Vytvoření dvou nezávislých sítí s přístupem na internet

tom028

Hola vsem,
mam dotaz k vytvoreni domaci site, ktera by mela samostatny okruh pro IP kamery a IP zvonek s pristupem na internet.

Co mam k dispozici
1x LTE modem od T-Mobile (1xWAN, 2XLAN)
1x 24 portovy switch podporujici VLAN Zyxel GS1900 24E
1x Wifi mesh Zyxel (1xWAN, 4XLAN)

Chtel bych na switchi udelat dve VLAN, kde jedna bude slouzit pro kamery a zvonek, druha pak pro domaci sit (LAN a WiFi).

Puvodne jsem myslel ze to pujde slozit nejak z VLAN, ale to je asi blbost. Jsem schopen udelat dve nezavisle VLANy, ale stejne se to pak potka v jednom ze dvou LAN z LTE modemu. Takzu usuzuji, ze bych potreboval


LTE modem (Zde bych vypnul WiFi, propojil LAN z LTE modemu do WAN routeru)
  ROUTER (Zde bych nastavil dva nezavisle rozsahy siti, takze bych site oddelil. Kazdy kabel by pak sel do samostatne VLANy. Poradite s koupi?)
      Kamery (VLAN1)
      Domaci sit a WiFi mesh (VLAN2) 

Kamery a Domaci sit by byly routerem oddelene a presto by obe mely pristup na internet. Je to spravnma uvaha?
« Poslední změna: 16. 07. 2018, 23:19:41 od Petr Krčmář »


Petr

Re:Vytvoření dvou nezávislých sítí s přístupem na internet
« Odpověď #1 kdy: 17. 07. 2018, 07:17:37 »
Ahoj, podle mě by bylo nejjednodušší udělat si na tom GS1900 dvě VLANy a trunkovým portem se připojit na nějaký malý router, který umí routovat "on a stick". Za to vše si dáš ten modem a mělo by to fungovat.

Varianta s L3 switchem by nejspíš byla nad limitem rozpočtu  :)

A pak se nabízí ještě "bastlířská" varianta - nastavit si na GS1900 VLANy a routovat je na nějakém čtyřportovém Mikrotiku  ;)


Re:Vytvoření dvou nezávislých sítí s přístupem na internet
« Odpověď #2 kdy: 17. 07. 2018, 07:58:50 »
Routovat mezi VLANami: Mikrotik nebo OpenWRT.

Většina krabiček, které mají 1xWAN a 4xLAN, obsahují VLANový switch a do interního CPU mají trunk. Takže pokud na takovou krabičku dostanete OpenWRT, můžete si přiřadit WAN/LAN porty jednotlivě na interní L3 VLAN subinterfejsy a dál s tím pracovat. WiFi můžete buď routovat jako další samostatný subnet, nebo bridgnout ke konkrétní VLAN (jedná se o soft bridge, protože WiFi a "LAN trunk NIC" jsou dvě různá PCI zařízení hostitelského CPU). Tzn. na rozsubnetování do dvou a více VLAN Vám stačí nějaké průměrné až lehce nadprůměrné WiFi APčko od TP-Linku, pokud přijmete sázku, že na aktuálně prodávané revizi HW už běží LEDE/OpenWRT.

Pokud Mikrotik, tak vlastně ani nepotřebujete víc než 1 eth port. Takový RB911/912 má docela výkonný CPU a gigový ethernet. Pokud na tom eth portu vyrobíte VLAN trunk, a máte externí X-portový switch, tak už další ethernety na tom mikrotiku ani nepotebujete. Nebo pokud byste chtěl v Mikrotiku nezávislý fyzický Eth port na "uplink", tak RB912 a přidat nějakou metalickou síťovku do MiniPCI-e. (Za domácí úkol máte zjistit, jaké čipy jsou podporované a kde koupit.) (Popravdě totéž dokáže libovolný počítač s Linuxem na prakticky libovolných síťovkách.)

Pepan

Re:Vytvoření dvou nezávislých sítí s přístupem na internet
« Odpověď #3 kdy: 17. 07. 2018, 09:00:44 »
Kamery a Domaci sit by byly routerem oddelene a presto by obe mely pristup na internet. Je to spravnma uvaha?

 Předchozím příspěvkům moc nerozumím...

 Router on a stick lze použít, ale není to potřeba.
 Úvaha je více méně správná.
 
  • Pořiďte si třeba Ubiquiti EdgeRouter X nebo nějaký Mikrotik.
  • Na switchi vytvořte dvě (nebo kolik potřebujete) VLAN.
  • Na routeru vytvořte dva odpovídající VLAN interface, firewallem omezte provoz mezi VLAN. Nastavte DHCP (pokud ho chcete používat).
  • Na routeru vytvořte interface pro spojovací segment s LTE modemem. Default route je IP modemu.
  • Router a switch propojte jedním trunkem.
  • Zařízení si zapojte do switche dle libosti. Na AP nezapomeňte vypnout DHCP, případně ho nastavte do bridge.

tom028

Re:Vytvoření dvou nezávislých sítí s přístupem na internet
« Odpověď #4 kdy: 17. 07. 2018, 11:01:30 »
Panove dekuji za pomoc.
Tedy poridim router a ten propojim do vlan.

Jdu objednavat, snad se podari.

Pekny den


j

Re:Vytvoření dvou nezávislých sítí s přístupem na internet
« Odpověď #5 kdy: 17. 07. 2018, 13:18:58 »
Jeste zauvazuj nad vykonem, protoze vzajemna komunikace ti pobezi prave pres ten router (pokud ji teda nechces uplne odriznout), takze pokud ty vlany pripojis jednim fyzickym portem, bude se to vsechno delit o nej. Coz jeste porad nemusi byt zasadni, ale horsi je, ze levny krabky za stokoruny rozhodne neuroutujou Gbit.

tom028


samalama


Pepan

Re:Vytvoření dvou nezávislých sítí s přístupem na internet
« Odpověď #8 kdy: 17. 07. 2018, 16:23:09 »
Jeste zauvazuj nad vykonem, protoze vzajemna komunikace ti pobezi prave pres ten router (pokud ji teda nechces uplne odriznout), takze pokud ty vlany pripojis jednim fyzickym portem, bude se to vsechno delit o nej. Coz jeste porad nemusi byt zasadni, ale horsi je, ze levny krabky za stokoruny rozhodne neuroutujou Gbit.
Levné krabky toho uroutují dost. Propustnost závisí spíše na počtu FW pravidel.
Tazatel inter-VLAN routing nechce a Mikrotik nebo Edge router toho zvládnou uroutovat rozhodně více než LTE modem přenese. Takže proplém neexistuje...

SB

Re:Vytvoření dvou nezávislých sítí s přístupem na internet
« Odpověď #9 kdy: 18. 07. 2018, 10:12:44 »
...Většina krabiček, které mají 1xWAN a 4xLAN, obsahují VLANový switch a do interního CPU mají trunk...

Většina???! Většina krabiček jsou čínské mrdky s nějakým úplně primitivním, nespravovatelným čipem switche.

SB

Re:Vytvoření dvou nezávislých sítí s přístupem na internet
« Odpověď #10 kdy: 18. 07. 2018, 10:14:51 »
Vzal jsem https://www.alza.cz/ubiquiti-edgerouter-poe-d2919292.htm
Tak snad to bude OK.

Skoro 4 klacky? Opravdu je to Ubiquiti tak dobré, nebo je to prostě jen předražené?

Re:Vytvoření dvou nezávislých sítí s přístupem na internet
« Odpověď #11 kdy: 18. 07. 2018, 13:06:13 »
...Většina krabiček, které mají 1xWAN a 4xLAN, obsahují VLANový switch a do interního CPU mají trunk...

Většina???! Většina krabiček jsou čínské mrdky s nějakým úplně primitivním, nespravovatelným čipem switche.

Většina krabiček jsou hlavně plečky s 2 MB Flash a 16 MB RAM, na kterých OpenWRT nepojede. Naposledy co jsem koukal tak LEDE ofrňovalo nad 4 MB Flash a 32 MB RAM. Takže bych upřesnil, že hardware, na kterém pojede OpenWRT, a bude mít víc než jeden eth. port, velmi pravděpodobně bude obsahovat switch s podporou VLAN... a jestli je čipset Broadcom nebo Atheros, to je nakonec asi jedno. Jiné čipsety si moc nevybavuju - možná se dá potkat něco od firem jako Realtek, Marvell, IC+ nebo Mediatek... ale ani ty bych nenazýval čínským semenem :-)

Pepan

Re:Vytvoření dvou nezávislých sítí s přístupem na internet
« Odpověď #12 kdy: 18. 07. 2018, 13:28:06 »
Skoro 4 klacky? Opravdu je to Ubiquiti tak dobré, nebo je to prostě jen předražené?
Tak to je cena za PoE model. EdgeRouter X (který má poloviční RAM a asi slabší procesor) je za 1200,-. Což mi z pohledu cena/funkce/výkon/pověst výrobce (takový střed)/dostupnost upgrade firmware přijde jako jeden z nejlepších routerů na trhu (domácí síť).

Má to (jen výběr pro mě zajímavých funkcí):
  • CLI!
  • podporu VLAN (normální, ne ten humus, co je na Mikrotiku)
  • dashboard s nějakým základním Traffic Analysis
  • široké možnosti VPN (site-to-site IPSec, OpenVPN, ...)
  • podporu LAG
  • DHCP relay
  • PBR, OSPF, pokročilý NAT, Syslog, SNMP
  • WebProxy
  • ověření proti RADIUS serveru
  • možnost doinstalovat (nejen) etherwake
  • možnost vytváření skriptů (linux)

tom028

Re:Vytvoření dvou nezávislých sítí s přístupem na internet
« Odpověď #13 kdy: 02. 08. 2018, 23:54:58 »
Po delsi dobe opet HOLA :-)
EdgeMAX je doma a uz si s nim hraji. Resp. plavu a to jak vedrem, tak znalostmi. Takze bych rad poprosil opet o radu.

Router umoznuje nastavit WAN+2LAN nebo WAN+2LAN2 Popravce moc rozdilu jsem v konfiguraci nenasel, tak pouzivam 2LAN2.

ETH0: WAN (DHCP internet z routeru) a tu delim na dve site
ETH1: 192.168.1.X (Local1) - Toto chci pro domaci sit (pujde dale do switche a pripojim tam wifi)
ETH2-ETH4: 192.168.2.X (Local2) - To bude pro IP kameru a zvonek. Napajeno pres PoE

Potreboval bych poradit, jak tyto dve site od sebe oddelit. Predpokladam, ze to bude nejake nastaveni na Firewallu. Nicmene cert aby se v nem vyznal :D
Kdyz se pripojim na Local2, tak mohu ovladat pres IP Local1 konfiguraci routeru. Z toho soudim, ze Local2 se dostane na Local1.

Ma pls nekdo zkusenost s touto konfiguraci? Dik


MikyM

  • ***
  • 124
    • Zobrazit profil
Re:Vytvoření dvou nezávislých sítí s přístupem na internet
« Odpověď #14 kdy: 03. 08. 2018, 11:03:34 »
Po delsi dobe opet HOLA :-)
EdgeMAX je doma a uz si s nim hraji. Resp. plavu a to jak vedrem, tak znalostmi. Takze bych rad poprosil opet o radu.

Router umoznuje nastavit WAN+2LAN nebo WAN+2LAN2 Popravce moc rozdilu jsem v konfiguraci nenasel, tak pouzivam 2LAN2.

ETH0: WAN (DHCP internet z routeru) a tu delim na dve site
ETH1: 192.168.1.X (Local1) - Toto chci pro domaci sit (pujde dale do switche a pripojim tam wifi)
ETH2-ETH4: 192.168.2.X (Local2) - To bude pro IP kameru a zvonek. Napajeno pres PoE

Potreboval bych poradit, jak tyto dve site od sebe oddelit. Predpokladam, ze to bude nejake nastaveni na Firewallu. Nicmene cert aby se v nem vyznal :D
Kdyz se pripojim na Local2, tak mohu ovladat pres IP Local1 konfiguraci routeru. Z toho soudim, ze Local2 se dostane na Local1.

Ma pls nekdo zkusenost s touto konfiguraci? Dik
Ahoj,
UBNT a jejich OS nemam takze presny postup step by step bohuzel neposkytnu.
Pokud chces tyto site uplne oddelit pak by mely stacit 2 zakladni pravidla: To co prichazi z local1 a jde na local2 dropnout a naopak.

Na strankach vyrobce najdes spoustu navodu na podobne tema + youtube + google.

Priklady, ktere Te nasmeruji:
https://help.ubnt.com/hc/en-us/articles/218889067-EdgeRouter-How-to-Protect-a-Guest-Network
https://www.youtube.com/watch?v=baj3747yfos

Manual pro seznameni se zakladnimi funkcemi:
https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf

Zdroju je hodne,zbytek je samostudium.