Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst WatchGuard XTM22-W Firewall Regel IP Kamera

Mitglied: demetz

demetz (Level 1) - Jetzt verbinden

07.06.2014 um 13:12 Uhr, 2658 Aufrufe, 4 Kommentare

Hallo,

kurze Frage, stehe etwas auf dem Schlauch glaube ich.

Folgende Situation:

WatchGuard Firewall hängt hinter der FritzBox.

FritzBox:
IP Adresse: 192.168.178.1
Exposd Host Eintrag auf die 192.168.178.2

WatchGuard IP Konifguration
Externel Inteface IP: 192.168.178.2
Port 1 - 5 Bridged Mode Netz 192.168.1.0/24 DHCP 20-200.

Somit geht der komplette Internet Traffic über die WatchGuard Firewall.

Die Netzwerkkameras um die es geht haben die IP Adressen:

192.168.1.5
192.168.1.6

Bisher konnte ich die Kameras immer über die dynDNS die in der FirtzBox eingetragen ist erreichen.
Ports in der FritzBox habe ich damals wie folgt konfiguriert:

Port von 8081 bis 8081
an IP 192.168.1.5 (Cam01)
an Port 80

Wie realisiere ich dies in der WatchGuard Firewall als Regel?

Vielen Dank!
Mitglied: aqui
07.06.2014, aktualisiert um 14:47 Uhr
Somit geht der komplette Internet Traffic über die WatchGuard Firewall.
Nein ! Alles was aus .178.0 /24 ins Internet geht nicht ! Einzig alles was aus .1.0 /24 ins Internet geht !

Du hast jetzt einen Router Kaskade aus 2 NAT Routern, da die Firebox hier wie ein NAT Router anzusehen ist. Beschrieben hier in der "Alternative 2":
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...
Technisch sehr unschön aber nungut....du hast es ja selber so gewollt.

Nachteil solch eines Konstrukts ist das du nun zwei kaskadierte NAT Firewall Systeme hast ! Logishcerweise musst du nun also 2mal Port Forwarding machen, damit Verbindungen von außen die Kameras erreichen können !
Also...
  • Einmal in der FB wie du es schon hattest nun aber auf die IP der Watchguard
  • Dann auf der Watchguard auf die reellen IPs der Kameras
ACHTUNG: Du musst zwingend die erste Port Forwarding Regel entfernen, denn "exposed Host" nimmt einzig nur alle Ports die NICHT lokal fürs Port Forwarding oder eigene Funktionen der Fritzbox verwendet werden !!
Löschst du also die PFW Regel für TCP 8081 nicht blockt sie die Fritzbox !
Wenn du das beachtest funktioniert es auf Anhieb !
Nochmal ACHTUNG. Bei der Firebox musst du zusätzlich zur Port Forwarding Regel auch noch eingehende TCP Sessions auf dem WAN Port 178.2 für deine Kameras erlauben. Eine Firewall blockt überlicherweise jeglichen eingehenden Traffic !

Nachteil des ganzen Konstrukts:
  • Port Forwarding ist sehr gefährlich, denn damit werden deine Video Daten komplett unverschlüsselt übertragen !! Die ganze Welt kann also ungehindert mitsehen WAS deine Kameras so alles einfangen. OK wenn du nur den Wellensittich von Oma Grete damit beobachtest sicher kein Thema. Bei anderen Daten aber schon !
Vergiss das nicht!
Es ist vollkommen unverständlich warum du hier nicht mit VPNs arbeitest ???
Du setzt zwei ! Komponenten ein die uneingeschränkt VPN fähig sind !
a) Kannst du damit eine verschlüsselte Video Verbindung sicherstellen und b) ersparst du dir vollkommen diese unsägliche Frickelei mit Port Forwarding und FW Regeln ohne zusätzlich Löcher in deine beiden Firewalls zu bohren.

Warum also so ein unsicherer und laienhafter Bastelkram ? Oder ziehst du dir auch die Hose mit der Kneifzange an...vermutlich wohl ja ?!
Fazit: VPN benutzen und gut iss !
Bitte warten ..
Mitglied: demetz
07.06.2014 um 14:50 Uhr
Hallo,

vielen Dank für deine lange Erklärung, jedoch stimmt die nicht so ganz, mit dem Exposed Host Eintrag leite ich alles was
bei der FritzBox an kommt an die FW weiter.

Somit muss ich auf keinen Fall ein Forwarding auf der FritzBox machen, sonst würde das ganze Konstrukt nicht funktionieren.

Ich konnte das Problem jedoch gerade lösen, beim SNAT auf der Firewall hat der Port 80 für die interne Kommunikation im Netz
zur Kamera gefehlt.

Mir ist natürlich klar das die Ports 8081 ... nicht sich sind, jedoch geht es hier um einen Einsatz für eine kurze Zeit, und viele User.

Vielen Dank für die Mit Hilfe.
Bitte warten ..
Mitglied: Pjordorf
07.06.2014 um 15:27 Uhr
Hallo,

Zitat von demetz:

jedoch stimmt die nicht so ganz, mit dem Exposed Host Eintrag leite ich alles was bei der FritzBox an kommt an die FW weiter.
Aber nur die Ports welche NICHT in eine Portforwarding Regeln genannt sind werden an den Exposed Host geleitet. aqui hat Recht.

Somit muss ich auf keinen Fall ein Forwarding auf der FritzBox machen, sonst würde das ganze Konstrukt nicht funktionieren.
Du hast aber auch recht mit deiner Aussage, weil du genau das bestätigst was aqui gesagt hat

Und es ist aus deinen Informationen nicht eindeutig zu entnehmen das jetzt kein Portforwarding mehr existiert. Du weist was du wie und wo aufgebaut hast. Wir können nur aus deinen uns genannten geschreibsel entnehmen was du tatsächlich hast. Wir sind zwar geübte Kristallkugelnutzer und haben auch alle einen gültigen Wartungsvertrag bei der Hexeninnung, aber es ist oft nicht eindeutig.

Ich konnte das Problem jedoch gerade lösen, beim SNAT auf der Firewall hat der Port 80 für die interne Kommunikation im Netz zur Kamera gefehlt.
Im Prinzip nichts anderes was auch deine Frittenschleuder macht, nur eben anders

jedoch geht es hier um einen Einsatz für eine kurze Zeit, und viele User.
Das schreit doch dann danach die WebCams direkt in die sogenannte DMZ (für Arme) zu stellen, nämlich zwischen Frittenschmiede und Watchguard und einen zusätzlichen Dyndns mit anderen externen Daten für die vielen User zu nutzen, damit dein vermutlich regulärer Dyndns eben nicht rausposaunt werden muss. 2 Portforwardings auf der Frittenschmiede und die Webcams mit einer LAN IP vom Frittennetz versehen. Fertisch. Und dein Netz hinter der Watchguard wird nicht belastet. Natürlich solltest du auch so aus dein Watchguardnetz auf die WebCams zugreifen können. Fertisch, Sauber, ruhig Schlafen können. Nur deine Frittenschleuder und WebCams begrenzen die Anzahl an User ....

Gruß,
Peter
Bitte warten ..
Mitglied: aqui
07.06.2014, aktualisiert um 20:06 Uhr
edoch stimmt die nicht so ganz, mit dem Exposed Host Eintrag leite ich alles was bei der FritzBox an kommt an die FW weiter.
Nein !
Hier irrst du de facto gewaltig. Es wird lediglich das weitergeleitet was die FB nicht selber in irgendwelchen Port Forwarding Statements konfiguriert hat und die Ports auf die sie nicht selber antwortet !
Das ist ein himmelweiter Unterschied ! Hättest du mal das Handbich gelesen, dann hättest du dir diesen Thread erspart...
Kollege Pjordorf hat ja schon alles dazu gesagt oben !
Wenns jetzt klappt ist ja alles gut...
Bitte warten ..
Ähnliche Inhalte
Firewall

Wie clone ich eine Watchguard X700 Firewall?

Frage von uridium69Firewall4 Kommentare

Hallo Folgendes: Im Einsatz ist eine Watchguard X700 Firewall, diese ist gut 10 Jahre alt und macht Probleme, bzw. ...

LAN, WAN, Wireless

Telekom Digitalisierungsbox mit WatchGuard Firewall

gelöst Frage von demetzLAN, WAN, Wireless12 Kommentare

Hallo, folgendes Problem besteht im Moment und vielleicht hat einer diese Konfiguration bereits erfolgreich installiert bekommen. Telekom Digitalisierungsbox Smart ...

Router & Routing

Firewall Regel Gästenetz Mikrotik

Frage von BoomBoomBenRouter & Routing12 Kommentare

Hi, ich habe mehrere Netze über ein Routerboard realisiert. Die Internetverbindung wird von einer FritzBox hergestellt. Das Netzwerk besteht ...

Router & Routing

UAG2100 Firewall Regel

gelöst Frage von lord-iconRouter & Routing6 Kommentare

Hi, hat zufällig jm eine UAG von ZyXEL am start oder kennt sich damit tiefergründig aus ? Speziell für ...

Neue Wissensbeiträge
Vmware
VMware Update für den ESXi 5.5 verfügbar
Information von sabines vor 4 StundenVmware

Nach dem ganzen Hickhack um Update mit Microcode Anpassungen und Rückzug, gibt es nun für den ESXi 5.5 ein ...

CPU, RAM, Mainboards

Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück

Information von keine-ahnung vor 8 StundenCPU, RAM, Mainboards4 Kommentare

Moin, extrem lutztig. Nur gut, dass ich noch nicht beim Probanden-Bingo mitgemacht habe :-) LG, Thomas

Router & Routing
PfSense als Addon auf QNAP
Information von magicteddy vor 21 StundenRouter & Routing3 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 1 TagDatenschutz1 Kommentar

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement26 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Server
TEMP-Profile
gelöst Frage von Forseti2003Windows Server21 Kommentare

Guten Morgen, wer kennt sie nicht, die lieben Temporären Benutzerprofile, vorallem immer dann, wenn man sie am wenigsten braucht. ...

Multimedia & Zubehör
Welches Tablet für die Verkäufer?
Frage von Hendrik2586Multimedia & Zubehör15 Kommentare

Guten Morgen meine Lieben, vielleicht könnt ihr mir ja helfen. Es geht um unsere Außendienstmitarbeiter /Verkäufer. Sie sollen demnächst ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...