Разграничение доступа локальной сети и видеонаблюдения

@andrey829 · Регистрация: 14.06.2017

Author24 — интернет-сервис помощи студентам

Есть роутер микротик на него заведен интернет со Static IP, и есть коммутатор D-link DES-1100-24
Если в кратце то требуется просто разделить данные с камер и данные в локальной сети.
Т.е. Доступ к серверу с 1С нужен из интернета, т.к. некоторые сотрудники работают по удаленке из дома. И камерам опять же нужен доступ в инет, что бы руководство могло в режиме онлайн просматривать видео с камер.

Как это лучше сделать? через traffic segmentation или же через vlan?

Вот примерная схема как это выглядит сейчас.
http://s6.uploads.ru/t/UK8JY.jpg
P.S. пожалуйста сильно не пинайте, и палками не кидайтесь, просто впервые с этим сталкиваюсь, по этому и прошу совета.

@romsan · 14.06.2017, 23:09

Существует 3 группы внутренних немаршрутизируемых подсетей:

Кликните здесь для просмотра всего текста

Разграничение доступа локальной сети и видеонаблюдения

Выбираем какая душе угодно, назначаем для видеонаблюдения, прописываем на микротике доступ из вне. Так же на микротике прописываем правила запрета доступа из сетей в сети, а что нужно - прописываем разрешение. Так же ставим запрет на сетевые сканеры.
Пример:
Видеонаблюдение - 10.230.128.0/24
ЛВС предприятия - 172.16.200.0/24
------------------------------
И пусть себе гадают, кто в какой сети....
У Вас на руках микротик - этим все сказано!

@romsan · 14.06.2017, 23:16

качество картинки конечно супер

@andrey829 · 14.06.2017, 23:38 **[ТС]**

Да, с картинкой накосячил ))
http://s5.uploads.ru/d/So9cl.jpg

Добавлено через 14 минут
Если по запретам и разрешениям мне все понятно что это прописывается в фаерволе.
Но вот не понятно где я должен прописать сети на видеонаблюдение и лвс предприятия. vlanы создавать или как, я просто с микротом никогда не не "ковырялся", он для меня как лес дремучий ((

@romsan · 14.06.2017, 23:48

все равно плохо читаемо, хотя сорь ,норм

Добавлено через 2 минуты
ну дак тем более у Вас управляемый коммутатор. Я считаю, реализовать разграничение очень просто. Можно и как я описал выше, и с помощью VLAN

Добавлено через 1 минуту

Сообщение от andrey829

я просто с микротом никогда не не "ковырялся", он для меня как лес дремучий ((

не преувеличивайте. В тырнете куча инфы. Набросаю Вам пример позже...

Добавлено через 3 минуты
модель микротика?
Зачем управляемый коммутатор? Кто настраивал? Как?

@andrey829 · 14.06.2017, 23:56 **[ТС]**

MIKROTIK HEX https://mikrotik.ru/katalog/ka... s/RB750Gr3
Коммутатор руководство тупо купили без каких либо мыслей и советов.
Настраивал я по букварю. В коммутаторе только ip-адрес сменил, и более никаких настроек, в микротике прописал только данные от провайдера, и опять же по букварю настроил фаервол. и далее ступор((...

@insect_87 · 15.06.2017, 07:49

два интерфейса vlan на микротике подними и по vlan на свитче разведи.
а по поводу доступа из интернета к хостам во внутренней сети - перенаправление портов.

@romsan · 15.06.2017, 08:58

Сообщение от insect_87

два интерфейса vlan на микротике подними и по vlan на свитче разведи.

как видно из картинки, микротик соеденен одним проводом с коммутатором. При двух интерфейсах, я так понимаю, нужно 2 физических канала, на микротике каждый vlan на свой ethernet-порт посадить (или я не прав!?), а уже на коммутаторе разводить, т.е. там также нужно "помудрить". Только не подумайте, что я критикую Ваше решения. ТС охарактеризовал себя по отношению к микротикам.
Мой же способ прост в настройке. Единственное неудобство - придется перенастроить адресацию на камерах и видеореге.
На ethernet-порт повесить две сети (присвоить соответствующие адреса) - для ЛВС и СВН (система видео наблюдения)
Проброс портов настроить и хождение между сетями. Всё!
Я просто думаю, что с VLAN ТС так же не знаком.

@insect_87 · 15.06.2017, 09:36

мудрить не нужно, настроить транк на микротике https://wiki.mikrotik.com/wiki... D1%81/VLAN

@andrey829 · 15.06.2017, 11:37 **[ТС]**

Сообщение от romsan

Я просто думаю, что с VLAN ТС так же не знаком.

верно говорите, с vlan я дилетант.
как считаете по вот такому варианту http://jakondo.ru/segmentatsiy... 3160-24pc/
может настроить.
p.s. руководство не желает ратить деньги на спеца, а на меня говорят:"ну ты же умеешь провода обжимать и винду переустанавливать, вот и в этом мол разберешься".
да, разберусь вопрос времени и только)))

@romsan · 15.06.2017, 14:19

Сообщение от andrey829

да, разберусь вопрос времени и только)))

не только

Еще вопрос цены.

Не по теме:

ИМХО: В таких разговорах начальства я конечно в ужасе. Что значит разберешься!? Мне платят за обжим кабеля и за переустановку винды и поддержание ИТ инфраструктуры, почему я ДОЛЖЕН бесплатно разбираться в несведущих для меня сферах деятельности? Ведь хирургу не говорят иди окулистом поработай!? Короче, я бы как минимум накатал бы служебку об повышении з/п, пусть незначительном, но все же. Либо пару выходных к оплачиваемому отпуску, либо оплату выхода в выходной день (ведь иначе Ваша работа парализует работу всего предприятия и т.п. И Вам еще потом при не дай бог сбое, скажут - бесплатно чини, ты же все настраивал. Иначе будут валить и валить на Вас всё, со ссылкой - не нравиться? - уволим! Отстаивайте свои позиции и интересы.

@andrey829 0 / 0 / 0 Регистрация: 14.06.2017 Сообщений: 4
		1
	Разграничение доступа локальной сети и видеонаблюдения 14.06.2017, 22:56. Показов 3894. Ответов 10 Метки нет (Все метки) Есть роутер микротик на него заведен интернет со Static IP, и есть коммутатор D-link DES-1100-24 Если в кратце то требуется просто разделить данные с камер и данные в локальной сети. Т.е. Доступ к серверу с 1С нужен из интернета, т.к. некоторые сотрудники работают по удаленке из дома. И камерам опять же нужен доступ в инет, что бы руководство могло в режиме онлайн просматривать видео с камер. Как это лучше сделать? через traffic segmentation или же через vlan? Вот примерная схема как это выглядит сейчас. http://s6.uploads.ru/t/UK8JY.jpg P.S. пожалуйста сильно не пинайте, и палками не кидайтесь, просто впервые с этим сталкиваюсь, по этому и прошу совета. 0

@romsan 5096 / 2157 / 462 Регистрация: 17.10.2015 Сообщений: 9,210
	14.06.2017, 23:09	2
	Существует 3 группы внутренних немаршрутизируемых подсетей: Кликните здесь для просмотра всего текста Выбираем какая душе угодно, назначаем для видеонаблюдения, прописываем на микротике доступ из вне. Так же на микротике прописываем правила запрета доступа из сетей в сети, а что нужно - прописываем разрешение. Так же ставим запрет на сетевые сканеры. Пример: Видеонаблюдение - 10.230.128.0/24 ЛВС предприятия - 172.16.200.0/24 ------------------------------ И пусть себе гадают, кто в какой сети.... У Вас на руках микротик - этим все сказано! 1

@romsan 5096 / 2157 / 462 Регистрация: 17.10.2015 Сообщений: 9,210
	14.06.2017, 23:16	3
	качество картинки конечно супер 0

@andrey829 0 / 0 / 0 Регистрация: 14.06.2017 Сообщений: 4
	14.06.2017, 23:38 [ТС]	4
	Да, с картинкой накосячил )) http://s5.uploads.ru/d/So9cl.jpg Добавлено через 14 минут Если по запретам и разрешениям мне все понятно что это прописывается в фаерволе. Но вот не понятно где я должен прописать сети на видеонаблюдение и лвс предприятия. vlanы создавать или как, я просто с микротом никогда не не "ковырялся", он для меня как лес дремучий (( 0

@romsan 5096 / 2157 / 462 Регистрация: 17.10.2015 Сообщений: 9,210
	14.06.2017, 23:48	5
	все равно плохо читаемо, хотя сорь ,норм Добавлено через 2 минуты ну дак тем более у Вас управляемый коммутатор. Я считаю, реализовать разграничение очень просто. Можно и как я описал выше, и с помощью VLAN Добавлено через 1 минуту Сообщение от andrey829 я просто с микротом никогда не не "ковырялся", он для меня как лес дремучий (( не преувеличивайте. В тырнете куча инфы. Набросаю Вам пример позже... Добавлено через 3 минуты модель микротика? Зачем управляемый коммутатор? Кто настраивал? Как? 1

@andrey829 0 / 0 / 0 Регистрация: 14.06.2017 Сообщений: 4
	14.06.2017, 23:56 [ТС]	6
	MIKROTIK HEX https://mikrotik.ru/katalog/ka... s/RB750Gr3 Коммутатор руководство тупо купили без каких либо мыслей и советов. Настраивал я по букварю. В коммутаторе только ip-адрес сменил, и более никаких настроек, в микротике прописал только данные от провайдера, и опять же по букварю настроил фаервол. и далее ступор((... 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	15.06.2017, 07:49	7
	два интерфейса vlan на микротике подними и по vlan на свитче разведи. а по поводу доступа из интернета к хостам во внутренней сети - перенаправление портов. 1

@romsan 5096 / 2157 / 462 Регистрация: 17.10.2015 Сообщений: 9,210
	15.06.2017, 08:58	8
	Сообщение от insect_87 два интерфейса vlan на микротике подними и по vlan на свитче разведи. как видно из картинки, микротик соеденен одним проводом с коммутатором. При двух интерфейсах, я так понимаю, нужно 2 физических канала, на микротике каждый vlan на свой ethernet-порт посадить (или я не прав!?), а уже на коммутаторе разводить, т.е. там также нужно "помудрить". Только не подумайте, что я критикую Ваше решения. ТС охарактеризовал себя по отношению к микротикам. Мой же способ прост в настройке. Единственное неудобство - придется перенастроить адресацию на камерах и видеореге. На ethernet-порт повесить две сети (присвоить соответствующие адреса) - для ЛВС и СВН (система видео наблюдения) Проброс портов настроить и хождение между сетями. Всё! Я просто думаю, что с VLAN ТС так же не знаком. 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	15.06.2017, 09:36	9
	мудрить не нужно, настроить транк на микротике https://wiki.mikrotik.com/wiki... D1%81/VLAN 0

@andrey829 0 / 0 / 0 Регистрация: 14.06.2017 Сообщений: 4
	15.06.2017, 11:37 [ТС]	10
	Сообщение от romsan Я просто думаю, что с VLAN ТС так же не знаком. верно говорите, с vlan я дилетант. как считаете по вот такому варианту http://jakondo.ru/segmentatsiy... 3160-24pc/ может настроить. p.s. руководство не желает ратить деньги на спеца, а на меня говорят:"ну ты же умеешь провода обжимать и винду переустанавливать, вот и в этом мол разберешься". да, разберусь вопрос времени и только))) 0

	15.06.2017, 14:19

@romsan 5096 / 2157 / 462 Регистрация: 17.10.2015 Сообщений: 9,210
	15.06.2017, 14:19	11
	Сообщение от andrey829 да, разберусь вопрос времени и только))) не только Еще вопрос цены. Не по теме: ИМХО: В таких разговорах начальства я конечно в ужасе. Что значит разберешься!? Мне платят за обжим кабеля и за переустановку винды и поддержание ИТ инфраструктуры, почему я ДОЛЖЕН бесплатно разбираться в несведущих для меня сферах деятельности? Ведь хирургу не говорят иди окулистом поработай!? Короче, я бы как минимум накатал бы служебку об повышении з/п, пусть незначительном, но все же. Либо пару выходных к оплачиваемому отпуску, либо оплату выхода в выходной день (ведь иначе Ваша работа парализует работу всего предприятия и т.п. И Вам еще потом при не дай бог сбое, скажут - бесплатно чини, ты же все настраивал. Иначе будут валить и валить на Вас всё, со ссылкой - не нравиться? - уволим! Отстаивайте свои позиции и интересы. 0