phoenixz
Goto Top

Zugriff auf fremdes IP-Netz

Hallo zusammen,

ich steh' gerade vollkommen auf dem Schlauch.

Wir betreiben hier in der Firma einen SBS2011 mit Exchange 2010. Der Server läuft im internen IP-Netz 192.168.2.0.

Nun ist unser Vermieter einem Wunsch aller Mieter hier im Haus nachgekommen und hat für die Toreinfahrt eine IP-Kamera installieren lassen. Diese Kamera läuft im hausinternen Netz 192.168.118.0. Eine entsprechende Dose wurde bei uns - und bei allen anderen Mietern - gepatcht. Nun stellt sich die Frage, wie ich es einrichte, dass unsere Clients Zugriff auf dieses 118-Netz haben, ohne die Tore derart aufzuschließen, dass unter Umständen ein anderer Mieter hier im Haus sich Zugriff auf unseren Server verschaffen kann.

Kann mir da jemand auf die Sprünge helfen, wie das am besten konfiguriere? Ich weiß zwar, dass ich jedem Client eine zweite LAN-Karte verpassen könnte, die im 118er-Netz verkehrt, aber das ist doch ziemlich umständlich...

Wäre für jeglichen Hinweis dankbar!

Danke und lG
Pino

Content-ID: 188235

Url: https://administrator.de/forum/zugriff-auf-fremdes-ip-netz-188235.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

bloodstix
bloodstix 18.07.2012 um 17:22:00 Uhr
Goto Top
Da du sehr wenig Ahnung von Netzwerken zu haben scheinst, lass es lieber von einem Fachmann machen, sonst ist euer Netzwerk nicht mehr lange sicher.

Im Prinzip richtest du auf eurem Router/eurer Firewall eine Host-Route zwischen am besten einem (1) Client bei dir und der IP-Kamera. Dann kann reißt du auch keine Tore auf.
nimda65
nimda65 18.07.2012 um 20:09:00 Uhr
Goto Top
Hallo,

wenn bei euch eine Dose gepatcht ist, würde ich vielleicht einen Standalone Rechner für das Netzwerk 192.168.118.0 bereitstellen. So musst du auch nicht an dem Router/ Firewall etwas konfigurieren und bietet für dein Firmennetz die beste Sicherheit.

Ansonsten schließe ich mich der Meinung von bloodstix an.


Gruß
nimda65
Alchimedes
Alchimedes 18.07.2012 um 22:02:17 Uhr
Goto Top
Hallo,

wieso brauchen die Clients Zugriff auf die Kamera?
Was fuer eine Firewall habt ihr am start?
Als Server nur den einen SBS2011? Wie ist der von Außen zu erreichen?
Jedem Client ne 2te Netzwerkarte installieren.... oh je...

Deine Angaben sind ziemlich wage.

Moechtest Du das die Client's Zugriff auf die Kamera haben muss Du die Firewall umbiegen.
Aber da die Kamera wohl nicht via Internet erreichbar ist , sondern wohl nur ueber die vom Vermieter installierte Dose,
stinkt das wie "Hund von hinten" .

Eine Loesung hat da nimda65

Gruss
builder4242
builder4242 18.07.2012 aktualisiert um 23:27:01 Uhr
Goto Top
Hallo,

Wie viele Clients sollen denn auf die Kamera zugreifen?

Hast du einen managebaren Switch?

gruß
notyyy
notyyy 19.07.2012 aktualisiert um 01:59:46 Uhr
Goto Top
Subnetz aller Rechner auf 255.255.0.0 setzen.
MrNetman
MrNetman 19.07.2012 um 08:23:28 Uhr
Goto Top
Zitat von @notyyy:
Subnetz aller Rechner auf 255.255.0.0 setzen.
Bloß nicht - der schlimmste Fehler aller Zeiten.

Aber es fehlen wichtige Informationen, die für eine Hilfe relevant sind.
Wie sind den die Netze bis jetzt verbunden?
Können denn die Router in die privaten Netze routen?
Wie wird der zweifelsfrei vorhandene Internetzugang gehändelt?
Gibt es den ein Netz nur fürs Haus und die Kamera ist Teil davon?
Soll das Hausnetz auch vor dem externen Zugriff geschützt werden?
Gibt es Hausswitche, die VLAN-fähig sind?

Gruß
Netman
builder4242
builder4242 19.07.2012 um 08:40:16 Uhr
Goto Top
Zitat von @notyyy:
Subnetz aller Rechner auf 255.255.0.0 setzen.

Ist bestimmt die "beste" Wahl wenn wir von Sicherheit reden.
aqui
aqui 19.07.2012 aktualisiert um 12:46:30 Uhr
Goto Top
Dieses Tutorial beschreibt dir die einfache Lösung:

Routing von 2 und mehr IP Netzen mit Windows, Linux und Router

Noch sinnvoller aus Sicherheitssicht ist die Verwendung einer kleinen Firewall mit der du dediziert den Zugriff regeln kannst:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät

Wenn du, wie MrNetman oben schreibst entsprechende Switch Infrastruktur hast kannst du es ggf. über VLANs mit 3 Mausklicks lösen.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
notyyy
notyyy 19.07.2012 aktualisiert um 14:11:30 Uhr
Goto Top
Zitat von @builder4242:
> Zitat von @notyyy:
> ----
> Subnetz aller Rechner auf 255.255.0.0 setzen.

Ist bestimmt die "beste" Wahl wenn wir von Sicherheit reden.

Na von dir kam bisher gar kein Vorschlag.

Dass er mittels FW Packete von IP-Adressen verwerfen kann, wird er sicherlich selber wissen.

Ausserdem is mein Vorschlag kostengünstiger als sich eine Handvoll Netzwerkkarten / Managed Switch zu besorgen.
builder4242
builder4242 19.07.2012 um 14:22:24 Uhr
Goto Top
Zitat von @notyyy:

Na von dir kam bisher gar kein Vorschlag.


Ich hab ja auch noch keine Antwort auf meine Frage bekommen
phoenixz
phoenixz 19.07.2012 um 19:21:53 Uhr
Goto Top
Vielen lieben Dank für eure vielen Beiträge.

Hier vielleicht einige Details:
Wir sind 10 Mitarbeiter, die im Schichtbetrieb arbeiten. Somit sollten alle 10 Clients Zugriff auf die IP-Kamera haben (bevor wir die Toreinfahrt öffnen, sollten wir schon wissen, wer da auf den Hof fährt). Die Sache mit dem einen (einzigen) Client im 118er-Netz war mir zwar auch in den Sinn gekommen, bloß müssten wir dann immer aufstehen. Dann könnten wir auch direkt zur Video-Freisprecheinrichtung laufen (jo, ist zwar besser für die Figur, ist aber ne andere Baustelle).

Unser Vermieter hat nun ne ziemlich hochauflösende IP-Kamera verbauen lassen, die er aber von außen (also über das Internet) wegen der befürchteten Datenflut nicht erreichbar machen möchte (muss er ja auch nicht, wenn intern Kabel liegen).

Von der Infrastruktur her hat der Vermieter jede Etage hier im Haus für sich vernetzt. In weiser Voraussicht hat er jedoch jeder Etage eine zusätziche Dose gepatcht, die er für die IP-Kameras verwendet. Nun ist jeder Etage selbst überlassen, ob sie am Kameranetz teilhaben möchte oder nicht.

Wir betreiben den SBS2011 an einem Lancom 1723. Dort habe ich mit meinem wenigen Wissen zwei getrennte Netze eingerichtet, ein internes "sicheres" SBS-Client-Netz (192.168.2.0) und ein für unsere wartenden Kunden frei zugängliches WLAN-Netz (192.168.1.0). Beide Netze wurden hinter dem Lancom physikalisch getrennt, nutzen also unterschiedliche, einfache Switche (unmanaged) und sehen sich demensprechend auch nicht. Dafür sorgt der Lancom.

Nun überlege ich unser eigenes öffentliches WLAN-Netz (192.168.1.0) in 192.168.118.0 umzutaufen. Damit hätte ich zumindest die physikalische Trennung. Bloß müsste ich noch dafür Sorgen, dass die Clients im 2er-Netz auch Zugriff auf das 118er-Netz hätten. Vermutlich wird das über die interne Lancom-FW zu regeln sein. Allerdings finde ich sie ziemlich unübersichtlich.

Ich weiß, dass der Lancom VLAN kann. Ich habe in der Vergangenheit auch ziemlich viel über VLAN gelesen, traue mich da aber nicht so recht ran.

So, ich hoffe, ich konnte ein wenig Licht ins Dunkle bringen...
aqui
aqui 20.07.2012 um 08:58:49 Uhr
Goto Top
Auch das kannst du mit einer kleinen preiswerten Firewall und einem Gäste Hotspot elegant lösen !
Siehe hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und hier:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
und wie man das ganz einfach in eine VLAN Umgebung bringt sagt dir dieses Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern (Beispiel aus der Praxis !)
Damit ist das im Handumdrehen gelöst. Steht ja aber alles oben schon !
nimda65
nimda65 20.07.2012 um 17:29:01 Uhr
Goto Top
Hi Pino,

na wenn du schon so viel über VLAN gelesen hast, versuch es doch jetzt in die Praxis umzusetzen. LANCOM sichern und testen! Besser geht es nicht.Was soll passieren? Sollte es funktionieren sind das wieder ein paar Punkte für Dich. face-wink

Gruß
nimda65