Erfolgreiches Einrichten VLAN für Kameras

Es gibt 4 Antworten in diesem Thema, welches 2.100 mal aufgerufen wurde. Der letzte Beitrag () ist von anton.

    Hallo,


    gleich eine 2. Frage in die Runde, getrennt von der ersten, da ein anderes Thema betreffend.


    Nach der Inbetriebnahme meine Netzes (USM-SE, Switch USW-Pro-24, 2 Access Points U6 LR+, 5 Kameras (3 G5 Bullet, 1 G5 Flex, 1 G5 Pro), 1 Rasberry Pi 4 mit p-hole, 1 Timberwolf Smarthome-Server, verschiedenste Clients) hatte ich eine Zeitlang mit den Early-Access-Versionen von Ubiquiti gearbeitet. Dies schien erst ganz gut zu funktionieren, bis ich nach Investition von mehreren Arbeitstagen erkennen musste, das VPN-Zugriff auf mein Netz ausschließlich wegen einer Fehlfunktion der Unifi-Network-Anwendung nicht funktionierte. Aus Sicherheitsgründen habe ich dann das Netzwerk auf Basis des offiziellen Entwiclungszweiges komplett neu aufgesetzt. Dabei wollte ich dann mein Netzwerk - wie schon länger geplant - in verschiedene VLANs aufsplittern (Default, Gast, IoT, Kamera). Allerdings ist dabei irgend etwas tüchtig schief gegangen, so dass alle Kameras Offline gegangen sind. Weitere Details sind nicht so spannend, irgendwie habe ich dies wieder zum Laufen gebracht. Hilfreich war, das ich über ein Baugerüst gut an meine Kameras herangekommen bin und dort mehrere Resets durchführen konnte.


    Diese Baugerüst wir (hoffentlich) in Kürze abgebaut, so dass ich vorher noch einen Versuch unternehmen möchte, mein Netzwerk zu konfigurieren. (Sonst komme ich nur noch schwer an die Kameras unter dem Dachüberstand für einen erneuten Reset heran.) Hierfür will ich erneut von 192-Adressbereich auf den 172er wechseln und die 4 VLANs einrichten. Ubiquiti hatte mir u.a. während der Lösungssuche zurückgeschrieben:


    - In order for the cameras to reconnect to the UDM-SE, they need to be wired to the same VLAN as the console. Once they are online again, you can move them to another VLAN.

    - If the VLAN is not tagged on the switch port during the VLAN assignment of the camera, then it is possible that the cameras would go offline or the cameras were offline when the VLAN assignment was done, you may face this issue.
    - Also, regarding your query on assigning cameras to separate VLANs and then securing them via appropriate firewall rules, please ensure that the cameras and the consoles are on the same network


    Leider bin ich mir nicht sicher, ob ich diese Hinweise richtig verstehe. Wie gehe ich in welcher Reihenfolge meine Umstellung an? Ich habe 4 Netzwerke (Default, GastNet, IoT und Kamera), an Default hängen 16 Clients, in IoT ebenfalls 16. Die Kameras (alle PoE direkt an die UDM-SE angeschlossen), sind noch im Default-Netzwerk. Ich könnte jetzt z.B. die Adressbereiche umstellen (die meisten der Clients sollten dies ja eine Neukonfugration mitmachen). Dies sollte keine Probleme versuchen. Aber wie brige ich zuverlässig die Kameras dann in Ihr (neu anzulegendes VLAN), ohne dass ich erneut diese ganzen Probleme bekomme.


    Vielen Dank im Voraus,

    Götz

    Moin,

    du kannst einfach auf den Switch Ports das Kamera VLAN einstellen, dann sollten sich die Kameras eine IP aus dem VLAN ziehen (solltest die statische IP entfernen). Ein neustarten des POE Ports (oder ein/austecken des Kabels) hilft meistens auch. Wenn du allerdings auf jeder Kamera die IP über dessen Weboberfläche eingestellt hast, solltest du da erstmal wieder auf DHCP umstellen, sonst wird sie offline bleiben bis Reset oder verschiebung ins default.

    Zitat von Goetz

    in verschiedene VLANs aufsplittern (Default, Gast, IoT, Kamera). Allerdings ist dabei irgend etwas tüchtig schief gegangen, so dass alle Kameras Offline gegangen sind

    Eigentlich sind die Kameras im Management(Default) Vlan (zusammen mit den Switches und der UDM). Willst du es aus dem weg haben? Weil so wäre es ja auch schon getrennt von IOT,…


    Bei deiner Aufzählung würd ich noch eines für die eigenen Geräte (PC, Notebook, Handy,…) machen, und im default(bzw Management, je nach Version ist da die benennung unterschiedlich) nur die UI Geräte lassen. Da gehen sie auch „automatisch“ beim einrichten hin(und im Fehlerfall auch gerne mal)

    Hallo Anton,


    manchmal kommt man nicht auf die einfachsten Ansätze. Die Kameras in Default zu lassen und den Rest umzuhängen. Dies werde ich so machen. Danke.


    Feststellung am Rande: Das separate IoT-Netz werde ich aus Sicherheitsgründen sicherlich beibehalten und dies auch mit einem gleichnamigen VLAN verknüpfen. Ich musste allerdings feststellen, dass hier Sicherheit und Bequemlichkeit konkurrieren: Die Steuerung meiner IoT-Geräte erfolgt - sofern ich nicht die KNX-Controller einsetzen kann - meistens über das Handy. Hierfür muss ich dann immer wieder zwischen den verschiedenen Funknetzen umschalten. Oder kriege ich dies über die VLANs und passende Firewall-Regeln anders gelöst?


    VG,

    Götz

    Zitat von Goetz

    Hierfür muss ich dann immer wieder zwischen den verschiedenen Funknetzen umschalten. Oder kriege ich dies über die VLANs und passende Firewall-Regeln anders gelöst?

    Mit ner passenden Regel kein Problem (also das Vlan wo dein Handy ist darf ins IOT Netz, aber nicht umgekehrt)


    Das Wlan für IOT würd ich ein reines 2,4GHZ Wlan machen, da 5Ghz da eh kein wirklicher Bedarf ist, und nur ne zusätzliche Fehlerquelle.


    Ich hab folgende Vlans:

    Management (UI Geräte)

    Server (NAS, Pihole, GPS-Zeitserver,…. Es gibt kein Wlan dazu)

    Clients (Eigene Geräte wie Handy, PC,…. Das Wlan dazu ist 5&6Ghz only)

    Gäste (über Guestportal, 2,4Ghz only, mit Einmalpasswörter und Bandbreitenbegrenzt auf 10mbit :grinning_squinting_face: )

    IOT Geräte (Wlan dazu auch 2,4Ghz only mit WPA2)