IP Kameras in zweitem Netz isolieren trotzdem Zugriff darauf?
Hallo Gemeinde,
meine Recherche ergab nur unspezifisches. Habe leider nur die Netzwerkgrundlagen drauf und brauch Hilfe für eine konkrete Fragestellung.
Meine IP Cams hängen am normalen Heim LAN . Soweit funktioniert alles perfekt.
Aber mir ist das zu unsicher. Es könnte jederzeit eine Cam abschrauben und wäre im gesamten LAN unterwegs. Ist zwar nicht sehr wahrscheinlich aber möglich.
Meine Vorstellung:
- Die Cams bekommen mit ihrem Camserver (Windows 10 mit Blueiris) ihr eigenes Netzwerk.
- Ich kann auf die Cams und den Server über mein Heimnetz zugreifen
- Das Cam Netz kann NICHT auf das Heimnetz zugreifen
Hardware die ich momentan einsetzte:
Fitzbox 7490
Div. Router zu WLAN erweiterung
Div. unmanged Switches
Cams hängen an einem managed Netgear POE Switch zusammen mit dem Cam Server
Hat jemand eine Idee wie ich das rel. einfach realisieren kann?
Vielleicht in den CAM Server ne zweite Netzwerkkarte rein und an beide Netze koppeln? Wenn das geht, wäre das auch sicher?
Ist für mich ziemlich komplex, aber ich denke für die Spezialisten unter euch ein Sonntagsspaziergang
meine Recherche ergab nur unspezifisches. Habe leider nur die Netzwerkgrundlagen drauf und brauch Hilfe für eine konkrete Fragestellung.
Meine IP Cams hängen am normalen Heim LAN . Soweit funktioniert alles perfekt.
Aber mir ist das zu unsicher. Es könnte jederzeit eine Cam abschrauben und wäre im gesamten LAN unterwegs. Ist zwar nicht sehr wahrscheinlich aber möglich.
Meine Vorstellung:
- Die Cams bekommen mit ihrem Camserver (Windows 10 mit Blueiris) ihr eigenes Netzwerk.
- Ich kann auf die Cams und den Server über mein Heimnetz zugreifen
- Das Cam Netz kann NICHT auf das Heimnetz zugreifen
Hardware die ich momentan einsetzte:
Fitzbox 7490
Div. Router zu WLAN erweiterung
Div. unmanged Switches
Cams hängen an einem managed Netgear POE Switch zusammen mit dem Cam Server
Hat jemand eine Idee wie ich das rel. einfach realisieren kann?
Vielleicht in den CAM Server ne zweite Netzwerkkarte rein und an beide Netze koppeln? Wenn das geht, wäre das auch sicher?
Ist für mich ziemlich komplex, aber ich denke für die Spezialisten unter euch ein Sonntagsspaziergang
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 357711
Url: https://administrator.de/forum/ip-kameras-in-zweitem-netz-isolieren-trotzdem-zugriff-darauf-357711.html
Ausgedruckt am: 22.12.2024 um 13:12 Uhr
11 Kommentare
Neuester Kommentar
Ja in der Tat ist das sogar noch weniger als ein Sontagsspaziergang und das bekommst du auch im Handumdrehen hin.
Das preiswerteste ist für 4 Euro eine 2te Netzwerkkarte in deinen Server einzubauen. Technisch am besten ist sich aber unabhängig vom Server zu machen und einen kleinen 35 Euro Router wie z.B. den Mikrotik hexLite zu nehmen.
Damit ist das in 10 Minuten erledigt.
Das hiesige Forums Tutorial (Gruß von der Suchfunktion) zu dem Thema (Routing) erklärt dir alle Details wie man es umzusetzen hat und gibt noch etwas Anfänger Netzwerkschulung
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Das preiswerteste ist für 4 Euro eine 2te Netzwerkkarte in deinen Server einzubauen. Technisch am besten ist sich aber unabhängig vom Server zu machen und einen kleinen 35 Euro Router wie z.B. den Mikrotik hexLite zu nehmen.
Damit ist das in 10 Minuten erledigt.
Das hiesige Forums Tutorial (Gruß von der Suchfunktion) zu dem Thema (Routing) erklärt dir alle Details wie man es umzusetzen hat und gibt noch etwas Anfänger Netzwerkschulung
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Wichtig damit es klappt:
Beispiel für eine IP Adressierung:
FritzBox IP: 192.168.178.1 /24
Statische Route auf der FritzBox: 172.16.0.0 255.255.0.0 Gateway: 192.168.178.254
Mikrotik Port 1 IP: 192.168.178.254 /24 ,MT Default Route auf die 192.168.178.1
CAM Netz 1 (MT Port 2): 172.16.1 0 /24 ,MT Subnetz Adresse: 172.16.1.1
CAM Netz 2 (MT Port 3): 172.16.2 0 /24 ,MT Subnetz Adresse: 172.16.2.1
usw.
DHCP Server im MT vergibt dann in jedem CAM Netz z.B. die .100 bis .150 dynamisch als IP Adressen und als Gateway die jeweilige MT Subnetzadresse und als DNS Server die 192.168.178.1 an die Clients im jeweiligen Subnetz.
Et voila...das wars.
Ganz zum Schluss machst du dann die Schotten ins Heimnetz dicht mit den Firewall Regeln auf dem MT aber erst NACHDEM alles erst sauber funktioniert um dir hier nicht vorneweg schon eine Falle zu bauen !
- Winbox Tool installieren https://download2.mikrotik.com/routeros/winbox/3.11/winbox.exe Die Box hat natürlich auch ein Browser GUI aber darauf kannst du nur zugreifen wenn du eine IP hast. Du musst am Anfang die Default Konfig löschen (siehe Tutorial !) damit verlierst du die IP und den DHCP und das WinBox Tool stellt dir dann auch ohne IP Adresse mit der Mac Adresse die Verbindung zum Router mit einer identischen Konfig Oberfläche wieder her !
- Tutorial genau lesen wie du vorgehst Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
- IP Adressen für deine neuen Subnetze festlegen und die Router Adressen. In der Regel nimmt man bei 24 Bit Masken dann immer die .1 oder die .254 also ganzoben oder ganz unten.
- Default Route eintragen auf dem MT
- DHCP Server definieren auf dem MT damit in deinen neuen Netzen auch die IPs automatisch vergeben werden.
- Erst zum Schluss Access Listen an den CAM Netzen definieren das die Cams nicht ins Heimnetz können.
Beispiel für eine IP Adressierung:
FritzBox IP: 192.168.178.1 /24
Statische Route auf der FritzBox: 172.16.0.0 255.255.0.0 Gateway: 192.168.178.254
Mikrotik Port 1 IP: 192.168.178.254 /24 ,MT Default Route auf die 192.168.178.1
CAM Netz 1 (MT Port 2): 172.16.1 0 /24 ,MT Subnetz Adresse: 172.16.1.1
CAM Netz 2 (MT Port 3): 172.16.2 0 /24 ,MT Subnetz Adresse: 172.16.2.1
usw.
DHCP Server im MT vergibt dann in jedem CAM Netz z.B. die .100 bis .150 dynamisch als IP Adressen und als Gateway die jeweilige MT Subnetzadresse und als DNS Server die 192.168.178.1 an die Clients im jeweiligen Subnetz.
Et voila...das wars.
Ganz zum Schluss machst du dann die Schotten ins Heimnetz dicht mit den Firewall Regeln auf dem MT aber erst NACHDEM alles erst sauber funktioniert um dir hier nicht vorneweg schon eine Falle zu bauen !
und weiß mittlerweile im Schlaf wie man ihn resettet.
Perfekt !Die für mich beste Lösung war die
Ist etwas umständlicher, führt aber auch zum Ziel. Wichtig ist das man das Masquerading entfernt in der FW.Ein einfaches Routing Setup wie hier beschrieben:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Ist aber einfacher umzusetzen als die Default Konfig anzupassen. Aber egal....der Erfolg zählt !
Die Isolation bekommst du ganz einfach über das Firewall Setup hin.
Du lässt aus deinem bestehenden Netz 1 einfach nur Zugriff auf Netz 2 zu aber nicht andersrum.
Das bekommst du mit einer sehr einfachen Regel hin indem du aus dem Netz 2 nur Pakete mit einem gesetzten "Established" Bit zulässt.
Damit kann kein Endgerät aus dem Netz 2 eine Session aufbauen ins Netz 1. Bestehende Sessions, sprich also solche die von Netz 1 aus aufgebaut wurden (Established Bit gesetzt) die können passieren.
Das wäre die allereinfachste Regel, eine Zeile in der FW Konfig.
Die kannst du natürlich noch beliebig dichtziehen indem du die IP Adressen einschränkst, Anwendungsports usw.
Da kannst du dich austoben je nachdem wie dein Sicherheitsanspruch aussieht
Routen von Fritzbox zur Bridge und zurück funktionieren.
So sollte es auch sein...Könnte es ein Problem darstellen, dass ich in den verschiedenen Netzen jeweils einen eigenen DHCP Server habe?
Nein !Du routest ja (hoffentlich) zwischen den beiden IP Netzen, deshalb "sehen" sich die DHCP Server nicht. Jeder arbeitet getrennt für sein IP Netz. DHCP Requests von Clients gehen NICHT über Routing Grenzen, da sie Broadcast basierend sind.
Beim Bridging wäre sowas tödlich, denn dann "gewinnt" immer der DHCP Server der am schnellsten ist und dann gäbe es Adresschaos.