Toegang camera via site2site VPN verbinding - goed idee?

Ik wil graag een remote verbinding maken met een Dahua IP deurbel (met camera) via mijn gsm en een signaal ontvangen wanneer iemand aanbeld. Dahua voorziet standaard een verbinding via P2P in combinatie met hun app (gDMSS plus). Hoewel dit vlotjes werkt zou ik toch liever mijn eigen IP opgeven in de app ipv. de P2P (liever alles is eigen beheer). Belangrijk: in de Dahua app kan je enkel een IP adres ingeven geen DDNS domein, althans dat lijkt niet te werken

Om dit mogelijk te maken dacht ik een site 2 site VPN verbinding (wireguard) op te zetten tussen een cloud VPN (vast publiek IP) en mijn home pfSense server (met DDNS domein naam).

Vanuit security standpunt lijkt het mij best om:
- geen poorten open te zetten op mijn pfSense server buiten eventueel de VPN poort en via een cloud VPN te passeren (vast publiek IP en geen rechtstreekse verbinding op pfSense server).

Ik heb hierop heel wat informatie gelezen over VPNs, reverse proxy (HA proxy), verschillende configuratie mogelijkheden, enz... maar ik geraak er echt niet aan uit. Het is me al gelukt om een site2site verbinding op te zetten en via de Cloud VPN heb ik toegang tot mijn home netwerk.

Vragen/bedenkingen:

• Hoe zouden jullie die remote verbinding opzetten zodat die veilig verloopt?
• Is een site2site verbinding wel een goed idee of toch maar beter rechtstreeks verbinden op de home pfServer?
• Hoe zit het met de firewall?

Als jullie meer informatie nodig hebben laat dit gerust weten.

ik222 schreef op dinsdag 30 maart 2021 @ 21:51:
Zelf benader ik dingen zoals de camera's maar bijvoorbeeld ook mijn domotica systeem enkel via een VPN verbinding direct vanaf mijn mobiele devices naar mijn pfSense thuis. In mijn geval via OpenVPN. Ik zet dus nooit poorten open naar dat soort devices. Sterker nog dat soort Chinese devices zitten in een eigen VLAN zonder internet toegang.

Nadeel is dan uiteraard wel dat zonder actieve VPN verbinding de notificaties via bijvoorbeeld de Dahua app ook niet werken maar dat neem ik voor lief. Waar nodig los ik dat dan op met eigen notificaties via pushover aangestuurd vanuit Home Assistant.

Het is natuurlijk ook mogelijk om bij het opstarten van de gsm automatisch een VPN connectie op te zetten. Alleen passeren dan denk ik alle apps via dezelfde de VPN verbinding en dat is mogelijk een security risico.

In mijn geval detecteert Home Assistant wanneer iemand aanbeld : HA record dan automatisch de video en neemt een snapshot. Dit werkt goed en snel. Een push bericht zou kunnen werken, maar ik zie toch al twee nadelen:
- bij het openen van de push moet het mogelijk zijn om gDMMS op te starten en automatisch te belanden op het camera beeld. Is me nog niet gelukt.
- als er nog geen VPN verbinding is, moet die eerst nog opgezet worden en dan pas de gDMMS app openen.

maar ik heb nog geen manier gevonden om gDMMS rechstreeks op te starten

VPN verbinding kun je in elk geval prima opbouwen naar je DDNS hostnaam dus die cloud server kan dan prima weg, dat voegt dan niets meer toe.

inderdaad, zo werkt mijn huidige VPN verbinding :-)