1:1 NAT Verbindung

aco

Neuer User
Mitglied seit
31 Dez 2005
Beiträge
27
Punkte für Reaktionen
0
Punkte
1
Hallo Zusammen,

ich habe eine IP-Türsprechanlage von HikVision. Aus Sicherheitsgründen befindet sie sich in einem Gastnetz. Sprechen und Bild aufs Smartphone läuft über das Internet und das soll auch so bleiben, damit ich von unterwegs annehmen kann. Die Anlage ins interne Netz zu legen mit Kindersicherung ist also keine Option.

Ich würde jetzt jedoch gerne den RTSP Stream mit meiner NAS aufnehmen, die sich im internen Netz befindet. Dazu dachte ich an eine 1:1 NAT Verbindung für Port 554. Die IP der Kamera im Gastnetz ist statisch. Da die Fritzbox das nicht unterstützt müsste es ein externes Gerät sein.

Hat da jemand einen Tip für mich, was dafür geeignet ist? Eine zusätzliche Fritzbox oder ein WRT Router sind dafür etwas überdimensioniert. Ein kleiner alter Cisco Switch müsste ja genügen, nur was genau muss er dafür alles können? ¯\_(ツ)_/¯

Viele Grüße
Aco
 
Also, wenn ich das richtig verstehe: Du willst ein zusätzliches Gerät, welches du sowohl ins Gastnetz als auch ins interne Netz hängst und dass im Grunde als Gateway für die Verbindung vom NAS zur Kamera dient? Auf Anhieb würde mir ein Raspi einfallen, der ja schon über LAN und WLAN verfügt.

Alternativ: Was ist mit einem zusätzlichen Netzwerkinterface (WLAN) fürs NAS? Da muss man natürlich aufpassen, dass man den Zugriff aus dem Gastnetz heraus entsprechend einschränkt, würde aber ggf. die zweite HW sparen.
 
Echt Lustig, weil man der Türsprechanlage nicht vertraut setzt man diese ins Gastnetz, aber darf alles ins Internet senden... und soll dann doch auf das Heimnetz Zugriff haben. Dann kann man auch Aufnahmen in tolle Cloud machen.

Wenn ganze wirklich isolieren möchte, wäre ne Idee dass diese an einem Switch im Heimnetz entsprechend begrenzt wird um nur mit dem Port zum NAS kommunizieren zu dürfen, dann aber auch kein Internetzugriff.

Wenn es über NAT laufen soll, müsste dann nicht der NAS die Portfreigabe bekommen, und die Anlage sendet dann an den NAS?
 
Wenn es über NAT laufen soll, müsste dann nicht der NAS die Portfreigabe bekommen, und die Anlage sendet dann an den NAS?
Am Ende hat der Zugang gar nichts mit NAT zu tun, wenn er so realisiert wird, wie in #1 angedeutet. Es findet ja keine Umsetzung auf eine öffentliche IP statt. Aber dazu kommen wir noch, wenn klar ist, was genau passieren soll.
 
Doch, die Anlage müsste an öffentliche IP oder DDNS Hostnamen senden, die FB leitet Anfrage so entsprechend der Portweiterleitung an den NAS.

Direkte Kommunikation geht ja nicht.
 
Doch, die Anlage müsste an öffentliche IP oder DDNS Hostnamen senden, die FB leitet Anfrage so entsprechend der Portweiterleitung an den NAS.
Geht das aus dem Gastnetz heraus? Und ist das sicherheitsmäßig akzeptabel? Immerhin ist der Port dann auch im Internet aufrufbar.

Direkte Kommunikation geht ja nicht.
Doch. Eben durch ein zusätzliches Gerät, welches im Gast- und im internen Netz aktiv ist. Aber das Gerät muss routen können, ein Switch an der Stelle ist selbst über VLANs nicht so zu konfigurieren, dass eine Trennung beider Netze gewährleistet ist. Durch einen Switch würde man immer eine Verbindung auf Schicht 2 ermöglichen, damit ist Tür und Tor offen.
 
Klar geht es aus dem Gastnetz, ist dann wie Zugriff aus dem Internet. Und ja auch für andere aus dem Internet wäre Port erreichbar.
 
Echt Lustig, weil man der Türsprechanlage nicht vertraut setzt man diese ins Gastnetz, aber darf alles ins Internet senden... und soll dann doch auf das Heimnetz Zugriff haben. Dann kann man auch Aufnahmen in tolle Cloud machen.
Genau. Ich finds auch lustig, deshalb möchte ich das so machen. Was die Anlage ins Internet sendet ist mir egal. Aber ich will die Hardware nicht innerhalb meines Netzwerks haben, weil sie sich eben mit ihrem Hersteller verbindet und ich über seine App von außen auf die Anlage komme. Also käme der Hersteller dort auch hin. Und wenn dann jemand rein kommt, soll er einfach nicht direkt auf alle meine Netzwerkgeräte zugreifen können – das ist alles – daher einfach Gastnetz.

Auf den Stream der Kamera könnte ich natürlich sehr einfach von außen zugreifen indem ich einfach den Port mit dyndns erreichbar mache (wenn denn die Fritzbox das könnte, was sie nicht tut) und dann in meiner NAS den externen Stream über DSL aufzeichne. Aber da wir in DE Bandbreitenknappheit haben, halte ich das für nicht nachhaltig. ;-) Daher meine Idee einen konfigurierbaren Switch dazwischen zu hängen, der von 192.168.10.2 (NAS) auf 192.168.179.20 (Kamera) Port 554 eine Verbindung erlaubt und das wars. Könnte ich ja mit einer zweiten Fritzbox auch über WAN machen mit entsprechender Portfreigabe. Ein Switch ist aber glaube ich wartungsfreier...
 
Sorry wenn ich das so deutlich sage, aber von IP Routing hast du keine Ahnung, oder?

Auf den Stream der Kamera könnte ich natürlich sehr einfach von außen zugreifen indem ich einfach den Port mit dyndns erreichbar mache (wenn denn die Fritzbox das könnte, was sie nicht tut) und dann in meiner NAS den externen Stream über DSL aufzeichne.
Nee, kannst du nicht. Portfreigaben ins Gastnetz gehen nicht. Wenn du sowas vorhast, dann musst du es umgekehrt machen: Von der Kamera auf das NAS zugreifen. Dafür kannst du Portfreigaben einrichten. Aber wie gesagt: Dann kann der Rest des Internets auch auf dein NAS zugreifen.

Aber da wir in DE Bandbreitenknappheit haben, halte ich das für nicht nachhaltig. ;-)
Die Daten würden nicht übers Internet fließen, sondern direkt lokal in der Fritzbox geroutet. Würde sich also in der DSL Bandbreite nicht bemerkbar machen.

Daher meine Idee einen konfigurierbaren Switch dazwischen zu hängen, der von 192.168.10.2 (NAS) auf 192.168.179.20 (Kamera) Port 554 eine Verbindung erlaubt und das wars.
Wie soll das denn gehen?
  • Mit Standardeinstellungen kennt 192.168.10.2 den Weg zu 192.168.179.20 nicht. Es würde die Daten ans Default-Gateway schicken (Fritzbox), und dort wird die Weiterleitung ins Gastnetz blockiert.
  • Umgekehrt gilt das gleiche: 192.168.179.20 kennt den Weg zu 192.168.10.2 nicht.
  • Wenn du einen Switch benutzen willst, musst du für beide Geräte das Subnetz vergrößern, dass sie sich gegenseitig sehen können und ARP Auflösung funktioniert. Heißt rein praktisch: Du machst aus internem und dem Gastnetz am Ende EIN Netz. Da kannst du die Kamera auch gleich ins interne Netz hängen
Fazit: Du brauchst ein Gerät, dass die Verbindung zwischen 192.168.10.2 und 192.168.179.20 herstellen kann und dabei gleichzeitig den Zugriff auf genau diese beiden Geräte limitiert, durch die Routingregeln bzw. eine Firewall. Also ein Router. Wie z.B. ein Raspi. NAT braucht es dafür nicht, da es ja keine Umsetzung auf eine öffentliche IP gibt. Deshalb würden dir auch Fritzboxen ond OpenWRT und ähnliches nicht direkt weiterhelfen. Damit kann man das Problem zwar lösen, aber am Ende würde es aufs gleiche hinauslaufen.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.