Toon posts:

IP camera's isoleren met extra router

Pagina: 1
Acties:

Vraag

woensdag 1 januari 2020 14:00

Acties:
  • 0 Henk 'm!
  • mvanzelst1
  • Registratie: December 2011
  • Laatst online: 13:56

mvanzelst1

Topicstarter
Beste allen.

Ik heb in mijn woning een aantal IP-camera's hangen van Hikvision. Beelden hiervan worden opgeslagen op een NAS (Synology DS119J). Nu zou ik heel graag dit gedeelte van mijn interne netwerk willen scheiden (zodat iemand die bij de camera's kan niet bij mijn bestanden op het interne netwerk kan).
Ik heb hiervoor een extra router aangeschaft (Mikrotik RB960PGS), maar snap niet helemaal hoe ik de mikrotik in moet stellen.
Mijn interne netwerk heeft IP-adressen in de range van 192.168.0.xxx en het lijkt me dat het camera gedeelte dan een andere range gaat krijgen. De camera's hoeven geen verbinding met internet te maken, maar de NAS wel. Ook zou het fijn zijn als ik de NAS aankan vanaf mijn interne netwerk.
...

In de volgende link heb ik een overzicht gemaakt van de huidige situatie:
https://i.imgur.com/wqs7Ezx.jpg
De volgende link zou dan moeten worden zoals ik het zou willen hebben:
https://i.imgur.com/cblvD0U.jpg
...

Ik had al geprobeerd om het eerst via VLAN's te doen, maar helaas ondersteund de experiabox geen VLAN's. Vandaar dat ik een extra router aan heb geschaft. Ik weet alleen niet hoe ik dan een netwerk moet maken waarbij er verschillende IP-ranges gebruikt worden.
...

Kan iemand me op weg helpen met het instellen van de Mikrotik? Eventueel met wat leesvoer over hoe om te gaan met 2 ip-ranges in een netwerk?

Alvast hartelijk bedankt!

Alle reacties

donderdag 2 januari 2020 14:19

Acties:
  • 0 Henk 'm!
  • kosz
  • Registratie: Juni 2001
  • Nu online

kosz

Ik was al een heel verhaal aan het typen over routeringen en dubbel nat, maar je wilt ervoor zorgen dat netwerken niet bij elkaar kunnen... hoe wil je dat doen met switches vraag ik me dan af ?
En hoe wil je straks dan nog bij je camra/nas komen ? ergens zullen de routes elkaar moeten kunnen vinden en dat gaat niet gebeuren in jouw voorestelde setup.
Het lijkt me een beter idee om de experiabox te vervangen met een firewall en daar alle laag 3 zaken op af te handelen, en policy's maken wat er wel en niet bij elkaar mag komen.
Een redelijke firewall hoeft ook geen arm en een been te kosten, maar dan heb je wel een gedegen,- ipv een knutsel oplossing.

donderdag 2 januari 2020 14:25

Acties:
  • 0 Henk 'm!
  • Wolfboy
  • Registratie: Januari 2001
  • Niet online

Wolfboy

ubi dubium ibi libertas

Je hoeft in dit geval niet eens een aparte IP range in te stellen, de Mikrotik moet alleen als firewall dienen zodat er geen verkeer van het normale netwerk naar de Mikrotik gaat en omgekeerd.

Al kan je uiteraard er ook voor kiezen om de Mikrotik als volwaardig router te laten dienen en op die manier een apart subnet in te stellen. Voor de rest blijft de werkwijze hetzelfde, de Mikrotik zal je als firewall moeten laten dienen om alleen specifieke dingen toe te staan.

Voorbeeldje in router modus (let erop dat je in router modus een apart subnet gebruikt!)
code:
1
2
3
4
5
6
7
8
9

/ip firewall address-list
add list=cctv address=192.168.1.100 comment=camera_nas
add list=cctv address=192.168.1.101 comment=camera_1
add list=cctv address=192.168.1.102 comment=camera_2
add list=cctv address=192.168.1.103 comment=camera_3

/ip firewall filter
add chain=forward protocol=tcp dst-port=80 dst-address-list=cctv comment="allow http to cameras" action=accept
add chain=forward action=drop


Als je geen routing wil en dus als simpele bridge binnen hetzelfde subnet wil werken dan is het iets anders, in plaats van "/ip firewall" gebruik je dan "/interface bridge filter": https://wiki.mikrotik.com...ce/Bridge#Bridge_Firewall

[ Voor 47% gewijzigd door Wolfboy op 03-01-2020 14:05 ]

Blog [Stackoverflow] [LinkedIn]

donderdag 2 januari 2020 14:45

Acties:
  • 0 Henk 'm!
  • GlowMouse
  • Registratie: November 2002
  • Niet online

GlowMouse

Wolfboy schreef op donderdag 2 januari 2020 @ 14:25:
Voorbeeldje in router modus
code:
1
2
3
4
5
6
7
8
9

/ip firewall address-list
add list=cctv address=192.168.0.100 comment=camera_nas
add list=cctv address=192.168.0.101 comment=camera_1
add list=cctv address=192.168.0.102 comment=camera_2
add list=cctv address=192.168.0.103 comment=camera_3

/ip firewall filter
add chain=forward protocol=tcp dst-port=80 dst-address-list=cctv comment="allow http to cameras" action=accept
add chain=forward action=drop
Moeten de camera's voor 'router modus' niet in een ander subnet? En hoe gaat het retourverkeer (de 'ACK' na een 'SYN' op poort 80) langs die firewall? Is die firewall te omzeilen door de camera een ander ip-adres te geven?

donderdag 2 januari 2020 14:50

Acties:
  • 0 Henk 'm!
  • Ora et Labora
  • Registratie: September 2003
  • Laatst online: 16:41

Ora et Labora

kosz schreef op donderdag 2 januari 2020 @ 14:19:
Ik was al een heel verhaal aan het typen over routeringen en dubbel nat, maar je wilt ervoor zorgen dat netwerken niet bij elkaar kunnen... hoe wil je dat doen met switches vraag ik me dan af ?
Een layer 3 switch en deze laten functioneren als default gateway, vanaf hier de 0.0.0.0 routeren naar de Xperiabox. In de switch kun je dan ook accesrules aanmaken voor de verschillende VLANS, switch is dan ook router, werkt prima.

Maar als de synology voor beide netwerken bereikbaar moet zijn en voor de camera's alleen voor opslag van beelden, moet je er een firewall tussen zetten. Met alleen routeren red je dat niet.

[ Voor 3% gewijzigd door Ora et Labora op 02-01-2020 14:50 ]

Who's general failure, and why is he reading my disk?

donderdag 2 januari 2020 15:17

Acties:
  • 0 Henk 'm!
  • Wolfboy
  • Registratie: Januari 2001
  • Niet online

Wolfboy

ubi dubium ibi libertas

GlowMouse schreef op donderdag 2 januari 2020 @ 14:45:
[...]

Moeten de camera's voor 'router modus' niet in een ander subnet? En hoe gaat het retourverkeer (de 'ACK' na een 'SYN' op poort 80) langs die firewall? Is die firewall te omzeilen door de camera een ander ip-adres te geven?
Ja, goed punt. Ik had niet gekeken naar de IP range van de TS. De IP adressen in de adreslijst zijn slecht gekozen nu :P

Het voorbeeldje was ook een vrij basale versie, extra regels voor RELATED/ESTABLISHED moeten er sowieso nog bij ja. Het omzeilen is door de standaard drop regel geen probleem.

Blog [Stackoverflow] [LinkedIn]

donderdag 2 januari 2020 16:44

Acties:
  • 0 Henk 'm!
  • mvanzelst1
  • Registratie: December 2011
  • Laatst online: 13:56

mvanzelst1

Topicstarter
Dank allen voor de geweldige reacties! Voor mij persoonlijk klinkt dit allemaal erg ingewikkeld, maar in ieder geval fijn om te weten dat het met mijn infrastructuur wel mogelijk zou moeten zijn. Zodra ik weer wat tijd heb (/krijg van mijn kinderen) ga ik de voorgestelde suggesties uitproberen en natuurlijk laten weten wat heeft gewerkt voor mij.

Even een kleine update:
Vandaag kon ik er mee verder gaan. Kom ik erachter dat de adapter die meegeleverd was een 24V adapter was. Helaas moet je voor PoE (af-standaard) een 48V adapter hebben en dus werkte mijn camera's niet. Adapter staat in bestelling en dan hopelijk kan ik het volgende week allemaal afronden :).

Update: allen nogmaals dank. Na het ontvangen van de andere adapter ben ik er mee verder gegaan en kwam er al snel achter dat ik niet genoeg weet over netwerken om het mooi in te richten zoals ik het in gedachten had. Vandaar de knoop doorgehakt om de MikroTik met IP-camera's en NAS fysiek los te koppelen van mijn thuis netwerk. Dit is voor mij de enige zekerheid dat er niemand op mijn thuisnetwerk kan komen via mijn IP-camera's of de kabels van de IP-camera's. Niet helemaal bevredigend, omdat het ook moeilijker is om mijn camera's en NAS te benaderen, maar voor mij de makkelijkste oplossing met de gebrekkige kennis die ik heb.

[ Voor 63% gewijzigd door mvanzelst1 op 01-02-2020 16:40 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq