Kan Abus beveiligingssysteem niet van LAN bereiken

Vintelligence schreef op donderdag 23 april 2020 @ 13:40:
eth0 is aangesloten op de binnenkomende internet verbinding, eth1 direct op het alarmsysteem. Ik heb de aanpassing doorgevoerd maar krijg vanaf de wifi nog geen connectie, doe ik het zo goed?

Dat weet ik niet; ik ken Ubiquiti niet, misschien iemand anders wel.

Als je weet welke poorten het specifiek betreft dan zou je met nmap/zenmap kunnen controleren of ze inderdaad openstaan als je ze via 4G scant en je een ander resultaat krijgt vanuit je eigen netwerk. Dan weet je in ieder geval zeker dat hairpinning nog niet werkt.

Volgens mij kan deze setup alleen gemaakt worden met port forwarding. Heb het nog even nagelezen op de Abus Server FAQ: https://www.abus-server.com/faq.html

Dit geeft wel aan hoe modern de hele stack waarschijnlijk is:

To display the web-interface, data backup and backup-player interface special ActiveX components are needed. These components can only be used in MS Internet Explorer.

Absoluut onwenselijk om dat direct aan internet te hangen gezien het grote aantal IoT devices dat op termijn lek blijkt omdat er nooit iemand aan security heeft gedacht

Als ik de pagina goed begrijp dan bieden ze een dynamic DNS service aan en zorgen ze dat je (na de juiste portforwards) bij je eigen systeem kan. De enige reden waarom het dan direct aan het internet hangt is zodat je er zelf bij kunt. Daar zijn veel betere opties voor die wél veilig zijn: ik zou OpenVPN of Wireguard opzetten op je EdgeRouter, dan kun je altijd bij je thuisnetwerk en dus ook bij je alarmsysteem - zonder het risico te lopen dat je alarmsysteem opeens onderdeel blijkt van een botnet.

Vintelligence schreef op donderdag 23 april 2020 @ 13:40:
[...]

Hoi Thralas, dank voor de snelle reply! Ik heb zojuist hairpin nat aangezet, daarbij eth0 als WAN aangemerkt en LAN interface was ook verplicht, hierbij heb ik nu eth1 geselecteerd.

eth0 is aangesloten op de binnenkomende internet verbinding, eth1 direct op het alarmsysteem. Ik heb de aanpassing doorgevoerd maar krijg vanaf de wifi nog geen connectie, doe ik het zo goed?

Volgens mij kan deze setup alleen gemaakt worden met port forwarding. Heb het nog even nagelezen op de Abus Server FAQ: https://www.abus-server.com/faq.html

Volgens mij moet je voor wan pppoe kiezen ipv eth0

Thralas schreef op donderdag 23 april 2020 @ 12:52:
Waarschijnlijk moet je in je router even een een hairpin rule aanmaken. Zoekterm: hairpin nat

Rest alleen nog de vraag waarom je poorten open moet zetten om dat ding aan een of andere cloud service te hangen (?). Snap dat je er in dit geval waarschijnlijk aan vastzit, maar IoT direct aan het internet geeft een boel ellende. Als je een mogelijkheid hebt om iets te doen met een VPN (en zo je thuisnetwerk te kunnen bereiken) dan zou ik dat ook eens onderzoeken.

Dat inderdaad, het hele IoT gebeuren berust juist op uitgaande verbindingen naar een cloud. Het fijne ervan is juist dat je geen poorten open hoeft te zetten (mensen met dubbel NAT gaan dan ook dubbel nat ).

Als het 'oude tech' is, zou ik eens een packetcapture maken en bekijken of er wel encryptie wordt toegepast etc.