Outdoor LAN Anschlüsse (Kamera, AP) absichern, nur wie?

[memme]

Ich hatte dasselbe Thema erst kürzlich. Beste Lösung für mich war v-lan.

Selbst wenn man im managed switch die unbelegten Ports abschaltet besteht die Gefahr, dass jemand einen benutzten Port verwendet - also einfach umsteckt.
MAC-Filter ist dann auch nicht mehr 100% sicher.
Also eben alle zugänglichen Ports in ein V-lan und das soweit vernageln, dass nur noch die Kameras und der NVR miteinander kommunizieren können.

mit welcher hardware hast du das genau umgesetzt?

Ergänzung (9. Juli 2025)

Ich sehe gerade, dass die Cams auch 802.1x mit EAP-TLS unterstützen.
Dann müsste ich allerding alle drei 5 port poe unmanaged switch draußen durch managed switch ersetzen.
Der günstigste Unifi ist der USW-Lite-8-PoE mit ca 100€. Sind dann auch 300€.
Da ich eh den Ubuntu Iobroker server laufen habe kann ich da ja freeRadius installieren.
Dann hätte ich auch kein problem mit den kamera streams in verschiedenen vlans, doppelt nat und den ganzen kram.

Was haltet ihr von der Lösung?

 

[Langi1]

Was haltet ihr von der Lösung?

Mich würde immer noch interessieren, ob es überhaupt möglich wäre ohne grössen Aufwand physischen Zugriff zu bekommen. Wenn da jemand an der Kamera fummelt, ist er doch schon auf Video.
Dann wäre das ganze Thema sinnlos, wenn er den schon hat.

 

[memme]

@Langi1 ja, man kann mit einer leiter an die cams kommen. wenn der "einbrecher" vermummt ist bringt es mir auch nichts wenn er auf der cam zu sehen ist. Diesen aspekt könne wir aber gerne außen vor lassen.

 

[Langi1]

wenn der "einbrecher" vermummt ist bringt es mir auch nichts wenn er auf der cam zu sehen ist

Der würde an den Kameras und deinem Netzwerk auch nicht rumspielen oder eine Leiter aufstellen.

Fenster einschlagen, klauen was da ist und abhauen ist wahrscheinlicher.

 

[chrigu]

Genau. Die Einbrecher nutzen eine Leiter um an dein lananschluss zu kommen… mit einem Laptop um deinen Server/router zu häcken? Echt? Meinst du nicht die Einbrecher möchten eher in deine Wohnung um Wertsachen zu klauen?
Ein paar Lösungen: mit heisskleber die lanbuchse zukleistern, mit sekundenkleber das lankabel in die Buchse kleben, das Netzwerk deiner Kameras nicht mit deinem heimnetz verbinden, vlan nutzen, eine hardfirewall über einen raspi laufen lassen und so programmieren, das nur die Kameras auf den Server/router zugreift. Ein stahlkäfig rund um die Laports in die Wand dübeln mit einem Vorhängeschloss
Und noch viele andere Möglichkeiten, die bestimmt deiner Vorstellung gerecht wird.

 

[Langi1]

Genau. Die Einbrecher nutzen eine Leiter um an dein lananschluss zu kommen…

Danke, das hier auch mal einer realistisch ist.

Was wollen die dann eigentlich damit machen? Eigener Internetanschluss zu teuer? Sitzt dann auf der Leiter und surft im Internet. 👍

 

[memme]

lasst uns nicht über den sinn streiten.

Lasst uns lieber eine lösung finden, was haltet ihr von der radius lösung?

 

[Langi1]

Lasst uns lieber eine lösung finden

Keine Leiter im Garten. Sorry bin raus.

 

[jo89]

mit welcher hardware hast du das genau umgesetzt?

Ich habe das genau andersrum gemacht wie du es vor hast - nicht gespart.
Ich habe Ubiquiti so lange mit Geld beworfen bis alles lief. Kameras, Accespoints, Switche und Gateway…

 

[norKoeri]

Fritzbox 7590 als Router und Internet-Gateway

Welcher Internet-Anbieter?

Daszu brauche ich einen Radius server, das geht dann nur mit Dream Machine, oder?

Der RADIUS-Server kann überall im Heimnetz stehen, der Dienst muss nicht auf dem Internet-Router sein. Hier bietet sich ein FreeRADIUS irgendwo an, also auf Deinem bestehenden Server, anfangs auf irgendeinem Notebook. Folglich kannst Du sogar bei der FRITZ!Box als Internet-Router bleiben. Du brauchst PoE-Switche, die 802.1X = Port-basierte Zugangskontrolle unterstützen.

UniFi UDM kostet mit ca. 400 € auch einiges

Selbst wenn Du im Universum von UniFi bleiben willst, reicht dafür schon ein UCG-Ultra.

was haltet ihr von der radius lösung?

Genau so und nicht anders. Mein Tipp: Hol Dir gebraucht einen kleinen PoE-Switch, der 802.1X unterstützt. Weil Du ein Gast-WLAN haben willst, wäre mein Tipp ein Zyxel GS1920-8HP oder im Universum von UniFi mindestens USW-Lite-8-POE. Damit dann erstmal Erfahrungen sammeln. Wenn Dir das mit FreeRADIUS auf irgendeinem Notebook zu kompliziert erscheint, dann auch noch gebraucht ein UCG-Ultra. Und im Detail helfen wir als Community dann.

Hikvision

Hast Du Modelle, die 802.1X können? Dann würde ich mit EAP-MD5 anfangen. Das ist erstmal einfach und verständlich. MD5 hört sich heutzutage zwar schlimm an, kann aber kein Einbrecher knacken.

 

[BFF]

die kopiere ich in ein paar Sekunden.

Aber nicht wenn Du auf einer Leiter stehst um da dein Schleppi per Kabel anzustecken. Wenn die Kameras per LAN angeschlossen sind schwirren deren MAC nicht per WiFi.

 

[thom53281]

@thom53281 Nein, das ist komplett falsch.
Die Belegung hat dann vielleicht andere Farben, ist aber trotzdem 1:1 durchgehend. Sonst würde das Netzwerk nicht funktionieren.

Deswegen muss man ja auch die Kamera öffnen und dort intern die Kabel umlöten. Was ich auch geschrieben habe. Die Dose umzubelegen, das bringt freilich nix.

Ja, ein Einbrecher könnte dann theoretisch die Kamera öffnen und die Belegung herausfinden. Aber wer macht das schon bzw. kommt da überhaupt drauf...

 

[memme]

Welcher Internet-Anbieter?

Der RADIUS-Server kann überall im Heimnetz stehen, der Dienst muss nicht auf dem Internet-Router sein. Hier bietet sich ein FreeRADIUS irgendwo an, also auf Deinem bestehenden Server, anfangs auf irgendeinem Notebook. Folglich kannst Du sogar bei der FRITZ!Box als Internet-Router bleiben. Du brauchst PoE-Switche, die 802.1X = Port-basierte Zugangskontrolle unterstützen.

Selbst wenn Du im Universum von UniFi bleiben willst, reicht dafür schon ein UCG-Ultra.

Genau so und nicht anders. Mein Tipp: Hol Dir gebraucht einen kleinen PoE-Switch, der 802.1X unterstützt. Weil Du ein Gast-WLAN haben willst, wäre mein Tipp ein Zyxel GS1920-8HP oder im Universium von UniFi mindestens USW-Lite-8-POE. Damit dann erstmal Erfahrungen sammeln. Wenn Dir das mit FreeRADIUS auf irgendeinem Notebook zu kompliziert erscheint, dann auch noch gebraucht ein UCG-Ultra. Und im Detail helfen wir als Community dann.

Hast Du Modelle, die 802.1X können? Dann würde ich mit EAP-MD5 anfangen. Das ist erstmal einfach und verständlich. MD5 hört sich heutzutage zwar schlimm an, kann aber kein Einbrecher knacken.

Vielen Dank für deinen super Beitrag.

Ich denke ich werde den Radius dann auf dem Ubuntu laufen lassen und mir entweder den USW-Lite-8-POE oder den Ultra mit Netzteil holen.

Das einzige Problem, was ich noch nicht gelöst habe, wie binde ich den Ubiquiti UniFi AC MESH - UAP-AC-M ein? Denn der kann sich nicht selbst mit 802.1x am Switch Port authentifizieren. Der kann nur die wifi clients damit bedienen, aber das bringt mir nichts, weil ich nicht jeden Wlan client authen möchte zumal ja auch ein Gast Wifi läuft.

 

[h00bi]

Es gibt managed Switche und NVRs, die akzeptieren eine Portverbindung nur nach manueller Freigabe im Webinterface. Wenn man also ein Kabel abzieht, um sich dran zu hängen, dann bleibt diese Leitung tot, bis man sie aktiviert.

Bei Authentifizierung wie Radius bist du bei so Geräteklassen wie Kameras teilweise bei der Auswahl eingeschränkt.

Nur bekannte MAC zulassen. Also Whitelist.

Steht oftmals auf der Kamera. Spoofing ist einfach.

 

[norKoeri]

oder den Ultra mit Netzteil

Was genau meinst Du mit „Ultra mit Netzteil“, den UCG-Ultra oder einen PoE-Switch aus der UniFi Ultra-Serie? Beides hilft Dir nicht, denn die (Flex- und) Ultra-Serie kann kein 802.1X, das geht bei den Switchen erst ab Lite. Der UCG-Ultra ist nur Luxus, damit alles im Universum von UniFi ist. Du brauchst neue Switche.

Um noch ein Argument für neue Switch zu liefern: Client Isolation der Gäste im WLAN. Dafür muss dann jeder Switch dazwischen ebenfalls isolieren können. Ansonsten müsstest Du Dich mit DHCP-Starvation als Problem und DHCP-Snooping als Lösungsansatz herumschlagen. UniFi nennt das Device Isolation und löst es über ACLs. Zyxel macht es besser direkt auf VLAN-Ebene und nennt es „VLAN Isolation“.

Bei Authentifizierung wie Radius bist du bei so Geräteklassen wie Kameras teilweise bei der Auswahl eingeschränkt

Soweit ich das verstehe, können die Kameras des Thread-Erstellers bereits 802.1X. Also warum nicht nutzen. Ist wirklich einfach, sogar pflegelos im Betrieb. Auch die einmalige Einrichtung ist viel einfacher, als man vielleicht denken könnte.

Es gibt managed Switche und NVRs, die akzeptieren eine Portverbindung nur nach manueller Freigabe im Webinterface. Wenn man also ein Kabel abzieht, um sich dran zu hängen, dann bleibt diese Leitung tot, bis man sie aktiviert.

OK. Interessant. Hast Du eins/zwei Beispiele? Klingt jedenfalls so, als bräuchte man dann eine USV für Switch und Kamera, oder wie unterscheidet ein Switch zwischen Strom-Ausfall und Abstecken?

[Ein UniFi AP] kann sich nicht selbst mit 802.1X am Switch Port authentifizieren.

Tatsache …

 

[h00bi]

OK. Interessant. Hast Du eins/zwei Beispiele? Klingt jedenfalls so, als bräuchte man dann eine USV für Switch und Kamera, oder wie unterscheidet ein Switch zwischen Strom-Ausfall und Abstecken?

Wir nutzen das auf einem HP Aruba.
Der PoE fähige Switch hängt sowieso an der USV.
Bei langem Stromausfall über die Autonomiezeit hinaus musste ich bisher noch nie was machen, vermutlich werden bei switch reboot alle Ports erstmal wieder akzeptiert.

 

[memme]

Was genau meinst Du mit „Ultra mit Netzteil“, den UCG-Ultra oder einen PoE-Switch aus der UniFi Ultra-Serie? Beides hilft Dir nicht, denn die (Flex- und) Ultra-Serie kann kein 802.1X, das geht bei den Switchen erst ab Lite. Der UCG-Ultra ist nur Luxus, damit alles im Universum von UniFi ist. Du brauchst neue Switche.

Um noch ein Argument für neue Switch zu liefern: Client Isolation der Gäste im WLAN. Dafür muss dann jeder Switch dazwischen ebenfalls isolieren können. Ansonsten müsstest Du Dich mit DHCP-Starvation als Problem und DHCP-Snooping als Lösungsansatz herumschlagen. UniFi nennt das Device Isolation und löst es über ACLs. Zyxel macht es besser direkt auf VLAN-Ebene und nennt es „VLAN Isolation“.

Soweit ich das verstehe, können die Kameras des Thread-Erstellers bereits 802.1X. Also warum nicht nutzen. Ist wirklich einfach, sogar pflegelos im Betrieb. Auch die einmalige Einrichtung ist viel einfacher, als man vielleicht denken könnte.

OK. Interessant. Hast Du eins/zwei Beispiele? Klingt jedenfalls so, als bräuchte man dann eine USV für Switch und Kamera, oder wie unterscheidet ein Switch zwischen Strom-Ausfall und Abstecken?

Tatsache …

Oh wow, danke für den Hinweis. Ich habe zum Glück heute nur testweise mal einen Lite bestellt. Eigentlich wollte ich Ubiquiti UniFi Switch Ultra (USW-ULTRA) 8 Port kaufen, aber der kann tatsächlich kein 802.1x. Krass.

Ich nutze 2 Wlans, eins für Heimgeräte und eins für Gäste. Beim Gäste habe ich Hotspot Modus und Client Isolation eingestellt. So können die Gäste nicht im Heimnetz rumfummeln. Ist das sicher genug?

Ja genau, Cams unterstützen 802.1x. Nur halt der blöse Unifi AP nicht aber ok dann mache ich MAC binding und hoffe das reicht

 

[norKoeri]

Beim Gäste habe ich Hotspot Modus und Client Isolation eingestellt. So können die Gäste nicht im Heimnetz rumfummeln. Ist das sicher genug?

Kannst Du leicht testen, siehe verlinkten Thread … Wenn Du mehr als einen Gast in mehr als einem WLAN-Punkt erlaubst, dann muss auch der Switch eine Client-Isolation bieten. Du kannst (und musst) in UniFi das für jede Ebene einstellen, also innerhalb des WLAN-Punkts, innerhalb des Switch und innerhalb des Routers. Die letzten zwei gehen nur, wenn Du auch dafür ebenfalls UniFi-Produkt wählst. Wie machst Du das mit dem Gast-WLAN aktuell mit einer FRITZ!Box überhaupt ohne konfigurierbaren Switch?

 

[memme]

@norKoeri wie gesagt, habe 2 Wlans, ein gast und ein eigenes.Es können sich viele gäste gleichzeitig einloggen und sind immer nur alleine im wlan sichtbar siehe screenshot: https://prnt.sc/DBUAyGwRn2vj
Das Wlan an der fritz box ist aus.

 

[norKoeri]

Das ist allein die Client-Isolation innerhalb eines WLAN-Access-Points. Wenn sich GastA auf AP1 anmeldet und ein GastB auf AP2 anmeldet, dann sehen die sich wieder. Der verlinkte Thread hilft Dir, dass selbst zu testen. Dafür ist der Haken „Device Isolation (ACL)“. Aber jener Haken tut nur bei durchgehend UniFi Switchen, Modell-Serie nicht Ultra, nicht Flex, also Lite aufwärts. Die Wahl bei „Hotspot“ ist lediglich die Anmeldung.

Mein Tipp: Die Web-Oberfläche auf Englisch umstellen und dann die Knowledgebase-Artikel durcharbeiten, angefangen bei …

Das Wlan an der fritz box ist aus.

Ich meine, wie Du den LAN-Gastzugang der FRITZ!Box auf das VLAN des Gast-WLANs der UniFis umgelegt hast. Klingt eher so, als würdest Du zwar mit VLANs arbeiten, aber alles im Heimnetz der FRITZ!Box landen. Allein der Router kann VLANs trennen, auch das musst Du extra im UniFi Controller anhaken. Auch jener Haken tut nur wenn auch der Router von UniFi.

Man kann das alles auch ohne Switche von UniFi und/oder ohne Router von UniFi = FRITZ!OS hinbekommen, aber dann braucht es konfigurierbare Switche, die nicht nur VLANs sondern mindestens auch ACLs erlauben.