Port-Weiterleitung für IP-Kamera einrichten

Zu den meistgestellten Fragen rund um die Einrichtung einer Netzwerkkamera gehört die Port-Weiterleitung bzw. das „Port Forwarding“. In diesem Artikel wollen wir Schritt für Schritt die Einrichtung anhand eines Fritzbox-Routers erklären. Doch zunächst sind einige Dinge im Netzwerk zu beachten.

Statische Kamera-IP oder IP per DHCP?

Viele Privatkunden haben ein heimisches Netzwerk, ohne sich darüber wirklich im Klaren zu sein. Sie besitzen einen Router, beispielsweise eine Fritz-Box, und haben daran einen oder mehrere Computer angeschlossen. Per Smartphone über eine WLAN-Verbindung greifen sie auf das Internet zu.
All diese Geräte funktionieren im Netzwerk nur, weil der Router jedem Gerät, vom Computer über Laptop, Video-on-Demand TV-Box bis hin zum Smartphone eine eigene IP-Adresse zugeordnet hat und darüber die Geräte verwaltet. Eine solche IP-Adresse dient zur Zuordnung des Gerätes, ist jedoch nicht fest mit dem Gerät verbandelt. Stellen sie sich die IP-Adresse wie die Nummer eines Parkplatzes vor. Sie stellen ihr Auto jeden Tag auf einen freien Parkplatz und merken sich die Parkplatz-Nummer. So wird ihrem Gerät, wenn sie es anschalten, einfach eine freie IP-Adresse vom Router zugewiesen. Dies macht der DHCP-Server, der im Router integriert und in der Regel bei den meisten Geräten voreingestellt wird.

Portfreigabe IP-Einstellung
Unter NETZWERK / IP-EINSTELLUNGEN findet man in der FritzBox die Entscheidung zur Definition der IP-Adressen und zu den Routing-Einstellungen.

Diese Einstellung ist in den allermeisten Fällen auch richtig und nicht zu beanstanden. Nun kann es aber sein, dass man einem Gerät eine feste IP-Adresse zuordnen möchte oder sogar muss. Letzteres trifft im Falle der Port-Weiterleitung zu. Warum dies der Fall ist, dazu mehr im Bereich „Port-Weiterleitung einrichten“.
Es macht die Verwaltung bei vielen Netzwerk-Geräten leichter, wenn man diesen eine feste IP-Adresse zuweist. Auch sind viele Anwendungen technisch ausgereift und werfen die wildesten Fehlermeldungen, wenn beispielsweise die zugeordnete IP Kamera beim nächsten Start vom DHCP-Server eine andere IP-Adresse zugewiesen bekommen hat.

DHCP-Adressbereich begrenzen

Da ein DHCP-Server durchaus Sinn macht, kann man hier eine Trennung vornehmen. Neu eingeschaltete Geräte sollen automatisch eine IP-Adresse zugeordnet bekommen. Aber für spezielle Netzwerk-Geräte wie die Netzwerkkamera, der Router an sich, aber auch eine NAS und ähnliches ist es vorteilhaft, diesen eine sogenannte „statische IP Adresse“ zuzuweisen. Jetzt muss man jedoch aufpassen: Um auf das Beispiel mit dem Parkplatz zurückzukommen – es muss klar sein, dass spezielle Parkplätze reserviert sind. Je nach Router kann man speziellen Geräten immer die gleiche IP-Adresse zuweisen und der integrierte DHCP-Server weiß, dass er diese manuell zugeordnete Adresse zuzuweisen hat und nicht anderweitig vergeben kann. Doch diese Möglichkeit haben nicht alle Router. Meist geht man einen anderen Weg: Man begrenzt den Adressbereich der DHCP-Zuordnung und vergibt statische IP-Adressen außerhalb dieses Adressraumes. Klingt komplizierter, als es eigentlich ist.

Portfreigabe DHCP
Unter IP-EINSTELLUNGEN kann man die IP-Adresse der FritzBox selbst verändern, sowie den DHCP-Server aktivieren. Wichtig: Unter „DHCP-Server vergibt IP-Adressen“ kann man den Adressbereich definieren, die dem DHCP-Server zur Verfügung steht.

Schauen wir uns die folgende DHCP-Konfiguration an. Hier ist die IP-Adresse der FritzBox auf „192.168.0.1“ und die Subnetzmaske auf „255.255.255.0“ festgelegt. Beachten sie bitte, dass im Falle der FritzBox die Standard-IP-Adresse 192.168.178.1 lautet, hier also eine manuelle Umkonfiguration vorgenommen wurde.
Unterhalb des Adressblocks sehen wir, dass der DHCP-Server aktiviert ist und der Adressbereich auf „3“ bis „98“ begrenzt ist. Dies bedeutet, dass die Adresse 192.168.0.1 und 192.168.0.2 sowie die Adressen 192.168.0.99 und größer in diesem Fall aus dem Adressbereich der automatisch Vergabe ausgeschlossen sind. Somit könnte hier die .1, .2, .99 bis .255 individuell anderen Geräten zugeordnet werden, ohne dass es zu einem IP-Adresskonflikt kommen kann. Welche Adresse man per DHCP vergibt und wie groß der Adressbereich sein sollte – dies hängt von der Größe des eigenen Netzwerkes ab.

Statische IP-Adresse einer Kamera zuweisen

Wenn es sich nicht nur um eine temporäre Testkamera handelt, empfehle ich eindringlich, der Netzwerkkamera eine statische IP-Adresse zuzuweisen. Im Beispiel verwende ich die „192.168.0.130“. Die „130“ liegt außerhalb des eben definierten DHCP-Adressbereiches. Ob diese Adresse frei ist, können Sie mittels „ping 192.168.0.130“ erfragen. Hier darf kein Gerät antworten.
Nun benötige ich Zugriff auf die Firmware der Kamera, um dort die IP-Adresse manuell zuzuweisen. Wie dies im Fall einer FOSCAM-Kamera gemacht wird, zeige ich im Video. Beachten Sie bitte, dass nach der Zuweisung der statischen IP-Adresse die Kamera neu gestartet werden sollte. Prüfen Sie nun mittels Ping, ob die Kamera antwortet.

Warum nicht UPnP?

Dieser Dienst ist nicht prinzipiell schlecht oder unsicher, doch im Falle einer Port-Weiterleitung sollte der verantwortungsvolle Betreiber einer Kamera wissen, welche „Schlupflöcher“ sein eigenes Netz bietet. Damit UPnP aus „Komfortibilitätsgründen“ keine Hintertüren öffnet, über die man dann nicht informiert ist, sollte man im Router diesen Dienst deaktivieren. UPnP im Zusammenhang mit folgenschweren Sicherheitslücken sind der Grund, warum viele Netzwerkkameras offen über das Internet erreichbar sind. Die Gründe und Tipps zur Abhilfe haben wir im Artikel „Unsichere Netzwerkkamera: Alle Tipps zur Sicherung einer IP-Kamera“ beschrieben.

Portfreigabe UPnP
Unter EINSTELLUNGEN / SYSTEM / NETZWERK / UPnP kann in der FritzBox UPnP verhindert werden. Hierfür den Haken vor „Änderungen der Scherheitseinstellung über UPnP gestatten“ entfernen

Port-Weiterleitung einrichten

Über Ports an sich möchte ich hier nicht viele Worte verlieren. Wer hier nähere Informationen sucht, dem lege ich den entsprechenden Wikipedia-Artikel „Portweiterleitung“ ans Herz.
Um eine Portweiterleitung für neue Netzwerkkamera einzurichten, müssen wir drei Dinge wissen: Über welchen Port wollen wir in unser Netzwerk eindringen, wie lautet die (statische!) IP-Adresse der Kamera und wie lautet der Port? Hier sehen wir, dass wir für unsere Netzwerkkamera plötzlich eine statische IP-Adresse benötigen und keine Adresse, die individuell per DHCP-Server zugewiesen wird. Warum? Weil wir die Port-Weiterleitung nun einer eine feste IP-Adresse binden können.

Portfreigabe Portweiterleitung
Unter ERWEITERTE EINSTELLUNGEN / INTERNET / FREIGABEN befinden sich in der FritzBox die Portfreigaben.

Verbinden Sie sich mit Ihrem Router. Bei einer Fritzbox finden Sie den Punkt „Portfreigaben“ unter „Internet -> Freigaben“. Klicken Sie auf den Button „Neue Portfreigabe“.

Geben Sie nun den Port ein, über den Sie von „außen“, als über das Internet, auf Ihre Kamera zugreifen möchten. Diesen Port kann man frei wählen. In der Regel nimmt man hier den gleichen Port, wie der fixe Ziel-Port. Ist der Port bereits belegt (wie beispielsweise in unserem Beispiel der Port 80, dann nimmt man einen beliebigen anderen).
Als ZIELDADRESSE wählt man nun die statische IP-Adresse der Netzwerkkamera. „An Port“ wird der Port angegeben, auf dem die Kamera „lauscht“. Dieser Port ist bei der Foscam „88“. Bei anderen Kameras kann hier ein anderer Port belegt sein. Hier muss man sich durch die Bedienungsanleitung wühlen.
Was passiert nun? Wenn eine Anfrage über das Internet am Router (beispielsweise der FritzBox) ankommt, die über den Port 88 gestellt wird, leitet der Router dank der Port-Weiterleitung diese Anfrage an die Netzwerkkamera weiter. Über das Internet kann man nun auf die Kamera zugreifen.

portfreigabe portweiterleitung einrichten
Wenn man hier ANDERE ANWENDUNGEN wählt, hat man die Möglichkeit, alle Datenfelder manuell zu bestücken.

Erster Test der Port-Weiterleitung

Zuerst muss man die eigene IP-Adresse ermitteln, die der ISP aktuell zuwiesen hat. Hier kann man in der Oberfläche im Router fündig werden. Man kann aber auch Dienste im Internet aufrufen. Diese teilen dem Aufrufer seine IP-Adresse mit. Ein Dienst ist beispielsweise „meine-aktuelle-ip“.
Für einen ersten Test nimmt man sein Smartphone in die Hand. Wichtig ist, dass es nicht per WLAN an das heimische Netz verbunden ist, sondern die Datenverbindung eines Netzbetreibers (beispielsweise per UMTS) nutzt. Nun gibt man im Browser des Smartphones http://[zugewiesene_IP]:PORT ein, wobei „[zugewiesene_IP] die IP ist, die der Dienst „meine-aktuelle-IP“ angezeigt hat und „Port“ der Eingangsport ist, den man in der Portweiterleitung am Router als Port (nicht der Zielport!) definiert hat. Nach kurzer Zeit sollte die Verwaltungsoberfläche der Kamera auf dem Smartphone erscheinen.
Wichtig: Wenn hier nun ein Zugang ohne Passwort oder ein Zugang mit voreingestelltem „Admin-Passwort“ des Herstellers möglich ist, sollte man dies umgehend ändern.

DynDNS für eine Netzwerkkamera

Die Anbieter von Internetverbindungen (wie beispielsweise die Telekom) trennen nach 24 Stunden automatisch die Verbindung (Zwangstrennung). In den allermeisten Fällen erhält man nun eine neue IP-Adresse zugewiesen (nicht verwechseln mit den IP-Adressen innerhalb des heimisches Netzes. Hier handelt es sich um die IP-Adresse, über die der Router bzw. die FritzBox im Internet kommuniziert).
Da sich die Adresse alle 24 Stunden ändert und man danach die neue IP-Adresse in der Regel nicht kennt, wäre es schön, wenn man sein Heimnetz immer unter einer festen Adresse erreichen würde. Hier helfen DynDNS-Dienste weiter. Über diese Dienste erhält man eine feste Adresse. Der Dienst wiederum muss ständig die aktuelle IP-Adresse des Netzwerkes des Kunden kennen. Glücklicherweise sind in den allermeisten Router bereits entsprechenden Programme eingebaut, die einem DynDNS-Dienst die Adresse mitteilen. Daher sollte die erste Anlaufstelle bei der Auswahl eines DynDNS-Dienstes der eigene Router sein. Es macht Sinn einen dieser Dienste auszuwählen, die der eigene Router unterstützt.
Leider sind in den vergangenen Jahren die Angebote kostenloser DynDNS-Dienste stark zurückgegangen. Besitzer von FritzBox-Router empfehle ich daher den kostenlosen Dienst von Fritz.

Sicherheitsbedenken

Erster Angriffspunkt des heimischen Netzwerkes über das Internet ist der eigene Router. Aktuelle Router verfügen alle über eine Firewall und sind einigermaßen gut vorkonfiguriert. Wenn man jedoch eine Port-Weiterleitung einrichtet, sendet der Router eingehende Datenpakete an den voreingestellten Port innerhalb des heimischen Netzes. Wenn hier Schwachstellen lauern, besteht sofort Gefahr für das gesamte heimische Netz. Die Hoffnung, dass die Hersteller von Netzwerkkameras gute und sichere Software entwickeln, sollte man nicht haben.
Um es auch unbedarften Nutzern von Netzwerkkameras so einfach wie möglich zu machen, sind die Kameras und deren Verwaltungsoberfläche oft ohne oder nur mit unzureichendem Passwort geschützt. Wer hier keine geeigneten Maßnahmen ergreift, gibt die Hoheit seiner Kamera ungewollt in fremde Hände.

Rainer Hoppe

Über den Autor: Rainer Hoppe ist ein kritischer und professioneller Produkttester. Er hat bereits über 400 aktuelle Produkte getestet und in Testberichte beschrieben. Rainer unterstützt das Team von sicherheitskamera.org durch seine fachkundiges Wissen. Er ist Anfang 30, ist ein begeisteter Technik und Computer-Fan, Freizeit-Mountain-Biker sowie ein stolzer und rührender Vater einer kleinen Tochter.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

13 + = 17