1

Я думаю, как построить небольшую домашнюю систему видеонаблюдения.

На самом деле у меня дома есть единственный шлюз /ADSL модем / маршрутизатор со следующими настройками:

ADSL модем / шлюз IP: 192.168.7.1

Настроенная маска подсети: 255.255.255.0

DHCP включен: начальный IP: 192.168.7.2, конечный IP: 192.168.7.200

Я планирую создать подсеть, покупая новый маршрутизатор, к которому я собираюсь подключить несколько наружных IP-камер ethrnet.

Все эти IP-камеры записывают видео на определенном NAS внутри подсети.

У меня есть некоторые сомнения по поводу конфигурации, которую я должен сделать, чтобы получить эти функции:

  • из основной сети хотелось бы видеть всех клиентов подсети (все IP камеры + NAS)
  • подсеть не имеет доступа в интернет и не может видеть клиентов основной сети

У меня нет проблем при установке / покупке новых аппаратных компонентов для достижения указанных функций. Основная цель - гарантировать "одностороннюю" видимость между основной сетью и подсетью.

Через пару недель мне также придется сменить основной шлюз (из-за перехода с ADSL на VDSL/FTTC), и я собираюсь купить FritzBox. Может ли смена основного шлюза предложить мне правильное решение моей проблемы?

Заранее спасибо за помощь.

|источник

3 ответа3

1
  1. Купите другой маршрутизатор, как вы сказали, и настройте другой набор IP для локальной сети:

например, IP: 192.168.1.1 Маска подсети: 255.255.255.0

  1. Настройте статический внешний IP-адрес на новом маршрутизаторе, например, 192.168.7.222.

  2. Заблокируйте доступ в Интернет для 192.168.7.222 на вашем модеме / первом маршрутизаторе

|источник
1

Собираетесь ли вы подключить камеры через LAN или WLAN? Я возьму LAN для этого ответа.

Что вам нужно, так это два сегмента локальной сети, межсетевой экран между ними и надлежащие правила маршрутизации везде, если только ваши шлюзы по умолчанию не выполняют всю маршрутизацию.

Простейшая настройка с одним маршрутизатором:

    192.168.7.0/24      DSL    192.168.8.0/24
          |              |           |
          |              |           |
    PC  --|              |           |--  Camera
          |----------- Main ---------|
          |           Router         |
 Laptop --|                          |--  Camera
          |                          |

Обратите внимание, что концепция сегмента локальной сети отличается от концепции маршрутизатора: обычно сегмент локальной сети состоит из коммутатора, который соединяет все машины. Такой коммутатор также может быть частью маршрутизатора. Сегмент LAN также может быть точкой доступа WLAN. Вы можете подключить порты локальной сети одного маршрутизатора к разным сегментам локальной сети (если вы настроите это правильно).

Хотя Fritzbox - отличная машина, вы не можете развернуть на ней прошивку с открытым исходным кодом, и изменить существующую прошивку нелегко. Так что с Fritzbox вам понадобится выделенный второй маршрутизатор в качестве брандмауэра:

    192.168.7.0/24      DSL    192.168.8.0/24
          |              |           |
          |              |           |
    PC  --|              |           |--  Camera
          |----------- Main          |
          |           Router         |
 Laptop --|                          |--  Camera
          |                          |
          |--------- Firewall -------|
          |                          |

Брандмауэр также должен выступать в качестве DHCP-сервера для сегмента 192.168.8.0/24. Теперь у вас есть проблема, что всем машинам в сегменте 192.168.7.0/24 нужны явные маршруты с межсетевым экраном в качестве шлюза в сегмент 192.168.8.0/24. Вы можете распределять маршруты по DHCP, но, опять же, на Fritzbox это будет сложно настроить. Один из способов - разрешить маршрутизатору брандмауэра обрабатывать DHCP и деактивировать его на Fritzbox (что сделает Fritzbox менее полезным).

TL; DR: вам нужно будет настроить правила брандмауэра и параметры маршрутизации DHCP. Это может быть сделано на маршрутизаторах с микропрограммой с открытым исходным кодом (например, OpenWRT od DD-WRT), но часто будет затруднительно на маршрутизаторах потребительского уровня с доступной микропрограммой.

То, как точно ввести требуемые правила брандмауэра и т.д., Зависит от того, какое аппаратное и микропрограммное обеспечение вы используете. Вам также нужно будет изучить основы работы с сетью, чтобы понять, что вам нужно делать и зачем вам это нужно.

редактировать

Основы маршрутизации. Каждый компьютер, маршрут которого по умолчанию не является правильным маршрутом для данного конкретного пункта назначения, должен иметь установленный маршрут. Поэтому, если вы хотите достичь 192.168.8. * Из 192.168.7. *, У каждого компьютера в 192.168.7. * (На рисунке: "ПК", "Портативный компьютер") должен быть установлен маршрут. Вот почему я упомянул, что было бы хорошо распределить маршруты через DHCP: таким образом, вам не нужно везде устанавливать статические маршруты вручную.

Тем не менее, давайте придерживаться статических маршрутов. Предположим, что "ПК" работает под управлением Linux, и все подключено, как на втором рисунке, а брандмауэр /POE-инжектор имеет 192.168.7.222.

Затем на "ПК" установите статический маршрут вручную (сделав их постоянными, после того, как все заработает):

ip route add 192.168.8.0/24 cia 192.168.7.222

Проверьте с помощью ip route show что маршрут использует правильный интерфейс, а с ip route get 192.168.8.1 что все работает, и у вас нет других правил / маршрута, которые имеют приоритет.

Вы сказали, что получаете первый прыжок 192.168.7.1 при трассировке с "ПК"; это неправильно и не должно происходить, если вы правильно установили маршрут на "ПК". Хотя в принципе возможно установить маршрут только на главном маршрутизаторе, это неэффективно, может привести к ICMP REDIRECT которые в зависимости от ОС могут подчиняться или не выполняться, и, как правило, могут приводить к смешным ситуациям, когда что-то ломается.

Если вы получили 192.168.7.1 в качестве второго прыжка после 192.168.7.222 в качестве первого прыжка, то маршрутизация на втором маршрутизаторе /POE неверна.

|источник
0

Вам нужно будет выполнить два разных действия:

  • маршрутизация трафика между двумя сетями
  • межсетевой экран, контролирующий трафик между сетями

На самом деле, у вас есть три разные сети, если мы также посчитаем общедоступный Интернет, но об этом позаботится тот маршрутизатор, который у вас уже есть. По сути, вы МОЖЕТЕ использовать Fritzbox для выполнения всех заданий, но он не предназначен для выполнения этой работы, и требуется некоторая ручная работа. Кроме того, вещи не очень легко увидеть - особенно если вы не касались системы в течение нескольких недель ...

Я хотел бы предложить вам использовать отдельный межсетевой экран, который также имеет возможности маршрутизации. Каждый ПК, имеющий более одной сетевой карты, может быть маршрутизатором - это зависит от его конфигурации. Так что ваш Fritzbox - это определенно роутер. Он маршрутизирует сетевой трафик и решает, следует ли отправлять пакет в Интернет или в вашу локальную сеть.

Вам нужен дополнительный маршрутизатор, который подключен к вашей внутренней сети (где находится ваш Fritzbox) и к вашей сети видеонаблюдения. Поэтому необходимая коробка должна иметь две сетевые карты. (Конечно, вы могли бы сделать это с одной сетевой картой и использовать VLAN, но я бы не стал этого делать, потому что это усложняет ситуацию гораздо больше, чем необходимо.)

Как только обе сети подключены к вашему маршрутизатору, ему не нужны статические маршруты, поскольку он уже знает как внутреннюю сеть, так и видеосеть. Таким образом, он может решить, на какой сетевой интерфейс будет передаваться сетевой трафик. (Вам просто нужно указать маршрутизатору, куда он должен отправлять весь другой трафик, то есть все пакеты, предназначенные для Интернета. Это сделано с использованием шлюза по умолчанию.)

Ваш Fritzbox не знает о другой сети, поэтому он попытается отправить пакеты, предназначенные для вашей видео сети, в Интернет (что, конечно, не сработает). Таким образом, либо вы добавляете статический маршрут на Fritzbox, сообщая ему об отправке всех пакетов для вашей локальной сети видео на новый маршрутизатор, либо вы меняете шлюз по умолчанию на DHCP-сервере Fritzbox на новый маршрутизатор. (Я бы предпочел статический маршрут, так как он не вызывает такого большого трафика во внутренней сети.)

Теперь, когда маршрутизация должна работать, вы должны позаботиться о брандмауэре. Вам необходимо определить политики, какие устройства разрешено делать, в каких направлениях. Вы делаете это с помощью брандмауэра.

Конечно, есть много продуктов, которые идеально подходят для этой работы.

Я бы, вероятно, использовал pfSense для этой работы. Этот продукт является бесплатным и имеет множество вариантов. Кроме того, он очень надежен и прост в настройке, как только вы ознакомитесь с ним.

Но, возможно, вам больше нравится продукт вроде IPFire, чем pfSense, так как его проще настраивать, но это решать вам. Я бы предложил вам использовать pfSense.

Все вышеперечисленное, вероятно, "легкий" путь. "Красивый" способ - это напрямую подключить все сети к вашему маршрутизатору:

  • Интернет-линия (напрямую подключите FritzBox к роутеру)
  • внутренняя сеть
  • видео сеть

Это сделает ваш маршрутизатор центром вашей сети, где вы сможете контролировать все в одном месте. Тогда вам нужно только Fritzbox, чтобы действовать как модем DSL ... Но эта настройка немного сложнее ;-)

Повеселись :-)

Лучший Томас

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .