ComputerBase Hauptmenü
Aktuelles

Gastwlan Routing

aemonblackfyre

aemonblackfyre

Captain
Registriert
Dez. 2006
Beiträge
3.339
Hallo,
ich betreibe im heimnetzwerk meinen eigenen plex mediaserver. außerdem haben wir für gäste über unsere fritzbox 7490 die als router und AP eingesetzt wird einen Gäste zugang eingerichtet. Mit dem Zugang dürfen die geräte nicht untereinander kommunizieren und sind natürlich abgetrennt vom heimnetz.
die frage ist jetzt wie fließen die pakete wenn jemand aus dem gäste netz auf den server im heimnetz zugreift. merkt die fritzbox dass die daten eigentlich vor ort bleiben können oder geht das ganze erstmal raus ins internet und von dort dann ins heimnetz?
 
die viel interessantere Frage ist, fließen die Daten überhaupt? Immerhin verbietet die Regel der Fritzbox das.

Warum sollten die Daten erst "raus ins Internet" gehen? Über welchen Knoten/Server sollten sie da kommen?
 
Wenn das Heimnetz vom Gastnetz getrennt ist, kann der Gast gar nicht auf den Server im Heimnetz zugreifen. Die Frage erübrigt sich daher. Broadcasts bzw. Announcements vom Plex-Server damit zB ein TV den Plex-Server sieht, sind im Gastnetzwerk ebenfalls nicht sichtbar. Das heißt der Gast weiß noch nicht mal, dass da ein Server ist, weil er ja nur im Heimnetz seine Präsenz bekannt gibt. Wenn, dann müsste der Gast schon die IP des Servers explizit angeben, aber dann würde die Firewall des Routers dies natürlich im Keim ersticken, da das nun mal ihre Aufgabe ist, Gast und Heim trennen.
 
Willst du darauf hinaus, dass dein Plex Server vom Internet aus erreichbar ist und der Gastnutzer über die im Internet erreichbare Adresse / IP zugreift?
 
Hm.. So habe ich das noch gar nicht betrachtet. Stimmt, kann sein, dass er das so meinte.

Wenn dem so ist, dann läuft das in der Regel folgendermaßen:


Wenn ein Router eine Verbindung zu einer öffentlichen IP herstellen soll, schickt er diese in der Regel zu seinem Standard-Gateway, dem Provider. Allerdings gibt es das sogenannte "NAT loopback" oder auch "NAT hairpin". Dabei bemerkt der Router, dass die öffentliche Ziel-IP eigentlich er selbst ist. In diesem Fall dreht er den Traffic kurz vor dem Abschicken quasi im Port um. Dennoch durchläuft die Verbindung die Firewall, inkl. Portweiterleitung.

Aus diesem Grunde ist es meist eher unpraktisch, wenn man aus reiner Bequemlichkeit für unterwegs und daheim dieselbe WAN-IP bzw. DDNS-Adresse nutzt, da das NAT loopback eben auch Performance kosten kann. Steht der Server direkt neben dem PC, sollte man sich doch auch direkt mit dem Server verbinden und nicht erst den Router damit behelligen. Statt PC-->Server läuft dann nämlich jedes Paket stets PC --> Router --> Server, inkl. Firewall, Portweiterleitung und allem drum und dran...
 
SamSemilia schrieb:
die frage ist jetzt wie fließen die pakete wenn jemand aus dem gäste netz auf den server im heimnetz zugreift.
Zum Vergrößern anklicken....

Über welchen URI stellt der Client im Gästenetz die Verbindung zum Plex-Server im Nicht-Gäste-Netz her? DynDNS-Name, lokaler Hostname, lokale IP?

Der FRITZ!Box ist egal, ob die Daten vor Ort bleiben könnten oder nicht. Sie entscheidet nicht über die Gut- oder Bösartigkeit von Verbindungen. Sie kennt nur die Trennung zwischen Gästenetz und Heimnetz, was auch gut so ist und genau so auch funktionieren soll.

Die Frage ist eher: Weshalb sollte man jemandem zutrauen, Videos, Bilder und Musik vom Plex-Server zu streamen, aber nicht, ihn ins normale Heimnetz zu lassen?
 
ok ja da habe ich mich wohl nicht klar genug ausgedrückt.

der server ist übers internet erreichbar. nicht über dyndns oder ähnliche dienste sondern über plex selbst . ich nehme mal an der client fragt bei einem server von plex an der dann über meinen account mit dem server kommuniziert und dem client die richtige adresse mitteilt. das ist aber nur meine vermutung wie genau das ganze abläuft.

"Die Frage ist eher: Weshalb sollte man jemandem zutrauen, Videos, Bilder und Musik vom Plex-Server zu streamen, aber nicht, ihn ins normale Heimnetz zu lassen?"
zusätzliche sicherheit. warum sollte man jemandem zugriff auf das eigene netzwerk ermöglichen, der das nicht benötigt.

@Raijin
wie kann ich denn herausfinden was passiert? NAT Loopback/Hairpin wäre genau das was ich mir vorstellen würde. Oder muss ich das irgendwie per hand aktivieren?
 
Naja, eigentlich liegt der Sinn der Gast-Funktion ja gerade darin, Gäste aus dem Heimnetzwerk rauszuhalten. Indem du nun über die Hintertür trotzdem Zugriff auf den Plex gibst - was für Gäste in meinen Augen vollkommen unnötig ist - hebelst du diese Sicherheit ein Stück weit aus. Was tun deine Gäste denn auf dem Plex? Also meine Gäste hocken nicht im Wohnzimmer und streamen an ihrem Handy aus meiner Film-Bibliothek oder dergleichen. Da haben Gäste meiner Meinung nach nix zu suchen.
Eine adäquate LAN-Firewall im Netzwerk wäre da wohl die sinnvollere Lösung. Aber nun gut, es ist wie es ist.

Je nach Router kann es sein, dass man NAT loopback erstmal aktivieren muss. Da ich keine Fritzbox mein Eigen nenne, kann ich dir auch nicht sagen ob und wenn ja wo du das (de)aktivieren kannst.

Wie meinen Ausführungen schon zu entnehmen war, ist NAT loopback nicht ganz unkritisch. Dadurch, dass die komplette Firewall nebst Portweiterleitungen durchlaufen wird, muss man eben auch dafür sorgen, dass diese nicht zu machen, weil man zB explizit nur die feste IP aus dem Büro als "berechtigt" in die Portweiterleitung eingetragen hat. Es kann auch durchaus sein, dass die Firewall vor der Gast-Funktion das explizit unterbindet, weil ja eigentlich eine Trennung von Heim- und Gastnetzwerk der Sinn des Ganzen ist. Eine Hintertür über das Internet widerspricht dem ja prinzipiell.

Wie du merkst ob NAT loopback funktioniert? Ganz einfach: Wenn du zB vom PC aus "deine.wan.ip:80" oder so aufrufst - Portweiterleitung für TCP 80 und ein laufender Webserver vorausgesetzt - und dennoch auf dem Webserver landest, dann funktioniert NAT loopback. Effektiv sieht für den Server selbst die Verbindung genau so aus wie eine x-beliebige Verbindung von außen, zum Beispiel von meinem PC aus am anderen Ende Deutschlands. Der Server selbst weiß ja nicht, dass die Quell-IP von der die Verbindung kommt nun die des eigenen Routers ist oder eben meine..
 
der hintergrund gedanke sieht bei mir so aus, dass ich es gästen ermöglichen will offline sync mit der vollen wlan geschwindigkeit zu ermöglichen und natürlich meine internet leitung zu entlasten.

ist kein weltbewegendes problem. ich habe nur irgendwann mal darüber nachgedacht und wollte jetzt mal fragen wie das überhaupt läuft.

bin jetzt schon um einiges schlauer und denke von hier aus kann ich mich selbst weiterbilden
danke
 
SamSemilia schrieb:
der server ist übers internet erreichbar. nicht über dyndns oder ähnliche dienste sondern über plex selbst . ich nehme mal an der client fragt bei einem server von plex an der dann über meinen account mit dem server kommuniziert und dem client die richtige adresse mitteilt. das ist aber nur meine vermutung wie genau das ganze abläuft.
Zum Vergrößern anklicken....

Yep, das Prinzip ist DynDNS, nur daß man es nicht selbst einrichten muß. Läuft über die Server von Plex. Viele Webcams machen das genauso.

Solange das so läuft, läuft die Kommunikation über’s WAN, wie du im Eingangsbeitrag schon richtig vermutet hast. Je nach verfügbarem Up/Downstream ist das vernachlässigbar. Du mußt entscheiden, ob dir Sicherheit oder freie Übertragungsrate wichtiger ist.

SamSemilia schrieb:
"Die Frage ist eher: Weshalb sollte man jemandem zutrauen, Videos, Bilder und Musik vom Plex-Server zu streamen, aber nicht, ihn ins normale Heimnetz zu lassen?"
zusätzliche sicherheit. warum sollte man jemandem zugriff auf das eigene netzwerk ermöglichen, der das nicht benötigt.
Zum Vergrößern anklicken....

Ein bißchen Sicherheit ist wie ein bißchen schwanger. ;) Ich versteh deinen Punkt, aber in Sicherheitsfragen läuft es häufig auf eine Schwarz-Weiß-Lösung hinaus; eins oder null.

Kommen wir aber mal zum eigentlichen Problem: Du hast also ab und an Gäste, die sich ins Gast-WLAN einbuchen, weil sie keinen Kontakt zu anderen Geräten in deinem Heimnetz haben sollen. Diese Gäste sollen aber trotzdem Medieninhalte deines Plex-Servers streamen können, und zwar möglichst ohne den Umweg durch’s WAN, richtig?
 
genau das wäre der wunsch.

ist aber wie gesagt nicht wichtig. mir ging es eher darum abzuklären was passiert. wenn es einfach möglich wäre die direkte kommunikation herzustellen wäre das gut. wenn dem nicht so ist kein problem.
 
Ich kenne mich mit Fritzboxxen leider zu wenig aus, um da belastbare Aussagen zu treffen. Es kann durchaus sein, dass es in der Gast-Firewall Ausnahmen gibt, um zB einen Netzwerkdrucker oder so freizugeben. Geht das nicht, müsste man das mit einem separaten Router bzw. einer Firewall realisieren. Zum Beispiel pfSense, MikroTik oder EdgeRouter.

Insbesondere was deinen vermeintlichen Sicherheitsgedanken angeht, sind Herstellereigene (Pseudo-)DynDNS gar nicht so unkritisch. Ein herkömmlicher DDNS gibt einfach nur eine IP zurück, MyFritz wäre so ein Beispiel. MyFritz ist im Prinzip nix anderes als zB no-ip. AVM bekommt abgesehen von einer DNS-Anfrage nichts von der eigentlichen Verbindung mit --> unkritisch.

Es gibt aber insbesondere bei diversen IP-Kameras auch noch etwas anderes. Dabei telefonieren die Kameras permanent nach Hause und man verbindet sich effektiv eben nicht mit seiner eigenen öffentlichen IP, sondern mit der IP des Herstellers, der dann wiederum die Verbindung zur eigentlichen Kamera umbiegt. Das heißt aber im Klartext, dass sämtlicher Traffic durch die Server des Herstellers geht. Das ist ähnlich wie zB bei TeamViewer. Damit möchte man dem Kunden den "Ärger" mit Portweiterleitungen, etc. sparen und einen komfortablen "Service" bieten. Ich will nicht behaupten, dass das bei Plex auch so ist - dazu kenne ich Plex nicht gut genug -, ich möchte nur darauf hinweisen, dass eingebaute (vermeintliche) DDNS Geschichten eben auch sicherheitstechnisch ein Eigentor sein können, wenn es so läuft wie gerade beschrieben. Schimpft sich dann "cloud based service".. In der Theorie kann in dem Beispiel der Kamera-Hersteller nämlich munter auf die Video-Streams zugreifen - auch ohne dass man überhaupt aktiv eine Portweiterleitung, o.ä. für den Zugriff von außen konfiguriert hat.
 
@Raijin:
Wenn ich das bei Plex richtig auf dem Schirm habe, machen die sowohl als auch ;) Also, der (eigene) Plex-Server meldet seine externe WAN IP Adresse dem Plex.tv-Server. Versucht nun ein Client den Plex-Server zu erreichen, geschieht das in erster Linie über die WAN IP des Servers. Schlägt das fehl (durch zB falsche Portweiterleitung, NAT, was auch immer) wird der Stream über den Plex.tv-Server getunnelt (also ähnlich Teamviewer und die Streams von so ziemlich allen China-billig-Kameras)

Erkennen kann der Client das an der Art der Verbindung zum Plex-Server (lokal, entfernt, eingeschränkt). Auch ob HTTPS korrekt eingestellt ist und verwendet wird erkennt der Client.

Ich nehme an, dass die Entwickler von Plex kein Interesse daran haben, dass alle Streams aller Leute über ihre (also die Plex.tv) Server laufen... das wäre wohl doch etwas viel Traffic :)


BTT: eine ordentliche Firewall sollte so etwas auch routen können, wie du es möchtest. Ob die FB das kann, weiß ich nicht. Einstellen lässt es sich auf jeden Fall nicht.
Als günstige Lösung könntest du einen Pi oder ähnliches mit bspw. pfsense aufsetzen und so einstellen, dass es als Firewall fungiert und dein Netzwerk einteilt. Oder, wenn man auf Sicherheit Wert legt, eben doch mal die 150-200€ in die Hand nehmen und eine ordentliche HardwareFirewall kaufen :) (meine FB ist eigentlich nur noch Modem und Telefonstation)
 
150€ sind gar nicht notwendig. Ein MikroTik oder ein EdgeRouter-X bekommt man für 50€, die MikroTiks je nach Modell sogar günstiger, wenn ich mich nicht irre. Da braucht man keine teure pfSense-Appliance, die fast schon ein vollwertiger PC ist.
Ein PI ist für sowas auch nur bedingt geeignet, da er nur 1x LAN hat. Man müsste also ein USB-LAN dazukaufen und dann landet man mit Gehäuse, etc. auch wieder locker bei 50€ oder mehr.


Bezüglich Plex und "Cloud based services". Es geht dabei nicht um "Interesse", sondern um die Sicherheit, um's Prinzip. So eine Argumentation ist ähnlich wie bei Datenkraken "Ich hab ja nix zu verbergen". Wenn dann aber private Daten an Leute gelangen, die sie eigentlich nicht haben sollten, ist hinterher das Geschrei groß; ebenso wenn in den Nachrichten plötzlich eine Meldung kommt, dass die Cloud-Server von Plex gehackt wurden.

Das Problem bei Cloud services ist, dass sich die wenigsten Nutzer darüber im Klaren sind was das bedeutet. Nicht selten sind die Funktionen opt-out, also ab Werk eingeschaltet. Vor nicht allzu langer Zeit war hier ein Thread wo sich ein Nutzer gewundert hat, dass er über die Kamera-App von unterwegs trotzdem auf seine Kamera zugreifen konnte obwohl er alle diesbezüglichen Portweiterleitungen abgeschaltet hatte. Die Lösung: Ausgehende Verbindung von der Kamera zum Cloud-Service und dann wieder zurück, ohne Zutun und Wissen des Anwenders.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

B
Hetzner Colocation und Routing
Antworten
1
Aufrufe
900
Mercator
Mercator
VinzenzE
GastWlan verbinden
Antworten
9
Aufrufe
671
chrigu
chrigu
S
Komisches Verhalten / paket loss / falsches routing?
2
Antworten
21
Aufrufe
1.327
someoneElse666
S
VmaxGunni
Surface Pro8 LTE zeigt GPS Modul, keine Routing in Maps
Antworten
2
Aufrufe
427
Bodennebel
B
D
Glasfaser Deutsche GigaNetz - IPv4 Routing
Antworten
18
Aufrufe
3.903
norKoeri
N
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 188 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz