Ich habe mir für Überwachungskameras Portweiterleitungen und Dynamic DNS angelegt, die ich über blabla.domain.de (das ist die DynDNS-Adresse) erreiche. Bei den Kameras muss ich noch zusätzlich bestimmte Ports anfügen (Beispiel, Zahlen erfunden: blabla.domain.de:12345). So weit, so gut, funktioniert. Allerdings komme ich (und jedermann) über das Internet bei Aufruf von blabla.domain.de direkt auf die Konfigurationsseite meiner Anlage. Für Fernwartung für mich selbst ganz gut, aber sicher scheint mir das nicht zu sein. Klar, Username und Passwort gibt's ja, aber trotzdem.... Wie kann ich erreichen, dass nur ich übers Internet auf die Konfigurationsseite meiner Anlage komme? Oder ist das Restrisiko unvermeidbar?
[Frage] be.ip plus: Anlage aufgrund dyndns im Internet sichtbar. Wie vermeiden?
- Ersteller Werner_1959
- Erstellt am
qwertz.asdfgh
IPPF-Promi
- Mitglied seit
- 18 Feb 2011
- Beiträge
- 4,467
- Punkte für Reaktionen
- 65
- Punkte
- 48
- Warum hast du überhaupt die Konfiguration (HTTP?) der be.IP für das WAN-Interface freigegeben? Wenn überhaupt dann sollte es nur (Systemverwaltung > Administrativer Zugriff, Ansicht "Vollzugriff" vorausgesetzt) wenigstens HTTPS sein aber nicht HTTP.
- Wenn schon Fernzugriff per HTTPS dann muss das nicht über Port 443 erfolgen, den kann man natürlich ändern (Lokale Dienste > HTTPS, Edit: Oder alternativ per entsprechender NAT- und Firewallregel Standardport 443 per PAT auf einen anderen Port "umbiegen", s.h. Bintec be.IP Workshop bzgl. "Zugriff aus dem WAN über HTTPS").
- Und dann sei natürlich noch VPN als prinzipielle Alternative erwähnt (sowohl für die Fernkonfiguration als auch die Kameras).
Ein Restrisiko bleibt immer, sogar wenn du ausschließlich VPN einsetzt oder sogar komplett auf Fernwartung verzichtest. Aber natürlich gibt man grundsätzlich die Konfigurationsmöglichkeit per HTTP, vor allem über den Standardport 80, nach außen hin eigentlich nicht frei, das "Restrisiko" ist so natürlich am höchsten.
Zuletzt bearbeitet:
"Freigegeben"?
Ich habe da gar nichts gemacht. Wenn freigegeben, dann war das schon "ab Werk" so eingestellt. Wie/Wo könnte ich das "Konfiguration (HTTP?) der be.IP für das WAN-Interface" gänzlich deaktivieren?
qwertz.asdfgh
IPPF-Promi
- Mitglied seit
- 18 Feb 2011
- Beiträge
- 4,467
- Punkte für Reaktionen
- 65
- Punkte
- 48
Dass das ab Werk freigegeben sein soll bei der be.IP kann ich nicht glauben, zumindest habe ich das immer (wenn gewünscht/benötigt) separat aktiviert/freigegeben, und dann natürlich auch nur die HTTPS-Variante (auf einem unüblichen Port >1024). Wobei ich bei meiner üblichen Vorkonfiguration nach außen hin in der Regel alles gesperrt habe, kann mich auch nicht daran erinnern, die Konfiguration per HTTP oder HTTPS beim WAN-Interface dabei deaktiviert haben zu müssen (aber vielleicht habe ich das tatsächlich falsch in Erinnerung, könnte heute Abend mal nachschauen wie die Standardkonfiguration aussieht).
Wo man das einstellen/ändern kann habe ich bereits erwähnt, sowie ein Link zum entsprechenden Workshops von Bintec wo alles dazu erläutert wird (z.B. noch eventuell notwendige NAT- und Firewall-Regeln).
Zuletzt bearbeitet:
Bei "Administrativer Zugriff" steht bei mir folgendes:
Und da hab ich mit Sicherheit nie etwas dran gemacht.
Was kann/sollte ich da alles deaktivieren? Nicht, dass hinterher gar nichts mehr geht.
Wobei ich auch nichtmal weiß, was en1-4, br0 und br0-1 überhaupt ist.
Und da hab ich mit Sicherheit nie etwas dran gemacht.
Was kann/sollte ich da alles deaktivieren? Nicht, dass hinterher gar nichts mehr geht.
Wobei ich auch nichtmal weiß, was en1-4, br0 und br0-1 überhaupt ist.
Das sind alles nur LOKALE Schnittstellen, also nix mit Zugriff aus dem Internet.
Wenn man von extern nur alleine drauf will, nimmt man einen VPN - Tunnel.
Wenn man von extern nur alleine drauf will, nimmt man einen VPN - Tunnel.
qwertz.asdfgh
IPPF-Promi
- Mitglied seit
- 18 Feb 2011
- Beiträge
- 4,467
- Punkte für Reaktionen
- 65
- Punkte
- 48
Ist es wirklich notwendig, dass das alles aktiviert sein soll? Zumindest Telnet würde ich persönlich z.B. schon einmal für alle (auch lokalen) Interfaces deaktivieren. Des weiteren würde ich überlegen ob SSH, HTTP, HTTPS, SNMP auch für die Interfaces br0-1 sowie en1-4 (das ist der blaue Ethernetport, meist als WAN-Port verwendet) wirklich benötigt wird.
Das einzige was man nicht machen sollte ist das deaktivieren von HTTP sowie HTTPS für das Interface br0, dann hätte man sich "ausgeschlossen".
SFA1492
Mitglied
- Mitglied seit
- 20 Jul 2015
- Beiträge
- 470
- Punkte für Reaktionen
- 53
- Punkte
- 28
Das würde bedeuten, dass der Port 80 von der WAN-Schnittstelle an die Anlage selbst weitergeleitet wird. Wenn dem so ist, dann ist das tatsächlich so, dass jeder, der es probiert, mindestens auf die Anmeldeseite der Anlage kommt.
Das ist
a) nicht standardmäßig so voreingestellt und
b) einigermaßen sicherheitskritisch und sollte schleunigst geändert werden.
Wenn Du den Test aus dem Netz der Anlage gemacht hast, ist das u.U. was anderes. Die Anlage merkt, dass Du von innen kommst, obwohl Du deren externe Adresse angegeben hast und läst Dich trotzdem auf die Anmeldeseite. Wenn Du es tatsächlich von extern probierst, solltest Du feststellen, dass keine Anmeldeseite kommt. Die Anlage antwortet standardmäßig nicht einmal auf einen Ping von extern, geschweige denn auf mehr.
Auch würde ich das mit den Portweiterleitungen für die Kameras rausnehmen und für alles den Weg über VPN gehen.
Die Tendenz der Ratschläge scheint zu VPN zu gehen...
Jedenfalls hab ich jetzt erstmal alles komplett deaktiviert, was ich (hoffentlich) nicht brauche (SSH, Telnet, SNMP). Jedenfalls bin ich mir nicht bewusst, das genannte Zeugs jemals verwendet zu haben.
In der Tat, von unterwegs geht's nur mit am Smartphone gestarteten VPN-Client. Das VPN-Zeugs hatte ich ja schon irgendwann mal eingerichtet.
Das mit der Einbindung des Smartphones als Anlagen-Nebenstelle (auch unterwegs) mit Zoiper geht allerdings offenbar auch ohne am Smartphone gestarteten VPN-Client von Samsung. Dabei hatte ich, wie in einem anderen Thread geschrieben, die Einrichtung gemäß den Anleitungen der Telekom (für die Digitalisierungsbox) gemacht. Im Zuge dessen hatte ich wohl auch VPN eingerichtet, wenn ich mich recht erinnere.
Jedenfalls hab ich jetzt erstmal alles komplett deaktiviert, was ich (hoffentlich) nicht brauche (SSH, Telnet, SNMP). Jedenfalls bin ich mir nicht bewusst, das genannte Zeugs jemals verwendet zu haben.
Unfassbar... Aber wahr. So können Fehlwahrnehmungen wie die meine natürlich auch zustandekommen. Ich frage mich, wie das funktionieren kann, wenn ich doch explizit eine externe Adresse angebe und damit überdeutlich zum Ausdruck bringe "Ich will keine Internverbindung nutzen!" Aber ok, ich bin nun doch etwas beruhigter, danke.
In der Tat, von unterwegs geht's nur mit am Smartphone gestarteten VPN-Client. Das VPN-Zeugs hatte ich ja schon irgendwann mal eingerichtet.
Das mit der Einbindung des Smartphones als Anlagen-Nebenstelle (auch unterwegs) mit Zoiper geht allerdings offenbar auch ohne am Smartphone gestarteten VPN-Client von Samsung. Dabei hatte ich, wie in einem anderen Thread geschrieben, die Einrichtung gemäß den Anleitungen der Telekom (für die Digitalisierungsbox) gemacht. Im Zuge dessen hatte ich wohl auch VPN eingerichtet, wenn ich mich recht erinnere.
ssh auf der br0 - Schnittstelle würde ich nicht abschalten, denn ohne das kommt man bei einem Problem mit der GUI nicht mehr auf die Systemkonsole.
Nachdem ich nun weiß, dass „externe Adresse“ nicht gleich „externe Verbindung“ ist, stelle ich nunmehr fest, dass ich von extern auch über VPN nicht mehr auf die Konfigurationsoberfläche komme.
Wenn ich WLan abschalte und nur über Mobilfunk Datenverbindung habe, klappt zunächst noch die VPN-„Einwahl“. Ich kann über die internen IP-Adressen (Beispiele: 192.168.0.35, 192.168.0.180) die Fritzbox, den Webserver, die Überwachungskameras aufrufen. Wie gesagt, von extern über VPN. Nur unter 192.168.0.1 meldet sich niemand. Da müsste aber die Konfigurationsoberfläche sein. Auch mit Eingabe der externen Adresse meinname.dyndns.de (die als solche funktioniert) wird’s nicht besser.
Dabei hat das schonmal funktioniert. Als ich auf einer Dienstreise darüber informiert wurde, dass bei der Anlage Telefonverbindungen weder abgehend noch ausgehend funktionieren, habe ich über VPN die Konfigurationsoberfläche aufrufen können und die Anlage neu gestartet (danach klappten auch wieder die Telefonverbindungen).
Ich wüßte jetzt nicht, was ich zwischenzeitlich evtl. versehentlich geändert haben könnte.
Auch funktioniert (ohne VPN) die Einbindung des Smartphones als interne Nebenstelle. Das Smartphone hat die interne Nummer X, gehört zum Team Y und wenn ein Anruf kommt, auf das Y reagieren soll, dann bimmelt das Smartphone mit, auch wenn ich nur im Mobilnetz bin. Allerdings scheint es so zu sein, dass es über LTE nicht geht, sondern nur über minderwertigere Mobilnetzverbindungen.
Wie komme ich nun über (das bereits eingerichtete und an sich funktionierende) VPN von extern auf meine Konfigurationsoberfläche? In den Workshops finde ich da nichts spezielles.
Wenn ich WLan abschalte und nur über Mobilfunk Datenverbindung habe, klappt zunächst noch die VPN-„Einwahl“. Ich kann über die internen IP-Adressen (Beispiele: 192.168.0.35, 192.168.0.180) die Fritzbox, den Webserver, die Überwachungskameras aufrufen. Wie gesagt, von extern über VPN. Nur unter 192.168.0.1 meldet sich niemand. Da müsste aber die Konfigurationsoberfläche sein. Auch mit Eingabe der externen Adresse meinname.dyndns.de (die als solche funktioniert) wird’s nicht besser.
Dabei hat das schonmal funktioniert. Als ich auf einer Dienstreise darüber informiert wurde, dass bei der Anlage Telefonverbindungen weder abgehend noch ausgehend funktionieren, habe ich über VPN die Konfigurationsoberfläche aufrufen können und die Anlage neu gestartet (danach klappten auch wieder die Telefonverbindungen).
Ich wüßte jetzt nicht, was ich zwischenzeitlich evtl. versehentlich geändert haben könnte.
Auch funktioniert (ohne VPN) die Einbindung des Smartphones als interne Nebenstelle. Das Smartphone hat die interne Nummer X, gehört zum Team Y und wenn ein Anruf kommt, auf das Y reagieren soll, dann bimmelt das Smartphone mit, auch wenn ich nur im Mobilnetz bin. Allerdings scheint es so zu sein, dass es über LTE nicht geht, sondern nur über minderwertigere Mobilnetzverbindungen.
Wie komme ich nun über (das bereits eingerichtete und an sich funktionierende) VPN von extern auf meine Konfigurationsoberfläche? In den Workshops finde ich da nichts spezielles.
Da diese Frage mit dem eigentlichen Thema nichts mehr zu tun hat, mache ich hierzu besser einen neuen Thread auf.
Neueste Beiträge
-
AVM steht vor dem Verkauf
- Letzte: BeeHaa
-
[Frage] Neustarts der Router ohne ASSIA zu "provozieren"- Letzte: NDiIPP
-
Frage zum WLAN-Gastzugang
- Letzte: Benares
-
4G-Empfang statt 2G/Edge
- Letzte: neuber18
-
Dynamische und feste IP-Adressen
- Letzte: FHill
-
Fritzbox als rustdesk-server?
- Letzte: NanoBot
-
[Sammlung] Fritz!Box 7690 INHAUS Zyklus FCS23- Letzte: stoney
-
Wlan Mesh Problem- Letzte: frank_m24