主网络和子网之间的通信和可见性

我在想如何构建一个小型家庭视频监控系统。

实际上在我家里我有一个唯一的网关/ ADSL调制解调器/路由器，具有以下设置：

ADSL调制解调器/网关IP：192.168.7.1

子网掩码配置：255.255.255.0

启用DHCP：启动IP：192.168.7.2，结束IP：192.168.7.200

我打算创建一个购买新路由器的子网，我将连接一些户外ethrnet IP摄像机。

所有这些IP摄像机都在子网内的特定NAS上录制视频。

我对要获得这些功能所需的配置有一些疑问：

• 从主网络我想看到子网的所有客户端（所有IP摄像头+ NAS）
• 子网没有Internet访问权限，无法查看主网络的客户端

我在安装/购买新硬件组件以达到指定功能方面没有任何问题。主要目标是保证主网络和子网之间的“单向”可见性。

在几周内，我还必须更换主网关（由于从ADSL迁移到VDSL / FTTC），我将购买FritzBox。主网关的更改能否为我的问题提供有效的解决方案？

在此先感谢您的帮助。

1. 像你说的那样购买另一台路由器并为LAN配置不同的IP设备：

例如IP：192.168.1.1子网掩码：255.255.255.0

2. 在新路由器上配置静态外部IP，例如192.168.7.222

3. 在您的调制解调器/第一个路由器上阻止192.168.7.222的Internet访问

你打算通过局域网还是WLAN连接摄像机？我会假设LAN为这个答案。

您需要的是两个LAN网段，它们之间的防火墙和适当的路由规则，除非您的默认网关执行所有路由。

使用单个路由器进行最简单的设置：

    192.168.7.0/24      DSL    192.168.8.0/24
          |              |           |
          |              |           |
    PC  --|              |           |--  Camera
          |----------- Main ---------|
          |           Router         |
 Laptop --|                          |--  Camera
          |                          |

请注意，LAN段的概念与路由器不同：通常，LAN段由连接所有计算机的交换机组成。这种交换机也可以是路由器的一部分。LAN网段也可以是WLAN接入点。您可以将单个路由器的LAN端口连接到不同的LAN网段（如果配置正确）。

虽然Fritzbox是一台优秀的机器，但您无法在其上部署开源固件，并且更改现有固件并不容易。因此，使用Fritzbox，您需要专用的第二个路由器作为防火墙：

    192.168.7.0/24      DSL    192.168.8.0/24
          |              |           |
          |              |           |
    PC  --|              |           |--  Camera
          |----------- Main          |
          |           Router         |
 Laptop --|                          |--  Camera
          |                          |
          |--------- Firewall -------|
          |                          |

防火墙还必须充当192.168.8.0/24段的DHCP服务器。现在您遇到的问题是，192.168.7.0 / 24段中的所有计算机都需要显式路由，防火墙作为网关进入192.168.8.0/24段。您可以通过DHCP分发路由，但同样，在Fritzbox上，这将很难设置。一种解决方法是让防火墙路由器处理DHCP，并在Fritzbox上停用它（这将使Fritzbox不那么有用）。

TL; DR：您需要能够配置防火墙规则和DHCP路由选项。这可以在具有开源固件的路由器（如OpenWRT od DD-WRT）上完成，但在具有可用固件的消费级路由器上通常很难。

如何准确输入所需的防火墙规则等取决于您最终使用的硬件和固件。您还必须学习网络基础知识，以了解您必须做什么，以及为什么需要这样做。

编辑

有关路由的基础知识：默认路由不是该特定目标的正确路由的每台计算机都必须设置路由。因此，如果你想从192.168.7。*达到192.168.8。*，192.168.7。*中的每台计算机（在图片中：“PC”，“笔记本电脑”）必须设置路由。这就是为什么我提到通过DHCP分发路由会很好：这样，您就不必手动设置静态路由。

也就是说，让我们坚持使用静态路由。假设“PC”运行Linux，并且所有内容都连接在第二张图片中，防火墙/ POE注入器具有192.168.7.222。

然后在“PC”上手动设置静态路径（在一切正常后将它们永久化）：

ip route add 192.168.8.0/24 cia 192.168.7.222

验证ip route show路由使用正确的接口，并且ip route get 192.168.8.1一切正常，并且您没有其他优先级的规则/路由。

你说当你从“PC”追踪时你获得192.168.7.1作为第一跳; 这是错误的，如果您在“PC”上正确设置路线，则不应该发生这种情况。虽然原则上可以仅在主路由器上设置路由，但这是低效的，可能导致ICMP REDIRECT依赖于操作系统的消息可能会或可能不会被遵守，并且通常可能导致事情中断的有趣情况。

如果在192.168.7.222之后作为第一跳获得192.168.7.1作为第二跳，则第二路由器/ POE上的路由是错误的。

您需要执行两个不同的操作：

• 两个网络之间的流量路由
• 防火墙控制网络之间的流量

实际上，如果我们也计算公共互联网，你有三个不同的网络，但这将由你已经拥有的路由器负责。基本上你可以使用Fritzbox来完成所有工作，但它并不打算完成这项工作，而是需要一些手工工作。此外，事情并不容易看到 - 特别是如果你没有触及系统几周......

我建议你使用一个单独的防火墙，它也有路由功能。每台具有多个网卡的PC都可以是路由器 - 这取决于它的配置。所以你的Fritzbox肯定是一个路由器。它路由网络流量并决定是将数据包发送到Internet还是发送到本地网络。

您需要一个连接到内部网络（Fritzbox所在位置）的附加路由器以及摄像机监控网络。因此，您需要的盒子应该有两个网卡。（当然，您可以使用一个网卡并使用VLAN，但我不会这样做，因为它使事情变得非常复杂。）

只要两个网络都连接到您的路由器，它就不需要任何静态路由，因为它已经知道内部网络和视频网络。因此，它可以决定要发送哪个网络接口网络流量。（您只需要告诉路由器它应该在哪里发送所有其他流量，即所有发往Internet的数据包。这是使用默认网关完成的。）

您的Fritzbox不知道另一个网络，因此它会尝试将发往您视频LAN的数据包发送到Internet（当然不会起作用）。因此，要么在Fritzbox上添加一个静态路由，告诉它将视频LAN的所有数据包发送到新路由器，或者将Fritzbox的DHCP服务器上的默认网关更改为新路由器。（我更喜欢静态路由，因为它不会在您的内部网络中造成太多流量。）

既然路由应该工作，你应该处理防火墙。您需要定义策略，允许哪些设备在哪个方向上执行操作。你可以用防火墙做到这一点。

当然有很多产品都可以完成这项工作。

我可能会使用pfSense来完成这项工作。该产品是免费的，有很多很多选择。此外，一旦您熟悉它，它就非常可靠且易于配置。

但也许你喜欢像IPFire这样的产品比pfSense更好，因为它更容易配置，但这取决于你。我建议你使用pfSense。

以上所有可能都是“简单”的方式。“漂亮”的方式是将所有网络直接连接到路由器：

• 互联网线路（直接连接FritzBox到路由器）
• 内部网络
• 视频网络

这将使您的路由器成为网络的中心，您可以在一个地方控制所有内容。然后你只需要Fritzbox充当DSL调制解调器......但是这种设置有点复杂;-)

玩得开心 ：-）

最佳托马斯