Outdoor LAN Anschlüsse (Kamera, AP) absichern, nur wie?

[memme]

Hallo zusammen,


ich möchte meine außen liegenden LAN-Anschlüsse absichern und komme dabei nicht wirklich weiter.

Draußen sind 10 Hikvision Kameras und ein UniFi AC Mesh Access Point, die an 3 unmanaged PoE-Switches in wetterfesten Schaltschränken hängen.

Mein Ziel ist es, zu verhindern, dass jemand physisch den LAN-Stecker an den Außenanschlüssen zieht und mit eigenem Gerät Zugang zu meinem Heimnetz bekommt.

---

Mein Netzwerk:

1. Fritzbox 7590 als Router und Internet-Gateway
2. Im Haus normales LAN mit unmanaged Switches auf zwei Etagen
3. UniFi Controller läuft auf einem 24/7 Windows-Server im Heimnetz
4. WLAN mit 3 UniFi AC Lite, getrennt in Gast- und Heimnetz; der Outdoor AP ist im Gast- oder Heimnetz integriert
5. Smart Home (ioBroker + Jarvis auf Ubuntu mini pc) läuft im Heimnetz und braucht Zugriff auf die Kamerastreams
6. Zugriff von außen via Fritzbox WireGuard VPN auf das Smart Home
7. Hikvision Kameras speichern die Video Feeds bei Bewegung auf dem 24/7 Windows-Server

---

Das Smart Home benötigt Zugriff auf mehrere Geräte im Netzwerk, weshalb ich denke, dass es aufwändig wäre, alles in ein eigenes VLAN zu setzen, da dann viele Geräte mit rein müssten.

Ich habe schon viel mit ChatGPT diskutiert und lande oft bei der Empfehlung, ein UniFi Gateway einzusetzen. Allerdings bringt das Probleme mit doppeltem NAT mit sich, und die UniFi Dream Machine kostet mit ca. 400 € auch einiges.

---

Meine Frage:
Was wäre eure Idee, wie ich die Außenanschlüsse und Geräte sicher und möglichst einfach absichern kann, ohne zu viel Komplexität oder Kosten zu verursachen?

Vielen Dank

 

[chr1zZo]

Montagebox an der Kamera wo die Verkabelung drin ist? A-Boxen die verschraubt sind?

Kameras in ein VLAN, und MAC Blocking, dann kann sich jemand anstecken wie er will.

 

[BFF]

Nur bekannte MAC zulassen. Also Whitelist.

 

[JumpingCat]

ein UniFi Gateway einzusetzen. Allerdings bringt das Probleme mit doppeltem NAT

Nein wieso? Das als primärer Router und du hast kein doppeltes NAT aber dafür VLANs.

 

[Sephe]

Nur bekannte MAC zulassen. Also Whitelist.

MAC-Filter sind nutzlos, die kopiere ich in ein paar Sekunden.
Das einzige was wirklich hilft ist VLAN inkl. Routing und Firewall zwischen dem Outdoor-VLAN und dem Hauptnetz.

 

[thom53281]

Meine Frage:
Was wäre eure Idee, wie ich die Außenanschlüsse und Geräte sicher und möglichst einfach absichern kann, ohne zu viel Komplexität oder Kosten zu verursachen?

Definiere "sicher".

Sicherheit kann man ja mittels Zeit grob beschreiben. Wie viel Zeitaufwand möchtest Du einem potentiellen Angreifer ungefähr in den Weg stellen, damit es für Dich als sicher gilt?

Mein Vorschlag: Kamera öffnen und den LAN-Anschluss anders belegen (umlöten). Im Keller das selbe machen. Hält einen Angreifer sicher mehrere Stunden auf. Die Paare sollten allerdings stimmen, aber Polung und welches Paar wo ist, kannst Du beliebig verändern solange Du auf der anderen Seite das selbe machst.

 

[memme]

Nein wieso? Das als primärer Router und du hast kein doppeltes NAT aber dafür VLANs.

Wie genau meinst du das genau?

Definiere "sicher".

Sicherheit kann man ja mittels Zeit grob beschreiben. Wie viel Zeitaufwand möchtest Du einem potentiellen Angreifer ungefähr in den Weg stellen, damit es für Dich als sicher gilt?

Mein Vorschlag: Kamera öffnen und den LAN-Anschluss anders belegen (umlöten). Im Keller das selbe machen. Hält einen Angreifer sicher mehrere Stunden auf. Die Paare sollten allerdings stimmen, aber Polung und welches Paar wo ist, kannst Du beliebig verändern solange Du auf der anderen Seite das selbe machst.

hehe, sehr kreativer vorschlag! Aber doch bisschen zu aufwendig bei 10 cams etc... Vielleicht fällt dir noch was bessere ein?

 

[DJKno]

802.1x, wenn du es richtig machen willst.
Dann muss aber ein neuer Managed Switch her.
Ansonsten hilft nur VLANs und ggf. Irgendwie eine Whitelist.

 

[JumpingCat]

Wie genau meinst du das genau?

Gegenfrage: Wie kommst du auf doppeltes NAT?

 

[DJKno]

Ergänzung:
Ein kleines Monitoring (z.b. PRTG) aufsetzen und eine Alarmmeldung versenden, wenn eine Kamera offline ist und damit potentiell Gefahr besteht.

 

[derchris]

Können die Dinger 802.1X?

 

[memme]

802.1x, wenn du es richtig machen willst.
Dann muss aber ein neuer Managed Switch her.
Ansonsten hilft nur VLANs und ggf. Irgendwie eine Whitelist.

Daszu brauche ich einen Radius server, das geht dann nur mit Dream Machine, oder? Whitelist ist schwer, was will man whitelisten? MAC kanne easy gespoofed werden

Gegenfrage: Wie kommst du auf doppeltes NAT?

• Fritzbox vergibt private IP-Adressen (z. B. 192.168.178.x) an Geräte.
• Dream Machine hängt hinter der Fritzbox und bekommt z. B. 192.168.178.20 zugewiesen.
• Die UDM baut dann selbst nochmal ein eigenes Netzwerk auf (z. B. 192.168.1.x) und macht ebenfalls NAT.
• Dadurch gibt es zwei NAT-Schichten: Internet → Fritzbox NAT → UDM NAT → Endgerät

Ergänzung (9. Juli 2025)

Können die Dinger 802.1X?

Die Cams nicht, der Unifi AP schon

 

[T3Kila]

Ich würde die Kameras an einen kleinen managed Switch hängen, die Kameras vom Server überwachen lassen und bei Verbindungsverlust den Port deaktivieren und eine Benachrichtigung geben lassen, um auf den Vorschlag mit dem Monitoring von @DJKno noch einen drauf zu setzen

 

[JumpingCat]

• Dadurch gibt es zwei NAT-Schichten: Internet → Fritzbox NAT → UDM NAT → Endgerät

Again: Weg mit der Fritzbox. Dann hast du kein doppeltes NAT mehr.

 

[DJKno]

• Fritzbox vergibt private IP-Adressen (z. B. 192.168.178.x) an Geräte.
• Dream Machine hängt hinter der Fritzbox und bekommt z. B. 192.168.178.20 zugewiesen.
• Die UDM baut dann selbst nochmal ein eigenes Netzwerk auf (z. B. 192.168.1.x) und macht ebenfalls NAT.
• Dadurch gibt es zwei NAT-Schichten: Internet → Fritzbox NAT → UDM NAT → Endgerät

Läuft bei mir genau so seit Jahren problemlos.

 

[Langi1]

Mein Vorschlag: Kamera öffnen und den LAN-Anschluss anders belegen (umlöten). Im Keller das selbe machen. Hält einen Angreifer sicher mehrere Stunden auf. Die Paare sollten allerdings stimmen, aber Polung und welches Paar wo ist, kannst Du beliebig verändern solange Du auf der anderen Seite das selbe machst.

Das ändert was? Dann ist wieder alles wie usprünglich vorhanden.Nur die Schirmung passt vielleicht nicht mehr so gut.

Ergänzung (9. Juli 2025)

Mein Ziel ist es, zu verhindern, dass jemand physisch den LAN-Stecker an den Außenanschlüssen zieht und mit eigenem Gerät Zugang zu meinem Heimnetz bekommt.

Sind die Geräte ohne Leiter erreichbar? Hast den dann eh schon auf Video.

 

[jo89]

Ich hatte dasselbe Thema erst kürzlich. Beste Lösung für mich war v-lan.

Selbst wenn man im managed switch die unbelegten Ports abschaltet besteht die Gefahr, dass jemand einen benutzten Port verwendet - also einfach umsteckt.
MAC-Filter ist dann auch nicht mehr 100% sicher.
Also eben alle zugänglichen Ports in ein V-lan und das soweit vernageln, dass nur noch die Kameras und der NVR miteinander kommunizieren können.

 

[Langi1]

Hier wird immer auf Möglichkeiten hingewiesen, wenn derjenige schon Zugriff hat.

Mal das Einfache: Keine Leiter aufstellen, damit man an die Geräte kommt.
Wenn das doch passiert ist er schon gefilmt.

 

[thom53281]

Das ändert was? Dann ist wieder alles wie usprünglich vorhanden.Nur die Schirmung passt vielleicht nicht mehr so gut.

Dass es beim Anschließen an der eventuell vorhandenen Dose nicht funktioniert, solange derjenige nicht die korrekte Belegung kennt.

 

[Langi1]

@thom53281 Nein, das ist komplett falsch.
Die Belegung hat dann vielleicht andere Farben, ist aber trotzdem 1:1 durchgehend. Sonst würde das Netzwerk nicht funktionieren.