VLAN per telecamere con ER-X

quintadena · 04-01-2021, 14:46

ciao a tutti
in allegato uno schemino di come ho fatto la rete di casa.
Descrizione
rete TIM FTTC -> Modem bianco TIM da una parte
gateway 4G dall'altra

l'ER-X e' in modalita' failover, se salta l'ADSL interviene il 4G. A parte che mi da problemi (magari faccio un thread a parte in seguito), la domanda del post e' un'altra

in uscita:
- FRITZ BOX che da' il wifi e la rete a tutta la casa
- telecamere IP con DVR.

Il problema che ho e' questo: vorrei impedire alle telecamere di uscire verso server cinesi, per far questo vorrei creare una VLAN nell'ER-X e poi fare una VPN per potervi accedere dall'esterno. Ancora non so come fare, ma penso di riuscirci leggendo la documentazione (se avete suggerimenti ben venga).
Quello che invece veramente non ho idea di come fare, e che mi preoccupa, e' un'altra cosa: come faccio, una volta che ho fatto la VLAN per le telecamere, a vedere le telecamere dai PC che sono dietro al fritzbox? Non riesco a capire.
Grazie a chi mi rispondera'.

p.s. dimenticavo: DVR e telecamere sono tutte cablate, nessuna di esse e' wifi

Kaya · 04-01-2021, 15:37

IMHO stai sbagliando approccio al problema: Non è la VLAN che serve per fare ciò di cui hai bisogno.
Sebbene possa funzionare "in parte" quello che a te serve è un firewall.

Vedo quindi diverse opzioni.
Opzione 1: Togliere il gateway nelle impostazione del DVR; in questo modo non va da nessuna parte. (ovviamente non è nemmeno accessibile dall'esterno dopo, salvo tu non ti colleghi in VPN)
Opzione 2: installare un firewall VERO ( o forse puoi fare qualche trucchetto con l'ubiquiti)-> dai un block a tutte le connessioni in uscita dal DVR.

Quello che poi non capisco è a cosa ti serva un fritz box in cascata a un router a cui poi colleghi un pc, se poi colleghi il dvr direttamente al router.

Cmq la risposta al quesito è qua: https://help.ui.com/hc/en-us/article...r-VLAN-Routing

quintadena · 04-01-2021, 15:48

Quote:

Originariamente inviato da Kaya

IMHO stai sbagliando approccio al problema: Non è la VLAN che serve per fare ciò di cui hai bisogno.
Sebbene possa funzionare "in parte" quello che a te serve è un firewall.

Innanzitutto grazie per la risposta!
Per mettere un firewall (cosa che posso fare nell'ER-X) devo pero' assegnare le regole a una VLAN, giusto? Ossia: creare 2 VLAN, una per i PC (fissi e laptop) libera di accedere a internet , ma con un firewall in ingresso, e l'altra per le telecamere con firewall sia in uscita che in ingresso, e poi creare una regola in modo che da PC possa accedere alle telecamere, nonche' una VPN per accedere alle telecamere da esterno. Questa era l'intenzione.

Quote:

Vedo quindi diverse opzioni.
Opzione 1: Togliere il gateway nelle impostazione del DVR; in questo modo non va da nessuna parte. (ovviamente non è nemmeno accessibile dall'esterno dopo, salvo tu non ti colleghi in VPN)

infatti la scarterei perche' vorrei poter accedere dall'esterno tramite VPN

Quote:

Opzione 2: installare un firewall VERO ( o forse puoi fare qualche trucchetto con l'ubiquiti)-> dai un block a tutte le connessioni in uscita dal DVR.

Quello che poi non capisco è a cosa ti serva un fritz box in cascata a un router a cui poi colleghi un pc, se poi colleghi il dvr direttamente al router.

il fritz box mi serve come access point, di fatto, per avere il wifi.
Se non collego il DVR all'ER-X, come faccio a fare una VLAN separata?

Quote:

Cmq la risposta al quesito è qua: https://help.ui.com/hc/en-us/article...r-VLAN-Routing

Ok me lo leggo, ma in sostanza che configurazione mi consiglieresti invece di quella attuale?

Kaya · 05-01-2021, 07:30

Quote:

Originariamente inviato da quintadena

Innanzitutto grazie per la risposta!
Per mettere un firewall (cosa che posso fare nell'ER-X) devo pero' assegnare le regole a una VLAN, giusto? Ossia: creare 2 VLAN, una per i PC (fissi e laptop) libera di accedere a internet , ma con un firewall in ingresso, e l'altra per le telecamere con firewall sia in uscita che in ingresso, e poi creare una regola in modo che da PC possa accedere alle telecamere, nonche' una VPN per accedere alle telecamere da esterno. Questa era l'intenzione.

No, il principio del firewall va indipendentemente da quante VLAN tu abbia.
E' solo un metodo che stai usando tu.

Visto quello che vuoi fare, la cosa veramente più semplice è quella di mettere tutto sotto la stessa classe e con il firewall er-x proibire all'ip del DVR di uscire su internet.
Easy peasy

Quote:

Originariamente inviato da quintadena

infatti la scarterei perche' vorrei poter accedere dall'esterno tramite VPN

E infatti ti ho detto che così funziona con la VPN (salvo - ad eccezione )

Quote:

Originariamente inviato da quintadena

il fritz box mi serve come access point, di fatto, per avere il wifi.
Se non collego il DVR all'ER-X, come faccio a fare una VLAN separata?

Si ma così da come l'hai disegnata i pc sono a valle del fritz, che penso a questo punto faccia sia da wifi ma configurato anche come router.
Dovresti collegarlo come access pont sulla porta LAN (escludendo la 1) però così facendo non puoi usarlo come VPN Server (salvo - a meno che - non usi il modem telecom o l'er-x)

Quote:

Originariamente inviato da quintadena

Ok me lo leggo, ma in sostanza che configurazione mi consiglieresti invece di quella attuale?

Io ti consiglerei la mia prima opzione.
Evita le VLAN, metti tutto sotto la stessa classe ip e col firewall blocchi l'accesso a internet di quel dispositivo.

Poi se vuoi imparare come funzionano le VLAN ecco io partirei dai costrutti base..

quintadena · 05-01-2021, 20:08

Quote:

Originariamente inviato da Kaya

No, il principio del firewall va indipendentemente da quante VLAN tu abbia.
E' solo un metodo che stai usando tu.

Visto quello che vuoi fare, la cosa veramente più semplice è quella di mettere tutto sotto la stessa classe e con il firewall er-x proibire all'ip del DVR di uscire su internet.
Easy peasy
[...]

Ok credo di aver capito. Certo che se si puo' fare cosi' mi risparmio la VLAN!
E certamente posso usare il fritz box come access point e non come router.
Ma mi resta il dubbio di come fare la VPN. L'ER-X mi serve per poter fare il failover.
Esiste uno schema piu' semplice? Con l'ER-X sono sicuro che si possa configurare il firewall. Ero tentato di comprare un modem con integrato il 4G per fare il failover, ma non saprei quale acquistare, diciamo che sarebbe bello poter avere solo un apparecchi acceso.
Ad esempio il FRITZ!Box 6890 devo verificare che si possa bloccare il traffico in uscita, non ne ho idea.

quintadena · 05-01-2021, 20:23

Caspita non ci avevo pensato! Basta andare nella configurazione del fritz box e bloccare il dispositivo in uscita! Si puo' fare con tutti i modelli.
A questo punto resta solo il problema del failover. O compro un 6890 oppure tengo l'ER-X cosi' com'e'

04-01-2021, 15:37	#2
Kaya Senior Member Iscritto dal: Apr 2005 Messaggi: 3000	IMHO stai sbagliando approccio al problema: Non è la VLAN che serve per fare ciò di cui hai bisogno. Sebbene possa funzionare "in parte" quello che a te serve è un firewall. Vedo quindi diverse opzioni. Opzione 1: Togliere il gateway nelle impostazione del DVR; in questo modo non va da nessuna parte. (ovviamente non è nemmeno accessibile dall'esterno dopo, salvo tu non ti colleghi in VPN) Opzione 2: installare un firewall VERO ( o forse puoi fare qualche trucchetto con l'ubiquiti)-> dai un block a tutte le connessioni in uscita dal DVR. Quello che poi non capisco è a cosa ti serva un fritz box in cascata a un router a cui poi colleghi un pc, se poi colleghi il dvr direttamente al router. Cmq la risposta al quesito è qua: https://help.ui.com/hc/en-us/article...r-VLAN-Routing

05-01-2021, 20:23	#6
quintadena Member Iscritto dal: Apr 2011 Messaggi: 33	Caspita non ci avevo pensato! Basta andare nella configurazione del fritz box e bloccare il dispositivo in uscita! Si puo' fare con tutti i modelli. A questo punto resta solo il problema del failover. O compro un 6890 oppure tengo l'ER-X cosi' com'e'

Strumenti
Mostra una versione stampabile Invia questa pagina per email