Hallo Leute,
ich hoffe der Thread verwirrt nicht all zu sehr. Ich versuche mein Problem mal darzustellen:
Ich habe eine IP-Kamera im Garten, welche mittels Motion-Eye (separater Raspi) einen Stream an den Web-Server liefert. Die URL habe ich in FHEM mittels iframe eingebunden. Wenn ich im WLAN bin, kann ich das Kamerabild ohne Probleme ansehen.
Nun habe ich per MyFritz eine Freigabe für den Webserver erteilt, um FHEM auch unterwegs ansprechen zu können. Jedoch kann ich unterwegs das Kamerabild nicht abrufen. Liegt es etwa daran, dass die von Motion-Eye generierte URL nur im LAN abgerufen werden kann? Ich habe eigentlich erwartet, dass die Myfritz-Freigabe wie eine Art Tunnel funktioniert und ich somit auch auf interne URL´s zugreifen kann.
Ich habe jetzt mal eine MyFritz-Freigabe für den Kamerastream erstellt und diesen als iframe in FHEM direkt eingebunden. Jetzt kann ich auch unterwegs das Kamerabild abrufen, jedoch wird jetzt natürlich auch im internen LAN-Gebrauch das Kamerabild von MotionEye über das www wieder auf FHEM übertragen. Das ist ja eigentlich ein viel zu komplizierter und unnötiger Weg.
Seht Ihr andere Möglichkeiten, den Kamera-Stream sowohl im LAN als auch unterwegs vernünftig einsetzen zu können?
Ich hoffe ich habe mich halbwegs verständlich ausgedrückt und hoffe auf Eure Hilfe.
Viele Grüße,
Schulle
Die vernünftige Lösung nennt sich VPN, damit wärst Du wirklich wie zu Hause in Deinem LAN!
Alles Andere ist m.E. nur halbgar.
Eine FHEM Installation würde ich niemals ins Internet stellen.
Gruß
Dan
Hi,
danke für deine schnelle Antwort!
Eine MyFritz-Freigabe wird also als kritisch bzw. unsicher angesehen? Ich bin im Bereich von Internet-Security alles andere als fit.
Benötige ich für einen VPN-Zugang einen ggf. kostenpflichtigen Drittanbieter-Zugang? Oder geht das auch über die Fritzbox?
Naja, ich würde Wert legen auf L2TP VPN.
Dazu braucht es keinen Anbieter.
Soweit ich weiß kann die Fritte aber nur PPTP (wurde schon gehackt) und openVPN. openVPN benötigt immer einen Extra Client, L2TP bei modernen Geräten nicht.
Gruß
Dan
P.S. Bei mir läuft L2TP auf meiner Synology. Einwählen, verschlüsselte Kommunikation und fühlen wie im eigenen LAN. 8) 8) 8)
Also ich habe soeben über die "Fritte" einen VPN-Zugang einrichten können für mein Android Endgerät. Es wurde der Typ: IPSec Xaut PSK eingestellt.
Bin ich so etwas sicherer unterwegs? Und wie verhält sich die VPN Einstellung das mobile Datenvolumen und den Akku-Verbrauch?
Vielen Dank für die Hilfe!
Kurze Nachfrage: Und was ist mit https? Auch unsicher? (Da klappt das mit der Kamera übrigens auch nicht, jedenfalls kriege ich es nicht hin.)
Gesendet von iPhone mit Tapatalk Pro
Zitat von: schulle am 29 Mai 2017, 21:36:26
Also ich habe soeben über die "Fritte" einen VPN-Zugang einrichten können für mein Android Endgerät. Es wurde der Typ: IPSec Xaut PSK eingestellt.
Bin ich so etwas sicherer unterwegs? Und wie verhält sich die VPN Einstellung das mobile Datenvolumen und den Akku-Verbrauch?
Kenne ich jetzt nicht! Kenne mich auch mit der Fritte überhaupt nicht aus.
Damit solltest Du aber um Einiges sicherer sein als vorher, mit dem schönen Nebeneffekt dass Du auch Dein Kamerabild siehst. 8)
Generell würde ich davon abraten einfach irgendwas im eigenen Netzwerk ins Internet freizugeben ohne mir dessen genau bewusst zu sein was ich da tue!!!!!!!Was mich auch zur Beantwortung bringt von:
Zitat von: andies am 29 Mai 2017, 21:39:49
Kurze Nachfrage: Und was ist mit https? Auch unsicher? (Da klappt das mit der Kamera übrigens auch nicht, jedenfalls kriege ich es nicht hin.)
https verhindert nur das Mitlesen der Daten!!!
Solange da aber ein (Web)Port offen ist, der auch noch eine Authentifizierung erfordert, ist das Ding schnell gefunden und ein Brute-Force Angriff drauf gestartet! Und bei den "meist einfachen" User/Password Kombinationen ist das nur eine Frage der Zeit bis man drin ist!
Und klar, wie sollst Du das Bild der Cam von extern sehen, Du hast sicherlich nur FHEM freigegeben und nicht auch noch die Cam und deren Port.
Gruß
Dan
Danke. Ich muss noch mal nachfragen. Man könnte doch auch einen brute force auf VPN starten. Warum ist das sicherer?
(Ich möchte halt verstehen, was ich tue.)
Gesendet von iPhone mit Tapatalk Pro
Zitat von: andies am 30 Mai 2017, 06:41:32
Danke. Ich muss noch mal nachfragen. Man könnte doch auch einen brute force auf VPN starten. Warum ist das sicherer?
(Ich möchte halt verstehen, was ich tue.)
Könntest Du!
Wenn Du statt eines Zertifikats ein Secret einsetzt.
Ich habe auch "nur" Secret im Einsatz. Aber das ist bei mir generiert, wild durcheinander und 32 Zeichen lang.
Dazu passend brauchst Du dann auch noch Benutzername und Passwort.
Mein Benutzername ist auch nicht zu erraten und das Passwort ist ebenso generiert und 32 Zeichen lang.
Diese 3 Faktoren sind mit Brute-Force so gut wie unknackbar. Mit Zertifikat sowieso nicht, es sei denn das Zertifikat wird gestohlen.
Dagegen brauchst Du bei BasicAuth nur Benutzername und Passwort.
Gruß
Dan
Zitat von: DeeSPe am 30 Mai 2017, 08:12:03
Dazu passend brauchst Du dann auch noch Benutzername und Passwort.
Mein Benutzername ist auch nicht zu erraten und das Passwort ist ebenso generiert und 32 Zeichen lang.
Diese 3 Faktoren sind mit Brute-Force so gut wie unknackbar. Mit Zertifikat sowieso nicht, es sei denn das Zertifikat wird gestohlen.
Dagegen brauchst Du bei BasicAuth nur Benutzername und Passwort.
Gruß
Dan
Wobei du, genaugenommen, ja nur einen Faktor mehr hast. Bei BasicAuth kannst du ja genauso Username und Passwort komplex gestalten ;)
Edit:
Natürlich ist aber der VPN-Ansatz der bessere Weg!