การสื่อสารและการมองเห็นระหว่างเครือข่ายหลักและเครือข่ายย่อย

ฉันกำลังคิดวิธีการจัดโครงสร้างระบบเฝ้าระวังวิดีโอขนาดเล็ก

จริง ๆ แล้วในบ้านของฉันฉันมีเพียงเกตเวย์ / ADSL โมเด็ม / เราเตอร์ที่มีการตั้งค่าต่อไปนี้:

ADSL โมเด็ม / เกตเวย์ IP: 192.168.7.1

ซับเน็ตมาสก์ที่กำหนดค่า: 255.255.255.0

เปิดใช้งาน DHCP: เริ่ม IP: 192.168.7.2, IP สิ้นสุด: 192.168.7.200

ฉันวางแผนที่จะสร้างเครือข่ายย่อยซื้อเราเตอร์ใหม่ที่ฉันจะเชื่อมต่อกล้อง IP ethrnet กลางแจ้ง

กล้อง IP ทั้งหมดเหล่านี้บันทึกวิดีโอบน NAS เฉพาะภายในซับเน็ต

ฉันมีข้อสงสัยเกี่ยวกับการกำหนดค่าที่ฉันต้องทำเพื่อรับคุณสมบัติเหล่านี้:

• จากเครือข่ายหลักฉันต้องการเห็นลูกค้าทั้งหมดของซับเน็ต (กล้อง IP ทั้งหมด + NAS)
• ซับเน็ตไม่สามารถเข้าถึงอินเทอร์เน็ตและไม่เห็นลูกค้าของเครือข่ายหลัก

ฉันไม่มีปัญหาในการติดตั้ง / ซื้อส่วนประกอบฮาร์ดแวร์ใหม่เพื่อเข้าถึงคุณลักษณะที่ระบุ เป้าหมายหลักคือรับประกันการมองเห็น "ทางเดียว" ระหว่างเครือข่ายหลักและเครือข่ายย่อย

ในอีกสองสามสัปดาห์ฉันต้องเปลี่ยนเกตเวย์หลักของฉัน (เนื่องจากการโยกย้ายจาก ADSL เป็น VDSL / FTTC) และฉันจะซื้อ FritzBox การเปลี่ยนเกตเวย์หลักสามารถเสนอวิธีแก้ไขปัญหาให้ฉันได้หรือไม่?

ขอบคุณล่วงหน้าสำหรับความช่วยเหลือของ.

1. ซื้อเราเตอร์อื่นตามที่คุณพูดและกำหนดค่า IP ชุดอื่นสำหรับ LAN:

เช่น. IP: 192.168.1.1 Subnet mask: 255.255.255.0

2. กำหนดค่า IP ต่อภายนอกแบบคงที่บนเราเตอร์ใหม่เช่น 192.168.7.222

3. บล็อกการเข้าถึงอินเทอร์เน็ตสำหรับ 192.168.7.222 บนโมเด็มของคุณ / เราเตอร์ตัวแรก

คุณจะเชื่อมต่อกล้องผ่าน LAN หรือ WLAN หรือไม่? ฉันจะถือว่า LAN สำหรับคำตอบนี้

สิ่งที่คุณต้องการคือสองเซกเมนต์ LAN, ไฟร์วอลล์ระหว่างกันและกฏการจัดเส้นทางที่เหมาะสมทุกที่ยกเว้นว่าเกตเวย์เริ่มต้นของคุณทำการกำหนดเส้นทางทั้งหมด

ติดตั้งง่ายที่สุดด้วยเราเตอร์ตัวเดียว:

    192.168.7.0/24      DSL    192.168.8.0/24
          |              |           |
          |              |           |
    PC  --|              |           |--  Camera
          |----------- Main ---------|
          |           Router         |
 Laptop --|                          |--  Camera
          |                          |

โปรดทราบว่าแนวคิดของ ส่วนของ LAN แตกต่างจาก Router : โดยปกติส่วนของ LAN จะถูกสร้างขึ้นโดยสวิตช์ที่เชื่อมต่อเครื่องทั้งหมด สวิตช์ดังกล่าวสามารถเป็นส่วนหนึ่งของเราเตอร์ได้ ส่วน LAN สามารถเป็นจุดเชื่อมต่อ WLAN ได้ คุณสามารถเชื่อมต่อพอร์ต LAN ของเราเตอร์เดียวกับส่วน LAN อื่น (หากคุณกำหนดค่าไว้อย่างเหมาะสม)

ในขณะที่ Fritzbox เป็นเครื่องที่ดีคุณไม่สามารถปรับใช้เฟิร์มแวร์โอเพนซอร์สบนมันและมันไม่ง่ายที่จะเปลี่ยนเฟิร์มแวร์ที่มีอยู่ ดังนั้นด้วย Fritzbox คุณต้องมีเราเตอร์ตัวที่สองเป็นไฟร์วอลล์:

    192.168.7.0/24      DSL    192.168.8.0/24
          |              |           |
          |              |           |
    PC  --|              |           |--  Camera
          |----------- Main          |
          |           Router         |
 Laptop --|                          |--  Camera
          |                          |
          |--------- Firewall -------|
          |                          |

ไฟร์วอลล์ต้องทำหน้าที่เป็นเซิร์ฟเวอร์ DHCP สำหรับเซ็กเมนต์ 192.168.8.0/24 ตอนนี้คุณมีปัญหาที่เครื่องทั้งหมดในกลุ่ม 192.168.7.0/24 ต้องชัดเจน เส้นทาง ด้วยไฟร์วอลล์เป็นเกตเวย์เข้าสู่เซ็กเมนต์ 192.168.8.0/24 คุณสามารถแจกจ่ายเส้นทางโดย DHCP แต่อีกครั้งใน Fritzbox ซึ่งเป็นการยากที่จะตั้งค่า วิธีแก้ปัญหาหนึ่งคือให้เราเตอร์ไฟร์วอลล์จัดการ DHCP และปิดการใช้งานนั้นบน Fritzbox (ซึ่งจะทำให้ Fritzbox มีประโยชน์น้อยลง)

TL; DR: คุณจะต้องสามารถกำหนดค่ากฎไฟร์วอลล์และตัวเลือกการกำหนดเส้นทาง DHCP ได้ สิ่งนี้สามารถทำได้บนเราเตอร์ที่มีเฟิร์มแวร์โอเพนซอร์ส (เช่น OpenWRT od DD-WRT) แต่มักจะทำได้ยากบนเราเตอร์ระดับผู้บริโภคด้วยเฟิร์มแวร์ที่มีอยู่

วิธีป้อนกฎไฟร์วอลล์ที่จำเป็นอย่างแน่นอนและอื่น ๆ ขึ้นอยู่กับฮาร์ดแวร์และเฟิร์มแวร์ที่คุณใช้ คุณจะต้องเรียนรู้พื้นฐานระบบเครือข่ายเพื่อทำความเข้าใจกับสิ่งที่คุณต้องทำและทำไมคุณต้องทำ

แก้ไข

พื้นฐานเกี่ยวกับการกำหนดเส้นทาง: ทุกๆ คอมพิวเตอร์ที่เส้นทางเริ่มต้นไม่ใช่เส้นทางที่ถูกต้องสำหรับปลายทางนั้นต้องมีเส้นทางที่กำหนดไว้ ดังนั้นหากคุณต้องการเข้าถึง 192.168.8. * จาก 192.168.7. *, ทุกๆ คอมพิวเตอร์ใน 192.168.7. * (ในภาพ: "PC", "แล็ปท็อป") ต้องมีการกำหนดเส้นทาง นั่นเป็นเหตุผลที่ฉันบอกว่ามันเป็นการดีที่จะแจกจ่ายเส้นทางผ่าน DHCP: ด้วยวิธีนี้คุณไม่จำเป็นต้องตั้งค่าเส้นทางแบบคงที่ทุกที่ด้วยมือ

ที่กล่าวว่ามาติดกับเส้นทางคงที่ สมมติว่า "PC" รัน Linux และทุกอย่างเชื่อมต่อกันดังภาพที่สองและไฟร์วอลล์ / POE injector มี 192.168.7.222

จากนั้นใน "PC" ให้ตั้งค่าเส้นทางสแตติกด้วยตนเอง (ทำให้ถาวรหลังจากทุกอย่างทำงาน):

ip route add 192.168.8.0/24 cia 192.168.7.222

ยืนยันด้วย ip route show เส้นทางนั้นใช้อินเตอร์เฟสที่ถูกต้องและด้วย ip route get 192.168.8.1 ทุกอย่างใช้งานได้และคุณไม่มีกฎ / เส้นทางอื่นที่มีลำดับความสำคัญสูง

คุณบอกว่าคุณได้รับ 192.168.7.1 เป็นกระโดดครั้งแรกเมื่อติดตามจาก "PC"; นี่เป็นสิ่งที่ผิดและไม่ควรเกิดขึ้นหากคุณกำหนดเส้นทางอย่างถูกต้องบน "พีซี" แม้ว่าจะเป็นไปได้ในหลักการในการตั้งค่าเส้นทางในเราเตอร์หลักเท่านั้น แต่ก็ไม่มีประสิทธิภาพ ICMP REDIRECT ข้อความที่ขึ้นอยู่กับระบบปฏิบัติการอาจหรือไม่ปฏิบัติตามและโดยทั่วไปอาจนำไปสู่สถานการณ์ที่ตลกที่สิ่งต่าง ๆ แตกหัก

หากคุณได้รับ 192.168.7.1 เป็นการกระโดดครั้งที่สองหลังจาก 192.168.7.222 เป็นการกระโดดครั้งแรกแสดงว่าการเราต์ที่สอง / POE ผิด

คุณจะต้องดำเนินการสองอย่างแตกต่างกัน:

• เส้นทางการรับส่งข้อมูลระหว่างสองเครือข่าย
• ไฟร์วอลล์ควบคุมการรับส่งข้อมูลระหว่างเครือข่าย

ที่จริงแล้วคุณมีเครือข่ายที่แตกต่างกันสามเครือข่ายถ้าเรานับอินเทอร์เน็ตสาธารณะ แต่เราเตอร์ดูแลคุณเอง โดยทั่วไปคุณสามารถใช้ Fritzbox เพื่อทำงานทั้งหมด แต่ไม่ได้ตั้งใจที่จะทำงานนี้และมีงานที่ต้องทำด้วยตนเอง นอกจากนี้สิ่งต่าง ๆ ไม่ใช่เรื่องง่ายที่จะเห็น - โดยเฉพาะถ้าคุณไม่ได้สัมผัสระบบเป็นเวลาหลายสัปดาห์ ...

ฉันขอแนะนำให้คุณใช้ไฟร์วอลล์แยกต่างหากซึ่งมีความสามารถในการกำหนดเส้นทาง พีซีทุกเครื่องที่มีการ์ดเครือข่ายมากกว่าหนึ่งสามารถเป็นเราเตอร์ - มันขึ้นอยู่กับการกำหนดค่า ดังนั้น Fritzbox ของคุณจึงเป็นเราเตอร์อย่างแน่นอน มันกำหนดเส้นทางการรับส่งข้อมูลเครือข่ายและตัดสินใจว่าจะส่งแพ็กเก็ตไปยังอินเทอร์เน็ตหรือไปยังเครือข่ายท้องถิ่นของคุณหรือไม่

คุณต้องมีเราเตอร์เพิ่มเติมซึ่งเชื่อมต่อกับเครือข่ายภายในของคุณ (ซึ่งเป็นที่ตั้งของ Fritzbox) และเครือข่ายเฝ้าระวังกล้องวิดีโอของคุณ กล่องที่คุณต้องการจึงควรมีการ์ดเครือข่ายสองใบ (แน่นอนคุณสามารถทำได้ด้วยการ์ดเครือข่ายและใช้ VLANs แต่ฉันจะไม่ทำอย่างนั้นเพราะมันซับซ้อนกว่าที่จำเป็นมาก)

ทันทีที่ทั้งสองเครือข่ายเชื่อมต่อกับเราเตอร์ของคุณก็ไม่จำเป็นต้องมีเส้นทางคงที่เพราะมันรู้ทั้งเครือข่ายภายในและเครือข่ายวิดีโอแล้ว ดังนั้นจึงสามารถตัดสินใจได้ว่าจะส่งการรับส่งข้อมูลเครือข่ายอินเทอร์เฟซเครือข่ายใด (คุณเพียงแค่ต้องบอกเราเตอร์ว่าควรส่งทราฟฟิกอื่นใดทั้งหมดเช่นแพ็กเก็ตทั้งหมดที่กำหนดไว้สำหรับอินเทอร์เน็ตนั่นคือการใช้เกตเวย์เริ่มต้น

Fritzbox ของคุณไม่รับรู้ถึงเครือข่ายอื่นดังนั้นมันจะพยายามส่งแพ็กเก็ตที่กำหนดไว้ในวิดีโอ LAN ของคุณไปยังอินเทอร์เน็ต (ซึ่งจะไม่สามารถใช้งานได้) ดังนั้นไม่ว่าคุณจะเพิ่มเส้นทางสแตติกบน Fritzbox บอกให้ส่งแพ็กเก็ตทั้งหมดสำหรับคุณวิดีโอ LAN ไปยังเราเตอร์ใหม่ของคุณหรือคุณเปลี่ยนเกตเวย์เริ่มต้นบนเซิร์ฟเวอร์ DHCP ของ Fritzbox ของคุณเป็นเราเตอร์ใหม่ (ฉันต้องการเส้นทางแบบคงที่เนื่องจากไม่ทำให้เกิดการรับส่งข้อมูลจำนวนมากในเครือข่ายภายในของคุณ)

ตอนนี้การกำหนดเส้นทางควรทำงานคุณควรดูแลไฟร์วอลล์ คุณต้องกำหนดนโยบายอุปกรณ์ที่ได้รับอนุญาตให้ทำในทิศทางใด คุณทำเช่นนั้นด้วยไฟร์วอลล์

มีผลิตภัณฑ์จำนวนมากออกมาอย่างแน่นอนซึ่งทั้งหมดเป็นสิ่งที่ดีอย่างสมบูรณ์แบบสำหรับการทำงาน

ฉันอาจจะใช้ pfSense สำหรับงานนี้ ผลิตภัณฑ์นี้ไม่มีค่าใช้จ่ายและมีตัวเลือกมากมาย นอกจากนี้ยังมีความน่าเชื่อถือและตั้งค่าได้ง่ายเมื่อคุณคุ้นเคย

แต่บางทีคุณอาจชอบผลิตภัณฑ์อย่าง IPFire ที่ดีกว่า pfSense เพราะมันง่ายกว่าที่จะตั้งค่า แต่มันก็ขึ้นอยู่กับคุณ ฉันอยากจะแนะนำให้คุณใช้ pfSense

ทั้งหมดข้างต้นอาจเป็นวิธี "ง่าย" วิธีที่ "สวยงาม" คือการเชื่อมต่อเครือข่ายทั้งหมดโดยตรงกับเราเตอร์ของคุณ:

• สายอินเทอร์เน็ต (เชื่อมต่อ FritzBox โดยตรงกับเราเตอร์)
• เครือข่ายภายใน
• เครือข่ายวิดีโอ

นี่จะทำให้เราเตอร์ของคุณเป็นศูนย์กลางของเครือข่ายที่คุณสามารถควบคุมทุกอย่างได้ในที่เดียว คุณต้องใช้ Fritzbox เพื่อทำหน้าที่เป็นโมเด็ม DSL เท่านั้น ... แต่การตั้งค่านั้นซับซ้อนกว่าเล็กน้อย ;-)

มีความสุข :-)

ดีที่สุด โทมัส