Surveillance Station Kameras aus verschiedenen IP-Bereichen einbinden

[Carbonius]

Hallo,

ich habe an meiner Fritzbox das Gästenetz aktiviert und somit zwei IP-Bereiche. Meine DS1813+ ist mit beiden Netzen verbunden, was auch einwandfrei funktioniert. Standartgateway ist der Anschluss, der in den privaten Bereich führt. Die Surveillance Station ist aus beiden Netzen und aus dem Internet (DynDNS mit Portweiterleitung) erreichbar.

Meine Kameras waren bisher ausschließlich im Privatnetz, jetzt muss ich eine Kamera einbinden, die sich im Gästenetz befindet. Wegen der räumlichen Anordnung geht das leider nicht anders. Die IP dieser Kamera ist bekannt, sie wird von der Fritzbox angezeigt und die Seite der Kamera lässt sich von Computern im Gästenetz aufrufen. Die Kamera ist kompatibel, die Einstellungen entsprechen den anderen installierten Axis-Kameras.

Nur die Surveillance Station kann keine Verbindung zur Kamera aufbauen. Sowas wie "Ping" habe ich beim DSM nicht gefunden, kann also nicht überprüfen, ob meine Diskstation die Kamera erreichen kann.

Hat hier jemand vielleicht eine Idee, wie ich die Kamera einbinden kann?

Beste Grüße,
Carbonius

 

[blurrrr]

Sowas wie "ping" gibt es a) auf der DS, aber b) auch auf Deinem Rechner.

Eine Idee, wie man die Cam einbinden kann? Klar! Pack Sie nicht ins "GAST"-Netz, denn das hat nur die Aufgabe GÄSTEN den INTERNETzugang zu ermöglichen, nichts weiter. Gäste dürfen NICHT ins LAN. Soweit klar? Jut, dann entweder umbauen oder ganz anders lösen, aber so wird es eher nicht gehen

 

[Jagnix]

Gästenetz und das private LAN der Fritzbox können per default keine Daten untereinander austauschen.

 

[Carbonius]

Hallo,
es sollen ja die beiden Netze keine Daten untereinander austauschen. Ich kann aber aus meinem Privatnetz Daten auf der Diskstation ablegen, die dann jemand im Gästenetz herunterladen kann. Das funktioniert prima. Die Gäste kommen ins Internet und in freigegebene Verzeichnisse auf der Diskstation, aber nicht ins private Netz.
Deshalb verstehe ich nicht, weshalb das mit der Kamera nicht klappen will.
Wo finde ich unter DSM sowas wie ping? Oder muss ich dazu über Putty angreifen? Damit könnte ich schon mal herausfinden, ob das an der Diskstation liegt oder nur an der Anwendung.
Beste Grüße,
Carbonius

 

[blurrrr]

Och Jung... Versteh es doch einfach... ??

LAN = inneres Heiligtum, alles darf raus, nichts darf unangefragt rein (ausser, es wurde durch Portfreigaben/-weiterleitungen explizit erlaubt)
GAST-Netz = Netz was NICHT ins LAN darf, sondern NUR ins Internet (ggf. sogar nur Web+Mail), keine Portfreigaben möglich.

Warum kommt man nun vom Gast-Netz auf Deine Syno? Ganz einfach: Diese hast Du vermutlich sowieso nach "aussen" (WAN) freigegeben mit entsprechenden Ports. Wird die Syno dann entsprechend auch so angesprochen (mit externer Bezeichnung) geht es quasi aus dem Gastnetz ins Internet und dann wieder zurück (über die Portfreigabe) auf Deine Syno.

"Vielleicht" könntest Du der Cam sagen, dass Sie die Bilder/Videos per FTP/WebDAV auf der Syno ablegt, sowas mag vllt noch gehen, aber die Cam kann nicht "intern" mit der Syno kommunizieren. Die Syno selbst kommt halt auch selbst nicht dran (anderes Netz, keine Zugangsberechtigung) und eine Portfreigabe für die Cam kannst Du auch nicht machen.

Somit liegt es also weder an der DS, noch an der Anwendung, sondern schlichtweg am Netz-Design (Deinem eigenen) und der Tatsache, dass ein SoHo-Router halt keine richtige Firewall ist (denn da könnte man sowas problemlos konfigurieren, muss aber auch Ahnung von der Materie haben).

Also, auf nach Amazon/Ebay/Whatever und ein laaaaaaaaanges Kabel bestellen

 

[Carbonius]

Hallo Blurrrr,
bitte verrate mir doch mal, wie ich das mit dem Ping auf der Diskstation anstellen kann. Das würde mich vermutlich der Lösung näher bringen.
Deine Vermutung mit dem Umweg übers Internet trifft nicht zu, siehe weiter unten.
Dass das Gastnetz ein GASTnetz ist, dürfte der Diskstation völlig egal sein. Die sieht an den jeweiligen Anschlüssen einfach Netzwerkteilnehmer mit passenden IP-Adressen.
Diese Diskstation steht übrigens in einem von der Fritzbox 280m entfernten Gebäude und ist mit einer Richtfunkstrecke angebunden. Kabellegen ist da unmöglich. Über diese Richtfunkstrecke laufen drei VLANs, wobei das "private" aus Sicherheitsgründen den Raum mit der ganzen Elektronik nicht verlässt, also für die Kamera nicht in Frage kommt. Der Rest des Gebäudes ist mit dem Gäste-VLAN verkabelt. Das private VLAN brauche ich für ein räumlich getrenntes Backup und für ein separates Verzeichnis mit Daten für die Personen, die in diesem Gebäude arbeiten. Das dritte VLAN ist für Freifunk - ohne Verbindung zur Diskstation oder irgendwelchen anderen Rechnern.

Der Zugriff aus dem Gästebereich geht direkt auf die Diskstation, ohne Umweg übers Internet. Wie gesagt, das funktioniert einwandfrei (nämlich auch bei Ausfall der Richtfunkstrecke zum Hauptgebäude mit dem Internetzugang), nur scheint die Diskstation für die Kameras nur den Anschluss mit dem Standartgateway zu nutzen. Oder es stimmt was mit dem gemanagten Switch nicht, das irgendeinem Grund die Diskstation nicht mit der Kamera kommunizieren lässt.

Deshalb wäre eine Ping-Möglichkeit interessant.
Schönen Abend noch,
Carbonius

 

[Backupfreak]

Hallo Carbonius,

man kann das Gastnetzwerk der Fritzbox (wie Du es ja bereits machst) wie ein ganz normales (weiteres separates) Netzwerksegment verwenden. Die DS1813+ hat mehrere Netzwerkschnittstellen, und es sollte damit möglich sein diese in beide Netzwerksegmente einzubinden . Daher kann ich die Einwände von Blurrrr nicht wirklich verstehen.

Eine einfache Möglichkeit einen Ping von der DS von der Weboberfläche auszulösen kenne ich aber leider auch nicht (kenne aber auch nur einen Bruchteil der DS Welt). Würde mich aber auch interessieren und daher hänge ich mich mal mit an die Frage dran.

Gruß Backupfreak

 

[Ulfhednir]

Eine einfache Möglichkeit einen Ping von der DS von der Weboberfläche auszulösen kenne ich aber leider auch nicht (kenne aber auch nur einen Bruchteil der DS Welt). Würde mich aber auch interessieren und daher hänge ich mich mal mit an die Frage dran.

Ping normalerweise mittels SSH.

sudo ping x.x.x.x

 

[Wollfuchs]

das ist aber eben nur "von der DS aus", nachdem man per (falls Windows) per putty auf die DS geht.
ein simples "Terminal" auf der DS fehlt irgendwie ..
jedes Windows hat cmd/powershell, jeder Mac ein Terminal aber eine DS bringt das nicht mit? Schon doof.

 

[Ulfhednir]

Eine Integration wäre Nice2have. Ich meine, dass Qnap so etwas besitzt.
Ansonsten gäbe wohl noch Drittanbieter-Pakete, wie z.B. GateOne - siehe auch:
https://www.synology-forum.de/threads/terminal-unterm-dsm.48468/page-3
Ob man das jetzt für den Einzelfall extra installieren will, sei mal dahingestellt.

 

[blurrrr]

Boah ey... nachdem ich das jetzt nochmal lese (und den Anfang nicht allzu hastig runterratter), lese ich dann auch mal, dass die Syno mit beiden Netzen verbunden ist, also vergiss bitte einfach was ich geschrieben habe... ?

...Die Surveillance Station ist aus beiden Netzen ... erreichbar...
...
Die IP dieser Kamera ist bekannt, sie wird von der Fritzbox angezeigt und die Seite der Kamera lässt sich von Computern im Gästenetz aufrufen.

Das deutet jetzt erstmal darauf hin, dass die Netzwerk-Verbindungen soweit funktional sind, demnach wird sich das Problem entweder auf der Syno (ist nicht unbedingt von auszugehen, ggf. wäre Firewall ein Thema), bei der Kamera (da die Gast-Clients das Webinterface erreichen, auch eher unwahrscheinlich), oder einem Konfigurationsproblem.

Als erstes mal die 0815-Frage: Mal alle Geräte rebootet (Router, Kamera, Syno und dann Kamera einbinden)?

Kannst Du besagte Kamera (im LAN, nicht Gastnetz) denn mit der Surveillance-Station einbinden (auf die Art und Weise wie Du es bisher versucht hast)?

 

[Carbonius]

Hallo Blurrr,

die Kamera war schon mal an einer anderen Syno eingebunden und hatte da funktioniert. Habe sie dann dort abgemeldet und durch ein besser geeignetes Modell ersetzt. Ist aber ca. zwei Jahre her und es könnte sein, dass sich durch diverse Updates was geändert hat.
Ich werde, sobald ich wieder dort bin, ein provisorisches Netzwerkkabel vom Privatnetzanschluss in meinem dortigen Büro zur Kamera legen und prüfen, ob das funktioniert.
Ich melde mich dann wieder.
Danke für den Hinweis, auch an die Anderen für die Ping- Antworten.

Carbonius

 

[tufkabb]

Die DS ist aus beiden Netzen erreichbar weil sie mit ihren beiden Netzwerkanschlüssen in je einem der beiden Netze hängt.
Bei der Kamera im Gastnetz hingegen blockiert die Fritzbox mit ihrer "Firewall" den GEGENSEITIGEN Zugriff der Netze und soweit ich weiß (hab keine Fritzbox) lässt sich das auch nicht so ohne weiteres ändern.

Bei einem "besseren" Router mit einer regelbasierenden Firewall wäre es möglich den Zugriff vom Privatnetz zum Gastnetz zu erlauben, aber nicht umgekehrt. Dann hättest du das was du willst. Das Problem ist, dass die Fritzbox leider nur eine sehr einfache SPI-Firewall hat.

Ich betreibe aus diesem Grund einen EdgerouterX hinter meinem Telekom Hybrid Router. Der EdgerouterX routet dann in meine 3 getrennten Subnetze und ist für die Firewall zuständig. Nebenbei macht er auch noch den DHCP, DNS und VPN Server. Meine IP Kameras laufen alle in einem eigenen Subnetz. Mit Firewall Rulesets kann man dann explizit einstellen wer wohin zugreifen darf.

Vielleicht könnte in deinem Fall auch die DS als Router fungieren, da sie in beiden Netzen hängt. Ich denke die DS Firewall kann mehr als die der Fritzbox. Aber dazu werden sicher andere mehr sagen können.

Ansonsten gibt es hier einen ganz guten Artikel zum Thema Fritzbox und Firewall
https://www.computerwoche.de/a/wo-die-fritzbox-versagt,2485286

 

[blurrrr]

Die DS ist aus beiden Netzen erreichbar weil sie mit ihren beiden Netzwerkanschlüssen in je einem der beiden Netze hängt.
Bei der Kamera im Gastnetz hingegen blockiert die Fritzbox mit ihrer "Firewall" den GEGENSEITIGEN Zugriff der Netze und soweit ich weiß (hab keine Fritzbox) lässt sich das auch nicht so ohne weiteres ändern.

Was hat das eine grade mit dem anderen zu tun? Im Gegensatz zu mir ( ) hast Du immerhin richtig gelesen, dass die DS in "beiden" Netzen hängt. Somit ist diesbezüglich die FB-Firewall "überhaupt nicht" involviert, wenn die DS die Cam im Gastnetz ansprechen will, da die DS lt. eigener Routingtabelle auch beide Netze kennt. Da hilft Dir auch kein komische Ubiquiti-Edge-Router, weil der in diesem Szenario eben "garnicht"(!) involviert ist. Client-Isolation scheint auch kein Thema zu sein, da die Clients durchaus die Cam ansprechen können.

Warten wir erstmal ab, bis es ein Feedback von @Carbonius gibt...

 

[Jagnix]

Aber die Surveilance Station ist doch nur über das Heimnetz 192.168.xxx.xxx\cam erreichbar und nicht über das Gastnetz. Da diese ja im Heimnetz installiert wurde. Oder irre ich mich da ?

 

[blurrrr]

@Wadenbeißer :

Die Surveillance Station ist aus beiden Netzen und aus dem Internet (DynDNS mit Portweiterleitung) erreichbar.

Kann eigentlich nur ein Konfigurationsproblem sein (vermutlich mal wieder Firewall oder dergleichen, k.a., mal sehen)

P.S.: Danke! Bin ich wenigstens nicht der einzige der nicht richtig gelesen hat ?

 

[tufkabb]

Da hilft Dir auch kein komische Ubiquiti-Edge-Router, weil der in diesem Szenario eben "garnicht"(!) involviert ist.

Ok dann hab ich das wohl nicht richtig durchdacht. Aber wenigstens habe ich das Ausgangsposting richtig gelesen und verstanden und keine komischen Vorschläge komplett am Thema vorbei gemacht

 

[Carbonius]

Hallo,
inzwischen funktioniert es. Ich bin wie folgt vorgegangen:

1. IP der Kamera von fest auf DHCP umgestellt
2. den Strang, an dem die Kamera hängt, von Gast auf Privat umgesteckt
3. mit dem Axis IP-Utility die neue Adresse herausgefunden und probeweise das Web-Interface aufgerufen
4. die IP der bereits (bisher mit Fehler) in der Surveillance Station eingetragenen Kamera angepasst
5. Kamera in der Surveillance Station getestet
6. den Strang, an dem die Kamera hängt, wieder auf Gast gesteckt
7. IP kontrolliert: ist im Gastnetz wieder die gleiche, wie vor der Aktion
8. Web-Interface ausprobiert und die Adresse von DHCP auf fest gestellt
9. IP-Adresse in der Surveillance Station wieder auf die Gastnetzadresse abgeändert
10. Kamera in der Surveillance Station getestet

Ich habe dann versuchsweise alles heruntergefahren und neu gestartet - es funktioniert immer noch, so wie ich es ursprünglich erwartet hatte.
Wodurch ich das jetzt "repariert" habe - keine Ahnung.
Auf jeden Fall danke für die Rückmeldungen. Vielleicht kann Jemand mit einem ähnlichen Problem das auch so lösen wie ich.

Viele Grüße,
Carbonius

 

[blurrrr]

Könnte vielleicht noch irgendein Problem mit einem Cache (zB. ARP (IP <-> MAC)) gewesen sein, aber wie der Volksmund immer so sagt: Reboot tut gut Aber wenn es Dich beruhigt: "Falsch" gemacht hast Du garnichts, es hätte auch direkt "so" funktionieren müssen. Vorgehensweise war also völlig richtig, nur ist halt ein - nicht näher spezifiziertes - Problem dazwischengegrätscht. Weisst schon, Murphy und so... " Wenn etwas schiefgehen kann, dann wird es auch schiefgehen"... ?