Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

WatchGuard XTM22-W Firewall Regel IP Kamera

Frage Sicherheit Firewall

Mitglied: demetz

demetz (Level 1) - Jetzt verbinden

07.06.2014 um 13:12 Uhr, 2395 Aufrufe, 4 Kommentare

Hallo,

kurze Frage, stehe etwas auf dem Schlauch glaube ich.

Folgende Situation:

WatchGuard Firewall hängt hinter der FritzBox.

FritzBox:
IP Adresse: 192.168.178.1
Exposd Host Eintrag auf die 192.168.178.2

WatchGuard IP Konifguration
Externel Inteface IP: 192.168.178.2
Port 1 - 5 Bridged Mode Netz 192.168.1.0/24 DHCP 20-200.

Somit geht der komplette Internet Traffic über die WatchGuard Firewall.

Die Netzwerkkameras um die es geht haben die IP Adressen:

192.168.1.5
192.168.1.6

Bisher konnte ich die Kameras immer über die dynDNS die in der FirtzBox eingetragen ist erreichen.
Ports in der FritzBox habe ich damals wie folgt konfiguriert:

Port von 8081 bis 8081
an IP 192.168.1.5 (Cam01)
an Port 80

Wie realisiere ich dies in der WatchGuard Firewall als Regel?

Vielen Dank!
Mitglied: aqui
07.06.2014, aktualisiert um 14:47 Uhr
Somit geht der komplette Internet Traffic über die WatchGuard Firewall.
Nein ! Alles was aus .178.0 /24 ins Internet geht nicht ! Einzig alles was aus .1.0 /24 ins Internet geht !

Du hast jetzt einen Router Kaskade aus 2 NAT Routern, da die Firebox hier wie ein NAT Router anzusehen ist. Beschrieben hier in der "Alternative 2":
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...
Technisch sehr unschön aber nungut....du hast es ja selber so gewollt.

Nachteil solch eines Konstrukts ist das du nun zwei kaskadierte NAT Firewall Systeme hast ! Logishcerweise musst du nun also 2mal Port Forwarding machen, damit Verbindungen von außen die Kameras erreichen können !
Also...
  • Einmal in der FB wie du es schon hattest nun aber auf die IP der Watchguard
  • Dann auf der Watchguard auf die reellen IPs der Kameras
ACHTUNG: Du musst zwingend die erste Port Forwarding Regel entfernen, denn "exposed Host" nimmt einzig nur alle Ports die NICHT lokal fürs Port Forwarding oder eigene Funktionen der Fritzbox verwendet werden !!
Löschst du also die PFW Regel für TCP 8081 nicht blockt sie die Fritzbox !
Wenn du das beachtest funktioniert es auf Anhieb !
Nochmal ACHTUNG. Bei der Firebox musst du zusätzlich zur Port Forwarding Regel auch noch eingehende TCP Sessions auf dem WAN Port 178.2 für deine Kameras erlauben. Eine Firewall blockt überlicherweise jeglichen eingehenden Traffic !

Nachteil des ganzen Konstrukts:
  • Port Forwarding ist sehr gefährlich, denn damit werden deine Video Daten komplett unverschlüsselt übertragen !! Die ganze Welt kann also ungehindert mitsehen WAS deine Kameras so alles einfangen. OK wenn du nur den Wellensittich von Oma Grete damit beobachtest sicher kein Thema. Bei anderen Daten aber schon !
Vergiss das nicht!
Es ist vollkommen unverständlich warum du hier nicht mit VPNs arbeitest ???
Du setzt zwei ! Komponenten ein die uneingeschränkt VPN fähig sind !
a) Kannst du damit eine verschlüsselte Video Verbindung sicherstellen und b) ersparst du dir vollkommen diese unsägliche Frickelei mit Port Forwarding und FW Regeln ohne zusätzlich Löcher in deine beiden Firewalls zu bohren.

Warum also so ein unsicherer und laienhafter Bastelkram ? Oder ziehst du dir auch die Hose mit der Kneifzange an...vermutlich wohl ja ?!
Fazit: VPN benutzen und gut iss !
Bitte warten ..
Mitglied: demetz
07.06.2014 um 14:50 Uhr
Hallo,

vielen Dank für deine lange Erklärung, jedoch stimmt die nicht so ganz, mit dem Exposed Host Eintrag leite ich alles was
bei der FritzBox an kommt an die FW weiter.

Somit muss ich auf keinen Fall ein Forwarding auf der FritzBox machen, sonst würde das ganze Konstrukt nicht funktionieren.

Ich konnte das Problem jedoch gerade lösen, beim SNAT auf der Firewall hat der Port 80 für die interne Kommunikation im Netz
zur Kamera gefehlt.

Mir ist natürlich klar das die Ports 8081 ... nicht sich sind, jedoch geht es hier um einen Einsatz für eine kurze Zeit, und viele User.

Vielen Dank für die Mit Hilfe.
Bitte warten ..
Mitglied: Pjordorf
07.06.2014 um 15:27 Uhr
Hallo,

Zitat von demetz:

jedoch stimmt die nicht so ganz, mit dem Exposed Host Eintrag leite ich alles was bei der FritzBox an kommt an die FW weiter.
Aber nur die Ports welche NICHT in eine Portforwarding Regeln genannt sind werden an den Exposed Host geleitet. aqui hat Recht.

Somit muss ich auf keinen Fall ein Forwarding auf der FritzBox machen, sonst würde das ganze Konstrukt nicht funktionieren.
Du hast aber auch recht mit deiner Aussage, weil du genau das bestätigst was aqui gesagt hat

Und es ist aus deinen Informationen nicht eindeutig zu entnehmen das jetzt kein Portforwarding mehr existiert. Du weist was du wie und wo aufgebaut hast. Wir können nur aus deinen uns genannten geschreibsel entnehmen was du tatsächlich hast. Wir sind zwar geübte Kristallkugelnutzer und haben auch alle einen gültigen Wartungsvertrag bei der Hexeninnung, aber es ist oft nicht eindeutig.

Ich konnte das Problem jedoch gerade lösen, beim SNAT auf der Firewall hat der Port 80 für die interne Kommunikation im Netz zur Kamera gefehlt.
Im Prinzip nichts anderes was auch deine Frittenschleuder macht, nur eben anders

jedoch geht es hier um einen Einsatz für eine kurze Zeit, und viele User.
Das schreit doch dann danach die WebCams direkt in die sogenannte DMZ (für Arme) zu stellen, nämlich zwischen Frittenschmiede und Watchguard und einen zusätzlichen Dyndns mit anderen externen Daten für die vielen User zu nutzen, damit dein vermutlich regulärer Dyndns eben nicht rausposaunt werden muss. 2 Portforwardings auf der Frittenschmiede und die Webcams mit einer LAN IP vom Frittennetz versehen. Fertisch. Und dein Netz hinter der Watchguard wird nicht belastet. Natürlich solltest du auch so aus dein Watchguardnetz auf die WebCams zugreifen können. Fertisch, Sauber, ruhig Schlafen können. Nur deine Frittenschleuder und WebCams begrenzen die Anzahl an User ....

Gruß,
Peter
Bitte warten ..
Mitglied: aqui
07.06.2014, aktualisiert um 20:06 Uhr
edoch stimmt die nicht so ganz, mit dem Exposed Host Eintrag leite ich alles was bei der FritzBox an kommt an die FW weiter.
Nein !
Hier irrst du de facto gewaltig. Es wird lediglich das weitergeleitet was die FB nicht selber in irgendwelchen Port Forwarding Statements konfiguriert hat und die Ports auf die sie nicht selber antwortet !
Das ist ein himmelweiter Unterschied ! Hättest du mal das Handbich gelesen, dann hättest du dir diesen Thread erspart...
Kollege Pjordorf hat ja schon alles dazu gesagt oben !
Wenns jetzt klappt ist ja alles gut...
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst Warum kann ich meine IP Kamera im Netzwerk nicht mehr erreichen ? (12)

Frage von Fireman74 zum Thema LAN, WAN, Wireless ...

Netzwerkgrundlagen
Kann eine firewall die IP eines dahinterliegenden routers verbergen? (1)

Frage von htomatomw zum Thema Netzwerkgrundlagen ...

Video & Streaming
gelöst Probleme Web Zugriff IP Kamera (12)

Frage von Vsadm07 zum Thema Video & Streaming ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Microsoft
Ordner mit LW-Buchstaben versehen und benennen (19)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...