Menší RD - nastavení VLAN k izolování návštěv

Menší RD - nastavení VLAN k izolování návštěv
« kdy: 23. 08. 2020, 18:00:16 »
Ahoj, dva dny jsem googlil nastavování VLAN, prošel i sousední vlákno Velký RD - VLAN, nastavení, ale zatím jsem nenašel, co by pasovalo na náš dům. Nemám, s kým bych konzultoval, tak prosím prosím o pomoc tady.

Praštil jsem se přes kapsu a vyměnil obyčejný switch za POE řiditelný. Tím jsem chtěl zaplácnout 2 mouchy jednou ranou-zbavit se 3 switchů v racku (2 malé 8pPOE a jeden 24p obyčejný) a zároveň zprovoznit VLANy k oddělení návštěv od vnitřní sítě.

Návštěvy se mohou připojovat celkem přes 4 APčka (mikrotikové Wifi a 3x další APčka po domě). APčka umí jednotlivým SSID přiřadit VLAN ID.

Chtěl bych nastavit MAC VLAN, co je "domácí", to má VLANu pana domácího a může všude, vše ostatní, ať už se nacvakne do ethernetové zásuvky nebo připojí přes wifi, může jen do internetu.

S tím, že bych chtěl v síti pana domácího (VLAN 10) zachovat adresní rozsah 10.0.0.1-254 a pro návštěvy udělat třeba 10.0.88.1-254

Mohl by mi někdo prosím polopaticky poradit, jak na to?

Já zkoušel na AP zapnout to přiřazování VLAN podle SSID. OK, zapnuto. Pak jsem zkusil nastavit switch, aby moje PC mělo stejné VLAN ID jako SSID pana domácího. Nějak se mi povedlo se dostat opět na management APčka, ale už ne do internetu (nastavoval jsem jen switch). Z AP jsem se myslím nedostal nikam. Nakonec jsem se z PC nedostal nikam a konfiguraci VLAN na switchi jsem musel zrušit z mobilu z jiného AP. Pak jsem se ale zase nedostal na to AP s VLANama, tak jsem zase laboroval, abych na něm VLANy vypnul. No nejradši bych do toho kopnul ;-)



Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #1 kdy: 23. 08. 2020, 19:43:55 »
Zbytečně překombinované. Udělat AP stejně, jako je tomu třeba v hotelích a větších restauracích, ve firmách apod., tj. Ubiquiti UniFi.

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #2 kdy: 23. 08. 2020, 19:53:03 »
Taková kacířská myšlenka - má to smysl řešit? Taky jsem nad tím přemýšlel a dospěl jsem k názoru, že návštěva asi nebude skenovat celou moji síť a hledat tam ten řídicí počítač co odpaluje atomovky a má jméno admin a heslo 1234....
Jako má to smysl někde v hotelu, restauraci atd...ale doma, kde návštěva akorát chce na wifi? Kašlu na to, jen zbytečná komplikace...Co tam provozuješ tak důležitýho, aby se k tomu návštěva nedostala? Já tam mám třeba vzdálený plochy a přístupy na NAS, ale tak všude je aspoň nějaký heslo, takže to není tak že by návštěva otevřela 192.168.10.5 a měla tam obsah mýho NASu...

Chtěl bych nastavit MAC VLAN, co je "domácí", to má VLANu pana domácího a může všude, vše ostatní, ať už se nacvakne do ethernetové zásuvky nebo připojí přes wifi, může jen do internetu.
Natož dělat takovýhle psí kusy  ;D
« Poslední změna: 23. 08. 2020, 19:55:53 od czAtlantis »

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #3 kdy: 23. 08. 2020, 20:28:07 »
Taky budu potřebovat oddělit jednotlivé sítě. Nikoliv pro občasné návštěvy, ale pro několik rodin (firem), které budu sdílet stejného providera (VDLS). Asi ti moc neporadím, ale spíše ze zeptám, abych se do toho nezamotal jako ty :). Problém u tebe je ve switchi TP-link T1600G-52PS? Z toho tvého popisu mně totiž není úplně jasné kde je ten zakopaný pes.

Když jsem četl třeba tento zápisek o nastavení VLAN na Mikrotiku, tak se mi nezdálo být tak složité oddělit síť pana "domácího" od sitě pro hosty.

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #4 kdy: 23. 08. 2020, 20:42:56 »
Taky budu potřebovat oddělit jednotlivé sítě. Nikoliv pro občasné návštěvy, ale pro několik rodin (firem), které budu sdílet stejného providera (VDLS).
Tak záleží na topologii, ale tak tam bych se vykašlal na VLANy a prostě měl VDSL do mikrotiku a z něho by šly jednotlivý kabely (řekněme 3) pro jednotlivý firmy. No a v Mikrotiku by byly prostě 3x NAT z tady těch 3 interface. A pak pravidlo ve firewallu, aby se zablokoval provoz mezi těma 3 sítěma.
Já jendou dělal takovou izolaci - byl wifi spoj, u mě zapojenej do sítě a na druhé straně byla cizí síť - no a nejjednodušší bylo na mikrotiku co vedl z toho wifi spoje nastavit NAT (a serepatičky okolo) a ve firewallu dovolit komunikaci jen na výchozí bránu - tzn nikam jinam než do internetu se nedostali


Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #5 kdy: 23. 08. 2020, 20:46:32 »
Zbytečně překombinované. Udělat AP stejně, jako je tomu třeba v hotelích a větších restauracích, ve firmách apod., tj. Ubiquiti UniFi.
Je Ubiquiti UniFi lepší i oproti méně překombinovanému způsobu nastavení VLAN na Mikrotiku co jsem odkazoval výše? V čem je Ubiquiti UniFi lepší?

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #6 kdy: 23. 08. 2020, 21:08:01 »
No a v Mikrotiku by byly prostě 3x NAT z tady těch 3 interface. A pak pravidlo ve firewallu, aby se zablokoval provoz mezi těma 3 sítěma.
To mě nenadadlo, že by to šlo i takto. Chtěl jsem kupovat Mikrotik právě kvůli VLAN, ale tak jak to popisuješ by to mělo jít nastavit i na "obyčejnějších" routerech.

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #7 kdy: 23. 08. 2020, 21:14:47 »
CzAtlantis: no, všechno v síti má nějaké heslo a nepředpokládám, že tu návštěvy budou dělat psí kusy, ale zas když je ta možnost, tak proč ne.

Jo a někdo se ptal, jestli.je problém v tom switchi-tak ne, není, problém je v tom, že to neumím nastavit a manuál mlc nepomohl.

Někde jsem si přečetl nastavení mikrotika, ale tam mi chybělo nastavení switche a APček, takže to mi moc nepomohlo.

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #8 kdy: 24. 08. 2020, 06:12:23 »
Zbytečně překombinované. Udělat AP stejně, jako je tomu třeba v hotelích a větších restauracích, ve firmách apod., tj. Ubiquiti UniFi.
Je Ubiquiti UniFi lepší i oproti méně překombinovanému způsobu nastavení VLAN na Mikrotiku co jsem odkazoval výše? V čem je Ubiquiti UniFi lepší?
Ubiquiti UniFi je pro účely AP lepší naprosto ve všem, než nějaké bastlení přes několik různých AP. A samozřejmě je výhoda i v jednotné WiFi síti a celkovém monitoringu provozu a možnostech nastavení přes UniFi Controller.

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #9 kdy: 24. 08. 2020, 07:41:24 »
Zdarec,

řešil jsem to 2 měsíce zpětně ve svém RD

WAN- Mirkotik 750 - Cisco 2960 PoE - 3x mikotik CAP ( ruzeno CAPSManem)
7 VLAN po baraku včetně sítě pro hosty
speciální vlan pro kamery, iot, mgnt atd

vse vyslo na cca 3000 (mikrotiky, switch z minulosti),-kč + několik hodit studia a nastavovaní :)


kdyby jsi chtel, pomuzu.

Dej vedet
Když chceš, dokážeš vše!

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #10 kdy: 24. 08. 2020, 09:06:15 »
To bych byl moc rád, večer se ozvu po PM. Moc díky.

SB

  • ***
  • 132
    • Zobrazit profil
    • E-mail
Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #11 kdy: 24. 08. 2020, 12:04:04 »
...dospěl jsem k názoru, že návštěva asi nebude skenovat celou moji síť a hledat tam ten řídicí počítač co odpaluje atomovky a má jméno admin a heslo 1234....
...Co tam provozuješ tak důležitýho, aby se k tomu návštěva nedostala? ...

Stačí, když dojde návštěva se zavšivenými widlemi, a už to jede... A jako bonus v případě úspěšného nakažení prémiové začlenění do botnetu.

Opravdu tu musí radit každý, kdo vlastní anální otvor?

crown

  • ***
  • 154
    • Zobrazit profil
Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #12 kdy: 24. 08. 2020, 14:09:08 »
Stačí, když dojde návštěva se zavšivenými widlemi, a už to jede... A jako bonus v případě úspěšného nakažení prémiové začlenění do botnetu.

Je samozřejmě potřeba aktualizovat zařízení i ve vnitřní síti a nenechávat na routeru a kamerách heslo 1234.
Potom by neměly ani zavirované Windows návštěvy nic udělat.

... samozřejmě VLAN je větší jistota, ale ... co když návštěva potřebuje tisknout a skenovat, stáhnout fotky ze sdíleného úložiště, chcete jim dovolit si doma rozsvítit a nastavit si v pokoji teplotu, ... skončíte potom s milionem výjimek.

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #13 kdy: 24. 08. 2020, 14:25:50 »
Je zajímavé, že v hotelích mají hosté také "zavšivené Widle" a prakticky nikdy se nestane, že by díky tomu lehla síť. Asi to Ubiquiti UniFi má něco do sebe, než jakýsi samo-domo-bastl ve stylu "co jsem našel, to jsem použil a ono to nějak funguje" :D

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #14 kdy: 24. 08. 2020, 14:40:06 »
Ten můj bastl umí poe 802.3af a vlany, co víc si přát? Navíc za zlomek peněz Ubiqa. Kdo umí nastavit vlany pro toho je to sranda. Já to neumím, tak to zkouším zde. Se standardy, ne s proprietárním řešením nějaké firmy. Ač souhlasím, že Ubiquity je asi jednodušší.