Связь и видимость между основной сетью и подсетью

538
Roberto Milani

Я думаю, как построить небольшую домашнюю систему видеонаблюдения.

На самом деле у меня дома есть единственный шлюз / ADSL модем / маршрутизатор со следующими настройками:

ADSL модем / шлюз IP: 192.168.7.1

Настроенная маска подсети: 255.255.255.0

DHCP включен: начальный IP: 192.168.7.2, конечный IP: 192.168.7.200

Я планирую создать подсеть, покупая новый маршрутизатор, к которому я собираюсь подключить несколько наружных IP-камер ethrnet.

Все эти IP-камеры записывают видео на определенном NAS внутри подсети.

У меня есть некоторые сомнения по поводу конфигурации, которую я должен сделать, чтобы получить эти функции:

  • из основной сети хотелось бы видеть всех клиентов подсети (все IP камеры + NAS)
  • подсеть не имеет доступа в интернет и не может видеть клиентов основной сети

У меня нет проблем при установке / покупке новых аппаратных компонентов для достижения указанных функций. Основная цель - гарантировать «одностороннюю» видимость между основной сетью и подсетью.

Через пару недель мне также придется сменить основной шлюз (из-за перехода с ADSL на VDSL / FTTC), и я собираюсь купить FritzBox. Может ли смена основного шлюза предложить мне правильное решение моей проблемы?

Заранее спасибо за помощь.

1
Я не уверен насчет Fritzbox, но с помощью Fortigate 60E вы можете подключить свою WAN и создать 2 сети с использованием VLAN. Затем вам необходимо настроить правила брандмауэра, чтобы разрешить / запретить доступ в определенных направлениях. Если Fritzbox поддерживает это, вы можете сделать то же самое здесь. CustomX 5 лет назад 0
Спасибо за ответ! Я быстро прочитал некоторые спецификации о FritzBox, и он не позволяет создавать VLAN :( На ваш взгляд, брандмауэр является обязательным, или мне нужно только правильно настроить свою ЛВС и подсеть для достижения моих целей? Roberto Milani 5 лет назад 0
Ну, я знаю, что вы можете добиться этого с помощью небольшого межсетевого экрана. Технически вы могли бы сделать то же самое с помощью маршрутизатора, но брандмауэр - это все о политиках ;-) CustomX 5 лет назад 1

3 ответа на вопрос

1
t4u51f
  1. Купите другой маршрутизатор, как вы сказали, и настройте другой набор IP для локальной сети:

например, IP: 192.168.1.1 Маска подсети: 255.255.255.0

  1. Настройте статический внешний IP-адрес на новом маршрутизаторе, например, 192.168.7.222.

  2. Заблокируйте доступ в Интернет для 192.168.7.222 на вашем модеме / первом маршрутизаторе

1) Я провожу некоторые тесты с Linksys E3000 в качестве второго маршрутизатора; Я установил его с IP 192.168.1.1, как вы сказали. 2) В моем главном маршрутизаторе я установил IP 192.168.7.222 (используя функцию резервирования адреса) для MAC-адреса второго маршрутизатора, и из всех клиентов основной сети я теперь могу получить доступ к веб-интерфейсу второго маршрутизатора. 3) сделано и работает :) Из основной сети до сих пор не могу дозвониться с сегментом LAN 192.168.1.x. Например, выполнение запроса ping с ПК (192.168.7.3) на IP-камеру (192.168.1.10) -> истекло время ожидания запроса. Roberto Milani 5 лет назад 0
Чтобы устранить проблему, я пытаюсь использовать статические маршруты, и я попытался установить статический маршрут в главном маршрутизаторе следующим образом: https://ibb.co/eaR0dU (IP-адрес назначения: 192.168.1.0, маска подсети: 255.255.255.0, шлюз: 192.168.7.222). Но я все равно не могу пинговать с 192.168.7.3 до 192.168.1.10. :-( Roberto Milani 5 лет назад 0
1
dirkt

Собираетесь ли вы подключить камеры через LAN или WLAN? Я возьму LAN для этого ответа.

Вам нужны два сегмента локальной сети, межсетевой экран между ними и надлежащие правила маршрутизации везде, если только ваш шлюз (-ы) по умолчанию не выполняет всю маршрутизацию.

Простейшая настройка с одним маршрутизатором:

 192.168.7.0/24 DSL 192.168.8.0/24 | | | | | | PC --| | |-- Camera |----------- Main ---------| | Router | Laptop --| |-- Camera | |

Обратите внимание, что концепция сегмента локальной сети отличается от концепции маршрутизатора : обычно сегмент локальной сети состоит из коммутатора, который соединяет все машины. Такой коммутатор также может быть частью маршрутизатора. Сегмент LAN также может быть точкой доступа WLAN. Вы можете подключить порты локальной сети одного маршрутизатора к разным сегментам локальной сети (если вы настроите это правильно).

Хотя Fritzbox - отличная машина, вы не можете развернуть на ней прошивку с открытым исходным кодом, и изменить существующую прошивку нелегко. Так что с Fritzbox вам понадобится выделенный второй маршрутизатор в качестве брандмауэра:

 192.168.7.0/24 DSL 192.168.8.0/24 | | | | | | PC --| | |-- Camera |----------- Main | | Router | Laptop --| |-- Camera | | |--------- Firewall -------| | |

Брандмауэр также должен выступать в качестве DHCP-сервера для сегмента 192.168.8.0/24. Теперь у вас есть проблема, что всем машинам в сегменте 192.168.7.0/24 нужны явные маршруты с межсетевым экраном в качестве шлюза в сегмент 192.168.8.0/24. Вы можете распределять маршруты по DHCP, но, опять же, на Fritzbox это будет сложно настроить. Один из способов - разрешить маршрутизатору брандмауэра обрабатывать DHCP и деактивировать его на Fritzbox (что сделает Fritzbox менее полезным).

TL; DR: вам нужно будет настроить правила брандмауэра и параметры маршрутизации DHCP. Это может быть сделано на маршрутизаторах с микропрограммой с открытым исходным кодом (например, OpenWRT od DD-WRT), но часто будет затруднительно на маршрутизаторах потребительского уровня с доступной микропрограммой.

То, как точно ввести требуемые правила брандмауэра и т. Д., Зависит от того, какое аппаратное и микропрограммное обеспечение вы используете. Вам также нужно будет изучить основы работы с сетью, чтобы понять, что вам нужно делать и зачем вам это нужно.

редактировать

Основы маршрутизации. Каждый компьютер, маршрут которого по умолчанию не является правильным маршрутом для данного конкретного пункта назначения, должен иметь установленный маршрут. Поэтому, если вы хотите достичь 192.168.8. * Из 192.168.7. *, У каждого компьютера в 192.168.7. * (На рисунке: «ПК», «Портативный компьютер») должен быть установлен маршрут. Вот почему я упомянул, что было бы хорошо распределить маршруты через DHCP: таким образом, вам не нужно везде устанавливать статические маршруты вручную.

Тем не менее, давайте придерживаться статических маршрутов. Предположим, что «ПК» работает под управлением Linux, и все подключено, как на втором рисунке, а брандмауэр / POE-инжектор имеет 192.168.7.222.

Затем на «ПК» установите статический маршрут вручную (сделав их постоянными, после того, как все заработает):

ip route add 192.168.8.0/24 cia 192.168.7.222

Убедитесь, ip route showчто маршрут использует правильный интерфейс, и с ip route get 192.168.8.1этим все работает, и у вас нет других правил / маршрута, которые имеют приоритет.

Вы сказали, что получаете первый прыжок 192.168.7.1 при трассировке с «ПК»; это неправильно и не должно происходить, если вы правильно установили маршрут на «ПК». Хотя в принципе возможно установить маршрут только на главном маршрутизаторе, это неэффективно, может привести к ICMP REDIRECTсообщениям, которые в зависимости от ОС могут или не могут быть выполнены, и, как правило, может привести к смешным ситуациям, когда что-то ломается.

Если вы получили 192.168.7.1 в качестве второго прыжка после 192.168.7.222 в качестве первого прыжка, то маршрутизация на втором маршрутизаторе / POE неверна.

Спасибо за Ваш ответ! Я собираюсь подключить камеры через локальную сеть. В моем случае второй маршрутизатор, который обрабатывает сегмент 192.168.8.0, является инжектором POE, который также имеет встроенный управляемый межсетевой экран. Теперь из основной сети я все еще не могу связаться с сегментом локальной сети 192.168.8.x. Например, выполнение запроса ping с ПК (192.168.7.3) на IP-камеру (192.168.8.10) -> истекло время ожидания запроса. Чтобы устранить проблему, я пытаюсь использовать статические маршруты, и я пытался установить статический маршрут следующим образом: IP-адрес назначения 192.168.8.0, подсеть: 255.255.255.0, шлюз: 192.168.7.222). Но я все еще получил запрос истек :( Roberto Milani 5 лет назад 0
Где 192.168.7.222 - IP-адрес инжектора POE 192.168.8.1, видимый из сегмента 7 моей локальной сети. Roberto Milani 5 лет назад 0
(1) 192.168.8.0 не является допустимым адресом в сегменте, используйте другой адрес, например, 192.168.8.1 (2) Проверьте с помощью `ip route get 192.168.8.1`, что статический маршрут правильный. (3) Проверьте с помощью `tcpdump`, что пакет ping выходит на интерфейс. (4) Если все это работает, это должно быть что-то в конфигурации брандмауэра. dirkt 5 лет назад 0
Я пытался следовать всем вашим ценным советам: 1) Я изменил с 192.168.8.0 на 192.168.8.1 целевой IP-адрес статического маршрута, но ничего не изменилось. Я не знаком со статическими маршрутами: я не понял, нужно ли мне устанавливать в качестве IP-адреса назначения IP-адрес всего сегмента локальной сети (например, 192.168.8.0 для указания диапазона 192.168.8.1-192.168.8.254) или только конкретный IP (и иметь статический маршрут для каждого IP-адреса локальной сети «сегмента 8», к которому я хочу подключиться из локальной сети «сегмента 7»). 2) Я пытался сделать трассировку 192.168.8.10 (из 192.168.7.3). Roberto Milani 5 лет назад 0
Первый прыжок появляется через 1 мс, и это основной маршрутизатор 192.168.7.1, затем я получил просроченный запрос, и tracert не завершил. Таким образом, кажется, что основной маршрутизатор не перенаправил пакет на 192.168.7.222, и я не понимаю, является ли основной маршрутизатор, который не следовал по статическому маршруту, или это второй маршрутизатор, который не получил пакет для несколько причин. 3) Я пытался использовать SmartSniff (пока выполняю эхо-запрос с 192.168.7.3 до 192.168.8.10), и я вижу, что пакет выходит из моего сетевого интерфейса, но он не получает никакого ответа. Roberto Milani 5 лет назад 0
Правильно ли ожидать, что основной маршрутизатор получит пакет и перенаправит его на 192.168.7.222? 4) Я отключил встроенный межсетевой экран второго маршрутизатора (я использую Linksys E3000 для выполнения этих тестов). Roberto Milani 5 лет назад 0
0
TomS

Вам нужно будет выполнить два разных действия:

  • маршрутизация трафика между двумя сетями
  • межсетевой экран, контролирующий трафик между сетями

На самом деле, у вас есть три разные сети, если мы также посчитаем общедоступный Интернет, но об этом позаботится тот маршрутизатор, который у вас уже есть. По сути, вы МОЖЕТЕ использовать Fritzbox для выполнения всех заданий, но он не предназначен для выполнения этой работы, и требуется некоторая ручная работа. Кроме того, вещи не очень легко увидеть - особенно если вы не касались системы в течение нескольких недель ...

Я хотел бы предложить вам использовать отдельный межсетевой экран, который также имеет возможности маршрутизации. Каждый ПК, имеющий более одной сетевой карты, может быть маршрутизатором - это зависит от его конфигурации. Так что ваш Fritzbox - это определенно роутер. Он маршрутизирует сетевой трафик и решает, следует ли отправлять пакет в Интернет или в вашу локальную сеть.

Вам нужен дополнительный маршрутизатор, который подключен к вашей внутренней сети (где находится ваш Fritzbox) и к вашей сети видеонаблюдения. Поэтому необходимая коробка должна иметь две сетевые карты. (Конечно, вы могли бы сделать это с одной сетевой картой и использовать VLAN, но я бы не стал этого делать, потому что это усложняет ситуацию гораздо больше, чем необходимо.)

Как только обе сети подключены к вашему маршрутизатору, ему не нужны статические маршруты, поскольку он уже знает как внутреннюю сеть, так и видеосеть. Таким образом, он может решить, на какой сетевой интерфейс будет передаваться сетевой трафик. (Вам просто нужно будет указать маршрутизатору, куда он должен отправить весь другой трафик, то есть все пакеты, предназначенные для Интернета. Это делается с использованием шлюза по умолчанию.)

Ваш Fritzbox не знает о другой сети, поэтому он попытается отправить пакеты, предназначенные для вашей видео сети, в Интернет (что, конечно, не будет работать). Таким образом, либо вы добавляете статический маршрут на Fritzbox, сообщая ему об отправке всех пакетов для вашей локальной сети видео на новый маршрутизатор, либо вы меняете шлюз по умолчанию на DHCP-сервере вашего Fritzbox на новый маршрутизатор. (Я бы предпочел статический маршрут, так как он не вызывает такого большого трафика во внутренней сети.)

Теперь, когда маршрутизация должна работать, вы должны позаботиться о брандмауэре. Вам необходимо определить политики, какие устройства разрешено делать, в каких направлениях. Вы делаете это с помощью брандмауэра.

Конечно, есть много продуктов, которые идеально подходят для этой работы.

Я бы, вероятно, использовал pfSense для этой работы. Этот продукт является бесплатным и имеет множество вариантов. Кроме того, он очень надежен и прост в настройке, как только вы ознакомитесь с ним.

Но, возможно, вам больше нравится продукт вроде IPFire, чем pfSense, так как его проще настраивать, но это решать вам. Я бы предложил вам использовать pfSense.

Все вышеперечисленное, вероятно, «легкий» путь. «Красивый» способ - это напрямую подключить все сети к вашему маршрутизатору:

  • Интернет-линия (напрямую подключите FritzBox к роутеру)
  • внутренняя сеть
  • видео сеть

Это сделает ваш маршрутизатор центром вашей сети, где вы сможете контролировать все в одном месте. Тогда вам понадобится только Fritzbox для работы в качестве модема DSL ... Но эта настройка немного сложнее ;-)

Повеселись :-)

Лучший Томас

Похожие вопросы