Hoe kan ik een VLAN instellen voor beveiliging camera's?

Als je ze geen internet wilt geven en je netwerkapparatuur ondersteunt geen VLANs dan is er de simpele andere optie: geen VLAN maar gewoon een apart LAN. Dwz dat je de camera's en alles wat ermee te maken heeft (NVR?) op een aparte switch aansluit die je niet op de rest van je netwerk aansluit.

CyBeR schreef op zondag 2 juni 2024 @ 21:19:
Als je ze geen internet wilt geven en je netwerkapparatuur ondersteunt geen VLANs dan is er de simpele andere optie: geen VLAN maar gewoon een apart LAN. Dwz dat je de camera's en alles wat ermee te maken heeft (NVR?) op een aparte switch aansluit die je niet op de rest van je netwerk aansluit.

Dan kun je echter niet bij de camera’s komen zonder apart in te pluggen op de NVR of switch.

Met een VLAN zonder router (of beter een firewall) lukt dat ook niet, omdat er nergens regels kunnen worden gedefinieerd welke dicteren welk verkeer wel en niet van en naar de camera’s mag.

De eeuwige balans tussen gemak en security

Ik ben het met @CyBeR eens: zet een losse router achter jouw KPN router, laat deze een VPN service draaien (denk aan de port forward hiervoor in je KPN router) voor externe toegang. En zorg dat je losse router voor het interne netwerk beschikbaar is (firewall losse router). Daarmee hoef je en geen VLAN in te richten en heb je de exacte funciotnaliteit die je wil.

Als je toch iets gaat aanschaffen, neem dan een switch met vlan ondersteuning.
Voor een paar tientjes heb je er eentje.
Maak het jezelf niet ingewikkeld met een extra router en constructies met vpn's etc.

Ik vermoed dat er ook wel forumleden zijn die je willen helpen met configureren en meedenken.

lier schreef op zondag 2 juni 2024 @ 21:42:
Ik ben het met @CyBeR eens: zet een losse router achter jouw KPN router, laat deze een VPN service draaien [...]

Ik snap wat je bedoeld, en de TS stipt het ook aan, maar bij KPN kun je ook een eigen router kiezen. Dan hoef je geen twee apparaten van stroom te voorzien en maak je de netwerktopologie toch net wat eenvoudiger. Ik gebruik hiervoor bijvoorbeeld een ASUS Router, waar op GoT een heel topic aan gewijd is: [KPN Glasvezel] Een eigen Asus router gebruiken met een enorm fijne handleiding.

Helaas zijn de Pro modellen van ASUS, met VLAN's, nogal aardig geprijsd. Of je moet zelf wat willen hobbyen, want dan kan het ook op de reguliere modellen. Andere optie is het veelbesproken Unifi spul. Dan heb je ook VLAN ondersteuning en PoE. Dat scheelt ook direct kabels trekken bij ondersteunde camera's.

In mijn setup heb ik TP-Link camera's (erg goedkoop) via wifi verbonden en zo in een wifi VLAN zitten. Dat was redelijk eenvoudig. De NVR kan (eenweg) naar de camera's toe verbinden, maar de camera's mogen niet naar buiten.

Synology met twee netwerkpoorten. Tweede netwerkpoort gebruiken voor je camera-lan. Camera's kunnen wel dumpen op de syno, maar kunnen verder nergens heen als je routing op de syno aanzet.

EverLast2002 schreef op zondag 2 juni 2024 @ 21:52:
Als je toch iets gaat aanschaffen, neem dan een switch met vlan ondersteuning.

En wie gaat bepalen wie met wie mag praten (kan je me nog volgen )?

DiedX schreef op zondag 2 juni 2024 @ 22:08:
Synology met twee netwerkpoorten. Tweede netwerkpoort gebruiken voor je camera-lan. Camera's kunnen wel dumpen op de syno, maar kunnen verder nergens heen als je routing op de syno aanzet.

Is natuurlijk wel een meer kostbare oplossing, maar echt heel netjes! Met een vpn service op de NAS heb je je probleem met extern benaderen ook gelijk opgelost.

Heb je (al) een nvr?

[ Voor 47% gewijzigd door lier op 02-06-2024 22:13 ]

EverLast2002 schreef op zondag 2 juni 2024 @ 22:19:
[...]


Je jaagt die jongen wel op kosten

Als hij aan de routers gaat kost het meer. En ergens wil je opnemen lijkt me...

DiedX schreef op zondag 2 juni 2024 @ 22:37:
[...]

Als hij aan de routers gaat kost het meer. En ergens wil je opnemen lijkt me...

Als ik het goed lees wil ie een complete camera en nvr set kopen. Ik lees niks over een NAS.
Met de nvr kan ie opnemen.

VLAN’s zijn een manier om netwerk verkeer gescheiden te houden.
Zie het als een gebouw met verschillende ruimtes. Iemand van de afdeling personeelszaken heeft niks te zoeken in de ruimte waar finance zit. Maar iemand van finance moet misschien wel af en toe bij personeels zaken langs kunnen.
VLANS is een manier en met een iets geavanceerdere router kan je dit oplossen zoals een Edge router (X) of mikrotik.
Zorg met cameras vooral dat je de standaard waardes aanpast. Dus deactiveer het admin account maak een eigen admin account aan onder een andere naam en verander het standaard wachtwoord in een sterk wachtwoord.
Daar gaat het vaak mis: het standaard wachtwoord staat vaak in de handleiding en is binnen 2 tellen te googelen.

Er bestaat altijd een optie om camera's of welk device dan ook een static IP-adres te geven zonder gateway. Op deze manier kan het device niet communiceren met andere netwerken buiten het lokale subnet, eventuele firmware updates e.d. moet je dan wel lokaal doen maargoed.

Voor de volledigheid een VLAN is niks anders dan op zichzelfstaande LANs (dwz, losstaande netwerken) maar dan met gebruik van je bestaande apparatuur, die je virtueel opsplitst in twee (of meer) netwerken. Om tussen VLANs te communiceren heb je een router nodig.

Aangezien jouw apparatuur (en dan m.n. je KPN router) dat niet ondersteunt opper ik dat de simpelste oplossing wellicht is om het gewoon ook fysiek gescheiden te houden en dus helemaal geen internettoegang voor je beveiligingscamera's te hebben. Dat betekent wel dat alles wat tegen die camera's praat (zoals een NVR) in dát netwerk moet zitten. Sommige NAS'en die dergelijke functionaliteit hebben, hebben twee netwerkpoorten en kun je dus met twee netwerken verbinden. En als je zelf bij de camera's wilt om welke reden dan ook moet je jezelf ook even omschakelen naar het (internetloze) cameranetwerk.

Maar dit alles geldt bij het gebruik van VLANs zonder router ook.

Voordeel is dat je het niet fout kunt doen (met beveiligingsrisico's tot gevolg) en dat 't heel overzichtelijk is.

[ Voor 5% gewijzigd door CyBeR op 04-06-2024 19:56 ]

Je hebt niet meer nodig dan een switch. En je moet je camera's (en NVR) van handmatig ingestelde IP-adressen voorzien.

Edit: als je NVR zélf in netwerkpoorten voorziet (je zegt "Aan de NVR zitten de camera's weer verbonden.") dan heb je zelfs helemaal niks nodig.

[ Voor 38% gewijzigd door CyBeR op 04-06-2024 20:30 ]

Niels Niels schreef op dinsdag 4 juni 2024 @ 20:47:
Ja de NVR heeft zelf netwerkpoorten waar de camera's aanhangen. Dus dat kan zo inderdaad stand-alone draaien, dan zou ik alleen lokaal via een client device er niet bij kunnen natuurlijk.

Stel nu dat ik van buitenaf bij de NVR wil, terwijl ik niet thuis ben, hoe kan ik dat dan (veilig) doen? Zonder gebruik te maken van cloud diensten zeg maar.

Dan moet je het zooitje met de rest verbinden, en als je dát wilt doen zonder dat die apparaten bij het internet kunnen heb je een geavanceerdere router nodig die bijvoorbeeld voorziet in remote access via VPN, en de mogelijkheid om meerdere netwerken te hebben (al dan niet met VLANs, da's nog steeds niet per se nodig) en firewallfunctionaliteit waarin je dat in kunt stellen.

Niels Niels schreef op dinsdag 4 juni 2024 @ 18:45:
Dank voor de vele reacties! Ik lees weer een hoop suggesties, maar op vrijwel elke suggestie is een tegenreactie die het eigenlijk weer niet aanbeveelt of wat anders suggereert.. 😅. Ik weet niet zo goed wat ik nu het beste kan doen eigenlijk. Hier mijn korte interpretatie / samenvatting van opties:

• De camera set + NVR op een aparte switch aansluiten, niet je niet op de rest van het netwerk aansluit.
• Iemand vult hierop aan: zet een losse router achter je KPN router, laat deze een VPN service draaien. --> Wat voor router zou hiervoor geschikt zijn?
• Iemand vult hier weer op aan: neem dan switch met VLAN, maak het niet ingewikkeld met extra router.
• Hier reageert iemand weer op: wie bepaalt dan wie met wie mag praten?
• Iemand suggereert om camera’s een static IP-adres te geven zonder gateway --> Hoe stel ik zoiets precies in, en hoe is deze oplossing dan veilig? Waarom ik er lokaal wel bij, maar vanaf buitenaf niet meer?
• Iemand geeft als suggestie om nieuwe router te kopen. --> Het liefst behoud ik mijn KPN router. Als ik een nieuwe router aanschaf heb ik misschien comptabiliteit issues en ik weet vrijwel niks van hoe ik dit juist en veilig moet instellen.

Er zijn meerdere wegen naar Rome inderdaad, en hier zie je ze vaak allemaal

vlan's zijn er voor functionele scheiding en niet voor security.
Als iemand in staat is jouw netwerk te hacken dan is hij ook wel in staat een vlan te "hoppen".

Het grote risico van camera's is echter dat ze vaak via de cloud werken en dat je daar gehacked wordt, of dat dat die cloud door een onbetrouwbare (chinese?) partij beheert wordt, in dat geval doet het er helemaal niet toe wat jij aan maatregelen in je eigen lan neemt.

En fysiek afscheiden beschermt wel de rest van je netwerk tegen zo'n cloud hack, maar maakt het vrij onwerkbaar om de beelden te bekijken, want als je dat doet heb je op dat moment weer een pad naar de rest van je netwerk gemaakt en heb je dus schijn veiligheid.

Tegen wat wil je beveiligen en welke functionaliteit wil je hebben?

• Iemand gaat in je achtertuin een camera demonteren om een netwerkkabel in een laptop te steken?
• De russen willen je camera gebruiken om te kijken naar voertuigen in jouw straat of naar het luchtruim voor vliegbewegingen? Er wordt ook met de camera's in rusland meegekeken.
• Chinese camera is de hele tijd bezig met contact met "mothership" zoeken.
• Je wilt een cameranetwerk van remote kunnen beheren?
• Je wilt notificaties/alarmen op een phone/tablet als er verdachte bewegingen, tampering,... gedetecteerd wordt? En van remote naar zowel live beelden als opnames kunnen kijken?
• Je cameranetwerk is een onderdeel van een groter geheel, je wilt kunnen federeren met andere cameranetwerken. Een vastgoedbelegger/huisbaas kan de behoefte hebben om al zijn/haar vastgoed in 1 applicatie kunnen monitoren.

VLAN is zoals de naam het zegt, virtual LAN. Je kan meerdere losstaande LAN's creëren zonder fysieke scheiding zoals een aparte switch voor een cameranetwerk. Je kan naar behoefte wat poorten aan een VLAN toevoegen of verwijderen ipv het aantal poorten op een switch voor je cameranetwerk is een vaste aantal waarmee je moet leven of het is tijd voor upgrade.

Als je dot1q tagging op een trunk instelt, dan kan je de VLAN's naar de volgende switch doortrekken.



Een managed switch heeft meestal default vlan 1 als management VLAN. Dan kan je VLAN 10 voor je gewone lan en VLAN 20 voor je cameranetwerk instellen.

Om tussen de VLAN's te kunnen communiceren heb je een router, layer 3 switch of firewall zoals Fortigate nodig.

Ik kan een hoop zakelijke hardware, functionaliteit en instellingen opnoemen. Maar dat is buiten je budget en mogelijkheden.

Afhankelijk van wat je wel of niet wilt bereiken, kan iets voorgesteld worden.

Als je lan naar buiten toe netjes beveiligt is en je geen cloud dienst gebruikt is het verder niet meer zo zinvol om andere dingen te realiseren.
Camera's zonder internet toegang zijn niet meer hackable dan de rest van je devices op je lan.
En camera beelden zijn normaal gesproken niet het doel van een hacker die zoekt je data om die te kunnen versleutelen met ransomware.

Het zwakke punt is, dat je vanaf het internet bij je camera beelden wilt komen, dat is het te hacken punt.

Wat je dus het beste kunt doen is daar een VPN voor gebruiken.
Dus een VPN server in je Lan opzetten en vanaf het internet met een VPN client op bijvoorbeeld je telefoon toegang tot je lan te krijgen om die beelden te bekijken.

Niels Niels schreef op woensdag 5 juni 2024 @ 15:37:
Dank voor jullie reacties wederom. Goed punt @rapture , ik denk dat ik niet helemaal helder had wat ik nou probeerde te bereiken hiermee, omdat ik niet helemaal snap hoe het allemaal werkt. Even een stapje terug daarom:

- Ik wil niet aan een cloud dienst hangen (dat kan met de NVR + camera set die ik op het oog heb, een Reolink). Geen data van mij naar de fabrikant zeg maar.
- Ik wil het liefst wel op afstand bij de camera's kunnen, maar op een veilige manier! Jullie zullen dit beter kunnen interpreteren dan ik, wat 'veilig' is.
- Als de camera's gehackt worden, wil ik niet dat ze bij de rest van het netwerk kunnen. Of andersom, als andere devices op mijn netwerk gehackt zijn, dat ze niet bij de camera's kunnen. Misschien slaat dit punt wel nergens op, dan hoor ik het ook graag.

Aan de hand van deze punten, wat zou je dan voorstellen qua hardware en functionaliteiten? Rekening houden dat ik geen expert ben op dit gebied.

Een huishoudrouter doet aan NAT en weet niet voor wie in je LAN een random pakketje van het Internet bestemd is. Dit houdt al veel verkeer van buitenaf tegen tenzij als je portforwarding instelt. Pakketjes die op poort 443 aankomen worden naar een bepaalde IP-adres in je LAN doorgestuurd om op de https web interface van je NVR aan te komen.

Dan ga je ervan uit dat de web interface van je NVR goed beveiligd is en dat ze regelmatig de firmware/software updaten. In de praktijk gebeurt het omgekeerde, want security kan bijzaak zijn en CCTV is hoofdzaak.

Een andere oplossing is een VPN-server op je router instellen en je phone, laptop,... connecteert met een VPN-client aan je router. Daarna wordt je phone, laptop,... in je LAN getrokken zodat je connectiviteit met je NVR en LAN hebt alsof dat je thuis bent.

In beide gevallen ga je ddns instellen zodat je gekozennaam.gekozenddns-provider.com naar jouw dynamisch IP-adres wijst.

Een VLAN zal thuis niet veel toevoegen. Zoals anderen vormt het een apart, virtueel netwerk. Iets wat vooral in grotere omgevingen belangrijk wordt, anders ga je bijv. je netwerk verzadigen met broadcastverkeer van de eventueel duizenden apparaten die er aan hangen. Het zorgt ook voor veiligheid doordat niet alle apparaten in hetzelfde fysieke netwerk rechtstreeks met elkaar kunnen praten maar daarvoor langs een router, en meestal ook een firewall moeten.

Maar dat zijn concepten die voor een thuisgebruiker niet interessant zijn.

Als je van buitenaf aan je camerabeelden wenst te komen, dan kan je best een VPN oplossing voorzien. Dit is net waar VPNs voor gemaakt zijn. Je gaat dan van buitenaf, ik neem aan met je telefoon of een laptop, een goed beveiligde verbinding opzetten met je huisnetwerk. En van zodra die verbinding tot stand is gebracht kan je alles in je huisnetwerk benaderen alsof je thuis was. Niet alleen de NVR, maar als je een fileserver hebt kan je daar ook mee verbinden bijvoorbeeld.

Wat betreft het "als A gehacked is wil ik niet dat ze bij B kunnen", van zodra 1 apparaat in je netwerk gecompromiteerd is heb je sowieso een groot issue en mag je niets meer in je netwerk vertrouwen. Jij wil vanaf je PC thuis aan je NVR kunnen, dan kan een hacker dat ook als hij de controle van je PC overneemt. Daar kan je niets aan doen. En die camera's of NVR kunen op zich niet zomaar gecompromiteerd worden omdat ze zelf nooit verbinding gaan zoeken met het internet. Je kan zelfs een stap verdergaan, je stelt in hun netwerk config geen gateway in en ze kunnen zelfs nooit verbinding maken met het internet. Van dan af is het puur een kwestie van je eigen eindgebruikerapparaten veilig te houden.