DMZ für IP Kamera und IP Türstation

Diskussion über Hardware: CCU, Modbus, S7-CPU,...
Antworten
mayer
professional
Beiträge: 103
Registriert: 12.08.2015, 10:29

DMZ für IP Kamera und IP Türstation

Beitrag von mayer » 10.08.2018, 17:11

Hallo, um einmal aufzuzeigen, das eine DMZ für die Netzwerk-Außenverkabelung keine Hexerei ist, habe ich eine kleine Übersicht erstellt:
dmz.png
Dabei nutze ich nicht die klassische DMZ-Konfiguration, sondern erstelle eine DMZ hinter dem Router welcher mit dem Internet verbunden ist. Da ich dieses DMZ-Segment an jeder Stelle meines Netzwerks bilden kann, bin ich viel flexibler. Als Router mit der Firewall nutze ich einen MikroTik hEX lite. Erstens geht es kaum noch günstiger und zweitens ist dieser Router sehr umfangreich zu konfigurieren.

Der Router wird auch schon fast fertig vorkonfiguriert geliefert. An die WAN Buchse kommt die DMZ (z.B. ein PoE Switch), Ethernetport 2, 3, 4, oder 5 geht ins LAN. Dieser bekommt eine feste IP Adresse, in meinem Fall die 192.168.0.254, für das LAN. Auf der WAN-Seite muss der vorkonfigurierte DHCP Client gelöscht werden, dafür wird ein DHCP Server konfiguriert, welcher die Adressen, hier 192.168.10.50 - 192.168.10.100, für die DMZ bereitstellt.
Der Firewall ist bereits konfiguriert und aktiv. Sollten Portfreigaben von der DMZ ins LAN notwendig sein, bei mir z.B. ein SIP Port für die IP Türstation, kann dieses ganz einfach in der Firewallkonfiguration eingetragen werden.

Jetzt muss man in der Routing-Tabelle der Fritzbox noch die Route zum MikroTek Router eintragen:
Netzwerk Subnetzmaske Gateway
192.168.10.0 255.255.255.0 192.168.0.254

Das war es schon. Alle Geräte in der DMZ sind vom LAN aus erreichbar, aber nichts kommt von der DMZ ins LAN. Die restlichen Ports am Router können auch genutzt werden. Diese werden vom DHCP Server der Fritzbox mit Adressen versorgt.

Gruss, mayer

zahnheinrich
starter
Beiträge: 48
Registriert: 10.01.2017, 18:25

Re: DMZ für IP Kamera und IP Türstation

Beitrag von zahnheinrich » 10.08.2018, 18:56

Hallo mayer,
ein sehr aufschlussreicher Beitrag!

Wie würde die Konfiguration aussehen, wenn ich meine Surveillance-Station auf der Synology (die gleichzeitig als Datenserver läuft) entsprechend abschotten möchte?
Würde ich das über den zweiten Port der Synology machen und dahinter den mikrotek einbinden, oder geht das direkt auf der Syonolgy ohne zusätzliche Harware?
Gruß Ulrich

Antworten