Wie schütze ich am besten mein Heimnetzwerk davor dass eine Überwachungskamera nach Haus telefoniert ?

  • Whow ... ist offensichtlich ein interessantes Thema


    Es ist kein UPnP in der Fritte enabled. Das war das erste was ich disabled habe denn UPnP ist ein Teuffelszeug welches einem unbemerkt Loecher in eine FW pieckst. Pihole war mein erster Versuch. Das funktioniert aber nicht da offensichtlich die IP Adresse und kein Hostname in der Cam zum Verbindungsaufbau genutzt wird. Deshalb ist der Ansatz mit der Kindersicherung nicht schlecht. Leider ist das nicht gezielt zu konfigurieren wie eine richtige Firewall. Deshalb waere mein Ansatz einen dedizierten AP mit einer Raspi 2B zu verbinden auf der ich mit netfilter gezielt die IPs blocke oder eben eine Raspi3 als AP mit netfilter aufsetze.


    rpi444 Als VPN benutze ich OpenVPN. Wenn ich es da irgendwie hinbekomme dass trotz Kindersicherung der Camzugriff ueber VPN moeglich ist waere das auch eine Alternative fuer mich.


    Die Cam zurueckzugeben ist keine Alternative da

    1) ich die Cam schon im Produktion habe

    2) P2P bei kostenguenstigen Cams offensichtlich Standard ist.

    3) Ich P2P auch in der CAM ausschalten kann. Dann bekomme ich Photos per eMail zugeschickt und kann wenn es notwendig ist mir die Videos auf meinem ftp Server ansehen. Ist nicht so komfortabel wie mit einer Android App aber durchaus auch noch eine moegliche Loesung


    zu deiner obigen Frage würde ich dazu raten auf einen dedizierten Router auszuweichen.

    Ich spiele auch immer mal wieder mit dem Gedanken managed Router mit VLAN bei mir einzusetzen. Dann muesste ich aber meine existierenden unmanaged Router alle ersetzen und unterschiedliche APs fuer Heimnetz, IOT Devices, Cam und GuestWLAN aufsetzen. Ist mir ehrlich gesagt etwas zu viel Aufwand fuer die Cam.


    Bei letzterem Problem wirst du via VPN mit einer externen IP an deinem Heimnetzwerk aufschlagen was von der Kindersicherung gefiltert wird. Du kommst da also nicht mit einer lokalen IP-Adresse an.

    Das verstehe ich nicht: Ich komme mit einer externen IP auf meinem OpenVPN Server an und bekomme eine VPN IP, in meinem Falle einer 10er IP die dann ins interne Netz geroutet wird und auf die 192.168 IP der Cam versucht zuzugreifen. Da sollte die Fritte nichts von merken dass ich auf die Cam zugreifen will.

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert =O Bei mir tut das raspiBackup automatisch ;)

  • Ich komme mit einer externen IP auf meinem OpenVPN Server an und bekomme eine VPN IP, in meinem Falle einer 10er IP die dann ins interne Netz geroutet wird und auf die 192.168 IP der Cam versucht zuzugreifen. Da sollte die Fritte nichts von merken dass ich auf die Cam zugreifen will.

    Darf denn das Netz mit den 10er IP-Adressen auf das Netz 192.168.xxx zugreifen? Kannst Du mit einer 10er IP auf andere Geräte aus dem 192.168.xxxer Netz zugreifen?

  • ..., in meinem Falle einer 10er IP die dann ins interne Netz geroutet wird und auf die 192.168 IP der Cam versucht zuzugreifen.

    Kannst Du auf deinem OpenVPN-Client (Android?) eine Route in das Subnetz der Cam (192.168.178.0/24?), mit der 10er IP als gateway konfigurieren? Das Subnetz mit den 10er-IPs ist lediglich das VPN-Transfernetz.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Ich spiele auch immer mal wieder mit dem Gedanken managed Router mit VLAN bei mir einzusetzen. Dann muesste ich aber meine existierenden unmanaged Router alle ersetzen und unterschiedliche APs fuer Heimnetz, IOT Devices, Cam und GuestWLAN aufsetzen. Ist mir ehrlich gesagt etwas zu viel Aufwand fuer die Cam.


    Ich habe zwar keinen Blassen wie dein Netzwerk aussieht, aber grundsätzlich geht's mir nur um das Gateway (Fritbox für PPPOE-Aushandlung) und dahinter einen Router der als Exposed Host eingetragen ist und dann als Paketfilter und Router auftritt.


    Mir war nicht klar dass du einen dedizierten OpenVPN-Server betreibst, vergiss also was ich mit externer IP schrieb, das war natürlich quatsch. Ich hatte da einen Denkfehler.


    WiSo hat da eigentlich einen guten Einwand gebracht mit den unterschiedlichen Subnetzen.

    “Don’t comment bad code - rewrite it.”

  • Darf denn das Netz mit den 10er IP-Adressen auf das Netz 192.168.xxx zugreifen? Kannst Du mit einer 10er IP auf andere Geräte aus dem 192.168.xxxer Netz zugreifen?

    Benutzt Du OpenVPN oder hast Du OpenVPN (mit tun) schon mal benutzt?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Edited once, last by rpi444 ().

  • Kannst Du auf deinem OpenVPN-Client (Android?) eine Route in das Subnetz der Cam (192.168.178.0/24?), mit der 10er IP als gateway konfigurieren? Das Subnetz mit den 10er-IPs ist lediglich das VPN-Transfernetz.

    Die Cam hat ein Webfrontend welches ich mit meinem Mobile FF problemlos ueber OpenVPN erreichen kann. Auch kann ich alle meine lokalen Raspis per ssh Client vom Handy erreichen. Das funktioniert da ich in der OpenVPN Server folgende Config vorgenommen habe:

    Code
    # Push routes to the client to allow it
    # to reach other private subnets behind
    # the server.  Remember that these
    # private subnets will also need
    # to know to route the OpenVPN client
    # address pool (10.8.0.0/255.255.255.0)
    # back to the OpenVPN server.
    push "route 192.168.0.0 255.255.255.0"

    Deshalb hatte ich auch vermutet dass P2P ueber OpenVPN auch funktionieren muesste denn wenn ich lokal im Heimnetz bin tut es auch. ich denke es fehlt noch irgendein Netzwerksetting. Leider habe ich bislang keine Idee wo ich da suchen muss denn wie gesagt funktioniert ansonsten der VPN Zugriff auf das Heimnetz sehr gut.


    PS: Mir faellt gerade ein dass das P2P Protokoll UDP benutzt und nicht TCP. Kann es irgendwie daran liegen?

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert =O Bei mir tut das raspiBackup automatisch ;)

  • PS: Mir faellt gerade ein dass das P2P Protokoll UDP benutzt und nicht TCP. Kann es irgendwie daran liegen?

    Nein, denn man kann auch UDP-traffic durch einen OpenVPN-Tunnel senden bzw. empfangen.

    Der OpenVPN-Server ist ja das gateway für den VPN-Traffic (p2P) zur Cam.

    Teste mal auf dem OpenVPN-Server mit tcpdump (und einem geeigneten Filter), ob der P2P-Traffic vom Client, das tun-Interface und das output-Interface auf dem OpenVPN-Server passiert bzw. erreicht.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • gute Frage, die stelle ich mir auch bei meinem Staubsaugerroboter der im wlan ist und die HandyApp auch alles freigibt!

    Leider sind alle chinesischen o.ä. SW so das in google alles freigegeben werden muss, komplettes Handy auslesen, Bilder Zugriff und Löscherlaubnis fürs ganze Handy, auch bei parknow App, die spinnen doch ALLE!


    Ich überlege gerade mit einem Gasaccount in der Fritzbox nur temporär freizugeben, weiss aber nicht welche Ports die SW bedient!

    lasst die PIs & ESPs am Leben !
    Energiesparen:
    Das Gehirn kann in Standby gehen. Abschalten spart aber noch mehr Energie, was immer mehr nutzen. Dieter Nuhr
    (ich kann leider nicht schneller fahren, vor mir fährt ein GTi)

  • Teste mal auf dem OpenVPN-Server mit tcpdump (und einem geeigneten Filter), ob der P2P-Traffic vom Client, das tun-Interface und das output-Interface auf dem OpenVPN-Server passiert bzw. erreich

    Habe ich eben mal auf dem VPN Server geprueft. ich sehe den udp Traffic zur Cam. Sobald ich p2p an der Cam ausschalte sehe ich immer noch udp Traffic aber mein Mobile kann nicht mehr zur Cam ueber VPN zugreifen :no_sad: D.h. ich muss den Traffic mal genauer analysieren und die Unterschiede rausfinden. Wird wohl etwas dauern :shy:

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert =O Bei mir tut das raspiBackup automatisch ;)

  • ... aber mein Mobile kann nicht mehr zur Cam ueber VPN zugreifen

    Warum kann dein Mobile nicht mehr über VPN auf die Cam? Hat es was mit der Anwendung (App? auf dem Mobile?) zu tun oder kommt generell kein Traffic vom Mobile zur Cam zustande?

    Hast Du auf dem OpenVPN-Server (d. h. auf dem gateway) für das tun-Interface und für das output-Interface, das allgemeine source-NAT (MASQUERADE) konfiguriert?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Warum kann dein Mobile nicht mehr über VPN auf die Cam? Hat es was mit der Anwendung (App? auf dem Mobile?) zu tun oder kommt generell kein Traffic vom Mobile zur Cam zustande?

    Sobald ich die App starte sehe ich Traffic ueber deas VPN an die interne Cam 192er IP. D.h. ich vermute es liegt irgendwie am Kommunikationsprotokoll der Cam.

    Hast Du auf dem OpenVPN-Server (d. h. auf dem gateway) für das tun-Interface und für das output-Interface, das allgemeine source-NAT (MASQUERADE) konfiguriert?

    Ist schon lange her dass ich das OpenVPN eingerichtet habe. Kann ich leider gerade nicht pruefen da ich

    Code
    root@troubadix:~# iptables -Ln
    iptables/1.8.2 Failed to initialize nft: Protocol not supported

    erhalte.


    Da ich gerade unterwegs bin moechte ich jetzt gerade nicht am VPN Server rumkonfigurieren und mir u.U. die Homeconnectivity zerstoeren :no_sad: Wenn ich die Tage wieder zu Hause bin fixe ich o.g. Problem und pruefe ob MASQ konfiguriert ist. Sollte allerdings denn nach meinem Verstaendnis würde das VPN dann nicht funktionieren.

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert =O Bei mir tut das raspiBackup automatisch ;)

  • Sobald ich die App starte sehe ich Traffic ueber deas VPN an die interne Cam 192er IP. D.h. ich vermute es liegt irgendwie am Kommunikationsprotokoll der Cam.

    Code
    root@troubadix:~# iptables -Ln
    iptables/1.8.2 Failed to initialize nft: Protocol not supported

    erhalte.

    Versuch mit:

    Code
    iptables -nvx -L POSTROUTING -t nat

    und mit:

    Code
    iptables-legacy -nvx -L POSTROUTING -t nat

    Aber den Traffic von der App via VPN an die interne 192-er IP der Cam, ... kannst Du diesen Traffic irgendwie zuordnen? Kommt diese Art von Traffic auch dann zustande, wenn sich die App _nicht_ via VPN, mit der Cam verbindet/kommuniziert?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Ich habe gelesen dass ein reboot mein iptables Problem beseitigt und es auch getan :-/ ... und die Ausgaben von iptables und iptables-legacy zeigen keine nat Regeln.


    Wenn ich die Kindersicherung anschalte findest keine Kommunikation mit der Cam vom Mobile statt. :wallbash:


    Das interessante ist - sobald ich die Kindersicherung einschalte funktioniert noch alles über VPN. Wenn ich dann die Cam restarte passiert nichts mehr :conf:

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert =O Bei mir tut das raspiBackup automatisch ;)

  • ... und die Ausgaben von iptables und iptables-legacy zeigen keine nat Regeln.


    Wenn ich die Kindersicherung anschalte findest keine Kommunikation mit der Cam vom Mobile statt.

    OK, dann machen wir erst weiter, wenn Du zu Hause an deinem Server bist.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • So - ich bin wieder @home und kann an meinem OpenVPN rumschrauben :lol:

    Hast Du auf dem OpenVPN-Server (d. h. auf dem gateway) für das tun-Interface und für das output-Interface, das allgemeine source-NAT (MASQUERADE) konfiguriert?

    Habe ich nicht. Ich war bislang der Meinung dass routing auf dem Server enabled sein muss aber sonst nichts weiter. Wie gesagt komme ich ja auch so per ssh an all meine Raspis von Remote ran :conf:

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert =O Bei mir tut das raspiBackup automatisch ;)

  • Wie gesagt komme ich ja auch so per ssh an all meine Raspis von Remote ran

    Benutzt Du das ssh, via VPN bzw. fungiert nur einer deiner Raspis als VPN-gateway?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • fungiert nur einer deiner Raspis als VPN-gateway?

    Jupp. Eine Raspi ist dediziert dafuer aufgesetzt. Darueber greife ich sowohl per Schlepptop als auch Mobile per OpenVPN auf alle Systeme @home zu. Sei es ssh/git und diverse Webanwendungen.

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert =O Bei mir tut das raspiBackup automatisch ;)

  • Eine Raspi ist dediziert dafuer aufgesetzt.

    Dann starte auf diesem PI (VPN-gateway) tcpdump auf dem output-Interface und als Filter den lauschenden UDP-Port der Cam.

    Was zeigt tcpdump nach einem Zugriff per Mobile und VPN auf die Cam, an?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

  • Ich bin nicht ganz sicher was Du als output Interface meinst. (.151 ist die IP der Cam).


    Code
    tcpdump -i eth0 ! port 22 and host 192.168.0.151

    liefert nichts.


    Code
    tcpdump -i tun0 ! port 22 and host 192.168.0.151

    liefert auch nichts.

    Code
    tcpdump -i tun0 ! port 22

    liefert

    Das verstehe ich nicht denn ich haette irgendwo die .151 IP der Cam erwartet zu sehen :denker:

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert =O Bei mir tut das raspiBackup automatisch ;)