ipv4 CGNAT, hoe kan ik mijn camera bereiken

donderdag 4 augustus 2022 14:00

Acties:

0 Henk 'm!

Topicstarter

Mijn vraag:
Laat ik beginnen om te vertellen dat ik weinig verstand van netwerk heb.
Ik heb via mijn provider glasvezel-internet.
Daarbij hoort een router met ipv4 CGNAT, en ipv6.

In mijn oude ADSL situatie draaide alles ipv4 en kon ik mijn ip camera's bereiken met behulp van DDNS en portforwarding. Elke camera en ook mijn NAS staat achter een eigen poort.

Nu is de situatie met CGNAT zo dat portforwarding niet meer lukt, dat schijnt de provider af te schermen.
Waarom is me niet duidelijk maar nu ook even niet zo interessant voor me.

Mijn camera's komen niet voor in de lijst met "connected devices" ipv6.
Wel in dezelfde lijst ipv4, maar daar heb ik nu niet zoveel aan zoals ik het begrijp.

De camera's kunnen wel lokaal beelden uploaden naar de NAS, maar die kan ik op afstand om dezelfde reden niet bekijken.

Eigenlijk wil ik het liefste dezelfde situatie bouwen maar nu met ipv6.
Mijn vraag is of iemand me stap voor stap kan uitleggen welke mogelijkheden ik heb en hoe ik dat bouw ?

...

Relevante software en hardware die ik gebruik
Router van SFR
...

Wat ik al gevonden of geprobeerd heb
Staat eigenlijk hierboven.
...
Bij voorbaat excuses voor mijn onwetendheid. Als er meer info nodig is, vraag me er dan gerust naar.

vrijdag 5 augustus 2022 12:50

MasterL

Moderator Internet & Netwerken

Native is het heel simpel, IPV4 praat met IPV4 en IPV6 praat met IPV6.
Er is geen magisch vinkje waarbij dit opeens (backward) compatible is.
Jouw ISP gebruikt dus GCNAT, dit houdt in dat jij "jouw" IPV4 adres deelt met nog andere gebruikers
daarom zijn er geen inkomende verbindingen mogelijk op IPV4. Nu zijn er vast aanbieders die jou
via een (OpenVPN/Wireguard/IPSec...) tunnel een public IPV4 adres willen aanleveren maar ik ga er voor nu
even vanuit dat jouw camera's niet (public) te bereiken zijn via IPV4.

Dus, mijn advies:
1: Zet een soort van VPN server op, als je een tunnel hebt is het een stuk makkelijker om je camera's te benaderen (zonder NAT). Je kan de tunnel opbouwen over IPV6 en binnen deze tunnel ook IPV4 transporten. Vereist wel wat kennis. Je hebt ook gelijkt een security laag toegevoegd, port forward naar een camera... ik zou het sowieso niet doen.

2: Gebruik een reverse proxy (ala Haproxy), deze kan je extern benaderen (frontend) via IPV6
deze proxy kan de vertaling doen naar je backend (IPV4). Beetje hetzelfde idee als een port forward.

3: Probeer een public IPV4 adres te verkrijgen via een 3th pary ISP. Zie mijn ISP/tunel comment.

Bij optie 1 en 2 is het dus wel noodzakelijk dat jouw device (waarvan je de camera's wil bekijken) wel beschikking hebben tot een IPV6 (internet) verbinding. Je kunt natuurlijk ook kijken of je camera's een IPV6 adres kunnen krijgen (wel firewallen!) dan kun je ze net zo makkelijk benaderen op hun IPV6 adres (public).

donderdag 4 augustus 2022 14:09

Acties:

0 Henk 'm!

ijske

CGNAT kan inderdaad niet ipv4 portforwarden, en IPV6 is vermoedelijk niet fixed..

bied je provider geen mogelijkheid om jou toch een unieke ipv4 te geven ?
ook zijn er verscheidene merken (ik dacht bv Hikvision) die via een cloud werken, zodat je helemaal niet moet portforwarden.. zolang de camera maar connectie kan maken naar buiten toe is het prima

donderdag 4 augustus 2022 18:44

Acties:

0 Henk 'm!

Arretje

Topicstarter

Hi IJske,
Bedankt voor je reactie.
Ik ben inderdaad met mijn provider bezig om toch een ipv4 te krijgen.

Ik heb verder begrepen dat NO-IP wel DDNS voor ipv6 aanbiedt. Ik denk dat het dan om de prefix gaat en ik zelf het "lokale"deel static moet maken. Maar dan nog, dan heb ik in het beste geval wel ipv6 wat ik van buitenaf kan benaderen. Maar mijn camera's komen niet verder dan ipv4 en dus zou de router dan ergens een vertaling moeten doen. En ook mijn NAS vind ik nog niet in de lijst met connected ipv6 devices.

donderdag 4 augustus 2022 19:23

Acties:

0 Henk 'm!

Ben(V)

Netwerk

Bij ipv6 hebt je volgens mij altijd een vast ip V6 adres en de andere zijn fkexible.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

vrijdag 5 augustus 2022 09:36

Acties:

0 Henk 'm!

Arretje

Topicstarter

Ik ben inmiddels zover dat een ipv6 adres bestaat uit 8 blokken van ieder 4 karakters. De eerste 4 blokken (dus 32 karakters) worden uitgedeeld door je provider en het is afhankelijk van hem of dat statisch of dynamisch is. Die eerste 4 blokken noemen ze "prefix".
De laatste 4 blokken deelt je eigen router uit, afhankelijk van de instelling worden die om de paar minuten ververst en gewijzigd. Dat kan ik op mijn router wijzigen naar statisch.

Hoe dan ook, mijn camera's vragen een ipv4 adres maar daarop kan ik niet meer portforwarden vanwege CGNAT. De vraag blijft daarom: is er een manier waarop ik ipv6 lokaal kan doorlinken naar ipv4 ...of zo ....

vrijdag 5 augustus 2022 12:50

Acties:

Beste antwoord ✓
+3 Henk 'm!

MasterL

Moderator Internet & Netwerken

Native is het heel simpel, IPV4 praat met IPV4 en IPV6 praat met IPV6.
Er is geen magisch vinkje waarbij dit opeens (backward) compatible is.
Jouw ISP gebruikt dus GCNAT, dit houdt in dat jij "jouw" IPV4 adres deelt met nog andere gebruikers
daarom zijn er geen inkomende verbindingen mogelijk op IPV4. Nu zijn er vast aanbieders die jou
via een (OpenVPN/Wireguard/IPSec...) tunnel een public IPV4 adres willen aanleveren maar ik ga er voor nu
even vanuit dat jouw camera's niet (public) te bereiken zijn via IPV4.

Dus, mijn advies:
1: Zet een soort van VPN server op, als je een tunnel hebt is het een stuk makkelijker om je camera's te benaderen (zonder NAT). Je kan de tunnel opbouwen over IPV6 en binnen deze tunnel ook IPV4 transporten. Vereist wel wat kennis. Je hebt ook gelijkt een security laag toegevoegd, port forward naar een camera... ik zou het sowieso niet doen.

2: Gebruik een reverse proxy (ala Haproxy), deze kan je extern benaderen (frontend) via IPV6
deze proxy kan de vertaling doen naar je backend (IPV4). Beetje hetzelfde idee als een port forward.

3: Probeer een public IPV4 adres te verkrijgen via een 3th pary ISP. Zie mijn ISP/tunel comment.

Bij optie 1 en 2 is het dus wel noodzakelijk dat jouw device (waarvan je de camera's wil bekijken) wel beschikking hebben tot een IPV6 (internet) verbinding. Je kunt natuurlijk ook kijken of je camera's een IPV6 adres kunnen krijgen (wel firewallen!) dan kun je ze net zo makkelijk benaderen op hun IPV6 adres (public).

vrijdag 5 augustus 2022 12:54

Acties:

0 Henk 'm!

Compizfox

Bait for wenchmarks

Met CG-NAT heb je geen eigen WAN IPv4-adres, maar ééntje die je deelt met een hoop andere klanten van je ISP. Je ISP doet aan hun kant NAT om dat éne IPv4-adres te delen onder een hoop klanten. Omdat de NAT aan de kant van de ISP gebeurt, kun je zelf geen port forwards doen. Zelfs al zou de ISP daar wel een manier voor bieden, dan zou je met alle mede-gebruikers van je IP moeten uitvechten wie welke poort mag hebben...

Dat betekent dat je geen dingen thuis kan hosten op IPv4, want je hebt simpelweg geen eigen IPv4-adres... Als je dat wel wilt, kun je toch echt beter op zoek gaan naar een internetabonnement zonder CG-NAT.

IPv6 is niet zomaar intercompatible met IPv4. Er bestaan wel transitie- en tunnelmechanismen, maar ik vrees dat dat snel vrij ingewikkeld wordt.

[ Voor 32% gewijzigd door Compizfox op 05-08-2022 12:58 ]

Gewoon een heel grote verzameling snoertjes

vrijdag 5 augustus 2022 13:00

Acties:

0 Henk 'm!

borft

afhankelijk van via wat voor protocol je met je camera's wilt praten, kan je op je router een proxy draaien. Die proxy maak je dan toegankelijk over ipv6, en die kan dan je requests forwarden naar de camera's over je interne ipv4 netwerk. Een andere oplossing is de al eerder geopperde VPN tunnel naar je router over ipv6. Daarna kan je over de tunnel je interne netwerk benaderen.

Betere oplossingen zijn natuurlijk een fatsoenlijke ISP zoeken die volwaardig dualstack aanbiedt, alsmede camera's die niet in het verleden vastzitten

vrijdag 5 augustus 2022 13:03

Acties:

0 Henk 'm!

mr_evil08

Compizfox schreef op vrijdag 5 augustus 2022 @ 12:54:
Met CG-NAT heb je geen eigen WAN IPv4-adres, maar ééntje die je deelt met een hoop andere klanten van je ISP. Je ISP doet aan hun kant NAT om dat éne IPv4-adres te delen onder een hoop klanten. Omdat de NAT aan de kant van de ISP gebeurt, kun je zelf geen port forwards doen. Zelfs al zou de ISP daar wel een manier voor bieden, dan zou je met alle mede-gebruikers van je IP moeten uitvechten wie welke poort mag hebben...

Dat betekent dat je geen dingen thuis kan hosten op IPv4, want je hebt simpelweg geen eigen IPv4-adres... Als je dat wel wilt, kun je toch echt beter op zoek gaan naar een internetabonnement zonder CG-NAT.

IPv6 is niet zomaar intercompatible met IPv4. Er bestaan wel transitie- en tunnelmechanismen, maar ik vrees dat dat snel vrij ingewikkeld wordt.

Eigenlijk is het exact hetzelfde als de thuisnetwerk alleen hier staat de router bij de ISP en nog 1 thuis.
Eigenlijk werk je dus NAT op NAT.

[ Voor 7% gewijzigd door mr_evil08 op 05-08-2022 13:04 ]

WP | SP, Daikin FTXM35M/RXM35M

vrijdag 5 augustus 2022 13:10

Acties:

0 Henk 'm!

DukeBox

Voor je 't weet wist je 't nie

Netwerk

@MasterL optie 2 werkt uiteraard alleen als de cameras over http/tcp streamen. Als daar een app/plugin voor gebruikt wordt die udp doet gaat dat niet werken.

[ Voor 4% gewijzigd door DukeBox op 05-08-2022 13:11 ]

Duct tape can't fix stupid, but it can muffle the sound.

vrijdag 5 augustus 2022 13:43

Acties:

0 Henk 'm!

MasterL

Moderator Internet & Netwerken

DukeBox schreef op vrijdag 5 augustus 2022 @ 13:10:
@MasterL optie 2 werkt uiteraard alleen als de cameras over http/tcp streamen. Als daar een app/plugin voor gebruikt wordt die udp doet gaat dat niet werken.

True maar als er een app wordt gebruikt werkt deze doorgaans met een "cloud" dienst wat een directe een
(IP) verbinding sowieso overbodig maakt.

vrijdag 5 augustus 2022 13:45

Acties:

0 Henk 'm!

Ben(V)

Netwerk

Zoals @MasterL al zei is een VPN server over IPV6 thuis opzetten het simpelste en veel veiliger dan ouderwets portforwarden.

Je VPN client die vanaf het internet komt bouwt dan een VPN tunnel over IPV6 op naar die server en daarbinnen kun je gewoon IPV4 gebruiken om bij je IOT devices te komen.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

vrijdag 5 augustus 2022 13:48

Acties:

+1 Henk 'm!

DukeBox

Voor je 't weet wist je 't nie

Netwerk

@MasterL er zijn heel wat apps die (ook) direct naar de cameras verbinden zoals foscam, dlink, hip.

Duct tape can't fix stupid, but it can muffle the sound.

vrijdag 5 augustus 2022 14:01

Acties:

0 Henk 'm!

Tom Paris

Ben(V) schreef op vrijdag 5 augustus 2022 @ 13:45:
Zoals @MasterL al zei is een VPN server over IPV6 thuis opzetten het simpelste en veel veiliger dan ouderwets portforwarden.

Je VPN client die vanaf het internet komt bouwt dan een VPN tunnel over IPV6 op naar die server en daarbinnen kun je gewoon IPV4 gebruiken om bij je IOT devices te komen.

Dit is inderdaad de meest praktische en veilige optie in OP's situatie. Waar OP wel rekening mee moet houden is dat hij voor de client devices overal een IPv6 netwerk ter beschikking moet hebben. Dat is helaas nog lang niet overal het geval...

Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.

vrijdag 5 augustus 2022 14:32

Acties:

0 Henk 'm!

Ben(V)

Netwerk

Als dat een probleem is kan hij ook eventueel de service van een tunnel broker gebruiken.
zie bijvoorbeeld hier:
https://blog.pavelsklenar...-without-any-public-ipv4/

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

vrijdag 5 augustus 2022 15:06

Acties:

+1 Henk 'm!

MasterL

Moderator Internet & Netwerken

DukeBox schreef op vrijdag 5 augustus 2022 @ 13:48:
@MasterL er zijn heel wat apps die (ook) direct naar de cameras verbinden zoals foscam, dlink, hip.

Danku weer wat geleerd

vrijdag 5 augustus 2022 19:38

Acties:

0 Henk 'm!

Arretje

Topicstarter

Wauw, wat een reacties en goede adviezen. Zoals jullie wel gelezen hebben aan mijn "ouderwetse portforwarden" vond ik me al een hele baas dat ik dat kon.
Een VPN tunnel lijkt me wel wat maar daar moet ik even induiken, hoe ik zoiets opzet.

Ik heb wel een VPN dienst (cyberghost) maar die heeft denk ik een andere doelstelling, even kijken of die me ook een eigen tunnel laat maken.

Hoe dan ook, bedankt voor de tips. Ik sluit deze thread even want ik ga me nu eerst verdiepen in VPN.

vrijdag 5 augustus 2022 19:51

Acties:

0 Henk 'm!

DukeBox

Voor je 't weet wist je 't nie

Netwerk

Arretje schreef op vrijdag 5 augustus 2022 @ 19:38:
Ik heb wel een VPN dienst (cyberghost) maar die heeft denk ik een andere doelstelling, even kijken of die me ook een eigen tunnel laat maken.

Dat is meer om 'anoniem' te internetten, wat je nodig hebt is een VPN server in je eigen netwerk waar je met een client naar toe verbindt. Het lastige (zoals eerder genoemd) is dat je dan IPv6 aan beide kanten nodig hebt en dat is nog lang niet overal goed geregeld.

Persoonlijk zou ik hoe dan ook proberen een native IPv4 te krijgen, in de meeste gevallen is dat toch nog steeds het meest eenvoudig, ook voor het opzetten van een VPN.

Duct tape can't fix stupid, but it can muffle the sound.

vrijdag 5 augustus 2022 22:12

Acties:

0 Henk 'm!

Ben(V)

Netwerk

Ik weet niet welke Nas je hebt, maar als het een Synology is dan is het simpel een kwestie van het Synology package "Vpn server" te installeren vanuit het package center.
Dan heb je een prima Vpn server draaien.

En een Vpn server gebruiken is vele malen veiliger dan port forwarding naar iot devices die over het algemeen vanuit een security oogpunt zo lek als een zeef zijn.

[ Voor 28% gewijzigd door Ben(V) op 05-08-2022 22:15 ]

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

Onderwerpen

Vraag

Beste antwoord (via Arretje op 05-08-2022 19:38)

Alle reacties