מאמרים אחרונים

שתף בפייסבוק שיתוף בפייסבוק
RSS - מאמריםמאמרים
RSS - פורומיםפורומים
דווח למנהל דיווח למנהל
קישור לעמוד זה קישור לעמוד זה
עוד בקבוצת HT



פתיחת פורטים למצלמות


   פורומים > HTPC ומחשוב > אינטרנט - ספקים, תשתית, סיבים fiber
מחבר הודעה
JJman
חבר שרק התחיל
חבר שרק התחיל

הצטרף בתאריך:
  Jun 22, 2016
מספר הודעות: 20

 #1  נשלח: שבת 23/11/2019 22:05
פתיחת פורטים למצלמות

אני בשלבים ראשונים של קינפוג מצלמות בבית.
יש בבית 3 ראוטרים:
1 ראשי - של הוט (HOTBOX)
2 - ראוטר שמחובר אליו ה- NVR
3 - ראוטר שמחובר אליו POE שמזין את המצלמות

ראוטר 1 מחובר ל-2 שמחובר גם ל-3

עכשיו השאלה:
באיזה ראוטר אני צריך לעשות פתיחת פורטים?
ושאלה נוספת: האם ניתן לפתוח יותר פורטים מאשר מספר הכניסות? (בכל ראוטר יש 4 כניסות).
| פרופיל | שלח הודעה | חפש
eran405
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Feb 27, 2012
הבעות תודה: 475
מספר הודעות: 2396

 #2  נשלח: שבת 23/11/2019 23:08
Re: פתיחת פורטים למצלמות

JJman
·

אם באמת כולם מתפקדים כראוטרים אזי יש לך 3 רשתות מקומיות מופרדות (3 subnetים) ואתה צריך להפנות פורטים בכל אחד מהם (כל פעם להפנות את הפורט לראוטר הבא בתור עד שבאחרון אתה מפנה למכשיר הרלוונטי). אם אין סיבה טובה להפרדה הייתי משתמש רק באחד כראוטר ובאחרים רק כ-AP/switch.

לדוגמא תצורה פשוטה ומומלצת יכולה להיות להשתמש בהוטבוקס כמודם בלבד, אליו מתחבר הראוטר הראשי שרק בו יש את כל ההגדרות של האינטרנט, פתיחת פורטים וכו' ולבסוף הראוטר הנוסף יתפקד רק כ-switch POE (ואולי גם כ-AP תלוי בצרכים).

לבסוף לגבי "האם ניתן לפתוח יותר פורטים מאשר מספר הכניסות?", אין שום קשר בין מספר הכניסות לבין הפניית פורטים, פורטים מופנים לפורט מסויים של כתובת IP מסויימת ברשת הפנימית ולא ל"כניסה". לכן גם מומלץ בחום שכל הפניית פורטים תהיה אל כתובת שמורה או קבועה (לדוגמא אם אתה מפנה את פורט 12345 אל 192.168.1.7 אז מומלץ שזו תהיה הכתובת הקבועה של המכשיר הרלוונטי כי אם הכתובת של המכשיר משתנה הפניית הפורט כבר לא תהיה רלוונטית).

בכל ציוד סביר תוכל להפנות כמה פורטים שאתה צריך בלי שום בעיה. אני מקווה שברור שפורט מסויים (נגיד 12345) יכול להיות מופנה אך ורק למכשיר אחד.
| פרופיל | שלח הודעה | חפש
JJman
חבר שרק התחיל
חבר שרק התחיל

הצטרף בתאריך:
  Jun 22, 2016
מספר הודעות: 20

 #3  נשלח: שבת 23/11/2019 23:41

eran405,

תודה רבבה על התגובה המהירה.
כמה שאלות/הבהרות נוספות:
חשוב לי שדווקא ההוטבוקס יישאר כראוטר - והוא למעשה הראוטר ה"ראשי" - זה שמתחבר ראשון לאינטרנט והשאר משורשרים אליו.

באופן עקרוני, אני יכול להשתמש ב-2 הראוטרים האחרים כסוויצ'ים (כי אני לא צריך את ההשידור האלחוטי שלהם).
איך/מה אני מגדיר כדי "לשנמך" אותם לתפקד כסוויצ'ים?
איזה כתובות כדאי לתת להם כדי שלא יהיו התנגשויות?

ואם הם ישמשו כסוויצים בלבד - האם את פתיחת הפורטים אני צריך לעשות רק בראוטר של ההוטבוקס? למרות שהמצלמות לא יחוברו באופן ישיר לראוטר זה - אלא לראוטר/סוויץ' אחר בדרך?


אגב ה- POE שמספק מתח למצלמות נמצא במיקום נפרד מה- NVR וזו הסיבה בגללה נדרשים כמה ראוטרים/סוויצים...
| פרופיל | שלח הודעה | חפש
eran405
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Feb 27, 2012
הבעות תודה: 475
מספר הודעות: 2396

 #4  נשלח: א' 24/11/2019 0:34

JJman
·

לא הייתי מספיק ברור, אנסה להסביר את הנושא בצורה יותר טובה (לצערי זה יהיה יחסית ארוך אבל בתקווה בסוף "הכל" יהיה ברור):

המושג ראוטר כשהוא מתייחס למכשיר רשת ביתי הוא בעצם מכשיר שמשלב כרגיל לפחות 3 תפקידים שונים:

א. ניתוב והפרדה בין רשת ה-WAN ורשת ה-LAN. כאשר רשת ה-WAN היא הרשת הלוגית שמחוברת לפורט WAN ורשת ה-LAN היא הרשת של המכשירים שמחוברים ישירות עוד בעיקפין לפורטי ה-LAN. הצורה שבה הניתוב והפרדה עובדים אומר שחייב להיות כתובת (subnet) שונה לרשת ה-WAN ולרשת ה-LAN.
מקובל שה-WAN יהיה החיבור לרשת האינטרנט אבל הראוטר לא באמת שולט על מה אתה מחבר בצד WAN שלו.

ב. סוויץ מובנה שמחבר בין פורטי ה-LAN (ברב בראוטרים הביתיים יש 4 פורטי LAN ובעצם יש סוויץ מובנה ביניהם).

ג. נקודת גישה (AP) בשביל מכשירים אלחוטיים (wifi).

ד. אם מדובר על מודם/ראוטר משולב אז בעצם יש גם פעולה נוספת של מודם מובנה, זאת בנוסף לשלושה לעיל. במובן הזה אפשר לחשוב על ההוטבוקס כמודם/ראוטר מובנה ובעצם יש בו את א'+ב'+ג' וגם מודם מובנה לתשתית הוט. במקרה של מכשיר עם מודם מובנה, כמו לדוגמא ההוטבוקס, כרגיל ה-WAN יהיה המודם. לפעמים בכלל אין פורט רשת WAN (כמו לדוגמא בהוטבוקס).

כל עוד יש לך אך ורק ראוטר אחד, אין סיבה לא להשתמש בכל הפעולות של הראוטר (לדוגמא להשתמש בהוטבוקס כא'+ב'+ג'+ד'). אבל ברגע שאתה מתחיל לשרשר ראוטרים אתה יכול לבחור איך אתה מחבר ומגדיר אותם ובהרבה מקרים תרצה לחלק את התפקידים ביניהם ולא להשתמש בכל התפקידים הנ"ל בכולם.

במקרה שלך אני מבין שאתה רוצה להשתמש בהוטבוקס כראוטר ראשי (בניגוד לתצורה המומלצת של מודם בלבד). לכן הוא יעשה לפחות את א' + ב' (וכמובן את ד' שרק הוא יכול לעשות). האם הוא גם יהיה AP (ג') לשיקולך וזה פחות רלוונטי לדיון של הפניית פורטים.

הפתרון הכי פשוט לגבי שני הראוטרים הפרטיים הוא לא להשתמש בהם בשביל ניתוב והפרדת רשתות (א') אלא רק כסוויצ'ים ואולי גם כ-APs בשביל מכשירים אלחוטיים.

בדיוק איזה מהשלושה ראוטרים אתה משאיר כ-AP לא קשור לנושא של הפניית פורטים ולפי הצרכים והפריסה של היחידות אתה יכול לבחור כל פתרון מלהשאיר את ה-wifi דולק בכולם ועד לכבות את ה-wifi בכולם (ואז בכלל לא תהיה לך רשת אלחטית). אם יש לך כיסוי מספיק טוב בהפעלת ה-wifi במכשיר אחד בלבד אז זה הפתרון הכי פשוט ותשאיר את ה-wifi דולק רק בו. זה לא משנה איזה אתה בוחר כי אין הפרדת רשתות ביניהם וכולם חושפים את אותה רשת לוגית.

מעשית להשתמש בראוטר כסוויץ ואולי גם AP (ללא א') זה מאד פשוט: לא מחברים את הפורט WAN שלו. במקום זאת מחברים מאחד מפורטי ה-LAN שלו אל הראוטר הראשי (גם לפורט LAN כמובן). ברגע שאתה עושה את זה אין שום משמעות לזה שהראוטר כיביכול מפריד בין ה-WAN ל-LAN כי אין שום דבר בצד WAN שלו ובצד LAN הוא בעצם מתפקד כסוויץ (ואולי גם AP).

בשביל הנוחיות (ובמקרים מסויימים בשביל להבטיח שאין התנגשות בכתובות), תגדיר ל-2 הראוטרים שמשמשים רק כסוויץ/AP כתובות קבועות מאותו ה-subnet של הרשת הראשית, כתובות פניות שלא בשימוש של אף מכשיר אחר ושמחוץ לטווח שה-DHCP של הראוטר הראשי מחלק.

עריכה: שכחתי לציין שחשוב לנטרל את שרת ה-DHCP בשני הראוטרים שמשמשים רק כסוויץ/AP. זאת בגלל שצריך שיהיה רק שרת DHCP אחד בכל רשת לוגית (לכן גם אם אתה כן משתמש בראוטר בשביל הפרדת רשתות ומחבר אותו דרך הפורט WAN תשאיר את ה-DHCP דולק).

בתצורה כזאת ההפניית הפורטים נעשית אך ורק בראוטר בראשי שהוא ההוטבוקס. מכיוון שבהוטבוקס אין אופציה לשמירה כתובות בשרת DHCP, תגדיר כתובת קבועה לכל מכשיר שאתה רוצה להפנות פורטים אליו. שוב זו צריכה להיות כתובת פנויה שאינה בשימוש של אף מכשיר אחר ושמחוץ לטווח שה-DHCP מחלק (וכמובן כתובות שב-subnet של הרשת הראשית).

למען השלמות אציין שלפעמים, בעיקר בגלל נושאים של אבטחת הרשת, כן רוצים להפריד את הרשת של המצלמות מהרשת הראשית ואמנם הדרך הטובה והמומלצת לעשות זאת היא ע"י ציוד מתאים עם הגדרות מתאימות (ראוטר יותר מקצועי) אבל אפשר גם לעשות פתרון יותר "ח'פרי" ע"י שירשור ראוטרים ושימוש בראוטר מאחורי ראוטר (כלומר שגם הראוטר השני עושה את א'). זו אופציה יותר מסובכת שלא אפרט עליה בפוסט זה.
| פרופיל | שלח הודעה | חפש
JJman
חבר שרק התחיל
חבר שרק התחיל

הצטרף בתאריך:
  Jun 22, 2016
מספר הודעות: 20

 #5  נשלח: א' 24/11/2019 0:56

eran405,

שוב תודה רבה על התשובה המפורטת. אני נפעם מהפירוט ומההשקעה.
אפעל בהתאם להמלצתך.

כיוון שגם אבטחה הוא עניין חשוב - הייתי שמח לדעת היכן ניתן למצוא מידע לגבי הפרדת רשת המצלמות מהרשת הביתית.
| פרופיל | שלח הודעה | חפש
eran405
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Feb 27, 2012
הבעות תודה: 475
מספר הודעות: 2396

 #6  נשלח: א' 24/11/2019 13:44

JJman כתב:

כיוון שגם אבטחה הוא עניין חשוב - הייתי שמח לדעת היכן ניתן למצוא מידע לגבי הפרדת רשת המצלמות מהרשת הביתית.
·

זה כבר קצת יותר מסובך ובאופן כללי בנושאים של אבטחה דבר ראשון צריך רקע והבנה בנושאים הרלוונטים + הגיון בריא. לכן לדעתי זה יותר עניין של ללמוד רשתות מאשר לקרוא דף באינטרנט שמסביר טכנית איך להפריד רשתות ולעקוב אחרי ההוראות. עדיין אם מישהו מכיר מקורות טובים בנושא שהוא יכול להמליץ עליהם גם אני אשמח לקבל אותם (אני לא מכיר כאלה אבל בטוח יש).

לבינתיים אנסה לפרט את הדעות שלי לגבי הרשת המדוברת:

דבר ראשון אם הרשת הראשית היא בעיקר לגלישה באינטרנט ואין בה שום מידע רגיש אז כנראה שלא קריטי להפריד את המצלמות וכו'. לעומת זאת אם יש מידע רגיש ברשת הראשית אז כדאי לכל הפחות להתייעץ עם מישהו מקצועי בנושא של אבטחת רשתות ולהחליט בדיוק מה צריך להפריד ואיך.

ספציפית מכשירים כמו מצלמות ו/או IoT וכו' בעייתיים במיוחד כי אילו כרגיל ציודים עם אבטחה "מוטלת בספק" (במקרה הטוב מוטלת בספק, ובמקרה של ציוד סיני זול ציודים שסביר להניח שיש להם פרצות כאלה ואחרות). השילוב של זה עם ממשק חשוף לרשת (עובדה שאתה מחפש לפתוח פורטים) מהווה פירצת אבטחה רצינית. הרעיון בלהפריד אותם לרשת לוגית נפרדת הוא בשביל להבטיח שגם אם פורצים לציוד הזה עדיין אין גישה לרשת הראשית ולמידע הרגיש שבה. כמובן שבשביל שזה יתקיים נדרשות הגדרות מתאימות כשעושים את ההפרדה (עצם זה שיש לך 2 subnetים שונים לא מבטיח כלום).

באופן דומה מקובל גם להפריד רשת לאורחים. כרגיל מדובר על רשת אלחוטית בלבד שמופרדת מהרשת הראשית ולכן אתה יכול לתת גישה אליה יחסית בחופשיות ללקוחות מזדמנים או אפילו להשאיר אותה פתוחה ללא סיסמא. תלוי בדיוק בצרכים ובשימושים ברשת שלך יתכן שמה כתבתי כאן יותר רלוונטי או פחות רלוונטי ויתכן שיש הפרדות אחרות שכדאי לבצע.

מבחינה טכנית, הדרך הטובה והמומלצת לממש רשתות כאלו היא בעזרת ציוד יותר מקצועי שמיועד לצרכים כאלה. ברב המקרים תהיה הפרדה מלאה בין הציודים השונים: מודם בנפרד (נגיד הוטבוקס בתצורה של bridge), ראוטר הראשי (שכרגיל יהיה ראוטר "נטו" כלומר רק א' מהפוסט לעיל), סוויץ ראשי מנוהל (כלומר עם תמיכה ב-VLANs), במידת הצורך סוויצ'ים נוספים, ולבסוף AP(s) בנפרד.

רק בשביל לסבר את האוזן שציוד כזה לא חייב להיות יקר, הנה אופציה בסיסית וזולה שעונה על כל מה שהזכרתי לעיל: ER-X כראוטר "נטו" הכולל סוויץ מובנה שתומך ב-VLANs + AC Lite כ-AP עם תמיכה מתאימה בשביל הפרדת רשתות אלחוטיות (וגם roaming אם בעתיד רוצים להוסיף עוד יחידות בשביל כיסוי יותר טוב). זאת אופציה יחסית בסיסית ומאד זולה אבל אפילו היא עולה כמעט בכל פרמטר על ציוד ביתי (אולי החיסרון היחיד שלה שיותר קשה לקנפג אותה, תלוי בדיוק מה הרקע שלך ומה אתה רוצה לקנפג). יש כמובן עוד הרבה אופציות גם של Ubiquiti וגם של חברות אחרות (לדוגמא אם PoE 24V טוב לך, אפשר לשקול את ה-ER-12p כראוטר יותר חזק + סוויץ יותר גדול הכולל גם תמיכה ב-PoE).

הקונפיגורציה של ציודים כאלה מאד גמישה ואפשר בקלות להגדיר מספר רשתות לוגיות עם subnetים
שונים (לדוגמא subnet אחד לרשת הראשית, אחד לרשת של המצלמות ואחד לרשת של האורחים). החלק שדורש קצת יותר הבנה הוא להגדיר את חוקי הניתוב וה-firewall בצורה "נכונה" (החלק שדורש הכי הרבה הבנה הוא בדיוק מה הצורה "הנכונה" במקרה של הרשת שלך). הגדרות פשוטות יחסית יכולות להיות לאפשר גישה מהרשת הראשית לשתי הרשתות האחרות אבל לא להיפך וכמובן גישה אל האינטרנט מכל רשת וגישה מהאינטרנט רק אל המכשירים שבאמת צריכים גישה כזאת (פתיחת פורטים).

בנוסף ראוטרים כאלה גם תומכים באופציה של שרת VPN שתוכל להתחבר אליו בצורה מאוטחת. לדוגמא אל ציוד כמו המצלמות, לפחות מבחינת אבטחת הרשת, עדיף בהרבה לגשת דרך התחברות ל-VPN ואז בכלל לא צריך לפתוח פורטים ולחשוף ציוד כזה לאינטרנט. הפרטים המדוייקים תלויים בדיוק באיזה ציוד יש לך ואיך בדיוק מתחברים אליו וכו' (אני פחות מבין בציוד של מצלמות).

אם יש לך שאלות יותר ספציפיות אנסה לענות.
| פרופיל | שלח הודעה | חפש
כל הזמנים הם שעון חורף - ישראל (GMT+2) הצג הודעות קודמות:    
פורומים > אינטרנט - ספקים, תשתית, סיבים fiber


  
    שם משתמש:
נתוני כניסה לכל אתרי HT:

  סיסמא:
 

  


 | 

קפוץ אל: 
לא ניתן לשלוח הודעות בפורום זה
לא ניתן להגיב להודעות בפורום זה
לא ניתן לערוך את הודעותיך בפורום זה
לא ניתן למחוק את הודעותיך בפורום זה
לא ניתן להצביע לסקרים בפורום זה
לא ניתן לצרף קבצים בפורום זה
לא ניתן להוריד קבצים בפורום זה

תקנון / תנאי השימוש באתר צור קשר / contact us כל הזכויות שמורות לקבוצת ht