11
IP Kameras in zweitem Netz isolieren trotzdem Zugriff darauf?
Hallo Gemeinde,
meine Recherche ergab nur unspezifisches. Habe leider nur die Netzwerkgrundlagen drauf und brauch Hilfe für eine konkrete Fragestellung.
Meine IP Cams hängen am normalen Heim LAN . Soweit funktioniert alles perfekt.
Aber mir ist das zu unsicher. Es könnte jederzeit eine Cam abschrauben und wäre im gesamten LAN unterwegs. Ist zwar nicht sehr wahrscheinlich aber möglich.
Meine Vorstellung:
- Die Cams bekommen mit ihrem Camserver (Windows 10 mit Blueiris) ihr eigenes Netzwerk.
- Ich kann auf die Cams und den Server über mein Heimnetz zugreifen
- Das Cam Netz kann NICHT auf das Heimnetz zugreifen
Hardware die ich momentan einsetzte:
Fitzbox 7490
Div. Router zu WLAN erweiterung
Div. unmanged Switches
Cams hängen an einem managed Netgear POE Switch zusammen mit dem Cam Server
Hat jemand eine Idee wie ich das rel. einfach realisieren kann?
Vielleicht in den CAM Server ne zweite Netzwerkkarte rein und an beide Netze koppeln? Wenn das geht, wäre das auch sicher?
Ist für mich ziemlich komplex, aber ich denke für die Spezialisten unter euch ein Sonntagsspaziergang
meine Recherche ergab nur unspezifisches. Habe leider nur die Netzwerkgrundlagen drauf und brauch Hilfe für eine konkrete Fragestellung.
Meine IP Cams hängen am normalen Heim LAN . Soweit funktioniert alles perfekt.
Aber mir ist das zu unsicher. Es könnte jederzeit eine Cam abschrauben und wäre im gesamten LAN unterwegs. Ist zwar nicht sehr wahrscheinlich aber möglich.
Meine Vorstellung:
- Die Cams bekommen mit ihrem Camserver (Windows 10 mit Blueiris) ihr eigenes Netzwerk.
- Ich kann auf die Cams und den Server über mein Heimnetz zugreifen
- Das Cam Netz kann NICHT auf das Heimnetz zugreifen
Hardware die ich momentan einsetzte:
Fitzbox 7490
Div. Router zu WLAN erweiterung
Div. unmanged Switches
Cams hängen an einem managed Netgear POE Switch zusammen mit dem Cam Server
Hat jemand eine Idee wie ich das rel. einfach realisieren kann?
Vielleicht in den CAM Server ne zweite Netzwerkkarte rein und an beide Netze koppeln? Wenn das geht, wäre das auch sicher?
Ist für mich ziemlich komplex, aber ich denke für die Spezialisten unter euch ein Sonntagsspaziergang
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 357711
Url: https://administrator.de/contentid/357711
Ausgedruckt am: 13.11.2024 um 07:11 Uhr
11 Kommentare
Neuester Kommentar
Ja in der Tat ist das sogar noch weniger als ein Sontagsspaziergang und das bekommst du auch im Handumdrehen hin.
Das preiswerteste ist für 4 Euro eine 2te Netzwerkkarte in deinen Server einzubauen. Technisch am besten ist sich aber unabhängig vom Server zu machen und einen kleinen 35 Euro Router wie z.B. den Mikrotik hexLite zu nehmen.
Damit ist das in 10 Minuten erledigt.
Das hiesige Forums Tutorial (Gruß von der Suchfunktion) zu dem Thema (Routing) erklärt dir alle Details wie man es umzusetzen hat und gibt noch etwas Anfänger Netzwerkschulung
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Das preiswerteste ist für 4 Euro eine 2te Netzwerkkarte in deinen Server einzubauen. Technisch am besten ist sich aber unabhängig vom Server zu machen und einen kleinen 35 Euro Router wie z.B. den Mikrotik hexLite zu nehmen.
Damit ist das in 10 Minuten erledigt.
Das hiesige Forums Tutorial (Gruß von der Suchfunktion) zu dem Thema (Routing) erklärt dir alle Details wie man es umzusetzen hat und gibt noch etwas Anfänger Netzwerkschulung
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Hi aqui,
ich glaube da werde ich mich ziemlich reinknien müssen so wie das aussieht.
Wird mir aber sicherlich nicht schaden. Werde mich da im Weihnachtsurlaub mal durchbeißen.
Aber danke schonmal für die Tips!
ich glaube da werde ich mich ziemlich reinknien müssen so wie das aussieht.
Wird mir aber sicherlich nicht schaden. Werde mich da im Weihnachtsurlaub mal durchbeißen.
Aber danke schonmal für die Tips!
Nee, nicht wirklich. Mit der richtigen HW ist das auch ohne reinknien in 10-15 Minuten erledigt.
Alles mal in Ruhe lesen...und verstehen dann klappt das im Handumdrehen
Alles mal in Ruhe lesen...und verstehen dann klappt das im Handumdrehen
Danke für die Aufmunterung 
Dann werde ich das hinbekommen.
Gerade den Hex Lite bestellt.
Dann werde ich das hinbekommen.
Gerade den Hex Lite bestellt.
Wichtig damit es klappt:
Beispiel für eine IP Adressierung:
FritzBox IP: 192.168.178.1 /24
Statische Route auf der FritzBox: 172.16.0.0 255.255.0.0 Gateway: 192.168.178.254
Mikrotik Port 1 IP: 192.168.178.254 /24 ,MT Default Route auf die 192.168.178.1
CAM Netz 1 (MT Port 2): 172.16.1 0 /24 ,MT Subnetz Adresse: 172.16.1.1
CAM Netz 2 (MT Port 3): 172.16.2 0 /24 ,MT Subnetz Adresse: 172.16.2.1
usw.
DHCP Server im MT vergibt dann in jedem CAM Netz z.B. die .100 bis .150 dynamisch als IP Adressen und als Gateway die jeweilige MT Subnetzadresse und als DNS Server die 192.168.178.1 an die Clients im jeweiligen Subnetz.
Et voila...das wars.
Ganz zum Schluss machst du dann die Schotten ins Heimnetz dicht mit den Firewall Regeln auf dem MT aber erst NACHDEM alles erst sauber funktioniert um dir hier nicht vorneweg schon eine Falle zu bauen !
- Winbox Tool installieren https://download2.mikrotik.com/routeros/winbox/3.11/winbox.exe Die Box hat natürlich auch ein Browser GUI aber darauf kannst du nur zugreifen wenn du eine IP hast. Du musst am Anfang die Default Konfig löschen (siehe Tutorial !) damit verlierst du die IP und den DHCP und das WinBox Tool stellt dir dann auch ohne IP Adresse mit der Mac Adresse die Verbindung zum Router mit einer identischen Konfig Oberfläche wieder her !
- Tutorial genau lesen wie du vorgehst Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
- IP Adressen für deine neuen Subnetze festlegen und die Router Adressen. In der Regel nimmt man bei 24 Bit Masken dann immer die .1 oder die .254 also ganzoben oder ganz unten.
- Default Route eintragen auf dem MT
- DHCP Server definieren auf dem MT damit in deinen neuen Netzen auch die IPs automatisch vergeben werden.
- Erst zum Schluss Access Listen an den CAM Netzen definieren das die Cams nicht ins Heimnetz können.
Beispiel für eine IP Adressierung:
FritzBox IP: 192.168.178.1 /24
Statische Route auf der FritzBox: 172.16.0.0 255.255.0.0 Gateway: 192.168.178.254
Mikrotik Port 1 IP: 192.168.178.254 /24 ,MT Default Route auf die 192.168.178.1
CAM Netz 1 (MT Port 2): 172.16.1 0 /24 ,MT Subnetz Adresse: 172.16.1.1
CAM Netz 2 (MT Port 3): 172.16.2 0 /24 ,MT Subnetz Adresse: 172.16.2.1
usw.
DHCP Server im MT vergibt dann in jedem CAM Netz z.B. die .100 bis .150 dynamisch als IP Adressen und als Gateway die jeweilige MT Subnetzadresse und als DNS Server die 192.168.178.1 an die Clients im jeweiligen Subnetz.
Et voila...das wars.
Ganz zum Schluss machst du dann die Schotten ins Heimnetz dicht mit den Firewall Regeln auf dem MT aber erst NACHDEM alles erst sauber funktioniert um dir hier nicht vorneweg schon eine Falle zu bauen !
Hallo Aqui,
1000 Dank für deine Anleitung!!!
Ich werde das, wie gesagt, mal zwischen den Jahren angehen und mich nochmal melden ob es geklappt hat.
Bestimmt kommt da auch noch die ein oder andere Frage
1000 Dank für deine Anleitung!!!
Ich werde das, wie gesagt, mal zwischen den Jahren angehen und mich nochmal melden ob es geklappt hat.
Bestimmt kommt da auch noch die ein oder andere Frage
Das klappt ganz sicher und deine Fragen wuppen wir hier auch alle
Viel Erfolg bei der Umsetzung !
Viel Erfolg bei der Umsetzung !
Lieber Aqui,
leider bin ich jetzt erst dazu gekommen mich weiter mit der Thematik zu beschäftigen. Zwischen den Jahren ist ja ein dehnbarer Begriff.
Ich habe viel mit dem Mikrotik Hex Lite rumexperimentiert und weiß mittlerweile im Schlaf wie man ihn resettet.
Die für mich beste Lösung war die default Config zu nehmen und die Firewall zu löschen. Somit funktioniert nun alles mit zwei Netzen.
Ich konnte mein altes Netz somit einfach lassen und die Cams outsourcen.
Leider bin ich nirgends wirklich fündig geworden wie ich jetzt das Cam Netz weitgehend isoliere und Zugriff von Netz 1 auf Netz bekomme bei gleichzeitiger Sperrung von Zugriff von Netz 2 auf Netz 1.
Eigentlich benötige ich nur Zugriff auf den Cam Server 192.168.88.254.
Die meisten Threads befassen sich mit WAN Firewall oder kompletter Isolation.
Internet <--> Fritzbox Netz 1 (192.168.1.0 DHCP 1)<--> ETH1 Mikrotik (192.168.1.101)<--> Bridge ETH 2-5 Netz 2 (192.168.88.0 DHCP 2)
Routen von Fritzbox zur Bridge und zurück funktionieren.
Könntest Du mir vielleicht bei der Firewall helfen?
leider bin ich jetzt erst dazu gekommen mich weiter mit der Thematik zu beschäftigen. Zwischen den Jahren ist ja ein dehnbarer Begriff.
Ich habe viel mit dem Mikrotik Hex Lite rumexperimentiert und weiß mittlerweile im Schlaf wie man ihn resettet.
Die für mich beste Lösung war die default Config zu nehmen und die Firewall zu löschen. Somit funktioniert nun alles mit zwei Netzen.
Ich konnte mein altes Netz somit einfach lassen und die Cams outsourcen.
Leider bin ich nirgends wirklich fündig geworden wie ich jetzt das Cam Netz weitgehend isoliere und Zugriff von Netz 1 auf Netz bekomme bei gleichzeitiger Sperrung von Zugriff von Netz 2 auf Netz 1.
Eigentlich benötige ich nur Zugriff auf den Cam Server 192.168.88.254.
Die meisten Threads befassen sich mit WAN Firewall oder kompletter Isolation.
Internet <--> Fritzbox Netz 1 (192.168.1.0 DHCP 1)<--> ETH1 Mikrotik (192.168.1.101)<--> Bridge ETH 2-5 Netz 2 (192.168.88.0 DHCP 2)
Routen von Fritzbox zur Bridge und zurück funktionieren.
Könntest Du mir vielleicht bei der Firewall helfen?
und weiß mittlerweile im Schlaf wie man ihn resettet.
Perfekt !Die für mich beste Lösung war die
Ist etwas umständlicher, führt aber auch zum Ziel. Wichtig ist das man das Masquerading entfernt in der FW.Ein einfaches Routing Setup wie hier beschrieben:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Ist aber einfacher umzusetzen als die Default Konfig anzupassen. Aber egal....der Erfolg zählt !
Die Isolation bekommst du ganz einfach über das Firewall Setup hin.
Du lässt aus deinem bestehenden Netz 1 einfach nur Zugriff auf Netz 2 zu aber nicht andersrum.
Das bekommst du mit einer sehr einfachen Regel hin indem du aus dem Netz 2 nur Pakete mit einem gesetzten "Established" Bit zulässt.
Damit kann kein Endgerät aus dem Netz 2 eine Session aufbauen ins Netz 1. Bestehende Sessions, sprich also solche die von Netz 1 aus aufgebaut wurden (Established Bit gesetzt) die können passieren.
Das wäre die allereinfachste Regel, eine Zeile in der FW Konfig.
Die kannst du natürlich noch beliebig dichtziehen indem du die IP Adressen einschränkst, Anwendungsports usw.
Da kannst du dich austoben je nachdem wie dein Sicherheitsanspruch aussieht
Routen von Fritzbox zur Bridge und zurück funktionieren.
So sollte es auch sein...Zitat von @aqui:
Das bekommst du mit einer sehr einfachen Regel hin indem du aus dem Netz 2 nur Pakete mit einem gesetzten "Established" Bit zulässt.
Das bekommst du mit einer sehr einfachen Regel hin indem du aus dem Netz 2 nur Pakete mit einem gesetzten "Established" Bit zulässt.
MEGA!!!
Genau das habe ich gebraucht. Funktioniert. Habe es per RDP auf den CAM Server getestet. Ich komme auf den Server aber wenn ich von dem Server zurück will geht nichts.
Das Masquerading habe ich bei NAT rausgenommen.
Könnte es ein Problem darstellen, dass ich in den verschiedenen Netzen jeweils einen eigenen DHCP Server habe?
Habe gelesen dass man da man da was blocken sollte weil die DHCP Server auf Layer 2 Eben arbeiten.
Was meinst Du?
Vielen Dank schonmal für die Hilfe. Hätte mich Stunden oder Tage gebraucht auf das Detail mit dem Established Bit zu kommen.
Könnte es ein Problem darstellen, dass ich in den verschiedenen Netzen jeweils einen eigenen DHCP Server habe?
Nein !Du routest ja (hoffentlich) zwischen den beiden IP Netzen, deshalb "sehen" sich die DHCP Server nicht. Jeder arbeitet getrennt für sein IP Netz. DHCP Requests von Clients gehen NICHT über Routing Grenzen, da sie Broadcast basierend sind.
Beim Bridging wäre sowas tödlich, denn dann "gewinnt" immer der DHCP Server der am schnellsten ist und dann gäbe es Adresschaos.
