LIve-Ansicht in DS Cam mit deutlicher Zeitverzögerung

[c0smo]

Also. Wenn ich den Filter so modifiziere, daß nur die Ports 443 (https-Zugriff auf Kamera-Stream) als auch 88 (VLC-Media-Player-Zugriff auf Kamera-Stream) offen sind (Rest gesperrt), bekommt ich mit dem VPN Zugriff auf beide Kameras.
Soweit, so gut. Die Frage ist nur: Wenn ich diese beiden Ports für die Kameras offen halte, handele ich mir damit dann wieder ein Sicherheitsrisiko ein, weil die Biester dann wieder raustelefonieren können? Oder ist das unkritisch?

Ich kenne zwar deine Kameras nicht, aber 443 ist normal für die Weboberfläche (https). Der Kamerastream ist rtsp (554). Beide Ports müssen normalerweise nicht weitergeleitet werden, ausser du willst von aussen auf die Weboberfläche oder rufst den Stream über VLC ab.
Generell sind Weiterleitungen komplett unnötig, wenn die Verbindung mit VPN aufgebaut wird. Dann bist du ja direkt und verschlüsselt im lokalen Netz - folglich ist es auch sinnfrei https zu verwenden.
Wenn VPN aktiv, kannst du jede App verwenden um deine Kameras anzeigen zu lassen, egal ob Android, ios etc. Einfach die lokale IP eintragen - fertig.

 

[Janniman]

Wenn VPN aktiv, kannst du jede App verwenden um deine Kameras anzeigen zu lassen, egal ob Android, ios etc. Einfach die lokale IP eintragen - fertig.

Nö. Das hatten wir doch schon.
Ich würde zu gerne mal sehen, wie die Einstellungen deiner Kameras in den Fritten aussehen, wenn das bei dir funktioniert.

Jan

 

[c0smo]

Ich selber nutze kein VPN, richte es aber oft bei Kunden ein. Spezielle Einstellungen für die Kameras müssen ansich nicht vorgenommen werden.
Ich habe vorher wahrscheinlich einen wichtigen Punkt zu dem Thema überlesen.. Hier ist die Kindersicherung in der FB aktiv. Das erschwert das ganze natürlich. Sorry..

Schonmal probiert die Sperre deaktiviert zu lassen und stattdessen das Gateway der Kameras zu löschen bzw. ein falsches einzutragen. Ohne Gateway keine Kommunikation nach aussen.
Andere Möglichkeit wäre die Whitlist in der FB und Zugangsprofile mit entsprechenden Regeln für die Ports. Ob das wirklich so funktioniert kann ich nicht sagen, ist nur ein Gedankenspiel.

Sorry nochmal für das Missverständnis

 

[Janniman]

Ist ja in Ordnung.
Bei meinen Lancom konnte ich das auch noch so verbiegen, damit es funktionierte, aber die Fritzen sind da eben etwas "Kundenfreundlicher" (meine ich nicht wirklich negativ).
Solange selbst "nette" Firmen wie Reolink einfach ohne Infos P2P-Server kontaktieren, wohlgemerkt ohne eine Info für den User, solange traue ich keiner Firma. Lediglich meine Axis dürften ihre Kindersicherung wieder abgeben...

Das angeben falscher Gateways ist ja ok, aber selbst dann sind deren (China-Cam, Reolink) P2P-Server teils kontaktiert worden. Ich würde auch für meine vivotek und die Hikvision keine Garantie übernehmen.

Jan

 

[c0smo]

Könntest du mir mal bitte Quellen nennen, die das bestätigen.

Und wie soll denn ohne Gateway eine Verbindung nach aussen gehen? Das leuchtet mir technisch nicht ganz ein.
Wenn ich bei meinen Cams ein falsches Gateway eintrage bzw das Feld leer lasse, bekomme ich von aussen keine Verbindung. Und andersrum, wenn zb ein Email Konto in der Cam angelegt wurde, für Benachrichtigungen bei Bewegung, geht auch nichts raus.

 

[c0smo]

Schade das hier nichts mehr kommt, ich hätte das schon gerne gewusst. Auch das mit dem Gateway.

 

[Janniman]

Was soll ich da sagen?

Die China-Cam ist zur Zeit nicht im System, da diese nur als Notfallkamera dient.
Bei der einen Hikvision DS-2CD2032-I (V5.2.0 build 140721) kamen am Anfang immer Fehler im Log. Abgestellt habe ich das, indem ich die Serververbindung aktiviert habe, dann den Server umgestellt und danach wieder deaktiviert. Danach hatte ich keine ausgehenden Versuche mehr. Interessanterweise springt die Anzeige immer wieder auf den voreingestellten (anscheinend fest verkabelten) Server zurück, aber die Logs sind nun leer. Die andere Hikvision habe ich vorher intern schon so eingestellt, da ich das erst gar nicht riskieren wollte. Es ging hier um PlatformAccess und den DDNS-Zugang und das nach einem Reboot der Kamera immer deren Server wieder aufgetaucht sind.

Die Reolink Argus hat KEINE Einstellmöglichkeiten für die Server, keine Weboberfläche, da ist alles fest verkabelt. Entweder du willst Alarm/Bilder/Anzeige, dann über deren Server, oder eben nicht -> doch dann geht gar nichts mehr.

Jan

 

[Hesse]

Hi,

Vorab:
das gleiche Problem hab ich auch - bzw. kenne ich. Die Performance (egal ob Live-Ansicht oder Wiedergabe der Aufnahmen) mit DS Cam bei meinen Hikvision-Kameras (FHD, 25FPS usw.) ist nicht gerade "performant", gerade über VPN nicht. Die Kameras hängen hinter einer FB 7590 - und diese ist was VPN angeht nicht gerade die schnellste (Telekom-Anschluss 100/40 Mbit). bei einem Speedtest von Unterwegs mit aufgebauten VPN erreicht man nur 14/8 Mbit. Das liegt an der CPU der FB.

Gelöst habe ich es so:
1. Das Gateway der Kamera gelöscht/geändert
2. Nutze ich die Hikvision-App für die Live-Ansicht - damit diese auch über VPN (mit der FB) funktioniert, habe ich für die Kamera nur den Port 8000 erlaubt, d.h. TCP Port 1-7999 und 8001 - 65535 gesperrt. - UDP komplett gesperrt. Diese angelegte "Regel" kann man dann der Kamera zuweisen, so das nur Port 8000 "offen" ist - anstelle von komplett gesperrt.

Gruß

 

[PeterPanther]

Also ich habe das wie gesagt auch so gelöst, Port 443 in dem Kindersicherungsprofil für die Foscam-Dinger freigegeben und kann nun auch problemlos nach VPN-Verbindung von meiner Smartphone-App auf die Kameras zugreifen. Ist komfortabler und schneller als DS-Cam (für die Live-Ansicht).
Bleibt zu hoffen, daß die Kamera sich über den offenen Port nicht doch irgendwie nach außen verbinden kann.

 

[Hesse]

Ich denke nicht - zumindest ist mit Wireshark nichts zu sehen - Zumal ja auch das Gateway falsch eingetragen bzw. gelöscht ist.

 

[PeterPanther]

Naja, falsches Gateway habe ich gar nicht eingetragen.