9
Mobotix Cam per Wireguard VPN nicht erreichbar
Ich habe zu Hause als Router eine pfSense. Darauf läuft Wireguard für VPN.
Der VPN-Zugang funktioniert sowohl vom iPhone als auch vom PC und ich kann auf die diversen Weboberflächen von Servern (Unifi, Grafana, Node Red, Qnap,...) sowie Switches zugreifen. Ebenfalls funktioniert der Zugriff auf freigegebene Dateien auf meinem Server, die Benutzung der Homeautomation (KNX), sowie Saugroboter als auch Waschmaschine und Spülmaschine (beides Miele).
Das einzige, was nicht funktioniert: Der Zugriff auf die 2 Mobotix Kameras.
Auf dem iPhone funktioniert die Mobotix-App nicht. Ok, nach Recherche festgestellt, dass die App kein VPN berücksichtigt.
ABER: Ich müsste ja im Browser per HTTP(s) auf die Kamera zugreifen können. Fehlanzeige.
Auch vom PC funktioniert der Zugriff auf die Kameras nicht.
Ping geht auch nicht.
Die Kameras bekommen die gleichen Netzwerkeinstellungen wie alle anderen Geräte per DHCP.
Auf den Kameras findet keine Filterung von IP-Adressen statt. Ich habe auch schon explizit die IP-Adressen aus dem VPN-Tunnel als erlaubt eingetragen - keine Änderung.
Wireshark zeigt mir lediglich 3 Telegramme "SACK PERM"...
Was kann ich noch versuchen?
Vielen Dank.
Der VPN-Zugang funktioniert sowohl vom iPhone als auch vom PC und ich kann auf die diversen Weboberflächen von Servern (Unifi, Grafana, Node Red, Qnap,...) sowie Switches zugreifen. Ebenfalls funktioniert der Zugriff auf freigegebene Dateien auf meinem Server, die Benutzung der Homeautomation (KNX), sowie Saugroboter als auch Waschmaschine und Spülmaschine (beides Miele).
Das einzige, was nicht funktioniert: Der Zugriff auf die 2 Mobotix Kameras.
Auf dem iPhone funktioniert die Mobotix-App nicht. Ok, nach Recherche festgestellt, dass die App kein VPN berücksichtigt.
ABER: Ich müsste ja im Browser per HTTP(s) auf die Kamera zugreifen können. Fehlanzeige.
Auch vom PC funktioniert der Zugriff auf die Kameras nicht.
Ping geht auch nicht.
Die Kameras bekommen die gleichen Netzwerkeinstellungen wie alle anderen Geräte per DHCP.
Auf den Kameras findet keine Filterung von IP-Adressen statt. Ich habe auch schon explizit die IP-Adressen aus dem VPN-Tunnel als erlaubt eingetragen - keine Änderung.
Wireshark zeigt mir lediglich 3 Telegramme "SACK PERM"...
Was kann ich noch versuchen?
Vielen Dank.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 31849991710
Url: https://administrator.de/contentid/31849991710
Printed on: May 9, 2024 at 03:05 o'clock
9 Comments
Latest comment
Vielleicht einmal das bordeigene VPN probieren was deutlich besser ins OS integriert ist. Erspart dir auch die überflüssige Frickelei mit externen VPN Clients.
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Mal das VPN Subnetz auf der Sense in Richtung Mobotix IP auf die LAN-IP der Sense SRC-NATen (Masqueraden). Einige solcher Webinterfaces schränken nämlich den Zugriff per Default auf das Subnetz ein in das sie selbst eingebunden sind, und da die Wireguard Clients aus einem fremden Subnetz kommen wird der Zugriff dann blockiert.
Firewall Settings auf der Sense sehen wie aus?
☠️
Firewall Settings auf der Sense sehen wie aus?
☠️
1
@aqui:
Ich habe mich bewusst für das Wireguard entschieden, da ich auch noch auf einige andere VPNs (Fritzboxen) zugreifen können muss und so mit einem Client auskomme. Dazu funktioniert bei Wireguard auf dem iPhone der bedarfsweise VPN-Tunnel sehr gut. Ich muss also nicht jedes mal explizit VPN starten und beenden - es läuft einfach im Hintergrund weiter. Das ist mir von den anderen Lösungen nicht so bekannt (gewesen)...
@11078840001:
Laut Mobotix findet keinerlei Filterung statt. Das Web-Interface bietet die Möglichkeit explizit IP-Adressbereiche zu erlauben/verbieten. Dort habe ich auch schon explizit das VPN-Netz eingetragen - ändert nichts...
Ja, um die 100% meiner Aussage voll zu machen, sollte ich das noch probieren...
Was mir noch nicht ganz klar ist: Warum wird dieses "SACK PERM" gesendet? Was hat es damit auf sich?
Ich habe mich bewusst für das Wireguard entschieden, da ich auch noch auf einige andere VPNs (Fritzboxen) zugreifen können muss und so mit einem Client auskomme. Dazu funktioniert bei Wireguard auf dem iPhone der bedarfsweise VPN-Tunnel sehr gut. Ich muss also nicht jedes mal explizit VPN starten und beenden - es läuft einfach im Hintergrund weiter. Das ist mir von den anderen Lösungen nicht so bekannt (gewesen)...
@11078840001:
Laut Mobotix findet keinerlei Filterung statt. Das Web-Interface bietet die Möglichkeit explizit IP-Adressbereiche zu erlauben/verbieten. Dort habe ich auch schon explizit das VPN-Netz eingetragen - ändert nichts...
Ja, um die 100% meiner Aussage voll zu machen, sollte ich das noch probieren...
Was mir noch nicht ganz klar ist: Warum wird dieses "SACK PERM" gesendet? Was hat es damit auf sich?
Ja, um die 100% meiner Aussage voll zu machen, sollte ich das noch probieren...
Jepp, Vertrauen ist eines, Kontrolle am Ende aber immer besser 😉.Was mir noch nicht ganz klar ist: Warum wird dieses "SACK PERM" gesendet? Was hat es damit auf sich?
https://stackoverflow.com/questions/35623192/wireshark-sack-perm-1
Ja, die eigentliche Bedeutung des SACK PERM war/ist mir bewusst. Ich frage mich nur, warum das in dem Fall gesendet wird? Der PC weiß ja zu dem Zeitpunkt noch nicht, dass die IP-Adresse einer Webcam gehört...?!?
Wenn ich zuvor ja irgendeine andere Kommunikation hätte...
Wenn ich zuvor ja irgendeine andere Kommunikation hätte...
Hier weiß ja keiner wo und was du mitgeschnitten hast. Schnorcheln lässt sich an vielen stellen, am besten gleich auf der Sense schnorcheln und cap file bereitstellen. Genauso wenig kennen wir dein Firewall Regelwerk, also mal wieder Glaskugel-Bowling am Freitag 🐟.
Ohne hier was schwarz auf weiß vorliegen zu haben bleibt das Geschwurbel auf uns unbekannten Gegebenheiten 😵💫.
Ohne hier was schwarz auf weiß vorliegen zu haben bleibt das Geschwurbel auf uns unbekannten Gegebenheiten 😵💫.
1
Gerade nochmal etwas probiert.
Wenn ich mit aktiviertem VPN ein tracert mache, dann klappt das für "alle" (hab nicht wirklich alle getestet) anderen Devices, im Screenshot z.B. meine Spülmaschine. 10.10.10.1 ist die pfSense.
Die Kamera hängt im gleichen Netz wie die Spülmaschine.
Wenn ich mit aktiviertem VPN ein tracert mache, dann klappt das für "alle" (hab nicht wirklich alle getestet) anderen Devices, im Screenshot z.B. meine Spülmaschine. 10.10.10.1 ist die pfSense.
Die Kamera hängt im gleichen Netz wie die Spülmaschine.
Das sagt halt nur aus das die Kamera nicht auf ICMP oder UDP Traceroute antwortet, oder das der Traffic schon an der Sense geblockt wird, Firewall&Co.
Ergo Firewall logs der Sense checken und auf der pfSense einen Wireshark-Capture auf beiden Interfaces machen um zu sehen was ankommt und raus geht/zurück kommt alles andere ist hier wie gesagt in freiem Fall raten ohne deine Konfiguration vorliegen zu haben, die du uns ja warum auch immer nicht verraten willst 🤔.
Im Zweifel Firewall erst mal auf Durchzug stellen und erst wenn's klappt wieder Schritt für Schritt dicht machen.
Ergo Firewall logs der Sense checken und auf der pfSense einen Wireshark-Capture auf beiden Interfaces machen um zu sehen was ankommt und raus geht/zurück kommt alles andere ist hier wie gesagt in freiem Fall raten ohne deine Konfiguration vorliegen zu haben, die du uns ja warum auch immer nicht verraten willst 🤔.
Im Zweifel Firewall erst mal auf Durchzug stellen und erst wenn's klappt wieder Schritt für Schritt dicht machen.
1
Wenn es das denn nun war:
How can I mark a post as solved?
How can I mark a post as solved?
