Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: PedroKV 23. 08. 2020, 18:00:16

Název: Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: PedroKV 23. 08. 2020, 18:00:16
Ahoj, dva dny jsem googlil nastavování VLAN, prošel i sousední vlákno Velký RD - VLAN, nastavení, ale zatím jsem nenašel, co by pasovalo na náš dům. Nemám, s kým bych konzultoval, tak prosím prosím o pomoc tady.

Praštil jsem se přes kapsu a vyměnil obyčejný switch za POE řiditelný. Tím jsem chtěl zaplácnout 2 mouchy jednou ranou-zbavit se 3 switchů v racku (2 malé 8pPOE a jeden 24p obyčejný) a zároveň zprovoznit VLANy k oddělení návštěv od vnitřní sítě.

Návštěvy se mohou připojovat celkem přes 4 APčka (mikrotikové Wifi a 3x další APčka po domě). APčka umí jednotlivým SSID přiřadit VLAN ID.

Chtěl bych nastavit MAC VLAN, co je "domácí", to má VLANu pana domácího a může všude, vše ostatní, ať už se nacvakne do ethernetové zásuvky nebo připojí přes wifi, může jen do internetu.

S tím, že bych chtěl v síti pana domácího (VLAN 10) zachovat adresní rozsah 10.0.0.1-254 a pro návštěvy udělat třeba 10.0.88.1-254

Mohl by mi někdo prosím polopaticky poradit, jak na to?

Já zkoušel na AP zapnout to přiřazování VLAN podle SSID. OK, zapnuto. Pak jsem zkusil nastavit switch, aby moje PC mělo stejné VLAN ID jako SSID pana domácího. Nějak se mi povedlo se dostat opět na management APčka, ale už ne do internetu (nastavoval jsem jen switch). Z AP jsem se myslím nedostal nikam. Nakonec jsem se z PC nedostal nikam a konfiguraci VLAN na switchi jsem musel zrušit z mobilu z jiného AP. Pak jsem se ale zase nedostal na to AP s VLANama, tak jsem zase laboroval, abych na něm VLANy vypnul. No nejradši bych do toho kopnul ;-)

Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: LukePole 23. 08. 2020, 19:43:55
Zbytečně překombinované. Udělat AP stejně, jako je tomu třeba v hotelích a větších restauracích, ve firmách apod., tj. Ubiquiti UniFi.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: czAtlantis 23. 08. 2020, 19:53:03
Taková kacířská myšlenka - má to smysl řešit? Taky jsem nad tím přemýšlel a dospěl jsem k názoru, že návštěva asi nebude skenovat celou moji síť a hledat tam ten řídicí počítač co odpaluje atomovky a má jméno admin a heslo 1234....
Jako má to smysl někde v hotelu, restauraci atd...ale doma, kde návštěva akorát chce na wifi? Kašlu na to, jen zbytečná komplikace...Co tam provozuješ tak důležitýho, aby se k tomu návštěva nedostala? Já tam mám třeba vzdálený plochy a přístupy na NAS, ale tak všude je aspoň nějaký heslo, takže to není tak že by návštěva otevřela 192.168.10.5 a měla tam obsah mýho NASu...

Chtěl bych nastavit MAC VLAN, co je "domácí", to má VLANu pana domácího a může všude, vše ostatní, ať už se nacvakne do ethernetové zásuvky nebo připojí přes wifi, může jen do internetu.
Natož dělat takovýhle psí kusy  ;D
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: 🇺🇦LarryLin 23. 08. 2020, 20:28:07
Taky budu potřebovat oddělit jednotlivé sítě. Nikoliv pro občasné návštěvy, ale pro několik rodin (firem), které budu sdílet stejného providera (VDLS). Asi ti moc neporadím, ale spíše ze zeptám, abych se do toho nezamotal jako ty :). Problém u tebe je ve switchi TP-link T1600G-52PS? Z toho tvého popisu mně totiž není úplně jasné kde je ten zakopaný pes.

Když jsem četl třeba tento zápisek o nastavení VLAN na Mikrotiku (https://radekvymazal.cz/vlan-na-domacim-routeru/), tak se mi nezdálo být tak složité oddělit síť pana "domácího" od sitě pro hosty.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: czAtlantis 23. 08. 2020, 20:42:56
Taky budu potřebovat oddělit jednotlivé sítě. Nikoliv pro občasné návštěvy, ale pro několik rodin (firem), které budu sdílet stejného providera (VDLS).
Tak záleží na topologii, ale tak tam bych se vykašlal na VLANy a prostě měl VDSL do mikrotiku a z něho by šly jednotlivý kabely (řekněme 3) pro jednotlivý firmy. No a v Mikrotiku by byly prostě 3x NAT z tady těch 3 interface. A pak pravidlo ve firewallu, aby se zablokoval provoz mezi těma 3 sítěma.
Já jendou dělal takovou izolaci - byl wifi spoj, u mě zapojenej do sítě a na druhé straně byla cizí síť - no a nejjednodušší bylo na mikrotiku co vedl z toho wifi spoje nastavit NAT (a serepatičky okolo) a ve firewallu dovolit komunikaci jen na výchozí bránu - tzn nikam jinam než do internetu se nedostali
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: 🇺🇦LarryLin 23. 08. 2020, 20:46:32
Zbytečně překombinované. Udělat AP stejně, jako je tomu třeba v hotelích a větších restauracích, ve firmách apod., tj. Ubiquiti UniFi.
Je Ubiquiti UniFi lepší i oproti méně překombinovanému způsobu nastavení VLAN na Mikrotiku co jsem odkazoval výše? V čem je Ubiquiti UniFi lepší?
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: 🇺🇦LarryLin 23. 08. 2020, 21:08:01
No a v Mikrotiku by byly prostě 3x NAT z tady těch 3 interface. A pak pravidlo ve firewallu, aby se zablokoval provoz mezi těma 3 sítěma.
To mě nenadadlo, že by to šlo i takto. Chtěl jsem kupovat Mikrotik právě kvůli VLAN, ale tak jak to popisuješ by to mělo jít nastavit i na "obyčejnějších" routerech.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: PedroKV 23. 08. 2020, 21:14:47
CzAtlantis: no, všechno v síti má nějaké heslo a nepředpokládám, že tu návštěvy budou dělat psí kusy, ale zas když je ta možnost, tak proč ne.

Jo a někdo se ptal, jestli.je problém v tom switchi-tak ne, není, problém je v tom, že to neumím nastavit a manuál mlc nepomohl.

Někde jsem si přečetl nastavení mikrotika, ale tam mi chybělo nastavení switche a APček, takže to mi moc nepomohlo.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: LukePole 24. 08. 2020, 06:12:23
Zbytečně překombinované. Udělat AP stejně, jako je tomu třeba v hotelích a větších restauracích, ve firmách apod., tj. Ubiquiti UniFi.
Je Ubiquiti UniFi lepší i oproti méně překombinovanému způsobu nastavení VLAN na Mikrotiku co jsem odkazoval výše? V čem je Ubiquiti UniFi lepší?
Ubiquiti UniFi je pro účely AP lepší naprosto ve všem, než nějaké bastlení přes několik různých AP. A samozřejmě je výhoda i v jednotné WiFi síti a celkovém monitoringu provozu a možnostech nastavení přes UniFi Controller.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: Screemy 24. 08. 2020, 07:41:24
Zdarec,

řešil jsem to 2 měsíce zpětně ve svém RD

WAN- Mirkotik 750 - Cisco 2960 PoE - 3x mikotik CAP ( ruzeno CAPSManem)
7 VLAN po baraku včetně sítě pro hosty
speciální vlan pro kamery, iot, mgnt atd

vse vyslo na cca 3000 (mikrotiky, switch z minulosti),-kč + několik hodit studia a nastavovaní :)


kdyby jsi chtel, pomuzu.

Dej vedet
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: PedroKV 24. 08. 2020, 09:06:15
To bych byl moc rád, večer se ozvu po PM. Moc díky.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: SB 24. 08. 2020, 12:04:04
...dospěl jsem k názoru, že návštěva asi nebude skenovat celou moji síť a hledat tam ten řídicí počítač co odpaluje atomovky a má jméno admin a heslo 1234....
...Co tam provozuješ tak důležitýho, aby se k tomu návštěva nedostala? ...

Stačí, když dojde návštěva se zavšivenými widlemi, a už to jede... A jako bonus v případě úspěšného nakažení prémiové začlenění do botnetu.

Opravdu tu musí radit každý, kdo vlastní anální otvor?
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: crown 24. 08. 2020, 14:09:08
Stačí, když dojde návštěva se zavšivenými widlemi, a už to jede... A jako bonus v případě úspěšného nakažení prémiové začlenění do botnetu.

Je samozřejmě potřeba aktualizovat zařízení i ve vnitřní síti a nenechávat na routeru a kamerách heslo 1234.
Potom by neměly ani zavirované Windows návštěvy nic udělat.

... samozřejmě VLAN je větší jistota, ale ... co když návštěva potřebuje tisknout a skenovat, stáhnout fotky ze sdíleného úložiště, chcete jim dovolit si doma rozsvítit a nastavit si v pokoji teplotu, ... skončíte potom s milionem výjimek.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: LukePole 24. 08. 2020, 14:25:50
Je zajímavé, že v hotelích mají hosté také "zavšivené Widle" a prakticky nikdy se nestane, že by díky tomu lehla síť. Asi to Ubiquiti UniFi má něco do sebe, než jakýsi samo-domo-bastl ve stylu "co jsem našel, to jsem použil a ono to nějak funguje" :D
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: PedroKV 24. 08. 2020, 14:40:06
Ten můj bastl umí poe 802.3af a vlany, co víc si přát? Navíc za zlomek peněz Ubiqa. Kdo umí nastavit vlany pro toho je to sranda. Já to neumím, tak to zkouším zde. Se standardy, ne s proprietárním řešením nějaké firmy. Ač souhlasím, že Ubiquity je asi jednodušší.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: Hattori Hanzo 24. 08. 2020, 15:49:36
Sieť pre hostí s vlastným DHCP serverom a vlastným rozsahom:
https://www.marthur.com/networking/mikrotik-setup-guest-wifi/201/
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: czAtlantis 24. 08. 2020, 16:09:57
Hattori Hanzo: Toi je jasný, ale to mu neřeší problém více AP různě po baráku kdy něco je mikrotik, něco je jinýho a podobně :D
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: 🇺🇦LarryLin 24. 08. 2020, 21:47:19
Taky budu potřebovat oddělit jednotlivé sítě. Nikoliv pro občasné návštěvy, ale pro několik rodin (firem), které budu sdílet stejného providera (VDLS).
Tak záleží na topologii, ale tak tam bych se vykašlal na VLANy a prostě měl VDSL do mikrotiku a z něho by šly jednotlivý kabely (řekněme 3) pro jednotlivý firmy. No a v Mikrotiku by byly prostě 3x NAT z tady těch 3 interface. A pak pravidlo ve firewallu, aby se zablokoval provoz mezi těma 3 sítěma.
Ještě se zeptám.
1) To by na tom Mikrotiku muselo běžet i 3x DHCP?
2) Kdybych chtěl veřejnou IPv4 (co přidělil provider) přidělit pouze pro jednu z těch 3 sítí a zbylým 2 sítím bych nechal jen veřejnou IPv6, tak i to by šlo nastavit bez VLAN?
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: czAtlantis 24. 08. 2020, 23:43:16
No když budeš dělat NAT, tak veřejná IP "zmizí" na tom routeru. Kam pak budeš směrovat porty je už na tobě a je úplně jedno jestli tam máš normálně jednu domácí síť, nebo několik izolovaných sítí.
Jo bylo by tam 3xDHCP

Já provozuju něco podobnýho - cíl byl mít jednu wifi síť co pojede přes záložní linku. Mám hlavní router kde je 2x masquarade, jako source je u jedné jeden rozsah, u druhé druhej. Běží 2x DHCP (jeden pro normální síť, druhej pro tu záložní). Pro rozlišení která výchozí brána bude kterej internet mám přes https://systemzone.net/mikrotik-load-balancing-over-multiple-gateway-2-wan/

Na Mikrotiku se s VLAN zachází vcelku jednoduše -vytvoříš novou a řekneš nad kterým fyzickým interfacem má běžet. Může běžet i nad bridgem. Ta VLANa ti vytvoří jakoby další interface se kterým funguješ jako normálně s fyzickejma - tzn ho můžeš dávat do bridge, přidávat na něj IP atd...

No takže já si vytvořil VLANu nad bridgem, dal jí VLAN ID 101 a na ní běží DHCP, má IP atd atd
Na jednotlivých Wifi AP je to ještě jednodušší s těma VLANama:

mám nastaveno klasika v bridge všechny interface (eth+fyzická "normální" wifi).
Pak jsem vytvořil virtual AP, nastavil mu serepatičky jako security profil, jméno atd a v nastavení nastavil VLAN mode: Use tag, VLAN ID nastavil na výše zmíněných "101"
Tento nově vytvořený interface jsem přidal taky do bridge. No a funguje to.

(ty VLANy šly dělat i jinak - tzn přidat VLANu, přidat virtuální AP a tyhle dvě věci hodit do svýho separátního bridge) - tohle by mělo výhodu kdybys chtěl třeba na tom APčkovým mikrotiku nějak dostat IP adresu z toho druhýho rozsahu. Protože tím stylem jak jsem popsal výše to jen dělá virtální AP s tou VLANou a nic dalšího přes VLAN nekomunikuje


Jak se to chová když je mezi hlavním mikrotikem a APčkama další switch? Asi záleží co je to za switch - Některý AP jsou přímo Mikrotik-mikrotik a tam to funguje tak jak jsem psal a toť vše. Některý jsou přes managovatelnej a v něm se musely ty VLANy taky definovat a říct na kterých portech mají fungovat. Jak by se to chovalo v případě blbýho switche nevím - možná stejně jako při propojení Mikrotik-Mikrotik. Hloupej switch by neměl ty VLANový rámce nijak řešit a "vybalí" si to až cílovej mikrotik.
Samozřejmě nezapomínat že VLANy v téhle konfiguraci nejsou úplně bezpečnostní fičura, ale spíš jen tak pro pořádek a rozlišení provozu
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: hernan 25. 08. 2020, 08:35:20
 Cele toto vlakno mi pride absurdni.
K vam chodi navstevy kvuli internetu? Nebo dokonce s pocitacem??  ::)
Vymyslite kanon na vrabce, dnes snad kazdymu staci internet v mobilu, pokud se behem navstevy "urgentne" potrebuje pripojit na internet  ???
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: Screemy 25. 08. 2020, 10:04:09
Cele toto vlakno mi pride absurdni.
K vam chodi navstevy kvuli internetu? Nebo dokonce s pocitacem??  ::)
Vymyslite kanon na vrabce, dnes snad kazdymu staci internet v mobilu, pokud se behem navstevy "urgentne" potrebuje pripojit na internet  ???

neprijde mi absurdni, kdyz to potrebuji, tak to udelam :)

a ano, domu mi chodi navstevy i kvuli internetu :)

Co je absurdni na segmentaci site? Oddelit IOT, kamery system atd od serveru, nasu atd? :-)
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: csnarg 25. 08. 2020, 10:12:37
Cele toto vlakno mi pride absurdni.
K vam chodi navstevy kvuli internetu? Nebo dokonce s pocitacem??  ::)
Vymyslite kanon na vrabce, dnes snad kazdymu staci internet v mobilu, pokud se behem navstevy "urgentne" potrebuje pripojit na internet  ???

Co je na tom absurdní? Vy asi bydlíte v paneláku a soudíte všechny podle sebe, že?  :) Já osobně třeba když jedu za nějakým příbuzným/kamarádem (který má RD) přes půl republiky na návštěvu tak tam většinou i přespím. A to kupodivu sebou tahám i notebook a očekávám že hostitel bude mít aspoň nějaký přístup na internet (ne že by to byl v době neomezených dat takový problém, ale je spoustu baráků v oblasti kde jeden nebo více operátorů nemají třeba LTE -- a většinou to vždycky byl ten můj)
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: csnarg 25. 08. 2020, 10:18:47
Zbytečně překombinované. Udělat AP stejně, jako je tomu třeba v hotelích a větších restauracích, ve firmách apod., tj. Ubiquiti UniFi.
Je Ubiquiti UniFi lepší i oproti méně překombinovanému způsobu nastavení VLAN na Mikrotiku co jsem odkazoval výše? V čem je Ubiquiti UniFi lepší?
Ubiquiti UniFi je pro účely AP lepší naprosto ve všem, než nějaké bastlení přes několik různých AP. A samozřejmě je výhoda i v jednotné WiFi síti a celkovém monitoringu provozu a možnostech nastavení přes UniFi Controller.

Prostě řekněte že to je hotové řešení pro adminy který jsou líní si nastudovat danou problematiku a nastavit několik AP. Samozřejmě výhoda je v jednotnosti OS, ale to získáte i u Mikrotiku i u vhodně vybraných jiných AP (openwrt). Ale pravda, nenastavuje se to na 3 kliky (ovšem nevím jestli to je zrovna výhoda, protože pak daný člověk není úplně obeznámen s problematikou co ty kliky dělají a jak to funguje uvnitř)
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: LukePole 25. 08. 2020, 10:54:56
Ubiquiti UniFi je řešení pro každého, kdo vyžaduje bezchybnost a ne soustavné se nimrání v nesmyslech a každou chvíli naříkání po diskuzích, jak to či ono (zase) nefunguje. A žádný admin si nemůže dovolit, aby u jeho zákazníka něco nefungovalo příliš dlouho, protože v takovém okamžiku by se pak lehce stalo, že by se jednalo o již bývalého admina.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: M_D 25. 08. 2020, 11:11:46
Nu, jak pomocí Unifi controleru bude ovládat ty APčka od jiného výrobce, co už má?
Stejně tak, kdyby ty APčka měl všechny od Mikrotiku, tak může použít CAPsMAN funkcionalitu a řídit ty AP všechny z toho routeru úplně stejně, jak u UniFi z jeho controleru na pár kliknutí. A ani by nemusel řešit VLANy po cestě, protože komunikace AP-CAPsMAN na tom routeru se tuneluje případně uvnitř UDP komunikace (může i nemusí).
Jinak pokud by ty AP, co má doma, uměla protokol LwAP, tak Mikrotik je uměl také centrálně spravovat, ale musí se do něj hodit balíček CAPsMAN v1, který se už nerozvíjí, aktuální řada CAPsMAN v2 má LwAP vyhozeno a řídí jen další rádia od Mikrotiku.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: csnarg 25. 08. 2020, 11:12:44
Ubiquiti UniFi je řešení pro každého, kdo vyžaduje bezchybnost a ne soustavné se nimrání v nesmyslech a každou chvíli naříkání po diskuzích, jak to či ono (zase) nefunguje. A žádný admin si nemůže dovolit, aby u jeho zákazníka něco nefungovalo příliš dlouho, protože v takovém okamžiku by se pak lehce stalo, že by se jednalo o již bývalého admina.

Jo, to nespochybňuji... Prostě autoři (za mě) vybrali jediný správný způsob jak něco udělat, ten vychytali a ono to funguje. To je třeba jak Apple. Ten prostě taky funguje. Horší je, když budete chtít cokoliv nestandardního nebo jiného než si představovali autoři. Potom už nemáte šanci... Proto raději preferuji otevřená řešení, kde se člověk může nimrat, jednou to vychytá a roky to poběží bez problémů. Akorát to stojí víc práce, protože to za mě nevytunil nějaký programátor, ale zase mám mnohem větší volnost jak dosáhnout výsledku který si představuji.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: Miroslav Šilhavý 25. 08. 2020, 11:41:39
Ubiquiti UniFi je řešení pro každého, kdo vyžaduje bezchybnost a ne soustavné se nimrání v nesmyslech a každou chvíli naříkání po diskuzích, jak to či ono (zase) nefunguje. A žádný admin si nemůže dovolit, aby u jeho zákazníka něco nefungovalo příliš dlouho, protože v takovém okamžiku by se pak lehce stalo, že by se jednalo o již bývalého admina.

Tak o té bezchybnosti by se dalo diskutovat dlouze. Jakmile chcete rozchodit 802.1x, správně nastavit VLANY a mít to opravdu bezpečné, tak narazíte.

Neříkám, že UniFi není dobré. Naopak, ve spoustě situací je to špičkový pomocník, ušetří spoustu starostí. Bohužel, jakmile začnete řešit opravdu bezpečnost, jste ve stejné zadeki, jako s čímkoliv jiným low endovým.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: . 25. 08. 2020, 11:57:29
UBNT dáváme běžně do hotelů a hospod a nikdy jsem neregistroval nějaké problémy s bezpečností. A to se vyskytují hosté-koumáci, kteří jsou schopni všeho, ale nemají šanci :D
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: . 25. 08. 2020, 12:00:51
Nu, jak pomocí Unifi controleru bude ovládat ty APčka od jiného výrobce, co už má?
Stejně tak, kdyby ty APčka měl všechny od Mikrotiku, tak může použít CAPsMAN funkcionalitu a řídit ty AP všechny z toho routeru úplně stejně, jak u UniFi z jeho controleru na pár kliknutí. A ani by nemusel řešit VLANy po cestě, protože komunikace AP-CAPsMAN na tom routeru se tuneluje případně uvnitř UDP komunikace (může i nemusí).
Jinak pokud by ty AP, co má doma, uměla protokol LwAP, tak Mikrotik je uměl také centrálně spravovat, ale musí se do něj hodit balíček CAPsMAN v1, který se už nerozvíjí, aktuální řada CAPsMAN v2 má LwAP vyhozeno a řídí jen další rádia od Mikrotiku.
Nijak. Ale to není problém Controlleru, že si někdo napřed nakoupí harampádí a pak teprve řeší, jak ho rozchodit. Vždycky to chce opačný postup, napřed promyslet, pak kupovat :)
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: jeyare 25. 08. 2020, 20:25:47
Unifi ma niekolko vyhod, ak to clovek mysli doma s bezpecnostou a komfortom ovladania naozaj vazne.
Unifi sa ovladat cez GUI a rovnako aj cez CLI.
Dalsia - Unifi controller, ktory bezi v kontajneri v NASe Vam dava slobodu. Napr. taky failover trva asi tak 4 sec. = mam ready dva kontajnery, v pripade chybneho upgradu primarneho. Co sa stava uplne bezne, ze vendor sa obcas sekne.
Ak mate nad kontajnermi Portainer, tak je to na pana.
V neposlednom rade Guest portal v Unifi je uplne skvela vec. Deckam mozete dat na telefon (manazovany pristup) k pridelovani Passcode pre Guest WiFi. Keby cokolvek, tak to dokazete zablokivat cez SmartApp i z druhej strany planety.
O kvalite a ucinnosti IPS netreb pisat. Od rozbehnutia Unifi mam v kazdej site pokoj.

Posledna: ten TPlink switch - to bolo naozaj prastenie po kapse, kedze 48p POE+ Unifi switch v tej istej cenovej kategorii robi to iste + ma 500W (vs 384W u TPlink). S Unifi AP a routerom vsetko unifikovane a pod kontrolou.
Unifi nie je pre lenivych adminov. To napise akurat clovek, ktory to nenasadzoval a neprevadzkuje. Proste shoot into dark. Unifi dava zmysel. Staci uvazovat.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: MikyM 28. 08. 2020, 05:22:29
Ahoj, dva dny jsem googlil nastavování VLAN, prošel i sousední vlákno Velký RD - VLAN, nastavení, ale zatím jsem nenašel, co by pasovalo na náš dům. Nemám, s kým bych konzultoval, tak prosím prosím o pomoc tady.
.....
 No nejradši bych do toho kopnul ;-)
Ahoj,
nebudu komentovat co je lepší jestli UBNT nebo Mikrotik. Oba výrobci jsou dobří, mají své místo na trhu a také své výhody a nevýhody.

Zavést segmentaci sítě a oddělení pomocí VLAN a FW pravidel rozhodně smysl má. Stejně tak se trochu zamyslet nad omezením dostupných služeb, tedy nepouštět ven vše co si host zamane. Nejde tak o nedůvěru vůči návštěvě, která by chtěla vědome provádět cílené útoky. Jde především o to co jim na zařízení běží za případný balast o kterém nemusí sami ani vědět. A narovinu toho dokáže docela dost. Například řešit následky jako vymazání své IP z blacklistu protože z mě sítě byl veden DDOS apod. jsou nepříjemné.

Ve Tvém případě na TP switchi musíš vydefinovat VLANy a pravidla (tagged,untagged,default VLAN), které poté spojíš v trunk portu vedoucího do Mikrotiku.
Tyhle zdroje by Tě mohly posunout o kus dále:

https://forum.mikrotik.com/viewtopic.php?t=149651 (https://forum.mikrotik.com/viewtopic.php?t=149651)
https://wiki.mikrotik.com/wiki/Manual:Interface/VLAN (https://wiki.mikrotik.com/wiki/Manual:Interface/VLAN)
https://wiki.mikrotik.com/wiki/Manual:Bridge_VLAN_Table (https://wiki.mikrotik.com/wiki/Manual:Bridge_VLAN_Table)
https://wiki.mikrotik.com/wiki/Manual:Basic_VLAN_switching (https://wiki.mikrotik.com/wiki/Manual:Basic_VLAN_switching)
https://wiki.mikrotik.com/wiki/Manual:CAPsMAN_with_VLANs#Without_Virtual_APs (https://wiki.mikrotik.com/wiki/Manual:CAPsMAN_with_VLANs#Without_Virtual_APs)
https://static.tp-link.com/2020/202003/20200324/1910012764_T1600Gseries_UG.pdf (https://static.tp-link.com/2020/202003/20200324/1910012764_T1600Gseries_UG.pdf)

Step by step postup momentálně nemám, když tak dle zdrojů výše napiš kde jsi se zasekl.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: Miroslav Šilhavý 28. 08. 2020, 07:38:29
V práci mám kombinaci obojího. Mikrotik se stará o VRF, VLANY, firewall, QoS.
UBNT je fajn pro nastavení a správu wifi.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: PedroKV 29. 08. 2020, 13:03:01
Posledna: ten TPlink switch - to bolo naozaj prastenie po kapse, kedze 48p POE+ Unifi switch v tej istej cenovej kategorii robi to iste + ma 500W (vs 384W u TPlink). S Unifi AP a routerom vsetko unifikovane a pod kontrolou.

Pod souslovím "v tej istej cenovej kategorii" si tedy alespoň já představuju něco mírně odlišného: TP link 11500Kč, Mikrotik asi 1800,-Kč (a už jsem ho měl) a ty 3 APčka dohromady tuším 3 tisíce (a už jsem je měl taky dávno koupené). Oproti tomu ten Ubiquiti US-48-500W (jestli jsem pogooglil ten správný) 18-19 tisíc. :-O
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: PedroKV 29. 08. 2020, 13:11:43
Ahoj, dva dny jsem googlil nastavování VLAN, prošel i sousední vlákno Velký RD - VLAN, nastavení, ale zatím jsem nenašel, co by pasovalo na náš dům. Nemám, s kým bych konzultoval, tak prosím prosím o pomoc tady.
.....
 No nejradši bych do toho kopnul ;-)
Ve Tvém případě na TP switchi musíš vydefinovat VLANy a pravidla (tagged,untagged,default VLAN), které poté spojíš v trunk portu vedoucího do Mikrotiku.
Tyhle zdroje by Tě mohly posunout o kus dále:

https://forum.mikrotik.com/viewtopic.php?t=149651 (https://forum.mikrotik.com/viewtopic.php?t=149651)
https://wiki.mikrotik.com/wiki/Manual:Interface/VLAN (https://wiki.mikrotik.com/wiki/Manual:Interface/VLAN)
https://wiki.mikrotik.com/wiki/Manual:Bridge_VLAN_Table (https://wiki.mikrotik.com/wiki/Manual:Bridge_VLAN_Table)
https://wiki.mikrotik.com/wiki/Manual:Basic_VLAN_switching (https://wiki.mikrotik.com/wiki/Manual:Basic_VLAN_switching)
https://wiki.mikrotik.com/wiki/Manual:CAPsMAN_with_VLANs#Without_Virtual_APs (https://wiki.mikrotik.com/wiki/Manual:CAPsMAN_with_VLANs#Without_Virtual_APs)
https://static.tp-link.com/2020/202003/20200324/1910012764_T1600Gseries_UG.pdf (https://static.tp-link.com/2020/202003/20200324/1910012764_T1600Gseries_UG.pdf)

Step by step postup momentálně nemám, když tak dle zdrojů výše napiš kde jsi se zasekl.

Díky, projdu to. Zkusil jsem nejdřív nastavit Mikrotika podle jiného návodu, no je to masakr. Skončil jsem resetem na půdě, protože jsem se statečně odřízl jak od Mikrotika, tak od TPlinku :-) Chvíli mi to ale nějak chodilo.

Trochu by mi bodlo pár informací:
PVID1/system VLAN-ID 1 na tplinku musí být asi zachována, nebo?
Když mám na Mikrotiku Ether 1-WAN, Ether 2-momentálně PC-meteostanice (můžu přehodit do switche) a Ether 5-trunk do switche, tak VLANy definuju na Ether 5 a DHCP server kde a jak (nad jakým interface)?
Mám pak dělat nějaký bridge mezi Ether 2 a Ether 5 (resp.domácí VLAN), kvůli DHCP? Smyslem je, že cokoliv vrazím do Ether 2-4, tak bude v domácí VLAN.

Jestli se ptám hodně blbě, tak se omlouvám. Jsem jen hobík.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: PedroKV 08. 09. 2020, 16:08:07
Tak mám nastaveno, včetně MAC VLAN. Nastavil jsem to odspoda (tj. od AP, přes switch po Mikrotik) a šlape to jak má. AP v kotelně jsem přepojil na extra kabel, aby nešlo přes neřízený POE switch, ale přes velký řízený, tím pádem i v kotelně mám 2x SSID, jedno domácí, jedno návštěvnické. Není to jen kvůli kotelně, AP svítí i před dům. Měl jsem volný kabel, tak jsem to využil, jinak by tam druhé SSID být nemuselo Ty druhý dvě AP nechtěly připojovat návštěvy, zjistil jsem, že je to bugem ve FW a výrobce už to v dalším napravil, takže po update FW vše OK.

Při hraní si s tím jsem si mimo jiné všiml, že menu AP IP-COM a AP Tenda W6-S jsou stejná, jen se drobně liší design, jinak je to to samé.

Návod na VLANy jsem použil tento:
https://vaclavkrejci.cz/Mikrotik-nastaveni-VLAN-a-trunku
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: Miroslav Šilhavý 08. 09. 2020, 16:26:11
Návod na VLANy jsem použil tento:
https://vaclavkrejci.cz/Mikrotik-nastaveni-VLAN-a-trunku

Pokud chcete jít s bezpečností dál, tak dalším krokem je oddělit ty sítě na routeru přes VRF. Tím odpadají konfigurační rizika na firewallu, aby se z návštěvnické sítě nedalo dostat jinam. Obdobně to lze řešit i jen firewallem, ale tam je to přecijen náchylnější na konfigurační chybu.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: 5nik 08. 09. 2020, 22:38:16
Návod na VLANy jsem použil tento:
https://vaclavkrejci.cz/Mikrotik-nastaveni-VLAN-a-trunku
V rychlosti jsem mrknul na návod a bohužel musím konstatovat, že konfigurace bridge/vlan je tam hodně zmršená. Ano, je to funkční, ale neoptimalizované a zbytečně to degraduje výkon routeru. Správně má být pouze jeden bridge a na něm teprve pověšené VLANy.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: Miroslav Šilhavý 08. 09. 2020, 22:52:58
V rychlosti jsem mrknul na návod a bohužel musím konstatovat, že konfigurace bridge/vlan je tam hodně zmršená. Ano, je to funkční, ale neoptimalizované a zbytečně to degraduje výkon routeru. Správně má být pouze jeden bridge a na něm teprve pověšené VLANy.

U levnějších modelů nepodporuje zabudovaný switch vlan table, takže to na výkon vyjde na stejno (letí to přes CPU). Nicméně doporučují to konfigurovat na bridgi jakožto dobrou praktiku.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: 5nik 09. 09. 2020, 08:41:31
U levnějších modelů nepodporuje zabudovaný switch vlan table, takže to na výkon vyjde na stejno (letí to přes CPU). Nicméně doporučují to konfigurovat na bridgi jakožto dobrou praktiku.
Paradoxně u levnějších modelů switch chip podporuje více funkcionalit jak např. v RB4011 / 1100AHx4 (ale tam už je zase silné CPU). Pokud uživatel nepoužívá vlan filtering na bridge (troufám si tvrdit, že moc uživatelů se smart switchem nebude), pak je provoz skrze bridge offloadován switch chipem. HW offloading je na routerech podporován pouze na jednom bridge.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: PedroKV 09. 09. 2020, 18:56:33
K mé smůle bohužel nevím, o čem se bavíte :-) Jsem rád, že to mám nastavené, protože tady jsem pomoc nesehnal.
V Bridge/Ports mám tohle: (viz příloha)

Zapnul jsem si ještě graphing:
CPU 1-4%
Paměť 30MB/23%
Disk 14%

Tak myslím, že to Mikrotik dává pěkně.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: 5nik 10. 09. 2020, 09:36:00
Tak myslím, že to Mikrotik dává pěkně.

Myslím, že můžete být v klidu. Neoptimalizovanost konfigurace by se u vás projevila jen v určitých případech, které ve vaší síti nejspíše nenastanou. Jednalo by se např. o intenzivní datovou komunikaci (>500Mbit) mezi fyzickými porty mikrotiku v rámci jedné VLANy. A to ještě za určitých "okolností".
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: PedroKV 10. 09. 2020, 10:26:47
Děkuji. To můžu být tedy v klidu, na Mikrotiku jsou obsazené 2 fyzické porty, na eth2 je meteo PC, které co minutu posílá 100kB obrázek a data na web a eth5, na kterém je trunk na switch.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: Miroslav Šilhavý 10. 09. 2020, 10:29:06
Děkuji. To můžu být tedy v klidu, na Mikrotiku jsou obsazené 2 fyzické porty, na eth2 je meteo PC, které co minutu posílá 100kB obrázek a data na web a eth5, na kterém je trunk na switch.

Jinak k tomu vytížení CPU může to být někdy matoucí. Některé operace routeru se dají vykonávat jen na jednom jádře CPU. V tu chvíli router nestíhá, ale zátěž se ukáže např. u čtyřjádrového CPU jako 25 %. Samozřejmě, dokud jste u 5 %, není co řešit, ale pamatujte na to, kdybyste později něco řešil.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: PedroKV 10. 09. 2020, 10:34:03
OK, díky. Akorát Mikrotik 951 má jen jedno jádro.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: Miroslav Šilhavý 10. 09. 2020, 10:38:59
OK, díky. Akorát Mikrotik 951 má jen jedno jádro.

Pak to můžete pustit z hlavy. :). Typ routeru jste myslím nepsal, takže to se Vás netýká.
V práci mám RB4011 na UPC linku 350/50. Mám tu tři VRF a nějaké fronty a stíhá to v poho. Podle všeho by to stíhal i RB3011, ale nižší mám ověřené, že už ne. Hodně to záleží na složitosti konfigurace a na skladbě provozu.

RB951 je oblíbený a na malá řešení naprosto v cajku model :).
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: PedroKV 10. 09. 2020, 10:44:24
Já tu mám WAN wifi 25/10 a jestli se CETIN konečně rozhoupe k akci a za naše peníze mě a sousedovi dotáhnou kabel, tak budu mít VDSL 100/10. Jsme na vesnici, nic tu není, jen to nestabilní wifi.

Ještě bych rád zkonzultoval firewall. Mám ho nastavený z defaultu a jen přidané pravidlo pro přístup na NVR. Je to takhle v pohodě? Jak jsem psal, mezi VLANy nejde ani pingnout ani se připojit, což je kýžený stav, akorát já nic takového nenastavoval, byli to bratři Ono a Samo. :-)
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: Miroslav Šilhavý 10. 09. 2020, 10:48:27
Uf, to je záludná otázka :).
Funkční firewall je na pár řádků, dobrý firewall je na víc přemýšlení.
Jestli se to chcete naučit, tak Vám můžu posílat postupně střípky svých zkušeností, ale přiznám se, že nemám tolik možností to napsat a poslat jako hotové řešení.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: PedroKV 10. 09. 2020, 11:15:27
Nechci, aby to znělo blbě, ale učit se to ani moc nechci :-) Spíš set&forget, protože tak by to dopadlo i s tím učením-když to pak léta nebudu potřebovat.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: Miroslav Šilhavý 10. 09. 2020, 11:41:31
Nechci, aby to znělo blbě, ale učit se to ani moc nechci :-) Spíš set&forget, protože tak by to dopadlo i s tím učením-když to pak léta nebudu potřebovat.

Tak to se omlouvám, ale takovou práci v diskusích bych považoval za ztrátu času. Jestli to má smysl, tak jedině někomu předat znalosti. Pokud to potřebujete jen vyřešit, tak si někoho najměte :). Nic ve zlém.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: uwe.filter 10. 09. 2020, 11:46:02
Všechno výše uvedené i neuvedené (firewall, VRF) by myslím vydalo na velmi zajímavý článek :).
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: PedroKV 10. 09. 2020, 13:17:31
Napíšete ho? 😉
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: uwe.filter 10. 09. 2020, 14:05:33
Na to bohužel nemám (zejména pak s Mikrotikem) dostatek zkušeností, aby to za něco stálo :(.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: PedroKV 10. 09. 2020, 17:06:40
Nechci, aby to znělo blbě, ale učit se to ani moc nechci :-) Spíš set&forget, protože tak by to dopadlo i s tím učením-když to pak léta nebudu potřebovat.

Tak to se omlouvám, ale takovou práci v diskusích bych považoval za ztrátu času. Jestli to má smysl, tak jedině někomu předat znalosti. Pokud to potřebujete jen vyřešit, tak si někoho najměte :). Nic ve zlém.

Jo, v pohodě. Já jen, že třeba to FW pravidlo na přístup na NVR vygooglil, ale kdybych teď potřeboval to samé, musel bych to googlit znova.

Nechcete o tom Vy napsat ten článek, co zmiňoval Uwe.filter? ;-)
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: Miroslav Šilhavý 10. 09. 2020, 17:09:12
Nechcete o tom Vy napsat ten článek, co zmiňoval Uwe.filter? ;-)

Na to mám málo znalostí, a Mikrotik se liší model od modelu (co mu svědčí), takže takový článek by akorát přispěl do změti smetí, co už na internetu je. Chtělo by to odborného oponenta, který by redigoval. Nikoho takového neznám.
Název: Re:Menší RD - nastavení VLAN k izolování návštěv
Přispěvatel: PedroKV 10. 09. 2020, 17:14:14
třeba by věděla redakce Rootu?