PoE Außenkameras vom Heimnetz trennen (VLAN mit Netgear JGS524PE, QNAP TS-453A?)

koptrop

koptrop

Enthusiast
Thread Starter
Mitglied seit
01.12.2005
Beiträge
1.072
Hallo,

ich habe für die Außenüberwachung PoE Kameras vorgesehen. Als Switch habe ich ein Netgear ProSAFE Plus JGS524PE im Einsatz. Die Kameras kann ich somit in einen extra VLAN betrieben z.B:
VLAN Heimnetz: 192.168.1.x
VLAN IP Kameras 192.168.2.x

Wie komme ich nun von meinem PC, Notebook und Smartphones auf die Kamera drauf? Muss ich immer die Adresse des Adapters ändern?
Ich habe noch ein QNAP TS-453A NAS im Netz, dieser hat ja vier LAN-Ports. Könnte dieser die Netze mit dementsprechenden Rechten zusammen führen?

Grüße
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Was willst du denn durch die Netztrennung erreichen?

Security kanns nicht sein, sonst würdest du nicht auf die (beknackte) Idee kommen, beide Netze auf dem NAS wieder zusammenzuführen.

Du brauchst ein Gerät was entweder interVLAN-routing kann (ordentliche Switche können sowas, der Netgear gehört nicht dazu, Stichwort layer3) oder über einen Router der mehrere Subnetze bereitstellt. Dort kannst du dann mit entsprechenden RoutingACLs regeln definieren oder noch besser mit ner DPI dafür sorgen, dass du der das macht, was er auch soll.

Ansonsten einfach zusammenwerfen das Zeug.
 
Die Idee mit der Netztrennung war dass alle Geräte vom VLAN1 auch auf das VLAN2 zugreifen können aber die Geräte im VLAN2 nicht auf das VLAN1.

Mal eine generelle Frage zum VLANs und deren Konstellationen:
VLAN1: Multimedia
VLAN2: PCs
VLAN3: Hausgeräte
Komme ich nun noch mit meinem PC aus dem VLAN2 auf meinen Satellitenreceiver im VLAN1?
 
Zuletzt bearbeitet:
Mit einem entsprechendem Router, welcher VLANs kann, ja.

Dann musst du natürlich noch entsprechende Firewallregeln auf dem Router anlegen. Sonst routet der Router selbstständig die Netze. D.h. die Kommunikation untereinander wäre immer noch möglich.
 
Ich kann beim Switch zumindest einstellen welche Ports auf welche VLANs zugreifen dürfen. Vielleicht schaffe ich das Wochenende mal es zu testen…
 

Anhänge

  • switch.jpg
    switch.jpg
    69,5 KB · Aufrufe: 124
Ohne einen entsprechenden Router wirst du zw. den VLANs keine Kommunikation schaffen. Dazu brauchst du einen Router der mit den VLANs umgehen kann.

Desweiteren kann ein normaler Access Port (wo z.B. ein PC angeschlossen ist) nur Mitglied in einem VLAN sein (untagged) Wenn man einen Port in mehrere VLANs steckt, ist dieser tagged. Dieses können die meisten Endgeräte nicht :)

Wirst also über einen Router nicht hinaus kommen.
 
Mit Zugriffsregeln (ACL) ließe sich das Problem auch ohne VLAN lösen. Die Geräte würden dabei alle in ein und demselben Netz verbleiben. Wenn ich das richtig erinnere, kann bei netgear aber erst die 7er-Serie ACL. Mit der 5er-Serie lassen sich nur vollkommen autarke VLAN erstellen. Innerhalb der VLAN können dabei alle Geräte nur uneingeschränkt aufeinander zugreifen.
Die Anschaffung eines ACL-fähigen L2-Switch oder eines L3-Switch, wie z.B. Cisco SG200 oder SG300, etc. oder eines VLAN-fähigen Routers, wie UBNT EdgeRouter, Mikrotik Router, etc. scheint also unumgänglich.
 
Ich habe folgende VLANs im JGS524PE erstellt:

NAS: VLAN1 und VLAN2
Arbeits-PC: VLAN1 und VLAN2
HTPC: VLAN2

Als noch alle im gleichen Netz waren bin ich mit meinem Arbeits-PC per UltraVNC auf mein HTPC drauf gekommen. Per Remote auf dem HTPC hatte ich Zugriff auf mein NAS und Internet.
Mit den geänderten VLAN Einstellungen komme ich weiterhin mit meinem Arbeits-PC per UltraVNC auf mein HTPC, mit diesen kann ich aber nicht mehr auf mein NAS zugreifen. Ins Internet komme ich aber weiterhin.

Scheint als funktioniert es so wie ich es wollte. Oder habe ich da noch was übersehen?

Grüße
 
VLAN 1 nutzt man normalerweise nicht wenn man mit VLANs arbeitet. Da passiert oft magic shit, spreche da aus Erfahrung :d
 
OK danke. Dann wird das VLAN1 für Gäste frei gehalten;)
 
Auch nicht. VLAN1 komplett meiden, da viele Geraete defaultmaeßig VLAN1 taggen. Ohne dass dies iwo dokumentiert ist bzw. offiziell bekannt.

Sieh VLAN1 einfach als Rotes Tuch, wenn du mit VLANs arbeitest.
 
Was für Dosen hast du denn außen für die Kameras?
 
koptrop schrieb:
Ich habe folgende VLANs im JGS524PE erstellt:

NAS: VLAN1 und VLAN2
Arbeits-PC: VLAN1 und VLAN2
HTPC: VLAN2

Als noch alle im gleichen Netz waren bin ich mit meinem Arbeits-PC per UltraVNC auf mein HTPC drauf gekommen. Per Remote auf dem HTPC hatte ich Zugriff auf mein NAS und Internet.
Mit den geänderten VLAN Einstellungen komme ich weiterhin mit meinem Arbeits-PC per UltraVNC auf mein HTPC, mit diesen kann ich aber nicht mehr auf mein NAS zugreifen. Ins Internet komme ich aber weiterhin.

Scheint als funktioniert es so wie ich es wollte. Oder habe ich da noch was übersehen?

Grüße
Zum Vergrößern anklicken....

Wenn HTPC und NAS tatsächlich VLAN2 zugeordnet wären, müssten dieses auch aufeinander zugreifen können.
Die Zuordnung einzelner Geräte zu mehreren VLAN wird nicht funktionieren. Bis auf bessere Router und L3-Switches können Netzwerkgeräte i.d.R. nur eindeutig einem Netz (VLAN) zugeordnet werden. Für Inter-VLAN-Zugriffe muss zwingende geroutet werden. Der JGS524 kann das nicht. Welche IP-Adressen haben HTPC und NAS?
 
koptrop schrieb:
Ich habe folgende VLANs im JGS524PE erstellt:

NAS: VLAN1 und VLAN2
Arbeits-PC: VLAN1 und VLAN2
HTPC: VLAN2

Als noch alle im gleichen Netz waren bin ich mit meinem Arbeits-PC per UltraVNC auf mein HTPC drauf gekommen. Per Remote auf dem HTPC hatte ich Zugriff auf mein NAS und Internet.
Mit den geänderten VLAN Einstellungen komme ich weiterhin mit meinem Arbeits-PC per UltraVNC auf mein HTPC, mit diesen kann ich aber nicht mehr auf mein NAS zugreifen. Ins Internet komme ich aber weiterhin.

Scheint als funktioniert es so wie ich es wollte. Oder habe ich da noch was übersehen?

Grüße
Zum Vergrößern anklicken....

Das wundert mich das das so geht. Ein normaler PC kann nie in zwei VLANs gleichzeitig sein.
Ein normaler Port, wo z.B. ein PC angeschlossen ist, ist untagged (bei Netgear "U").
 
@NTB: noch habe ich keine Dosen, wir sind noch in der Rohbaufertigstellungsphase. Ich muss noch schauen welche Dosen ich da nehmen werde. Wahrscheinlich werden es Dosen mit Keystone Modulen.

@MoBo: Ja das ergibt Sinn was du schreibst. Wundere mich auch gerade warum es so geklappt hat. Welche Adressen ich genau eingetragen habe weiß ich leider nicht mehr.
Vielleicht schaffe ich es heute Abend noch mal zu testen, durch die Bauphase ist momentan einfach zu wenig Zeit da:(
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh