我正在考虑如何构建一个小型家庭视频监控系统。
实际上,我家里只有一个网关/ADSL 调制解调器/路由器,其设置如下:
ADSL 调制解调器/网关 IP:192.168.7.1
配置的子网掩码:255.255.255.0
DHCP 已启用:起始 IP:192.168.7.2,结束 IP:192.168.7.200
我计划购买一台新路由器来创建一个子网,然后连接一些室外以太网 IP 摄像机。
所有这些 IP 摄像机都在子网内的特定 NAS 上录制视频。
我对获得这些功能必须进行的配置有一些疑问:
- 从主网络,我希望看到子网的所有客户端(所有 IP 摄像机 + NAS)
- 子网无法访问互联网,无法看到主网络的客户端
我可以毫无问题地安装/购买新的硬件组件来实现指定的功能。主要目标是保证主网络和子网之间的“单向”可见性。
几周后,我还必须更换主网关(因为从 ADSL 迁移到 VDSL/FTTC),我打算购买 FritzBox。更换主网关能否为我的问题提供有效的解决方案?
在此先感谢您的帮助。
答案1
您要通过 LAN 还是 WLAN 连接摄像机?我假设是 LAN。
您需要的是两个 LAN 段、它们之间的防火墙以及各处的适当路由规则,除非您的默认网关执行所有路由。
使用单个路由器的最简单设置:
192.168.7.0/24 DSL 192.168.8.0/24
| | |
| | |
PC --| | |-- Camera
|----------- Main ---------|
| Router |
Laptop --| |-- Camera
| |
请注意LAN 段不同于路由器:通常,LAN 段由连接所有机器的交换机组成。这样的交换机也可以是路由器的一部分。LAN 段也可以是 WLAN 接入点。您可以将单个路由器的 LAN 端口连接到不同的 LAN 段(如果您正确配置了)。
虽然 Fritzbox 是一款精良的机器,但您无法在其上部署开源固件,而且更改现有固件也不容易。因此,使用 Fritzbox 时,您需要一个专用的第二路由器作为防火墙:
192.168.7.0/24 DSL 192.168.8.0/24
| | |
| | |
PC --| | |-- Camera
|----------- Main |
| Router |
Laptop --| |-- Camera
| |
|--------- Firewall -------|
| |
防火墙还必须充当 192.168.8.0/24 网段的 DHCP 服务器。现在你面临的问题是,192.168.7.0/24 网段中的所有计算机都需要显式路线使用防火墙作为 192.168.8.0/24 网段的网关。您可以通过 DHCP 分配路由,但同样,在 Fritzbox 上设置起来会很困难。一种解决方法是让防火墙路由器处理 DHCP,并在 Fritzbox 上停用它(这将使 Fritzbox 变得没那么有用)。
TL;DR:您需要能够配置防火墙规则和 DHCP 路由选项。这可以在具有开源固件(如 OpenWRT 或 DD-WRT)的路由器上完成,但在具有可用固件的消费级路由器上通常很困难。
如何准确输入所需的防火墙规则等取决于您最终使用的硬件和固件。您还必须学习网络基础知识,以了解您必须做什么以及为什么需要这样做。
编辑
关于路由的基础知识:每一个计算机必须设置路由,因为默认路由不是该特定目标的正确路由。因此,如果您想从 192.168.7.* 到达 192.168.8.*,每一个192.168.7.* 中的计算机(图中:“PC”、“笔记本电脑”)必须设置路由。这就是我提到通过 DHCP 分配路由会很好的原因:这样,您就不必手动到处设置静态路由。
话虽如此,我们还是坚持使用静态路由。假设“PC”运行 Linux,所有东西都像第二张图那样连接起来,防火墙/POE 注入器的 IP 为 192.168.7.222。
然后在“PC”上,手动设置静态路由(一切正常后才使它们永久生效):
ip route add 192.168.8.0/24 cia 192.168.7.222
验证ip route show路由是否使用正确的接口,并且ip route get 192.168.8.1一切正常,并且没有其他优先的规则/路由。
您说从“PC”跟踪路由时,您将 192.168.7.1 作为第一跳;这是错误的,如果您在“PC”上正确设置了路由,则不会发生这种情况。虽然原则上可以仅在主路由器上设置路由,但这样做效率低下,可能会导致ICMP REDIRECT根据操作系统可能遵循或可能不遵循的消息,并且通常会导致出现问题的情况。
如果您将 192.168.7.222 作为第一跳,然后将 192.168.7.1 作为第二跳,则第二个路由器/POE 上的路由是错误的。
答案2
- 按照你说的购买另一个路由器,并为 LAN 配置不同的 IP 集:
例如 IP:192.168.1.1 子网掩码:255.255.255.0
在新路由器上配置静态外部 IP,例如 192.168.7.222
在调制解调器/第一个路由器上阻止 192.168.7.222 的互联网访问
答案3
您需要执行两个不同的操作:
- 两个网络之间的流量路由
- 控制网络间流量的防火墙
实际上,如果我们也算上公共互联网,您有三个不同的网络,但这将由您已有的路由器处理。基本上,您可以使用 Fritzbox 来完成所有工作,但它并非专门用于这项工作,而且需要一些手动工作。此外,事情并不是很容易看出来的——特别是如果您已经好几个星期没有碰过系统了……
我建议您使用具有路由功能的单独防火墙。每台具有多个网卡的 PC 都可以成为路由器 - 这取决于其配置。因此,您的 Fritzbox 肯定是路由器。它路由网络流量并决定是否将数据包发送到互联网或本地网络。
您需要一个额外的路由器,连接到您的内部网络(Fritzbox 所在的位置)和您的摄像机监控网络。因此,您需要的盒子应该有两张网卡。(当然,您可以使用一张网卡并使用 VLAN,但我不会这样做,因为这会使事情变得比必要的更复杂。)
一旦两个网络都连接到路由器,它就不需要任何静态路由,因为它已经知道内部网络和视频网络。因此它可以决定将网络流量发送到哪个网络接口。(您只需要告诉路由器它应该将所有其他流量(即所有发往互联网的数据包)发送到哪里。这是使用默认网关完成的。)
您的 Fritzbox 无法识别其他网络,因此它会尝试将发往您的视频 LAN 的数据包发送到 Internet(当然这行不通)。因此,您可以在 Fritzbox 上添加静态路由,告诉它将您视频 LAN 的所有数据包发送到您的新路由器,或者将 Fritzbox 的 DHCP 服务器上的默认网关更改为新路由器。(我更喜欢静态路由,因为它不会在您的内部网络中造成那么多流量。)
现在路由应该可以正常工作了,您应该注意防火墙。您需要定义策略,允许哪些设备在哪个方向上执行哪些操作。您可以使用防火墙来做到这一点。
当然,市面上有很多产品都可以很好地完成这项工作。
我可能会使用 pfSense 来完成这项工作。这款产品是免费的,有很多选项。此外,它非常可靠,一旦熟悉它,配置起来也很容易。
但也许你更喜欢 IPFire 这样的产品,而不是 pfSense,因为它更容易配置,但这取决于你。我建议你使用 pfSense。
以上所有方法可能都是“简单”的方法。“完美”的方法是将所有网络直接连接到路由器:
- 互联网线路(直接将FritzBox连接到路由器)
- 内部网络
- 视频网络
这将使您的路由器成为网络的中心,您可以在一个地方控制一切。然后,您只需要 Fritzbox 充当 DSL 调制解调器……但该设置稍微复杂一些 ;-)
玩得开心 :-)
最佳托马斯