10
Einbindung einer IP Kamera ins Heimnetz der Fritzbox per mit eingeschränktem Zugang
Hallo zusammen,
ich habe eine für mich komplizierte, aber für Euch vielleicht leichte Frage.
Ich habe eine Fritzbox Cable 6690.
An dieser hängen per Lan Kabel 3 weitere Fritzboxen 4060 als Lan Brücke und spannen ein Mesh netzt auf.
Funktioniert alles soweit sehr gut.
Jetzt soll eine IP Kamera (HIKVISION) eingebunden werden.
Die Kamera hängt im Garten und wird über PoE über einen Switch mit Strom versorgt.
Der Switch hängt an einem Fritz Repeater 3000 AX in der Garage.
Der Repeater ist per Wlan Brücke mit einer der 3 Fritzboxen 4060 im Haus verbunden.
Ein Tablet oder Smartphone im Mesh Netz greift auf die IP Adresse der Kamera zu.
Alternativ per Hik Vision APP.
Funktioniert auch.
Jetzt das Problem.
Das Netzwerkkabel der Kamera liegt außerhalb des Hauses. Der Switch und der Repeater in der GArage, auch nicht besonders sicher.
Nach meinem Verständnis, kann man das Netzwerkkabel abziehen und ist dann mit einem dort angeschlossenen Client im kompletten Hausnetz verbinden. Ein Filter über MAC Adresse wäre wirkungslos so wie ich es verstanden habe.
Wie kann ich es einrichten, das die Kamera zwar über den Repeater / Wlan Brücke oder irgendeine andere zu beschsaffende Hardware erreichbar ist und auch Internet Zugang hat, aber nicht auf das gesamte Heimnetzt Zugriff hat, falls jemand das Kabel abzieht.
Der Repeater muss keine weiteren Geräten Zugang ermöglichen, er ist nur Brücke bzw. AP für die Kamera draußen.
Ggf. ist auch der Repeater nicht die richtige Wahl und da muss ein anderes Geärt, z.B. weiterer Router hin der ein zweites Netzwerk aufbaut.
Ich könnte auch den Repeater mit einer der 3 Fritzboxen 4060 tauschen oder andere Hardware (neuer AP Point) anschaffen, nur möchte ich nicht, dass über das außen liegendene Netztwerkabel mit einem beliebigen Client auf das Heimetzt zugegriffen werden kann, jedoch trotzdem auf die Internetverbindung der Fritzbox 6690.
Ich lese etwas von einer DMZ, bzw. Exposed Host in der Fritzbox? Ist das meine Lösung? Bzw. wie richte ich das ein?
Ist mein Problem verständlich?
Ich habe schon mal von einem vergleichbaren Problem in 2016 hier gelesen, aber da ging es um andere verwendete Hardware. Deswegen hoffe ich Ihr könnt mir weiterhelfen.
Vielen Dank.
Liebe Grüße.
ich habe eine für mich komplizierte, aber für Euch vielleicht leichte Frage.
Ich habe eine Fritzbox Cable 6690.
An dieser hängen per Lan Kabel 3 weitere Fritzboxen 4060 als Lan Brücke und spannen ein Mesh netzt auf.
Funktioniert alles soweit sehr gut.
Jetzt soll eine IP Kamera (HIKVISION) eingebunden werden.
Die Kamera hängt im Garten und wird über PoE über einen Switch mit Strom versorgt.
Der Switch hängt an einem Fritz Repeater 3000 AX in der Garage.
Der Repeater ist per Wlan Brücke mit einer der 3 Fritzboxen 4060 im Haus verbunden.
Ein Tablet oder Smartphone im Mesh Netz greift auf die IP Adresse der Kamera zu.
Alternativ per Hik Vision APP.
Funktioniert auch.
Jetzt das Problem.
Das Netzwerkkabel der Kamera liegt außerhalb des Hauses. Der Switch und der Repeater in der GArage, auch nicht besonders sicher.
Nach meinem Verständnis, kann man das Netzwerkkabel abziehen und ist dann mit einem dort angeschlossenen Client im kompletten Hausnetz verbinden. Ein Filter über MAC Adresse wäre wirkungslos so wie ich es verstanden habe.
Wie kann ich es einrichten, das die Kamera zwar über den Repeater / Wlan Brücke oder irgendeine andere zu beschsaffende Hardware erreichbar ist und auch Internet Zugang hat, aber nicht auf das gesamte Heimnetzt Zugriff hat, falls jemand das Kabel abzieht.
Der Repeater muss keine weiteren Geräten Zugang ermöglichen, er ist nur Brücke bzw. AP für die Kamera draußen.
Ggf. ist auch der Repeater nicht die richtige Wahl und da muss ein anderes Geärt, z.B. weiterer Router hin der ein zweites Netzwerk aufbaut.
Ich könnte auch den Repeater mit einer der 3 Fritzboxen 4060 tauschen oder andere Hardware (neuer AP Point) anschaffen, nur möchte ich nicht, dass über das außen liegendene Netztwerkabel mit einem beliebigen Client auf das Heimetzt zugegriffen werden kann, jedoch trotzdem auf die Internetverbindung der Fritzbox 6690.
Ich lese etwas von einer DMZ, bzw. Exposed Host in der Fritzbox? Ist das meine Lösung? Bzw. wie richte ich das ein?
Ist mein Problem verständlich?
Ich habe schon mal von einem vergleichbaren Problem in 2016 hier gelesen, aber da ging es um andere verwendete Hardware. Deswegen hoffe ich Ihr könnt mir weiterhelfen.
Vielen Dank.
Liebe Grüße.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 91585517417
Url: https://administrator.de/contentid/91585517417
Printed on: May 2, 2024 at 13:05 o'clock
10 Comments
Latest comment
Moin,
das wird nicht so leicht. Was Du benötigst, schreibst Du ja selbst, nämlich 2 Netzwerke. Die einfachste gedachte Lösung ist ein langes Netzwerkkabel bis zur Fritz!Box 6690, dort an den Port für den Gastzugang. Dann gibt es keinen Übergang zwischen den Netzwerken, sondern nur Internet für beide. Bedeutet aber natürlich auch, dass hausintern immer nur über den Umgang über das Internet auf die Kamera zugegriffen werden kann. Diese ist dann auch entsprechend exponiert.
Da Du da aber etliche Geräte dazwischen hast (Repeater, FritzBox(en) 4060), würde das nur funktionieren, wenn der Gastzugang über all diese Geräte hinweg geteilt wird. Weiß ich nicht, habe aber Zweifel, dass das funktioniert.
Dann bliebe als Alternative, wenn das lange Kabel ausscheidet, zwei VLANs aufzuspannen. Bedeutet im Ergebnis aber, dass alle beteiligten Geräte VLAN-fähig sein müssen. Ist bei den Fritz-Geräten nicht der Fall. Wenn ich das richtig vermute, dann werden die FritzBoxen 4060 als Access Points genutzt, die aber jeweils mit eigenem Lankabel an der 6690 hängen? Dann wären die 3 FritzBoxen + Repeater gegen VLAN-fähige APs auszutauschen (z.B. Unifi Access Points) und hinter die 6690 ein VLAN-fähiger Switch oder Router zu hängen. Als Grobaufbau.
Gruß
DivideByZero
das wird nicht so leicht. Was Du benötigst, schreibst Du ja selbst, nämlich 2 Netzwerke. Die einfachste gedachte Lösung ist ein langes Netzwerkkabel bis zur Fritz!Box 6690, dort an den Port für den Gastzugang. Dann gibt es keinen Übergang zwischen den Netzwerken, sondern nur Internet für beide. Bedeutet aber natürlich auch, dass hausintern immer nur über den Umgang über das Internet auf die Kamera zugegriffen werden kann. Diese ist dann auch entsprechend exponiert.
Da Du da aber etliche Geräte dazwischen hast (Repeater, FritzBox(en) 4060), würde das nur funktionieren, wenn der Gastzugang über all diese Geräte hinweg geteilt wird. Weiß ich nicht, habe aber Zweifel, dass das funktioniert.
Dann bliebe als Alternative, wenn das lange Kabel ausscheidet, zwei VLANs aufzuspannen. Bedeutet im Ergebnis aber, dass alle beteiligten Geräte VLAN-fähig sein müssen. Ist bei den Fritz-Geräten nicht der Fall. Wenn ich das richtig vermute, dann werden die FritzBoxen 4060 als Access Points genutzt, die aber jeweils mit eigenem Lankabel an der 6690 hängen? Dann wären die 3 FritzBoxen + Repeater gegen VLAN-fähige APs auszutauschen (z.B. Unifi Access Points) und hinter die 6690 ein VLAN-fähiger Switch oder Router zu hängen. Als Grobaufbau.
Gruß
DivideByZero
1
Das lange Kabel direkt zur Fritzbox 6690 geht leider nicht.
Die Kamera braucht meines wissens nicht zwingend Internet.
Eigentlich will ich nur mit allen Clients, die im Hausnetzt sind, auf die Kamera zugreifen.
Kann ich die Kamera an einen neuen Router, statt an den Repeater hängen von der die Kamera eine IP Adresse eines eigenen Netzes bezieht und diesen neuen Router wiederum an das eigentliche Heimnetz anbinden. Der Router wäre ist ja geschützt aufgestelt, das heißt die Kamera oder er auch immer per MAC Adresse vortäucht die KAmera am anderen Ende zu sein, kommt nur bis zum Router und der Router bis zu einer der 3 als AP verwendeten Fritzboxen 4060 müsste doch absicherbar sein, oder stelle ich mir das zu einfach vor.
Zwischen allen Fritzboxen und dem Llan kabel im Haus hängen natürlich Switche und an denen weitere Geräte. Das Netzt im Haus ist mehr oder weniger sicher, es soll nur vom einem möglichen zweiten Draußen entkoppelt werden, wobei das dinnen auf das draußen zugreifen soll und nicht anders herum.
Die Kamera braucht meines wissens nicht zwingend Internet.
Eigentlich will ich nur mit allen Clients, die im Hausnetzt sind, auf die Kamera zugreifen.
Kann ich die Kamera an einen neuen Router, statt an den Repeater hängen von der die Kamera eine IP Adresse eines eigenen Netzes bezieht und diesen neuen Router wiederum an das eigentliche Heimnetz anbinden. Der Router wäre ist ja geschützt aufgestelt, das heißt die Kamera oder er auch immer per MAC Adresse vortäucht die KAmera am anderen Ende zu sein, kommt nur bis zum Router und der Router bis zu einer der 3 als AP verwendeten Fritzboxen 4060 müsste doch absicherbar sein, oder stelle ich mir das zu einfach vor.
Zwischen allen Fritzboxen und dem Llan kabel im Haus hängen natürlich Switche und an denen weitere Geräte. Das Netzt im Haus ist mehr oder weniger sicher, es soll nur vom einem möglichen zweiten Draußen entkoppelt werden, wobei das dinnen auf das draußen zugreifen soll und nicht anders herum.
Oder den Repeater 3000AX von der Kamera weg,
dafür eine der 4060 Fritzboxen als Router an die Kamera,
der Kamera von der 4060 eine IP Adresse geben lassen und mit den Clients
in das neue Wlan der 4060 Kamera Routers.
Müssen die Clients die von der Kamera streamen wollen dann das WLAN dazu wechseln.
Das Wlan der 4060 an der KAmera könnte ich ja mit weiteren Repeater verstärken.
Sehr unkomfortabel, aber doch sicher sicher, weil die Netze keine Verbindung haben.
Wie gesagt die beiden Netze dann einfach über eine "Firewall" zu verbinden, geht nicht oder?
Der Switch in der Garage kann VLAN. Die anderen im Haus bin ich nicht sicher.
dafür eine der 4060 Fritzboxen als Router an die Kamera,
der Kamera von der 4060 eine IP Adresse geben lassen und mit den Clients
in das neue Wlan der 4060 Kamera Routers.
Müssen die Clients die von der Kamera streamen wollen dann das WLAN dazu wechseln.
Das Wlan der 4060 an der KAmera könnte ich ja mit weiteren Repeater verstärken.
Sehr unkomfortabel, aber doch sicher sicher, weil die Netze keine Verbindung haben.
Wie gesagt die beiden Netze dann einfach über eine "Firewall" zu verbinden, geht nicht oder?
Der Switch in der Garage kann VLAN. Die anderen im Haus bin ich nicht sicher.
kommt nur bis zum Router und der Router bis zu einer der 3 als AP verwendeten Fritzboxen 4060 müsste doch absicherbar sein
Ja, das klappt aber der Router müsste zwingend NAT (IP Adress Translation) ins Kamera Netz machen. Bei einem transparenten Router werden beide Seiten ohne Zugangsbeschränkung geroutet und dann nützt ein Router nix. Entscheidend ist also das NAT ins Kamera Netz.D.h. du kommst aus dem privaten Netz ohne Probleme auf die Kameras aber ein Angreifer aus dem Kamera Netz kommt nicht über die NAT Firewall ins private Netz.
Das wäre in der Tat die einfachste Lösung. Z.B. mit einem 25€ Mikrotik. Grundlagen zu der Thematik siehe auch hier.
Bedeutet dann aber auch das die Kameras nicht ins Internet kommen. Die Hikvisions telefonieren ja bekanntlich gerne nach Hause in die China Cloud! Ein Firmware Update, sofern überhaupt online möglich, ist also immer nur lokal machbar.
Ist aber eher ein großer Vorteil und verhindert sicher das du nicht am Kamera Pranger im Internet landest der die "Konfig Dummies" outet! Nebenbei auch juristisch gefährlich, sollte man Unbeteiligte damit aufnehmen! 😉
Moin,
bietet HIKVISION keine Montageboxen? Den da könntest Du Netzwerkkabel reinlegen und das Netzwerkkabel in Leerrohre führen. Somit muss man erst einiges demontieren, bevor man ins Netzwerk kommen kann.
Ist eine recht gute Lösung, bevor man viel Technik kaufen muss.
Gruß
bietet HIKVISION keine Montageboxen? Den da könntest Du Netzwerkkabel reinlegen und das Netzwerkkabel in Leerrohre führen. Somit muss man erst einiges demontieren, bevor man ins Netzwerk kommen kann.
Ist eine recht gute Lösung, bevor man viel Technik kaufen muss.
Gruß
1
Schon mal vielen Dank, ich denke das ist eine mögliche Lösung, muss ich nochmal eine Nacht drüber schlafen.
Ich bin begeister, dass mir so schnell geholfen wird, ich habe leider nur ganz rudimentäre Kenntnisse.
Mal angenommen ich will doch mit der Kamera ins Internet um dann mit der HIk Connect App auf die Kamera zuzugreifen, mit all den Zugeständnissen an die Sicherheit über die Server der Fa. HIKVISION und HIK Connect:
Würde der Weg gehen:
Ich nehme eine der 4060 aus dem Haus, resette die, installiere die als Router an dem PoE Switch in der Garage, die macht ein eigenes neues Netz für die Kamera (+ mit neuer Wlan SSID), gibt der Kamera eine IP Adresse in seinem LAN Netz. An die 4060 hänge ich dann wiederum den 3000 AX Repeater als LAN Brücke und der wählt sich als Client in den WLan Gastzugang der 6690 ein.
Oder ist das grunsätzlich Quatsch?
Ich bin hier im haus der Einzige der sich nur ansatzweise mit so etwas auskennt, und das wäre für mich so eine Art Anfänger Plug and Play Lösung die ich noch weiter vermitteln könnte.
Ich könnte dann entweder über die neue SSID des neuen Wlan Netzes der 4060 in der Garage auf die IP Adresse Kamera oder über die besagte HIK Vision App über den Internet Umweg, den die Clients sich im Haus suchen.
Ich weiß, viel unnütze Hardware im Einsatz, was mann sicher schlanker und preiswerter haben könnte.
Aber würde es meinen Zweck an Sicherheit lokal erfüllen ? (solange sich keiner in das Gäste Wlan oder das neue Wlan der 4060 einhackt, dann ist eh vorbei)?
Man käme doch maximal, wenn man das Kabel der Kamera sabitiert ins Garagen LAN und ins Internet aber nicht in das Haus WLAN oder LAN, das würde doch der Gästezugang der 6690 sicher verhindern, oder?
Es ist zwar off topic, aber vielleicht ließt es jemand: Wie ist die Sicherheit dieser HIK Connect AppPP Lösung zu beurteilen? Finger weg und alles lokal oder geht so (politsche Diskussion)?
Ich bin begeister, dass mir so schnell geholfen wird, ich habe leider nur ganz rudimentäre Kenntnisse.
Mal angenommen ich will doch mit der Kamera ins Internet um dann mit der HIk Connect App auf die Kamera zuzugreifen, mit all den Zugeständnissen an die Sicherheit über die Server der Fa. HIKVISION und HIK Connect:
Würde der Weg gehen:
Ich nehme eine der 4060 aus dem Haus, resette die, installiere die als Router an dem PoE Switch in der Garage, die macht ein eigenes neues Netz für die Kamera (+ mit neuer Wlan SSID), gibt der Kamera eine IP Adresse in seinem LAN Netz. An die 4060 hänge ich dann wiederum den 3000 AX Repeater als LAN Brücke und der wählt sich als Client in den WLan Gastzugang der 6690 ein.
Oder ist das grunsätzlich Quatsch?
Ich bin hier im haus der Einzige der sich nur ansatzweise mit so etwas auskennt, und das wäre für mich so eine Art Anfänger Plug and Play Lösung die ich noch weiter vermitteln könnte.
Ich könnte dann entweder über die neue SSID des neuen Wlan Netzes der 4060 in der Garage auf die IP Adresse Kamera oder über die besagte HIK Vision App über den Internet Umweg, den die Clients sich im Haus suchen.
Ich weiß, viel unnütze Hardware im Einsatz, was mann sicher schlanker und preiswerter haben könnte.
Aber würde es meinen Zweck an Sicherheit lokal erfüllen ? (solange sich keiner in das Gäste Wlan oder das neue Wlan der 4060 einhackt, dann ist eh vorbei)?
Man käme doch maximal, wenn man das Kabel der Kamera sabitiert ins Garagen LAN und ins Internet aber nicht in das Haus WLAN oder LAN, das würde doch der Gästezugang der 6690 sicher verhindern, oder?
Es ist zwar off topic, aber vielleicht ließt es jemand: Wie ist die Sicherheit dieser HIK Connect AppPP Lösung zu beurteilen? Finger weg und alles lokal oder geht so (politsche Diskussion)?
Das mit "baulicher Hardware" gegen Sabotage abzusichern, erscheint mir zu aufwendig und optisch auffällig, bzw. so richtig traue ich dem nicht.
Grundsätzlich wird ja gar keiner den Aufwand betreiben überhaupt in den Garten einzubrechen, das Kabel in 3 Meter Höhe zu kappen, eine MAC vortäuschen um in mein Netz zu kommen. Spätestens am nächsten morgen würde ich es merken, aber die Möglichkeiten bieten möchte ich trotzdem nicht.
So meine Einschätzung.
Ich habe gerade noch eine weitere Idee gepostet, was ist davon zu halten?
Grundsätzlich wird ja gar keiner den Aufwand betreiben überhaupt in den Garten einzubrechen, das Kabel in 3 Meter Höhe zu kappen, eine MAC vortäuschen um in mein Netz zu kommen. Spätestens am nächsten morgen würde ich es merken, aber die Möglichkeiten bieten möchte ich trotzdem nicht.
So meine Einschätzung.
Ich habe gerade noch eine weitere Idee gepostet, was ist davon zu halten?
Zitat von @LeiderAnfaenger:
Spätestens am nächsten morgen würde ich es merken, aber die Möglichkeiten bieten möchte ich trotzdem nicht.
Spätestens am nächsten morgen würde ich es merken, aber die Möglichkeiten bieten möchte ich trotzdem nicht.
Dann ist es I.d.R zu spät. Und wenn Du als Ziel interessant genug bist, hat er da ein mitm-Device installiert, so daß Du es eben nicht merkst.
lks
Sehe ich auch so, ich bin zwar vollkommen uninteressant,
da klaut mir eher jemand den PKW oder dessen Felgen vor der Tür,
aber trotzdem deswegen lieber eine Lösung, die die beiden Netze trennt.
da klaut mir eher jemand den PKW oder dessen Felgen vor der Tür,
aber trotzdem deswegen lieber eine Lösung, die die beiden Netze trennt.
Zitat von @LeiderAnfaenger:
Würde der Weg gehen:
Ich nehme eine der 4060 aus dem Haus, resette die, installiere die als Router an dem PoE Switch in der Garage, die macht ein eigenes neues Netz für die Kamera (+ mit neuer Wlan SSID), gibt der Kamera eine IP Adresse in seinem LAN Netz. An die 4060 hänge ich dann wiederum den 3000 AX Repeater als LAN Brücke und der wählt sich als Client in den WLan Gastzugang der 6690 ein.
Würde der Weg gehen:
Ich nehme eine der 4060 aus dem Haus, resette die, installiere die als Router an dem PoE Switch in der Garage, die macht ein eigenes neues Netz für die Kamera (+ mit neuer Wlan SSID), gibt der Kamera eine IP Adresse in seinem LAN Netz. An die 4060 hänge ich dann wiederum den 3000 AX Repeater als LAN Brücke und der wählt sich als Client in den WLan Gastzugang der 6690 ein.
Sofern von der 4060 ein direkter Weg an das Gästenetz der 6690 geht (also WLAN-Verbindung besteht ohne weitere Geräte dazwischen), und im Gästenetz der 6690 sonst nichts ist, sollte das funktionieren.
Dann würde ich schauen, was Dein PoE-Switch an Strom verbraucht. Wenn der genügsam ist, ok, ansonsten kann der ja problemlos durch einen reinen Injektor (wie diesen von TP-Link) ersetzt werden.
Aber würde es meinen Zweck an Sicherheit lokal erfüllen ? (solange sich keiner in das Gäste Wlan oder das neue Wlan der 4060 einhackt, dann ist eh vorbei)?
Eigentlich auch nicht, denn Du willst ja Dein Heimnetz schützen, und wer das Wlan der 4060 knackt, kommt erst einmal nur zur Kamera und ins Internet (und, technisch gesehen, zur 6690).Man käme doch maximal, wenn man das Kabel der Kamera sabitiert ins Garagen LAN und ins Internet aber nicht in das Haus WLAN oder LAN, das würde doch der Gästezugang der 6690 sicher verhindern, oder?
Das ist der Sinn des Gastzugangs.Gruß
DivideByZero
