Unifi Security Gateway Portweiterleitung funktioniert nicht

locke87

Lt. Junior Grade
Registriert
Jan. 2008
Beiträge
502
Hallo liebe Community,

ich habe mir zu Hause nun ebenfalls ein Unifi Netzwerk aufgebaut und hoffe, mir kann Jemand weiter helfen. So sieht es aus:

Draytek Vigor 2762 im Full Bridge Mode
Security Gateway
Cloud Key Gen 2 Plus
Accesspoint AC AP Pro
Firtzbox 7530 via LAN 1 als Telefonanlage (DECT)

Nun habe ich 2 Instar Überwachungskameras. Eine läuft (aktuell noch zu testzwecken) über HTTPS Port 443 und sobald ich diesen Port via Portfreigabe freigebe, funktioniert der Zugriff auch von außen. Für die zweite Kamera kann ich für HTTPS jeden beliebigen Port freigeben, die Kamera sagt aber, der Port ist zu und der Zugriff von außen klappt nicht. In der Kamera hinterlegt ist natürlich auch der https Port, den ich nach außen hin nutzen möchte. Mache ich einen Portscan von außen, ist der gewünschte Port allerdings offen. Aktuell Port 1010.

Mit freundlichen Grüßen
Locke
 

Anhänge

  • port.PNG
    port.PNG
    27 KB · Aufrufe: 756
  • port3.PNG
    port3.PNG
    34 KB · Aufrufe: 662
  • port2.PNG
    port2.PNG
    19,1 KB · Aufrufe: 628
Zuletzt bearbeitet:
Ein (externer) Port kann nur einmal weitergeleitet werden. Wenn du also von außen bereits einmal 443 --> Kamera1:443 weitergeleitet hast, kannst du für die zweite Kamera nur zB 8443 --> Kamera2:443 weiterleiten. Der externe Port wird geändert, der interne Port (der an der Kamera selbst) bleibt bei 443.
 
Soweit klar, ich habe den Port natürlich auch in der Kamera entsprechend hinterlegt. Port 443 ist für Kamera 1, der zweite (hier im Beispiel Port 1010) ist für Kamera 2.
 
locke87 schrieb:
Eine läuft über HTTPS Port 443 und sobald ich diesen Port via Portfreigabe freigebe, funktioniert der Zugriff auch von außen.

Wie gruselig!
Da freuen sich die Hacker das du den https Standardport nimmst und sie so in dein Wohnzimmer schauen können, wirklich clever!

Also nimm bitte wenigstens für jede Kamera einen separaten hohen Port mit Portumleitung auf die 443 der Kamera.
Noch besser wäre es zudem dein System zu überdenken, zum Beispiel alle Geräte hinter einen lokalen SSH Server, der nur durch einen Port von Außen durch einen SSH Tunnel erreichbar ist, zu hängen.
 
Wenn die Kameras nicht für die Öffentlichkeit gedacht sind, wäre ein VPN die bessere Lösung.
Ich würde Kameras aus zwei Gründen nicht in das Internet hängen. Die Firmware ist alles andere als sicher und sie wäre in kurzer Zeit ein Teil von einem Botnet. Auch können Fremde dann darüber problemlos die Videos schauen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: up.whatever und holdes
leipziger1979 schrieb:
Wie gruselig!
Da freuen sich die Hacker das du den https Standardport nimmst und sie so in dein Wohnzimmer schauen können, wirklich clever!
.....

Das hilft natürlich ungemein weiter. Für beide Kameras sollen andere Ports genutzt werden. Port 443 ist in der Instar Kamera voreingestellt und funktioniert, mehr wollte ich damit nicht sagen. Es werden auch keine Standard Zugangsdaten für die Kamera genutzt und die hängen auch nur im Außenbereich also immer mit der Ruhe. Natürlich kann man sowas auch sicherer via SSH oder VPN Tunnel realisieren aber darum geht es hier ja nicht.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: e_Lap
du kannst ja einfach Zufallsports nehmen

extern:47278 -> kamera1:443
extern:38718 -> kamera2:443

dann hast du deine externen Ports auf die wenigstens nicht jeder gleich kommt und intern musst du nichts umstellen :)
 
Absolut, allerdings funktioniert diese Portfreigabe wohl nicht korrekt und ich weiß nicht wieso. Nach außen scheint dieser wohl freigegeben zu sein aber das routing im Netzwerk scheint nicht zur richtigen Stelle zu gehen. Die Firewall ist leider nicht sonderlich intuitiv. Sonst muss ich mich mal mit den Log-Funktionen von Unifi vertraut machen.
 
Zeig doch einfach mal was du eingestellt hast, so mit Screenshots und so.

Eine Portweiterleitung besteht normalerweise aus zwei Komponenten, der eigentlichen Weiterleitung (NAT/PAT) und der Ausnahme in der Firewall. Letztere wird bei Wizards, also den Portweiterleitungs-Assistenten bei 08/15 Routern, im Hintergrund automatisch hinzugefügt.
 
Erstes Bild bei "Weiterleiten an Port" muss 443 rein. So wie du es eingerichtet hast kommen Anfragen von außen auf Port 1010 rein und werden an die Kamera Port 1010 weitergeleitet. Du willst ja Port 1010 an 443 für diese Kamera weiter leiten.
 
Zuletzt bearbeitet:
snaxilian schrieb:
Erstes Bild bei "Weiterleiten an Port" muss 443 rein. So wie du es eingerichtet hast kommen Anfragen von außen auf Port 1010 rein und werden an die Kamera Port 1010 weitergeleitet. Du willst ja Port 1010 an 443 für diese Kamera weiter leiten.

Nein, ich will Port 1010 auch an 1010 weiterleiten. Dieser ist in der Kamera hinterlegt.
 
Lass den lokalen Port an der Kamera bitte bei 443. Es ist sinnfrei, diesen am Gerät zu ändern. Portweiterleitungen müssen in keinster Weise 1:1 den Port durchschneiden, sondern können ihn problemlos währenddessen auch ändern.

PW1 = extern:443 --> kamera1:443
PW2 = extern:1010 --> kamera2:443

Der Vorteil ist, dass man die Kameras intern sogar ohne Portangabe einfach mit https://kamera1 aufrufen kann, weil der Browser durch das https den Port 443 implizit ergänzt.


Wurden die Firewall-Regeln 3003+3004 automatisch hinzugefügt oder hast du sie von Hand eingetragen? Ich frage deshalb, weil bei EdgeOS die Ausnahmen in der Firewall normalerweise hinter den Kulissen in einer separaten Chain hinzugefügt werden und in der GUI gar nicht sichtbar sind - zumindest war das ursprünglich so.


Und wie testest du das nun eigentlich? Nur mit einem Portscanner oder mit einem Browser? Wenn letzteres, was genau gibst du in der Adresszeile ein?

"http://blabla.blubb.de"
"http://blabla.blubb.de:1010"
"https://blabla.blubb.de"
"https://blabla.blubb.de:1010"

Nur letzteres wäre korrekt.

Und wenn du es im Browser testest, tust du es von innerhalb des eigenen Netzwerks oder zB über einen Handyhotspot?
 
Raijin schrieb:
Lass den lokalen Port an der Kamera bitte bei 443. Es ist sinnfrei, diesen am Gerät zu ändern. Portweiterleitungen müssen in keinster Weise 1:1 den Port durchschneiden, sondern können ihn problemlos währenddessen auch ändern.

Soweit klar und deine Erläuterung ergibt Sinn, so musste ich immer den Port hinter die Domain schreiben. Getestet wird im Browser intern und extern mit angehangenem Port. Die 3000er Regeln werden automatisch gesetzt und sind immer sofort sichtbar. Das war wohl vor nicht allzu langer Zeit noch nicht so. Sobald Du die Portfreigabe setzt, tauchen die Regeln dort auf. Die Instar Kamera bietet die Möglichkeit, die Portfreigabe auch direkt zu prüfen. Die Umstellung auf Port 443 intern inkl. Weiterleitung 1010 auf 443 bringt keine Veränderung.
 
locke87 schrieb:
Die Instar Kamera bietet die Möglichkeit, die Portfreigabe auch direkt zu prüfen.
Und du kannst garantieren, dass diese Prüfung auch einen anders konfigurierten Port prüft und nicht nur stumpf immer 443?
Schaue ich mir die "Qualität" von IoT Produkten, vermeintlichen Sicherheitslösungen, etc in den letzten Jahren an hab ich da eher keine große Hoffnung...

Das absolut einzig relevante ist doch ob du mit extern 1010 auf intern 443 die Kamera erreichst. Wenn ja, ist doch alles gut und ich sehe kein Problem mehr und der Thread ist gelöst :D
 
snaxilian schrieb:
Und du kannst garantieren, dass diese Prüfung auch einen anders konfigurierten Port prüft und nicht nur stumpf immer 443?
Schaue ich mir die "Qualität" von IoT Produkten, vermeintlichen Sicherheitslösungen, etc in den letzten Jahren an hab ich da eher keine große Hoffnung...

Das absolut einzig relevante ist doch ob du mit extern 1010 auf intern 443 die Kamera erreichst. Wenn ja, ist doch alles gut und ich sehe kein Problem mehr und der Thread ist gelöst :D

Wie Du oben gelesen hast, habe ich alle Wege geprüft und nein, es funktioniert leider nicht...
 
Du hast noch nicht beantwortet wie genau du die Kamera im Browser aufrufst (siehe #13).

Zum Test kannst du die Weiterleitungen auch einfach mal umdrehen, also Kamera1 über 1010 und Kamera2 über 443 extern.

In 99 von 100 Threads dieser Art ist die Portweiterleitung gar nicht das Problem, sondern die Rahmenbedingungen, sei es das Zielgerät, der Internetanschluss, die Testmethode. Wenn ein Router einen Port weiterleitet, gibt es keinen Grund, dass er einen zweiten Port nicht weiterleitet.
 
  • Gefällt mir
Reaktionen: snaxilian
Zurück
Oben