Kommunikation über Enterprise Firewall (Cisco ASA)

Hallo,

ich habe eine IN-8001 die über eine Cisco ASA Firewall ins Internet kommunizieren soll.
Auf der ASA ist Port Address Translation eingerichtet, d.h. es wird alles hinter einer öffentlichen IP-Adresse maskiert.

Die Kamera versucht nun, auf UDP Ports 20000 aufwärts, die öffentliche IP-Adresse der ASA Firewall zu erreichen.
Offenbar versucht sie festzustellen ob die Kamera auch übers Internet erreichbar ist.

Dieses „Hairpinning“ - also raus aus dem privaten Netz und wieder rein über die öffentliche IP-Adresse auf der gleichen Firewall - scheint aber nicht zu klappen.

Gibt es eine Möglichkeit, die Kamera davon zu überzeugen dass sie trotzdem Zugriff aufs Internet und auf die INSTAR Cloud hat?

UPNP haben wir bereits abgeschalten, das unterstützt die Firewall nicht.

Viele Grüße,
Harald

Hallo @yoho,

Die Ports > 20000 sind eigentlich nur für das P2P notwendig - z.B.

46.4.x.x:32100
159.69..x.x:32100
116.203..x.x:32100

sind 3 Server bei Hetzner Deutschland. Diese sind notwendig um die P2P Verbindung zu initialisieren. Die Server bekommen von der Kamera in kurzen Zeitabständen die Informationen wo die Kamera zu finden ist und informieren die Kamera, wenn eine App zugreifen möchte. Der Server wird also benötigt um die Direktverbindung zwischen App und Kamera einzuleiten.

Die Server die Sie z.B. aufgelistet hatten sind für die P2P Verbindung. Die Daten die dort gesendet werden sind an sich lediglich auf die WAN IP begrenzt. Denn um die Kamera über das Internet zu erreichen, muss die App ja wissen wo sie die Kamera erreichen kann. Die Verbindung bei P2P läuft komplett über UDP.

Es gibt noch weitere Dienste , die eine Verbindung zu einem oder mehreren Server benötigen. Hierbei stehen alle Server in Deutschland, bis auf die NTP Server für den Zeitgleich, da kommt es darauf an welchen man ausgewählt hat.

Für folgende Dienste wird eine Verbindung benötigt.

  • NTP: Server zum Zeitabgleich
  • DDNS: Server zum hinterlegen der aktuellen WAN IP die mit der DDNS Adresse verknüpft wird
  • Email: Sofern ausgewählt als Emailserver zum versenden von Alarm-Emails

Man kann alle diese Dienste in der Kamera deaktivieren - dann sollten keine Anfragen mehr rausgehen. Mit Ausnahme des Auto-Updaters auf den Ports 4555-4557.

D.h. wenn die Kamera eine FTP Verbindung zu einem Server im Internet aufnehmen kann, sollte auch die Verbindung zur Cloud funktionieren - unabhängig davon ob sich der P2P Dienst verbinden kann.