mulu 11 Geschrieben 14. August 2018 Melden Teilen Geschrieben 14. August 2018 Hallo Gemeinde, folgende Anfrage hat mich heute erreicht und ich bin mit der Lösungsfindung überfordert. Vielleicht bringt mich jemand auf den Weg, bin für jeden Hinweis dankbar. Bestandsnetzwerk: Netzwerk: 172.16.0.0/16 Gateway: 172.16.255.254 In diesem Netzwerk befinden sich diverse Geräte, Drucker, Clients, Server, Scanner usw. Jetzt kommt eine recht umfangreiche Videoüberwachung hinzu. Darunter etwa 160 Kameras, Videoserver, PoE-Switche. Dieses Netz soll von dem Bestandsnetzwerk getrennt werden. Die gesamte Hardware wird so verbaut, dass die Komponenten für das Videonetzwerk von dem Bestandsnetzwerk getrennt sind. Folgende Anforderungen sollen jetzt ermöglicht werden: 1. Zugriff aus dem Bestandsnetzwerk auf die Videoserver zur Auswertung der Aufnahmen. 2. Zugriff von außen (aus dem Internet) via VPN auf die Videoserver. 3. Versand von E-Mails via Office365 von den Videoservern aus. Für das Videonetzwerk ist ein 192er IP-Adressbereich vorgesehen. Der Netzausgang im Bestandsnetzwerk ist eine Untangle. Die Kiste hat drei Netzwerkkarten, eine ist ein LAN-Interface und zwei WANs für die beiden Außenanbindungen. Frage: - welche Möglichkeiten seht Ihr hier, die Anforderungen 1-3 zu erfüllen? Meine Idee ist es, einen Router zwischen die beiden Netze zu stellen, der auf beiden Interfaces Routen von einem Netz in das andere hat. Bestimmt ein Holzweg Freue mich auf Meinungen. Danke & Grüße, mulu Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 14. August 2018 Melden Teilen Geschrieben 14. August 2018 Ohne mehr zu den verbauten Komponenten zu wissen wird das schwierig. Im Zweifelsfall bekommt die neue Umgebung eine eigene Außenanbindung und es wird ein VPN dazwischen gebaut. Zitieren Link zu diesem Kommentar
mulu 11 Geschrieben 14. August 2018 Autor Melden Teilen Geschrieben 14. August 2018 Gerade eben schrieb magheinz: Ohne mehr zu den verbauten Komponenten zu wissen wird das schwierig. Im Zweifelsfall bekommt die neue Umgebung eine eigene Außenanbindung und es wird ein VPN dazwischen gebaut. was musst Du zu den Komponenten wissen? Die Switche sind mit Sicherheit konfigurierbar, das wird allerdings kategorisch abgelehnt. Also wenn man das Wort VLAN in den Mund nimmt ist die Türe zu. Also die Überlegungen basieren auf "dummen" Switchen. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 14. August 2018 Melden Teilen Geschrieben 14. August 2018 Dann betreibt beides getrennt und baut ein VPN dazwischen. Keine VLANs weil nicht gewollt oder nicht erlaubt(VS-Netz oder ähnliches). Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 14. August 2018 Melden Teilen Geschrieben 14. August 2018 (bearbeitet) Moin Wozu soll denn NAT gut sein? Ersetze den Router durch Firewall. bearbeitet 14. August 2018 von lefg Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 14. August 2018 Melden Teilen Geschrieben 14. August 2018 (bearbeitet) Das Netz aus dem 172er Bereich muss doch gar nicht die Kameras direkt sehen - nur den Videoserver, oder? Wo läuft welche Software zur Auswertung? Auf dem Videoserver oder separat? Wir haben ein ganz ähnliches Konstrukt laufen, allerdings eine eigene Maschine für die Anzeige und Auswertung auf den 4 32" UHD-Displays. Bei uns hat sowohl der Videoserver als auch die Anzeige eine 2te Netzwerkkarte, einmal Produktiv-LAN und einmal Video-LAN. Zur Not setzt man ein Gateway mit oder ohne Auth zwischen die Netze, wenn man - warum auch immer - die Kameras direkt sehen will / muss Nur als weitere Anregung.... bearbeitet 14. August 2018 von Nobbyaushb 1 Zitieren Link zu diesem Kommentar
mulu 11 Geschrieben 14. August 2018 Autor Melden Teilen Geschrieben 14. August 2018 vor 6 Stunden schrieb magheinz: Dann betreibt beides getrennt und baut ein VPN dazwischen. Keine VLANs weil nicht gewollt oder nicht erlaubt(VS-Netz oder ähnliches). VLAN nicht gewollt, man will es einfach halten und hat schlechte Erfahrungen mit konfigurierten Switchen ;) Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 14. August 2018 Melden Teilen Geschrieben 14. August 2018 (bearbeitet) Vielleicht hat man ja nur gute Erfahrungen mit schlechter Konfiguration? bearbeitet 14. August 2018 von NorbertFe Zitieren Link zu diesem Kommentar
mulu 11 Geschrieben 14. August 2018 Autor Melden Teilen Geschrieben 14. August 2018 vor 2 Stunden schrieb Nobbyaushb: Das Netz aus dem 172er Bereich muss doch gar nicht die Kameras direkt sehen - nur den Videoserver, oder? Das stimmt fast, es müssen noch ein paar andere Daten transportiert werden, was ich so im Detail nicht erwähnt habe. vor 2 Stunden schrieb Nobbyaushb: Wo läuft welche Software zur Auswertung? Auf dem Videoserver oder separat? Die Videoserver erhalten u.a. von dem ERP-System Daten für die Geo-Auswertung, auch dieser Weg muss funktionieren. Also ein Host aus dem 172er Netz muss Daten zu den Videoservern transportieren können. vor 2 Stunden schrieb Nobbyaushb: Wir haben ein ganz ähnliches Konstrukt laufen, allerdings eine eigene Maschine für die Anzeige und Auswertung auf den 4 32" UHD-Displays. Bei uns hat sowohl der Videoserver als auch die Anzeige eine 2te Netzwerkkarte, einmal Produktiv-LAN und einmal Video-LAN. Zur Not setzt man ein Gateway mit oder ohne Auth zwischen die Netze, wenn man - warum auch immer - die Kameras direkt sehen will / muss Nur als weitere Anregung.... Vielen Dank Nobby, die Kameras selbst müssen nicht erreichbar sein. Gerade eben schrieb NorbertFe: Vielleicht hat man ja nur schlechte Erfahrungen mit schlechter Konfiguration? Natürlich, so ist es :) Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 14. August 2018 Melden Teilen Geschrieben 14. August 2018 Das könnte man ja mal versuchen zu korrigieren. Eine komplett separate Umgebung für die Überwachung ist bei eigenem "Betrieb" ja auch mehr an Technik und Beschaffung. Ich kenne sowas eigentlich nur, wenn die Überwachung eben als "blackbox" von extern betreut wird und dort solch krude Anforderungen kommen. Zitieren Link zu diesem Kommentar
mulu 11 Geschrieben 14. August 2018 Autor Melden Teilen Geschrieben 14. August 2018 vor 5 Stunden schrieb lefg: Moin Wozu soll denn NAT gut sein? Ersetze den Router durch Firewall. Ich glaube ich habe mich missverständlich ausgedrückt, sorry. Ich wollte damit erklären, dass in dem Netz private IPs verwendet werden - was eigentlich selbstverständlich ist. Freilich sind am Netzausgang feste öffentliche IPs im Spiel, was aber für dieses Thema keine Rolle spielt. Der Router (die Untangle) ist ein Unix-basiertes System, das u.a. auch die Firewall "spielt". Gerade eben schrieb NorbertFe: Das könnte man ja mal versuchen zu korrigieren. Eine komplett separate Umgebung für die Überwachung ist bei eigenem "Betrieb" ja auch mehr an Technik und Beschaffung. Ich kenne sowas eigentlich nur, wenn die Überwachung eben als "blackbox" von extern betreut wird und dort solch krude Anforderungen kommen. Hallo Norbert, die Infrastruktur ist bereits vorhanden. Aktuell wird eine vorhandene Installation gegen eine neue getauscht. Bei dieser Gelegenheit will man die Netze trennen, derzeit laufen diese zusammen. Die derzeitige Videoumgebung hat bereits komplett eigene Netzwerkhardware (Gigabit PoE Switche über Kupfer und Glas), ist derzeit mit der anderen Umgebung verbunden. Was das an Traffic und Broadcasts verursacht kann man sich ja leicht ausrechnen. Wenn man so will sind die Netze derzeit zusammengesteckt, IP-mäßig sind die Kameras und auch die Videoserver eben von überall erreichbar und spammen eben auch das Netz zu. Genau das will man abschaffen. Gruß, mulu Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 14. August 2018 Melden Teilen Geschrieben 14. August 2018 Ja, beste Voraussetzungen für ein vernünftiges VLAN Konzept. ;) Zitieren Link zu diesem Kommentar
mulu 11 Geschrieben 14. August 2018 Autor Melden Teilen Geschrieben 14. August 2018 Gerade eben schrieb NorbertFe: Ja, beste Voraussetzungen für ein vernünftiges VLAN Konzept. ;) Fühlst Du Dich berufen? Ich besitze hierfür nicht die Expertise. Falls ja schick mir bitte eine PN :) Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 14. August 2018 Melden Teilen Geschrieben 14. August 2018 Ich persönlich nicht, aber als Systemhaus kann man über ein solches Konzept natürlich sprechen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.