Hi Martin,

nein, das weiter unten gezeigte Script lässt erkennen, dass der "ext. Webserver" nur die aktuelle passende IP-Adresse nachschlägt und dann eine Weiterleitung dorthin macht. Ergo: Der Client fragt bei deinem Strato-Server bloß nach dem Weg und verbindet sich dann im zweiten Schritt selbst mit der Kamera.
"Über einen ext. Webserver erreichbar" suggeriert dagegen eher, dass dieser Server als eine Art Proxy zur Kamera arbeitet. Das ist aber offenbar nicht der Fall.

da könnts dran liegen - zumindest kenn ich mich zuwenig aus.
da ja die Apps alle möglichen Dateien aufrufen möchten:
zB. snapshot.cgi, videostream.cgi
hab ich einfach alles auf index.php umgeleitet.

    RewriteEngine On
    RewriteCond %{REQUEST_URI} !^/(index\.php)?$ [NC]
    RewriteRule ^.*$ /index.php [L]

ohne zu wissen, was ich da eigentlich tue :-0

Diese Notation (http://user:passwed@example.org) ist aber in HTTP nicht erlaubt. Viele Clients weisen das als fehlerhaft ab; ein paar wenige akzeptieren das, setzen es aber intern um, bevor sie einen Request mit einem korrekten AUTH-Header an den Server absetzen.

Stimmt - manche Apps wollen das gar nicht.

Tja, wie dedlfix schon sagte: Die aus den GET-Parametern kopierten Werte $user und $pwd verwendest du nie wieder. Sie müssen einfach nur da sein, ganz gleich, mit welchem Wert.

GET user und pass könnt ich der Vollständigkeit natürlich noch auf Richtigkeit prüfen.
Dadurch könnte ich das Problem auch umgehen, indem ich immer mit htaccessuser den Link zur Cam aufrufe und die Prüfung ausschließlich in der index.php stattfindet. Ist aber weder elegant noch logisch.

Wie sieht denn genau der Request aus, den dein Browser nach dem Redirect abschickt? Wiederholt er etwa die Zugangsdaten und die AUTH-Header des ursprünglichen Requests?

Ich tausch eigentlich nur die IP!?

Viele Grüße aus LA
ralphi