Kommunikation und Sichtbarkeit zwischen Hauptnetz und einem Subnetz

681
Roberto Milani

Ich denke darüber nach, wie ich ein kleines Heimvideoüberwachungssystem strukturieren kann.

In meinem Haus habe ich eigentlich nur ein Gateway / ADSL-Modem / Router mit folgender Einstellung:

ADSL-Modem / Gateway-IP: 192.168.7.1

Subnetzmaske konfiguriert: 255.255.255.0

DHCP aktiviert: Start-IP: 192.168.7.2, Ende-IP: 192.168.7.200

Ich plane, ein Subnetz zu schaffen, das einen neuen Router kauft, an den ich einige Outdoor-IP-Kameras von Ethrnet anschließen möchte.

Alle diese IP-Kameras zeichnen Videos auf einem bestimmten NAS im Subnetz auf.

Ich habe einige Zweifel an der Konfiguration, die ich vornehmen muss, um diese Funktionen zu erhalten:

  • Ich möchte vom Hauptnetzwerk aus alle Clients des Subnetzes sehen (alle IP-Kameras + NAS)
  • Das Subnetz hat keinen Internetzugang und kann keine Clients des Hauptnetzwerks sehen

Ich habe keine Probleme beim Installieren / Kaufen neuer Hardwarekomponenten, um die angegebenen Funktionen zu erreichen. Das Hauptziel besteht darin, die Sichtbarkeit zwischen Hauptnetz und Subnetz zu gewährleisten.

In ein paar Wochen muss ich auch mein Haupt-Gateway wechseln (aufgrund der Migration von ADSL zu VDSL / FTTC) und ich werde mir eine FritzBox kaufen. Kann mir die Änderung des Haupt-Gateways eine gültige Lösung für mein Problem bieten?

Vielen Dank im Voraus für Ihre Hilfe.

1
Ich bin nicht sicher über Fritzbox, aber mit einem Fortigate 60E können Sie Ihr WAN verbinden und 2 Netzwerke mit VLAN erstellen. Sie müssen dann Firewall-Regeln konfigurieren, um den Zugriff in bestimmte Richtungen zuzulassen / zu verweigern. Wenn die Fritzbox dies unterstützt, können Sie das hier auch tun. CustomX vor 6 Jahren 0
Danke für die Antwort! Ich habe schnell einige Spezifikationen über die FritzBox gelesen und erlaubt keine VLANs :( Ist eine Firewall zwingend erforderlich, oder muss ich nur mein LAN und ein Subnetz richtig einrichten, um meine Ziele zu erreichen? Roberto Milani vor 6 Jahren 0
Nun, ich weiß, dass Sie dies mit einer kleinen Firewall erreichen können. Technisch können Sie dasselbe mit einem Router tun, aber bei einer Firewall handelt es sich um Richtlinien ;-) CustomX vor 6 Jahren 1

3 Antworten auf die Frage

1
t4u51f
  1. Kaufen Sie einen anderen Router wie Sie sagten und konfigurieren Sie ein anderes IP-Set für LAN:

zB IP: 192.168.1.1 Subnetzmaske: 255.255.255.0

  1. Konfigurieren Sie die statische externe IP-Adresse des neuen Routers, z. B. 192.168.7.222

  2. Blockieren Sie den Internetzugang für 192.168.7.222 an Ihrem Modem / ersten Router

1) Ich mache einige Tests mit einem Linksys E3000 als zweiten Router. Ich habe es mit IP 192.168.1.1 eingestellt, wie du gesagt hast. 2) In meinem Hauptrouter habe ich IP 192.168.7.222 (mit Adressreservierungsfunktion) für die MAC-Adresse des zweiten Routers eingestellt, und von allen Clients des Hauptnetzwerks kann ich jetzt auf das Web-Interface des zweiten Routers zugreifen. 3) erledigt und funktioniert :) Vom Hauptnetz kann ich mit dem LAN-Segment 192.168.1.x immer noch nicht erreichen. Beispiel: Ping von einem PC (192.168.7.3) an eine IP-Kamera (192.168.1.10) -> Zeitüberschreitung der Anforderung. Roberto Milani vor 6 Jahren 0
Um das Problem zu beheben, versuche ich, statische Routen zu verwenden, und ich habe versucht, eine statische Route im Hauptrouter auf diese Weise festzulegen: https://ibb.co/eaR0dU (Ziel-IP-Adresse: 192.168.1.0, Subnet Mask: 255.255.255.0, Gateway: 192.168.7.222). Ich kann aber immer noch nicht von 192.168.7.3 nach 192.168.1.10 ping. :-( Roberto Milani vor 6 Jahren 0
1
dirkt

Verbinden Sie die Kameras über LAN oder WLAN? Ich nehme LAN für diese Antwort an.

Was Sie brauchen, sind zwei LAN-Segmente, eine Firewall zwischen ihnen und die richtigen Routing-Regeln überall, es sei denn, Ihre Standard-Gateways erledigen das Routing.

Einfachste Einrichtung mit einem einzelnen Router:

 192.168.7.0/24 DSL 192.168.8.0/24 | | | | | | PC --| | |-- Camera |----------- Main ---------| | Router | Laptop --| |-- Camera | | 

Das Konzept eines LAN-Segments unterscheidet sich von einem Router : Normalerweise besteht ein LAN-Segment aus einem Switch, der alle Maschinen verbindet. Ein solcher Switch kann auch Teil eines Routers sein. Ein LAN-Segment kann auch ein WLAN-Zugangspunkt sein. Sie können die LAN-Ports eines einzelnen Routers mit verschiedenen LAN-Segmenten verbinden (wenn Sie dies ordnungsgemäß konfigurieren).

Während eine Fritzbox eine gute Maschine ist, können Sie keine Open-Source-Firmware auf ihr installieren, und es ist nicht einfach, die vorhandene Firmware zu ändern. Bei einer Fritzbox brauchst du also einen dedizierten zweiten Router als Firewall:

 192.168.7.0/24 DSL 192.168.8.0/24 | | | | | | PC --| | |-- Camera |----------- Main | | Router | Laptop --| |-- Camera | | |--------- Firewall -------| | | 

Die Firewall muss auch als DHCP-Server für das 192.168.8.0/24-Segment fungieren. Jetzt haben Sie das Problem, dass alle Maschinen im Segment 192.168.7.0/24 explizite Routen mit der Firewall als Gateway in das Segment 192.168.8.0/24 benötigen . Sie können Routen per DHCP verteilen, aber auf einer Fritzbox ist dies schwer einzurichten. Eine Problemumgehung besteht darin, den Firewall-Router mit dem DHCP umgehen zu lassen und ihn auf der Fritzbox zu deaktivieren (was die Fritzbox viel weniger nützlich macht).

TL; DR: Sie müssen Firewall-Regeln und DHCP-Routing-Optionen konfigurieren können. Dies kann auf Routern mit Open-Source-Firmware (wie OpenWRT oder DD-WRT) durchgeführt werden, ist jedoch bei Routern mit Consumer-Klasse mit der verfügbaren Firmware oft schwierig.

Wie Sie die erforderlichen Firewall-Regeln usw. genau eingeben, hängt davon ab, mit welcher Hardware und Firmware Sie am Ende arbeiten. Sie müssen auch Netzwerkgrundlagen lernen, um zu verstehen, was Sie tun müssen und warum Sie es tun müssen.

Bearbeiten

Grundlegendes zum Routing: Für jeden Computer, auf dem die Standardroute nicht die richtige Route für dieses bestimmte Ziel ist, muss die Route festgelegt sein. Wenn Sie also 192.168.8. * Von 192.168.7. * Erreichen möchten, muss jeder Computer in 192.168.7. * (Im Bild: "PC", "Laptop") die Route festgelegt haben. Deshalb habe ich erwähnt, dass es gut ist, Routen über DHCP zu verteilen: Auf diese Weise müssen Sie keine statischen Routen von Hand einstellen.

Bleiben wir bei den statischen Routen. Angenommen, "PC" läuft unter Linux und alles ist wie im zweiten Bild verkabelt, und der Firewall / POE-Injektor hat 192.168.7.222.

Stellen Sie dann auf "PC" die statische Route manuell ein (sie wird dauerhaft, wenn alles funktioniert):

ip route add 192.168.8.0/24 cia 192.168.7.222 

Vergewissern Sie sich damit, ip route showdass die Route die richtige Schnittstelle verwendet, und ip route get 192.168.8.1damit alles funktioniert und Sie keine anderen Regeln / Routen haben, die Vorrang haben.

Sie sagten, Sie würden 192.168.7.1 als ersten Sprung beim Tracerouting von "PC" erhalten; Dies ist falsch und sollte nicht passieren, wenn Sie die Route auf "PC" richtig eingestellt haben. Es ist zwar grundsätzlich möglich, die Route nur am Hauptrouter festzulegen, dies ist jedoch ineffizient, es kann zu ICMP REDIRECTMeldungen kommen, die je nach Betriebssystem gehorcht werden können oder nicht, und im Allgemeinen zu lustigen Situationen führen kann, in denen Dinge kaputt gehen.

Wenn Sie 192.168.7.1 als zweiten Sprung nach 192.168.7.222 als ersten Sprung erhalten haben, ist das Routing auf dem zweiten Router / POE falsch.

Danke für deine Antwort! Ich werde Kameras über LAN verbinden. In meinem Fall ist der zweite Router, der das Segment 192.168.8.0 abwickelt, ein POE-Injektor, der auch über eine integrierte verwaltete Firewall verfügt. Nun aus dem Hauptnetz kann ich mit dem LAN-Segment 192.168.8.x immer noch nicht erreichen. Beispiel: Ping von einem PC (192.168.7.3) an eine IP-Kamera (192.168.8.10) -> Zeitüberschreitung der Anforderung. Um das Problem zu beheben, versuche ich, statische Routen zu verwenden, und ich habe versucht, eine statische Route auf diese Weise festzulegen: Ziel-IP 192.168.8.0, Subnetz: 255.255.255.0, Gateway: 192.168.7.222). Aber ich habe immer noch die Zeitüberschreitung der Anfrage :( Roberto Milani vor 6 Jahren 0
Wobei 192.168.7.222 die IP von 192.168.8.1 POE-Injektor ist, gesehen vom Segment 7 meines LAN. Roberto Milani vor 6 Jahren 0
(1) 192.168.8.0 ist keine gültige Adresse im Segment, verwenden Sie eine andere, z. B. 192.168.8.1 (2) Stellen Sie mit `ip route get 192.168.8.1` sicher, dass die statische Route korrekt ist. (3) Vergewissern Sie sich mit `tcpdump`, dass das Ping-Paket über die Schnittstelle ausgegeben wird. (4) Wenn das alles funktioniert, muss es etwas in der Konfiguration der Firewall sein. dirkt vor 6 Jahren 0
Ich habe versucht, all Ihre wertvollen Ratschläge zu befolgen: 1) Ich habe die Ziel-IP-Adresse der statischen Route von 192.168.8.0 auf 192.168.8.1 geändert, aber nichts hat sich geändert. Ich bin nicht vertraut mit statischen Routen: Ich habe nicht verstanden, ob ich als Ziel-IP die IP des gesamten LAN-Segments einstellen muss (zB 192.168.8.0, um den Bereich 192.168.8.1-192.168.8.254 anzugeben) oder nur ein bestimmte IP (und haben eine statische Route für jede IP-Adresse des "Segment 8" LAN, die ich vom "Segment 7" LAN erreichen möchte). 2) Ich habe versucht, ein Tracert von 192.168.8.10 (von 192.168.7.3) auszuführen. Roberto Milani vor 6 Jahren 0
Ein erster Hop erscheint nach 1ms und es ist der Hauptrouter 192.168.7.1, dann wurde die Anforderung abgelaufen und Tracert wird nicht abgeschlossen. Es scheint also, dass der Hauptrouter das Paket nicht an 192.168.7.222 weitergeleitet hat und ich verstehe nicht, ob der Hauptrouter der statischen Route nicht gefolgt ist oder ob der zweite Router das Paket nicht erhalten hat einige Gründe. 3) Ich habe es mit SmartSniff versucht (während des Pings von 192.168.7.3 auf 192.168.8.10) und ich kann das Paket von meiner Netzwerkschnittstelle aus sehen, aber es wird keine Antwort angezeigt. Roberto Milani vor 6 Jahren 0
Ist es richtig zu erwarten, dass der Hauptrouter das Paket empfängt und auf 192.168.7.222 umleitet? 4) Ich habe die eingebettete Firewall des zweiten Routers deaktiviert (für diese Tests verwende ich einen Linksys E3000). Roberto Milani vor 6 Jahren 0
0
TomS

Sie müssen zwei verschiedene Aktionen ausführen:

  • Weiterleitung des Verkehrs zwischen zwei Netzwerken
  • eine Firewall, die den Verkehr zwischen den Netzwerken steuert

Eigentlich gibt es drei verschiedene Netzwerke, wenn wir auch das öffentliche Internet zählen, dies wird jedoch von dem Router erledigt, den Sie bereits haben. Grundsätzlich KÖNNEN Sie eine Fritzbox verwenden, um alle Jobs auszuführen, aber es ist nicht beabsichtigt, diesen Job auszuführen, und es ist einige manuelle Arbeit erforderlich. Es ist auch nicht einfach, die Dinge zu sehen - vor allem, wenn Sie das System mehrere Wochen lang nicht berührt haben ...

Ich würde vorschlagen, dass Sie eine separate Firewall verwenden, die auch Routing-Funktionen bietet. Jeder PC mit mehr als einer Netzwerkkarte kann ein Router sein - dies hängt von seiner Konfiguration ab. Also deine Fritzbox ist definitiv ein Router. Er leitet den Netzwerkverkehr weiter und entscheidet, ob ein Paket an das Internet oder in Ihr lokales Netzwerk gesendet werden soll.

Sie benötigen einen zusätzlichen Router, der an Ihr internes Netzwerk (wo sich Ihre Fritzbox befindet) und an Ihr Videokamera-Überwachungsnetzwerk angeschlossen ist. Die Box sollte daher über zwei Netzwerkkarten verfügen. (Natürlich können Sie dies mit einer Netzwerkkarte und mit VLANs tun, aber ich würde das nicht tun, da dies die Dinge viel mehr kompliziert als nötig macht.)

Sobald beide Netzwerke mit Ihrem Router verbunden sind, sind keine statischen Routen erforderlich, da sowohl das interne Netzwerk als auch das Videonetzwerk bereits bekannt sind. So kann entschieden werden, an welche Netzwerkschnittstelle Netzwerkverkehr gesendet werden soll. (Sie müssen dem Router nur mitteilen, wohin er den anderen Datenverkehr senden soll, dh alle Pakete, die für das Internet bestimmt sind. Dazu wird das Standardgateway verwendet.)

Ihre Fritzbox kennt kein anderes Netzwerk und versucht, die an Ihr Video-LAN gerichteten Pakete an das Internet zu senden (was natürlich nicht funktioniert). Entweder fügen Sie der Fritzbox eine statische Route hinzu, in der Sie aufgefordert werden, alle Pakete für Ihr Video-LAN an Ihren neuen Router zu senden, oder Sie ändern das Standard-Gateway des DHCP-Servers Ihrer Fritzbox auf den neuen Router. (Ich würde die statische Route vorziehen, da in Ihrem internen Netzwerk nicht so viel Verkehr verursacht wird.)

Nun, da das Routing funktionieren sollte, sollten Sie sich um die Firewall kümmern. Sie müssen Richtlinien definieren, welche Geräte in welcher Richtung was tun dürfen. Du machst das mit einer Firewall.

Es gibt sicherlich viele Produkte, die alle gut dafür geeignet sind.

Ich würde wahrscheinlich für diesen Job pfSense verwenden. Dieses Produkt ist kostenlos und bietet viele, viele Optionen. Es ist auch sehr zuverlässig und einfach zu konfigurieren, sobald Sie sich damit vertraut gemacht haben.

Aber vielleicht mögen Sie ein Produkt wie IPFire besser als pfSense, da es einfacher zu konfigurieren ist, aber das liegt bei Ihnen. Ich würde vorschlagen, dass Sie pfSense verwenden.

All dies ist wahrscheinlich der "einfache" Weg. Der "schöne" Weg wäre, alle Netzwerke direkt mit Ihrem Router zu verbinden:

  • Die Internetleitung (direkt die FritzBox an den Router anschließen)
  • das interne Netzwerk
  • das Videonetzwerk

Damit wäre Ihr Router das Zentrum Ihres Netzwerks, in dem Sie alles an einem Ort steuern können. Du brauchst die Fritzbox dann nur noch als DSL-Modem ... Aber das Setup ist etwas komplizierter ;-)

Habe Spaß :-)

Bester Thomas