Bewakingscamera op andere VLAN - Netwerken

vrijdag 3 november 2017 00:43

Acties:

Topicstarter

Hallo allemaal.

Ik heb sinds een tijdje een Hikvision camera welke buiten bij mijn voordeur hangt, deze werkt perfect! Er is alleen 1 nadeel, en dat is dat deze camera gewoon op mijn privé netwerk zit. Dus als iemand de camera van het plafond schroeft en een laptopje aan sluit zit hij/zij rechtstreeks op mijn privé netwerk, dit wil ik voorkomen door de camera op een aparte VLAN te gooien. Als core switch gebruik ik een Netgear GS724T V4, daarop aangesloten zit een TP-Link TL-SG108e, de camera zit op de TP-Link switch aangesloten. Ik heb de VLAN al aangemaakt in mijn router en in de switches, maar ik kom er nog niet helemaal uit. Heb op de netgear VLAN 10 (CCTV VLAN) op poort 1 (uplink vanaf router) en poort 2 (uplink naar TP-Link switch) op tagged gezet. Afbeeldingslocatie: https://image.koningnet.nl/2017-11-03_00-40-13.jpg

Afbeeldingslocatie: https://image.koningnet.nl/2017-11-03_00-40-13.jpg

En vervolgens heb ik in de TP-Link switch poort 1 (uplink vanaf Netgear switch) en poort 6 (IP camera) op untagged gezet, zodat poort 6 enkel op VLAN 10 kan. Afbeeldingslocatie: https://image.koningnet.nl/2017-11-03_00-41-39.jpg

Afbeeldingslocatie: https://image.koningnet.nl/2017-11-03_00-41-39.jpg

Maar nog steeds krijgt de camera een adres in mijn privé netwerk, en niet op het nieuwe CCTV netwerk. Wat doe ik fout?

vrijdag 3 november 2017 06:00

Acties:

Microkid

Frontpage Admin / Moderator PW/VA

Smile

Normaliter moet je het device ook vertellen in welk VLAN het valt. Kan dat uberhaupt bij je camera?

4800Wp zonnestroom met Enphase
Life's a waste of time. Time's a waste of life. Get wasted all the time and you'll have the time of your life.

vrijdag 3 november 2017 06:50

Acties:

nescafe

MaxTheKing schreef op vrijdag 3 november 2017 @ 00:43:
Heb op de netgear VLAN 10 (CCTV VLAN) op poort 1 (uplink vanaf router) en poort 2 (uplink naar TP-Link switch) op tagged gezet. [afbeelding] En vervolgens heb ik in de TP-Link switch poort 1 (uplink vanaf Netgear switch) en poort 6 (IP camera) op untagged gezet, zodat poort 6 enkel op VLAN 10 kan. [afbeelding]Maar nog steeds krijgt de camera een adres in mijn privé netwerk, en niet op het nieuwe CCTV netwerk. Wat doe ik fout?

Op je TP-Link moet je VLAN10 tagged op port 1 zetten. Nu zet je de untagged traffic door naar VLAN10 waardoor ie op poort 6 uitkomt. Overigens niet netjes dat je untagged en tagged traffic mixt op je trunk (poort 2 Netgear <=> poort 1 TP-Link, VLAN1 untagged en VLAN10/40 tagged) maar technisch wel mogelijk.

Bied je dan ook een tweede netwerk (ip-segment + dhcp-server) aan vanaf je router (merk/type) op vlan10?

Microkid schreef op vrijdag 3 november 2017 @ 06:00:
Normaliter moet je het device ook vertellen in welk VLAN het valt. Kan dat uberhaupt bij je camera?

Juist niet.. port 6 is een acces port waarop je maar 1 VLAN (10) aanbiedt. Door dit untagged te doen hoeft je end device niets te weten van vlans en/of tagging.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

vrijdag 3 november 2017 10:10

Acties:

Zaffo

nescafe schreef op vrijdag 3 november 2017 @ 06:50:Bied je dan ook een tweede netwerk (ip-segment + dhcp-server) aan vanaf je router (merk/type) op vlan10?

Als ik het zo snel zie lijkt het inderdaad dat het voor de router allemaal weer op hetzelfde subnet zit.

nescafe schreef op vrijdag 3 november 2017 @ 06:50:[...]

Juist niet.. port 6 is een acces port waarop je maar 1 VLAN (10) aanbiedt. Door dit untagged te doen hoeft je end device niets te weten van vlans en/of tagging.

Inderdaad.

vrijdag 3 november 2017 11:36

Acties:

MaxTheKing

Topicstarter

Microkid schreef op vrijdag 3 november 2017 @ 06:00:
Normaliter moet je het device ook vertellen in welk VLAN het valt. Kan dat uberhaupt bij je camera?

Kan inderdaad bij de Camera, maar ik wil op de poort waar de camera op aangesloten zit maar één VLAN aanbieden, alleen VLAN 10, en dus niet de default VLAN (1).

vrijdag 3 november 2017 11:39

Acties:

MaxTheKing

Topicstarter

nescafe schreef op vrijdag 3 november 2017 @ 06:50:
[...]

Op je TP-Link moet je VLAN10 tagged op port 1 zetten. Nu zet je de untagged traffic door naar VLAN10 waardoor ie op poort 6 uitkomt. Overigens niet netjes dat je untagged en tagged traffic mixt op je trunk (poort 2 Netgear <=> poort 1 TP-Link, VLAN1 untagged en VLAN10/40 tagged) maar technisch wel mogelijk.

Misschien een domme vraag, maar wat is hier precies niet netjes aan? Kunnen hier problemen uit ontstaan?

nescafe schreef op vrijdag 3 november 2017 @ 06:50:
[...]
Bied je dan ook een tweede netwerk (ip-segment + dhcp-server) aan vanaf je router (merk/type) op vlan10?

Het gaat om een virtuele pfSense machine, tweede DHCP server, IP segment en firewall rules zijn al aangemaakt.

vrijdag 3 november 2017 13:09

Acties:

nescafe

MaxTheKing schreef op vrijdag 3 november 2017 @ 11:39:
[...]

Misschien een domme vraag, maar wat is hier precies niet netjes aan? Kunnen hier problemen uit ontstaan?

Het is meer by convention. Als je een trunk of access-port maakt filter je bij voorkeur op tagged resp. untagged traffic. Als je het mixt krijg je mogelijk verwarring in toekomstige troubleshooting/uitbreiding en aangezien de meeste network devices untagged traffic een standaard VLAN (PVID) meegeven kan je hierdoor ook in de knoei raken.

Vergelijk het met de kleurcodering van een UTP-stekker, je kunt prima afwijken van T568B zolang je dezelfde aders combineert in pairs, maar je maakt het jezelf en anderen onnodig lastig

[google=tagged untagged mixed]

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

vrijdag 3 november 2017 15:45

Acties:

MaxTheKing

Topicstarter

nescafe schreef op vrijdag 3 november 2017 @ 13:09:
[...]

Het is meer by convention. Als je een trunk of access-port maakt filter je bij voorkeur op tagged resp. untagged traffic. Als je het mixt krijg je mogelijk verwarring in toekomstige troubleshooting/uitbreiding en aangezien de meeste network devices untagged traffic een standaard VLAN (PVID) meegeven kan je hierdoor ook in de knoei raken.

Vergelijk het met de kleurcodering van een UTP-stekker, je kunt prima afwijken van T568B zolang je dezelfde aders combineert in pairs, maar je maakt het jezelf en anderen onnodig lastig

[google=tagged untagged mixed]

Aha, Duidelijk! Maar dit is volgens mij de enige manier hoe het kan. Er is slechts één uplink kabel die van de netgear naar de TP-Link gaat, dus alle VLAN's moeten wel over deze ene kabel lopen helaas.

vrijdag 3 november 2017 16:09

Acties:

MaxTheKing

Topicstarter

Kan het zijn dat ik eventueel nog een PVID moet instellen op de TP-Link switch?

vrijdag 3 november 2017 16:41

Acties:

Paul

De poort met de camera: VLAN untagged + PVID, verder niet lid van andere VLAN's

De poort met de uplink naar de andere switch: Alle VLAN's tagged, geen PVID. Als PVID verplicht is dan kies je een VLAN (VLAN 1?) dat je als PVID invult. Dat VLAN zet je dan ook (als enige) untagged op die poort.

Hoe je het naar je hypervisor en vervolgens naar pfSense krijgt hangt er van af hoe je het hebt aangesloten; zowel het fysieke deel (van de switch naar de hypervisor) als virtueel (heeft de pfSense machine meerdere virtuele netwerkkaarten of doe je het daar ook met VLANs?).

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

vrijdag 3 november 2017 16:55

Acties:

MaxTheKing

Topicstarter

Paul schreef op vrijdag 3 november 2017 @ 16:41:
De poort met de camera: VLAN untagged + PVID, verder niet lid van andere VLAN's

De poort met de uplink naar de andere switch: Alle VLAN's tagged, geen PVID. Als PVID verplicht is dan kies je een VLAN (VLAN 1?) dat je als PVID invult. Dat VLAN zet je dan ook (als enige) untagged op die poort.

Hoe je het naar je hypervisor en vervolgens naar pfSense krijgt hangt er van af hoe je het hebt aangesloten; zowel het fysieke deel (van de switch naar de hypervisor) als virtueel (heeft de pfSense machine meerdere virtuele netwerkkaarten of doe je het daar ook met VLANs?).

Virtueel had ik een foutje gemaakt, had de VLAN nog niet toegevoegd in het networking gedeelte van ESXi. Kom er net achter dat VLAN 1 onmogelijk te verwijderen is op een TP-Link smart switch. VLAN 1 staat standaard op untagged op elke poort, en dit is niet aan te passen. Als ik het PVID van de camera poort op 10 zet werkt het wel, maar dit is volgens mij alleen welke VLAN er standaard wordt meegegeven, en volgens mij kan de camera dan nog steeds bij VLAN 1.

vrijdag 3 november 2017 17:04

Acties:

Paul

MaxTheKing schreef op vrijdag 3 november 2017 @ 16:55:
VLAN 1 staat standaard op untagged op elke poort, en dit is niet aan te passen

Jawel, maar dan moet je eerst VLAN 10 untagged member maken en PVID op 10 zetten, anders zou de poort in een ongeldige status komen (geen PVID en/of van geen enkel VLAN meer lid).

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

vrijdag 3 november 2017 17:12

Acties:

MaxTheKing

Topicstarter

Gedaan. Poort 6 is untagged (VLAN 10), en heb het PVID van poort 6 op 10 gezet, maar alsnog kan ik niets aanpassen m.b.t. de Default VLAN (1). Screenshots:
http://image.koningnet.nl/2017-11-03_17-11-07.jpg
http://image.koningnet.nl/2017-11-03_17-12-05.jpg
http://image.koningnet.nl/2017-11-03_17-12-15.jpg

[ Voor 5% gewijzigd door MaxTheKing op 29-01-2021 14:35 ]

zaterdag 4 november 2017 00:39

Acties:

nescafe

Zie: Default vlan (vlan1) op TP-Link SG105E 5 poorts switch

Advies is om af te stappen van VLAN1 en deze alleen nog voor management purposes in te zetten. Lekker flexibel ben je dan. Is er niet toevallig een firmware-update beschikbaar waar deze wazige constraint is uitgesloopt?

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

Pagina: 1

Reageer