Portweiterleitung auf VPN-Ziel?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
H

Heiko_Heider

Mitglied
Mitglied seit
8 Jan 2005
Beiträge
236
Punkte für Reaktionen
0
Punkte
16
Hallo zusammen,

ich habe eine Fritzbox 7390 an einem Kabel-Internetanschluss mit relativ statischer IP (und DynDNS).
Per Fritz-VPN angebunden habe ich eine Fritzbox 7270v1 über UMTS, an der eine IPCam hängt.
Die UMTS-Fritzbox kann ich aufgrund der IP-Problematik in Mobilfunk-Netzen natürlich nicht direkt ansprechen.

Das VPN funktioniert, und wird mittels eines Fake-SIP-Accounts mit meiner 7390 als fiktivem Registrar am leben gehalten.
Funktioniert auch nach einer Nacht noch.

Kann ich nun eine Portweiterleitung auf der 7390 einrichten, dass ich über deren statische IP (bzw. DynDNS-Namen) auch die IPCam über VPN erreichen kann?
Erste Einrichtungsversuche im WebIF haben nicht geklappt, aber kann ich vielleicht mit iptables direkt auf der Konsole was machen?

Vielen Dank,
und viele Grüße,

Heiko
 
Heiko_Heider schrieb:
Per Fritz-VPN angebunden habe ich eine Fritzbox 7270v1 über UMTS, an der eine IPCam hängt.
...
Kann ich nun eine Portweiterleitung auf der 7390 einrichten, dass ich über deren statische IP (bzw. DynDNS-Namen) auch die IPCam über VPN erreichen kann?
Erste Einrichtungsversuche im WebIF haben nicht geklappt, aber kann ich vielleicht mit iptables direkt auf der Konsole was machen?
Zum Vergrößern anklicken....
Kannst Du von einem Client an der 7390, die interne IP-Adresse der 7270v1 bzw. die interne IP-Adresse der IPCam pingen?
 
Ich glaube das Problem ist hier ein ganz anderes, denn das was Du hier vor hast, kann so nicht funktionieren. Jedenfalls nicht mit Boardmitteln.

Die Portweiterleitung wird schon funktionieren... Das ist hier nicht das Problem. Das Problem ist hier der Kommunikationsverlauf, der arg vermurkst ist. Beide Fritzboxen bauen ein site-to-site VPN auf. Sprich es wird hier nichts geNATtet sondern ausschliesslich geroutet. Um dieses Problem lösen zu können brauchst Du jedoch zwingend ein Source-NAT (SNAT) für die Rückroute über VPN. Andernfalls wird das Default-Gateway verwendet.

Ganz laienhaft gesprochen: Die Anfrage geht zur 7390 rein, wird dort über VPN zur IPCam weitergeleitet und diese Antwortet. Jedoch wird die IPCam als Rückroute nicht das VPN verwenden, sondern ihr default-gateway nutzen. Sprich es geht über die UMTS-Verbindung raus.

Wie soll denn Dein rechner wissen, dass er IP A anspricht und ihm IP B antwortet? Das kann er nicht Wissen! Davon mal ab wird das kein Firewall, egal wie schlecht sie ist, mitmachen.
 
Zuletzt bearbeitet:
sf3978 schrieb:
Kannst Du von einem Client an der 7390, die interne IP-Adresse der 7270v1 bzw. die interne IP-Adresse der IPCam pingen?
Zum Vergrößern anklicken....

Ja, das funktioniert.
Ich kann dann durch Eingabe der Remote-IP sowohl auf die FBF als auch die WebCam komplett zugreifen.


sf3978 schrieb:
Hast Du Freetz auf den Boxen bzw. willst Du evtl. zukünftig, Freetz auf den Boxen benutzen?
Zum Vergrößern anklicken....

Freetz ist auf der 7390 drauf, auf der 7290 nicht.

@Maverrick:
Wie gesagt, am Standort der 7390 sehe ich das Livebild der Webcam, kann diese sogar steuern (schwenkbar).
 
Zuletzt bearbeitet:
Ja, das ist auch richtig so. Denn dort ist der Absender der Verbindung ja auch ein Host innerhalb des VPNs. Demnach geht die Antwort der IPCam ja auch zurück durchs VPN. Nur eben bei externen Anfragen nicht.


[EDIT]
Im übrigen sind Doppelposts hier unerwünscht. Führe Deine beiden Posts mal bitte zu einem zusammen und lösche den überflüssigen. Danke :)
[/EDIT]
 
MaverrickTM schrieb:
Ja, das ist auch richtig so. Denn dort ist der Absender der Verbindung ja auch ein Host innerhalb des VPNs. Demnach geht die Antwort der IPCam ja auch zurück durchs VPN. Nur eben bei externen Anfragen nicht.
Zum Vergrößern anklicken....

Ok, d.h. die einzige Möglichkeit ist:
Z.B. von Unterwegs per VPN-Software auf die 7390 einwählen und dann direkt auf die IP der Cam zugreifen?
Leider kann man Android 2.3.6 noch nicht das IPSec-Protokoll von AVM :-(

[EDIT]
Im übrigen sind Doppelposts hier unerwünscht. Führe Deine beiden Posts mal bitte zu einem zusammen und lösche den überflüssigen. Danke :)
[/EDIT]
Zum Vergrößern anklicken....

Müsste jetzt so passen...?
 
Ja, danke ;)

Genau. Wenn Deine Clients eine Verbindung via separatem VPN zur IPCam herstellen, dann sollte das auch funktionieren. Du musst in der 7270 nur eine entsprechende Route, für das VPN-Subnetz, eintragen.

Alternativ müsste das Problem auch mit iptables lösbar sein. Wobei ich mir hier ein Paar Sorgen um das SNAT mache. Ich weiss nicht, ob iptables die assoziation zum eigentlichen Ursprung in der NAT-Tabelle aufrecht erhält. Es bringt Dir ja nichts SNAT einzusetzen, wenn Du dadurch den eigentlichen Ursprung verlierst. Ein versuch schadet es jedoch nicht!
 
Heiko_Heider schrieb:
Freetz ist auf der 7390 drauf, ...
Zum Vergrößern anklicken....
Wenn Du nmap auf der 7390 hast, dann Versuch mal einen scan durch das VPN auf die interne IP-Adresse und den lauschenden Port der IPCam. Z. B.:
Code: 
nmap -sSU <int. IP-Adresse-IPCam> -p<lauschender-Port-IPCam>
Wenn das geht, dann versuch mal auf der 7390, mit iptables einen D-NAT in der PREROUTING chain, über einen Port über den die 7390 aus dem Internet erreichbar ist (... evtl. 443 wenn nicht benötigt oder einen anderen Port der 7390 freigeben), auf die int. IP-Adresse und den lauschenden Port der IPCam.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 455 (Mitglieder: 41, Gäste: 414)

Neueste Beiträge

Statistik des Forums

Themen
244,969
Beiträge
2,221,939
Mitglieder
371,743
Neuestes Mitglied
levin.friedrich
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück