Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: Clee-Shock 11. 06. 2020, 14:07:17

Název: Velký RD - topologie / VLAN / Nastavení
Přispěvatel: Clee-Shock 11. 06. 2020, 14:07:17
Zdravím vespolek,

Rád bych se přiučil něčemu novému a tak chci rozdělil domácí síť a zařízení do VLAN tak, aby to dávalo smysl.

Doteď jsme měli vše na stejném subnetu, takže nebyl problém, aby mi tchán z 1. patra pustil z aplikace YouTube jeho telefonu stream do mé TV - není to úplně ono  ;D

Berte to tak, že každé patro je jeden nájemce (nikoliv 3. generační dům) a chce:

- mít svoji vlastní síť
- dívat se na kamary - NAS
- zálohovat na NAS
- přenášet soubory na NAS
- pouštět na své TV video z NAS (jako Media Server - DS Video)
- odesílat stream z telefonu do své TV

Celá síť je 1Gbit a přepínače jsou TP-LINK SG108E a SG105E -> https://www.tp-link.com/cz/business-networking/all-switch/tl-sg108e/

Vše bych chtěl routovat na EdgeRouterX.

Kdybych něco v rámci učení o VLAN nepochopil nebo byste VLAN v rámci mého účelu rozdělili jinak budu za vaše věcné názory vděčný :)

Předem moc děkuju za Váš čas.
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: Clee-Shock 11. 06. 2020, 14:37:30
Zapomnel jsem dodat ze Jako NVR pro dve cinske kamey slouzi tez NAS.
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: NeroDuke 11. 06. 2020, 14:42:40
neumožňuje Unifi na jedno AP jen 4 SSid ? tj 4  VLany ?
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: Radek Zajíc 11. 06. 2020, 15:04:04
Pokud nevyuzivate wireless uplink monitor (ani wireless uplinky), umi napr. AP AC Pro az 8 SSIDs.
https://community.ui.com/questions/How-can-I-configure-more-than-4-SSID-on-one-single-AccessPoint/6c051cd9-74d3-4f96-a4b4-db1e8ea21f81
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: Fukjemi 12. 06. 2020, 00:14:12
Super plán, měl bych jen tři tipy.
1) SSID pro management bych nevytvářel
2) Předpokládám, že nevyužiješ v každé vlan 254 adres, proto bych použil masku /26 nebo /27
3) U unifi lze přidávat vlan i na konkrétní zařízení(na základě MAC), takže v jednom SSID může být i několik vlan
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: Fukjemi 12. 06. 2020, 00:35:07
Ještě jsem si všiml, že telky jsou všechny vlan 50, možná by bylo lepší, je umístit do vlan každého patra, ať nemusíš nastavovat pravidla pro každou IP ale rovnou na vlan.
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: czechsys 12. 06. 2020, 08:01:12
Super plán, měl bych jen tři tipy.
1) SSID pro management bych nevytvářel
2) Předpokládám, že nevyužiješ v každé vlan 254 adres, proto bych použil masku /26 nebo /27
3) U unifi lze přidávat vlan i na konkrétní zařízení(na základě MAC), takže v jednom SSID může být i několik vlan

2] /26 /27?  A to jako proc? Proc by si mel kazit sit zbytecnym zmensovani subnetu s dusledkama v cislovani?
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: Clee-Shock 12. 06. 2020, 11:27:43
Pokud nevyuzivate wireless uplink monitor (ani wireless uplinky), umi napr. AP AC Pro az 8 SSIDs.
https://community.ui.com/questions/How-can-I-configure-more-than-4-SSID-on-one-single-AccessPoint/6c051cd9-74d3-4f96-a4b4-db1e8ea21f81

Pokud jsem to ale správně pochopil, tak 8 SSID / 2(2,5 + 5Ghz) = opravdu jen 4 SSID. Tím pádem to budu muset přehodnotit a vymyslet to trošku jinak.

Super plán, měl bych jen tři tipy.
1) SSID pro management bych nevytvářel
2) Předpokládám, že nevyužiješ v každé vlan 254 adres, proto bych použil masku /26 nebo /27
3) U unifi lze přidávat vlan i na konkrétní zařízení(na základě MAC), takže v jednom SSID může být i několik vlan

1) To je asi rozumný skrz omezení na SSID. Holt to budu managovat přes kabel.
3) Z toho mám celkem kopřivku a rád bych se tomu vyhnul.

Ještě jsem si všiml, že telky jsou všechny vlan 50, možná by bylo lepší, je umístit do vlan každého patra, ať nemusíš nastavovat pravidla pro každou IP ale rovnou na vlan.

Vzhledem k omezením na 4SSID to budu muset stejně celý překopat. Napadají mě tedy další dvě varianty:

Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: Bugsa 12. 06. 2020, 12:07:25
Za mě na domácí síť šíleně složité.

Co takto?

- Každé patro svojí VLAN s Wifi ve stejné VLAN
- Wifi pro hosty s jinou VLAN, patřičně ošetřenou ve FW, aby mohla jen do internetu
- Všechna zařízení, která mají být sdílená, do stejné VLAN a pak ve FW nastavit kdo kam může
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: jeyare 12. 06. 2020, 12:41:43
Za mě na domácí síť šíleně složité.

Co takto?

- Každé patro svojí VLAN s Wifi ve stejné VLAN
- Wifi pro hosty s jinou VLAN, patřičně ošetřenou ve FW, aby mohla jen do internetu
- Všechna zařízení, která mají být sdílená, do stejné VLAN a pak ve FW nastavit kdo kam může
Uplny suhlas (az na sigle VLAN), chcelo by to vsak vyuzit Unifi USG-Pro a rovnako Unifi switche a cela konfiguracia je na pana
Vsetko pod jednym Unifi management controllerem
- kamery urcite v samostatnej VLAN
- guest WiFi dtto - odtienit len pre WAN. Vyborny Guest Hospot portal, dostupny aj cez Smart App
- vratane Deep packet inspection a skveleho IPS

Inak budete musiet kazdy jeden switch, AP a i router nastavovat cez samostatne rozhranie.

Unifi kontroller strcit do Synology NASu ako Docker container a mate izolovane riesenie managementu s 3 sec. fal-back v pripade akehokolvek problemu (update/upgrade problem, blba konfiguracia, ...). Viacej najdete na nezavislom fore k tymto vsetkym temam na https://www.synoforum.com/ (https://www.synoforum.com/)
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: Clee-Shock 12. 06. 2020, 13:15:50
Za mě na domácí síť šíleně složité.

Co takto?

- Každé patro svojí VLAN s Wifi ve stejné VLAN
- Wifi pro hosty s jinou VLAN, patřičně ošetřenou ve FW, aby mohla jen do internetu
- Všechna zařízení, která mají být sdílená, do stejné VLAN a pak ve FW nastavit kdo kam může
Uplny suhlas (az na sigle VLAN), chcelo by to vsak vyuzit Unifi USG-Pro a rovnako Unifi switche a cela konfiguracia je na pana
Vsetko pod jednym Unifi management controllerem
- kamery urcite v samostatnej VLAN
- guest WiFi dtto - odtienit len pre WAN. Vyborny Guest Hospot portal, dostupny aj cez Smart App
- vratane Deep packet inspection a skveleho IPS

Inak budete musiet kazdy jeden switch, AP a i router nastavovat cez samostatne rozhranie.

Unifi kontroller strcit do Synology NASu ako Docker container a mate izolovane riesenie managementu s 3 sec. fal-back v pripade akehokolvek problemu (update/upgrade problem, blba konfiguracia, ...). Viacej najdete na nezavislom fore k tymto vsetkym temam na https://www.synoforum.com/ (https://www.synoforum.com/)

Rozumím celkovému Unify řešení - líbilo by se :), ale:

USG-PRO + 5x US-8 = 8000 + 5 x 2600 = 21.000,-
vs
EdgeRouterX + 3x SG108E = 1300 + 3x800 = 3.700,-

Optikou bežné domácnosti je to velký rozdíl myslím. Synology máme DS2XXplay na který bohužel nedám Docker, ale mám CloudKey, takže UnifyController mám zajištěný.

Nepřijde Vám bezpečnostní riziko dávat:
- Síťové prvky do VLAN patra? Nevyužít MGMT VLAN?
- Jablotron EZS do stejné sítě jako Suteren VLAN
- Chytré krabičky typu UPC STB (black box), Android TV, tiskárny, smartTV na stejnou VLAN patra?

poznámka: V přízemí je Android MiBox a tiskárna bez ethernet portu - pouze WIFI.

Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: jeyare 12. 06. 2020, 13:58:29
rozumiem, ak porovnavete len cenu, tak Edgerouter je vitaz. No doubt.

ak vsak hladate zabezpecenie Vasej siete, tak Edgerouter X je proste nieco, co nemozete porovnanvate s USG-Pro.
Od nastavenia IPS - Inernet Prevention System mam pokoj v spanku. To Vam EdgeRouter X neda.

Ak vsak mate WAN speed na urovni 20/5Mbps, tak zostante u EdgeRouter X. Ak ste na 100Mbs (nemyslim nazov na zmluve o pripojeni), tak by ste nemal Vahat. Pretoze ten router nekupujete na 1 rok. A ak budete nahodou v buducnosti potrebovat Site to Site VPN, tak to uz vobec nie.
V neposlednom rade izolovany controller pre Edgerouter seriu neexistuje. Dalsia neocenitelna vyhoda pre Unifi controller v Dockeri na NAS. Cloud Key stal peniaze, ktore ked pripocitate k rozdielu medzi tie dva routre, tak sa znizuje. CloudKey je pre mna vyhodeny naklad na uplne zbytocny kus HW, ktoreho vyhody su otazne, ak vobec.

Ano, suhlasim, s entry level NAS ako je DS2xxplay vela vody nenamutite.
Drzim Vam palce!
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: 5nik 15. 06. 2020, 13:55:25
Já bych se nad tím zamyslel z pohledu požadovaných funkcí. Spoustu streamování (DLNA, Miracast apod.) funguje po multicastu, někdy broadcastu (discovery). Pokud bude zdroj a cíl v jiné síti (VLANě) nemusí to fungovat.
Z tohoto pohledu bych doporučoval VLANy spíše dle pater, management "páteřních" prvků (AP, switche) do samostatné VLANy, IoT (zabezpečovačka, kamery apod) také samostatně.
V podstatě se kloním k tomu poslednímu návrhu + pár změn (mgmt a IoT vlana). Obávám se, že streamování pomocí DLNA ze Synology na TV v různých vlanách nebude fungovat. Pokud budou smartTV a polezou na NAS samy pomocí SMB, tak problém nebude.
Pokud máte AP umístěné půdorysně cik-cak (ne přímo nad sebou), můžete do každého AP poslat i sousední VLANu (do prostředního patra všechny) a případně tak rozšířit pokrytí v rámci pater.
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: JBB 15. 06. 2020, 16:11:06
No zeptám se možná úplně blbě: je nějaký důvod se doma trápit s nastavovaváním switchů a vlan? Pomocí subnets by to nestačilo?
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: Radek Zajíc 15. 06. 2020, 16:33:51
Citace
Pokud jsem to ale správně pochopil, tak 8 SSID / 2(2,5 + 5Ghz) = opravdu jen 4 SSID. Tím pádem to budu muset přehodnotit a vymyslet to trošku jinak.
Je to skutečně 8 SSID, tj. 8+8. Potřebujete jen aktuální controller + AP firmware a připojení kabelem, ne přes wifi uplink.
(Praktičtější při tolika SSID je ale použít WPA2-Enterprise, tj. mít jedno SSID s WPA2-Enterprise a podle toho, kdo se přihlásí, ho zařadit do správné VLAN; je k tomu potřeba RADIUS server. Eventuelně možná druhé SSID pro hosty, pokud jim nechcete generovat dočasné přístupové jméno.)
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: Clee-Shock 16. 06. 2020, 08:41:27
V podstatě se kloním k tomu poslednímu návrhu + pár změn (mgmt a IoT vlana). Obávám se, že streamování pomocí DLNA ze Synology na TV v různých vlanách nebude fungovat. Pokud budou smartTV a polezou na NAS samy pomocí SMB, tak problém nebude.

DLNA nepoužíváme. Využíváme nativní aplikaci DS Video což je nějaký jejich proprietální protokol zřejmě (https://www.synology.com/cs-cz/knowledgebase/DSM/tutorial/Network/What_network_ports_are_used_by_Synology_services) Povolit z jedné VLAN konkrétní port na druhou VLAN konkrétní IP adresy by neměl být problém a očekávám, že to takto fungovat bude.

No zeptám se možná úplně blbě: je nějaký důvod se doma trápit s nastavovaváním switchů a vlan? Pomocí subnets by to nestačilo?
Jednak jsem se chtěl nečím přiučit, abych to třeba mohl zužitkovat i v jiném než domácím prostředí a druhak to přece rozděluji na subnets, akorát musím využít VLAN, abych dostal subnet do zařízení za switche Suteren a garaz zahrada. Nebo?

Citace
Pokud jsem to ale správně pochopil, tak 8 SSID / 2(2,5 + 5Ghz) = opravdu jen 4 SSID. Tím pádem to budu muset přehodnotit a vymyslet to trošku jinak.
Je to skutečně 8 SSID, tj. 8+8. Potřebujete jen aktuální controller + AP firmware a připojení kabelem, ne přes wifi uplink.
(Praktičtější při tolika SSID je ale použít WPA2-Enterprise, tj. mít jedno SSID s WPA2-Enterprise a podle toho, kdo se přihlásí, ho zařadit do správné VLAN; je k tomu potřeba RADIUS server. Eventuelně možná druhé SSID pro hosty, pokud jim nechcete generovat dočasné přístupové jméno.)
Aktuální FW na controlleru a na AP mám - AP jsou připojeny kabelem, ale přesto nemůžu více jak 4 SSID v bezdrátových sítí vytvořit - není omezení na model AP? (jde jen např. na AP-AC-PRO - já mám LR a Lite). Nasazovat Radius server nechci i když by to šlo na SynoNASce (díky za tip) protože ty 4 SSID mi budou stačit.

Do přílohy zasílám asi finální návrh rozdělení. Děkuju za vaše připomínky
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: JBB 16. 06. 2020, 09:07:26
Jednak jsem se chtěl nečím přiučit
Tak jestli se chceš opravdu něčemu přiučit, tak zapomeň na proprietární "klikací" udělátka a hoď si tam debian nebo openWRT.

akorát musím využít VLAN, abych dostal subnet do zařízení za switche Suteren a garaz zahrada. Nebo?
No to se ptám zkušenějších. Nestačilo by obyč NEmanagement switche, ušetří se peníze i nervy s nastavováním dalších prvků. A na routeru (teda centrálně) nastavit dhcp leases podle zařízení do jednotlivých subnets. A každé nové, tedy neznámé, zařízení hodit dhcp do subnet pro návštěvy, takže přístup pouze ven.
Jistě, ve velkých sítích se VLANy používají, ale není to na domácí malou síť overkill?

Do přílohy zasílám asi finální návrh rozdělení. Děkuju za vaše připomínky
Asi bych ještě oddělil WLAN od LAN. A na routeru pojmenoval lany podle umístění - wan, lan_garage...
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: FactChecker 16. 06. 2020, 10:10:43
No to se ptám zkušenějších. Nestačilo by obyč NEmanagement switche, ušetří se peníze i nervy s nastavováním dalších prvků. A na routeru (teda centrálně) nastavit dhcp leases podle zařízení do jednotlivých subnets. A každé nové, tedy neznámé, zařízení hodit dhcp do subnet pro návštěvy, takže přístup pouze ven.
Jistě, ve velkých sítích se VLANy používají, ale není to na domácí malou síť overkill?

Není. Jak by to jinak mělo zajišťovat bezpečnost? Dobrá vůle útočníka, že si nezmění adresu? Na centrální nastavování tu je třeba 802.1x.
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: JBB 16. 06. 2020, 11:02:41
Není. Jak by to jinak mělo zajišťovat bezpečnost? Dobrá vůle útočníka, že si nezmění adresu?
No jako když mě vnikne domů útočník se svým HW, tak je mě fakt jedno, jakou si nastaví IP adresu.

Na centrální nastavování tu je třeba 802.1x.
802.1x umí nastavit na switchi port-based VLAN?
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: FactChecker 16. 06. 2020, 11:47:57
Není. Jak by to jinak mělo zajišťovat bezpečnost? Dobrá vůle útočníka, že si nezmění adresu?
No jako když mě vnikne domů útočník se svým HW, tak je mě fakt jedno, jakou si nastaví IP adresu.

Útočník tam nevnikne se svým HW. Útočník si pustí svůj SW na vašem počítači, telefonu, routeru, televizi, vysavači, ledničce, žárovce, teploměru, zásuvce.

Na centrální nastavování tu je třeba 802.1x.
802.1x umí nastavit na switchi port-based VLAN?

Ano umí.
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: JBB 16. 06. 2020, 12:36:06
Není. Jak by to jinak mělo zajišťovat bezpečnost? Dobrá vůle útočníka, že si nezmění adresu?
No jako když mě vnikne domů útočník se svým HW, tak je mě fakt jedno, jakou si nastaví IP adresu.

Útočník tam nevnikne se svým HW. Útočník si pustí svůj SW na vašem počítači, telefonu, routeru, televizi, vysavači, ledničce, žárovce, teploměru, zásuvce.
No ale ta žárovka už měla přístup do sítě, tak co bude jinak, když už si útočník na ní něco pustí a je nebo není ve VLAN?
Nebo útočníci na ovládnutém zařízení běžně zkoušejí přenastavovat IP?
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: Clee-Shock 16. 06. 2020, 14:00:32
Není. Jak by to jinak mělo zajišťovat bezpečnost? Dobrá vůle útočníka, že si nezmění adresu?
No jako když mě vnikne domů útočník se svým HW, tak je mě fakt jedno, jakou si nastaví IP adresu.

Útočník tam nevnikne se svým HW. Útočník si pustí svůj SW na vašem počítači, telefonu, routeru, televizi, vysavači, ledničce, žárovce, teploměru, zásuvce.
No ale ta žárovka už měla přístup do sítě, tak co bude jinak, když už si útočník na ní něco pustí a je nebo není ve VLAN?
Nebo útočníci na ovládnutém zařízení běžně zkoušejí přenastavovat IP?

Když bude žárovka ve VLAN IoT, která bude smět přistupovat pouze do internetu a ne do ostatních VLAN tak to vyřeší tento problém.
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: FactChecker 16. 06. 2020, 14:19:29
No ale ta žárovka už měla přístup do sítě, tak co bude jinak, když už si útočník na ní něco pustí a je nebo není ve VLAN?
Nebo útočníci na ovládnutém zařízení běžně zkoušejí přenastavovat IP?

Běžné je, že si útočník pustí sniffer. Tím uvidí, že na jedné L2 používate více prefixů a začne zkoušet. VLAN tohle elegantně řeší, na routeru nastavíte co kam může a nespoleháte na security through obscurity.
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: SB 16. 06. 2020, 15:09:47
Jistě, ve velkých sítích se VLANy používají, ale není to na domácí malou síť overkill?

Tak samozřejmě, když sestěhujete zařízení stejné bezpečnostní kategorie vždy do jednoho místa/patra a každou tuto skupinu připíchnete vždy na jeden blbý switch, tak VLANy pochopitelně nepotřebujete. Předpokládám, že to tak máte u vás v Babicách.
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: JBB 16. 06. 2020, 16:44:22
Jistě, ve velkých sítích se VLANy používají, ale není to na domácí malou síť overkill?

Tak samozřejmě, když sestěhujete zařízení stejné bezpečnostní kategorie vždy do jednoho místa/patra a každou tuto skupinu připíchnete vždy na jeden blbý switch, tak VLANy pochopitelně nepotřebujete. Předpokládám, že to tak máte u vás v Babicách.
A je méně bezpečná ta žárovka, nebo android neznalého člena rodiny?

Není. Jak by to jinak mělo zajišťovat bezpečnost? Dobrá vůle útočníka, že si nezmění adresu?
No jako když mě vnikne domů útočník se svým HW, tak je mě fakt jedno, jakou si nastaví IP adresu.

Útočník tam nevnikne se svým HW. Útočník si pustí svůj SW na vašem počítači, telefonu, routeru, televizi, vysavači, ledničce, žárovce, teploměru, zásuvce.
No ale ta žárovka už měla přístup do sítě, tak co bude jinak, když už si útočník na ní něco pustí a je nebo není ve VLAN?
Nebo útočníci na ovládnutém zařízení běžně zkoušejí přenastavovat IP?

Když bude žárovka ve VLAN IoT, která bude smět přistupovat pouze do internetu a ne do ostatních VLAN tak to vyřeší tento problém.
Předpokládám, že chcete ovládat žárovku VY a ne někdo z internetu, takže ta VLANa IoT bude končit na nějakém domácím automatizačním serveru (HA) a ne do internetu. A na ten server bude přístup z VLANy domácích mobilů, abych s tou žárovkou mohl blikat.
ANO, s VLAN to bude bezpečnější, ale za vyšší cenu switchů.
To už bych mohl všechna zařízení mít v samostatných VPN a na FW tisíce pravidel...
"jedině paranoik přežije"
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: Petr M 17. 06. 2020, 17:22:44
No já jsem to doma vyřešil tak, že jsem si rozdělil zařízení do skupin, kdo kam může. Jedna skupina = jedna VLANa.
1. Infrastruktura (AP, switche). Nechci, aby to viděl kdokoliv mimo hlavní síť a není důvod, aby to vidělo ven, nebo bylo viděno zvenčí -> izolovaná VLAN1.
2. Klasická LANka pro komply s Linuxem, kde mám pod kontrolou SW a aktualizace a jsou tam důležitý data -> VLAN2
3. Ostatní zařízení s přístupem na net (Smart TV v obýváku chce Netflix a Youtube, pak jsou tady mobily s update jenom omylem,...) -> VLAN3 s přístupem na net. TV a mobil v jedné síti dovoluje i Chromecast apod.
4. Pak jsou stroje jako tiskárna, kde není důvod, aby na ně někdo lezl z venku a nemám zájem, aby samy lezly ven. Ty jsou ve svojí VLAN4 a komunikace na principu bachař-mukl z VLAN2 a VLAN3
5. IPTV set top boxy. Potřebují konektivitu ven, já se k nim nepřipojím  pavučiny z firmware neometu -> VLAN s přístupem pouze ven, ať nevidí, co je doma -> VLAN5.
6. Zařízení návštěv. Potřebují ven, ale ne na sdílený stroje ve VLAN4. Software je úplně mimo kontrolu -> VLAN6
7. Zabezpečovačka, kamery -> VAN 7, přístup z VLAN2, VLAN3
8. Zařízení, který chci mít přístupný z domácí sítě i veřejně. Momentálně nic takovýho nemám, ale v případě potřeby není problém aktivovat LAN8

Na WiFi jsou VLANy 2 (skrytá), 3 (skrytá), 6 (WPA2 s heslem). Všechno řídí modrák a rozstřeluje GS1900-24E a v pracovně na pokusy stará TL-2218 + zabezpečení (nebudu publikovat). U mobilních zařízení (NTB) switch hodí příslušnou VLANu po zapojení do zásuvky, neznámý zařízení (švárův noťas apod.) rovnou spadne do odpadní VLAN6.

Tady bych to dělal podobně, ale VLAN 2, 3, 4 bych řešil pro každou rodinu extra.
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: Clee-Shock 17. 06. 2020, 17:32:35
No já jsem to doma vyřešil tak, že jsem si rozdělil zařízení do skupin, kdo kam může. Jedna skupina = jedna VLANa.
1. Infrastruktura (AP, switche). Nechci, aby to viděl kdokoliv mimo hlavní síť a není důvod, aby to vidělo ven, nebo bylo viděno zvenčí -> izolovaná VLAN1.
2. Klasická LANka pro komply s Linuxem, kde mám pod kontrolou SW a aktualizace a jsou tam důležitý data -> VLAN2
3. Ostatní zařízení s přístupem na net (Smart TV v obýváku chce Netflix a Youtube, pak jsou tady mobily s update jenom omylem,...) -> VLAN3 s přístupem na net. TV a mobil v jedné síti dovoluje i Chromecast apod.
4. Pak jsou stroje jako tiskárna, kde není důvod, aby na ně někdo lezl z venku a nemám zájem, aby samy lezly ven. Ty jsou ve svojí VLAN4 a komunikace na principu bachař-mukl z VLAN2 a VLAN3
5. IPTV set top boxy. Potřebují konektivitu ven, já se k nim nepřipojím  pavučiny z firmware neometu -> VLAN s přístupem pouze ven, ať nevidí, co je doma -> VLAN5.
6. Zařízení návštěv. Potřebují ven, ale ne na sdílený stroje ve VLAN4. Software je úplně mimo kontrolu -> VLAN6
7. Zabezpečovačka, kamery -> VAN 7, přístup z VLAN2, VLAN3
8. Zařízení, který chci mít přístupný z domácí sítě i veřejně. Momentálně nic takovýho nemám, ale v případě potřeby není problém aktivovat LAN8

Na WiFi jsou VLANy 2 (skrytá), 3 (skrytá), 6 (WPA2 s heslem). Všechno řídí modrák a rozstřeluje GS1900-24E a v pracovně na pokusy stará TL-2218 + zabezpečení (nebudu publikovat). U mobilních zařízení (NTB) switch hodí příslušnou VLANu po zapojení do zásuvky, neznámý zařízení (švárův noťas apod.) rovnou spadne do odpadní VLAN6.

Tady bych to dělal podobně, ale VLAN 2, 3, 4 bych řešil pro každou rodinu extra.

Děkuji za vyčerpávající odpověď. Tak nějak bych si to představoval i já. Na čem to routujete? Už teď je mi z těch pravidel co budu zadávat nevolno :D
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: SB 17. 06. 2020, 18:52:46
Mám to trochu jako Petr M, ale všechny podsítě wifi mám zvlášť, nikdy s drátovými podsítěmi (wifi je prostě jinou bezpečnostní kategorií), na servery mám zvlášť podsíť, na spojení PPPoE do modemu zvlášť... Celkem asi 9 VLAN.
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: Petr M 17. 06. 2020, 20:37:55
Mám to trochu jako Petr M, ale všechny podsítě wifi mám zvlášť, nikdy s drátovými podsítěmi (wifi je prostě jinou bezpečnostní kategorií), na servery mám zvlášť podsíť, na spojení PPPoE do modemu zvlášť... Celkem asi 9 VLAN.

Tak ona ta klasická LAN je zabezpečená trochu jinak než něco, kam se může picnout návštěva, že...

Navíc když má člověk doma dvě APčka + router, tak to nějak tím trunkem protáhnout musí. Holky používají chromecast z mobilu a nevím, jak by chodilo s TV v jiné síti. Takže Androidy a TV členů rodiny mám na jedné hromadě a hosti nemají vůbec samostatnou drátovou zásuvku.

Lajnu z modemu do routeru nepočítám jako VLANu, asi proto, že tam valí PPPoE. Ale co mám jako bonus, DSL modem si i v bridge  myslí, že je router. Akorát nemá konektivitu. Tak jsem si jeden port přibalil trunkem do pracovny a nemusím běhat k rozvaděči, kdyby bylo potřeba. Zatím jsem to ale nepoužil...
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: Petr M 17. 06. 2020, 20:48:49
Děkuji za vyčerpávající odpověď. Tak nějak bych si to představoval i já. Na čem to routujete? Už teď je mi z těch pravidel co budu zadávat nevolno :D

Tak samozřejmě, že na OpenWRT :) Na takový to domácí hraní ještě nikdo nic lepšího neudělal (Mokrotik není akternativa, neumí pořádně IPv6).

A pokud nepočítám switche, tak celý kouzlo je jenom ve dvou souborech. /etc/config/network popisuje sítě a switch (co je na kterým portu, jestli je to tagovaný, jaký ta síť má IP adresy atd.) a /etc/config/firewall (která síť s kterou si smí vyměňovat data). Stačilo vzít LAN a metodou Ctrl-Cizí + Ctrl-Vlastní to pomnožit a upravit 2-3 řádky v každé definici (např. pro síť adresu IPv4, IPv6 hint, fyzický rozhraní). Vytvořit a otestovat to sebralo asi 2h včetně studia dokumentace a nastavení certifikátu pro přihlášení po SSH...
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: Adam Jelínek 17. 06. 2020, 21:24:51
Děkuji za vyčerpávající odpověď. Tak nějak bych si to představoval i já. Na čem to routujete? Už teď je mi z těch pravidel co budu zadávat nevolno :D

Tak samozřejmě, že na OpenWRT :) Na takový to domácí hraní ještě nikdo nic lepšího neudělal (Mokrotik není akternativa, neumí pořádně IPv6).

A pokud nepočítám switche, tak celý kouzlo je jenom ve dvou souborech. /etc/config/network popisuje sítě a switch (co je na kterým portu, jestli je to tagovaný, jaký ta síť má IP adresy atd.) a /etc/config/firewall (která síť s kterou si smí vyměňovat data). Stačilo vzít LAN a metodou Ctrl-Cizí + Ctrl-Vlastní to pomnožit a upravit 2-3 řádky v každé definici (např. pro síť adresu IPv4, IPv6 hint, fyzický rozhraní). Vytvořit a otestovat to sebralo asi 2h včetně studia dokumentace a nastavení certifikátu pro přihlášení po SSH...


No to zni skvele. Rad bych se dopracoval k tomu, ze za 2 hodiny nabastlim 7 vlan. Serionzne - poradite, kde zacit? Jsem uplny amater. Zacatek mam v planu (mel jsem do ted?) upgradem z upc smart na mikrotik. S vami ted asi slehne, za to se omlouvam, ale jede mi doma vsechno na jednom routeru. Tak jak z toho ven?

PS: ja vim, ze si muzu vsechno vygooglit, ale na zacatku je problem, ze clovek ani nevi, co googlit. Radeji bych byl za odkaz na dobry kurz (udemy, youtube, whatever), kde je to tak nejak od zacatku celistve a konce domaci site na 7 vlan..

Za kazdou konstruktivni radu dekuji
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: Petr M 17. 06. 2020, 22:40:39
Takže lekce 1. Vytvoření VLAN

Soubor /etc/config/network:
Kód: [Vybrat]
config switch
option name 'switch0'
option reset '1'
option enable_vlan '1'

config switch_vlan
option device 'switch0'
option vlan '1'
option vid '1'
option ports '4 5t 6t'

config switch_vlan
option device 'switch0'
option vlan '2'
option vid '2'
option ports '1 2 3 4t 5t 6t'

...

Brouk v routeru se jmenuje "switch0". Pomocí "enable_vlan" se zapnou VLANy a pak už stačí říct, který používáš ( jedna VLAN, jedna sekce).  Tam jenom řekneš, co je to za switch (volba "device"), člíclo VLAN (volby "VLAN" a "VID"). Ports přiřazuje porty, normálně jejich čísla oddělený mezerou. "t" znamená "tagged", tj. se značkou VLAN. JInak je neoznačený (normální paket).

Na tomhle příkladu je nastavení prvních dvou VLAN. 1 je pro management (port 4 je trunk do switche v pracovně, neumí management z VLAN, tak ho dostal neoznačený). Druhá je normální LAN, dostupná na portech 1,2,3 a jako označená do 4, 5. 6ka jde do CPU, takže taky označená... A takhle se tam naseká, co je potřeba.
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: SB 18. 06. 2020, 15:02:07
Mikrotik má (nejen) IPv6 odfláklé, ale nastavit se to dá. Když vidím u Openwrt to štelování ručně přes konfigurák, kdy když udělám chybu, budu ji hledat půl hodiny, naskakuje mi vyrážka. U Mikrotiku se vezme Winbox (s 5 otevřenými okny) a namačká se to tam, nebo přes terminál, kdy prompt má nápovědu, nebo skriptem, kdy to při chybě vyletí. Jasně, Openwrt mívalo jakési webové rozhraní, ale pamatuju si z toho zmatenost v nastavování rozhraní, takže jako neznalý se k tomu nebudu vyjadřovat.

...Už teď je mi z těch pravidel co budu zadávat nevolno :D

Nastavení podsítí je jen jednou částí, pak bude nejspíš třeba nastavit ještě filtrování různých adres a služeb, prefixů, typů ICMP, NATů, logování atd., a to všechno (snad jen bez toho NATu) 2x.
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: Petr M 18. 06. 2020, 17:27:32
Když vidím u Openwrt to štelování ručně přes konfigurák, kdy když udělám chybu, budu ji hledat půl hodiny, naskakuje mi vyrážka.

No já to mám zas naopak. Klikání se sice dá, ale pokud na jedné záložce udělám chybu, překliknu jinam a nevidím nic. Kdežto v texťáku je to pěkně pod sebou, můžu si to okomentovat, abych neztratil nit...

Nastavení podsítí je jen jednou částí, pak bude nejspíš třeba nastavit ještě filtrování různých adres a služeb, prefixů, typů ICMP, NATů, logování atd., a to všechno (snad jen bez toho NATu) 2x.

Tož lekce 2, furt /etc/config/network: vytvoření sítě, přidělení adres . Jde to naklikat, ale pomalu...
Síť, která vede fyzicky na jedno rozhraní, se dělá takhle:
Kód: [Vybrat]
config interface 'mgmt'
option proto 'static'
option ifname 'eth0.1'
option ipaddr '192.168.8.1'
option netmask '255.255.255.0'
option ip6assign '64'
option ip6hint '11'

"mgmt" je název sítě.
"proto" definuje protokol, "static" znamená statickou IP adresu. Může tam být třeba 6to4, PPPoE apod.
"ifname" je fyzický inteface. "eth0" je síťová karta, za tečkou je číslo VLANy ( odpovídá parametru "vid" v definici LAN.
Další dva řádky se starají o IPv4. První je adresa routeru v té síti (dělá gateway), druhý je maska.
No a poslední dva řádky jsou pro IPv6. "ip6assign" je délka prefixu sítě, kterou oznamuje. Standard je 64b. No a protože je potřeba říct, čím doplnit prefix od ISPíka z /56 na /64, je tam hexa hodnota v parametru "ip6hint"

Pak jsou sítě, který vedou na dvě a víc rozhraní. Třeba síť pro hosty na WiFI v routeru a s odesláním do dalšího AP. To vypadá asi takto:
Kód: [Vybrat]
config interface 'iptv'
option proto 'static'
option type 'bridge'
option ifname 'eth0.100 eth1'
option ipaddr '10.11.7.250'
option netmask '255.255.255.0'
option ip6assign '64'
option ip6hint '4'

Přibyla volba "type", kterou se to přepne na bridge mezi několika rozhraníma.  A v "ifname" je několik položek, jinak furt na jedno kopyto.
Takže při vytváření sítí na routeru v podstatě jenom kopíruju ten druhý blok, upravím "ifname", "ipaddr" a "ip6hint" a pokud je jedno rozhraní můžu (ale nemusím) vyhodit přepnutí na bridge.

A tím s /etc/config/network končíme. Příště nakonfigurujeme DHCP, ať se s tím nemusíme přiřazovat individuálně...
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: František Ryšánek 18. 06. 2020, 22:37:24
@Petr_M: přestože OpenWRT mi běží doma už nejmíň 10 let (první byl White Russian) tak na tenhle tutorial si schovám bookmark - díky :-) Protože pokaždé když na to po třech až pěti letech šáhnu, je dost věcí jinak, a Vy to podáváte hezky po lopatě s vysvětlivkama. Respect.

Třeba teď naposledy jsem rezignoval na to, vyrábět si svůj vlastní firewallový skript, protože jsem seznal, že default už se chová dost použitelně, a příjemně mě překvapilo, jak daleko se dostalo HTTP rozhraní (LuCi). A protože to konfiguruju pro jedinou domácnost, nikoli pro celou bytovku, tak mi ty ovčí defaulty v podstatě vyhovují... Pravda je, že jsem se nedávno podivil, že mi doma skrz OpenWRT 19.07 nefungovaly Google Hangouts (zatímco v práci za jiným mým firewallem ano), ale nebyl čas to debugovat a už asi nebude. Možná byl problém úplně jinde. Jinak zatím bez zádrhelů, od té doby co jsem někdy v zimě naposledy vyměnil router. Hehe - vyhodil jsem ASUS WL500G Deluxe. Chudák musel dost dlouho přesluhovat, po výměně kondíků před lety... to jsou ty zázraky moderní medicíny (suché polymery a keramika). Když se mnou nepohnula morální zastaralost (pomalej a žravej), tak se nakonec začal kousat a tu červenou popelnici si konečně zasloužil. Odpočívej v pokoji.
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: Clee-Shock 19. 06. 2020, 14:07:25
Nastavuji VLAN na SG108E a dost mě překvapuje, že se dostanu z jakékoli untagged VLAN na interface switche. To je normální chování nebo mám někde něco špatně nastavené? viz. screenshots

Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: 5nik 19. 06. 2020, 14:21:03
Nastavuji VLAN na SG108E a dost mě překvapuje, že se dostanu z jakékoli untagged VLAN na interface switche. To je normální chování nebo mám někde něco špatně nastavené? viz. screenshots

Myslím, že jste narazil na limity toho switche. Neumí Management VLANu. Viz FAQ TPlinku:
Citace
Management VLAN is only supported on T1500 series switches;
Jinými slovy management bude odpovídat na všech VLANách. Trochu Vám to nabourává ideu.
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: tr1l1ner 19. 06. 2020, 15:34:31
Nastavuji VLAN na SG108E a dost mě překvapuje, že se dostanu z jakékoli untagged VLAN na interface switche. To je normální chování nebo mám někde něco špatně nastavené? viz. screenshots

Mam doma v podstate stejny switch akorat s PoE (TL-SG108PE). Bohuzel nezvlada MGMT VLAN, takze je pak GUI pristupne ze vsech... Limitace tohoto maleho SW.
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: Clee-Shock 10. 07. 2020, 14:22:51
Nastavuji VLAN na SG108E a dost mě překvapuje, že se dostanu z jakékoli untagged VLAN na interface switche. To je normální chování nebo mám někde něco špatně nastavené? viz. screenshots

Myslím, že jste narazil na limity toho switche. Neumí Management VLANu. Viz FAQ TPlinku:
Citace
Management VLAN is only supported on T1500 series switches;
Jinými slovy management bude odpovídat na všech VLANách. Trochu Vám to nabourává ideu.

Zakázal jsem MGMT Switchů na FW a povolil jen z konkrétních MAC adres.

Vše funguje dobře až do momentu kdy jsem zprovoznil OpenVPN server na EdgeRouter X dle tohoto návodu -> https://help.ui.com/hc/en-us/articles/115015971688-EdgeRouter-OpenVPN-Server

V tom momentě nelze z místní sítě přistupovat na žádné zařízení v síti 192.168.10.0/24 kromě routeru, kterej je na 192.168.10.1. Když deaktivuju vtun0 rozhraní určené pro OVPN, tak se na všechny zařízení v subnetu 192.168.10.0/24 dostanu. Nenapadá vás čím by to mohlo být?
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: František Ryšánek 11. 07. 2020, 22:38:41
Ohledně OpenVPN, nemá ten server v konfiguraci redirect-gateway ?
Název: Re:Velký RD - topologie / VLAN / Nastavení
Přispěvatel: Clee-Shock 13. 07. 2020, 12:09:43
Ohledně OpenVPN, nemá ten server v konfiguraci redirect-gateway ?

Nemá