WLAN-Kameras separieren und dennoch darauf zugreifen - Wie geht es am leichtesten/billigsten?

eehm

Lieutenant
Registriert
Juli 2009
Beiträge
557
Hallo,

ich möchte kurzfristig und günstig meinen Außenbereich mit WLAN-Kameras überwachen.
Ich hatte mir vorgestellt die Kameras in ein separates WLAN zu packen und diesem am Switch ein separates VLAN zuzuweisen.
Soweit so gut.
Geht das sicher nur, wenn ich mich mit dem Handy oder ähnliche in diese betreffende Netz einbinde? Dann müsste ich ständig Netze wechseln. :(
Gibt es jetzt eine einfache/sichere/billige Möglichkeit um von meinem Hauptnetz auf die Kameras zuzugreifen?
 
Du kannst mittels einem passenden Router in das separate VLAN routen.
Mit einer Fritz!Box klappt es leider nicht.
Ergänzung ()

Wie sieht dein Netzwerk denn aus?
Was für Netzwerktechnik hast du verbaut?
 
  • Gefällt mir
Reaktionen: JumpingCat
OpenWRT oder RouterOS wäre günstig.

Alles eine Sache für die Firewall
 
  • Gefällt mir
Reaktionen: eehm und JumpingCat
Entweder routest du. Oder du hast einen Proxy der in beiden VLANs drib ist. Das hängt aber davon ab ob die Kameras aus entsprechende Protokolle sprechen.

Betreibst du die Kameras standalone oder mit einem Server? Der Server könnte dann in deinem normalen LAN stehen.
 
  • Gefällt mir
Reaktionen: eehm
hikvision Kameras und Recorder?
gut beides kostet Geld. die Recorder kann man per app erreichen. Sie sind in deinem Netz. und sie machen ein 2. Netz für die Kameras auf. Schließ dern Wlan Access Point für deine Kameras am 2. Netz an und gut ist.
ja Recorder und Kameras koste etwas mehr .... Jovision wäre billiger.
 
  • Gefällt mir
Reaktionen: eehm
Wenn die Kamera eine eigene App hat, kommst du mit der direkt auf die Kamera. Hat die Kamera eine sicherheitslücke wird halt dein Netzwerk von aussen erreichbar sein. Hast du ein vlan fähigen Router z.b. vigsor oder asus oder ein Router mit entsprechender openwrt (mit vlan) kannst du an einem extra Ap die wlan Kamera von deinem Netzwerk trennen. Hast du eine fritzbox oder speedport… kannst du nur über den gastzugang (wlan) die Kamera trennen, du kannst jedoch vom normalen Netzwerk den gastzugang nicht erreichen…
 
  • Gefällt mir
Reaktionen: eehm
Danke für eure hilfreichen Antworten. Zwei Lösungen scheinen mir preislich und vom Aufwand weiter zu verfolgen zu sein aus meiner Sicht.

klapproth schrieb:
Entweder routest du. Oder du hast einen Proxy der in beiden VLANs drib ist.

Routing:
Routen heißt ja immer ich brauche einen Router, der mir z.B. die beiden VLANs verbindet, aber nur die Kameras mit den jeweiligen IPs durchlässt, oder?
Hier wäre dann eine günstige Lösung ein Router mit openwrt?

Proxy:
Wie würde man das aufbauen und ist das einfacher/billiger als ein Routing mit Firewall?
 
Wäre ggf. ein Unifi Cloud Gateway Ultra eine gute Lösung für diesen zweck, wenn ich schon zwei Unifi Access Points habe oder ist die Routing Firewall Funktionalität des Gerätes entweder zu kompliziert oder nicht ausreichend?
 
Das Unifi Cloud Gateway Ultra ist eine gute Lösung für deinen Anwendungsfall. Du kannst dann deine beiden Unifi APs mit einbinden. Je nachdem welchen VLAN fähigen Switch du einsetzt, ist die VLAN-Konfiguration vielleicht noch etwas knifflig, aber durchaus machbar.
 
Martin.80 schrieb:
Das Unifi Cloud Gateway Ultra ist eine gute Lösung für deinen Anwendungsfall.
Danke für den Tipp. Ich habe auch fast ein Jahr im Bastelstadium diverse VLANs mit einer OPNsense getestet, aber das ist wirklich bei jeder Änderung ein Grauen, wenn man nicht ein wirklicher Experte ist.
Ist hier das Unifi deutlich einfacher?

Als Switch habe ich einen Cisco SG300.
Wird das mit dem klappen oder sollte ich den besser gegen einen Unifi tauschen?
 
Das klappt auch mit dem Cisco Switch, du musst halt an zwei stellen die VLANs setzen.
Mit einen Unifi Switch lässt sich das einfacher realisieren, da du im Unifi Network Controller mit Profilen arbeiten kannst, du dann den Ports zuweisen kannst.
Wenn ich mich bei meiner Konfiguration recht erinnere, erkennt das Unifi-CGU den Uplink zum Unifi Switch alleine.
Je nachdem wie deine Anforderung an Netzwerkports aussieht, reicht hier bereits der Unifi Switch Ultra mit 60 Watt, oder der Lite 8 PoE.
 
OK, dann werde ich mich da wohl mal ein bisschen tiefer in den Unifi Router einlesen und mich von der OPNsense wohl vollständig lösen. Für 100 Euro erscheint mir der Unifi wirklich sehr günstig, weil für die OPNsense braucht es auch noch HW, wenn man es nicht dauerhaft auf einer VM laufen lassen will. Würde ich bei einer Firewall nicht wollen.

Ich denke, dann ist es wohl das günstigste es so aufzubauen:

Code:
Fritzbox -> Unifi CGU
                |
                --------> Unifi AP1
                |
                --------> Unifi APP2
                |
                --------> Cisco SG300 (24P) (hierauf ein tagged Port für die andern VLANs)

Die APs direkt an den CGU, weil das dann wahrscheinlich die Konfiguration vereinfacht als wenn ein nicht Unifi Gerät noch dazwischen ist oder?
 
Die Konfiguration wird meiner Meinung nach nicht so viel einfacher. Kann der Cisco Switch PoE?

Ich würde am CGU ein Port-Profil erstellen mit dem Default-Netz als Nativ-VLAN und alle weiteren „Unifi“-Netze als Tagged. Dann kannst du die VLAN ohne weiteres auf dem Cisco nachbilden und den Uplink zum CGU mit Default-VLAN untagged/nativ und den Rest dann Tagged. Das gleiche dann für die APs.

Ich würde dann, wenn alles soweit läuft die Fritzbox gegen ein Modem tauschen, bzw. kann man ab dem Unifi Network Controller 8.3 das NAT am WAN Port deaktivieren.
 
  • Gefällt mir
Reaktionen: eehm
eehm schrieb:
meinen Außenbereich
Das macht man eigentlich nicht durch ein eigenes Netzsegment sondern mittels Port-basierte Zugangskontrolle über 802.1X, die Du in Deinem Cisco aktivierst und auf einen Server mit z. B. FreeRADIUS im Heimnetz zeigen lässt. Das Thema hatten wir auch schon mal vor einem Jahr … allerdings hattest Du damals den falschen Switch, denn die Zyxel GS1900-Serie kann 802.1X nur für die Anmeldung an der Web-Oberfläche des Switch selbst. Port-basierte Zugangskontrolle über 802.1X geht bei Zyxel erst ab der GS1920-Serie. Gibt aber haufenweise Switch-Plattformen, die das können … (dort letzter Absatz).
eehm schrieb:
Fritzbox -> Unifi CGU
Wozu dient die FRITZ!Box? Wenn das DSL ist würde ich wie bereits Martin.80 empfohlen hat, durch ein DSL-Modem ersetzen … die bekommst Du teilweise schon geschenkt. Wenn das Telefonie ist, die FRITZ!Box in das Netz der UniFis und die dann als IP-Client.
eehm schrieb:
Irgendwie hatten wir das alles schon vor 1½ Jahren und irgendwie machst Du Du es Dir selbst laufend so komplizierst, dass Du immer wieder abzubrechen scheinst. Sollen wir uns da nicht mal im großen Ganzen anschauen?
 
  • Gefällt mir
Reaktionen: eehm
norKoeri schrieb:
Das macht man eigentlich nicht durch ein eigenes Netzsegment sondern mittels Port-basierte Zugangskontrolle über 802.1X, die Du in Deinem Cisco aktivierst und auf einen Server mit z. B. FreeRADIUS im Heimnetz zeigen lässt. Das Thema hatten wir auch schon mal vor einem Jahr … allerdings hattest Du damals den falschen Switch, denn die Zyxel GS1900-Serie kann 802.1X nur für die Anmeldung an der Web-Oberfläche des Switch selbst. Port-basierte Zugangskontrolle über 802.1X geht bei Zyxel erst ab der GS1920-Serie. Gibt aber haufenweise Switch-Plattformen, die das können … (dort letzter Absatz).
Das stimmt. Ich habe es auch geschafft auf der opnSense den Radius Server einzurichten und auch die Zuordnung verschiedener Geräte in dynamische VLANs hat mit dem Cisco SG300 am Ende funktioniert. Jetzt kommt aber das große ABER.
Ich habe es nie in den Produktivbetrieb übernommen, weil mir die Wartung im Fehlerfall (SW- oder HW-Defekt) zu kompliziert erscheint um es mal kurz nach der Arbeit zu reparieren.
Darum suche ich jetzt nach einer einfacheren Lösung um mein Problem zu lösen.

norKoeri schrieb:
Wozu dient die FRITZ!Box?
Die Fritz Box ist nach wie vor mein Gerät um die ich das Netzwerk (nicht Testnetzwerk) aufgebaut habe das meine Familie nutzt. Das muss mehr oder minder reibungslos laufen. Bei denen heißt es schlechtes WLAN egal, kein WLAN .... nicht gut! :( Darum nutzen die nur das Fritz-WLAN und wo kein Empfang ist, akzeptieren sie es aktuell. :)
Außerdem brauch ich die Fritzbox unbedingt für das Fritzphone.
Dauerhaft zwei so Netze will ich aber auch nicht.

norKoeri schrieb:
Irgendwie hatten wir das alles schon vor 1½ Jahren und irgendwie machst Du Du es Dir selbst laufend so komplizierst, dass Du immer wieder abzubrechen scheinst. Sollen wir uns da nicht mal im großen Ganzen anschauen?
Ja gerne, ich brache eine "einfach" zu konfigurierende Lösung, bei der ich bei einem HW-Defekt einfach eine Konfig auf eine neue HW portieren kann und dann wieder betriebsfähig bin.
Das scheint wohl bei Unifi zu gehen, wobei man da auch nicht weiß, ob die Konfig von heute auf einem Nachfolger noch laufen wird, wenn das gekaufte Gerät stirbt. Aber bei so einem großen Anbieter hätte ich wenigstens die Hoffnung, dass das klappen könnte.
Irrweg oder macht Unifi für mich vielleicht doch Sinn?
 
In deinem beschriebenen Szenario macht Unifi schon sinn. Die Konfiguration kannst du bei Unifi auch auf neuere Hardware übernehmen. Ggf. sind kleine Anpassungen nötig.
Deine Argumente bzgl. der Wartung im Fehlerfall kann ich nachvollziehen.

Wichtig ist nur, dass du die Konfiguration mit einem Unifi-CGU erst einmal in Ruhe hinter der Fritzbox aufbaust und testet.
 
  • Gefällt mir
Reaktionen: eehm
eehm schrieb:
mir [scheint] die Wartung im Fehlerfall (SW- oder HW-Defekt) zu kompliziert
  • Du musst nur Benutzername/Passwort bei der neuen Kamera eingeben?
  • Du musst nicht alle Ports über Port-basierte Zugangskontrolle verwalten, nur die Außendosen.
  • Du musst nicht unbedingt mit dynamischer Zugangskontrolle arbeiten oder schließt Du ab und an noch andere Geräte an jene Außendosen?
  • Cisco hat auch Nachfolge-Switches, die Small-Business-Serie, die man im Notfall auch neu oder als „Cisco Refresh“ kaufen kann.
Also einfacher als Port-basierte Zugangskontrolle wüsste ich Dein Szenario nicht zu lösen, eigentlich wartungsfrei, außer den Firmware-Updates für den Switch und den Betriebssystem-Updates für den Server. Auch muss der RADIUS-Server nicht unbedingt auf den OPNsense. Du kannst auch mit einer FRITZ!Box als Internet-Router eine Port-basierte Zugangskontrolle dahinter fahren. Habe ich hier so. Ich befürchte, OPNsense ist bei Dir die Baustelle. Port-basierte Zugangskontrolle tangiert daher nur den Switch.
eehm schrieb:
Außerdem brauch ich die Fritzbox unbedingt für das Fritzphone.
Dann im Modus IP-Client in das Netz des neuen Internet-Routers, dass hattest Du verstanden?
 
  • Gefällt mir
Reaktionen: eehm
norKoeri schrieb:
Habe ich hier so. Ich befürchte, OPNsense ist bei Dir die Baustelle. Port-basierte Zugangskontrolle tangiert daher nur den Switch.
Ja, das macht es nicht einfach. Hier brauche ich aber etwas was die VLANs managen kann.
Da wäre doch dann die Uifi CGU günstig, stromsparend und mehr als ausreichend oder?

norKoeri schrieb:
Dann im Modus IP-Client in das Netz des neuen Internet-Routers, dass hattest Du verstanden?
Ja die (Fritzbox) kommt dann als IP-Client hinter das Gerät das das NAT macht.
 
Zurück
Oben