1
Sítě / Re:Velký RD - topologie / VLAN / Nastavení
« kdy: 13. 07. 2020, 12:09:43 »Ohledně OpenVPN, nemá ten server v konfiguraci redirect-gateway ?
Nemá
Zobrazit příspěvky
Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.
Nemá
2
Sítě / Re:Velký RD - topologie / VLAN / Nastavení
« kdy: 10. 07. 2020, 14:22:51 »Nastavuji VLAN na SG108E a dost mě překvapuje, že se dostanu z jakékoli untagged VLAN na interface switche. To je normální chování nebo mám někde něco špatně nastavené? viz. screenshots
Myslím, že jste narazil na limity toho switche. Neumí Management VLANu. Viz FAQ TPlinku:CitaceManagement VLAN is only supported on T1500 series switches;Jinými slovy management bude odpovídat na všech VLANách. Trochu Vám to nabourává ideu.
Zakázal jsem MGMT Switchů na FW a povolil jen z konkrétních MAC adres.
Vše funguje dobře až do momentu kdy jsem zprovoznil OpenVPN server na EdgeRouter X dle tohoto návodu -> https://help.ui.com/hc/en-us/articles/115015971688-EdgeRouter-OpenVPN-Server
V tom momentě nelze z místní sítě přistupovat na žádné zařízení v síti 192.168.10.0/24 kromě routeru, kterej je na 192.168.10.1. Když deaktivuju vtun0 rozhraní určené pro OVPN, tak se na všechny zařízení v subnetu 192.168.10.0/24 dostanu. Nenapadá vás čím by to mohlo být?
3
Sítě / Re:Velký RD - topologie / VLAN / Nastavení
« kdy: 19. 06. 2020, 14:07:25 »
Nastavuji VLAN na SG108E a dost mě překvapuje, že se dostanu z jakékoli untagged VLAN na interface switche. To je normální chování nebo mám někde něco špatně nastavené? viz. screenshots
4
Sítě / Re:Velký RD - topologie / VLAN / Nastavení
« kdy: 17. 06. 2020, 17:32:35 »No já jsem to doma vyřešil tak, že jsem si rozdělil zařízení do skupin, kdo kam může. Jedna skupina = jedna VLANa.
1. Infrastruktura (AP, switche). Nechci, aby to viděl kdokoliv mimo hlavní síť a není důvod, aby to vidělo ven, nebo bylo viděno zvenčí -> izolovaná VLAN1.
2. Klasická LANka pro komply s Linuxem, kde mám pod kontrolou SW a aktualizace a jsou tam důležitý data -> VLAN2
3. Ostatní zařízení s přístupem na net (Smart TV v obýváku chce Netflix a Youtube, pak jsou tady mobily s update jenom omylem,...) -> VLAN3 s přístupem na net. TV a mobil v jedné síti dovoluje i Chromecast apod.
4. Pak jsou stroje jako tiskárna, kde není důvod, aby na ně někdo lezl z venku a nemám zájem, aby samy lezly ven. Ty jsou ve svojí VLAN4 a komunikace na principu bachař-mukl z VLAN2 a VLAN3
5. IPTV set top boxy. Potřebují konektivitu ven, já se k nim nepřipojím pavučiny z firmware neometu -> VLAN s přístupem pouze ven, ať nevidí, co je doma -> VLAN5.
6. Zařízení návštěv. Potřebují ven, ale ne na sdílený stroje ve VLAN4. Software je úplně mimo kontrolu -> VLAN6
7. Zabezpečovačka, kamery -> VAN 7, přístup z VLAN2, VLAN3
8. Zařízení, který chci mít přístupný z domácí sítě i veřejně. Momentálně nic takovýho nemám, ale v případě potřeby není problém aktivovat LAN8
Na WiFi jsou VLANy 2 (skrytá), 3 (skrytá), 6 (WPA2 s heslem). Všechno řídí modrák a rozstřeluje GS1900-24E a v pracovně na pokusy stará TL-2218 + zabezpečení (nebudu publikovat). U mobilních zařízení (NTB) switch hodí příslušnou VLANu po zapojení do zásuvky, neznámý zařízení (švárův noťas apod.) rovnou spadne do odpadní VLAN6.
Tady bych to dělal podobně, ale VLAN 2, 3, 4 bych řešil pro každou rodinu extra.
Děkuji za vyčerpávající odpověď. Tak nějak bych si to představoval i já. Na čem to routujete? Už teď je mi z těch pravidel co budu zadávat nevolno
5
Sítě / Re:Velký RD - topologie / VLAN / Nastavení
« kdy: 16. 06. 2020, 14:00:32 »No ale ta žárovka už měla přístup do sítě, tak co bude jinak, když už si útočník na ní něco pustí a je nebo není ve VLAN?Není. Jak by to jinak mělo zajišťovat bezpečnost? Dobrá vůle útočníka, že si nezmění adresu?No jako když mě vnikne domů útočník se svým HW, tak je mě fakt jedno, jakou si nastaví IP adresu.
Útočník tam nevnikne se svým HW. Útočník si pustí svůj SW na vašem počítači, telefonu, routeru, televizi, vysavači, ledničce, žárovce, teploměru, zásuvce.
Nebo útočníci na ovládnutém zařízení běžně zkoušejí přenastavovat IP?
Když bude žárovka ve VLAN IoT, která bude smět přistupovat pouze do internetu a ne do ostatních VLAN tak to vyřeší tento problém.
6
Sítě / Re:Velký RD - topologie / VLAN / Nastavení
« kdy: 16. 06. 2020, 08:41:27 »V podstatě se kloním k tomu poslednímu návrhu + pár změn (mgmt a IoT vlana). Obávám se, že streamování pomocí DLNA ze Synology na TV v různých vlanách nebude fungovat. Pokud budou smartTV a polezou na NAS samy pomocí SMB, tak problém nebude.
DLNA nepoužíváme. Využíváme nativní aplikaci DS Video což je nějaký jejich proprietální protokol zřejmě (https://www.synology.com/cs-cz/knowledgebase/DSM/tutorial/Network/What_network_ports_are_used_by_Synology_services) Povolit z jedné VLAN konkrétní port na druhou VLAN konkrétní IP adresy by neměl být problém a očekávám, že to takto fungovat bude.
No zeptám se možná úplně blbě: je nějaký důvod se doma trápit s nastavovaváním switchů a vlan? Pomocí subnets by to nestačilo?Jednak jsem se chtěl nečím přiučit, abych to třeba mohl zužitkovat i v jiném než domácím prostředí a druhak to přece rozděluji na subnets, akorát musím využít VLAN, abych dostal subnet do zařízení za switche Suteren a garaz zahrada. Nebo?
Aktuální FW na controlleru a na AP mám - AP jsou připojeny kabelem, ale přesto nemůžu více jak 4 SSID v bezdrátových sítí vytvořit - není omezení na model AP? (jde jen např. na AP-AC-PRO - já mám LR a Lite). Nasazovat Radius server nechci i když by to šlo na SynoNASce (díky za tip) protože ty 4 SSID mi budou stačit.CitacePokud jsem to ale správně pochopil, tak 8 SSID / 2(2,5 + 5Ghz) = opravdu jen 4 SSID. Tím pádem to budu muset přehodnotit a vymyslet to trošku jinak.Je to skutečně 8 SSID, tj. 8+8. Potřebujete jen aktuální controller + AP firmware a připojení kabelem, ne přes wifi uplink.
(Praktičtější při tolika SSID je ale použít WPA2-Enterprise, tj. mít jedno SSID s WPA2-Enterprise a podle toho, kdo se přihlásí, ho zařadit do správné VLAN; je k tomu potřeba RADIUS server. Eventuelně možná druhé SSID pro hosty, pokud jim nechcete generovat dočasné přístupové jméno.)
Do přílohy zasílám asi finální návrh rozdělení. Děkuju za vaše připomínky
7
Sítě / Re:Velký RD - topologie / VLAN / Nastavení
« kdy: 12. 06. 2020, 13:15:50 »Za mě na domácí síť šíleně složité.Uplny suhlas (az na sigle VLAN), chcelo by to vsak vyuzit Unifi USG-Pro a rovnako Unifi switche a cela konfiguracia je na pana
Co takto?
- Každé patro svojí VLAN s Wifi ve stejné VLAN
- Wifi pro hosty s jinou VLAN, patřičně ošetřenou ve FW, aby mohla jen do internetu
- Všechna zařízení, která mají být sdílená, do stejné VLAN a pak ve FW nastavit kdo kam může
Vsetko pod jednym Unifi management controllerem
- kamery urcite v samostatnej VLAN
- guest WiFi dtto - odtienit len pre WAN. Vyborny Guest Hospot portal, dostupny aj cez Smart App
- vratane Deep packet inspection a skveleho IPS
Inak budete musiet kazdy jeden switch, AP a i router nastavovat cez samostatne rozhranie.
Unifi kontroller strcit do Synology NASu ako Docker container a mate izolovane riesenie managementu s 3 sec. fal-back v pripade akehokolvek problemu (update/upgrade problem, blba konfiguracia, ...). Viacej najdete na nezavislom fore k tymto vsetkym temam na https://www.synoforum.com/
Rozumím celkovému Unify řešení - líbilo by se
, ale:USG-PRO + 5x US-8 = 8000 + 5 x 2600 = 21.000,-
vs
EdgeRouterX + 3x SG108E = 1300 + 3x800 = 3.700,-
Optikou bežné domácnosti je to velký rozdíl myslím. Synology máme DS2XXplay na který bohužel nedám Docker, ale mám CloudKey, takže UnifyController mám zajištěný.
Nepřijde Vám bezpečnostní riziko dávat:
- Síťové prvky do VLAN patra? Nevyužít MGMT VLAN?
- Jablotron EZS do stejné sítě jako Suteren VLAN
- Chytré krabičky typu UPC STB (black box), Android TV, tiskárny, smartTV na stejnou VLAN patra?
poznámka: V přízemí je Android MiBox a tiskárna bez ethernet portu - pouze WIFI.
8
Sítě / Re:Velký RD - topologie / VLAN / Nastavení
« kdy: 12. 06. 2020, 11:27:43 »Pokud nevyuzivate wireless uplink monitor (ani wireless uplinky), umi napr. AP AC Pro az 8 SSIDs.
https://community.ui.com/questions/How-can-I-configure-more-than-4-SSID-on-one-single-AccessPoint/6c051cd9-74d3-4f96-a4b4-db1e8ea21f81
Pokud jsem to ale správně pochopil, tak 8 SSID / 2(2,5 + 5Ghz) = opravdu jen 4 SSID. Tím pádem to budu muset přehodnotit a vymyslet to trošku jinak.
Super plán, měl bych jen tři tipy.
1) SSID pro management bych nevytvářel
2) Předpokládám, že nevyužiješ v každé vlan 254 adres, proto bych použil masku /26 nebo /27
3) U unifi lze přidávat vlan i na konkrétní zařízení(na základě MAC), takže v jednom SSID může být i několik vlan
1) To je asi rozumný skrz omezení na SSID. Holt to budu managovat přes kabel.
3) Z toho mám celkem kopřivku a rád bych se tomu vyhnul.
Ještě jsem si všiml, že telky jsou všechny vlan 50, možná by bylo lepší, je umístit do vlan každého patra, ať nemusíš nastavovat pravidla pro každou IP ale rovnou na vlan.
Vzhledem k omezením na 4SSID to budu muset stejně celý překopat. Napadají mě tedy další dvě varianty:
9
Sítě / Re:Velký RD - topologie / VLAN / Nastavení
« kdy: 11. 06. 2020, 14:37:30 »
Zapomnel jsem dodat ze Jako NVR pro dve cinske kamey slouzi tez NAS.
10
Sítě / Velký RD - topologie / VLAN / Nastavení
« kdy: 11. 06. 2020, 14:07:17 »
Zdravím vespolek,
Rád bych se přiučil něčemu novému a tak chci rozdělil domácí síť a zařízení do VLAN tak, aby to dávalo smysl.
Doteď jsme měli vše na stejném subnetu, takže nebyl problém, aby mi tchán z 1. patra pustil z aplikace YouTube jeho telefonu stream do mé TV - není to úplně ono
Berte to tak, že každé patro je jeden nájemce (nikoliv 3. generační dům) a chce:
- mít svoji vlastní síť
- dívat se na kamary - NAS
- zálohovat na NAS
- přenášet soubory na NAS
- pouštět na své TV video z NAS (jako Media Server - DS Video)
- odesílat stream z telefonu do své TV
Celá síť je 1Gbit a přepínače jsou TP-LINK SG108E a SG105E -> https://www.tp-link.com/cz/business-networking/all-switch/tl-sg108e/
Vše bych chtěl routovat na EdgeRouterX.
Kdybych něco v rámci učení o VLAN nepochopil nebo byste VLAN v rámci mého účelu rozdělili jinak budu za vaše věcné názory vděčný
Předem moc děkuju za Váš čas.
Rád bych se přiučil něčemu novému a tak chci rozdělil domácí síť a zařízení do VLAN tak, aby to dávalo smysl.
Doteď jsme měli vše na stejném subnetu, takže nebyl problém, aby mi tchán z 1. patra pustil z aplikace YouTube jeho telefonu stream do mé TV - není to úplně ono
Berte to tak, že každé patro je jeden nájemce (nikoliv 3. generační dům) a chce:
- mít svoji vlastní síť
- dívat se na kamary - NAS
- zálohovat na NAS
- přenášet soubory na NAS
- pouštět na své TV video z NAS (jako Media Server - DS Video)
- odesílat stream z telefonu do své TV
Celá síť je 1Gbit a přepínače jsou TP-LINK SG108E a SG105E -> https://www.tp-link.com/cz/business-networking/all-switch/tl-sg108e/
Vše bych chtěl routovat na EdgeRouterX.
Kdybych něco v rámci učení o VLAN nepochopil nebo byste VLAN v rámci mého účelu rozdělili jinak budu za vaše věcné názory vděčný
Předem moc děkuju za Váš čas.
11
Sítě / Re:Datový rozvod v malom RD
« kdy: 31. 01. 2020, 08:00:08 »
My jsme resili WIFI ve velkem dome pomoci Unify AP AC LR a jsme spokojeni. Jestli by te zajimala diskuze a nejaky nacrtky tak tady: https://forum.root.cz/index.php?topic=17343.60
Zasuvky tahany 5e, AP 6kou kvuli poe. Spousta lidi resi jestli tahat zasuvky 5e, 6, 6a, 7 nebo dokonce 8ckou. Ja jsem toho nazoru natahat si 5e (dobra prace s kabelem, cena) a nechat si misto v chranicce na optiku v pripade potreby vyssich rychlosti jak 2,5Gbps - https://www.solarix.cz/product.jsp?artno=27655151
Zasuvky tahany 5e, AP 6kou kvuli poe. Spousta lidi resi jestli tahat zasuvky 5e, 6, 6a, 7 nebo dokonce 8ckou. Ja jsem toho nazoru natahat si 5e (dobra prace s kabelem, cena) a nechat si misto v chranicce na optiku v pripade potreby vyssich rychlosti jak 2,5Gbps - https://www.solarix.cz/product.jsp?artno=27655151
12
Software / Re:Nastavení Crontab
« kdy: 07. 11. 2019, 11:08:19 »Dobrá možnost if je lákavá. Podle čeho udělat test (kontrolu) na poslední pátek v měsící?
Napr. pripocitat 7 dni a skontrolovat ci sa nezmenil mesiac?
Tak jsem to vyresil svym zpusobem. Dekuju vsem za nakopnutiKód: [Vybrat]#!/bin/bash
TODAY=$(date +%d)
LASTFRI=$(cal | tail -2 | head -1 | cut -d' ' -f6)
if [ $TODAY -ne $LASTFRI ]; then
echo "Dnesek neni posledni den v mesici"
else
echo "Dnesek je posledni den v mesici"
fi
Tato podminka by nefungovala spravne, pokud by mesic koncil jinym, dnem nez sobota nebo patek, takze edit:
Kód: [Vybrat]
cal | awk {'print $6'} | xargs | awk '{print $NF}'
13
Software / Re:Nastavení Crontab
« kdy: 07. 11. 2019, 08:45:48 »Dobrá možnost if je lákavá. Podle čeho udělat test (kontrolu) na poslední pátek v měsící?
Napr. pripocitat 7 dni a skontrolovat ci sa nezmenil mesiac?
Tak jsem to vyresil svym zpusobem. Dekuju vsem za nakopnuti
Kód: [Vybrat]
#!/bin/bash
TODAY=$(date +%d)
LASTFRI=$(cal | tail -2 | head -1 | cut -d' ' -f6)
if [ $TODAY -ne $LASTFRI ]; then
echo "Dnesek neni posledni den v mesici"
else
echo "Dnesek je posledni den v mesici"
fi
14
Software / Re:Nastaveni Crontab
« kdy: 06. 11. 2019, 14:17:25 »nechcete mít jeden skript, spouštěný každý pátek, a v něm mít if určující, jestli je poslední v měsíci nebo ne? a podle toho pustit příslušný kód?
Pochopil jsem tedy správně, že takovou konfiguraci crontab neumožňuje, jsem rád, že mi něco neuniklo
Dobrá možnost if je lákavá. Podle čeho udělat test (kontrolu) na poslední pátek v měsící?
15
Software / Nastavení Crontab
« kdy: 06. 11. 2019, 14:01:17 »
Ahoj,
Chtěl bych požádat o pomoct při konfigurací CRONTAB tak, aby:
skript1.sh bude spuštěný: Každý pátek v měsíci kromě posledního pátku v měsíci.
skript2.sh bude spuštěný: Každý poslední pátek v měsíci.
btw: Nechci, aby skript1.sh a skript2.sh běžel jakýkoli pátek souběžně.
Předem díky.
Chtěl bych požádat o pomoct při konfigurací CRONTAB tak, aby:
skript1.sh bude spuštěný: Každý pátek v měsíci kromě posledního pátku v měsíci.
skript2.sh bude spuštěný: Každý poslední pátek v měsíci.
btw: Nechci, aby skript1.sh a skript2.sh běžel jakýkoli pátek souběžně.
Předem díky.
