Problem mit pfSense und IP-Kamera



  • Hallo,
    ich bin neu hier und verzweifle seit Wochen an einem Problem. Leider sind meine Netzwerkerfahrungen nicht die allergrößten  :-[ und so hoffe ich auf eine Lösung meines Problems.  :)

    Hier zuerst einmal meine Ausstattung: ALIX Board 2D13 mit pfsense 2.1 und IP Camera TENVIS IP391W HD. PfSense ist "standardmäßig" eingerichtet:

    WAN Internet Kabel Deutschland
    192.168.1.1 LAN1
    192.168.3.1 WLAN

    Internet funktioniert tadellos, die Kamera habe ich an LAN 1 per Kabel verbunden und sie bekommt auch eine IP Adresse (192.168.1.152). Im eigenen Netz kann ich über die IP auch die Kamera ansteuern und einstellen nur leider wird die Kamera über die Kamerasoftware (weder die auf dem Macbook noch die auf dem iPhone) nicht gefunden. Wahrscheinlich liegt das an den unterschiedlichen IP Bereichen (.1 und .3). Ich bekomme es aber nicht hin, das WLAN und das LAN auf EINEN IP Bereich einzustellen (scheinbar kommen sich die Adressen dann ins Gehege).

    Wenn ich die Kamera per LAN an eine FritzBox anschliesse, wird sie sofort von der Software erkannt und ich kann auch von unterwegs darauf zugreifen. Da ich nun aber unbedingt pfSense nutzen möchte (wegen des CaptivePortals) bin ich am verzweifeln.

    Ich hoffe mir kann hier einer weiterhelfen, da ich mittlerweile schon zwei IT Spezies zu Rate gezogen habe - leider ohne Erfolg.  :-\

    Danke im Voraus
    Sven



  • Da die Geräte in unterschiedlichen Netzen sind, läuft der Traffic über die Firewall. Die muß den Verkehr zwischen den Interfaces zulassen. Hast Du Regeln in der Firewall definiert, die den Traffic zwischen den Netzen LAN1 und WLAN blockieren? Funktioniert das Ganze, wenn die Firewall komplett offen ist?

    Du kannst mal die Firewall-Regel hier posten.

    -flo-



  • Ich habe bei WLAN und LAN1 Rules folgendes stehen






  • Hallo!

    Das Finden der Kamera durch die Software erfolgt vermutlich über Broadcast, was nur im eigenen Subnetz geht.

    Kannst du der Kamera nicht eine fixe IP geben (Achtung: DHCP Bereich entsprechend einengen) und diese IP in der Kamerasoftware angeben?
    Ansonsten könnte es kompliziert werden.

    Richard



  • Hmm, habe es mal mit der festen IP Adresse probiert - jetzt erkennt pfSense aber leider die Kamera nicht mehr  :-\

    Ich verstehe ehrlich gesagt nicht, warum das bei pfSense so kompliziert ist und jeder LAN Port eine eigene IP (LAN1: 192.168.1.1 / LAN2: 192.168.2.1 / WLAN: 192.168.3.1) haben muss? Wenn ich die Kamera per LAN an die FritzBox anschließe (192.168.178.1) bekommt sie ruckzuck eine IP zugewiesen (z.B. 192.168.178.40), die Kamerasoftware findet die Kamera sofort und ich kann mit dem iPhone auch ohne WLAN darauf zugreifen.

    Viele Grüße
    Sven



  • Evtl. benutzt die Kamera mDNS? Dann sollte Avahi hier helfen. Gibt's als Package.

    -flo-



  • Hmm, habe es mal mit der festen IP Adresse probiert - jetzt erkennt pfSense aber leider die Kamera nicht mehr

    Was heißt pfSense erkennt die Kamera nicht mehr?

    pfSense muss die Kamera ja nicht erkennen. Du muss ihr nur eine IP aus dem Netz geben, das du der Schnittstelle, an der sie hängt, zugewiesen hast.
    Das müsste doch funktionieren, wenn du der Software ebenfalls eine fixe IP angeben kannst.
    Aber, wie erwähnt, die IP darf nicht aus dem DHCP Pool sein! Sonst gibt es Kollisionen.

    Du kannst es aber auch mit Bridging probieren. Damit habe ich auf pfSense zwar Null Erfahrung, aber damit sollte genau das zu erreichen sein, was du möchtest: LAN u. WLAN in einem Subnetz.

    Richard



  • Ich bin (scheinbar) ein kleines Stückchen weiter gekommen.  :D Ich habe mal nach dieser Anleitung https://forum.pfsense.org/index.php?topic=20917.0 eine Bridge zugefügt. Nun hat die IP-Kamera tatsächlich eine 192.168.3.X bekommen und ich sehe sie nun auch in der Kamerasoftware. Ob es dann nachher tatsächlich auch "von außen" funktioniert, muss ich dann vor Ort (die Kamera ist für ein Ferienhaus) testen, da der Router für mein Kabel Deutschland Modem eingerichtet ist und ich es hier nicht testen kann.

    Danke schonmal vorab - ich werde berichten, ob das die Lösung meines Problems war.

    Viele Grüße
    Sven




  • Hallo,

    von außen wirst du über eine Firewall nicht so ohne weiteres auf die Kamera kommen. Da musst du schon ein Türchen dafür auf der FW öffnen.

    Wenn das auf der Fritzbox ohne zusätzliche Maßnahmen geht, macht das die Kamera vermutlich über UPnP oder NAT-PMP.
    Das kann pfSense zwar auch, muss aber erst konfiguriert werden, ist ja eine richtige Firewall und keine Spielzeug  ;): Services > UPnP & NAT-PMP

    Grüße



  • Ok, die drei Häkchen sind gesetzt - ich denke irgendwas muss dann noch bei "User specified permissives" eingetragen werden? Wahrscheinlich "allow 1024-65535 IP Adresse/24 1024-65535" ?



  • Servus Volvo,

    Du bringst da diverses durcheinander.

    Wie ich aus Deinen Posts herauslese hast Du ein Kabel Deutschland Fritz!Box und dahinter eine pfSense Box an der auf LAN eine IP Kamera angeschlossen ist, die Du von außen erreichen willst.

    Zuerst einmal kannst Du die Fritz!Box nicht wirklich mit pfSense vergleichen.
    Eine Fritz!Box soll eine eierlegende Wollmilchsau für die Generation iPhone sein, die es Menschen ohne Netzwerkkenntnissen ermöglichen soll Internet und diverse Spielereien zu nutzen.
    Bei pfSense wird nur eine rudimentäre Einstiegskonfiguration erzeugt, alles andere kann, darf und sollte man selbst einstellen.

    Wie Du selbst schon herausgefunden hast sind die Netzwerk Ports der Fritz!Box von Haus aus geswitcht, d.h. Du kannst an alle Port Geräte anschließen, die dann miteinander und mit dem Internet kommunizieren können.
    Das hast Du mit dem Erstellen einer Bridge in pfSense nachgebaut und scheint ja zu funktionieren.

    Damit Du Deine Kamera vom Internet aus erreichst, musst Du folgendes berücksichtigen:
    1.) Bei Deiner Konstellation hast Du 2 Firewalls mit 2x NAT hintereinander (1x Fritz!Box, dann pfSense). D.h. Du kannst alle Automatismen vergessen, da diese damit nicht klar kommen.
    Damit das dauerhaft zuverlässig läuft musst Du überall statische IP Adressen vergeben (pfSense WAN, Kamera)
    2.) Du brauchst eine Adresse mit der Du im Internet Dein Kabel Deutschland Anschluß und damit letzten Endes Deine Kamera erreichen kannst.
    Entweder Du nutzt myFritz von der Fritz!Box, oder Du registrierst Dir einen Dynamischen DNS Namen bei z.b. selfhost.de
    Diesen musst Du in der Fritz!Box eintragen.
    3.) Du musst wissen welche Ports Deine Kamera benötigt. Entweder in der Anleitung nachsehen, oder googeln
    4.) Alle bei 3. herausgefunden Ports musst Du 2x weiterleiten:
    a) Fritz!Box: Internet -> Freigaben -> Portfreigaben
    Dort alle Ports auf die unter 1. eingestellte IP Adresse vom pfSense WAN weiterleiten
    b) pfSense: Firewall -> NAT -> Port Forward
    Dort alle Ports auf die unter 1. eingestellte IP Adresse der Kamera weiterleiten
    Mach wirklich nur die unter 3. herausgefundenen Ports auf! Je mehr Du ins Internet öffnest, umso mehr Angriffsfläche bietest Du.
    Das ist wirklich ein Risiko!

    Wenn Du nun von Internet aus die unter 2. registrierte Adresse verwendest solltest Du Deine Kamera erreichen können.
    Ob Deine Kamera Software damit auch umgehen kann, oder nur lokal funktioniert musst Du selbst probieren.

    Viel Erfolg!
    Harry



  • Hallo,

    sorry das ich so spät erst antworte, hatte aber viel um die Ohren und bin erst jetzt wieder vor Ort (beim Kabel Deutschland Anschluss). Vielen Dank schon mal für die ausführliche Antwort, Harry!  :)

    Ich muss hier aber was richtig stellen, was scheinbar missverstanden wurde:

    • Die FritzBox habe ich Zuhause (mit 1&1 Anbieter)
    • das PfSense Modem habe ich im Ferienhaus. Dieses Modem hängt hinter einem Kabel-Deutschland Modem (Hitron mit aktivierten Bridge-Modus). Wenn ich es richtig verstanden habe, reicht das KD Hitron Modem nur durch - ohne irgendwelche Firewall.

    Wenn ich die Fritzbox an das KabelDeutschland Modem (Hitron) hänge und die IP Kamera per LAN anschließe, funktioniert es tadellos und ich kann auch ohne große Einstellungen von außen auf die Kamera zugreifen (leider stürzt regelmäßig die Fritzbox komplett ab).

    Mit dem PfSense Modem kann ich innerhalb des Netztes auch auch auf die Kamera zugreifen - nur leider immer noch nicht von außen (was für mich am meisten Sinn macht). Der Port scheint 8001 zu sein. Ich habe eigentlich alles über Firewall/Rules freigeschaltet, aber irgendwie komme ich von außen immer noch nicht dran. Der IP Kamera Hersteller bietet auch eigenen DDNS Service (tenvis.org) an. Funktioniert aber auch damit nicht so wirklich  :'(

    Viele Grüße
    Sven



  • Hi Sven,

    wie hängst Du denn die FB an das KD Modem?
    Stellst Du in der FB ein "WAN Zugang über LAN1", oder hängst Du das KD Modem und die Kamera einfach an die gelben Ports der FB?
    Das 2. wäre ziemlich fatal, weil Du damit keinerlei Firewall zum Internet aktiv hast!

    Soweit ich weiß sollte das KD Modem im Bridge-Mode tatsächlich nichts sperren. Das könnte sich aber jederzeit ändern, weil KD gerne mal das eine oder andere auf der eigenen Hardware herumkonfiguriert.

    Generell ist es extrem schwierig Dir Tipps zu geben, weil zu viele Unbekannte im Spiel sind, die alle Einfluss auf das Problem haben können.

    Gruß
    Harry



  • Hi,

    die FB hing über WAN Zugang LAN1 an dem KD Modem, anders gehts auch nicht, da sonst die FB über den eigenen WAN Port versucht ins I-Net zu gehen.

    Komischerweise hat es nun geklappt. Ich musste gestern im Haus komplett den Strom trennen und somit waren auch die beiden Modems stromlos. Nachdem dann die Modems wieder gebootet hatten, funktionierte plötzlich der Zugang über die Tenvis Software (auch von außerhalb)  ;D Ich hatte zwar zwischenzeitlich auch schon beide Modems neu gebootet, aber da funktionierte es nicht…

    Die Konstellation habe ich nun folgendermaßen (für alle die vor dem selben Problem stehen):

    • KD-Modem (Hitron)
    • ALIX Board mit PfSense an KD Modem an LAN 1 (vr1)
    • Tennis HD-Camera über Netgear Netzwerkswitch an LAN (vr0)
    • Alles soweit konfiguriert plus Bridge 1 (WLAN/LAN) und Bridge 2 (WAN/LAN)

    Jetzt müsste ich nochmal schauen, welche Firewallregeln ich aufstelle. Welche Ports sollten für den "normalen" Betrieb offen sein? Ich kenne im Moment nur LAN (Port 443 & 80) und 81 oder 8001 für Camera.

    Danke & viele Grüße
    Sven


Log in to reply