Einbindung einer IP Kamera ins Heimnetz mit eingeschränktem Zugang

[LeiderAnfaenger]

Hallo zusammen,
ich habe eine für mich komplizierte, aber für Euch vielleicht leichte Frage.

Ich habe eine Fritzbox Cable 6690.
An dieser hängen per Lan Kabel 3 weitere Fritzboxen 4060 als Lan Brücke und spannen ein Mesh netzt auf.
Funktioniert alles soweit sehr gut.

Jetzt soll eine IP KAmera eingebunden werden.
Die Kamera hängt im Garten und wird über PoE über einen Switch mit mit Stom versorgt.
Der Switch hängt an einem Fritz Repeater 3000 AX in der Garage.
Der Repeater ist per Wlan Brücke mit einer der 3 Fritzboxen 4060 im Haus verbunden.
Ein Tablet im Mesh netzt greift auf die KAmera zu.
Funktioniert auch.

Jetzt das Problem.
Das Netzwerkkabel der Kamera liegt außerhalb des Hauses.
Nach meinem Verständni kann man das Netzwerkkabel abziehen und ist dann mit einem dort angeschlossenen Client im kompletten Hausnetzt.

Wie kann ich es einrichten, das die Kamera zwar über den Repeater / Wlan Brücke erreichbar ist und auch Internet Zugang hat aber nicht auf das gesamte Netztwerk Zugriff hat.

Der muss keine weiteren Geräten Zugang ermöglichen.

Ggf. ist auch der Repeater nicht die richtige Wahl und da muss ein anderes Geärt, z.B. weitere Router hin der ein zweites Netzwerk aufbaut.
Ich könnte auch den Repeater mit einer der 3 Fritzboxen 4060 tauschen oder andere Hardware ( neuer AP Point) anschaffen, nur möchte ich nicht dass über das außen liegendene Netztwerkabel mit einem beliebigen Client auf das Heimetzt zugegriffen werden kann, jedoch auf die Internetverbindung der Fritzbox 6690.

Ich lese auf was von einer DMZ, bzw. Exposed Host in der Fritzbox? ist das meine Lösung

Ist mein Problem verständlich? Gibt es eine Lösung?

Wie gesagt, neue Hardware / Kosten im Sinne Router/AP etc. wären nicht das Problem, nur bauliche Veränderungen kann ich nicht durchführen.

Vielen Dank und Liebe Grüße.

 

[Engaged]

Auf keinen Fall exposed Host, das ist das genaue Gegenteil, damit lässt du das Gerät ungeschützt ans Internet.

 

[lazsniper]

Exposed Host

exposed bedeutet... hmm?

 

[cubisticanus]

Hm, ginge es eventuell den repeater außer Haus via Gast-Wifi an die Fritzbox anzubinden? Dann kannst du wenigstens diverse Dienste sperren. Inwieweit das dann so sicher ist, dass niemand mit Erfahrung im Hausnetz Unfug treiben kann, weiß ich nicht. Alles andere braucht wohl ein VLAN & Co.

 

[Engaged]

Jo dann wäre das aber aus dem Mesh raus, muss dann gezielt ins Gast WLAN.
Weiß ja nicht ob das Gerät auch für Abdeckung draußen benötigt wird oder nur als repeater für die Kamera.
Client Isolation muss dann aus, Tablet auch ins Gast WLAN, und falls das noch Sache im Internet machen soll gegebenenfalls HTTP erlauben für Gast WLAN, sonst gehen nicht mal handyspiele.

 

[cubisticanus]

Klar, aber je nach Kenntnisstand hat man mit einem VLAN sagen wir mal ähnliche Probleme ... . Aber da keine anderen Geräte über die Hardware draußen versorgt werden ... .

Vielleicht wäre es aber am besten, die Repeater, Switch, Kamera und das Kabel so zu verbauen, dass es nicht einfach jedem zugänglich ist? Wenn man die IP-Kamera einfach außer Gefecht setzen kann, indem man ein herumbaumendes Kabel zieht, na ja, wie viel Sicherheit bringt das?

 

[hildefeuer]

Beim WLAN kann man die Clients ja auf bekannte Clients beschränken. Das würde ich mal versuchen. Ob das dann auch auf die per LAN am Repeater angeschlossenen Clients wirkt, ist zu testen.
Wenn an der Camera eine Witterungsschutzklappe ist, die verschraubt ist. Dann würde ich die Schrauben tauschen gegen was exotisches. Torx mit Mittelpin z. B.

 

[Engaged]

Solange die MAC-Adresse am repeater, switch oder der Kamera nicht einsehbar ist, sonst ists auch wieder für die Katz. 😅

 

[LeiderAnfaenger]

Jo dann wäre das aber aus dem Mesh raus, muss dann gezielt ins Gast WLAN.
Weiß ja nicht ob das Gerät auch für Abdeckung draußen benötigt wird oder nur als repeater für die Kamera.
Client Isolation muss dann aus, Tablet auch ins Gast WLAN, und falls das noch Sache im Internet machen soll gegebenenfalls HTTP erlauben für Gast WLAN, sonst gehen nicht mal handyspiele.

Der Repeater draußen muss nichts weiter versorgen.
Der Repeater ist nur ein AP es könnte auch jeder andere AP verwendet werden.
Das mit dem Gastnetzwerk in das sich der AP einloggt geht ja insofern nicht, als dass dann alle Clients die auf die Kamera wollen auch in das Gastnetzwerk rein müssten, oder? Die sind aber alle im eigentlichen Lan Netz.

Das Kabel kann nicht einfach abgezogen werden, aber auch eine Leiter und KAmera aufschrauben und ans Kabel kann mehr oder weniger jeder...

Wenn ich irgendwo eine Kamera sehe, deren Kabel abziehe und meinen Rechner anschließe bin ich doch auch nicht gleich im kompletten dahinter liegenden Netz, das muss doch abtrennbar sein, also ein Zweiter Router an die Stelle des Repeaters?

Ergänzung (10. März 2024)

Solange die MAC-Adresse am repeater, switch oder der Kamera nicht einsehbar ist, sonst ists auch wieder für die Katz. 😅

So habe ich es auch verstanden, wenn ich die habe und mich als solche "ausgebe", bin ich doch auch drin, oder nicht...

 

[Engaged]

Ja und ja, wenn du dich nur lokal aufschalten willst musst das jeweilige Tablet auch leider mit ins Gast WLAN.

Und mit geklonter MAC-Adresse kann man sich in wenigen Sekunden als z.b die Kamera ausgeben.

 

[LeiderAnfaenger]

Schon mal Vielen Dank, dann habe ich es wenigstens begriffen.

Jetzt die Preisfrange, wie kann ich das Problem lösen? Gar nicht?

Also die Kamera an einen eigenen Router in der Garage mit eigenem Netz von dem sie eine IP Adresse bekommt, die nicht im Heimnetz ist?
Und den Router dann wiederum mit samt seinem eigenen Netzt im Heimnetzt bringen? Oder bringt die Zwischenschritt gar nichts?

 

[cubisticanus]

Das Kabel kann nicht einfach abgezogen werden, aber auch eine Leiter und KAmera aufschrauben und ans Kabel kann mehr oder weniger jeder...

Wenn das der Fall ist, dann hast du ganz andere Probleme, würde ich sagen ...

Wenn ich irgendwo eine Kamera sehe, deren Kabel abziehe und meinen Rechner anschließe bin ich doch auch nicht gleich im kompletten dahinter liegenden Netz

Meine Vermutung: in 95 bis 99 Prozent der Fälle, wo Privatleute irgendwo Kameras per Ethernet versorgen, wird das so sein ... .

In den allerseltensten Fällen machen die ein eigenes https://de.m.wikipedia.org/wiki/Virtual_Local_Area_Network für die Kamera, jede Wette.

Daher ist manchmal reines WLAN praktisch sicherer ...

 

[Engaged]

Daher ist manchmal reines WLAN praktisch sicherer ...

Darüber wird doch unter News zu solchen Geräten immer gesagt dass James Bond bei einem einbrechen kommt mit einem Jammer! 🫣

(Habe aber selber auch Kameras die WLAN nutzen)

 

[cubisticanus]

Na, wenn die Kamera cloudbasiert ist, dann braucht es nicht einmal James Bond, um das eigene Netz oder die Privatsphäre maximal zu kompromittieren, oder?

 

[chrigu]

Billigste Lösung: Kamera so montieren, damit niemand ohne Leiter hinkommt.
vorhandene Lösung mit Nebeneffekt: die Kamera in das gastnetz stellen, so wird getrennt. Leider bekommst du selber so nur im gastnetz Zugang zu den Kameras.
teure Lösung ohne wenn und aber: vlan fähige Geräte kaufen, angefangen vom Router (z.b. vigor, tp-link), einen vlan fähigen Switch (Smart) und den wlan Repeater tauschen gegen ein poe switch inkl. Legen von kabel

 

[norKoeri]

LAN-Kamera

PoE-Switch

Welche Produkte (Hersteller, Modell) sind das? Und wieviele Kameras insgesamt?

1. Wenn die Anbringungshöhe der Außen-Dose nicht ausreicht,
2. wenn Heißkleber an der Dose nicht ausreicht,
3. wenn ein Kasten um die Dose herum nicht ausreicht,
4. wenn die MAC-basierte Zugangskontrolle (manche Switch-Hersteller nennen das „Port Security“) nicht ausreicht,
5. dann löst man das mit einer Port-basierten Zugangskontrolle (802.1X über Radius, z. B. FreeRADIUS).

Zu Letzterem hatte ich einiges im Forum schon geschrieben. Die Kamera muss lediglich EAP-MD5 unterstützen. Und der Switch muss 802.1X unterstützen … Nicht vom Preis abschrecken lassen, gebraucht bekommst Du die erheblich günstiger. Wenn Du eine konkrete Kauf-Empfehlung brauchst, einfach sagen. Am Ende brauchst Du noch einen kleinem Heim-Server mit FreeRADIUS.