Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst WatchGuard XTM22-W Firewall Regel IP Kamera

Mitglied: demetz

demetz (Level 1) - Jetzt verbinden

07.06.2014 um 13:12 Uhr, 2696 Aufrufe, 4 Kommentare

Hallo,

kurze Frage, stehe etwas auf dem Schlauch glaube ich.

Folgende Situation:

WatchGuard Firewall hängt hinter der FritzBox.

FritzBox:
IP Adresse: 192.168.178.1
Exposd Host Eintrag auf die 192.168.178.2

WatchGuard IP Konifguration
Externel Inteface IP: 192.168.178.2
Port 1 - 5 Bridged Mode Netz 192.168.1.0/24 DHCP 20-200.

Somit geht der komplette Internet Traffic über die WatchGuard Firewall.

Die Netzwerkkameras um die es geht haben die IP Adressen:

192.168.1.5
192.168.1.6

Bisher konnte ich die Kameras immer über die dynDNS die in der FirtzBox eingetragen ist erreichen.
Ports in der FritzBox habe ich damals wie folgt konfiguriert:

Port von 8081 bis 8081
an IP 192.168.1.5 (Cam01)
an Port 80

Wie realisiere ich dies in der WatchGuard Firewall als Regel?

Vielen Dank!
Mitglied: aqui
07.06.2014, aktualisiert um 14:47 Uhr
Somit geht der komplette Internet Traffic über die WatchGuard Firewall.
Nein ! Alles was aus .178.0 /24 ins Internet geht nicht ! Einzig alles was aus .1.0 /24 ins Internet geht !

Du hast jetzt einen Router Kaskade aus 2 NAT Routern, da die Firebox hier wie ein NAT Router anzusehen ist. Beschrieben hier in der "Alternative 2":
https://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...
Technisch sehr unschön aber nungut....du hast es ja selber so gewollt.

Nachteil solch eines Konstrukts ist das du nun zwei kaskadierte NAT Firewall Systeme hast ! Logishcerweise musst du nun also 2mal Port Forwarding machen, damit Verbindungen von außen die Kameras erreichen können !
Also...
  • Einmal in der FB wie du es schon hattest nun aber auf die IP der Watchguard
  • Dann auf der Watchguard auf die reellen IPs der Kameras
ACHTUNG: Du musst zwingend die erste Port Forwarding Regel entfernen, denn "exposed Host" nimmt einzig nur alle Ports die NICHT lokal fürs Port Forwarding oder eigene Funktionen der Fritzbox verwendet werden !!
Löschst du also die PFW Regel für TCP 8081 nicht blockt sie die Fritzbox !
Wenn du das beachtest funktioniert es auf Anhieb !
Nochmal ACHTUNG. Bei der Firebox musst du zusätzlich zur Port Forwarding Regel auch noch eingehende TCP Sessions auf dem WAN Port 178.2 für deine Kameras erlauben. Eine Firewall blockt überlicherweise jeglichen eingehenden Traffic !

Nachteil des ganzen Konstrukts:
  • Port Forwarding ist sehr gefährlich, denn damit werden deine Video Daten komplett unverschlüsselt übertragen !! Die ganze Welt kann also ungehindert mitsehen WAS deine Kameras so alles einfangen. OK wenn du nur den Wellensittich von Oma Grete damit beobachtest sicher kein Thema. Bei anderen Daten aber schon !
Vergiss das nicht!
Es ist vollkommen unverständlich warum du hier nicht mit VPNs arbeitest ???
Du setzt zwei ! Komponenten ein die uneingeschränkt VPN fähig sind !
a) Kannst du damit eine verschlüsselte Video Verbindung sicherstellen und b) ersparst du dir vollkommen diese unsägliche Frickelei mit Port Forwarding und FW Regeln ohne zusätzlich Löcher in deine beiden Firewalls zu bohren.

Warum also so ein unsicherer und laienhafter Bastelkram ? Oder ziehst du dir auch die Hose mit der Kneifzange an...vermutlich wohl ja ?!
Fazit: VPN benutzen und gut iss !
Bitte warten ..
Mitglied: demetz
07.06.2014 um 14:50 Uhr
Hallo,

vielen Dank für deine lange Erklärung, jedoch stimmt die nicht so ganz, mit dem Exposed Host Eintrag leite ich alles was
bei der FritzBox an kommt an die FW weiter.

Somit muss ich auf keinen Fall ein Forwarding auf der FritzBox machen, sonst würde das ganze Konstrukt nicht funktionieren.

Ich konnte das Problem jedoch gerade lösen, beim SNAT auf der Firewall hat der Port 80 für die interne Kommunikation im Netz
zur Kamera gefehlt.

Mir ist natürlich klar das die Ports 8081 ... nicht sich sind, jedoch geht es hier um einen Einsatz für eine kurze Zeit, und viele User.

Vielen Dank für die Mit Hilfe.
Bitte warten ..
Mitglied: Pjordorf
07.06.2014 um 15:27 Uhr
Hallo,

Zitat von demetz:

jedoch stimmt die nicht so ganz, mit dem Exposed Host Eintrag leite ich alles was bei der FritzBox an kommt an die FW weiter.
Aber nur die Ports welche NICHT in eine Portforwarding Regeln genannt sind werden an den Exposed Host geleitet. aqui hat Recht.

Somit muss ich auf keinen Fall ein Forwarding auf der FritzBox machen, sonst würde das ganze Konstrukt nicht funktionieren.
Du hast aber auch recht mit deiner Aussage, weil du genau das bestätigst was aqui gesagt hat

Und es ist aus deinen Informationen nicht eindeutig zu entnehmen das jetzt kein Portforwarding mehr existiert. Du weist was du wie und wo aufgebaut hast. Wir können nur aus deinen uns genannten geschreibsel entnehmen was du tatsächlich hast. Wir sind zwar geübte Kristallkugelnutzer und haben auch alle einen gültigen Wartungsvertrag bei der Hexeninnung, aber es ist oft nicht eindeutig.

Ich konnte das Problem jedoch gerade lösen, beim SNAT auf der Firewall hat der Port 80 für die interne Kommunikation im Netz zur Kamera gefehlt.
Im Prinzip nichts anderes was auch deine Frittenschleuder macht, nur eben anders

jedoch geht es hier um einen Einsatz für eine kurze Zeit, und viele User.
Das schreit doch dann danach die WebCams direkt in die sogenannte DMZ (für Arme) zu stellen, nämlich zwischen Frittenschmiede und Watchguard und einen zusätzlichen Dyndns mit anderen externen Daten für die vielen User zu nutzen, damit dein vermutlich regulärer Dyndns eben nicht rausposaunt werden muss. 2 Portforwardings auf der Frittenschmiede und die Webcams mit einer LAN IP vom Frittennetz versehen. Fertisch. Und dein Netz hinter der Watchguard wird nicht belastet. Natürlich solltest du auch so aus dein Watchguardnetz auf die WebCams zugreifen können. Fertisch, Sauber, ruhig Schlafen können. Nur deine Frittenschleuder und WebCams begrenzen die Anzahl an User ....

Gruß,
Peter
Bitte warten ..
Mitglied: aqui
07.06.2014, aktualisiert um 20:06 Uhr
edoch stimmt die nicht so ganz, mit dem Exposed Host Eintrag leite ich alles was bei der FritzBox an kommt an die FW weiter.
Nein !
Hier irrst du de facto gewaltig. Es wird lediglich das weitergeleitet was die FB nicht selber in irgendwelchen Port Forwarding Statements konfiguriert hat und die Ports auf die sie nicht selber antwortet !
Das ist ein himmelweiter Unterschied ! Hättest du mal das Handbich gelesen, dann hättest du dir diesen Thread erspart...
Kollege Pjordorf hat ja schon alles dazu gesagt oben !
Wenns jetzt klappt ist ja alles gut...
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Telekom Digitalisierungsbox mit WatchGuard Firewall

gelöst Frage von demetzLAN, WAN, Wireless12 Kommentare

Hallo, folgendes Problem besteht im Moment und vielleicht hat einer diese Konfiguration bereits erfolgreich installiert bekommen. Telekom Digitalisierungsbox Smart ...

Router & Routing

Firewall Regel Gästenetz Mikrotik

Frage von BoomBoomBenRouter & Routing12 Kommentare

Hi, ich habe mehrere Netze über ein Routerboard realisiert. Die Internetverbindung wird von einer FritzBox hergestellt. Das Netzwerk besteht ...

Router & Routing

UAG2100 Firewall Regel

gelöst Frage von lord-iconRouter & Routing6 Kommentare

Hi, hat zufällig jm eine UAG von ZyXEL am start oder kennt sich damit tiefergründig aus ? Speziell für ...

Windows Server

Firewall Regel über GPO

gelöst Frage von Hans3003Windows Server1 Kommentar

Hallo zusammen, ich habe eine Frage zur Konfiguration einer Richtlinie auf einem Windows Server 2012R2 Ich würde gerne eine ...

Neue Wissensbeiträge
Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 7 StundenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 18 StundenSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 18 StundenMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 18 StundenHardware11 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux23 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL18 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...

LAN, WAN, Wireless
Kommunikation zwischen verschiedenen IP-Bereichen
Frage von DirkHoLAN, WAN, Wireless13 Kommentare

Hallo zusammen, von Unitymedia habe ich ein neues Modem (Connect Box) erhalten, das u.a. IPv4 aber keinen Bridge Mode ...

Windows Server
Domänencontroller trennen
Frage von Akit57Windows Server13 Kommentare

Hallo, ich hoffe das mir hier jemand meine Frage trotz der spärlichen Informationen die ich geben kann beantworten kann: ...