Návrh dvou oddělených LAN

ludva

Návrh dvou oddělených LAN
« kdy: 27. 10. 2017, 13:31:44 »
Zdravím, potřeboval bych poradit s rozdělením domácí a firemní síť. V současné době je Wifi poskytovatel, router (openwrt) v modu bridge a internet je šířen po kabelech a wifi do koncových zařízení.
Chtěl bych se dostat do situace, že bude jedna síť (kabel a wifi) pro domácí uživatele s přístupem k internetu. Druhá síť, kde bude jeden datový server, nejspíše samba, čtyři počítače, ntb a tiskárna bude bez přístupu k internetu, ale aby bylo možné sdílet data s datovým serverem. Ideální stav by byl, kdyby bylo možné ntb provozovat ve stavu s přístupem do první sítě i/nebo do druhé sítě s možností s přístupem datům i k internetu.
Bude nutné dokoupit nějaký další kus HW, nebo to lze nastavit na routeru Dlink DIR600 s openwrt, popř. povýšit na nějaký microtik, nákup bude zřejmě nutný už kvůli počtu portů. Pro firemní síť je pro mě důležitá bezpečnost. Pokud se bude jednat o složité nastavení, tak to samozřejmě zadám specialistovi.
Děkuji.   
« Poslední změna: 27. 10. 2017, 14:04:10 od Petr Krčmář »


ZAJDAN

  • *****
  • 2 047
    • Zobrazit profil
    • E-mail
Re:Návrh LAN
« Odpověď #1 kdy: 27. 10. 2017, 13:58:58 »
prepni ten router aby routoval a vytvor si dva subnety(pouzijes dva interfaci)
jeden private, druhy company a nastav si mezi nema routovaci pravidla, treba ze mezi ssebou nesmeji vubec komunikovat, nebo povol mezi tema subnetama jen co potrebujes
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

samalama

Re:Návrh LAN
« Odpověď #2 kdy: 27. 10. 2017, 14:46:01 »
prepni ten router aby routoval

tym bridgom zrejme mysli wifi a lan. pochybujem, zeby mu isp nastavil koncove zariadenie v jeho sieti do bridgu.

nastav si mezi nema routovaci pravidla, treba ze mezi ssebou nesmeji vubec komunikovat, nebo povol mezi tema subnetama jen co potrebujes

hej jasne. a ked si nastavim ip adresu z druheho rozsahu...?!

jedine, co tu pomoze su vlan-y*. jedna pre home a druha firemna. a az potom ma zmysel nastavovat nejake obmedzenia v routovani.

* samozrajme k tomu treba aj zariadenia, ktore to podporuju...

ZAJDAN

  • *****
  • 2 047
    • Zobrazit profil
    • E-mail
Re:Návrh dvou oddělených LAN
« Odpověď #3 kdy: 27. 10. 2017, 14:56:35 »
ja to resim tak ze na WAN dam maskaradu nebo srcnat
vemu dva interfaci a na ne dam rozdilne subnety
na firewalu si je oddelim a ponastavym co kdo s kym a jak

samozrejme se to da resit i VLANen, ale me proste vyhovuje si postelovavat subnety dle potreby a pak si ponastavim i konkretni IP z jednotlivych subetů
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

Re:Návrh dvou oddělených LAN
« Odpověď #4 kdy: 27. 10. 2017, 15:04:41 »
Zdravím, potřeboval bych poradit s rozdělením domácí a firemní síť. V současné době je Wifi poskytovatel, router (openwrt) v modu bridge a internet je šířen po kabelech a wifi do koncových zařízení.
Chtěl bych se dostat do situace, že bude jedna síť (kabel a wifi) pro domácí uživatele s přístupem k internetu. Druhá síť, kde bude jeden datový server, nejspíše samba, čtyři počítače, ntb a tiskárna bude bez přístupu k internetu, ale aby bylo možné sdílet data s datovým serverem. Ideální stav by byl, kdyby bylo možné ntb provozovat ve stavu s přístupem do první sítě i/nebo do druhé sítě s možností s přístupem datům i k internetu.
Bude nutné dokoupit nějaký další kus HW, nebo to lze nastavit na routeru Dlink DIR600 s openwrt, popř. povýšit na nějaký microtik, nákup bude zřejmě nutný už kvůli počtu portů. Pro firemní síť je pro mě důležitá bezpečnost. Pokud se bude jednat o složité nastavení, tak to samozřejmě zadám specialistovi.
Děkuji.

Jediným rozumným řešením je udělat 2 VLAN.

VLAN 1 (home) = WiFi (SSID home) v bridgi s vybranými porty ethernetu (pokud do této sítě vůbec někdo chodí po kabelu). IP rozsah např. 192.168.1.0/24.

VLAN 2 (firemní) WiFi (SSID kolbenka) v bridgi s jinými vybranými porty ethernetu. IP rozsah např. 192.168.2.0/24.

Do routeru bude přivedená VLAN 1 a VLAN 2 a uplink k providerovi. Pak záleží na úrovni bezpečnosti, kterou požadujete. Pokud stačí standardní, pak:

a) vytvoříte routování, ale ve firewall pravidlech nepovolíte prostup mezi VLAN 1 a VLAN 2,
b) nebo bezpečněji, obojí uděláte jako VRF (virtuální router), a i bez nastavování firewallu bude zajištěno, že se data nedostanou mezi sítěmi.

Pokud budete chtít mít automatiku při přihlášení do WiFi, pak je možno nastavit protokol 802.1X, který podle autentikace určí, jestli uživatel patří do WiFi home nebo do WiFi kolbenka.


ludva

Re:Návrh dvou oddělených LAN
« Odpověď #5 kdy: 27. 10. 2017, 15:05:10 »
Router je opravdu jako bridge, teda myslím si to. Z antény jde LAN kabel do LAN portu a dá se říci, že router nejsem schopen administrovat. Já se do něj nejsem schopný ani dostat, když přepojím kabely, nějak nevím jakou má IP. Řešení je asi restart, ale nerad bych byl bez internetu, kdyby se něco nepovedlo.
Na ty vlany se zkusím podívat, nemám s tím zkušenost. Pokud by to řešilo můj požadavek takto jednoduše, bylo by to ideální.

samalama

Re:Návrh dvou oddělených LAN
« Odpověď #6 kdy: 27. 10. 2017, 22:20:18 »
ja to resim tak ze na WAN dam maskaradu nebo srcnat
vemu dva interfaci a na ne dam rozdilne subnety
na firewalu si je oddelim a ponastavym co kdo s kym a jak

samozrejme se to da resit i VLANen, ale me proste vyhovuje si postelovavat subnety dle potreby a pak si ponastavim i konkretni IP z jednotlivych subetů

a tie kable z tych dvoch interfacov pichnes do jedneho switcha, alebo tahas 2 fyzicky oddelene siete?