DOMANDA Infrastruttura per videosorveglianza + scelta switch POE / router

[lorenzocalo]

Buon pomeriggio a tutti, premetto che non sono un esperto di reti e pertanto ho bisogno di un vostro consiglio.

Nella mia villetta in campagna ho una connessione Fastweb FWA il cui router è posizionato nella zona notte. Ho tirato un cavo LAN per arrivare nella zona giorno e qui vorrei installare un secondo router (nello schema che ho pensato indicato come Router 2) per avere copertura wifi nella zona giorno e verande.
Sul Router 2 dovrei collegare anche un NVR e poi tutto l'impianto di videosorveglianza costituito da circa 8 telecamere IP cablate e un paio WIFi+ antenna WIFI per portare il WIFI in giardino.

Domanda 1: che router (Router 2) mi consigliate per realizzare l'infrastruttura nello schema?
Mi stavo orientando per un fritzbox 4050 ma solo perchè sono facili da configurare e sono dei prodotti consumer abbastanza buoni, ma non ho preferenze particolari nè esigenze particolari considerando che al momento Fastweb ha tagliato la potenza a 100 Mbit/s e anche se dovessi passare ad altro operatore, nella zona in cui mi trovo difficilmente andrò oltre i 200-300 Mbit/s.

Domanda 2: sarebbe cosa sensata creare una VLAN per gestire l'impianto di videosorveglianza ma non sono un esperto in materia. Pertanto, la VLAN deve essere affidata al Router 2 oppure agli Switch POE MANAGED? Questo impatta a mio avviso anche sulla scelta del Router 2 e anche degli Switch (accetto suggerimenti).

Domanda 3: considerando la VLAN che ho intenzione di creare, l'NVR deve essere collegato al Router 2 oppure ad uno degli Switch POE managed?

Domanda 4: l'antenna WIFI che porta internet al giardino per telecamere WIFI, serratura smart, ecc...va bene che sia sotto stessa VLAN della videosorveglianza?

Domanda 5: le telecamere WIFI dovrebbero collegarsi al Router 2? Se si, è corretto tenerle fuori dalla VLAN. L'NVR non ha il WIFI.

Nota: vorrei evitare prodotti tipo Microtik semplicemente perchè non sono molto ferrato nella configurazione, quindi vi chiedo di suggerirmi prodotti di più semplice gestione.

Accetto consigli sull'eventuale modifica dell'infrastruttura proposta, se ho scritto stupidaggini correggetemi pure.

Grazie in anticipo a tutti per le risposte!

 

[Kelion]

Ciao. Senza andare in configurazioni troppo compIesse diciamo che i dispositivi che stanno nella stessa rete possono parlare tra loro invece quelli in due reti differenti no. Quindi NVR e videocamere devono stare nella stessa rete. Meno dispositivi metti in cascata su una linea e più banda hai a disposizione. Basta un solo switch per le videocamere e l'AP wifi deve stare anch'esso nella stessa rete visto che le videocamere wifi devono comunicare con l'NVR. Con questo presupposto con i dispositivi collegati secondo il tuo schema sulla rete del router 2 devono stare tutti i dispositivi della videosorveglianza per potersi parlare tra loro essendo l'NVR collegato direttamente al router 2. Sarà difficile per non dire impossibile entrare sull'NVR per monitoraggio remoto diretto se il router 2 ha una rete diversa dal router 1 senza effettuare configurazioni di forwarding che sarebbero comunque vanificate con una connessione FWA dotata di CG-NAT. Di solito le telecamere o gli NVR utilizzano una connessione p2p verso un server proprietario per effettuare il collegamento remoto e ciò introduce latenze che potrebbero vanificare il servizio. Insomma le variabili sono parecchie da considerare e alcune non sono dipendenti dalla tua volontà o da configurazioni tecniche "normali". C'è una ragione ad utilizzare dispositivi più evoluti in termini di configurazione e prestazioni.

 

[lorenzocalo]

Ciao. Senza andare in configurazioni troppo compIesse diciamo che i dispositivi che stanno nella stessa rete possono parlare tra loro invece quelli in due reti differenti no. Quindi NVR e videocamere devono stare nella stessa rete. Meno dispositivi metti in cascata su una linea e più banda hai a disposizione. Basta un solo switch per le videocamere e l'AP wifi deve stare anch'esso nella stessa rete visto che le videocamere wifi devono comunicare con l'NVR. Con questo presupposto con i dispositivi collegati secondo il tuo schema sulla rete del router 2 devono stare tutti i dispositivi della videosorveglianza per potersi parlare tra loro essendo l'NVR collegato direttamente al router 2. Sarà difficile per non dire impossibile entrare sull'NVR per monitoraggio remoto diretto se il router 2 ha una rete diversa dal router 1 senza effettuare configurazioni di forwarding che sarebbero comunque vanificate con una connessione FWA dotata di CG-NAT. Di solito le telecamere o gli NVR utilizzano una connessione p2p verso un server proprietario per effettuare il collegamento remoto e ciò introduce latenze che potrebbero vanificare il servizio. Insomma le variabili sono parecchie da considerare e alcune non sono dipendenti dalla tua volontà o da configurazioni tecniche "normali". C'è una ragione ad utilizzare dispositivi più evoluti in termini di configurazione e prestazioni.

Quindi se ho ben capito, mettendo il router 2 e tutto quello che c'è a valle su una rete diversa dal router fastweb molto probabilmente non posso accedere da remoto sull'NVR giusto? Quindi o uso un router 2 "professionale" oppure devo tenere tutto sulla stessa rete, corretto?

 

[r3dl4nce]

Appena ho un attimo vedo bene lo schema e ti do indicazioni

 

[Kelion]

Quindi se ho ben capito, mettendo il router 2 e tutto quello che c'è a valle su una rete diversa dal router fastweb molto probabilmente non posso accedere da remoto sull'NVR giusto? Quindi o uso un router 2 "professionale" oppure devo tenere tutto sulla stessa rete, corretto?

Yes. Ma potresti anche evitare il secondo router con uno switch managed PoE da 5 porte al quale collegare solo l'impianto di videosorveglianza completo gestendo da quello la rete relativa. Devi però sapere l'assorbimento di ogni camera PoE collegata perchè hanno un wattaggio max supportato.
Questo dovrebbe essere sufficiente:

https://www.amazon.it/-/en/NETGEAR-GS305EPP-Support-Gigabit-Ethernet/dp/B06Y6L3FBW

 

[lorenzocalo]

Yes. Ma potresti anche evitare il secondo router con uno switch managed PoE da 5 porte al quale collegare solo l'impianto di videosorveglianza completo gestendo da quello la rete relativa. Devi però sapere l'assorbimento di ogni camera PoE collegata perchè hanno un wattaggio max supportato.
Questo dovrebbe essere sufficiente:

https://www.amazon.it/-/en/NETGEAR-GS305EPP-Support-Gigabit-Ethernet/dp/B06Y6L3FBW

Ok chiarissimo quello che dici ma questo soluzione mi genera, a mio avviso, una serie di incovenienti che ti elenco:

1 - Il WIFI nella zona giorno è debole, motivo per il quale vorrei mettere il Router2. Come risolvo?
2 - Non posso portare tutti i cavi delle telecamere dentro casa perchè non ho tubazione dal diametro sufficiente, motivo per il quale ho bisogno di almeno 1 switch sul terrazzo, proprio per diramare segnale e corrente alle varie IP Cam. Quindi quello in casa che suggerisci tu potrebbe essere anche non POE ma sicuramente Managed.

Come risolvo il problema del wifi nella zona giorno? Non è possibile mettere un router 2 o un repeater che esca dallo switch che mi suggerisci di mettere dentro casa? In questo caso però dovrei separare le reti con 2 VLAN e torniamo al punto di partenza. Altrimenti devo tenere tutto sotto la stessa rete e amen.

Altra cosa...qualcuno mi parlava di utilizzare direttamente un gateway WIFI OMADA da quale puoi creare le VLAN e avere anche il WIFI. Onestamente sono prodotti che non conosco e non saprei nemmeno configurare

Omada Router VPN Multi WAN - Wi-Fi 6 AX3000

ER706W supporta connessioni WAN e LAN Gigabit, oltre a molteplici protocolli VPN dalle alte performance.

www.omadanetworks.com

 

[peg87]

Se al posto di un router metti uno switch poe, gli puoi direttamente collegare un Access point.
Tuttavia non so se uno switch managed base possa fare navigare 2 reti diverse. Magari un layer 3, non credo che quello lo sia.

IL router omada è business a mio avviso, poi quello non so se possa essere gestito anche da interfaccia web o solo dal controller, e non risolvi il problema della raggiungibilità, a meno di fare una VPN.

Cioè se si vuole tenere le reti separate ( e ci sta) ci vuole una soluzione più complessa.
Per il discorso della raggiungibilità le cose si complicano e soprattutto con un router FWA.

 

[lorenzocalo]

Ma il problema dell'accesso da remoto tramite l'app dell'NVR ce l'avrei a prescindere dall'infrastruttura della rete? Perchè se non dovessi avere questa possibilità cade tutto il discorso fatto nel senso che se non posso monitorare le telecamere quando sono fuori casa a quel punto tanto vale non installare nulla....

Forse non posso accedere direttamente all'NVR ma potrei visionare le telecamere dall'APP (Reolink, Hikvison, ecc...). Se così fosse potrebbe anche andar bene, non sto capendo quali limitazioni potrei avere nell'accedere da remoto

 

[Kelion]

Con FWA sei sotto Carrier grade NAT che è una tecnologia di rete che consente a più utenti finali di condividere un unico indirizzo IPv4 pubblico. Opera a livello di service provider, consentendo agli Internet Service Provider (ISP) e alle reti su larga scala di ottimizzare le loro limitate risorse IPv4. Invece di assegnare un indirizzo IPv4 pubblico univoco a ogni utente, CGNAT assegna indirizzi IPv4 privati ai dispositivi e li traduce in un indirizzo IP pubblico condiviso. Mentre il NAT tradizionale è comunemente utilizzato nei router domestici per gestire le reti locali, il CGNAT è progettato per ambienti su larga scala, come reti di telecomunicazioni, provider cloud e aziende. Non solo contribuisce al mantenimento dell'IPv4, ma facilita anche l'adozione graduale di IPv6. Perciò non è possibile raggiungere dall'esterno normalmente l'IP assegnato all'utente singolo che è in una sottorete nella quale all'esterno è esposto il solo IPv4 pubblico condiviso. Se il tuo ISP non prevede di fornirti un IP statico magari pagando qualcosa in più per il servizio che ti faciliterebbe molto il compito di collegarti da remoto al tuo impianto di videosorveglianza dovrai utilizzare altri sistemi tipicamente supportati da router evoluti con supporto Open WRT o gestione tramite zerotier o tunnel VPN.

 

[lorenzocalo]

Ok tutto chiaro. Quindi appena mi sarà possibile disdico fastweb e vado di modem 5g + router con sim Alpasim che è denattata. Pensavo al kit ZTE MC889. Come router cosa consigli? Ho visto su amazon che c'è il kit con router ZTE T3000 a circa 360€.

In ogni caso, tornando all'infrastruttura, dovrei mettere uno switch managed non POE al quale collegare AP + cavo lan che va sul terrazzo a cui, tramite SWITCH POE collego le telecamere + NVR.

Come AP cosa mi consigli? Mi ero orientato sul Fritz 4050. So che è un router, ma lo userei da AP. In alternativa cosa consigli considerando che ho necessità di una buona portata del wifi? Considera anche che ora con Fastweb ho il CAP a 100 MBIT/s quindi qualunque router va bene, quando passerò ad Alpsim se tutto va bene dovrei raggiungere velocità molto più elevate. In ogni caso, non credo che per queste connessione abbia senso dotarsi di dispositivi gigabit.

Cosa ne pensi? Grazie mille per i consigli

 

[r3dl4nce]

OK, oggi ho 5 minuti di respiro e provo a dire la mia.

Nella mia villetta in campagna ho una connessione Fastweb FWA

sic omincia male, le FWA domestiche non hanno IP pubblico ed essendo casa di campagna suppongo tu voglia monitorare da remoto. Ma non disperare, ci arriviamo dopo.

Ho tirato un cavo LAN per arrivare nella zona giorno e qui vorrei installare un secondo router (nello schema che ho pensato indicato come Router 2) per avere copertura wifi nella zona giorno e verande.

Non ti serve un router ma un access point per dare wifi, , mi pare però di capire che vorresti anche un wifi esterno per il giardino, lasciamo un attimo da parte le CAM wifi (devi proprio metterle wifi? sicuro sicuro sicuro? non ci arrivi con cavo ethernet?)

Per wifi interno un access point avm fritz andrebbe bene, ma avm non fa prodotti da esterno, la mia proposta sarebbe "semplice" ovvero metti:
- mikrotik hap ax2 a fare da access point interno - con alimentazione da rete elettrica
- mikrotik wap ax come access point esterno se lo metti tipo in facciata che punta verso il giardino, connesso via cavo ethernet outdoor alla porta 1 del mikrotik hap ax2 che fa anche da poe out quindi lo alimenta.

Il problema? Gli apparati mikrotik sono ostici da configurare, devi conoscere almeno a livello basilare il funzionamento dell'infrastruttura di rete e capire come funziona il routeros mikrotik. Non so se ti puoi fare aiutare da qualche elettricista o informatico che conosca i prodotti
Alternativa: ubiquiti, ma i costi salgono


Passiamo alle telecamere

Domanda 2: sarebbe cosa sensata creare una VLAN per gestire l'impianto di videosorveglianza ma non sono un esperto in materia. Pertanto, la VLAN deve essere affidata al Router 2 oppure agli Switch POE MANAGED? Questo impatta a mio avviso anche sulla scelta del Router 2 e anche degli Switch (accetto suggerimenti).

sarebbe sensato passare tutto su una VLAN? Dipende. Ci sono NVR che hanno già integrato switch per gestire fino a N telecamere cablate e alimentarle direttamente in POE, in tal caso sulla subnet della LAN va solo lo switch e tutte le telecamere sono dietro lo switch, questo però gneeralmente implica che tutte le cam siano cablate. Se devi PER FORZA mettere due cam wifi, allora sì andrebbe creata una vlan dove mettere cam cablate, un access point dedicato per le CAM, le cam wifi e l'NVR, ovviamente poi il router principale deve gestire questa VLAN, dato che il router fastweb non lo farà, dovrai mettere un apparato dietro il router fastweb per gestirla, e nell'esempio precedente potrebbe essere il mikrotik hap ax2 su cui impostare una porta in access per la VLAN videosorveglianza, dove connettere NVR e dietro a questo le cam cablate, poi sul mikrotik hap ax2 si impostano due wifi, una su VLAN 1 e una taggata sulla VLAN della videosorveglianza e ci siamo.

Lo schema quindi diventerebbe così:



link tratteggiati sono wifi


Puoi portare i vari cavi indicati? Te la senti di configurare mikrotik o conosci qualcuno che li sappia configurare e gestire?

In alternativa c'è da andare su altri apparati e s enon puoi portare cavi multipli, c'è da giocare con le VLAN, se le vuoi fare per sicurezza, sono banali ma devi capire come funzionano o avere supporto da chi sappia gestire questi dispositivi e queste configurazioni di rete.
Se mikrotik è da escludere si va su ubiquiti, che può gestire le vlan, ma sono anni che non realizzo impianti ubiquiti, si configura tutto (vlan, apparati, wifi, ecc) da unms o dalla cloud key, ma i costi come detto prima salgono.


Infine, questo accesso remoto.
Vai con NVR e CAM Dahua o Hikvision, che sono di qualità e hanno i loro appositi cloud, per cui non hai necessità di avere ip pubblico dedicato, ti può andare bene la sua FWA e accedi alle CAM da remoto tramite il cloud dahua / hikvision

Questo è quello che posso consigliare, si può anche rivedere la struttura se non c'è modo di passare vari cavi, ecc ma a quel punto servono switch poe e gestione delle vlan anche su questi

 

[lorenzocalo]

Intanto grazie per il tempo dedicato. E' tutto abbastanza chiaro, provo a risponderti per punti.

Non ti serve un router ma un access point per dare wifi, , mi pare però di capire che vorresti anche un wifi esterno per il giardino, lasciamo un attimo da parte le CAM wifi (devi proprio metterle wifi? sicuro sicuro sicuro? non ci arrivi con cavo ethernet?)

Non posso escludere al momento la necessità di dover usare delle telecamere Wifi per cui mi devo mettere nelle condizioni di avere apparati in grado di gestire questa sitazione

mikrotik hap ax2 a fare da access point interno - con alimentazione da rete elettrica

Ok. Non ho confidenza con mikrotik ma ci sono una marea di tutorial su YT. Potrei prenderlo, studiare, smanettare e superare una volta per tutte questo scoglio della programmazione. Nel caso peggiore faccio un reso, oppure ti pago un'ora su teamviewer e me lo configuri (nel caso fossi disponibile)

- mikrotik wap ax come access point esterno se lo metti tipo in facciata che punta verso il giardino, connesso via cavo ethernet outdoor alla porta 1 del mikrotik hap ax2 che fa anche da poe out quindi lo alimenta.

Ok per il wifi in giardino ma prima di procedere devo chiarirmi alcune cose. Devo installare una telecamera al cancello che dista 30 metri e portare cmq internet per uno shelly sul cancello automatico per aperura da remoto. Se riesco ad arrivare con un cavo, tanto di guadagnato, altrimenti la WAP AX deve avere portata sufficiente per arrivare al cancello oppure cambiare apparati e montare una "tramittente" e una "ricevente" alla quale collegare via cavo la telecamera al cancello e in qualche modo la scheda faac wifi del cancello (o shelly).
Tralasciamo per il momento questo punto perchè mi devo chiarire le idee.

Ci sono NVR che hanno già integrato switch per gestire fino a N telecamere cablate e alimentarle direttamente in POE

Non sono stato preciso nel mio schema per la fretta. Ho almeno 7 telecamere IP da collegare all'NVR e non ho spazio nella tubazione per entrare con tanti cavi LAN in casa per portarli all'NVR. Pertanto NVR non ho bisogno che sia con lo switch integrato, anzi sono obbligato a montare 1 se non addirittura 2 Switch POE sul terrazzo per evitare di usare quintali di cavi di rete. In ogni caso credo che lo schema che hai postato non cambi se non per il fatto di aggiungere gli switch POE tra NVR e telecamere.

Gli switch sul terrazzo a questo punto suppongo possano essere anche unmanaged perchè la VLAN è gestita dal mikrotik in casa, giusto?

Per la creazione delle VLAN e tag, non lo so fare, vale il discorso che ho fatto prima ("studio" su YT e smanetto o consulenza pagata). Oppure in prima battuta, mi creo l'impianto (senza mikrotik esterno e senza troppe menate di configurazione e poi con calma mi creo le VLAN per spostare la videosorveglianza. Che ne pensi?

Grazie mille ancora!

 

[r3dl4nce]

A questo punto io farei così, chiaramente io ragiono con gli apparati che utilizzo, con ciò che installo e conosco, quindi magari per chi non ha certe competenze la cos apotrebbe essere complessa e i prodotti che menziono potrebbero essere ostici, però chiaramente posso dare consigli solo su ciò che conosco e uso




verde=rete lan -- blu = rete videosorveglianza -- verde/blu = apparati che gestiscono entrambe le reti

Mikrotik HAP AX3 a fare da router, firewall e access point principale, collegato alla FWA dalla quale viene disabilitata la wifi. Mikrotik ha un sistema chiamato CAPsMAN che consente di gestire in modo centralizzato vari access point, gestendo anche con i nuovi apparati ax il FT (fast transition) se i client supportano 802.11r/v/k. Quindi al nostro HAP AX3 principale arriveranno le varie vlan, nel tuo caso vlan base 1 per la lan classica e vlan "numero-a-scelta" per la videosorveglianza, poi ci saranno vari trunk (trunk ovvero unico cavo di rete in cui passano più vlan chiaramente separate) ai dispositivi che gestiranno sia rete lan interna che rete videosorveglianza, avrai quindi un secondo switch/access point ovvero HAP AX2 a cui connettere NVR con access port su vlan videosorveglianza (porta access = porta di rete in cui entrano pacchetti senza tag vlan a cui viene aggiunto un specifico tag vlan), due switch poe da esterno RB960-PB ognuno con 4 porte POE con box IP67, un access point da esterno WAP AX puntato verso cancello. Il sistema centralizzato CAPsMAN nei tre dispositivi wifi (hap ax3/hap ax2/wap ax) gestire due ssid wifi, uno per la lan interna e uno dedicato alla videosorveglianza che metterà tag della relativa vlan dedicata a videosorveglianza.

Hai tutto suddiviso, in caso se vuoi puoi anche fare una terza vlan e wifi dedicata unicamente alla domotica, una vlan per wifi guest, ecc ecc.

Tutto ciò si può fare in modo più semplice anche con apparati ubiquiti linea unifi, che hanno un sistema di configurazione molto più semplice chiamato unms che richiede o una macchina virtuale apposita o la sua ubiquiti cloud key, ma i costi con ubiquiti salgono abbastanza, motivo per cui ho smesso di realizzare impianti con ubiquiti.

 

[lorenzocalo]

A questo punto io farei così, chiaramente io ragiono con gli apparati che utilizzo, con ciò che installo e conosco, quindi magari per chi non ha certe competenze la cos apotrebbe essere complessa e i prodotti che menziono potrebbero essere ostici, però chiaramente posso dare consigli solo su ciò che conosco e uso

Visualizza allegato 494696


verde=rete lan -- blu = rete videosorveglianza -- verde/blu = apparati che gestiscono entrambe le reti

Mikrotik HAP AX3 a fare da router, firewall e access point principale, collegato alla FWA dalla quale viene disabilitata la wifi. Mikrotik ha un sistema chiamato CAPsMAN che consente di gestire in modo centralizzato vari access point, gestendo anche con i nuovi apparati ax il FT (fast transition) se i client supportano 802.11r/v/k. Quindi al nostro HAP AX3 principale arriveranno le varie vlan, nel tuo caso vlan base 1 per la lan classica e vlan "numero-a-scelta" per la videosorveglianza, poi ci saranno vari trunk (trunk ovvero unico cavo di rete in cui passano più vlan chiaramente separate) ai dispositivi che gestiranno sia rete lan interna che rete videosorveglianza, avrai quindi un secondo switch/access point ovvero HAP AX2 a cui connettere NVR con access port su vlan videosorveglianza (porta access = porta di rete in cui entrano pacchetti senza tag vlan a cui viene aggiunto un specifico tag vlan), due switch poe da esterno RB960-PB ognuno con 4 porte POE con box IP67, un access point da esterno WAP AX puntato verso cancello. Il sistema centralizzato CAPsMAN nei tre dispositivi wifi (hap ax3/hap ax2/wap ax) gestire due ssid wifi, uno per la lan interna e uno dedicato alla videosorveglianza che metterà tag della relativa vlan dedicata a videosorveglianza.

Hai tutto suddiviso, in caso se vuoi puoi anche fare una terza vlan e wifi dedicata unicamente alla domotica, una vlan per wifi guest, ecc ecc.

Tutto ciò si può fare in modo più semplice anche con apparati ubiquiti linea unifi, che hanno un sistema di configurazione molto più semplice chiamato unms che richiede o una macchina virtuale apposita o la sua ubiquiti cloud key, ma i costi con ubiquiti salgono abbastanza, motivo per cui ho smesso di realizzare impianti con ubiquiti.

Tutto chiaro.

Considerando che non sono in grado di programmare i Mikrotik e tralasciando gli switch sul terrazzo, antenne, cancello, ecc...posso pensare di realizzare la stessa infrastruttura sostituendo i 2 Mikrotik hAP con 2 Gateway WIFI di OMADA tipo questi nel link di seguito?
Questo mi agevolerebbe di molto la realizzazione perchè la logica mi è chiara ma mi rendo conto che non ho le competenze per configurare i mikrotik.

WiFi Gateways | TP-Link Italia

TP Link - WiFi Gateways

www.omadanetworks.com

So bene che non installi questi apparati e che sicuramente non sono prodotti professionali. Ti pregherei di guardare le caratteristiche tecniche per capire se fanno al caso mio.

Grazie mille

 

[r3dl4nce]

OMADA=TPLINK=VOMITO

io non li consiglierei neppure al mio peggior nemico, però si sa che io spero che tutte le sedi di tplink spronfondino in voragini fino al centro della Terra...

Mi spiace ma solo vedere un tplink mi genera l'orticaria