morpheus2010
Goto Top

IP Kameras in zweitem Netz isolieren trotzdem Zugriff darauf?

Hallo Gemeinde,

meine Recherche ergab nur unspezifisches. Habe leider nur die Netzwerkgrundlagen drauf und brauch Hilfe für eine konkrete Fragestellung.

Meine IP Cams hängen am normalen Heim LAN . Soweit funktioniert alles perfekt.
Aber mir ist das zu unsicher. Es könnte jederzeit eine Cam abschrauben und wäre im gesamten LAN unterwegs. Ist zwar nicht sehr wahrscheinlich aber möglich.

Meine Vorstellung:

- Die Cams bekommen mit ihrem Camserver (Windows 10 mit Blueiris) ihr eigenes Netzwerk.
- Ich kann auf die Cams und den Server über mein Heimnetz zugreifen
- Das Cam Netz kann NICHT auf das Heimnetz zugreifen

Hardware die ich momentan einsetzte:
Fitzbox 7490
Div. Router zu WLAN erweiterung
Div. unmanged Switches
Cams hängen an einem managed Netgear POE Switch zusammen mit dem Cam Server

Hat jemand eine Idee wie ich das rel. einfach realisieren kann?
Vielleicht in den CAM Server ne zweite Netzwerkkarte rein und an beide Netze koppeln? Wenn das geht, wäre das auch sicher?

Ist für mich ziemlich komplex, aber ich denke für die Spezialisten unter euch ein Sonntagsspaziergang face-wink

Content-ID: 357711

Url: https://administrator.de/contentid/357711

Ausgedruckt am: 13.11.2024 um 07:11 Uhr

aqui
Lösung aqui 10.12.2017 um 13:46:35 Uhr
Goto Top
Ja in der Tat ist das sogar noch weniger als ein Sontagsspaziergang und das bekommst du auch im Handumdrehen hin.
Das preiswerteste ist für 4 Euro eine 2te Netzwerkkarte in deinen Server einzubauen. Technisch am besten ist sich aber unabhängig vom Server zu machen und einen kleinen 35 Euro Router wie z.B. den Mikrotik hexLite zu nehmen.
Damit ist das in 10 Minuten erledigt.
Das hiesige Forums Tutorial (Gruß von der Suchfunktion) zu dem Thema (Routing) erklärt dir alle Details wie man es umzusetzen hat und gibt noch etwas Anfänger Netzwerkschulung face-wink
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
morpheus2010
morpheus2010 10.12.2017 um 15:48:25 Uhr
Goto Top
Hi aqui,

ich glaube da werde ich mich ziemlich reinknien müssen so wie das aussieht.
Wird mir aber sicherlich nicht schaden. Werde mich da im Weihnachtsurlaub mal durchbeißen.
Aber danke schonmal für die Tips!
aqui
aqui 10.12.2017 aktualisiert um 16:15:05 Uhr
Goto Top
Nee, nicht wirklich. Mit der richtigen HW ist das auch ohne reinknien in 10-15 Minuten erledigt.
Alles mal in Ruhe lesen...und verstehen dann klappt das im Handumdrehen face-wink
morpheus2010
morpheus2010 10.12.2017 um 16:29:55 Uhr
Goto Top
Danke für die Aufmunterung face-smile
Dann werde ich das hinbekommen.
Gerade den Hex Lite bestellt.
aqui
aqui 11.12.2017 aktualisiert um 11:13:39 Uhr
Goto Top
Wichtig damit es klappt:
  • Winbox Tool installieren https://download2.mikrotik.com/routeros/winbox/3.11/winbox.exe Die Box hat natürlich auch ein Browser GUI aber darauf kannst du nur zugreifen wenn du eine IP hast. Du musst am Anfang die Default Konfig löschen (siehe Tutorial !) damit verlierst du die IP und den DHCP und das WinBox Tool stellt dir dann auch ohne IP Adresse mit der Mac Adresse die Verbindung zum Router mit einer identischen Konfig Oberfläche wieder her !
  • Tutorial genau lesen wie du vorgehst Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
  • IP Adressen für deine neuen Subnetze festlegen und die Router Adressen. In der Regel nimmt man bei 24 Bit Masken dann immer die .1 oder die .254 also ganzoben oder ganz unten.
  • Default Route eintragen auf dem MT
  • DHCP Server definieren auf dem MT damit in deinen neuen Netzen auch die IPs automatisch vergeben werden.
  • Erst zum Schluss Access Listen an den CAM Netzen definieren das die Cams nicht ins Heimnetz können.

Beispiel für eine IP Adressierung:
FritzBox IP: 192.168.178.1 /24
Statische Route auf der FritzBox: 172.16.0.0 255.255.0.0 Gateway: 192.168.178.254

Mikrotik Port 1 IP: 192.168.178.254 /24 ,MT Default Route auf die 192.168.178.1
CAM Netz 1 (MT Port 2): 172.16.1 0 /24 ,MT Subnetz Adresse: 172.16.1.1
CAM Netz 2 (MT Port 3): 172.16.2 0 /24 ,MT Subnetz Adresse: 172.16.2.1
usw.
DHCP Server im MT vergibt dann in jedem CAM Netz z.B. die .100 bis .150 dynamisch als IP Adressen und als Gateway die jeweilige MT Subnetzadresse und als DNS Server die 192.168.178.1 an die Clients im jeweiligen Subnetz.
Et voila...das wars.
Ganz zum Schluss machst du dann die Schotten ins Heimnetz dicht mit den Firewall Regeln auf dem MT aber erst NACHDEM alles erst sauber funktioniert um dir hier nicht vorneweg schon eine Falle zu bauen !
morpheus2010
morpheus2010 12.12.2017 um 16:50:39 Uhr
Goto Top
Hallo Aqui,

1000 Dank für deine Anleitung!!!
Ich werde das, wie gesagt, mal zwischen den Jahren angehen und mich nochmal melden ob es geklappt hat.
Bestimmt kommt da auch noch die ein oder andere Frage face-wink
aqui
aqui 12.12.2017 um 19:31:12 Uhr
Goto Top
Das klappt ganz sicher und deine Fragen wuppen wir hier auch alle face-wink
Viel Erfolg bei der Umsetzung !
morpheus2010
morpheus2010 07.10.2018 um 08:56:11 Uhr
Goto Top
Lieber Aqui,

leider bin ich jetzt erst dazu gekommen mich weiter mit der Thematik zu beschäftigen. Zwischen den Jahren ist ja ein dehnbarer Begriff. face-smile

Ich habe viel mit dem Mikrotik Hex Lite rumexperimentiert und weiß mittlerweile im Schlaf wie man ihn resettet. face-big-smile

Die für mich beste Lösung war die default Config zu nehmen und die Firewall zu löschen. Somit funktioniert nun alles mit zwei Netzen.
Ich konnte mein altes Netz somit einfach lassen und die Cams outsourcen.
Leider bin ich nirgends wirklich fündig geworden wie ich jetzt das Cam Netz weitgehend isoliere und Zugriff von Netz 1 auf Netz bekomme bei gleichzeitiger Sperrung von Zugriff von Netz 2 auf Netz 1.
Eigentlich benötige ich nur Zugriff auf den Cam Server 192.168.88.254.
Die meisten Threads befassen sich mit WAN Firewall oder kompletter Isolation.

Internet <--> Fritzbox Netz 1 (192.168.1.0 DHCP 1)<--> ETH1 Mikrotik (192.168.1.101)<--> Bridge ETH 2-5 Netz 2 (192.168.88.0 DHCP 2)

Routen von Fritzbox zur Bridge und zurück funktionieren.

Könntest Du mir vielleicht bei der Firewall helfen?
aqui
Lösung aqui 07.10.2018 um 10:08:09 Uhr
Goto Top
und weiß mittlerweile im Schlaf wie man ihn resettet.
Perfekt !
Die für mich beste Lösung war die
Ist etwas umständlicher, führt aber auch zum Ziel. Wichtig ist das man das Masquerading entfernt in der FW.
Ein einfaches Routing Setup wie hier beschrieben:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Ist aber einfacher umzusetzen als die Default Konfig anzupassen. Aber egal....der Erfolg zählt ! face-wink

Die Isolation bekommst du ganz einfach über das Firewall Setup hin.
Du lässt aus deinem bestehenden Netz 1 einfach nur Zugriff auf Netz 2 zu aber nicht andersrum.
Das bekommst du mit einer sehr einfachen Regel hin indem du aus dem Netz 2 nur Pakete mit einem gesetzten "Established" Bit zulässt.
Damit kann kein Endgerät aus dem Netz 2 eine Session aufbauen ins Netz 1. Bestehende Sessions, sprich also solche die von Netz 1 aus aufgebaut wurden (Established Bit gesetzt) die können passieren.
Das wäre die allereinfachste Regel, eine Zeile in der FW Konfig.
Die kannst du natürlich noch beliebig dichtziehen indem du die IP Adressen einschränkst, Anwendungsports usw.
Da kannst du dich austoben je nachdem wie dein Sicherheitsanspruch aussieht face-wink
Routen von Fritzbox zur Bridge und zurück funktionieren.
So sollte es auch sein...
morpheus2010
morpheus2010 07.10.2018 um 10:32:10 Uhr
Goto Top
Zitat von @aqui:
Das bekommst du mit einer sehr einfachen Regel hin indem du aus dem Netz 2 nur Pakete mit einem gesetzten "Established" Bit zulässt.

MEGA!!!
Genau das habe ich gebraucht. Funktioniert. Habe es per RDP auf den CAM Server getestet. Ich komme auf den Server aber wenn ich von dem Server zurück will geht nichts.

Das Masquerading habe ich bei NAT rausgenommen.

Könnte es ein Problem darstellen, dass ich in den verschiedenen Netzen jeweils einen eigenen DHCP Server habe?
Habe gelesen dass man da man da was blocken sollte weil die DHCP Server auf Layer 2 Eben arbeiten.
Was meinst Du?

Vielen Dank schonmal für die Hilfe. Hätte mich Stunden oder Tage gebraucht auf das Detail mit dem Established Bit zu kommen.
aqui
aqui 08.10.2018 um 12:29:11 Uhr
Goto Top
Könnte es ein Problem darstellen, dass ich in den verschiedenen Netzen jeweils einen eigenen DHCP Server habe?
Nein !
Du routest ja (hoffentlich) zwischen den beiden IP Netzen, deshalb "sehen" sich die DHCP Server nicht. Jeder arbeitet getrennt für sein IP Netz. DHCP Requests von Clients gehen NICHT über Routing Grenzen, da sie Broadcast basierend sind.
Beim Bridging wäre sowas tödlich, denn dann "gewinnt" immer der DHCP Server der am schnellsten ist und dann gäbe es Adresschaos.