Internetfreigabe lokal beschränken mit Fritzbox und Kameras etc.? Fritz!App, MyFritz etc. private zur öffentlicher IP usw.

skorpion1800

Lt. Junior Grade
Registriert
Feb. 2013
Beiträge
262
Hallo liebe Forengemeinde,

man kann ja wunderbar mit der FritzApp und Fritz!Os 7.5+ sich es so einrichten,
das man von unterwegs auf sein Heimnetz zugreifen kann...

Einmal mit VPN.. einmal ohne...
Jetzt habe ich von der Arbeit aus, ohne VPN das genauso gut hinbekommen.... und als ich dann vom 3D Drucker die Kamera aufrufen wollte ( das ist nur eine IP Kamera, habe ich die ja "freigegeben"... ) Jetzt war die aber gleich so freigegeben, das ich mit einem anderem Gerät ohne FritzApp etc. die vergebene IP aufrufen konnte, und direkt so auf diese in meinem Netzwerk zugreifen konnte...

Wenn man sich jetzt zur Fritzbox verbindet (von unterwegs ins Heimnetzwerk),
wie kann man jetzt über den Router auf die interne lokale IP Adresse der Kamera zugreifen, ohne das die gleich komplett "offen, frei zugänglich ist, mit einer eigenen öffentlichen IP Adresse?

Weil wenn man sich jetzt über TeamViewer auf einen Rechner im Heimnetz verbindet, könnte man da ja auch die lokale IP Adresse der Kamera aufrufen (interface Webbrowser), ohne das die gleich "komplett" offen und frei zugänglich ist.

Ihr versteht was ich meine?

Grüße
Patrick
 
skorpion1800 schrieb:
Jetzt habe ich von der Arbeit aus, ohne VPN das genauso gut hinbekommen.

Darauf wuerde ich glatt verzichten.
 
  • Gefällt mir
Reaktionen: Malaclypse17
Geräte aus dem Heimnetz offen ins Internet zustellen würde ich mal als grob fahrlässig bezeichnen, also am besten sofort wieder deaktivieren die Freigabe.
Einfach Wireguard nutzen und direkt über die IP wie von dir beschrieben auf die Geräte zugreifen.
 
Vielleicht bringt dir das gastnetzwerk der Fritz die erhoffte Trennung
 
Also fürs Gastnetz sehe ich hier überhaupt keine Verwendung. VPN ist der richtige Schritt.

Direkte Portfreigaben auf Heimnetzgeräte sollte man sich gut überlegen. Die sind je nach Zielgerät immer auch ein Sicherheitsrisiko.
 
skorpion1800 schrieb:
Jetzt habe ich von der Arbeit aus, ohne VPN das genauso gut hinbekommen.... und als ich dann vom 3D Drucker die Kamera aufrufen wollte ( das ist nur eine IP Kamera, habe ich die ja "freigegeben"... ) Jetzt war die aber gleich so freigegeben, das ich mit einem anderem Gerät ohne FritzApp etc. die vergebene IP aufrufen konnte, und direkt so auf diese in meinem Netzwerk zugreifen konnte...
Was genau hast du ohne VPN "hinbekommen? Hast du die WebGUI der Fritzbox aus dem Internet erreichbar gemacht? Portweiterleitung zur Kamera? Beides schlechte Ideen mit hohem Missbrauchspotential. Mach beides bitte wieder zu!

skorpion1800 schrieb:
Wenn man sich jetzt zur Fritzbox verbindet (von unterwegs ins Heimnetzwerk),
wie kann man jetzt über den Router auf die interne lokale IP Adresse der Kamera zugreifen, ohne das die gleich komplett "offen, frei zugänglich ist, mit einer eigenen öffentlichen IP Adresse?
VPN ist der einzige Rat, den man dir geben kann bzw darf. Portweiterleitungen können von jedem genutzt werden, der deine öffentliche IP kennt oder quasi zufällig an ihr vorbeikommt - Stichwort Portscanner. Damit riskierst du, dass im harmlosesten Falle ein Fremder einfach nur das Bild deiner Kamera ansehen kann, aber im schlimmsten Falle kapert er sie und infiltriert darüber den Rest deines Netzwerks. Portweiterleitungen sollte man daher ausschließlich auf sichere Systeme einrichten, die explizit gegen potentiellle Fremdzugriffe aus dem Internet gewappnet sind. Bei einer 08/15 Kamera ist das tendenziell nicht der Fall.

Wenn du also von außen auf dein Heimnetzwerk zugreifen möchtest, führt kein Weg an einem VPN vorbei, denn genau das ist dessen Sinn und Zweck.
 
riversource schrieb:
Also fürs Gastnetz sehe ich hier überhaupt keine Verwendung. VPN ist der richtige Schritt.
vpn zum Router und all die Geräte die nicht beim zoomen erkannt oder gesehen werden sollen ins gastnetz ist also falsch?
 
BFF schrieb:
Ja... guckste...(Bild unten )
weil scheiss egal ob ich den VPN an habe oder nicht,
ich muss ja die IP Kamera ( "3D" ( für den 3D Drucker wie im Bild zu sehen ) "frei" geben... )
das ist ja wunderschön, wenn ich mit dem Handy eine "sichere" VPN Verbindung unterwegs vom Internet ins Heimnetz aufbauen kann, aber die Kamera selbst komplett frei zugänglich ist..
Malaclypse17 schrieb:

deswegen erstelle ich ja den Thread hier und hinterfrage...

chrigu schrieb:
hättest Du an sich nicht mal unrecht, nur bei Fritzbox und Gastnetz hatte ich da mal was aufgefasst, das da nix mit Portfreigabe etc. geht

Raijin schrieb:

Ja die WebGUI des Routers habe ich über die FritzApp ( war einfach mal die schnellste und einfachste Option um das "Projekt" und das alles mal irgendwie anzufangen und mal umzusetzen ) "erreichbar gemacht und eingerichtet )
Da bekommt man "spezielle Links" usw. mit Zertifikaten und joa...

-> Die Portweiterleitung zur Kamera war nochmal die nächste Baustelle...
Also die Kamera habe ich wieder geschlossen, mit dem Router sieht es "vernünftig aus" ( hier braucht man ja den speziellen Link, sowie Anmeldedaten, Kopplung usw... ) das hat man ja nur lokal bei der Einrichtung alles..


Raijin schrieb:

Deswegen siehste ja im Bild unten mit dem VPN... und wie ich es im ersten Absatz schon angesprochen hatte...
Das man mit der Kamera somit dann das ganze netz kapiert kann ich mir gerade vorstellen, wie das dann von statten geht, deswegen ja meine Frage zu dem ausschließlich "sicheren Netzwerk"
Weil mit dem VPN war das lustigerweise nix... ich kann zwar mit einem anderem Handy so nicht direkt ohne APP und sonst wie auf meinen Router zugreifen, aber sobald ( ganz klar ) die Kamera Freigegeben ist, halt dann über den Router auf diese schon.. wie löst man dieses Problem am besten?
Ergänzung ()

chrigu schrieb:
An sich nicht falsch, nur bin ich da auf den Lösungsansatz gespannt :)
 

Anhänge

  • signal-2024-01-24-123251.jpeg
    signal-2024-01-24-123251.jpeg
    233,5 KB · Aufrufe: 96
Zuletzt bearbeitet von einem Moderator:
Nur soviel: du hast die IP Deines Netzes nicht geändert. Dein Router hat noch 192.168.178.1. Deshalb geht vpn nicht. Muss in 192.168.xxx.1 geändert werden. Statt xxx nicht 0, 1, 2, 254 nehmen, sondern andere.
Hinter diesem Schalter verbirgt sich ipsec konfig, nicht wireguart.
Hab ich auch nicht zum laufen gekriegt.
Bei mir am DG Zugang DS Lite. Wireguard läuft.
 
Hä? also VPN geht doch... also zumindest lässt es sich oben rechts im Bild doch aktivieren in der App...
und was hat die private IP damit bitte zu tun?
 
Ja, da wird ein wenig durcheinander gewürfelt.
VPN wenn du von pc a) mit 192.168.178 zu einem anderen pc b) mit derselben ip 192.168.178 verbinden willst kannst du nicht zugreifen weil der Router dann meint das Gerät ist im eigenen Netz. Deshalb ist Fritz zu Fritz nur mit geänderter internen ip möglich.
Zum gastnetz, kenne Fritz nicht wirklich aber im routermenü kannst du sicher eine Route eingeben, damit gerät a) ins normale Netz zugriff hat aber nicht andersrum (nur eine Annahme)
Oder noch einfacher… alle Geräte die nicht von Teams/Zoom erkannt werden sollen auf einen extra Switch hängen und wenn Teams/Zoom Time ist den Switch vom Strom trennen
 
  • Gefällt mir
Reaktionen: Raijin und BFF
chrigu schrieb:
Zum gastnetz, kenne Fritz nicht wirklich aber im routermenü kannst du sicher eine Route eingeben, damit gerät a) ins normale Netz zugriff hat aber nicht andersrum (nur eine Annahme)
Nein, das geht nicht, und das ist auch gut so. Das würde dem Sinn des Gastnetzes komplett widersprechen.

Geräte im Gastnetz sind vollkommen vom Heimnetz getrennt, und damit auch von VPN und Portfreigaben. Wenn ein Zugriff von außen über VPN geplant ist, ist das Gastnetz der falsche Weg. Was Teams oder Zoom damit zu tun haben, erschließt sich mir überhaupt nicht.

Ich kenne das VPN der myFritz App nicht, aber möglicherweise schränkt die den Zugriff auf spezifische Dienste oder Geräte ein. Ich würde es mit einem Wireguard VPN versuchen.
 
  • Gefällt mir
Reaktionen: Raijin
riversource schrieb:
Ich kenne das VPN der myFritz App nicht, aber möglicherweise schränkt die den Zugriff auf spezifische Dienste oder Geräte ein. Ich würde es mit einem Wireguard VPN versuchen.

Ja dennoch banana³ wenn ich die IP Kamera da mit Ports Freigeben muss, die im Internet frei zugänglich sind, und ich dann mit VPN mit dem Handy aus dem Internet unterwegs drauf zugreife... ist zwar schön für die verschlüsselte Verbindung, aber ich möchte ja die IP Kamera vom Internet "offen" abgeschottet haben, und nur mit meinen Zugangsdaten über den Router ( oder gern per VPN ) drauf zugreifen...
Was ist na das für eine Einstellung, oder wie nennt sich na das bitte, oder wie löst man dies, das man da nur auf den Access Point zugreift, und dann nur über diesen lokal die Geräte drauf zugriff hat? @Raijin :)
 
skorpion1800 schrieb:
Ja dennoch banana³ wenn ich die IP Kamera da mit Ports Freigeben muss, die im Internet frei zugänglich sind, und ich dann mit VPN mit dem Handy aus dem Internet unterwegs drauf zugreife..
Wie kommst du darauf, dass du Ports freigeben musst? Genau das brauchst du bei einem VPN nicht mehr. Dafür machst du ein VPN, um das zu verhindern.

skorpion1800 schrieb:
Was ist na das für eine Einstellung, oder wie nennt sich na das bitte, oder wie löst man dies, das man da nur auf den Access Point zugreift, und dann nur über diesen lokal die Geräte drauf zugriff hat? @Raijin :)
VPN nennt sich das.
 
Wenn du nur für dich oder ggfs Familienmitglieder Fernzugriff geben möchtest, richtest du einen VPN-Server ein und gibst jeder befugten Person einen entsprechenden Zugang. Am einfachsten ist das eingebaute VPN der Fritzbox. Mit einer VPN-Verbindung wirfst du von wo auch immer du gerade bist ein gedachtes Netzwerkkabel zu dir nach Hause zu deinem Router. Das heißt du bist unterwegs, aber trotzdem auf der Couch und so kannst du dein Heimnetzwerk auch vollumfänglich nutzen, inkl. Kameras, NAS, MediaReceiver, dies, das. Nach außen hin ist ausschließlich der VPN-Server exponiert und der ist genau für diesen Zweck gedacht.

Portweiterleitungen direkt auf ein Zielgerät in deinem Heimnetzwerk wiederum sind ein anderer Schnack, weil Hans und Franz und jeder andere im www auf diese Portweiterleitungen zugreifen kann und somit auch auf das dahinterliegende Endgerät, zB eine IP-Kamera für schmales Geld von aliexpress, deren Hersteller womöglich gar keine Ahnung von sowas hat und selbst der Login der Kamera angreifbar ist.


VPN ist daher der einzig sinnvolle Weg, wenn man auf der sicheren Seite sein will und nicht einschätzen kann ob die Kamera - oder welches Gerät auch immer man per Portweiterleitung zugreifbar macht - sicher genug ist.
Für Portweiterleitungen gibt es daher nur sehr wenige Gründe, beispielsweise eine Spielekonsole, o.ä. die sonst Probleme mit Voice-Chats und dergleichen bekommt. Deswegen gibt es so viele Fragen im www nach dem "NAT-Typ" von Xbox, Playstation und Co, weil da eben Portweiterleitungen buchstäblich ins Spiel kommen..
 
  • Gefällt mir
Reaktionen: Incanus
Zurück
Oben