pitamerica
Goto Top

VLAN für IP Kameras aber trotzdem Zugriff per VPN

Hallo zusammen,

ich habe vor einige IP Kameras mit dem dazugehörigem NVR und Access Point für die Wifi Kameras in ein VLAN zu legen.

Nun möchte ich aber per VPN über Handy die Aufzeichnungen ansehen und auf meinem Fileserver zugreifen.

Der NVR ist in einem VLAN und der FileServer in einem anderen. Eben zur Sicherheit.

Gibt es nun einen Weg, wenn per VPN die Verbindung aufgebaut ist in beide VLANS zu kommen ohne es wieder unsicher zu machen ?

Content-Key: 368966

Url: https://administrator.de/contentid/368966

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: Looser27
Looser27 22.03.2018 um 19:59:27 Uhr
Goto Top
Klar. Du mußt Dir nur Zugriff vom VPN Netz in die beiden VLAN geben. Welche Firewall setzt Du denn ein?

Gruß Looser
Mitglied: pitamerica
pitamerica 22.03.2018 um 20:06:24 Uhr
Goto Top
Ich bin gerade dabei pfsense einzurichten.
Mitglied: Lochkartenstanzer
Lösung Lochkartenstanzer 22.03.2018 um 20:50:41 Uhr
Goto Top
Zitat von @pitamerica:

Ich bin gerade dabei pfsense einzurichten.


Dann konfigurier die Routen und Zugriffsregeln passend zu Deinen Bedürfnissen. Ist gar kein problem damit.

lks
Mitglied: pitamerica
pitamerica 22.03.2018 um 20:53:00 Uhr
Goto Top
Danke !
Mitglied: aqui
aqui 23.03.2018 um 08:40:03 Uhr
Goto Top
Ich bin gerade dabei pfsense einzurichten.
Ist damit kein Problem !
Welches der zahllosen VPN Protokolle willst du denn verwenden ??

Die Beispiele für IPsec und OpenVPN hier im Forum kennst du ja sicher...
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Mitglied: pitamerica
pitamerica 28.03.2018 um 13:48:33 Uhr
Goto Top
Jetzt muss ich nochmal etwas generelles fragen.

Ich habe hier ein stink normales Netz mit einer Fritz BOX für Internet und Telefonie.
Wenn ich nun das Netz abschotten will, müsste doch nach der Fritzbox erstmal die PFSense kommen und am zweiten LAN Anschluss dann der Switch mit dem internen Netz, oder ?

Oder kann ich einfach die PFSense ins Netz nehmen und dann bei den Clients die IP der PFSense als Gateway eintragen ?

Was ich auch noch nicht verstanden habe, die FritzBox hat von mir aus intern 192.168.178.1. Die kommt an den WAN Anschluss der PFSense. Der WAN der PFSense muss dann wohl auch im 192.168.178.x Netz sein oder ? Der LAN Anschluss der PFSense, der auf meinen Switch geht, kann dann 192.168.1.x oder 192.168.0.x sein ?

Habe gegoogled aber vermutlich falsch gesucht. Wäre dankbar für ein paar Infos, danke.
Mitglied: aqui
Lösung aqui 28.03.2018 um 13:58:25 Uhr
Goto Top
müsste doch nach der Fritzbox erstmal die PFSense kommen und am zweiten LAN Anschluss dann der Switch mit dem internen Netz, oder ?
Ja, das ist richtig !
Oder kann ich einfach...
Hier kannst du sehen wie es genau gemacht wird: (Stichwort: Router Kaskade)
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Sogar mit bunten Bildern... face-wink
die FritzBox hat von mir aus intern 192.168.178.1. Die kommt an den WAN Anschluss der PFSense
Richtig !
WAN Port pfSense wird auf LAN Port FB gesteckt. Simple Router Kaskade.
Der WAN der PFSense muss dann wohl auch im 192.168.178.x Netz sein oder ?
Logisch, denn sonst könnten die beiden ja niemals miteinander reden. Sprich die pfSense bekommt z.B. die 192.168.178.254 mit einer 24 Bit Maske.
der auf meinen Switch geht, kann dann 192.168.1.x oder 192.168.0.x sein ?
Nicht nur das ! Er darf auch 192.168.167.0 /24 oder 172.32.1.0 /24 oder 10.1.1.0 /24 oder oder haben. Du kannst zwischen millionenfachen privaten IP Netzen frei wählen !!! Guckst du hier:
https://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche
Wenn du mit einem VPN planst sollte du aus naheligendne Gründen gerade nicht diese dämlichen 192.168.1.x oder 192.168.0.x Allerwelts IPs nehmen ! Warum... ?? Hier lesen:
VPNs einrichten mit PPTP
Fazit:
Einmal die Tutorials lesen, nachdenken, und dann "machen" ! face-wink
Mitglied: Lochkartenstanzer
Lochkartenstanzer 28.03.2018 um 14:06:39 Uhr
Goto Top
Zitat von @pitamerica:

Jetzt muss ich nochmal etwas generelles fragen.



Du schließt die PFsens mit dem WAN-Port an die fritzbox an. Dann erhält der WAN-Port eine IP-Adresse aus dem LAN.bereich der Fritzbox, i.d.R. 192.168.178.X/24 wenn man die default-einstellungen hat.

Dein VLAN-.switch kommt dann an einen der internen Ports der pfsense und Du nimmst da andere Ip-Netze für Deine VLANs. das kann 192.168.X.y/24 sein oder auch 172.x.y.z/24 um andere Netzwerke zu haben.

Due trägst dann in der Fritzbox statische Routen ein, wenn die pfsense kein NAT macht, ansonsten brauchst Du diese nicht.

fertsch wie der Saxe sagt

lks
Mitglied: pitamerica
pitamerica 28.03.2018 um 14:06:52 Uhr
Goto Top
geil ! danke face-smile
Mitglied: aqui
aqui 28.03.2018 aktualisiert um 14:23:31 Uhr
Goto Top
Dann erhält der WAN-Port eine IP-Adresse aus dem LAN.bereich der Fritzbox, i.d.R. 192.168.178.X/24 wenn man die default-einstellungen hat.
Das stimmt ist aber ziemlich kontraproduktiv in einem segmentierten VPN Umfeld !!!
Router und Gateways sollten immer statisch adressiert sein.
Es ist richtig das der WAN Port der pfSense im DHCP Client Mode rennt und sich so die IP, Gateway und DNS von der FB zieht.
Großer Nachteil ist aber das dann ein Port Forwarding vom davor Kaskadierten Router mal in die Hose gehen kann wenn die IP sich durch die Dynmaik von DHCP mal ändert, was sie sicher auch tut.

Besser also hier entweder....
Die IP Auf Basis der WAN Port Mac Adresse des pfSense
wanmac
fest im DHCP Server der FB eintragen so das sichergestellt ist das der WAN Port von der FB auf Basis seiner Mac Adresse IMMER die gleiche IP bekommt.
Oder...
die IP statisch eintragen auf der pfSense (Konfig Type: //Static IPv4) Dann natürlich auch noch DNS und Gateway statisch im Global Setup auf die IP Adresse der FB setzen.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 28.03.2018 um 14:25:38 Uhr
Goto Top
Zitat von @aqui:

Dann erhält der WAN-Port eine IP-Adresse aus dem LAN.bereich der Fritzbox, i.d.R. 192.168.178.X/24 wenn man die default-einstellungen hat.
Das stimmt ist aber ziemlich kontraproduktiv in einem segmentierten VPN Umfeld !!!
Router und Gateways sollten immer statisch adressiert sein.

Stimme ich Dir zu. Ich habe es schon so gemeint, daß der TO de pfsense eine statische IP-Adresse in 192.168.178.0/24 verpaßt, nicht, daß er DHCP nutzen soll. Soltle ich vielleicht das nächste mal explizit hinschreiben.

lks
Mitglied: pitamerica
pitamerica 29.03.2018 um 08:07:53 Uhr
Goto Top
Das hört sich alles sehr gut an. Vielen Dank nochmal !

Ich werde dann versuchen das doppelte NAT zu vermeiden. Nur...wenn die FB nur als Modem fungiert, falls die neue Firmware das noch kann, wie sieht es denn dann mit den Telefonen aus ? Das werde ich vermutlich noch einen eigenen kleinen SIP Server brauchen, oder ?
Mitglied: aqui
Lösung aqui 29.03.2018 aktualisiert um 14:25:32 Uhr
Goto Top
wie sieht es denn dann mit den Telefonen aus ?
Dann brauchst du für die natürlich ein irgendwie anders gelagerten VoIP Adapter wie z.B. einen Cisco SPA 112 z.B.
https://www.reichelt.de/Telefone-VoIP/CISCO-SPA112/3/index.html?ACTION=3 ...

Oder eben dann doch die Router Kaskade....
Mitglied: pitamerica
pitamerica 29.03.2018 um 09:21:31 Uhr
Goto Top
genial, danke !!!
Mitglied: pitamerica
pitamerica 12.11.2018 um 14:59:12 Uhr
Goto Top
Hallo nochmal, könnte mir jemand sagen, bevor ich anfange rumzureissen face-smile ob es genügt am Switch die VLANS zu konfigurieren und dann einfach die Gerät an die entsprechenden Ports anzuschliessen ? Oder müssen auch die Endgeräte VLAN fähig sein ? Weil die Kameras können das nicht, stellte ich gerade fest face-sad
Mitglied: Lochkartenstanzer
Lochkartenstanzer 12.11.2018 um 21:46:55 Uhr
Goto Top
Zitat von @pitamerica:

Hallo nochmal, könnte mir jemand sagen, bevor ich anfange rumzureissen face-smile ob es genügt am Switch die VLANS zu konfigurieren und dann einfach die Gerät an die entsprechenden Ports anzuschliessen ? Oder müssen auch die Endgeräte VLAN fähig sein ? Weil die Kameras können das nicht, stellte ich gerade fest face-sad


Du stelldt am switch die VLANs als untagged ein und gut ist.

lks
Mitglied: aqui
aqui 12.11.2018 um 22:14:23 Uhr
Goto Top
Oder müssen auch die Endgeräte VLAN fähig sein ?
Nein, natürlich nicht !
Du definierst die Zugehörigkeit zu den VLANs ja im Switch Setup wie der Kollege LKS schon richtig sagt.
Am besten nochmal das VLAN Tutorial lesen...und natürlich verstehen !
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mitglied: pitamerica
pitamerica 31.10.2019 um 08:05:08 Uhr
Goto Top
Hallo zusammen, mittlerweile habe ich mir mal endlich die Zeit genommen um mit dem Thema weiterzukommen.
Die Kameras sind mittlerweile in einem eigenen VLAN und werden durch einen per IP erreichbaren NetworkVideoRecorder gesteuert und laufen !

Natürlich kann ich diese jetzt nicht mehr in der iOS App sehen, weil sie ja in einem VLAN liegen und die VPN Einwahl ja in dem Standard VLAN passiert. Die Kameras haben feste IP´s.

Wie kann ich denn jetzt konfigurieren, dass ich per VPN in mein default VLAN komme aber auch auf die IP des NetworkVideoRecorder ? Die VPN Einwahl an sich läuft ja prima. Aber eben in das andere VLAN.


Konfig :

Die Firewall ist Hardware, keine PFSense


Fritzbox vor Firewall (DSL)
VLAN in Firewall erstellt
getaggte Geräte am Switch


Vielen Dank schon mal face-smile
Mitglied: Looser27
Looser27 31.10.2019 um 10:20:02 Uhr
Goto Top
Die Lösung hierzu steht ganz oben in den ersten paar Kommentaren face-wink
Mitglied: Lochkartenstanzer
Lochkartenstanzer 31.10.2019 um 10:30:20 Uhr
Goto Top
Zitat von @pitamerica:

Wie kann ich denn jetzt konfigurieren, dass ich per VPN in mein default VLAN komme aber auch auf die IP des NetworkVideoRecorder ? Die VPN Einwahl an sich läuft ja prima. Aber eben in das andere VLAN.


VLAN für IP Kameras aber trotzdem Zugriff per VPN

lks
Mitglied: aqui
aqui 31.10.2019 um 17:49:43 Uhr
Goto Top
Die Firewall ist Hardware, keine PFSense
Der war gut !!!
Die pfSense ist also keine Hardware....interessant ! 🤦‍♂️
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Muss man sicher nicht weiter kommentieren...