Netzwerkunterteilung und VPN Zugriff

Dabei seit
Dez. 2017
Beiträge
2
#1
Hallo zusammen,

ich möchte mir gerne zu Hause eine Kameraüberwachung aufbauen, diese aber von dem Privatnetz trennen, trotzdem aber von außen beide Netzwerke per VPN erreichen können.
Folgende Punkte möchte ich gerne erreichen / berücksichtigen:
  1. Die Kameras selber sollen per LAN Kabel angebunden werden. (deswegen eigene Router bis zu dem Ort, an dem ich die Kameras per LAN Kabel verbinden kann z.B. am Gartenhaus)
  2. Schützen des privaten Netzes vor dem Kameranetz. Es soll mit dem Kamera-LAN nicht in das Privat-LAN zugegriffen werden können, falls jemand das LAN Kabel nutzt, welches über die Kameras von außerhalb des Hauses zugänglich wäre)
  3. Zugriff aus Privat- in das Kamera-Netz soll möglich sein (z.B. zur Konfiguration der Geräte und Abruf der Aufzeichnungen)
  4. Eine VPN Verbindung von außen (z.B. vom Handy aus zum Kamaranetz soll möglich sein, um von unterwegs auch auf Kamera zugreifen zu können. (ich möchte in so einem Fall aber bewusst eine VPn Verbindung zum Router aufbauen).
  5. Eine VPN Verbindung in das Privatnetz soll möglich sein, da hier u.a. die Hausautomatisierung läuft, die ich aus von außen per Handy erreichen möchte, um z.B. Die Heizung zu schalten.

Anbei einmal eine Zeichnung, wie ich es mir bisher zusammengedacht habe.
  • Würde das eurer Meinung so funktionieren?
  • Ist es so sinnvoll, oder mache ich an bestimmten Stellen einen Fehler?
  • Wie müsste ich dann eine VPN Verbindung aufbauen, um a ) auf die DMZ Geräte zuzugreifen (ich möchte keine Internetports-freischalten)
  • Wie kann ich eine VPN Verbindung in das Privatnetz aufbauen, um z.B. den smarthome-Server (iobroker) zu erreichen

heutiger Aufbau
heute_v01.JPG


künftig gedachter Aufbau
Zukunft_v02.JPG


Vielen Dank schon einmal für eure Hilfe

Gruß
Matthias
 

Anhänge

Zuletzt bearbeitet:

Raijin

Vice Admiral
Dabei seit
Nov. 2007
Beiträge
6.900
#2
Wenn du einen Router als AP nutzt, dann schreib das bitte auch dran. Normalerweise routet ein Router, Punkt, aus. Wenn er als AP läuft, routet er nicht, weil der WAN-Port gar nicht benutzt wird. Das ist entscheidend, wenn man sich deine Zeichnung anschaut.. Außerdem ist es immer sinnvoll, auch die Gerätebezeichnungen mit anzugeben. "Internet-Router" kann von einer Fritzbox mit relativ guter Ausstattung bis hin zum letzten China-Rotz mit/ohne garnix so ziemlich alles sein.

Handelsübliche 08/15 Router wie Fritzbox und Co können nicht zwischen mehreren Subnetzen routen bzw. sie durch Firewall trennen. Dazu benötigst du einen fortgeschrittenen bzw. vollwertigen Router, wie zB einen EdgeRouter, MikroTik, o.ä. Unter Umständen reicht auch ein OpenWRT bzw. DD-WRT Router aus.

An diesen Routern definierst du einfach Port 0 als WAN (Richtung Internet-Router), Port 1 als Privat und Port 2 als Kamera-Netzwerk. Die Firewall regelt den Zugriff untereinander. Je nachdem kann dieser LAN-Router als VPN-Server dienen oder auch der Internet-Router - was auch immer das für einer ist.

*edit
Übrigens: Wenn du neben der Kamera noch einen AP aufstellst, der eben auch dein "Haupt-WLAN" verteilen soll, kannst du die Verkabelung mit VLANs auch doppelt belegen. Dazu brauchst du allerdings VLAN-fähige Switches bzw. APs, etc..
 
Zuletzt bearbeitet:

mse1971

Newbie
Ersteller dieses Themas
Dabei seit
Dez. 2017
Beiträge
2
#3
Hallo Raijin,

danke für den Hinweis, ich habe die Anpassungen im Bild durchgeführt. Ich bin mit den Begriffen nicht so fit und habe leider auch nur ein Anfängerwissen - insofern bitte nicht böse nehmen, wenn ich irgendwo die falschen Begriffe nutze.
Ich habe im Startpost auch mal ein Bild zugefügt, wie heute die Welt bei mir aussieht, und wie ich es mir künftig vorstelle.

Wenn ich Deine Hinweise richtig verstehe, benötige ich künftig für den Router zum Internet eine andere Lösung als die vorhandene Fritzbox (eben eines der von Dir genannten Geräte). Damit könnte ich doch dann den Access Point im EG vermeiden, da dies dann der neue Router wäre, oder. Da würde ich ja an einer Leitung das private Netz anfangen, an einer anderen dann das Kameranetz.

- könnte ich von diesem Router aus auch das WLAN für den Privatbereich nutzen?

Hier mal ein Bild, wie ich es verstanden habe - unter der Annahme, das der Router auch als WLAN und DECT Server im Privatnetz agieren kann. Wenn das nicht geht, müsste ich wohl doch noch eine Fritzbox dazwischen schalten.

Zukunft_v03_VLAN.JPG

passt das soweit?
 

Anhänge

Zuletzt bearbeitet:

Raijin

Vice Admiral
Dabei seit
Nov. 2007
Beiträge
6.900
#4
Jein. Ein EdgeRouter ist ein semiprofessioneller Netzwerk-Router, der im Prinzip keine Ahnung vom Internet hat - für ihn ist das einfach ein weiteres Netzwerk (das natürlich entsprechend gefirewallt wird). Heißt im Klartext: Du brauchst trotzdem noch ein Modem, das zB die DSL-Verbindung herstellt, Kabel-Internet oder was auch immer.

Es wäre also so:

FBox --- (lan0) EdgeRouter (lan1 / 2) === Wohnung (lan1) / Kameras (lan2)

Sofern Wohnung und Kameras tatsächlich physikalisch getrennt sind, also ihre eigenen Kabel, Switches, etc haben, kann das so bleiben. Wenn du aber zB aufgrund der WLAN-Versorgung direkt neben der Kamera einen WLAN-AP für die Wohnung setzt und deswegen zwei LAN-Kabel parallel legen musst (eins für ER<->WohnungsAP und eins für ER<->Kameras), könntest du mit VLANs arbeiten und so ein Kabel für beides nutzen. So könntest du beispielsweise eine weitere Kamera auch in der Wohnung anklemmen, die trotzdem im Kamera-Netz wäre obwohl sie am selben Switch hängt wie dein PC. Allerdings setzt das VLAN-fähige Switches und Access Points voraus, 08/15 Hardware hat keine Ahnung von VLANs.

Sofern dein Plan mit der separaten Verkabelung aber ok ist und du zB keine Kamera in der Wohnung hast bzw. Wohnungs-WLAN neben den Kameras, kannst du es auch ohne VLANs machen. Heißt: In deinem Bild sind die VLANs im Prinzip ganz normale LANs. Jedes davon bekommt im EdgeRouter/MikroTik/OpenWRT einen eigenen IP-Bereich nebst DHCP-Server, Firewall und Co.

Übrigens: Ein EdgeRouter hat kein WLAN. Das müsstest du über einen separaten Access Point hinzufügen. Alternativ gibt es MikroTiks (anderer Hersteller), die im Prinzip über dieselben LAN-Router-Fähigkeiten verfügen, aber zusätzlich auch WLAN haben. Mit MikroTiks kenne ich mich allerdings nicht aus, kann dir da also keine Empfehlung bzw. Hilfestellung geben. Es gibt aber MikroTik-Nutzer hier im Forum.
 
Zuletzt bearbeitet:
Top