Camera netwerk met VPN

woensdag 16 januari 2019 08:15

Acties:

0 Henk 'm!

Topicstarter

Goedemorgen allemaal,

Ik heb sinds een tijdje camera's hangen thuis. Dit is een hobbyproject en ben steeds iets professioneler aan de gang.
Nu heb ik een tijdje mijn camera's naar de buitenwereld opengezet via een portforwards. Later las ik dat dit erg onveilig is en daarom ook niet handig om te doen.
Ik heb gekeken hoe het beter kan en heb geprobeerd een extra router tussen mijn netwerk te zetten waarop ik een OpenVPN server heb staan. Alleen ik krijg nu de laatste stap niet rond. Het weer openzetten naar het internet via de OpenVPN.
Hieronder een tekening van mijn netwerk

Ik denk dat ik iets moet openzetten op de router van de ISP.
De Asus router is een Asus AC750 RT-AC51U Router. Ik heb ook gezien dat je misschien de passthrough modus van de ISP router moet gebruiken maar deze zit niet op die router of is afgeschermd.
De router van de ISP is de zte h368n van KPN.

Iemand enig idee hoe ik dit kan fabriceren zodat ik via het internet mijn camera's kan bekijken?

woensdag 16 januari 2019 08:22

Acties:

0 Henk 'm!

Radiant

Certified MS Bob Administrator

Portforwards maken voor OpenVPN?

woensdag 16 januari 2019 08:39

Acties:

0 Henk 'm!

Frogmen

Als ik naar je netwerk kijk zou ik ervoor kiezen om alles achter de Asus router te zetten. Hierdoor kan je intern makkelijker bij je camera's. Verder zoals @Radiant zegt portforward maken.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

woensdag 16 januari 2019 08:44

Acties:

0 Henk 'm!

Dacuuu

Staat je asus router in router mode of in accesspoint mode? Als hij in router mode staat heb je nu een dubbele NAT, dat wil je niet en geeft problemen met poorten.
Als de asus in accesspoint mode staat, werkt de vpn server dan wel?

woensdag 16 januari 2019 09:02

Acties:

0 Henk 'm!

To_Tall

Als jij je camera’s alleen laat praten met de NVR. Dus geen broadcast over je netwerk laat doen. En de NVR goed beveiligd dmv goede gebruikersnaam + wachtwoord en deze ook nig bv achter een reverse proxy zet.

Zie ik niet direct in dat je NVR naar buiten open zetten heel onveilig is.

Onveilig is de camera’s direct met de buiten wereld laten communiceren. Ik heb ooit m’n laptop direct aan een ziggo modem die in beige stond gehangen. Daar netwerk scan laten uitvoeren. Als je dan ziet hoeveel camera’s direct met de buiten wereld communiceren. Dan schrik je wel.

A Soldiers manual and a pair of boots.

woensdag 16 januari 2019 11:07

Acties:

0 Henk 'm!

vso

tja...

@lauranvh je wilt niet de camera's direct op je internet hebben, via een proxy of vpn kan je dat voorkomen.

Zelf zou ik meer in een (apache) website waarop de camera's gelinkt zijn (indirect dus) met als toegangs controle MFA of OTP zoeken, dit resulteert in een lage bandbreedte verbruik en toch veilig(er)

Tja vanalles

donderdag 24 januari 2019 21:57

Acties:

0 Henk 'm!

lauranvh

Topicstarter

Bedankt allemaal voor jullie antwoorden. Ben er toch nog niet helemaal uitgekomen. Dus hier even wat antwoorden op jullie reacties en wat nieuwe inzichten.

Radiant schreef op woensdag 16 januari 2019 @ 08:22:
Portforwards maken voor OpenVPN?

Hoe zou ik puur en alleen een portforward moeten maken voor de OpenVPN dan? Ik heb op dit moment dus mijn Asus Router via de WAN poort geconnecteerd naar de ISP router. De asus router heeft WAN ip 192.168.2.5 gekregen van de ISP router en het interne ip adres is 192.168.3.79. Allemaal op 255.255.255.0. Zou ik dan het WAN IP moeten forwarden in de ISP router? Dan kan ik alleen vanuit het internet naar de router als dat werkt toch?
Het WAN ip adres op de asus router krijg ik dus automatisch vanuit de ISP router toegewezen. (Kan ook statisch in principe).

Frogmen schreef op woensdag 16 januari 2019 @ 08:39:
Als ik naar je netwerk kijk zou ik ervoor kiezen om alles achter de Asus router te zetten. Hierdoor kan je intern makkelijker bij je camera's. Verder zoals @Radiant zegt portforward maken.

Ik kan niet alles achter de asus router plaatsen. Telefonie en tv gaan ook nog via de ISP router. Het gaat me puur en alleen om het camera netwerk dat ik helemaal netjes achter een apart netwerk wil hangen zodat ik dat kan beveiligen met een VPN.

Dacuuu schreef op woensdag 16 januari 2019 @ 08:44:
Staat je asus router in router mode of in accesspoint mode? Als hij in router mode staat heb je nu een dubbele NAT, dat wil je niet en geeft problemen met poorten.
Als de asus in accesspoint mode staat, werkt de vpn server dan wel?

Hij staat nu in Wireless (router) modus. Anders kan ik de WAN instellingen niet gebruiken. NAT staat uitgeschakeld op de asus router dus dat zou volgens mij geen problemen kunnen veroorzaken dan? Of heb ik dat mis? UPnp staat wel nog aan. Lijkt me niet zo'n probleem.

To_Tall schreef op woensdag 16 januari 2019 @ 09:02:
Als jij je camera’s alleen laat praten met de NVR. Dus geen broadcast over je netwerk laat doen. En de NVR goed beveiligd dmv goede gebruikersnaam + wachtwoord en deze ook nig bv achter een reverse proxy zet.

Zie ik niet direct in dat je NVR naar buiten open zetten heel onveilig is.

Onveilig is de camera’s direct met de buiten wereld laten communiceren. Ik heb ooit m’n laptop direct aan een ziggo modem die in beige stond gehangen. Daar netwerk scan laten uitvoeren. Als je dan ziet hoeveel camera’s direct met de buiten wereld communiceren. Dan schrik je wel.

vso schreef op woensdag 16 januari 2019 @ 11:07:
@lauranvh je wilt niet de camera's direct op je internet hebben, via een proxy of vpn kan je dat voorkomen.

Zelf zou ik meer in een (apache) website waarop de camera's gelinkt zijn (indirect dus) met als toegangs controle MFA of OTP zoeken, dit resulteert in een lage bandbreedte verbruik en toch veilig(er)

Opzich ben ik het eens met jullie beide bovenstaande. Deze opties wil ik alleen gebruiken mocht het echt niet lukken met de VPN en het aparte netwerk achter de asus router.
Zo'n apache website met OTP klinkt ook wel goed maar dat moet ik dus ook weer helemaal uit gaan zoeken en dan met een ?arduino? ofzo aan de slag.

______________________________

Heb even geen idee meer waar ik nu mee verder moet gaan. Heb mijn laptop nu via de kabel in het cameranetwerk hangen en heb een 192.168.3.100 ipadres. Ik kan van hieruit alles zien in het netwerk maar kan niet naar 192.168.2.254 (ISP router) browsen en ook niet pingen. Vanuit een pc in het ISP netwerk kan ik wel pingen naar het "wan ip" van de asus router (192.186.2.5 (optie: Respond ICMP Echo (ping) request staat aan)) maar niet naar het 192.168.3.xxx netwerk. De firewall van de asus router staat uit en dan nog werkt dat niet.

Iemand enig idee hoe ik dat kan gaan openzetten?

donderdag 24 januari 2019 22:56

Acties:

0 Henk 'm!

jant

Push je de route 192.168.3.0/24 wel naar de vpn client?

[ Voor 68% gewijzigd door jant op 24-01-2019 23:29 ]

Een album per dag; een selectie: https://open.spotify.com/playlist/6s3nNLl8pJpCwLR3LPligA?si=dddc51153b2a49e8

donderdag 24 januari 2019 23:03

Acties:

0 Henk 'm!

Chris-1992

Je zal op de Asus routertje een GW moeten instellen dat hij weet wanneer je naar je ISP netwerk pingt dat hij naar "buiten - WAN" moet gaan.
Nu herkent hij het netwerk niet en stuurt hij de aanvraag niet naar buiten omdat het een "intern" ip is.
Waardoor je vanuit het ASUS netwerk niet kan pingen naar je ISP netwerk.

GW instellen of Routing table aanpassen.

---

OpenVPN:
Zet je server op.
ISP naar asusrouter 1 op 1 port forwarding (1194?)
Rules goed zetten van je asus router. (Vermoedelijk zijn hier wel fimpjes voor te vinden aangezien ze specifiek reclame maken hierover)

donderdag 24 januari 2019 23:13

Acties:

0 Henk 'm!

Nickname55

Ik heb dit dus ook. Alleen in plaats van de Asus router heb ik een pfSense router. Daar stel ik OpenVPN in, en ik hoef daar verder geen poorten open te zetten ofzo, dat word gedaan als je de wizard netjes door loopt. Op de ISP router moet je uiteraard wel poort 1194 doorlussen maar het ip van je Asus router.

Wil je nu vanaf de pc / laptop / smartfoon die rechtstreeks aan je ISP router hangen bij je camera komen, dan moet je voor deze apparaten wel een poort open zetten in de Asus router.

[ Voor 24% gewijzigd door Nickname55 op 24-01-2019 23:20 ]

Euhm... \n ...

donderdag 24 januari 2019 23:23

Acties:

+1 Henk 'm!

FrankGNL

Wat Chris ook al aangeeft moet je je routering aanpassen op je ISP router. Zodat hij weet waar hij het 192.168.3.0 netwerk kan vinden.

Dit is ook gelijk je probleem, want bij de meeste ISP routers kan je dit niet instellen

donderdag 24 januari 2019 23:31

Acties:

0 Henk 'm!

Nickname55

Je moet gewoon poort 1194 forwarden op de ISP router, verder niks. En poort forwarden kunnen de meeste wel.

Euhm... \n ...

donderdag 24 januari 2019 23:53

Acties:

0 Henk 'm!

Thralas

FrankGNL schreef op donderdag 24 januari 2019 @ 23:23:
Wat Chris ook al aangeeft moet je je routering aanpassen op je ISP router. Zodat hij weet waar hij het 192.168.3.0 netwerk kan vinden.

Dit is ook gelijk je probleem, want bij de meeste ISP routers kan je dit niet instellen

Dit is helemaal juist. En dat kan volgens mij inderdaad niet op de v9.

Dus dan gaat het geheel nooit (praktisch) werken. Ik zou kijken of OpenWRT toevallig op die Asus draait, of anders OpenVPN op een Raspberry Pi oid draaien, dan heb je alle flexibiliteit.

vrijdag 25 januari 2019 00:05

Acties:

0 Henk 'm!

vso

tja...

lauranvh schreef op donderdag 24 januari 2019 @ 21:57:
Opzich ben ik het eens met jullie beide bovenstaande. Deze opties wil ik alleen gebruiken mocht het echt niet lukken met de VPN en het aparte netwerk achter de asus router.
Zo'n apache website met OTP klinkt ook wel goed maar dat moet ik dus ook weer helemaal uit gaan zoeken en dan met een ?arduino? ofzo aan de slag.

ik zou eerder een raspberry pi aan de slag gaan, 40 tot 50 euro ongeveer aan kosten

OTP of google MFA = "1 regel code" aanpassen
stap 1 volg een normale apache installatie
stap 2 volg https://hackaday.com/2016...pi-with-help-from-google/ (dit is voor ssh maar even als voorbeeld)

overgens MFA/OTP kan je ook denk ik wel op een nas/vpn/windows doos of zoiets doen het is niet beperkt tot ..

Tja vanalles

vrijdag 25 januari 2019 07:52

Acties:

0 Henk 'm!

Frogmen

Ik snap op zich wel wat je wil bereiken alleen je probeert een soort van profesionaliteit te bereiken met consumenten spul. Verder vraag ik mij waartegen je je probeert te beveiligen. Een hacker die eerst in je netwerk inbreekt om je camera systeem onklaar te maken zodat ze daarna kunnen inbreken?
Dan kijk je teveel films, ze zetten namelijk gewoon hun hoodie op en lopen langs je camera. of iets anders simpels. Vergeet niet dat opsporing door een camera altijd geluk hebben is, of je moet er genoeg plaatsen. Zelfs dan is het vaak geen prio bij politie en is het meer geluk op termijn dat ze gepakt worden dan iets anders. Persoonlijk als je het toch wil en leuk vindt etc. zou ik eerder richting VLAN's gaan denken.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

vrijdag 25 januari 2019 12:21

Acties:

0 Henk 'm!

Nickname55

@Frogmen als je zo gaat zitten beredeneren, dan kun je zo ongeveer wel 3kwart van wat hier opt forum afspeelt schrappen. Soms is iets gewoon hobby, ter lering en vermaak.

Ik heb ook een 2de router achter mn experiabox hangen. Omdat ik graag gewoon een volwaardige router wil. Waar ik zelf dns en dergelijke op in kan stellen. Gelijk adblocker erop, Openvpn, VLAN, enz.

Euhm... \n ...

vrijdag 25 januari 2019 12:24

Acties:

0 Henk 'm!

Frogmen

Nickname55 schreef op vrijdag 25 januari 2019 @ 12:21:
@Frogmen als je zo gaat zitten beredeneren, dan kun je zo ongeveer wel 3kwart van wat hier opt forum afspeelt schrappen. Soms is iets gewoon hobby, ter lering en vermaak.

Ik heb ook een 2de router achter mn experiabox hangen. Omdat ik graag gewoon een volwaardige router wil. Waar ik zelf dns en dergelijke op in kan stellen. Gelijk adblocker erop, Openvpn, VLAN, enz.

Lees ook de laatste regel, ik snap dat best. Maar de TS komt met een bijna onmogelijke situatie, van apparatuur en wat hij wil.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

Vraag

Alle reacties