Wie schütze ich am besten mein Heimnetzwerk davor dass eine Überwachungskamera nach Haus telefoniert ?

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Whow ... ist offensichtlich ein interessantes Thema

    Es ist kein UPnP in der Fritte enabled. Das war das erste was ich disabled habe denn UPnP ist ein Teuffelszeug welches einem unbemerkt Loecher in eine FW pieckst. Pihole war mein erster Versuch. Das funktioniert aber nicht da offensichtlich die IP Adresse und kein Hostname in der Cam zum Verbindungsaufbau genutzt wird. Deshalb ist der Ansatz mit der Kindersicherung nicht schlecht. Leider ist das nicht gezielt zu konfigurieren wie eine richtige Firewall. Deshalb waere mein Ansatz einen dedizierten AP mit einer Raspi 2B zu verbinden auf der ich mit netfilter gezielt die IPs blocke oder eben eine Raspi3 als AP mit netfilter aufsetze.

    rpi444 Als VPN benutze ich OpenVPN. Wenn ich es da irgendwie hinbekomme dass trotz Kindersicherung der Camzugriff ueber VPN moeglich ist waere das auch eine Alternative fuer mich.

    Die Cam zurueckzugeben ist keine Alternative da

    1) ich die Cam schon im Produktion habe

    2) P2P bei kostenguenstigen Cams offensichtlich Standard ist.

    3) Ich P2P auch in der CAM ausschalten kann. Dann bekomme ich Photos per eMail zugeschickt und kann wenn es notwendig ist mir die Videos auf meinem ftp Server ansehen. Ist nicht so komfortabel wie mit einer Android App aber durchaus auch noch eine moegliche Loesung

    zu deiner obigen Frage würde ich dazu raten auf einen dedizierten Router auszuweichen.

    Ich spiele auch immer mal wieder mit dem Gedanken managed Router mit VLAN bei mir einzusetzen. Dann muesste ich aber meine existierenden unmanaged Router alle ersetzen und unterschiedliche APs fuer Heimnetz, IOT Devices, Cam und GuestWLAN aufsetzen. Ist mir ehrlich gesagt etwas zu viel Aufwand fuer die Cam.

    Bei letzterem Problem wirst du via VPN mit einer externen IP an deinem Heimnetzwerk aufschlagen was von der Kindersicherung gefiltert wird. Du kommst da also nicht mit einer lokalen IP-Adresse an.

    Das verstehe ich nicht: Ich komme mit einer externen IP auf meinem OpenVPN Server an und bekomme eine VPN IP, in meinem Falle einer 10er IP die dann ins interne Netz geroutet wird und auf die 192.168 IP der Cam versucht zuzugreifen. Da sollte die Fritte nichts von merken dass ich auf die Cam zugreifen will.

  • Wie schütze ich am besten mein Heimnetzwerk davor dass eine Überwachungskamera nach Haus telefoniert ?? Schau mal ob du hier fündig wirst!

  • Ich komme mit einer externen IP auf meinem OpenVPN Server an und bekomme eine VPN IP, in meinem Falle einer 10er IP die dann ins interne Netz geroutet wird und auf die 192.168 IP der Cam versucht zuzugreifen. Da sollte die Fritte nichts von merken dass ich auf die Cam zugreifen will.

    Darf denn das Netz mit den 10er IP-Adressen auf das Netz 192.168.xxx zugreifen? Kannst Du mit einer 10er IP auf andere Geräte aus dem 192.168.xxxer Netz zugreifen?

  • ..., in meinem Falle einer 10er IP die dann ins interne Netz geroutet wird und auf die 192.168 IP der Cam versucht zuzugreifen.

    Kannst Du auf deinem OpenVPN-Client (Android?) eine Route in das Subnetz der Cam (192.168.178.0/24?), mit der 10er IP als gateway konfigurieren? Das Subnetz mit den 10er-IPs ist lediglich das VPN-Transfernetz.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Ich spiele auch immer mal wieder mit dem Gedanken managed Router mit VLAN bei mir einzusetzen. Dann muesste ich aber meine existierenden unmanaged Router alle ersetzen und unterschiedliche APs fuer Heimnetz, IOT Devices, Cam und GuestWLAN aufsetzen. Ist mir ehrlich gesagt etwas zu viel Aufwand fuer die Cam.

    Ich habe zwar keinen Blassen wie dein Netzwerk aussieht, aber grundsätzlich geht's mir nur um das Gateway (Fritbox für PPPOE-Aushandlung) und dahinter einen Router der als Exposed Host eingetragen ist und dann als Paketfilter und Router auftritt.

    Mir war nicht klar dass du einen dedizierten OpenVPN-Server betreibst, vergiss also was ich mit externer IP schrieb, das war natürlich quatsch. Ich hatte da einen Denkfehler.

    WiSo hat da eigentlich einen guten Einwand gebracht mit den unterschiedlichen Subnetzen.

    “Don’t comment bad code - rewrite it.”

    Brian Kernighan

  • Darf denn das Netz mit den 10er IP-Adressen auf das Netz 192.168.xxx zugreifen? Kannst Du mit einer 10er IP auf andere Geräte aus dem 192.168.xxxer Netz zugreifen?

    Benutzt Du OpenVPN oder hast Du OpenVPN (mit tun) schon mal benutzt?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (19. Mai 2021 um 23:01)

  • Kannst Du auf deinem OpenVPN-Client (Android?) eine Route in das Subnetz der Cam (192.168.178.0/24?), mit der 10er IP als gateway konfigurieren? Das Subnetz mit den 10er-IPs ist lediglich das VPN-Transfernetz.

    Die Cam hat ein Webfrontend welches ich mit meinem Mobile FF problemlos ueber OpenVPN erreichen kann. Auch kann ich alle meine lokalen Raspis per ssh Client vom Handy erreichen. Das funktioniert da ich in der OpenVPN Server folgende Config vorgenommen habe:

    Code
    # Push routes to the client to allow it
    # to reach other private subnets behind
    # the server.  Remember that these
    # private subnets will also need
    # to know to route the OpenVPN client
    # address pool (10.8.0.0/255.255.255.0)
    # back to the OpenVPN server.
    push "route 192.168.0.0 255.255.255.0"

    Deshalb hatte ich auch vermutet dass P2P ueber OpenVPN auch funktionieren muesste denn wenn ich lokal im Heimnetz bin tut es auch. ich denke es fehlt noch irgendein Netzwerksetting. Leider habe ich bislang keine Idee wo ich da suchen muss denn wie gesagt funktioniert ansonsten der VPN Zugriff auf das Heimnetz sehr gut.

    PS: Mir faellt gerade ein dass das P2P Protokoll UDP benutzt und nicht TCP. Kann es irgendwie daran liegen?

  • PS: Mir faellt gerade ein dass das P2P Protokoll UDP benutzt und nicht TCP. Kann es irgendwie daran liegen?

    Nein, denn man kann auch UDP-traffic durch einen OpenVPN-Tunnel senden bzw. empfangen.

    Der OpenVPN-Server ist ja das gateway für den VPN-Traffic (p2P) zur Cam.

    Teste mal auf dem OpenVPN-Server mit tcpdump (und einem geeigneten Filter), ob der P2P-Traffic vom Client, das tun-Interface und das output-Interface auf dem OpenVPN-Server passiert bzw. erreicht.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • gute Frage, die stelle ich mir auch bei meinem Staubsaugerroboter der im wlan ist und die HandyApp auch alles freigibt!

    Leider sind alle chinesischen o.ä. SW so das in google alles freigegeben werden muss, komplettes Handy auslesen, Bilder Zugriff und Löscherlaubnis fürs ganze Handy, auch bei parknow App, die spinnen doch ALLE!

    Ich überlege gerade mit einem Gasaccount in der Fritzbox nur temporär freizugeben, weiss aber nicht welche Ports die SW bedient!

    lasst die PIs & ESPs am Leben !
    Energiesparen:
    Das Gehirn kann in Standby gehen. Abschalten spart aber noch mehr Energie, was immer mehr nutzen. Dieter Nuhr
    (ich kann leider nicht schneller fahren, vor mir fährt ein GTi)

  • Teste mal auf dem OpenVPN-Server mit tcpdump (und einem geeigneten Filter), ob der P2P-Traffic vom Client, das tun-Interface und das output-Interface auf dem OpenVPN-Server passiert bzw. erreich

    Habe ich eben mal auf dem VPN Server geprueft. ich sehe den udp Traffic zur Cam. Sobald ich p2p an der Cam ausschalte sehe ich immer noch udp Traffic aber mein Mobile kann nicht mehr zur Cam ueber VPN zugreifen :no_sad: D.h. ich muss den Traffic mal genauer analysieren und die Unterschiede rausfinden. Wird wohl etwas dauern :shy:

  • ... aber mein Mobile kann nicht mehr zur Cam ueber VPN zugreifen

    Warum kann dein Mobile nicht mehr über VPN auf die Cam? Hat es was mit der Anwendung (App? auf dem Mobile?) zu tun oder kommt generell kein Traffic vom Mobile zur Cam zustande?

    Hast Du auf dem OpenVPN-Server (d. h. auf dem gateway) für das tun-Interface und für das output-Interface, das allgemeine source-NAT (MASQUERADE) konfiguriert?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Warum kann dein Mobile nicht mehr über VPN auf die Cam? Hat es was mit der Anwendung (App? auf dem Mobile?) zu tun oder kommt generell kein Traffic vom Mobile zur Cam zustande?

    Sobald ich die App starte sehe ich Traffic ueber deas VPN an die interne Cam 192er IP. D.h. ich vermute es liegt irgendwie am Kommunikationsprotokoll der Cam.

    Hast Du auf dem OpenVPN-Server (d. h. auf dem gateway) für das tun-Interface und für das output-Interface, das allgemeine source-NAT (MASQUERADE) konfiguriert?

    Ist schon lange her dass ich das OpenVPN eingerichtet habe. Kann ich leider gerade nicht pruefen da ich

    Code
    root@troubadix:~# iptables -Ln
    iptables/1.8.2 Failed to initialize nft: Protocol not supported

    erhalte.

    Da ich gerade unterwegs bin moechte ich jetzt gerade nicht am VPN Server rumkonfigurieren und mir u.U. die Homeconnectivity zerstoeren :no_sad: Wenn ich die Tage wieder zu Hause bin fixe ich o.g. Problem und pruefe ob MASQ konfiguriert ist. Sollte allerdings denn nach meinem Verstaendnis würde das VPN dann nicht funktionieren.

  • Sobald ich die App starte sehe ich Traffic ueber deas VPN an die interne Cam 192er IP. D.h. ich vermute es liegt irgendwie am Kommunikationsprotokoll der Cam.

    Code
    root@troubadix:~# iptables -Ln
    iptables/1.8.2 Failed to initialize nft: Protocol not supported

    erhalte.

    Versuch mit:

    Code
    iptables -nvx -L POSTROUTING -t nat

    und mit:

    Code
    iptables-legacy -nvx -L POSTROUTING -t nat

    Aber den Traffic von der App via VPN an die interne 192-er IP der Cam, ... kannst Du diesen Traffic irgendwie zuordnen? Kommt diese Art von Traffic auch dann zustande, wenn sich die App _nicht_ via VPN, mit der Cam verbindet/kommuniziert?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Ich habe gelesen dass ein reboot mein iptables Problem beseitigt und es auch getan :-/ ... und die Ausgaben von iptables und iptables-legacy zeigen keine nat Regeln.

    Wenn ich die Kindersicherung anschalte findest keine Kommunikation mit der Cam vom Mobile statt. :wallbash:

    Das interessante ist - sobald ich die Kindersicherung einschalte funktioniert noch alles über VPN. Wenn ich dann die Cam restarte passiert nichts mehr :conf:

  • ... und die Ausgaben von iptables und iptables-legacy zeigen keine nat Regeln.

    Wenn ich die Kindersicherung anschalte findest keine Kommunikation mit der Cam vom Mobile statt.

    OK, dann machen wir erst weiter, wenn Du zu Hause an deinem Server bist.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • So - ich bin wieder @home und kann an meinem OpenVPN rumschrauben :lol:

    Hast Du auf dem OpenVPN-Server (d. h. auf dem gateway) für das tun-Interface und für das output-Interface, das allgemeine source-NAT (MASQUERADE) konfiguriert?

    Habe ich nicht. Ich war bislang der Meinung dass routing auf dem Server enabled sein muss aber sonst nichts weiter. Wie gesagt komme ich ja auch so per ssh an all meine Raspis von Remote ran :conf:

  • Wie gesagt komme ich ja auch so per ssh an all meine Raspis von Remote ran

    Benutzt Du das ssh, via VPN bzw. fungiert nur einer deiner Raspis als VPN-gateway?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Eine Raspi ist dediziert dafuer aufgesetzt.

    Dann starte auf diesem PI (VPN-gateway) tcpdump auf dem output-Interface und als Filter den lauschenden UDP-Port der Cam.

    Was zeigt tcpdump nach einem Zugriff per Mobile und VPN auf die Cam, an?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Ich bin nicht ganz sicher was Du als output Interface meinst. (.151 ist die IP der Cam).

    Code
    tcpdump -i eth0 ! port 22 and host 192.168.0.151

    liefert nichts.

    Code
    tcpdump -i tun0 ! port 22 and host 192.168.0.151

    liefert auch nichts.

    Code
    tcpdump -i tun0 ! port 22

    liefert

    Das verstehe ich nicht denn ich haette irgendwo die .151 IP der Cam erwartet zu sehen :denker:

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!