Netzwerk: Knobelaufgabe

[Chili]

Ich gebe euch mal eine Problemstellung.
Für mich habe ich zwar eine Lösung gefunden - die ist aber so komplex, dass ich sie bislang nicht umgesetzt habe.
Vielleicht hat ja einer einen pfiffigen Ansatz.

Hier die Situation:
Es geht um zwei (und mehr) IP-Überwachungskameras.
Standardmäßig haben beide TCP-Port 80 für HTTP und TCP-Port 554 für RTSP eingestellt.
Wir bewegen uns im IPV4 Umfeld.
Jetzt sollen - welche Überraschung - beide Kameras von extern zugänglich gemacht werden.
(DynDNS etc. können vorausgesetzt werden, Subdomain nehmen wir als gegeben an.)
Beispiel:
cam.medrow.com:81 für Kamera 1
cam.medrow.com:82 für Kamera 2

Es gibt noch einige weitere Geräte (NAS, Steckdosenleisten, Homematic-CCU), für die das gleiche gilt.

nas.medrow.com:83 für NAS
und so weiter und so fort.

Frage:
Wie kann erreicht werden, dass eine solche Konfiguration sowohl von extern (WAN) als auch von intern (LAN) funktioniert?

[lazyjack]

Hallo Hans,
das bekommst du mit einem Router und ein paar Portweiterleitungen hin.
Aber ich vermute, dass es nicht das ist, was du dir vorstellt. Bei deiner Beschreibung hast du also vermutlich ein paar Gedankengänge unterschlagen für das was du als Ziel haben möchtest.... Willst du einen gesicherten Zugang zu den Geräten?

VG Marian

[Chili]

Ob gesichert oder ungesichert ist ja erstmal egal.
Ohne Portweiterleitungen wird es im IPv4 Umfeld nicht gehen können.

Erster logischer Gedankenschritt:
Wenn das Ganze von aussen erreichbar sein soll, MUSS es über verschiedene Ports laufen.
Die ganzen Subdomains sind dabei völlig egal, denn sie lösen alle nach der gleichen IP auf - sie dienen nur der einfacheren Konfiguration.

Heisst:
cam.medrow.com löst nach 87.185.119.219 auf.
nas.medrow.com löst ebenfalls nach 87.185.119.219 auf.

Das bedeutet aber eben auch, dass:
cam.medrow.com:81 das gleiche ist wie nas.medrow.com:81

Die Unterscheidung kann also NICHT mit Subdomains gehen, sie MUSS über Ports erfolgen.
Die Konfiguration der externen Erreichbarkeit ist daher recht simpel mit Portweiterleitungen umzusetzen.

Knackpunkt ist aber:
Wie schafft man es, dass sowas dann auch im LAN funktioniert.
Ich will ja im Zweifel die Apps auf dem Handy auch mal zuhause verwenden und nicht nur unterwegs.

[lazyjack]

Hallo Hans,
viele Wege führen nach Rom...

Hast du eine feste IP für deine Domäne? Welchen Dyndns Dienst benutzt du?

VG Marian

[lazyjack]

Warum willst du im LAN nicht auch die externen Adressen benutzen?
VG Marian

[Chili]

Zitat:

Hast du eine feste IP für deine Domäne? Welchen Dyndns Dienst benutzt du?

Klär mich auf, was das für eine Rolle spielt.
Keine feste IP. DynDNS via selfhost.de.

Zitat:

Warum willst du im LAN nicht auch die externen Adressen benutzen?

Wer sagt, dass ich das nicht will?

Problem dabei:
Die Portweiterleitungen gelten für ankommende Anfragen an der WAN-Schnittstelle.
Intern eingehende Anfragen an einer LAN-Schnittstelle durchlaufen aber nicht das NAT der WAN-Schnittstelle.

[Hausbootbewohner]

ein Server mit Reverse-Proxy Funktion und Address rewriting würde dies erfüllen.

[Hausbootbewohner]

Zitat:

Zitat von Chili

...
Wenn das Ganze von aussen erreichbar sein soll, MUSS es über verschiedene Ports laufen.
...

Nein. Alternative mit Reverseproxy basiert auf Host Headern.
D.h. alle Anfragen von extern (und gegebenenfalls auch von intern) landen auf dem Reverseproxy. Dieser entscheidet anhand des aufgerufenen Namens, an welches Gerät die Anfrage weitergeschickt wird.

[Chili]

Keine schlechte Antwort, aber etwas oversized.
Habe ich schon recherchiert - meine Synology könnte theoretisch eine solche Rolle übernehmen. Aber als Proxy müsste sie den gesamten Verkehr umschreiben -> Performanceproblem!

Weiteres Problem dabei:
Nur HTTP Verkehr liefert einen auswertbaren Host Header mit.
Was machst du mit anderen Protokollen?

[lazyjack]

Zitat:

Zitat von Chili

Klär mich auf, was das für eine Rolle spielt.
Keine feste IP. DynDNS via selfhost.de.

Weil mit fester IP kannst du bei einigen Dyndns Diesten deine (feste) IP Adresse mit Portnummer als Weiterleitung eingeben. Wenn du eine sich täglich erneuernde IP hast, musst du z.B. über deinen Router den Dyndns Dienst aktualisieren. Dann geht das nicht mit Portangabe.

Du könntest auch in deiner APP die aufzurufende Adresse cam1.medrow.com:81 einstellen und dein Router weiß, wenn einen TCP/UDP Aufruf auf Port 81 reinkommt, dann soll er auf die interne cam1 (IP Adresse:Port) weiterleiten.

Von intern könntest du ebenfalls die cam1.medrow.com:81 aufrufen und es wird gehen (falls nix gesperrt wurde). Dein Router müsste das regeln?

Oder wie Hausboot geschrieben hat einen Windows Server aufsetzen (Overkill), oder einen VPN Server, oder, oder oder...

Es gibt einige Wege um intern nach extern zu bringen. Ist stark abhängig was du erreichen willst und welche Bedenken du hast. Meistens hat man ja Angst, dass die extern zur Schau gestellten Dinge nicht sicher sind und gehackt werden könnten. Dann muss man halt das absichern und komplexer denken.

VG Marian

[Chili]

Zitat:

Zitat von lazyjack

Weil mit fester IP kannst du bei einigen Dyndns Diesten deine (feste) IP Adresse mit Portnummer als Weiterleitung eingeben. Wenn du eine sich täglich erneuernde IP hast, musst du z.B. über deinen Router den Dyndns Dienst aktualisieren. Dann geht das nicht mit Portangabe.

Du könntest auch in deiner APP die aufzurufende Adresse cam1.medrow.com:81 einstellen und dein Router weiß, wenn einen TCP/UDP Aufruf auf Port 81 reinkommt, dann soll er auf die interne cam1 (IP Adresse:Port) weiterleiten.

Das alles geht mit fester IP oder mit DynDNS gleichermaßen.
Das ist nicht das Problem. Von außen kommt am Router so oder so ein Verbindungsversuch auf einem gewissen Port an (81 zum Beispiel).

Zitat:

Von intern könntest du ebenfalls die cam1.medrow.com:81 aufrufen und es wird gehen (falls nix gesperrt wurde). Dein Router müsste das regeln?

Eben nicht so ohne weiteres.
Weil das NAT mit seinen Portweiterleitungen für die WAN-Schnittstelle konfiguriert ist. Interne Anfragen kommen aber nicht auf der WAN-Schnittstelle an, durchlaufen nicht das NAT und damit nicht die Portweiterleitungen.

Zitat:

Oder wie Hausboot geschrieben hat einen Windows Server aufsetzen (Overkill), oder einen VPN Server, oder, oder oder...

VPN wäre ein möglicher Weg. Da wäre es dann umgekehrt: ich würde die internen IPs extern nutzbar machen.
Aber versuche mal auf einem Handy eine IP-Kamera App in Verbindung mit vorherigem VPN einzurichten... (wir haben Androids und iPhones...)
Usability ist einfach nur scheixxe.

Und ausserdem könnte man so ein Kamerabild auch nicht für Aussenstehende (z.B. auf einer Website) zugängig machen.

[Chili]

Meine - komplexe - Lösung sah folgendes vor:
Ich konfiguriere zum einen einen/mehrere "statische Host" und dann ein zweites NAT (mit Portweiterleitungen) für die interne LAN-Schnittstelle.
(Mein Router ist ein bintec RS123jv, mit einer FritzBox oder sowas wäre jetzt eh schon Schluss).

"Statischer Host" bedeutet, die Anfrage nach Auflösung eines Namens wird vom Router direkt mit einer internen IP beantwortet.
Die Anfragen dorthin durchlaufen dann das zweite NAT mit entsprechend konfigurierten IP/Port-Umschreibungen.

Das funktioniert.
Allerdings muss ich im zweiten NAT Regeln für den gesamten Traffic aufstellen, damit auch das Internet noch funktioniert.
Das macht es dann doch sehr aufwendig, weswegen es ich bei ersten Tests belassen habe.

[lazyjack]

Zitat:

Zitat von Chili

Weil das NAT mit seinen Portweiterleitungen für die WAN-Schnittstelle konfiguriert ist. Interne Anfragen kommen aber nicht auf der WAN-Schnittstelle an, durchlaufen nicht das NAT und damit nicht die Portweiterleitungen.

Hallo Hans,
wie der Bintec den Verkehr regelt, weiß ich nicht. Habe Bintec seit 10 Jahren nicht mehr in der Hand gehabt. Eine Fritzbox löst die Adresse wunderbar auch intern auf bzw. gibt sie ordentlich weiter, so dass ich meine Photo Station mit der gleichen Namensauflösung von extern und intern erreichen kann. Bei meiner Konstellation wäre deine Anforderung mit ein paar Kameras in ein paar Minuten am Start.

Aber ich weiß auch sobald die Geräte hochwertiger sind, kann es auch komplizierter werden so etwas hinzubekommen.

VG Marian

[LEPFAN]

Ich habe das bei mit VPNs gelöst. Mehrere externe Standorte verbinden sich mit LAN2LAN Tunnel mit meinen Homerouter. Ebenso verbinden sich die Smartfons über eine VPN Verbindung mit dem Router und somit auch extern Bestandteil des Heimnetzes. Dadurch sind alle Komponenten aller Standorte zu einem großen Netz zusammengefast und immer unter den gleichen lokalen IP Adressen erreichbar.
Verbaut sind da Fritzboxen oder Vigor Router.

[Chili]

Zitat:

Zitat von lazyjack

Eine Fritzbox löst die Adresse wunderbar auch intern auf bzw. gibt sie ordentlich weiter, so dass ich meine Photo Station mit der gleichen Namensauflösung von extern und intern erreichen kann.

Das liegt daran, dass die FritzBox das "NAT Loopback" verwendet.
Du rufst eine Domain auf.
Die Namensauflösung ergibt die externe IP-Adresse der FritzBox (also sie selbst). Für Anfragen von aussen gilt NAT und das Portforwarding.

Die Fritzbox ist jetzt so "dreist", deine internen Anfragen quasi nach draussen zu schicken, von wo sie wieder reinkommen und entsprechend den externen Regeln weitergeforwardet werden. NAT-Loopback heisst das (alternativ auch Hairpin-NAT).

Das machen Consumer-Router einfach von sich aus.

Das ist am Ende das gleiche, als wenn ich ein zweites identisches NAT für die internen LAN-Ports anlege.

[lazyjack]

Hallo Hans,
das die Fritzbox (allgemein billige Consumer Geräte und auch vorzugsweise Apple) manche Dinge sehr kreativ auslegen und nicht nach der reinen Netzwerklehre umsetzen ist leider so.

Damit habe ich auch lange meine Brötchen verdient. Aber man wird mit den Jahren entspannter und sehe es mal so... wenn du noch nach Stunden oder Tagen an deinem Bintec rumfummelst sitze ich wegen meiner Fritzbox schon auf der Sonnenliege auf dem Boot und schlabbere einen Caipirinha

(Nimm mich jetzt nicht so ernst, ich habe auch noch heute mal irgendwelche Dinge die man einfacher lösen könnte aber dann wird mein Ehrgeiz geweckt)

VG Marian

[Chili]

Ich bin da komplett entspannt.
Es hängt nicht unser Wohlergehen daran, von daher völlig unwichtig.
Trotzdem spannend.

Und wie gesagt: mit zwei NAT (eins extern, eins intern), die dann nahezu identisch konfiguriert werden, sollte es gehen.

Beim externen NAT stellst du nur die Regeln auf, die weitergeleitet werden sollen. Alle anderen Anfragen von aussen werden verworfen.
Von intern ist das aber anders.
Alle nicht konfigurierten Einträge sollen ja nicht verworfen, sondern nach extern (ins Internet) geroutet werden.
Also mindestens noch eine zusätzliche Regel für den Rest.

Es hatte beim ersten Test nur Nebenwirkungen auf unsere IP-Telefonie (eingehend kein Problem, aber abgehend konnten wir nicht mehr telefonieren).

Liegt daran, dass der Router auch VOIP-Proxy ist.
Beim NAT muss ich also noch eine weitere Regel festlegen: Anfragen von innen an Port 5060 (VOIP) sollen nicht ins Internet, sondern an den Router selbst gegeben werden (localhost).

Erschwerend kommt hinzu, dass wir nicht ein internes Netz haben sondern acht - getrennt via VLAN!
(Unsere Nachbarn nutzen z.B. unseren VDSL-Anschluss mit; wir haben IPTV - und der ganze Traffic sollte schön auseinandergehalten werden.)

Und so wird das ganze SetUp doch unheimlich komplex.

[lazyjack]

Hi Hans,
ja Double Natting ist das Zauberwort. Das ist aber wie ein Gehbehinderter mit zwei Krücken Das ist Workaround pur. Aber mit den Nebenwirkungen hast du ja Erfahrungen gemacht. Aber alle Achtung.. Scheint komplex zu sein und deine Nachbarn dürfen dich nicht ärgern Schon mal über IPv6 nachgedacht?

Kennst du Supernetting? War bei mir immer der Running Gag wenn sich ein Netzwerk Admin verkünstelt hat und sich unkündbar machen wollte

VG Marian

[Chili]

Zitat:

Zitat von lazyjack

Hi Hans,
ja Double Natting ist das Zauberwort. Das ist aber wie ein Gehbehinderter mit zwei Krücken Das ist Workaround pur.

Nö, das ist kein Workaround, das ist die volle Kontrolle pur statt Bevormundung einer FritzBox.
Dort kannst du das Verhalten nämlich normal gar nicht beeinflussen.

Zitat:

Zitat von lazyjack

Schon mal über IPv6 nachgedacht?

Sicher: https://www.boote-forum.de/showthread.php?t=254851

Zitat:

Zitat von lazyjack

Kennst du Supernetting?

Das ist im Grunde nur ein Verschieben/Verkleinern der Subnetzmaske.
Wenn man sich die IPs binär aufzeichnet, ist das kein Hexenwerk mehr.

[lazyjack]

Aber eigentlich habe doch deine Knobelaufgabe gelöst, oder?
Mein Fritz von Box kann das auch.

[Chili]

Nunja, ich wollte eigentlich ausloten, ob es andere Ansätze gäbe.
Aber schön, dass du meinen Weg bestätigst...

[Hausbootbewohner]

gehts nicht auch einfach mit einem zweiten Router, der WAN-seitig eine deiner normalen internen IPs hat und LAN-seitig dann ein anderes Subnetz für die von aussen zu erreichenden Geräte hat?
D.h. die Port Forwardings wären dann auf diesem Gerät zu implementieren.
Dein echter Router leitet dann alle Anfragen cam.medrow.com:81 [:82, :83, :84 usw] an den Zweitrouter, der dann die entsprechenden NAT-Regeln anwendet.
Von Deinem internen Netz würdest Du diese ganzen Geräte ja dann von WAN-Seite des Zweitrouters ansprechen, so dass dieser auch hierbei die NAT-Regeln umsetzt.

[Chili]

Klingt erstmal einfach.
Von der Architektur her geht das in Richtung DMZ.
Nur Router statt Firewalls.

Anmerkung:

Zitat:

Dein echter Router leitet dann alle Anfragen cam.medrow.com:81 [:82, :83, :84 usw] weiter

Hostnamen/Host Header sind eine Eigenschaft von HTTP.
(RTSP (was die Kameras z.B. verwenden) hat nach RFC 2326 sogar tatsächlich auch ein eigenes Host-Feld im Header.)
Egal, NAT und Weiterleitungen funktionieren eine OSI Stufe tiefer, auf IP Ebene. Es müsste also heissen:
"Dein echter Router leitet dann alle Anfragen an 87.185.119.219:81 [:82, :83, :84 usw] weiter"

Aber das finde ich oversized. Und mehr Strom verbraucht es auch.
Da ich auch dann zwei NAT Regelwerke hätte (nur unterschiedlich komplex), kann ich auch zwei NAT Regelwerke in einem Router einrichten.

[Hausbootbewohner]

Zitat:

Zitat von Chili

Klingt erstmal einfach.
Von der Architektur her geht das in Richtung DMZ.
Nur Router statt Firewalls.
...

Genau .

Zitat:

Zitat von Chili

... Es müsste also heissen:
"Dein echter Router leitet dann alle Anfragen an 87.185.119.219:81 [:82, :83, :84 usw] weiter"
...

Ich wollte berücksichtigen, dass Du DynDNS nutzt.
Vermutlich ändert sich Deine IP regelmässig, Dein Hostname bleibt jedoch gleich

[Chili]

Zitat:

Zitat von Hausbootbewohner

Ich wollte berücksichtigen, dass Du DynDNS nutzt.
Vermutlich ändert sich Deine IP regelmässig, Dein Hostname bleibt jedoch gleich

Passt schon.
IP ist übrigens nur theoretisch dynamisch.
Tatsächlich habe ich seit geraumer Zeit die gleiche.