Velký RD - topologie / VLAN / Nastavení

Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #15 kdy: 16. 06. 2020, 08:41:27 »
V podstatě se kloním k tomu poslednímu návrhu + pár změn (mgmt a IoT vlana). Obávám se, že streamování pomocí DLNA ze Synology na TV v různých vlanách nebude fungovat. Pokud budou smartTV a polezou na NAS samy pomocí SMB, tak problém nebude.

DLNA nepoužíváme. Využíváme nativní aplikaci DS Video což je nějaký jejich proprietální protokol zřejmě (https://www.synology.com/cs-cz/knowledgebase/DSM/tutorial/Network/What_network_ports_are_used_by_Synology_services) Povolit z jedné VLAN konkrétní port na druhou VLAN konkrétní IP adresy by neměl být problém a očekávám, že to takto fungovat bude.

No zeptám se možná úplně blbě: je nějaký důvod se doma trápit s nastavovaváním switchů a vlan? Pomocí subnets by to nestačilo?
Jednak jsem se chtěl nečím přiučit, abych to třeba mohl zužitkovat i v jiném než domácím prostředí a druhak to přece rozděluji na subnets, akorát musím využít VLAN, abych dostal subnet do zařízení za switche Suteren a garaz zahrada. Nebo?

Citace
Pokud jsem to ale správně pochopil, tak 8 SSID / 2(2,5 + 5Ghz) = opravdu jen 4 SSID. Tím pádem to budu muset přehodnotit a vymyslet to trošku jinak.
Je to skutečně 8 SSID, tj. 8+8. Potřebujete jen aktuální controller + AP firmware a připojení kabelem, ne přes wifi uplink.
(Praktičtější při tolika SSID je ale použít WPA2-Enterprise, tj. mít jedno SSID s WPA2-Enterprise a podle toho, kdo se přihlásí, ho zařadit do správné VLAN; je k tomu potřeba RADIUS server. Eventuelně možná druhé SSID pro hosty, pokud jim nechcete generovat dočasné přístupové jméno.)
Aktuální FW na controlleru a na AP mám - AP jsou připojeny kabelem, ale přesto nemůžu více jak 4 SSID v bezdrátových sítí vytvořit - není omezení na model AP? (jde jen např. na AP-AC-PRO - já mám LR a Lite). Nasazovat Radius server nechci i když by to šlo na SynoNASce (díky za tip) protože ty 4 SSID mi budou stačit.

Do přílohy zasílám asi finální návrh rozdělení. Děkuju za vaše připomínky


JBB

Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #16 kdy: 16. 06. 2020, 09:07:26 »
Jednak jsem se chtěl nečím přiučit
Tak jestli se chceš opravdu něčemu přiučit, tak zapomeň na proprietární "klikací" udělátka a hoď si tam debian nebo openWRT.

akorát musím využít VLAN, abych dostal subnet do zařízení za switche Suteren a garaz zahrada. Nebo?
No to se ptám zkušenějších. Nestačilo by obyč NEmanagement switche, ušetří se peníze i nervy s nastavováním dalších prvků. A na routeru (teda centrálně) nastavit dhcp leases podle zařízení do jednotlivých subnets. A každé nové, tedy neznámé, zařízení hodit dhcp do subnet pro návštěvy, takže přístup pouze ven.
Jistě, ve velkých sítích se VLANy používají, ale není to na domácí malou síť overkill?

Do přílohy zasílám asi finální návrh rozdělení. Děkuju za vaše připomínky
Asi bych ještě oddělil WLAN od LAN. A na routeru pojmenoval lany podle umístění - wan, lan_garage...

Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #17 kdy: 16. 06. 2020, 10:10:43 »
No to se ptám zkušenějších. Nestačilo by obyč NEmanagement switche, ušetří se peníze i nervy s nastavováním dalších prvků. A na routeru (teda centrálně) nastavit dhcp leases podle zařízení do jednotlivých subnets. A každé nové, tedy neznámé, zařízení hodit dhcp do subnet pro návštěvy, takže přístup pouze ven.
Jistě, ve velkých sítích se VLANy používají, ale není to na domácí malou síť overkill?

Není. Jak by to jinak mělo zajišťovat bezpečnost? Dobrá vůle útočníka, že si nezmění adresu? Na centrální nastavování tu je třeba 802.1x.

JBB

Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #18 kdy: 16. 06. 2020, 11:02:41 »
Není. Jak by to jinak mělo zajišťovat bezpečnost? Dobrá vůle útočníka, že si nezmění adresu?
No jako když mě vnikne domů útočník se svým HW, tak je mě fakt jedno, jakou si nastaví IP adresu.

Na centrální nastavování tu je třeba 802.1x.
802.1x umí nastavit na switchi port-based VLAN?

Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #19 kdy: 16. 06. 2020, 11:47:57 »
Není. Jak by to jinak mělo zajišťovat bezpečnost? Dobrá vůle útočníka, že si nezmění adresu?
No jako když mě vnikne domů útočník se svým HW, tak je mě fakt jedno, jakou si nastaví IP adresu.

Útočník tam nevnikne se svým HW. Útočník si pustí svůj SW na vašem počítači, telefonu, routeru, televizi, vysavači, ledničce, žárovce, teploměru, zásuvce.

Na centrální nastavování tu je třeba 802.1x.
802.1x umí nastavit na switchi port-based VLAN?

Ano umí.


JBB

Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #20 kdy: 16. 06. 2020, 12:36:06 »
Není. Jak by to jinak mělo zajišťovat bezpečnost? Dobrá vůle útočníka, že si nezmění adresu?
No jako když mě vnikne domů útočník se svým HW, tak je mě fakt jedno, jakou si nastaví IP adresu.

Útočník tam nevnikne se svým HW. Útočník si pustí svůj SW na vašem počítači, telefonu, routeru, televizi, vysavači, ledničce, žárovce, teploměru, zásuvce.
No ale ta žárovka už měla přístup do sítě, tak co bude jinak, když už si útočník na ní něco pustí a je nebo není ve VLAN?
Nebo útočníci na ovládnutém zařízení běžně zkoušejí přenastavovat IP?

Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #21 kdy: 16. 06. 2020, 14:00:32 »
Není. Jak by to jinak mělo zajišťovat bezpečnost? Dobrá vůle útočníka, že si nezmění adresu?
No jako když mě vnikne domů útočník se svým HW, tak je mě fakt jedno, jakou si nastaví IP adresu.

Útočník tam nevnikne se svým HW. Útočník si pustí svůj SW na vašem počítači, telefonu, routeru, televizi, vysavači, ledničce, žárovce, teploměru, zásuvce.
No ale ta žárovka už měla přístup do sítě, tak co bude jinak, když už si útočník na ní něco pustí a je nebo není ve VLAN?
Nebo útočníci na ovládnutém zařízení běžně zkoušejí přenastavovat IP?

Když bude žárovka ve VLAN IoT, která bude smět přistupovat pouze do internetu a ne do ostatních VLAN tak to vyřeší tento problém.

Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #22 kdy: 16. 06. 2020, 14:19:29 »
No ale ta žárovka už měla přístup do sítě, tak co bude jinak, když už si útočník na ní něco pustí a je nebo není ve VLAN?
Nebo útočníci na ovládnutém zařízení běžně zkoušejí přenastavovat IP?

Běžné je, že si útočník pustí sniffer. Tím uvidí, že na jedné L2 používate více prefixů a začne zkoušet. VLAN tohle elegantně řeší, na routeru nastavíte co kam může a nespoleháte na security through obscurity.

SB

  • ***
  • 206
    • Zobrazit profil
    • E-mail
Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #23 kdy: 16. 06. 2020, 15:09:47 »
Jistě, ve velkých sítích se VLANy používají, ale není to na domácí malou síť overkill?

Tak samozřejmě, když sestěhujete zařízení stejné bezpečnostní kategorie vždy do jednoho místa/patra a každou tuto skupinu připíchnete vždy na jeden blbý switch, tak VLANy pochopitelně nepotřebujete. Předpokládám, že to tak máte u vás v Babicách.

JBB

Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #24 kdy: 16. 06. 2020, 16:44:22 »
Jistě, ve velkých sítích se VLANy používají, ale není to na domácí malou síť overkill?

Tak samozřejmě, když sestěhujete zařízení stejné bezpečnostní kategorie vždy do jednoho místa/patra a každou tuto skupinu připíchnete vždy na jeden blbý switch, tak VLANy pochopitelně nepotřebujete. Předpokládám, že to tak máte u vás v Babicách.
A je méně bezpečná ta žárovka, nebo android neznalého člena rodiny?

Není. Jak by to jinak mělo zajišťovat bezpečnost? Dobrá vůle útočníka, že si nezmění adresu?
No jako když mě vnikne domů útočník se svým HW, tak je mě fakt jedno, jakou si nastaví IP adresu.

Útočník tam nevnikne se svým HW. Útočník si pustí svůj SW na vašem počítači, telefonu, routeru, televizi, vysavači, ledničce, žárovce, teploměru, zásuvce.
No ale ta žárovka už měla přístup do sítě, tak co bude jinak, když už si útočník na ní něco pustí a je nebo není ve VLAN?
Nebo útočníci na ovládnutém zařízení běžně zkoušejí přenastavovat IP?

Když bude žárovka ve VLAN IoT, která bude smět přistupovat pouze do internetu a ne do ostatních VLAN tak to vyřeší tento problém.
Předpokládám, že chcete ovládat žárovku VY a ne někdo z internetu, takže ta VLANa IoT bude končit na nějakém domácím automatizačním serveru (HA) a ne do internetu. A na ten server bude přístup z VLANy domácích mobilů, abych s tou žárovkou mohl blikat.
ANO, s VLAN to bude bezpečnější, ale za vyšší cenu switchů.
To už bych mohl všechna zařízení mít v samostatných VPN a na FW tisíce pravidel...
"jedině paranoik přežije"

Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #25 kdy: 17. 06. 2020, 17:22:44 »
No já jsem to doma vyřešil tak, že jsem si rozdělil zařízení do skupin, kdo kam může. Jedna skupina = jedna VLANa.
1. Infrastruktura (AP, switche). Nechci, aby to viděl kdokoliv mimo hlavní síť a není důvod, aby to vidělo ven, nebo bylo viděno zvenčí -> izolovaná VLAN1.
2. Klasická LANka pro komply s Linuxem, kde mám pod kontrolou SW a aktualizace a jsou tam důležitý data -> VLAN2
3. Ostatní zařízení s přístupem na net (Smart TV v obýváku chce Netflix a Youtube, pak jsou tady mobily s update jenom omylem,...) -> VLAN3 s přístupem na net. TV a mobil v jedné síti dovoluje i Chromecast apod.
4. Pak jsou stroje jako tiskárna, kde není důvod, aby na ně někdo lezl z venku a nemám zájem, aby samy lezly ven. Ty jsou ve svojí VLAN4 a komunikace na principu bachař-mukl z VLAN2 a VLAN3
5. IPTV set top boxy. Potřebují konektivitu ven, já se k nim nepřipojím  pavučiny z firmware neometu -> VLAN s přístupem pouze ven, ať nevidí, co je doma -> VLAN5.
6. Zařízení návštěv. Potřebují ven, ale ne na sdílený stroje ve VLAN4. Software je úplně mimo kontrolu -> VLAN6
7. Zabezpečovačka, kamery -> VAN 7, přístup z VLAN2, VLAN3
8. Zařízení, který chci mít přístupný z domácí sítě i veřejně. Momentálně nic takovýho nemám, ale v případě potřeby není problém aktivovat LAN8

Na WiFi jsou VLANy 2 (skrytá), 3 (skrytá), 6 (WPA2 s heslem). Všechno řídí modrák a rozstřeluje GS1900-24E a v pracovně na pokusy stará TL-2218 + zabezpečení (nebudu publikovat). U mobilních zařízení (NTB) switch hodí příslušnou VLANu po zapojení do zásuvky, neznámý zařízení (švárův noťas apod.) rovnou spadne do odpadní VLAN6.

Tady bych to dělal podobně, ale VLAN 2, 3, 4 bych řešil pro každou rodinu extra.

Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #26 kdy: 17. 06. 2020, 17:32:35 »
No já jsem to doma vyřešil tak, že jsem si rozdělil zařízení do skupin, kdo kam může. Jedna skupina = jedna VLANa.
1. Infrastruktura (AP, switche). Nechci, aby to viděl kdokoliv mimo hlavní síť a není důvod, aby to vidělo ven, nebo bylo viděno zvenčí -> izolovaná VLAN1.
2. Klasická LANka pro komply s Linuxem, kde mám pod kontrolou SW a aktualizace a jsou tam důležitý data -> VLAN2
3. Ostatní zařízení s přístupem na net (Smart TV v obýváku chce Netflix a Youtube, pak jsou tady mobily s update jenom omylem,...) -> VLAN3 s přístupem na net. TV a mobil v jedné síti dovoluje i Chromecast apod.
4. Pak jsou stroje jako tiskárna, kde není důvod, aby na ně někdo lezl z venku a nemám zájem, aby samy lezly ven. Ty jsou ve svojí VLAN4 a komunikace na principu bachař-mukl z VLAN2 a VLAN3
5. IPTV set top boxy. Potřebují konektivitu ven, já se k nim nepřipojím  pavučiny z firmware neometu -> VLAN s přístupem pouze ven, ať nevidí, co je doma -> VLAN5.
6. Zařízení návštěv. Potřebují ven, ale ne na sdílený stroje ve VLAN4. Software je úplně mimo kontrolu -> VLAN6
7. Zabezpečovačka, kamery -> VAN 7, přístup z VLAN2, VLAN3
8. Zařízení, který chci mít přístupný z domácí sítě i veřejně. Momentálně nic takovýho nemám, ale v případě potřeby není problém aktivovat LAN8

Na WiFi jsou VLANy 2 (skrytá), 3 (skrytá), 6 (WPA2 s heslem). Všechno řídí modrák a rozstřeluje GS1900-24E a v pracovně na pokusy stará TL-2218 + zabezpečení (nebudu publikovat). U mobilních zařízení (NTB) switch hodí příslušnou VLANu po zapojení do zásuvky, neznámý zařízení (švárův noťas apod.) rovnou spadne do odpadní VLAN6.

Tady bych to dělal podobně, ale VLAN 2, 3, 4 bych řešil pro každou rodinu extra.

Děkuji za vyčerpávající odpověď. Tak nějak bych si to představoval i já. Na čem to routujete? Už teď je mi z těch pravidel co budu zadávat nevolno :D

SB

  • ***
  • 206
    • Zobrazit profil
    • E-mail
Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #27 kdy: 17. 06. 2020, 18:52:46 »
Mám to trochu jako Petr M, ale všechny podsítě wifi mám zvlášť, nikdy s drátovými podsítěmi (wifi je prostě jinou bezpečnostní kategorií), na servery mám zvlášť podsíť, na spojení PPPoE do modemu zvlášť... Celkem asi 9 VLAN.

Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #28 kdy: 17. 06. 2020, 20:37:55 »
Mám to trochu jako Petr M, ale všechny podsítě wifi mám zvlášť, nikdy s drátovými podsítěmi (wifi je prostě jinou bezpečnostní kategorií), na servery mám zvlášť podsíť, na spojení PPPoE do modemu zvlášť... Celkem asi 9 VLAN.

Tak ona ta klasická LAN je zabezpečená trochu jinak než něco, kam se může picnout návštěva, že...

Navíc když má člověk doma dvě APčka + router, tak to nějak tím trunkem protáhnout musí. Holky používají chromecast z mobilu a nevím, jak by chodilo s TV v jiné síti. Takže Androidy a TV členů rodiny mám na jedné hromadě a hosti nemají vůbec samostatnou drátovou zásuvku.

Lajnu z modemu do routeru nepočítám jako VLANu, asi proto, že tam valí PPPoE. Ale co mám jako bonus, DSL modem si i v bridge  myslí, že je router. Akorát nemá konektivitu. Tak jsem si jeden port přibalil trunkem do pracovny a nemusím běhat k rozvaděči, kdyby bylo potřeba. Zatím jsem to ale nepoužil...

Re:Velký RD - topologie / VLAN / Nastavení
« Odpověď #29 kdy: 17. 06. 2020, 20:48:49 »
Děkuji za vyčerpávající odpověď. Tak nějak bych si to představoval i já. Na čem to routujete? Už teď je mi z těch pravidel co budu zadávat nevolno :D

Tak samozřejmě, že na OpenWRT :) Na takový to domácí hraní ještě nikdo nic lepšího neudělal (Mokrotik není akternativa, neumí pořádně IPv6).

A pokud nepočítám switche, tak celý kouzlo je jenom ve dvou souborech. /etc/config/network popisuje sítě a switch (co je na kterým portu, jestli je to tagovaný, jaký ta síť má IP adresy atd.) a /etc/config/firewall (která síť s kterou si smí vyměňovat data). Stačilo vzít LAN a metodou Ctrl-Cizí + Ctrl-Vlastní to pomnožit a upravit 2-3 řádky v každé definici (např. pro síť adresu IPv4, IPv6 hint, fyzický rozhraní). Vytvořit a otestovat to sebralo asi 2h včetně studia dokumentace a nastavení certifikátu pro přihlášení po SSH...