Ip Kameras vom Netzwerk separieren - jedoch mit Zugriff
Hallo und schönen Sonntag.
Als Anfänger im Thema Netzwerke betreibe ich drei IP Kameras der Firma Hikvision. Diese hängen momentan einem managed Switch und werden über PoE mit Strom versorgt. Switch ist über eine weiteres managed Switch verbunden, dieses wiederum an der Fritzbox steckt.
Das funktioniert so weit und ich kann über Tablet/ PC auf die Kameras zugreifen, es befindet sich auch alles im selben IP-Bereich der Fritzbox.
Jetzt würde ich gerne diese Kameras von meinem Netzwerk separieren. Dazu möchte ich eine Firewall zwischen beide Switche schalten und das, welches an die Kameras angeschlossen ist, mit dem WAN Port der Firewall (Zyxel USG-20) verbinden. Der WAN Port der Firewall erhält eine feste IP wie auch das PoE Switch und die Kameras.
Weiterhin bekommt die Firewall im LAN eine feste IP im Bereich der Fritzbox. Ich habe dazu mal ein Diagramm zusammengestellt, welches den gedachten Aufbau visualisieren soll.
Meine Frage kann das so funktionieren oder mache ich einen Denk- bzw. Aufbaufehler?
Danke vorab.
Als Anfänger im Thema Netzwerke betreibe ich drei IP Kameras der Firma Hikvision. Diese hängen momentan einem managed Switch und werden über PoE mit Strom versorgt. Switch ist über eine weiteres managed Switch verbunden, dieses wiederum an der Fritzbox steckt.
Das funktioniert so weit und ich kann über Tablet/ PC auf die Kameras zugreifen, es befindet sich auch alles im selben IP-Bereich der Fritzbox.
Jetzt würde ich gerne diese Kameras von meinem Netzwerk separieren. Dazu möchte ich eine Firewall zwischen beide Switche schalten und das, welches an die Kameras angeschlossen ist, mit dem WAN Port der Firewall (Zyxel USG-20) verbinden. Der WAN Port der Firewall erhält eine feste IP wie auch das PoE Switch und die Kameras.
Weiterhin bekommt die Firewall im LAN eine feste IP im Bereich der Fritzbox. Ich habe dazu mal ein Diagramm zusammengestellt, welches den gedachten Aufbau visualisieren soll.
Meine Frage kann das so funktionieren oder mache ich einen Denk- bzw. Aufbaufehler?
Danke vorab.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1990721439
Url: https://administrator.de/forum/ip-kameras-vom-netzwerk-separieren-jedoch-mit-zugriff-1990721439.html
Ausgedruckt am: 05.05.2025 um 04:05 Uhr
9 Kommentare
Neuester Kommentar
Einfach mal die Suchfunktion benutzen! Das Zauberwort heisst VLANs:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Lesen, verstehen und umsetzen! 😉
Dein Design hat ein großes Manko, denn in das Koppelnetz zw. FritzBox und Firewall gehört in der Regel aus guten Gründen kein Switch!! Ansonsten führt man ein so an sich richtiges Firewall Design ad absurdum und kann die dann auch gleich ganz weglassen! Der Link ist immer ein reiner Punkt zu Punkt Link, also ein simples Patchkabel OHNE Endgeräte dort!
Der Koppelport ist ja für die Firewall der heisse WAN Port also alles böse ist für sie dort und entsprechend stingent sind die Regeln dort. Zudem macht sich auch noch NAT.
Hier kannst du sehen wie so eine Router Kaskade korrekt auszusehen hat! Alle lokalen LAN Segmente befinden sich an der Firewall.
Endgeräte dort im WAN Segment bekommt man also nur unter großen Mühen und mit der Aushebelung aller wichtigen Regeln in das lokale LAN Segment. All das macht dann so ein Firewall Design wie obenn völlig obsolet und sinnfrei.
Dann kannst du sie auch gleich weglassen und ein simples Layer 3 VLAN Konzept mit einem stinknormalen Layer 3 (Routing) VLAN Switch ersetzen wie es in diesem Tutorial beschrieben ist umsetzen. Das wäre dann deutlich zielführender!
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Lesen, verstehen und umsetzen! 😉
Dein Design hat ein großes Manko, denn in das Koppelnetz zw. FritzBox und Firewall gehört in der Regel aus guten Gründen kein Switch!! Ansonsten führt man ein so an sich richtiges Firewall Design ad absurdum und kann die dann auch gleich ganz weglassen! Der Link ist immer ein reiner Punkt zu Punkt Link, also ein simples Patchkabel OHNE Endgeräte dort!
Der Koppelport ist ja für die Firewall der heisse WAN Port also alles böse ist für sie dort und entsprechend stingent sind die Regeln dort. Zudem macht sich auch noch NAT.
Hier kannst du sehen wie so eine Router Kaskade korrekt auszusehen hat! Alle lokalen LAN Segmente befinden sich an der Firewall.
Endgeräte dort im WAN Segment bekommt man also nur unter großen Mühen und mit der Aushebelung aller wichtigen Regeln in das lokale LAN Segment. All das macht dann so ein Firewall Design wie obenn völlig obsolet und sinnfrei.
Dann kannst du sie auch gleich weglassen und ein simples Layer 3 VLAN Konzept mit einem stinknormalen Layer 3 (Routing) VLAN Switch ersetzen wie es in diesem Tutorial beschrieben ist umsetzen. Das wäre dann deutlich zielführender!
2
Erstmal vielen Dank.
Eine Kaskade wäre es nicht direkt, da LAN Fritzbox mit LAN Firewall verbunden wäre, nicht mit dem WAN, nach meinem Verständnis. Das Switch hinter der Fritzbox hatte ich, weil ich dort u. a. für ein Gerät PoE benötige (handelt sich auch um ein PoE, hatte ich nur nicht eingezeichnet, weil ich es für meinen Versuchsaufbau für nicht relevant hielt) und um die Fritzbox von dieser Aufgabe zu entlasten. Habe den Eindruck, das Netzwerk läuft dadurch "geschmierter". Natürlich könnte ich auch die LAN Ports der Firewall nutzen, müsste mir dann für das PoE Gerät etwas ausdenken. Dann würden Fritzbox und Firewall quasi "Rücken an Rücken" stehen.
Dadurch, dass ich mithilfe dieses Forums eine andere Firewall so zum Laufen bekommen habe, dass ich Zugriff auf die Geräte davor (WAN Port) und Internet für den PC dahinter hatte, war mein Gedanke, dass könnte so ähnlich auch mit den IP Kameras funktionieren.
Mit VLANS hatte ich noch gar nichts zu tun und über reine Layer 3 Switches verfüge ich nicht. Layer 3 ist, wenn ich das richtig verstanden habe, die Routingfähigkeit?
Hm, einfacher Gedanke, aber doch nicht richtig...
Eine Kaskade wäre es nicht direkt, da LAN Fritzbox mit LAN Firewall verbunden wäre, nicht mit dem WAN, nach meinem Verständnis. Das Switch hinter der Fritzbox hatte ich, weil ich dort u. a. für ein Gerät PoE benötige (handelt sich auch um ein PoE, hatte ich nur nicht eingezeichnet, weil ich es für meinen Versuchsaufbau für nicht relevant hielt) und um die Fritzbox von dieser Aufgabe zu entlasten. Habe den Eindruck, das Netzwerk läuft dadurch "geschmierter". Natürlich könnte ich auch die LAN Ports der Firewall nutzen, müsste mir dann für das PoE Gerät etwas ausdenken. Dann würden Fritzbox und Firewall quasi "Rücken an Rücken" stehen.
Dadurch, dass ich mithilfe dieses Forums eine andere Firewall so zum Laufen bekommen habe, dass ich Zugriff auf die Geräte davor (WAN Port) und Internet für den PC dahinter hatte, war mein Gedanke, dass könnte so ähnlich auch mit den IP Kameras funktionieren.
Mit VLANS hatte ich noch gar nichts zu tun und über reine Layer 3 Switches verfüge ich nicht. Layer 3 ist, wenn ich das richtig verstanden habe, die Routingfähigkeit?
Hm, einfacher Gedanke, aber doch nicht richtig...
da LAN Fritzbox mit LAN Firewall verbunden wäre
Das wäre noch größerer Blödsinn vom Design und führt nur noch mehr so ein FW Konzept ad absurdum. Dann kannst du sie auch gleich weglassen, sie ist ja dann eh nur ein dummer, überflüssiger Durchlauferhitzer. Aber egal...1
Also wäre ein VLAN geeigneter Deiner Ansicht nach? Um dann auf die Kameras zuzugreifen, bräuchte ich ein routingfähiges Gerät, also z. B. den genannten Layer 3 fähigen Switch, korrekt?
Also Geräte sowas wie ein:
Cisco-CBS250-8T-D oder Netgear GS110TPv3? Leider habe ich z. Zt. nur Layer 2 fähige Switche hier liegen.
Ich hoffe, wir reden nicht aneinander vorbei. Ich möchte mein Netzwerk von den Kameras derart trennen, dass die Kameras vor der Firewall am WAN-Port angeschlossen sind, nicht die Firewall über WAN hinter die Fritzbox, die verfügt selbst über eine integrierte. Nur eben mit Zugriff auf die Kameras, sonst macht es keinen Sinn.
Wenn das besser mittels VLAN funktioniert, jedoch ein Layer 3 Switch notwendig ist, müsste ich mich nach solch einem Gerät noch umsehen, da die Fritzbox bedauerlicherweise nicht richtig VLAN beherrscht.
Sorry, sollte ich gerade schwer von Kapee sein...
Also Geräte sowas wie ein:
Cisco-CBS250-8T-D oder Netgear GS110TPv3? Leider habe ich z. Zt. nur Layer 2 fähige Switche hier liegen.
Zitat von @aqui:
da LAN Fritzbox mit LAN Firewall verbunden wäre
Das wäre noch größerer Blödsinn vom Design und führt nur noch mehr so ein FW Konzept ad absurdum.Ich hoffe, wir reden nicht aneinander vorbei. Ich möchte mein Netzwerk von den Kameras derart trennen, dass die Kameras vor der Firewall am WAN-Port angeschlossen sind, nicht die Firewall über WAN hinter die Fritzbox, die verfügt selbst über eine integrierte. Nur eben mit Zugriff auf die Kameras, sonst macht es keinen Sinn.
Wenn das besser mittels VLAN funktioniert, jedoch ein Layer 3 Switch notwendig ist, müsste ich mich nach solch einem Gerät noch umsehen, da die Fritzbox bedauerlicherweise nicht richtig VLAN beherrscht.
Sorry, sollte ich gerade schwer von Kapee sein...
Nach einigem Hin- und Herüberlegen bin ich mittlerweile an dem Punkt, an dem ich einen ausgedienten Draytekrouter dafür heranziehen möchte. Der kann den Switch ersetzen, VLAN und routen, da hätte ich dann alles in einem und müsste mir nicht noch neue Hardware besorgen.
DER Switch ist ein Mann!! 🧐
https://de.wiktionary.org/wiki/Switch
Wenn es das denn war:
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen!
https://de.wiktionary.org/wiki/Switch
Wenn es das denn war:
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen!
Hm, kann der/ die/ das nicht jetzt auch einmal im Jahr wählen, wie es sich fühlt?
;)
"Zur Lizenzfrage: die deutsche Rechtschreibung ist Freeware, jeder darf sie nutzen. Sie ist aber NICHT OpenSource, das heißt, der Nutzer darf sie nicht verändern!"
Sagt eigentlich alles, oder?! 😉
Sagt eigentlich alles, oder?! 😉
1
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
