Toon posts:

VPN met thuisnetwerk voor IP-camera (deels) onmogelijk

Pagina: 1
Acties:

Vraag


  • erikbond
  • Registratie: Augustus 2009
  • Laatst online: 06-02 19:09
Mijn vraag:
Op een Raspberry Pi heb ik Home Assistant OS draaien met daarop een werkende Wireguard setup. De VPN verbinding werkt prima om connectie te maken met het thuisnetwerk om Home Assistant te gebruiken. Recent hebben we een Imou Rex 4MP camera aangeschaft om onze baldadige viervoeters in de gaten te kunnen houden. Het liefst willen we deze camera ook kunnen benaderen van buitenshuis. Met de bestaande VPN verbinding hoopte ik dat het een eitje zou zijn, maar helaas toch niet...

De Imou Life app kent zijn gebreken, maar ik denk dat het ergens mis gaat in de verbinding. Als ik de VPN verbinding actief heb over mijn mobiele netwerk, kan ik in de app de camera niet bereiken. Echter kan ik de camera wel bereiken en bedienen als ik de app open terwijl ik wifi verbinding heb met mijn thuisnetwerk. Als ik vervolgens mijn wifi uitschakel en de VPN actief heb, blijft de verbinding 'in tact' en kan ik 'alles' met de camera.

Ik heb momenteel geen poorten geforward in mijn modem die betrekking hebben tot de camera en ik heb UPnP ingeschakeld staan.

Uiteindelijke vraag: Hoe kan het zijn dat ik de camera niet kan bereiken via een VPN verbinding, terwijl ik dat wel kan als ik eerst verbindt over het lokale wifi netwerk en dan overschakel op de VPN?

Relevante software en hardware die ik gebruik:
Wireguard
Raspberry Pi
Ziggo Connect Box
Imou Rex 4MP

Wat ik al gevonden of geprobeerd heb:
- Het wijde web afgespeurd zonder resultaat;
- Kort gespeeld met het forwarden van poorten waarvan ik weet dat ze betrekking hebben op de camera;
- Pingen van de camera gaat wel over een 'verse' VPN verbinding.

Alle reacties


  • lier
  • Registratie: Januari 2004
  • Laatst online: 17:10

lier

MikroTik nerd

Kan je via VPN wel andere "resources" benaderen op je netwerk? Benader je de home assistent op een intern IP adres, of wordt deze via (bijvoorbeeld) de cloud ontsloten?

UPnP is security wise een hel. Bedenk of je het echt nodig hebt.

Eerst het probleem, dan de oplossing


  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 15:52
Welke IP-adressen routeer je allemaal over de Wireguard verbinding (AllowedIPs setting in Wireguard)?
Hou er wel rekening mee dat jouw camera waarschijnlijk niet de "Raspberry Pi" gebruikt als gateway, verkeer buiten jouw eigen subnet gaat dus (waarschijnlijk) naar de default gateway (Ziggo Connect Box?).
Of heb je daar static routes aangemaakt o.i.d.?

  • Frogmen
  • Registratie: Januari 2004
  • Niet online
Lijkt mij meer een dns resolve probleem wordt de camera door de app automatisch gevonden of kan je ook handmatig een camera toevoegen? Eigenlijk wil je de camera puur op basis van IP benaderen want dat gaat ook over IP goed.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


  • erikbond
  • Registratie: Augustus 2009
  • Laatst online: 06-02 19:09
@lier Ik heb de VPN eigenlijk nog niet anders gebruikt dan om HA te benaderen. Zojuist nog eens getest, ik kan mijn modem wel bereiken maar pagina's als Tweakers bijvoorbeeld niet. HA benader ik op een intern IP adres. Naar UPnP moet ik nog eens goed kijken, ik denk inderdaad dat het niet persé nodig is.

@MasterL De instelling 'Allowed_ips' heb ik momenteel leeg staan. De camera is inderdaad met wifi verbonden met het modem, daar zit de Raspberry niet tussen. Zijn statische IP's persé benodigd?

@Frogmen In de app kan je een 'LAN live' verbinding opzetten, echter vereist deze een actieve verbinding met 'een' wifi netwerk. Helaas kan je in de app geen verbinding opzetten op basis van IP adres, maar hij moet zelf de camera herkennen, alvorens de verbinding gemaakt kan worden. Zoals ik eerder omschreef kan ik verbinding 'houden' via de app als ik eerst met de camera verbind via het thuisnetwerk over wifi en vervolgens op mijn telefoon de wifi verbinding verbreek terwijl de VPN + 4G ingeschakeld is.

De camera op basis van IP bereiken bijvoorbeeld op mijn computer is niet gelukt, maar ik denk dat dat sowieso niet kan aangezien er ook een inlog voor nodig is op de camera zelf. Er is een 'Config tool' beschikbaar 'meer' instellingen in de camera gewijzigd kunnen worden. Ook dit gaat pas na een inlog in de camera.

Tot slot heb ik het wel voor elkaar gekregen om het beeld van de camera weer te geven in HA via ONVIF, echter is dit alleen het beeld zonder bediening van de camera.

  • Oon
  • Registratie: Juni 2019
  • Niet online
erikbond schreef op dinsdag 24 januari 2023 @ 13:28:
@lier Ik heb de VPN eigenlijk nog niet anders gebruikt dan om HA te benaderen. Zojuist nog eens getest, ik kan mijn modem wel bereiken maar pagina's als Tweakers bijvoorbeeld niet. HA benader ik op een intern IP adres. Naar UPnP moet ik nog eens goed kijken, ik denk inderdaad dat het niet persé nodig is.
Ik denk dat daar je probleem zit. De app zal authenticatie altijd via een externe server doen, en van daaruit een directe verbinding met je camera opzetten. Dan gaat dus authenticatie en het ophalen van beschikbare camera's via hun servers, maar de communicatie met de camera zelf niet.

Klinkt alsof je op je Raspberry Pi forwarding moet aanzetten. Hier een artikel dat de stappen omschrijft (eerste resultaat van Google): https://kaspars.net/blog/wireguard-routing

In de basis is het een kwestie van in je kernel en iptables (of ufw, of andere firewall die je op je rpi gebruikt) IP forwarding activeren/toestaan, daarna zou je via je VPN verbindingen met externe servers moeten kunnen opzetten.

  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 15:52
Werk je app uberhaupt als je gewoon op 3/4/5G zit op je telefoon? Er zijn grofweg twee opties:

1: Jouw camera (app) werkt met een cloud service, hiervoor heb je slechts internet nodig geen VPN o.i.d. dit is zo gemaakt dat het "altijd" werkt.
2: Je moet jouw camera direct benaderen (of via een VPN) maar dit moet dan op intern IP en/of met een of ander discovery mechanisme.

Waarschijnlijk heeft jouw camera optie 1 (gokje) en heb je helemaal geen VPN nodig hiervoor.
Buiten dat denk ik dat je teveel (lees alles) probeert te routeren over de VPN, allowedIP's met alleen jouw eigen subnet (bijvoorbeeld 192.168.0.0/24) doet waarschijnlijk al wat jij wil. Als je al het verkeer wil routeren (0.0.0.0/0) dus echt "internetten" via je VPN tunnel moet je echt nog een stukje meer configureren.
Ik gok ook dat dit het deel is wat niet werkt.

  • erikbond
  • Registratie: Augustus 2009
  • Laatst online: 06-02 19:09
@Oon Wat je over authenticatie zegt klinkt zeker aannemelijk... Ik ga eens kijken of ik verder kom met het port forwarden op de Raspberry. Misschien een stomme vraag, maar is het ook nodig om deze poorten te forwarden in mijn modem?

@MasterL Imou biedt een betaalde cloudservice aan, maar afgezien van de kosten lijkt me een partij tussen de camera en mij niet wenselijk. Ik ga even kijken wat de tip van Oon gaat brengen. :)

  • Oon
  • Registratie: Juni 2019
  • Niet online
erikbond schreef op dinsdag 24 januari 2023 @ 20:06:
@Oon Wat je over authenticatie zegt klinkt zeker aannemelijk... Ik ga eens kijken of ik verder kom met het port forwarden op de Raspberry. Misschien een stomme vraag, maar is het ook nodig om deze poorten te forwarden in mijn modem?

@MasterL Imou biedt een betaalde cloudservice aan, maar afgezien van de kosten lijkt me een partij tussen de camera en mij niet wenselijk. Ik ga even kijken wat de tip van Oon gaat brengen. :)
Nouja, om met je VPN te verbinden moeten uiteraard de poorten van de VPN vanaf je router naar je Raspberry Pi gestuurd worden, dat is de 'gewone' portforwarding die je altijd nodig hebt. In dit geval lijkt me dat al het geval, anders zou je VPN de verbinding moeten verbreken bij het uitzetten van wifi.

De forwarding waar ik het over heb is om al het verkeer naar buiten dat je over je VPN stuurt te forwarden, je gebruikt dan je Raspberry Pi als tunnel naar de buitenwereld. Het gaat hier niet om identificeren van welk apparaat welk verkeer moet krijgen (zoals je bij portforwarding doet), maar gewoon toestemming geven om met het IP-adres van de Raspberry Pi verbinding te mogen maken naar buiten van binnenuit (via de VPN).

  • erikbond
  • Registratie: Augustus 2009
  • Laatst online: 06-02 19:09
Na het nodige uitzoek- en stoeiwerk heb ik het nog niet voor elkaar gekregen. Zou het kunnen dat Home Assistant OS limitaties biedt op het gebied van routing via iptables, iemad hier ervaring mee?

  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 15:52
MasterL schreef op dinsdag 24 januari 2023 @ 08:42:
Welke IP-adressen routeer je allemaal over de Wireguard verbinding (AllowedIPs setting in Wireguard)?
Hou er wel rekening mee dat jouw camera waarschijnlijk niet de "Raspberry Pi" gebruikt als gateway, verkeer buiten jouw eigen subnet gaat dus (waarschijnlijk) naar de default gateway (Ziggo Connect Box?).
Of heb je daar static routes aangemaakt o.i.d.?
Kijk nog eens naar mijn opmerkingen, er zijn grofweg twee opties als je wil routen over een andere router (lees jouw PI) dan je "default gateway" (lees Ziggo Connect Box).
1: Static route op de default gateway.
2: SNAT configureren.

Wat is jouw Iptables config?
iptables -L -v -n --table nat
iptables -L -v -n

Welke IP-adressen (subnet) gebruik je in jouw lan en welke in jouw Wireguard setup (Adresses) en wat je route je allemaal over de tunnel vanaf jouw client (Alowed IP's)?
Ik kan/wil best een IPtables config voor je maken maar dan heb ik wel iets meer informatie nodig.

[Voor 4% gewijzigd door MasterL op 02-02-2023 16:14]


  • erikbond
  • Registratie: Augustus 2009
  • Laatst online: 06-02 19:09
Oei, ik denk dat ik de fout heb gevonden...

Ik had in de Wireguard instellingen bij DNS mijn default gateway IP staan en ook in de app stond daar dit adres. Ik denk dat het mis is gegaan bij het volgen van de guide van 'Everything Smart Home', waar hij uitlegt dat hier standaard 'het IP adres ingevuld moet worden dat je router gebruikt'. 8)7

Bij zowel de server instellingen als in de Wireguard app heb ik nu niets ingevuld bij DNS en ta-da, ineens kan ik 'volledig' internetten over de VPN. De Imou Life app werkt nu ook, zonder dat er een omweg in de app nodig is.

Bij allowed_ips heb ik momenteel niets staan, bij client_allowed_ips heb ik nu mijn standaard LAN/24 en het VPN/24 netwerk gezet.
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee