Estou pensando em como estruturar um pequeno sistema de vigilância por vídeo doméstico.
Na verdade, na minha casa eu tenho um único gateway / modem ADSL / roteador com a seguinte configuração:
ADSL modem/gateway IP: 192.168.7.1
Subnet mask configured: 255.255.255.0
DHCP enabled: start IP: 192.168.7.2, end IP: 192.168.7.200
Estou planejando criar uma sub-rede comprando um novo roteador no qual eu conectarei algumas câmeras IP externas da ethrnet.
Todas essas câmeras IP gravam vídeo em um NAS específico dentro da sub-rede.
Tenho algumas dúvidas sobre a configuração que preciso fazer para obter esses recursos:
Não tenho problemas em instalar / comprar novos componentes de hardware para alcançar os recursos especificados. O principal objetivo é garantir a visibilidade "unidirecional" entre a rede principal e a sub-rede.
Em algumas semanas eu também tenho que mudar meu gateway principal (devido à migração do ADSL para o VDSL / FTTC) e vou comprar um FritzBox. A mudança do gateway principal pode me oferecer uma solução válida para o meu problema?
Agradecemos antecipadamente por sua ajuda.
e.g. IP: 192.168.1.1 Subnet mask: 255.255.255.0
Configure o IP estático externo no novo roteador. 192.168.7.222
Bloqueie o acesso à Internet para 192.168.7.222 no seu modem / primeiro roteador
Você vai conectar as câmeras via LAN ou WLAN? Eu assumirei a LAN para essa resposta.
O que você precisa é de dois segmentos da LAN, um firewall entre eles e regras de roteamento adequadas em todos os lugares, a menos que o (s) gateway (s) padrão (s) façam (em) todo o roteamento.
Configuração mais simples com um único roteador:
192.168.7.0/24 DSL 192.168.8.0/24
| | |
| | |
PC --| | |-- Camera
|----------- Main ---------|
| Router |
Laptop --| |-- Camera
| |
Observe que o conceito de segmento de rede local é diferente de um roteador : geralmente, um segmento de rede local é formado por um comutador que conecta todas as máquinas. Esse switch também pode fazer parte de um roteador. Um segmento de LAN também pode ser um ponto de acesso de WLAN. Você pode conectar portas LAN de um único roteador a segmentos de LAN diferentes (se você configurar isso corretamente).
Embora um Fritzbox seja uma boa máquina, você não pode implantar firmware de código aberto nele, e não é fácil alterar o firmware existente. Então, com um Fritzbox, você precisaria de um segundo roteador dedicado como firewall:
192.168.7.0/24 DSL 192.168.8.0/24
| | |
| | |
PC --| | |-- Camera
|----------- Main |
| Router |
Laptop --| |-- Camera
| |
|--------- Firewall -------|
| |
O firewall também deve atuar como servidor DHCP para o segmento 192.168.8.0/24. Agora você tem o problema de que todas as máquinas no segmento 192.168.7.0/24 precisam de rotas explícitas com o Firewall como gateway para o segmento 192.168.8.0/24. Você pode distribuir rotas por DHCP, mas, novamente, em um Fritzbox isso será difícil de configurar. Uma solução é permitir que o roteador do firewall manipule o DHCP e o desative no Fritzbox (o que tornará o Fritzbox muito menos útil).
TL; DR: você precisará configurar regras de firewall e opções de roteamento DHCP. Isso pode ser feito em roteadores com firmware de código-fonte aberto (como o OpenWRT OD DD-WRT), mas geralmente será difícil em roteadores de nível de consumidor com o firmware disponível.
Como inserir exatamente as regras de firewall necessárias, etc., depende de qual hardware e firmware você terá. Você também terá que aprender noções básicas de rede para entender o que precisa fazer e por que precisa fazer isso.
Editar
Noções básicas sobre roteamento: Todo computador em que a rota padrão não é a rota correta para esse destino específico deve ter a rota definida. Então, se você quer alcançar 192.168.8. * De 192.168.7. *, todo computador em 192.168.7. * (Na figura: "PC", "Laptop") deve ter a rota conjunto. É por isso que eu mencionei que seria bom distribuir rotas via DHCP: dessa forma, você não precisa definir manualmente as rotas estáticas em todos os lugares.
Dito isto, vamos nos ater às rotas estáticas. Suponha que "PC" rode Linux, e tudo esteja conectado como na segunda imagem, e o firewall / injetor de POE tem 192.168.7.222.
Em seguida, em "PC", defina a rota estática manualmente (tornando-as permanentes depois que tudo funcionar):
ip route add 192.168.8.0/24 cia 192.168.7.222
Verifique com ip route show se a rota usa a interface correta e com ip route get 192.168.8.1 que tudo funciona e você não tem outras regras / rotas que tenham prioridade.
Você disse que obtém 192.168.7.1 como primeiro salto quando tracerouting de "PC"; isso está errado e não deve acontecer se você definir a rota corretamente em "PC". Embora, em princípio, seja possível definir a rota apenas no roteador principal, isso é ineficiente, podendo resultar em ICMP REDIRECT mensagens que, dependendo do sistema operacional, podem ou não ser obedecidas e geralmente podem levar a situações engraçadas em que as coisas quebram.
Se você obteve 192.168.7.1 como segundo salto após 192.168.7.222 como primeiro salto, então o roteamento no segundo roteador / POE está errado.
Você precisará realizar duas ações diferentes:
Na verdade, você tem três redes diferentes, se contarmos também a Internet pública, mas isso será feito pelo roteador que você já tem. Basicamente você poderia usar um Fritzbox para fazer todos os trabalhos, mas não se destina a fazer este trabalho e há algum trabalho manual necessário. Além disso, as coisas não são muito fáceis de ver - especialmente se você não tocou no sistema por várias semanas ...
Eu sugiro que você use um firewall separado que também tenha recursos de roteamento. Todo PC que possui mais de uma placa de rede pode ser um roteador - depende da sua configuração. Então o seu Fritzbox é definitivamente um roteador. Ele roteia o tráfego da rede e decide se um pacote deve ou não ser enviado para a Internet ou para a sua rede local.
Você precisa de um roteador adicional que esteja conectado à sua rede interna (onde seu Fritzbox está localizado) e à sua rede de vigilância de câmeras de vídeo. A caixa que você precisa, portanto, deve ter duas placas de rede. (Claro que você poderia fazer isso com uma placa de rede e usar VLANs, mas eu não faria isso porque complica as coisas muito mais do que o necessário.)
Assim que as duas redes estiverem conectadas ao roteador, elas não precisarão de rotas estáticas, pois já conhecem a rede interna e a rede de vídeo. Por isso, pode decidir a que tráfego de rede da interface de rede deve ser enviado. (Você só precisa dizer ao roteador onde deve enviar todos os outros tráfegos, ou seja, todos os pacotes destinados à Internet. Isso é feito usando o gateway padrão.)
O seu Fritzbox não tem conhecimento de outra rede, por isso tentará enviar os pacotes destinados à sua LAN de vídeo para a Internet (o que não funcionará, é claro). Então, você adiciona uma rota estática no Fritzbox dizendo para enviar todos os pacotes para sua LAN de vídeo para o seu novo roteador ou você muda o gateway padrão no servidor DHCP do seu Fritzbox para o novo roteador. (Eu preferiria a rota estática, pois ela não causa muito tráfego na sua rede interna.)
Agora que o roteamento deve funcionar, você deve cuidar do firewall. Você precisa definir políticas, quais dispositivos podem fazer o que e em quais direções. Você faz isso com um firewall.
Certamente existem muitos produtos por aí que são perfeitamente adequados para esse trabalho.
Eu provavelmente usaria o pfSense para esse trabalho. Este produto é gratuito e tem muitas, muitas opções. Além disso, é muito confiável e fácil de configurar quando você se familiariza com ele.
Mas talvez você goste de um produto como o IPFire melhor que o pfSense, pois é mais fácil de configurar, mas isso é com você. Eu sugiro que você use o pfSense.
Tudo acima é provavelmente o caminho "fácil". A maneira "bonita" seria conectar diretamente todas as redes ao seu roteador:
Isso tornaria o seu roteador o centro da sua rede, onde você pode controlar tudo em um só lugar. Você só precisa do Fritzbox para funcionar como um modem DSL ... Mas essa configuração é um pouco mais complicada; -)
Divirta-se: -)
Melhor Thomas