web-dev-qa-db-ja.com

メインネットワークとサブネット間の通信と可視性

小さな家庭用ビデオ監視システムの作り方を考えています。

実際、私の家には、次の設定のゲートウェイ/ ADSLモデム/ルーターしかありません。

ADSLモデム/ゲートウェイIP:192.168.7.1

構成されたサブネットマスク:255.255.255.0

DHCPが有効:開始IP:192.168.7.2、終了IP:192.168.7.200

いくつかの屋外ethrnetIPカメラを接続する新しいルーターを購入するサブネットを作成することを計画しています。

これらのIPカメラはすべて、サブネット内の特定のNAS)にビデオを録画します。

これらの機能を取得するために作成する必要のある構成について、いくつか疑問があります。

  • メインネットワークからサブネットのすべてのクライアント(すべてのIPカメラ+ NAS)を表示したい
  • サブネットにはインターネットアクセスがなく、メインネットワークのクライアントを見ることができません

指定された機能に到達するために新しいハードウェアコンポーネントをインストール/購入することに問題はありません。主な目標は、メインネットワークとサブネット間の「一方向」の可視性を保証することです。

数週間以内に、メインゲートウェイも変更する必要があり(ADSLからVDSL/FTTCへの移行のため)、FritzBoxを購入する予定です。メインゲートウェイの変更は、私の問題に対する有効な解決策を提供できますか?

よろしくお願いします。

home-networkingsubnetsurveillancehome-surveillance
1
Roberto Milani
  1. あなたが言ったように別のルーターを購入し、LAN用に別のIPセットを構成します。

例えばIP:192.168.1.1サブネットマスク:255.255.255.0

  1. 新しいルーターで静的な外部向けIPを構成します。 192.168.7.222

  2. モデム/最初のルーターで192.168.7.222のインターネットアクセスをブロックする

1
t4u51f

LANまたはWLAN経由でカメラを接続しますか?この答えはLANを想定します。

必要なのは、2つのLANセグメント、それらの間のファイアウォール、およびデフォルトゲートウェイがすべてのルーティングを行わない限り、あらゆる場所に適切なルーティングルールです。

単一のルーターを使用した最も簡単なセットアップ:

    192.168.7.0/24      DSL    192.168.8.0/24
          |              |           |
          |              |           |
    PC  --|              |           |--  Camera
          |----------- Main ---------|
          |           Router         |
 Laptop --|                          |--  Camera
          |                          |

LANセグメントの概念はルーターとは異なることに注意してください。通常、LANセグメントは、すべてのマシンを接続するスイッチで構成されます。このようなスイッチは、ルーターの一部にすることもできます。 LANセグメントは、WLANアクセスポイントにすることもできます。単一のルーターのLANポートを異なるLANセグメントに接続できます(適切に構成した場合)。

フリッツボックスは素晴らしいマシンですが、オープンソースファームウェアをデプロイすることはできず、既存のファームウェアを変更するのは簡単ではありません。したがって、Fritzboxでは、ファイアウォールとして専用の2番目のルーターが必要になります。

    192.168.7.0/24      DSL    192.168.8.0/24
          |              |           |
          |              |           |
    PC  --|              |           |--  Camera
          |----------- Main          |
          |           Router         |
 Laptop --|                          |--  Camera
          |                          |
          |--------- Firewall -------|
          |                          |

ファイアウォールは、192.168.8.0/24セグメントのDHCPサーバーとしても機能する必要があります。ここで、192.168.7.0/24セグメント内のすべてのマシンが、192.168.8.0/24セグメントへのゲートウェイとしてファイアウォールを使用して明示的なroutesを必要とするという問題があります。 DHCPでルートを配布できますが、Fritzboxではこれを設定するのは困難です。回避策の1つは、ファイアウォールルーターにDHCPを処理さ​​せ、FritzboxでDHCPを非アクティブ化することです(これにより、Fritzboxの有用性が大幅に低下します)。

TL; DR:ファイアウォールルールとDHCPルーティングオプションを構成できる必要があります。これは、オープンソースファームウェア(OpenWRT od DD-WRTなど)を備えたルーターで実行できますが、利用可能なファームウェアを備えたコンシューマーグレードのルーターでは困難な場合があります。

必要なファイアウォールルールなどを正確に入力する方法は、最終的に使用するハードウェアとファームウェアによって異なります。また、何をしなければならないのか、なぜそれをする必要があるのか​​を理解するために、ネットワーキングの基本を学ぶ必要があります。

編集

ルーティングの基本:デフォルトルートがその特定の宛先の正しいルートではないすべてのコンピューターには、ルートを設定する必要があります。したがって、192.168.7。*から192.168.8。*に到達したい場合は、192.168.7。*内のすべてのコンピューター(図:「PC」、「ラップトップ」) )ルートを設定する必要があります。そのため、DHCPを介してルートを配布するのがよいと述べました。そうすれば、手動でどこにでも静的ルートを設定する必要がなくなります。

そうは言っても、静的ルートに固執しましょう。 「PC」がLinuxを実行し、すべてが2番目の図のように配線されており、ファイアウォール/ POEインジェクターに192.168.7.222があるとします。

次に、「PC」で静的ルートを手動で設定します(すべてが機能した後に永続的にします)。

ip route add 192.168.8.0/24 cia 192.168.7.222

ip route showでルートが正しいインターフェースを使用していることを確認し、ip route get 192.168.8.1ですべてが機能し、優先する他のルール/ルートがないことを確認します。

「PC」からトレースルーティングするときに、最初のホップとして192.168.7.1を取得するとおっしゃいました。これは間違っており、「PC」でルートを正しく設定すれば発生しないはずです。原則としてメインルーターにのみルートを設定することは可能ですが、これは非効率的であり、OSによっては従う場合と従わない場合があるICMP REDIRECTメッセージが発生する可能性があり、一般に物事が壊れるという面白い状況につながる可能性があります。

192.168.7.222を最初のホップとして後に192.168.7.1を2番目のホップとして取得した場合、2番目のルーター/ POEのルーティングが間違っています。

1
dirkt

2つの異なるアクションを実行する必要があります。

  • 2つのネットワーク間のトラフィックのルーティング
  • ネットワーク間のトラフィックを制御するファイアウォール

実際、パブリックインターネットも数えると、3つの異なるネットワークがありますが、それは既存のルーターによって処理されます。基本的に、Fritzboxを使用してすべてのジョブを実行できますが、このジョブを実行することを意図したものではなく、いくつかの手作業が必要です。また、物事を確認するのは非常に簡単ではありません-特に数週間システムに触れていない場合は...

ルーティング機能も備えた別のファイアウォールを使用することをお勧めします。複数のネットワークカードを備えたすべてのPCをルーターにすることができます。これは、構成によって異なります。つまり、Fritzboxは間違いなくルーターです。ネットワークトラフィックをルーティングし、パケットをインターネットに送信するか、ローカルネットワークに送信するかを決定します。

内部ネットワーク(Fritzboxが配置されている場所)とビデオカメラ監視ネットワークに接続されている追加のルーターが必要です。したがって、必要なボックスには2枚のネットワークカードが必要です。 (もちろん、1枚のネットワークカードでVLANを使用することもできますが、必要以上に複雑になるため、そうはしません。)

両方のネットワークがルーターに接続されるとすぐに、ルーターは内部ネットワークとビデオネットワークの両方をすでに認識しているため、静的ルートは必要ありません。したがって、どのネットワークインターフェイスにネットワークトラフィックを送信するかを決定できます。 (ルーターに、他のすべてのトラフィック、つまりインターネット宛てのすべてのパケットを送信する場所を指示する必要があります。これは、デフォルトゲートウェイを使用して行われます。)

あなたのFritzboxは別のネットワークを認識していないので、あなたのビデオLAN宛てのパケットをインターネットに送信しようとします(もちろん機能しません)。したがって、Fritzboxに静的ルートを追加して、ビデオLANのすべてのパケットを新しいルーターに送信するように指示するか、FritzboxのDHCPサーバーのデフォルトゲートウェイを新しいルーターに変更します。 (内部ネットワークにそれほど多くのトラフィックが発生しないため、静的ルートをお勧めします。)

ルーティングが機能するようになったので、ファイアウォールに注意する必要があります。ポリシーを定義する必要があります。どのデバイスがどの方向に何を実行できるかを定義します。あなたはファイアウォールでそれをします。

確かにそこには多くの製品があり、それらはすべてその仕事をするのに完全に問題ありません。

私はおそらくこの仕事にpfSenseを使うでしょう。この製品は無料で、多くのオプションがあります。また、慣れれば非常に信頼性が高く、設定も簡単です。

しかし、設定が簡単なため、pfSenseよりもIPFireのような製品の方が好きかもしれませんが、それはあなた次第です。 pfSenseを使用することをお勧めします。

上記のすべてがおそらく「簡単な」方法です。 「美しい」方法は、すべてのネットワークをルーターに直接接続することです。

  • インターネット回線(FritzBoxをルーターに直接接続します)
  • 内部ネットワーク
  • ビデオネットワーク

これにより、ルーターがネットワークの中心になり、すべてを1か所で制御できるようになります。その場合、DSLモデムとして機能するために必要なのはFritzboxだけです...しかし、そのセットアップはもう少し複雑です;-)

楽しんで :-)

最高のトーマス

0
TomS