
Gruss aus Frankfurt, Hans Aus technischen Gründen befindet sich die Signatur auf der Rückseite des Beitrages! |
#2
|
|||
|
|||
Hallo Hans,
das bekommst du mit einem Router und ein paar Portweiterleitungen hin. Aber ich vermute, dass es nicht das ist, was du dir vorstellt. Bei deiner Beschreibung hast du also vermutlich ein paar Gedankengänge unterschlagen für das was du als Ziel haben möchtest.... Willst du einen gesicherten Zugang zu den Geräten? VG Marian |
#3
|
||||
|
||||
Ob gesichert oder ungesichert ist ja erstmal egal.
Ohne Portweiterleitungen wird es im IPv4 Umfeld nicht gehen können. Erster logischer Gedankenschritt: Wenn das Ganze von aussen erreichbar sein soll, MUSS es über verschiedene Ports laufen. Die ganzen Subdomains sind dabei völlig egal, denn sie lösen alle nach der gleichen IP auf - sie dienen nur der einfacheren Konfiguration. Heisst: cam.medrow.com löst nach 87.185.119.219 auf. nas.medrow.com löst ebenfalls nach 87.185.119.219 auf. Das bedeutet aber eben auch, dass: cam.medrow.com:81 das gleiche ist wie nas.medrow.com:81 Die Unterscheidung kann also NICHT mit Subdomains gehen, sie MUSS über Ports erfolgen. Die Konfiguration der externen Erreichbarkeit ist daher recht simpel mit Portweiterleitungen umzusetzen. Knackpunkt ist aber: Wie schafft man es, dass sowas dann auch im LAN funktioniert. Ich will ja im Zweifel die Apps auf dem Handy auch mal zuhause verwenden und nicht nur unterwegs.
__________________
Gruss aus Frankfurt, Hans Aus technischen Gründen befindet sich die Signatur auf der Rückseite des Beitrages! |
#4
|
|||
|
|||
Hallo Hans,
viele Wege führen nach Rom... Hast du eine feste IP für deine Domäne? Welchen Dyndns Dienst benutzt du? VG Marian |
#5
|
|||
|
|||
Warum willst du im LAN nicht auch die externen Adressen benutzen?
VG Marian |
#6
|
||||
|
||||
Zitat:
Keine feste IP. DynDNS via selfhost.de. Zitat:
Problem dabei: Die Portweiterleitungen gelten für ankommende Anfragen an der WAN-Schnittstelle. Intern eingehende Anfragen an einer LAN-Schnittstelle durchlaufen aber nicht das NAT der WAN-Schnittstelle.
__________________
Gruss aus Frankfurt, Hans Aus technischen Gründen befindet sich die Signatur auf der Rückseite des Beitrages! Geändert von Chili (03.04.2017 um 10:55 Uhr) |
#7
|
||||
|
||||
ein Server mit Reverse-Proxy Funktion und Address rewriting würde dies erfüllen.
__________________
Grüße, Andreas |
#8
|
||||
|
||||
Zitat:
D.h. alle Anfragen von extern (und gegebenenfalls auch von intern) landen auf dem Reverseproxy. Dieser entscheidet anhand des aufgerufenen Namens, an welches Gerät die Anfrage weitergeschickt wird.
__________________
Grüße, Andreas |
#9
|
||||
|
||||
Keine schlechte Antwort, aber etwas oversized.
Habe ich schon recherchiert - meine Synology könnte theoretisch eine solche Rolle übernehmen. Aber als Proxy müsste sie den gesamten Verkehr umschreiben -> Performanceproblem! Weiteres Problem dabei: Nur HTTP Verkehr liefert einen auswertbaren Host Header mit. Was machst du mit anderen Protokollen?
__________________
Gruss aus Frankfurt, Hans Aus technischen Gründen befindet sich die Signatur auf der Rückseite des Beitrages! |
#10
|
|||
|
|||
Zitat:
Du könntest auch in deiner APP die aufzurufende Adresse cam1.medrow.com:81 einstellen und dein Router weiß, wenn einen TCP/UDP Aufruf auf Port 81 reinkommt, dann soll er auf die interne cam1 (IP Adresse:Port) weiterleiten. Von intern könntest du ebenfalls die cam1.medrow.com:81 aufrufen und es wird gehen (falls nix gesperrt wurde). Dein Router müsste das regeln? Oder wie Hausboot geschrieben hat einen Windows Server aufsetzen (Overkill), oder einen VPN Server, oder, oder oder... Es gibt einige Wege um intern nach extern zu bringen. Ist stark abhängig was du erreichen willst und welche Bedenken du hast. Meistens hat man ja Angst, dass die extern zur Schau gestellten Dinge nicht sicher sind und gehackt werden könnten. Dann muss man halt das absichern und komplexer denken. VG Marian |
#11
|
||||
|
||||
Zitat:
Das ist nicht das Problem. Von außen kommt am Router so oder so ein Verbindungsversuch auf einem gewissen Port an (81 zum Beispiel). Zitat:
Weil das NAT mit seinen Portweiterleitungen für die WAN-Schnittstelle konfiguriert ist. Interne Anfragen kommen aber nicht auf der WAN-Schnittstelle an, durchlaufen nicht das NAT und damit nicht die Portweiterleitungen. Zitat:
Aber versuche mal auf einem Handy eine IP-Kamera App in Verbindung mit vorherigem VPN einzurichten... (wir haben Androids und iPhones...) Usability ist einfach nur scheixxe. Und ausserdem könnte man so ein Kamerabild auch nicht für Aussenstehende (z.B. auf einer Website) zugängig machen.
__________________
Gruss aus Frankfurt, Hans Aus technischen Gründen befindet sich die Signatur auf der Rückseite des Beitrages! |
#12
|
||||
|
||||
Meine - komplexe - Lösung sah folgendes vor:
Ich konfiguriere zum einen einen/mehrere "statische Host" und dann ein zweites NAT (mit Portweiterleitungen) für die interne LAN-Schnittstelle. (Mein Router ist ein bintec RS123jv, mit einer FritzBox oder sowas wäre jetzt eh schon Schluss). "Statischer Host" bedeutet, die Anfrage nach Auflösung eines Namens wird vom Router direkt mit einer internen IP beantwortet. Die Anfragen dorthin durchlaufen dann das zweite NAT mit entsprechend konfigurierten IP/Port-Umschreibungen. Das funktioniert. Allerdings muss ich im zweiten NAT Regeln für den gesamten Traffic aufstellen, damit auch das Internet noch funktioniert. Das macht es dann doch sehr aufwendig, weswegen es ich bei ersten Tests belassen habe.
__________________
Gruss aus Frankfurt, Hans Aus technischen Gründen befindet sich die Signatur auf der Rückseite des Beitrages! |
#13
|
|||
|
|||
Zitat:
wie der Bintec den Verkehr regelt, weiß ich nicht. Habe Bintec seit 10 Jahren nicht mehr in der Hand gehabt. Eine Fritzbox löst die Adresse wunderbar auch intern auf bzw. gibt sie ordentlich weiter, so dass ich meine Photo Station mit der gleichen Namensauflösung von extern und intern erreichen kann. Bei meiner Konstellation wäre deine Anforderung mit ein paar Kameras in ein paar Minuten am Start. Aber ich weiß auch sobald die Geräte hochwertiger sind, kann es auch komplizierter werden so etwas hinzubekommen. VG Marian |
#14
|
||||
|
||||
Ich habe das bei mit VPNs gelöst. Mehrere externe Standorte verbinden sich mit LAN2LAN Tunnel mit meinen Homerouter. Ebenso verbinden sich die Smartfons über eine VPN Verbindung mit dem Router und somit auch extern Bestandteil des Heimnetzes. Dadurch sind alle Komponenten aller Standorte zu einem großen Netz zusammengefast und immer unter den gleichen lokalen IP Adressen erreichbar.
Verbaut sind da Fritzboxen oder Vigor Router.
|
#15
|
|||||
|
|||||
Zitat:
Du rufst eine Domain auf. Die Namensauflösung ergibt die externe IP-Adresse der FritzBox (also sie selbst). Für Anfragen von aussen gilt NAT und das Portforwarding. Die Fritzbox ist jetzt so "dreist", deine internen Anfragen quasi nach draussen zu schicken, von wo sie wieder reinkommen und entsprechend den externen Regeln weitergeforwardet werden. NAT-Loopback heisst das (alternativ auch Hairpin-NAT). Das machen Consumer-Router einfach von sich aus. Das ist am Ende das gleiche, als wenn ich ein zweites identisches NAT für die internen LAN-Ports anlege.
__________________
Gruss aus Frankfurt, Hans Aus technischen Gründen befindet sich die Signatur auf der Rückseite des Beitrages!
|
#16
|
|||
|
|||
Hallo Hans,
das die Fritzbox (allgemein billige Consumer Geräte und auch vorzugsweise Apple) manche Dinge sehr kreativ auslegen und nicht nach der reinen Netzwerklehre umsetzen ist leider so. Damit habe ich auch lange meine Brötchen verdient. Aber man wird mit den Jahren entspannter und sehe es mal so... wenn du noch nach Stunden oder Tagen an deinem Bintec rumfummelst sitze ich wegen meiner Fritzbox schon auf der Sonnenliege auf dem Boot und schlabbere einen Caipirinha (Nimm mich jetzt nicht so ernst, ich habe auch noch heute mal irgendwelche Dinge die man einfacher lösen könnte aber dann wird mein Ehrgeiz geweckt) VG Marian |
#17
|
||||
|
||||
Ich bin da komplett entspannt.
Es hängt nicht unser Wohlergehen daran, von daher völlig unwichtig. Trotzdem spannend. Und wie gesagt: mit zwei NAT (eins extern, eins intern), die dann nahezu identisch konfiguriert werden, sollte es gehen. Beim externen NAT stellst du nur die Regeln auf, die weitergeleitet werden sollen. Alle anderen Anfragen von aussen werden verworfen. Von intern ist das aber anders. Alle nicht konfigurierten Einträge sollen ja nicht verworfen, sondern nach extern (ins Internet) geroutet werden. Also mindestens noch eine zusätzliche Regel für den Rest. Es hatte beim ersten Test nur Nebenwirkungen auf unsere IP-Telefonie (eingehend kein Problem, aber abgehend konnten wir nicht mehr telefonieren). Liegt daran, dass der Router auch VOIP-Proxy ist. Beim NAT muss ich also noch eine weitere Regel festlegen: Anfragen von innen an Port 5060 (VOIP) sollen nicht ins Internet, sondern an den Router selbst gegeben werden (localhost). Erschwerend kommt hinzu, dass wir nicht ein internes Netz haben sondern acht - getrennt via VLAN! (Unsere Nachbarn nutzen z.B. unseren VDSL-Anschluss mit; wir haben IPTV - und der ganze Traffic sollte schön auseinandergehalten werden.) Und so wird das ganze SetUp doch unheimlich komplex.
__________________
Gruss aus Frankfurt, Hans Aus technischen Gründen befindet sich die Signatur auf der Rückseite des Beitrages! |
#18
|
|||
|
|||
Hi Hans,
ja Double Natting ist das Zauberwort. Das ist aber wie ein Gehbehinderter mit zwei Krücken Das ist Workaround pur. Aber mit den Nebenwirkungen hast du ja Erfahrungen gemacht. Aber alle Achtung.. Scheint komplex zu sein und deine Nachbarn dürfen dich nicht ärgern Schon mal über IPv6 nachgedacht? Kennst du Supernetting? War bei mir immer der Running Gag wenn sich ein Netzwerk Admin verkünstelt hat und sich unkündbar machen wollte VG Marian |
#19
|
||||
|
||||
Zitat:
Dort kannst du das Verhalten nämlich normal gar nicht beeinflussen. Sicher: https://www.boote-forum.de/showthread.php?t=254851 Das ist im Grunde nur ein Verschieben/Verkleinern der Subnetzmaske. Wenn man sich die IPs binär aufzeichnet, ist das kein Hexenwerk mehr.
__________________
Gruss aus Frankfurt, Hans Aus technischen Gründen befindet sich die Signatur auf der Rückseite des Beitrages! |
#21
|
||||
|
||||
Nunja, ich wollte eigentlich ausloten, ob es andere Ansätze gäbe.
Aber schön, dass du meinen Weg bestätigst...
__________________
Gruss aus Frankfurt, Hans Aus technischen Gründen befindet sich die Signatur auf der Rückseite des Beitrages!
|
#22
|
||||
|
||||
gehts nicht auch einfach mit einem zweiten Router, der WAN-seitig eine deiner normalen internen IPs hat und LAN-seitig dann ein anderes Subnetz für die von aussen zu erreichenden Geräte hat?
D.h. die Port Forwardings wären dann auf diesem Gerät zu implementieren. Dein echter Router leitet dann alle Anfragen cam.medrow.com:81 [:82, :83, :84 usw] an den Zweitrouter, der dann die entsprechenden NAT-Regeln anwendet. Von Deinem internen Netz würdest Du diese ganzen Geräte ja dann von WAN-Seite des Zweitrouters ansprechen, so dass dieser auch hierbei die NAT-Regeln umsetzt.
__________________
Grüße, Andreas |
#23
|
||||
|
||||
Klingt erstmal einfach.
Von der Architektur her geht das in Richtung DMZ. Nur Router statt Firewalls. Anmerkung: Zitat:
(RTSP (was die Kameras z.B. verwenden) hat nach RFC 2326 sogar tatsächlich auch ein eigenes Host-Feld im Header.) Egal, NAT und Weiterleitungen funktionieren eine OSI Stufe tiefer, auf IP Ebene. Es müsste also heissen: "Dein echter Router leitet dann alle Anfragen an 87.185.119.219:81 [:82, :83, :84 usw] weiter" Aber das finde ich oversized. Und mehr Strom verbraucht es auch. Da ich auch dann zwei NAT Regelwerke hätte (nur unterschiedlich komplex), kann ich auch zwei NAT Regelwerke in einem Router einrichten.
__________________
Gruss aus Frankfurt, Hans Aus technischen Gründen befindet sich die Signatur auf der Rückseite des Beitrages! |
#24
|
||||
|
||||
Zitat:
Zitat:
Vermutlich ändert sich Deine IP regelmässig, Dein Hostname bleibt jedoch gleich
__________________
Grüße, Andreas Geändert von Hausbootbewohner (06.04.2017 um 14:14 Uhr) Grund: letzten Absatz gestrichen, weil falsch gelesen |
#25
|
||||
|
||||
Zitat:
IP ist übrigens nur theoretisch dynamisch. Tatsächlich habe ich seit geraumer Zeit die gleiche.
__________________
Gruss aus Frankfurt, Hans Aus technischen Gründen befindet sich die Signatur auf der Rückseite des Beitrages! |
|
|
Ähnliche Themen | ||||
Thema | Autor | Forum | Antworten | Letzter Beitrag |
Suche einige Experten für ein Mittelmeer-Netzwerk | robhof | Werbeforum | 0 | 22.08.2007 09:50 |
Windows Netzwerk bringt mich um | Kapitaen52 | Kein Boot | 43 | 03.09.2005 08:39 |
PC-Notebook : Netzwerk starten ohne am Netz zu sein... | hakl | Kein Boot | 21 | 24.03.2005 00:20 |
Gigabit Netzwerk und der Kampf mit 3 Com | Cyrus | Kein Boot | 20 | 27.11.2004 10:36 |
Wireless Netzwerk | Wolfgang B. | Kein Boot | 23 | 26.12.2002 19:49 |