Webcam op LAN en WAN

Jouw telefoon kan ook zomaar naar elke website toe? Dus dat kan de camera ook.
Als je dat niet wil moet je een complex thuisnetwerk aanleggen met firewall en andere zaken.
Zodat je bijvoorbeeld internet toegang van camera kan blokkeren. Echter zal dan de app ook niet meer werken. Want de camera upload de beelden naar de server van de fabrikant, en de app haalt ze daar weer op.

Vanaf buiten staat je router niet zomaar verkeer toe. Daar moet je vooraf toestemming voor geven met een port-forward of whitelist. Letterlijk de deur open zetten.
Normaal houdt je router een lijstje bij wie binnen het netwerk met wie buiten net hetwerk communiceert. Mocht er verkeer van buiten komen wat niet op deze lijst staat mag er niet in.

Maar als die verbinding via de camera loopt kun je dat moeilijk tegenhouden. En dat is een risico.
Daarom staat de S in IoT ook voor security.

Dat is wat technisch maar kortweg

Ieder apparaat wat naar buiten kan, kan ook ervoor zorgen dat er verkeer naar binnen kan

@GroteTon je weet nét genoeg van netwerken om tot een foute conclusie te komen

Dat je op je telefoon vanaf buiten je webcam kan zien, betekend niet automatisch dat je router inkomend(*) verkeer van buiten toelaat.

LSC spul zijn veelal Tuya IoT spul en maken gebruikt van de Tuya cloud om ook bereikbaar te zijn buiten je eigen netwerk. Je camera maakt verbinding met de Tuya cloud en de app op je telefoon verbind met diezelfde cloud. Als je de camerastream vervolgens wilt bekijken gaat de data eerst naar de cloud en daarna naar je app. Er zijn ook andere technieken, zoals een STUN tunnel waarbij de datastream niet over de cloud hoeft te lopen. Echter speelt de cloud altijd een rol in het opzetten van de verbinding tussen de app en je IoT device.

Het nadeel hiervan is dat, zoals je misschien al hebt bedacht, er weinig technische obstakels zijn voor de Tuya cloud om de camerabeelden te bekijken. Als er end-to-end encryptie is toegepast tussen de camera en de app zal dat niet mogelijk zijn (mits goed uitgevoerd) maar dat is voor de consument lastig te controleren.
En ja in theorie zou die verbinding met de cloud ook uitgebuit kunnen worden en heeft Tuya via die camera toegang tot je interne netwerk... Echter dat is vooral een theoretische mogelijkheid, omdat dat dat serieus moeite kost vanuit de kwaadwillende partij of fabrikant. Als je je daar zorgen over maakt, kan je je camera verbinden met de gasten-wifi, dan kan je camera alleen naar buiten verbinden maar niet met andere apparaten op je netwerk.

Maar in dat geval snap ik oprecht niet waarom je bij de action een chinese webcam koopt...
Dus ik ga er vanuit dat je beveiliging serieus neemt maar niet paranoide bent

* Uitgaand en inkomend verkeer heeft betrekking op het tot stand komen van de verbinding, niet zozeer op het verkeer zelf. Eenmaal een verbinding kan je in principe altijd ontvangen en verzenden (ik ga even voor t gemak uit van TCP, ipv4 en gebruik van NAT met een firewall; dus wat je bij bijna elke standaard isp krijgt). Uitgaand verkeer is eigenlijk bijna altijd standaard mogelijk; het is immers niet te doen om de 10.000'en tot nog veel meer verschillende adressen waar al je apparaten ed mee verbinden buiten je netwerkt te whitelisten. Alleen al voor je browser zijn dat vaak al 10 tot 100 tal verschillende servers voor één pagina (!!!).

Natuurlijk kan de camera ook uPnP gebruiken om een poort in je router open zetten, maar dat is een onzettend slecht idee en word gelukkig zelden toegepast bij dit soort producten (mede omdat je bij consumenten isp's geen garantie hebt op een vast WAN ip(v4) en sommigen ook CGNAT toepassen). Daarnaast hebben veel consumenten uPnP in hun router uitstaan; dus zomaar een poort openen via uPnP werkt voor apparaten zoals een webcam niet goed.

[ Voor 29% gewijzigd door kwibox op 14-01-2026 01:05 ]

GroteTon schreef op dinsdag 13 januari 2026 @ 19:27:
Wat mij onaangenaam verraste was dat ik ook buiten mijn eigen netwerk, zonder enige vorm van toegangscontrole, toegang heb tot de camera.
Ok, ik heb een keer mijn camera-wachtwoord moeten invullen in de app.

Dat wachtwoord is de beveiliging.
Je hebt geen rechtstreekse verbinding. De camera die jij hebt gekocht stuurt (24/7) de beelden door naar de cloud. Dat is beveiligd met dat password.
Als jij de app opent, haalt de app de beelden op in de cloud, met datzelfde password.
Stuur je een commando vanuit de app? Dan stuurt de app dat naar de cloud.
De camera controleert continu op nieuwe instructies op de cloud en voert ze uit zodra die beschikbaar zijn.

Maar blijkbaar is er voor mijn router geen enkele beperking om de beelden naar het WAN door te sturen.
Dat geldt overigens ook voor mijn Aqara temperatuur-sensoren in huis.

Dat klopt inderdaad voor heel veel (goedkope) IoT: zodra je het aanzet gaan ze verbinding zoeken met een server in de cloud.

Ik vraag me af hoe die Chinese apps, zonder enige beperking, van WAN naar LAN kunnen connecten.

Dat kunnen ze niet. Je app en camera praten allebei vanaf je LAN met een server in de cloud. Daar halen en brengen ze informatie.

Enig idee hoe mijn LAN enigszins kan afschermen, zonder daar praktisch veel last van te hebben?

Duurdere camera's kopen die geen gebruik maken van cloudstorage.
Als je je privacy belangrijk vind moet je het niet gebruiken als betaalmiddel.