Surveillance Station Tapo-Cam per Synology-Dienst "VPN-Server" weiter an Surveillance Station

[theShining]

Hallo zusammen,

ich habe bisher eine Tapo-Cam direkt im gleichen Netzwerk an meine Surveillance Station angebunden.
Nun habe ich neuerdings per Synology-Dienst "VPN-Server" eine OpenVPN-virtuelle Verbindung an einen neuen Standort aufgebaut.
Testweise (per Laptop & Handy) geht die Einwahl auch ohne Probleme - der Test mit einem VPN-fähigen Router erfolgt in Kürze.

Meine Frage: Ist folgendes grundsätzlich möglich?
Die Tapo-Cam soll per WLAN mit dem VPN-Router verbunden und beide Geräte zusammen an einem x-beliebigen Standort aufgestellt werden.
Der VPN-Router soll sich dann per Synology-NAS VPN-Dienst an mein lokales Netzwerk verbinden und hier möchte ich die Surveillance Station verwenden.
Meine Zweifel: Mein lokales Netzwerk arbeitet im Raum 192.168.0.x während der VPN-Dienst einen anderen Adressbereich vorwählt.
Kann Synology dies intern so "umleiten", dass er auch die VPN-Teilnehmer findet?

 

[c0smo]

Sollte mit Routing oder NAT problemlos funktionieren. Ist es eine saubere Lösung? Wohl kaum. Die Latenzen werden steigen, Streams werden abreißen, mögliche Blockbildung.
Ich würde das so nicht aufbauen. Besser wäre ein VMS auf der Kameraseite, in Form von einem NVR oder raspi.

 

[metalworker]

Sowas ist immer fummelig . Besser ist es wenn dein Lokaler Router den VPN Tunnel aufbaut.
Und das auch nur wenn es jetzt nichts kritisches ist . Wenn es ein sicherheits Relevante Kamera ist , dann macht man sowas nicht über VPN.Zumindest nicht das recording

 

[theShining]

Hallo,
vielen Dank für die Rückmeldungen. Dass der Router auf Kameraseite als Server dient, ist grundsätzlich möglich. Inwiefern macht dies denn einen Unterschied?

Ich möchte mit der Kamera keinen Dauerstream aufbauen sondern nur bei Bewegung die Daten wegspeichern, um den Innenraum einer Zweitwohnung zu überwachen. Ein Einbrecher könnte mein WLAN/Strom nach Einbruch ja deaktivieren.
Es geht nicht um Personensicherheit sondern eher um mein ruhiges Gewissen..
(Klar gibt es hier eine ganze Reihe an Ausfallmöglichkeiten des Systems, aber die nehme ich [vorerst] in Kauf)

Diese Konstellation könnte auch per lokalem Zwischenspeicher erfolgen/puffern, dafür benötige ich dann aber noch etwas mehr IT-Infrastruktur

Bezüglich Routing oder NAT komme ich mit meinem Wissen ins Grenzgebiet. Den Unterschied habe ich recherchiert; wo und wie dann ganz praktisch die Einstellungen gemacht werden => darauf würde ich ggf. nochmal näher eingehen wollen.
Ich probiere es aber erst mal selbst aus. Klingt ja so, als sollte es grundsätzlich funktionieren.

 

[c0smo]

Ich möchte mit der Kamera keinen Dauerstream aufbauen sondern nur bei Bewegung die Daten wegspeichern,

Da liegt schon der Fehler. Ein Kamerastream sendet permanent, egal ob Motion Detection oder Daueraufzeichnung! Deshalb ist VPN nicht unbedingt das richtige Protokoll dafür.
Des Weiteren ist ein Router kein Server! Oder wie stellst du dir das vor, dass die Kamera auf dem Router aufzeichnet? Das geht nicht - oder nur sehr umständlich und alles andere als safe.

Tipp
Kauf dir für ein paar Ökken einen kleinen NVR und stell den dort hin wo die Kamera installiert ist, feddig

 

[theShining]

Hi,
nochmal ein Update, nachdem ich an der Infrastruktur arbeiten konnte.

Bezüglich dem letzten Post:
Sendet die Kamera permanent Daten, auch wenn ich Motion Detection in der Kamera (Tapo) nicht auf der Surveillance-Station aktiviert habe?
Bzgl. des Servers hatte ich mich ggf. missverständlich ausgedrückt - ich meinte der Router auf Kameraseite könnte als VPN-Server agieren (nicht als Datenserver).

Aktueller Status:
Meine Kommunikation Kamera (IP 10.8.0.x) kommuniziert nun über den Router mit VPN-Funktion über meinen Lokalen Router hin bis zu meinem Synology NAS VPN-Server => VPN ist aktiv.

Mein Heimnetz läuft unter 192.168.0.x - jetzt kommen Routing und NAT ins Spiel. Ich versuche per Google das zum Laufen zu bekommen, scheitere aber noch. Mein Ping erreicht meine Geräte nicht (weder aus 10.8.0.x zu 192.168.0.x noch umgekehrt).

Ich habe unter Synology
1. den "Zugriff auf Lokale Netzwerke" aktiviert
2. testweise alle Firewalls ausgeschaltet
3. geprüft, dass
push "route 192.168.0.0 255.255.255.0"
push "route 10.8.0.0 255.255.255.0"
dev tun
in der Server-VPN-Config enthalten ist
4. Testweise eine "Static Route" von 10.8.0.0 an 192.168.0.1 erstellt (keine Ahnung ob das Ansatzweise richtig ist)


Offensichtlich enden die Pakete bereits im lokalen VF-Router:
tracert 10.8.0.10Routenverfolgung zu 10.8.0.10 über maximal 30 Hops
1 1 ms 1 ms 1 ms kabelbox.local [192.168.0.1]
2 * * * Zeitüberschreitung der Anforderung.

Ich habe gelesen, dass ich nun NAT auf der Synology aktivieren soll, hier komme ich aber nicht weiter.

 

[c0smo]

Sendet die Kamera permanent Daten, auch wenn ich Motion Detection in der Kamera (Tapo) nicht auf der Surveillance-Station aktiviert habe?

Ja

Auf den Rest werde ich nicht weiter eingehen, da das schon sehr tiefgreifende Netzwerkkenntnisse voraussetzt und auch ein gewisses Feingefühl für das Thema Sicherheit und Troubleshooting mit sich bringen sollte.

Wenn deine Zeit nicht kostbar ist, dann verbringe weiter Stunden damit. Dadurch lernst du bestimmt auch einiges.
Ansonsten, wie gesagt, kauf dir für 100€ nen NVR

 

[ottosykora]

lokales Netzwerk arbeitet im Raum 192.168.0.x während der VPN-Dienst einen anderen Adressbereich vorwählt.

das ist auch richtig so
die 10.x sind die IP des Tunnels und 192.168 der Subnetze
die Subnetze dürfen aber nicht gleich sein

 

[theShining]

Ich habe diverse Geräte im physischen Umfeld des lokalen Routers (PC & Router per LAN, Laptop per WLAN, Handy per Mobile Daten) per VPN-Tunnel auf den VPN-Server verbunden. Alle Geräte können sich gegenseitig pingen (10er zum 192er-Netz und umgekehrt)
Nur der entfernte Router macht noch ein paar Probleme und ist noch nicht erreichbar, obwohl per VPN verbunden - dem gehe ich die Tage nach