Portfreigabe für ip-cam funktioniert nicht

[Schurli30]

Hallo!

Ich bin Anfänger was Portfreigabe, Weiterleitung, etc. angeht.
Ich möchte eine IP-Cam von außerhalb des Netzwerkes betreiben.
Ich habe einen ASUS-Router RT-n56u und die IP-Cam hat eine feste IP 192.168.0.178. Diese hab ich aber auf IP 192.168.1.178 umändern müssen, da mein Router die "0" an vorletzter Stelle nicht mag.

Soweit so gut!
Ich kann im LAN wie auch im WLAN mittels Browser auf die Kamera zugreifen.
Das wars aber auch schon. Es funktioniert nicht außerhalb des Netzwerkes mit der eigenen DNS der Kamera noch funktioniert die Portfreigabe.
Bei Test des Ports 1025 bekomme ich: Your Port is not open or not reachable!
Die Ports habe ich in der Firewall unter Windows 8.1 freigegeben bzw. eine Regel dafür eingegeben. Das brachte aber nichts!

Ich glaube bevor ich noch einer fehlerhaften Portweiterleitung die Schuld gebe, sollte ich bei der Freigabe der Port suchen. Ist das möglicherweise im Router auch noch einzustellen?

Bitte um Hilfe und Tipps
Schurli

P.S. habe allerhand an Ips: WAN IP 172.17.0.xx und öffentliche IP 82.xxx.xxx.66 (die 66 ändert sich)
Gar nicht mal leicht ob man die auch braucht bei der Portweiterleitung?

 

[Touchthesky]

Die Ports habe ich in der Firewall unter Windows 8.1 freigegeben bzw. eine Regel dafür eingegeben. Das brachte aber nichts!

wieso unter Windows 8.1, das musst du im Router machen

 

[Nilson]

NAT (bzw. NAPT) ist Aufgabe des Routers.

Das übersetzt externe IPort (also 82.xxx.xxx.66:YY) auf interne IPort (also 192.168.1.178:YY)

 

[Schurli30]

Ich habe aber bei den Router-Einstellungen: Firewall aktivieren "nein", URL-Filter "deaktiviert", MacFiltermodus "deaktiviert", Lan zu Wan Filter aktivieren "nein". Also sollten die Ports doch freigegeben sein!!

Sind sie aber leider nicht

 

[Nilson]

Du musst konkrete Ports aktiv weiterleiten. (also erst mal herausfinden welchen deine IPCam braucht). Müsste dafür ein Menü geben, guck mal ins Handbuch. Irgendwas ein bzw. ausschalten bringt da nix. Lies dich mal in NA(P)T ein.

 

[Raijin]

NAT (bzw. NAPT) ist Aufgabe des Routers.

Das übersetzt externe IPort (also 82.xxx.xxx.66:YY) auf interne IPort (also 192.168.1.178:YY)

Das sagt eigentlich alles.

@TE: Du hast das Prinzip der Portweiterleitung nicht verstanden. Von außen ist nur deine Internet-IP -also der Router- sichtbar. Eine Portweiterleitung im Router reicht eingehende Verbindungen aus dem Internet auf ein Gerät im (W)LAN weiter - in deinem Falle die Kamera. Dein PC hat damit nix zu tun.
Je nachdem was die Kamera zeigt, sollte man aber darüber nachdenken, das ganze durch einen VPN-Tunnel abzusichern. Sonst kann im Zweifelsfalle jeder Hans und Franz aus dem Netz auf die Kamera zugreifen.

 

[Schurli30]

Hallo!
Habe mir jetzt nochmals die englische Beschreibung durchgelesen, da steht:
The default ip address is 192.168.0.178 and default http port is 80

beim ASUS Router ist das einwenig anders als in dieser Beschreibung. Da steht nämlich:

Service Name: Habe ich vergeben
Port Range: 1025 (musste auch ich vergeben; mit der komm ich ins Kamera-Menü über Browser)
Local IP: 192.168.1.178 (nach Anleitung die IP der Kamera)
Local Port: keine Ahnung hab immer 1025 genommen (da könnte der Hund begraben sein, habe ein Vermutung)
Protocol: Both (also TCP und UDP)
Protocol No.: kann man leer lassen denke ich

Also versteh ich das jetzt richtig? Die Portfreigabe kann nur mit richtiger Portweiterleitung funktionieren?
Ist der LocalPort vielleicht gar der default http port 80?

glg
Schurli

 

[Raijin]

Fragen wir mal andersherum. Du sagst aus dem (W)LAN kannst du auf die Kamera zugreifen. Wie genau machst du das bzw. was gibst du im Browser ein? Wenn du dort nur die IP der Kamera einträgst (ohne :1234 dahinter = port), dann musst du die Portweiterleitung im Router auf die IP der Kamera und den Port 80 machen.

Von außen kannst du prinzipiell jeden Port nehmen, den du willst. Es muss also nicht zwangsläufig der externe Port 80 des Routers auf den internen Port 80 der Kamera weitergeleitet werden. Man kann beispielsweise auch den Port 4711 auf den internen/lokalen Port 80 der Kamera leiten. Im LAN würde man nach wie vor im Browser ip.der.kame.ra eingeben, während man von außen öffentliche.ip.des.routers:4711 eingeben müsste - alternativ via DyDNS auch meinecam.selfhost.me:4711.

Du musst dir die Portweiterleitung 1:1 wie eine Übersetzung zB vom Englischen ins Deutsche vorstellen. Im "Ausland" (=Internet) ist Englisch angesagt (externer Port im Router) und im "Inland" (=LAN) wird Deutsch gesprochen (lokaler Port der Kamera). Der Router spielt dann quasi Dolmetscherden, er übersetzt vom Englischen ins Deutsche => den externen Port in den internen Port.

Das Protokoll hängt im übrigen von der jeweiligen Verbindung ab. Wenn es eine TCP-Verbindung ist und der Router nur UDP auf derselben Portnummer weiterleitet, dann funktioniert es nicht - andersherum genauso. Das Handbuch der Kamera müsste hier Auskunft geben. Im Zweifelsfalle beides weiterleiten.

 

[Nilson]

Ist der LocalPort vielleicht gar der default http port 80?

So sieht es wohl aus. Die Kamera "wartet" auf Port 80 auf eine Anfrage, wen du die aber auf Port 1025 Schickt weiß die nicht, was damit anzufangen ist.

 

[Schurli30]

@Rajin: danke für die Erklärung. Also das ich im Browser mit 192.168.1.178:1025 einsteige das check ich schon. (Hab ja Inferface mit Receiver auch)

@Nilson: das wollt ich hören bzw. werde ich am Abend gleich testen ob es dann funktioniert. Dann müsste der Test ja positiv ausfallen
Vielleicht hätte es funktioniert wenn ich gar nichts im Feld "LocalPort" eingetragen hätte. Hätte er vielleicht "80" als Standardport genommen.



Meld mich nochmals nach getaner Arbeit.
Tolles Forum!
Danke an euch alle!!!
Schurli


Ist halt etwas schwierig für mich gerade bei der Materie eine englische Anleitung.

 

[Raijin]

Also das ich im Browser mit 192.168.1.178:1025 einsteige das check ich schon. (Hab ja Inferface mit Receiver auch)

Moment mal, jetzt komm ich nicht mehr mit.. Wenn du mit dich im LAN mit 192.168.1.178:1025 bei der Kamera einklinkst und es funktioniert, dann ist 1025 der (lokale) Port an den der Router weiterleiten muss, nicht Port 80! Das wäre nur der Fall, wenn du entweder mit .1.178:80 oder nur mit .1.178 auf das Interface der Kamera kommst.



Nochmal in aller Deutlichkeit:

LAN -> Browser -> 192.168.1.178:1025 => klappt => Fritzbox => externer Port 1025 an lokal 192.168.1.178:1025

ODER

LAN -> Browser -> 192.168.1.178 => klappt => Fritzbox => externer Port 80 an lokal 192.168.1.178:80

Anschließend mit deine.öffentliche.ip.de:externerport von außen auf die Kamera zugreifen. Den externen Port kannst du dir prinzipiell aussuchen - für den Anfang vielleicht erstmal 1:1 den lokalen Port der Kamera durchschleifen wie im Beispiel.


Sollte es dennoch nicht klappen, kann es sein, dass die Kamera nur Verbindungen aus dem LAN zulässt (192.168.1.x). In dem Falle müsstest du in der Konfiguration nachschauen und Verbindungen von außerhalb freigeben. Details dazu findest du im Handbuch.

 

[Schurli30]

HI!

Funktioniert noch immer nicht!
Habe eigentlich von Anfang an die Portweiterleitung richtig eingestellt!

meine IPs:

192.168.1.178:1025 (Interface der Kamera)
192.168.1.1 (Menü des ASUS Routers mit oder ohne 80)
192.168.1.21:90 (Linux-Reciver, Interface hab ich jetzt von 80 auf 90 geändert, brachte aber wie zu erwarten nichts)
192.168.1.141 (Laptop, nicht wichtig)

Es funktioniert mit Port 80 genauso wenig wie mit 1025 wenn ich das bei der Kamera änder!
Ob mit LAN oder WLAN funktioniert auch nicht!

Dürfte an was anderem liegen, nur was?

 

[Nilson]

Bei welchem Internetanbieter bist du?

 

[Schurli30]

Weiß nicht ob es den Internetanbieter in Deutschland auch gibt.
Bin in Österreich bei kabelplus: waveNET – Breitbandinternet über Funk

 

[Raijin]

Ah ok, du hast nen Kabelanschluß. Da kann es sein, dass du gar keine Portweiterleitung machen kannst, weil bei Kabel unter Umständen die öffentliche IP mit anderen Teilnehmern geteilt wird. Da habe ich aber keine Aktien drin, weil ich selbst keinen Plan von Kabelinternet habe ;-)

Alternativ kann es aber auch wie oben bereits erwähnt an den Sicherheitseinstellungen der Kamera liegen. Eingehende Netzwerkverbindungen können von der Firewall anhand der Quell-IP explizit akzeptiert bzw. blockiert werden. Will heißen, dass die Kamera Zugriff aus dem eigenen LAN heraus akzeptiert, aber wenn die Quell-IP aus einem fremden Netzwerk kommt, dann wird geblockt. Schau mal in der Konfiguration der Kamera nach ob es dort solche Sicherheitseinstellungen gibt. Selbst wenn die Portweiterleitung dann funktioniert, würde die Verbindung von der Kamera selbst abgelehnt werden.

Man könnte das beispielsweise testen, wenn man eine Portweiterleitung auf den PC macht und dort zB mit Wireshark guckt ob überhaupt eine Verbindung beim PC ankommt - sprich ob die Portweiterleitung funktioniert. Natürlich muss auch hier die Windows-Firewall den Portzugriff von außen explizit zulassen (Firewall->Ausnahmen->Port->12345->Bereich->Alles zulassen)

 

[Schurli30]

Ich hab eigentlich schon FUNK (kabelplus hat dies zusätzlich zu ihrem Kabel).
Ich könnt ja trotzdem mal nachfragen.

Die IP-Kamera hat sogar eine eigene DNS. Darum denk ich werden die Sicherheitseinstellungen den externen Zugriff ermöglichen. Mir wäre nichts in den Einstellungen aufgefallen.

Wireshark muss ich mich erst mal einlesen was das ist. ==> google gleich

lg

 

[Raijin]

Wireshark ist ein Netzwerksniffer. Damit kannst du den Traffic - also die Datenpakete - auf der Netzwerkschnittstelle verfolgen. Zum Beispiel ob auf Port xyz und/oder von IP a.b.c.d etwas ankommt oder nicht bzw. ob auch etwas zurückgeschickt wurde. Das ist nicht so einfach zu bedienen, aber mit etwas Hilfe von google kriegt man das schon hin.

Die IP-Kamera hat sogar eine eigene DNS.

Naja, DNS hat erstmal nix mit einer Firewall zu tun. DNS bedeutet nur, dass zB google.de oder mycam.ip in eine IP-Adresse umgewandelt wird damit man sich nicht mit verwirrenden IP-Adressen rumschlagen muss. Wenn die Kamera allerdings DynDNS bietet, dann heißt das, dass sie sich bei einem DNS-Dienst im Internet anmelden kann. Das wiederum impliziert, dass Zugriff von außen erlaubt sein soll - sonst wäre DynDNS ziemlich sinnfrei

 

[Schurli30]

Hello!

Soda! Knapp vor der Lösung...
Habe das Internet seit 2006 von diesem Anbieter und habe nun mit der Partnerfirma, die mir alles vor 1,5 Jahren auf 10-fache Geschwindigkeit umgerüstet hat telefoniert.

Die WAN-IP 172.17.0.xx ist dynamisch und muss ich auf 172.17.0.xx statisch machen.

Dann sollt es funktionieren!

Werde auf alle Fälle für mögliche Betroffene Bericht erstatten ob das gereicht hat.

@Raijin: Dein Fachwissen ist wirklich sehr gut und hat mir einiges verdeutlicht und versteh jetzt einiges besser aber das Wireshark ist mir zu steil und ich hoffe ich werd es nicht mehr brauchen
Natürlich meinte ich DynDNS. Mein Fehler.

Danke euch beiden
Schurli

 

[Raijin]

Freut mich, dass du auf nem guten Weg bist. Die dynamische/statische WAN-IP musst du aber mit dem Provider absprechen! Dynamisch bedeutet, dass der Provider nach Lust und Laune bei jeder Einwahl eine neue IP vergibt. Es kann sein, dass man immer dieselbe bekommt, verlassen sollte man sich darauf auf keinen Fall -> Einstellung des zuständigen DHCP-Servers.
Wenn du jetzt einfach die aktuelle dynamische IP als statisch einträgst, kann es sein, dass der Provider heute Abend, morgen Mittag oder von mir aus auch in 8 Wochen diese IP wieder an einen anderen Kunden vergibt - wenn er nix davon weiß, dass da jetzt was statisch ist! IP-Adresskonflikt und nix geht mehr. Das ist genauso wie daheim im LAN. Statische IPs vergibt man nur außerhalb der dynamischen (DHCP) Range oder aber man "reserviert" im DHCP explizit diese Adresse für ClientXY. Das liegt in der Hand des Providers und nicht des Dienstleisters, der dir die Dosen verlegt und den Router anstöpselt.

Hintergrund ist der, dass statische IP-Adressen in der Regel Geld kosten - Stichwort: Adressenknappheit bei IPv4. Provider haben einen gewissen Pool an IPs zur Verfügung - zB 1000 - und vergeben diese dynamisch an 5000 Kunden, weil im Schnitt maximal 1000 gleichzeitig verbunden sind. Ansonsten bräuchte der Provider 5000 IPs, die er natürlich auch bezahlen muss... Deswegen nutzt man ja im privaten Bereich "DynDNS", weil man diese dynamische IP dann quasi statisch über eine URL wie meinserver.goip.de erreichen kann.

 

[Schurli30]

Upps! Hab mich wieder mal nicht deutlich ausgedrückt. Die Partnerfirma hat mir die statische WAN-IP über Telefon verraten. Er hat ja meine Kontaktdaten. Ich hatte leider die "neuen" Daten nach Umbau verlegt. Das meinte ich mit statisch machen.