1. #1
    Newbie
    Dabei seit
    Dez 2017
    Beiträge
    2

    Netzwerkunterteilung und VPN Zugriff

    Hallo zusammen,

    ich möchte mir gerne zu Hause eine Kameraüberwachung aufbauen, diese aber von dem Privatnetz trennen, trotzdem aber von außen beide Netzwerke per VPN erreichen können.
    Folgende Punkte möchte ich gerne erreichen / berücksichtigen:
    1. Die Kameras selber sollen per LAN Kabel angebunden werden. (deswegen eigene Router bis zu dem Ort, an dem ich die Kameras per LAN Kabel verbinden kann z.B. am Gartenhaus)
    2. Schützen des privaten Netzes vor dem Kameranetz. Es soll mit dem Kamera-LAN nicht in das Privat-LAN zugegriffen werden können, falls jemand das LAN Kabel nutzt, welches über die Kameras von außerhalb des Hauses zugänglich wäre)
    3. Zugriff aus Privat- in das Kamera-Netz soll möglich sein (z.B. zur Konfiguration der Geräte und Abruf der Aufzeichnungen)
    4. Eine VPN Verbindung von außen (z.B. vom Handy aus zum Kamaranetz soll möglich sein, um von unterwegs auch auf Kamera zugreifen zu können. (ich möchte in so einem Fall aber bewusst eine VPn Verbindung zum Router aufbauen).
    5. Eine VPN Verbindung in das Privatnetz soll möglich sein, da hier u.a. die Hausautomatisierung läuft, die ich aus von außen per Handy erreichen möchte, um z.B. Die Heizung zu schalten.


    Anbei einmal eine Zeichnung, wie ich es mir bisher zusammengedacht habe.
    • Würde das eurer Meinung so funktionieren?
    • Ist es so sinnvoll, oder mache ich an bestimmten Stellen einen Fehler?
    • Wie müsste ich dann eine VPN Verbindung aufbauen, um a ) auf die DMZ Geräte zuzugreifen (ich möchte keine Internetports-freischalten)
    • Wie kann ich eine VPN Verbindung in das Privatnetz aufbauen, um z.B. den smarthome-Server (iobroker) zu erreichen


    heutiger Aufbau
    Klicke auf die Grafik für eine größere Ansicht 

Name:	heute_v01.JPG 
Hits:	13 
Größe:	79,2 KB 
ID:	655318


    künftig gedachter Aufbau
    Klicke auf die Grafik für eine größere Ansicht 

Name:	Zukunft_v02.JPG 
Hits:	12 
Größe:	104,7 KB 
ID:	655319


    Vielen Dank schon einmal für eure Hilfe

    Gruß
    Matthias
    Miniaturansichten angehängter Grafiken Miniaturansichten angehängter Grafiken Klicke auf die Grafik für eine größere Ansicht 

Name:	Unbenannt.JPG 
Hits:	46 
Größe:	78,5 KB 
ID:	655228  
    Geändert von mse1971 (08.12.2017 um 12:09 Uhr)

  2. Anzeige
    Logge dich ein, um diese Anzeige nicht zu sehen.
  3. #2
    Rear Admiral
    Dabei seit
    Nov 2007
    Beiträge
    5.952

    AW: Netzwerkunterteilung und VPN Zugriff

    Wenn du einen Router als AP nutzt, dann schreib das bitte auch dran. Normalerweise routet ein Router, Punkt, aus. Wenn er als AP läuft, routet er nicht, weil der WAN-Port gar nicht benutzt wird. Das ist entscheidend, wenn man sich deine Zeichnung anschaut.. Außerdem ist es immer sinnvoll, auch die Gerätebezeichnungen mit anzugeben. "Internet-Router" kann von einer Fritzbox mit relativ guter Ausstattung bis hin zum letzten China-Rotz mit/ohne garnix so ziemlich alles sein.

    Handelsübliche 08/15 Router wie Fritzbox und Co können nicht zwischen mehreren Subnetzen routen bzw. sie durch Firewall trennen. Dazu benötigst du einen fortgeschrittenen bzw. vollwertigen Router, wie zB einen EdgeRouter, MikroTik, o.ä. Unter Umständen reicht auch ein OpenWRT bzw. DD-WRT Router aus.

    An diesen Routern definierst du einfach Port 0 als WAN (Richtung Internet-Router), Port 1 als Privat und Port 2 als Kamera-Netzwerk. Die Firewall regelt den Zugriff untereinander. Je nachdem kann dieser LAN-Router als VPN-Server dienen oder auch der Internet-Router - was auch immer das für einer ist.

    *edit
    Übrigens: Wenn du neben der Kamera noch einen AP aufstellst, der eben auch dein "Haupt-WLAN" verteilen soll, kannst du die Verkabelung mit VLANs auch doppelt belegen. Dazu brauchst du allerdings VLAN-fähige Switches bzw. APs, etc..
    Geändert von Raijin (07.12.2017 um 19:34 Uhr)
    LAN ist sowieso besser als Netzwerk..

  4. #3
    Newbie
    Ersteller dieses Themas

    Dabei seit
    Dez 2017
    Beiträge
    2

    AW: Netzwerkunterteilung und VPN Zugriff

    Hallo Raijin,

    danke für den Hinweis, ich habe die Anpassungen im Bild durchgeführt. Ich bin mit den Begriffen nicht so fit und habe leider auch nur ein Anfängerwissen - insofern bitte nicht böse nehmen, wenn ich irgendwo die falschen Begriffe nutze.
    Ich habe im Startpost auch mal ein Bild zugefügt, wie heute die Welt bei mir aussieht, und wie ich es mir künftig vorstelle.

    Wenn ich Deine Hinweise richtig verstehe, benötige ich künftig für den Router zum Internet eine andere Lösung als die vorhandene Fritzbox (eben eines der von Dir genannten Geräte). Damit könnte ich doch dann den Access Point im EG vermeiden, da dies dann der neue Router wäre, oder. Da würde ich ja an einer Leitung das private Netz anfangen, an einer anderen dann das Kameranetz.

    - könnte ich von diesem Router aus auch das WLAN für den Privatbereich nutzen?

    Hier mal ein Bild, wie ich es verstanden habe - unter der Annahme, das der Router auch als WLAN und DECT Server im Privatnetz agieren kann. Wenn das nicht geht, müsste ich wohl doch noch eine Fritzbox dazwischen schalten.

    Klicke auf die Grafik für eine größere Ansicht 

Name:	Zukunft_v03_VLAN.JPG 
Hits:	8 
Größe:	93,3 KB 
ID:	655326

    passt das soweit?
    Miniaturansichten angehängter Grafiken Miniaturansichten angehängter Grafiken Klicke auf die Grafik für eine größere Ansicht 

Name:	Zukunft_v03_VLAN.JPG 
Hits:	6 
Größe:	88,2 KB 
ID:	655323  
    Geändert von mse1971 (08.12.2017 um 12:40 Uhr)

  5. #4
    Rear Admiral
    Dabei seit
    Nov 2007
    Beiträge
    5.952

    AW: Netzwerkunterteilung und VPN Zugriff

    Jein. Ein EdgeRouter ist ein semiprofessioneller Netzwerk-Router, der im Prinzip keine Ahnung vom Internet hat - für ihn ist das einfach ein weiteres Netzwerk (das natürlich entsprechend gefirewallt wird). Heißt im Klartext: Du brauchst trotzdem noch ein Modem, das zB die DSL-Verbindung herstellt, Kabel-Internet oder was auch immer.

    Es wäre also so:

    FBox --- (lan0) EdgeRouter (lan1 / 2) === Wohnung (lan1) / Kameras (lan2)

    Sofern Wohnung und Kameras tatsächlich physikalisch getrennt sind, also ihre eigenen Kabel, Switches, etc haben, kann das so bleiben. Wenn du aber zB aufgrund der WLAN-Versorgung direkt neben der Kamera einen WLAN-AP für die Wohnung setzt und deswegen zwei LAN-Kabel parallel legen musst (eins für ER<->WohnungsAP und eins für ER<->Kameras), könntest du mit VLANs arbeiten und so ein Kabel für beides nutzen. So könntest du beispielsweise eine weitere Kamera auch in der Wohnung anklemmen, die trotzdem im Kamera-Netz wäre obwohl sie am selben Switch hängt wie dein PC. Allerdings setzt das VLAN-fähige Switches und Access Points voraus, 08/15 Hardware hat keine Ahnung von VLANs.

    Sofern dein Plan mit der separaten Verkabelung aber ok ist und du zB keine Kamera in der Wohnung hast bzw. Wohnungs-WLAN neben den Kameras, kannst du es auch ohne VLANs machen. Heißt: In deinem Bild sind die VLANs im Prinzip ganz normale LANs. Jedes davon bekommt im EdgeRouter/MikroTik/OpenWRT einen eigenen IP-Bereich nebst DHCP-Server, Firewall und Co.

    Übrigens: Ein EdgeRouter hat kein WLAN. Das müsstest du über einen separaten Access Point hinzufügen. Alternativ gibt es MikroTiks (anderer Hersteller), die im Prinzip über dieselben LAN-Router-Fähigkeiten verfügen, aber zusätzlich auch WLAN haben. Mit MikroTiks kenne ich mich allerdings nicht aus, kann dir da also keine Empfehlung bzw. Hilfestellung geben. Es gibt aber MikroTik-Nutzer hier im Forum.
    Geändert von Raijin (08.12.2017 um 13:36 Uhr)
    LAN ist sowieso besser als Netzwerk..

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Forum-Layout: Feste Breite / Flexible Breite