2 "getrennte" Netze für Netzwerkcams aber doch Zugriff

[RobDust]

Hallo,

wir möchten gerne draußen auserhalb des Gebäudes Netzwerkameras aufhängen und diese mit unseren PCs aufnehmen und einloggen. Testweise haben wir das Netz schon aufgebaut, und es funktioniert auch alles. Nun haben wir aber bedenken, dass jemand sich den Netzwerkkabeln draußen bemächtigt und so Zugriff auf unser internes Netzwerk bekommt. Immerhin hängen die Netzwerkkameras am selben Switch wie die PCs (damit die PCs die Cams auch sehen). Wie kann man nun am besten die Netze Netz1 Cams und internet Netzwerk2 so trennen, dass ich mit den PCs drauf gucken kann, aber nicht andersherum?

[StefanWe]

Häng eine Firewall dazwischen und Route.

Und leg die Firewall Regeln so an, das nur bestimmte PCs Zugriff haben und auch nur bestimmte Dienste(Ports)

[RobDust]

okay jetzt habe ich einen zweiten Firewall Router an den primären Router drangehangen.
Der Primäre Router hängt am zweiten Router am WAN Port. Nun hab ich genau das gegenteil erreicht... ich komm hinterm Netz vom zweiten Router ins erste. aber nicht umgekehrt...
Bitte nochmal um schnelle Hilfe :-)

[zahni]

Die richtige Variante wäre das technische LAN strickt vom übrigen Netz zu trennen.
Also ein 2. Switch und getrennte PC's .

[RobDust]

ja das war auch meine erste idee :-)

Leider möchte der Chef halt von seinem PC in das andere LAN "reingucken" halt auf die cams einloggen können.

[lefg]

Zitat von RobDust okay jetzt habe ich einen zweiten Firewall Router an den primären Router drangehangen. Der Primäre Router hängt am zweiten Router am WAN Port. Nun hab ich genau das gegenteil erreicht... ich komm hinterm Netz vom zweiten Router ins erste. aber nicht umgekehrt... Bitte nochmal um schnelle Hilfe :-)

Warum das aber so in Verbindung mit dem InetRouter?

Ist es denn nicht möglich, den Router, die Firewall zwischen CamNet und WorkNet zu stellen?

[manitou]

Zitat von RobDust okay jetzt habe ich einen zweiten Firewall Router an den primären Router drangehangen. Der Primäre Router hängt am zweiten Router am WAN Port. Nun hab ich genau das gegenteil erreicht... ich komm hinterm Netz vom zweiten Router ins erste. aber nicht umgekehrt... Bitte nochmal um schnelle Hilfe :-)

Meiner Meinung nach, gehört der WAN-Port des zweiten Routers an das Kamera-LAN und der LAN-Port an einen LAN-Port des ersten Routers oder einen Switch-Port des internen Netzwerks.
So kann vom internen Netzwerk (mit den richtigen Routing-Einträgen auf dem PCs) auf die Netzwerkkameras zugegriffen werden, umgekehrt kann man aber vom Kameranetzwerk nicht auf das interne Netzwerk zugreifen. Normale Router habe ja als Standardregel ALLOW ALL von LAN zu WAN, aber DENY ALL von WAN zu LAN.

[PadawanDeluXe]

Hey RobDust,
um welchen Typ von Router handelt es sich denn? Ggfs. könnte man ja hingehen und den Router neu flashen um so die Standardregeln definieren zu können. Alles was sich so Linksys oder US Robotics schimpft kann das eig. schon von Haus aus, ... aber so würdest du erst einmal eine Lösung für dein Problem haben! Ansonsten stelle die Cams mit dem "Cam-Server" doch in die ZDM dort hast du doch eh eine Firewall und dann müsstest du nur die Ports freigeben. Gib uns doch bitte mal ein paar Auskünfte zu deinem aktuellen IST-Netz!

[RobDust]

Hallo,

@
""Meiner Meinung nach, gehört der WAN-Port des zweiten Routers an das Kamera-LAN und der LAN-Port an einen LAN-Port des ersten Routers oder einen Switch-Port des internen Netzwerks.
""

Daran habe ich auch schon gedacht und es probiert... Klingt erst mal logisch. Kann ja aber erst mal nicht klappen wenn Router 1 der DNS meines PC´s ist.
Dann kennt er zwar den Router und das Internet hinter seinem WAN Port. Aber nicht die Geräte (Cams) hinter dem WAN Port des zweiten Routers. Woher auch? Du sagst:
mit den richtigen Routing-Einträgen auf dem PCs--- Das ist glaub ich was mir noch fehlt?
Kannst du das mal im konkretem Beispiel erläutern?
Der erste Router hat die 192.168.0.1 an allen Lan Ports. der zweite hat 192.168.0.2 am WAN und 192.168.100.1 an den Lan Ports. die Cams (192.168.100.200-202)

Wir verwenden 2 Netgear Router . 1) netgear FVS318 und der fürs Cam-Netz ist bisher ein netgear RP614 (nichts besonderes) Kann aber auch gerne ausgetauscht werden.

[manitou]

Mit dem Eintrag

route ADD 192.168.100.0 MASK 255.255.255.0 192.168.0.2

sorgst du dafür, dass alle Anfragen an Hosts mit einer IP von 192.168.100.1 bis 192.168.100.254 an den Router mit der IP 192.168.0.2 gehen. Grundsätzlich könnte man das natürlich mit der Subnetmask auch weiter einschränken, würde ich aber nicht machen, da es wohl schnell mal zu Verwirrung bei einer späteren Fehlersuche führt.

Mit dem Befehl

route PRINT

kannst du das ganze dann überprüfen.

Solltest du einen Eintrag ändern oder löschen wollen, so nimmst du

route DELETE 192.168.100.0

oder

route CHANGE 192.168.100.0 MASK 255.255.255.0 192.168.0.2

Je nach Router kann man diese Einträge auch direkt im ersten Router machen, so das er dann die Weiterleitung an den zweiten Router macht. Da aber nicht alle PCs auf die Kameras zugreifen müssen/sollen, ist es wohl einfacher, dies mit den manuellen Einträgen auf den einzelnen PCs zu machen.

Dafür musst du dann aber den zweiten Router mit fixen IP-Adressen konfigurieren und umbedingt seinen DHCP-Server abschalten, damit nicht zwei DHCP-Server gleichzeitig aktiv sind.
WAN-seitig würde ich dann (und darauf ist auch der obige Befehl ausgelegt) 192.168.100.1 wählen und LAN-seitig wie bisher 192.168.0.2