Menší RD - nastavení VLAN k izolování návštěv

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #15 kdy: 24. 08. 2020, 15:49:36 »
Sieť pre hostí s vlastným DHCP serverom a vlastným rozsahom:
https://www.marthur.com/networking/mikrotik-setup-guest-wifi/201/


Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #16 kdy: 24. 08. 2020, 16:09:57 »
Hattori Hanzo: Toi je jasný, ale to mu neřeší problém více AP různě po baráku kdy něco je mikrotik, něco je jinýho a podobně :D

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #17 kdy: 24. 08. 2020, 21:47:19 »
Taky budu potřebovat oddělit jednotlivé sítě. Nikoliv pro občasné návštěvy, ale pro několik rodin (firem), které budu sdílet stejného providera (VDLS).
Tak záleží na topologii, ale tak tam bych se vykašlal na VLANy a prostě měl VDSL do mikrotiku a z něho by šly jednotlivý kabely (řekněme 3) pro jednotlivý firmy. No a v Mikrotiku by byly prostě 3x NAT z tady těch 3 interface. A pak pravidlo ve firewallu, aby se zablokoval provoz mezi těma 3 sítěma.
Ještě se zeptám.
1) To by na tom Mikrotiku muselo běžet i 3x DHCP?
2) Kdybych chtěl veřejnou IPv4 (co přidělil provider) přidělit pouze pro jednu z těch 3 sítí a zbylým 2 sítím bych nechal jen veřejnou IPv6, tak i to by šlo nastavit bez VLAN?

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #18 kdy: 24. 08. 2020, 23:43:16 »
No když budeš dělat NAT, tak veřejná IP "zmizí" na tom routeru. Kam pak budeš směrovat porty je už na tobě a je úplně jedno jestli tam máš normálně jednu domácí síť, nebo několik izolovaných sítí.
Jo bylo by tam 3xDHCP

Já provozuju něco podobnýho - cíl byl mít jednu wifi síť co pojede přes záložní linku. Mám hlavní router kde je 2x masquarade, jako source je u jedné jeden rozsah, u druhé druhej. Běží 2x DHCP (jeden pro normální síť, druhej pro tu záložní). Pro rozlišení která výchozí brána bude kterej internet mám přes https://systemzone.net/mikrotik-load-balancing-over-multiple-gateway-2-wan/

Na Mikrotiku se s VLAN zachází vcelku jednoduše -vytvoříš novou a řekneš nad kterým fyzickým interfacem má běžet. Může běžet i nad bridgem. Ta VLANa ti vytvoří jakoby další interface se kterým funguješ jako normálně s fyzickejma - tzn ho můžeš dávat do bridge, přidávat na něj IP atd...

No takže já si vytvořil VLANu nad bridgem, dal jí VLAN ID 101 a na ní běží DHCP, má IP atd atd
Na jednotlivých Wifi AP je to ještě jednodušší s těma VLANama:

mám nastaveno klasika v bridge všechny interface (eth+fyzická "normální" wifi).
Pak jsem vytvořil virtual AP, nastavil mu serepatičky jako security profil, jméno atd a v nastavení nastavil VLAN mode: Use tag, VLAN ID nastavil na výše zmíněných "101"
Tento nově vytvořený interface jsem přidal taky do bridge. No a funguje to.

(ty VLANy šly dělat i jinak - tzn přidat VLANu, přidat virtuální AP a tyhle dvě věci hodit do svýho separátního bridge) - tohle by mělo výhodu kdybys chtěl třeba na tom APčkovým mikrotiku nějak dostat IP adresu z toho druhýho rozsahu. Protože tím stylem jak jsem popsal výše to jen dělá virtální AP s tou VLANou a nic dalšího přes VLAN nekomunikuje


Jak se to chová když je mezi hlavním mikrotikem a APčkama další switch? Asi záleží co je to za switch - Některý AP jsou přímo Mikrotik-mikrotik a tam to funguje tak jak jsem psal a toť vše. Některý jsou přes managovatelnej a v něm se musely ty VLANy taky definovat a říct na kterých portech mají fungovat. Jak by se to chovalo v případě blbýho switche nevím - možná stejně jako při propojení Mikrotik-Mikrotik. Hloupej switch by neměl ty VLANový rámce nijak řešit a "vybalí" si to až cílovej mikrotik.
Samozřejmě nezapomínat že VLANy v téhle konfiguraci nejsou úplně bezpečnostní fičura, ale spíš jen tak pro pořádek a rozlišení provozu

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #19 kdy: 25. 08. 2020, 08:35:20 »
 Cele toto vlakno mi pride absurdni.
K vam chodi navstevy kvuli internetu? Nebo dokonce s pocitacem??  ::)
Vymyslite kanon na vrabce, dnes snad kazdymu staci internet v mobilu, pokud se behem navstevy "urgentne" potrebuje pripojit na internet  ???


Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #20 kdy: 25. 08. 2020, 10:04:09 »
Cele toto vlakno mi pride absurdni.
K vam chodi navstevy kvuli internetu? Nebo dokonce s pocitacem??  ::)
Vymyslite kanon na vrabce, dnes snad kazdymu staci internet v mobilu, pokud se behem navstevy "urgentne" potrebuje pripojit na internet  ???

neprijde mi absurdni, kdyz to potrebuji, tak to udelam :)

a ano, domu mi chodi navstevy i kvuli internetu :)

Co je absurdni na segmentaci site? Oddelit IOT, kamery system atd od serveru, nasu atd? :-)
Když chceš, dokážeš vše!

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #21 kdy: 25. 08. 2020, 10:12:37 »
Cele toto vlakno mi pride absurdni.
K vam chodi navstevy kvuli internetu? Nebo dokonce s pocitacem??  ::)
Vymyslite kanon na vrabce, dnes snad kazdymu staci internet v mobilu, pokud se behem navstevy "urgentne" potrebuje pripojit na internet  ???

Co je na tom absurdní? Vy asi bydlíte v paneláku a soudíte všechny podle sebe, že?  :) Já osobně třeba když jedu za nějakým příbuzným/kamarádem (který má RD) přes půl republiky na návštěvu tak tam většinou i přespím. A to kupodivu sebou tahám i notebook a očekávám že hostitel bude mít aspoň nějaký přístup na internet (ne že by to byl v době neomezených dat takový problém, ale je spoustu baráků v oblasti kde jeden nebo více operátorů nemají třeba LTE -- a většinou to vždycky byl ten můj)

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #22 kdy: 25. 08. 2020, 10:18:47 »
Zbytečně překombinované. Udělat AP stejně, jako je tomu třeba v hotelích a větších restauracích, ve firmách apod., tj. Ubiquiti UniFi.
Je Ubiquiti UniFi lepší i oproti méně překombinovanému způsobu nastavení VLAN na Mikrotiku co jsem odkazoval výše? V čem je Ubiquiti UniFi lepší?
Ubiquiti UniFi je pro účely AP lepší naprosto ve všem, než nějaké bastlení přes několik různých AP. A samozřejmě je výhoda i v jednotné WiFi síti a celkovém monitoringu provozu a možnostech nastavení přes UniFi Controller.

Prostě řekněte že to je hotové řešení pro adminy který jsou líní si nastudovat danou problematiku a nastavit několik AP. Samozřejmě výhoda je v jednotnosti OS, ale to získáte i u Mikrotiku i u vhodně vybraných jiných AP (openwrt). Ale pravda, nenastavuje se to na 3 kliky (ovšem nevím jestli to je zrovna výhoda, protože pak daný člověk není úplně obeznámen s problematikou co ty kliky dělají a jak to funguje uvnitř)

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #23 kdy: 25. 08. 2020, 10:54:56 »
Ubiquiti UniFi je řešení pro každého, kdo vyžaduje bezchybnost a ne soustavné se nimrání v nesmyslech a každou chvíli naříkání po diskuzích, jak to či ono (zase) nefunguje. A žádný admin si nemůže dovolit, aby u jeho zákazníka něco nefungovalo příliš dlouho, protože v takovém okamžiku by se pak lehce stalo, že by se jednalo o již bývalého admina.

M_D

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #24 kdy: 25. 08. 2020, 11:11:46 »
Nu, jak pomocí Unifi controleru bude ovládat ty APčka od jiného výrobce, co už má?
Stejně tak, kdyby ty APčka měl všechny od Mikrotiku, tak může použít CAPsMAN funkcionalitu a řídit ty AP všechny z toho routeru úplně stejně, jak u UniFi z jeho controleru na pár kliknutí. A ani by nemusel řešit VLANy po cestě, protože komunikace AP-CAPsMAN na tom routeru se tuneluje případně uvnitř UDP komunikace (může i nemusí).
Jinak pokud by ty AP, co má doma, uměla protokol LwAP, tak Mikrotik je uměl také centrálně spravovat, ale musí se do něj hodit balíček CAPsMAN v1, který se už nerozvíjí, aktuální řada CAPsMAN v2 má LwAP vyhozeno a řídí jen další rádia od Mikrotiku.

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #25 kdy: 25. 08. 2020, 11:12:44 »
Ubiquiti UniFi je řešení pro každého, kdo vyžaduje bezchybnost a ne soustavné se nimrání v nesmyslech a každou chvíli naříkání po diskuzích, jak to či ono (zase) nefunguje. A žádný admin si nemůže dovolit, aby u jeho zákazníka něco nefungovalo příliš dlouho, protože v takovém okamžiku by se pak lehce stalo, že by se jednalo o již bývalého admina.

Jo, to nespochybňuji... Prostě autoři (za mě) vybrali jediný správný způsob jak něco udělat, ten vychytali a ono to funguje. To je třeba jak Apple. Ten prostě taky funguje. Horší je, když budete chtít cokoliv nestandardního nebo jiného než si představovali autoři. Potom už nemáte šanci... Proto raději preferuji otevřená řešení, kde se člověk může nimrat, jednou to vychytá a roky to poběží bez problémů. Akorát to stojí víc práce, protože to za mě nevytunil nějaký programátor, ale zase mám mnohem větší volnost jak dosáhnout výsledku který si představuji.

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #26 kdy: 25. 08. 2020, 11:41:39 »
Ubiquiti UniFi je řešení pro každého, kdo vyžaduje bezchybnost a ne soustavné se nimrání v nesmyslech a každou chvíli naříkání po diskuzích, jak to či ono (zase) nefunguje. A žádný admin si nemůže dovolit, aby u jeho zákazníka něco nefungovalo příliš dlouho, protože v takovém okamžiku by se pak lehce stalo, že by se jednalo o již bývalého admina.

Tak o té bezchybnosti by se dalo diskutovat dlouze. Jakmile chcete rozchodit 802.1x, správně nastavit VLANY a mít to opravdu bezpečné, tak narazíte.

Neříkám, že UniFi není dobré. Naopak, ve spoustě situací je to špičkový pomocník, ušetří spoustu starostí. Bohužel, jakmile začnete řešit opravdu bezpečnost, jste ve stejné zadeki, jako s čímkoliv jiným low endovým.

.

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #27 kdy: 25. 08. 2020, 11:57:29 »
UBNT dáváme běžně do hotelů a hospod a nikdy jsem neregistroval nějaké problémy s bezpečností. A to se vyskytují hosté-koumáci, kteří jsou schopni všeho, ale nemají šanci :D

.

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #28 kdy: 25. 08. 2020, 12:00:51 »
Nu, jak pomocí Unifi controleru bude ovládat ty APčka od jiného výrobce, co už má?
Stejně tak, kdyby ty APčka měl všechny od Mikrotiku, tak může použít CAPsMAN funkcionalitu a řídit ty AP všechny z toho routeru úplně stejně, jak u UniFi z jeho controleru na pár kliknutí. A ani by nemusel řešit VLANy po cestě, protože komunikace AP-CAPsMAN na tom routeru se tuneluje případně uvnitř UDP komunikace (může i nemusí).
Jinak pokud by ty AP, co má doma, uměla protokol LwAP, tak Mikrotik je uměl také centrálně spravovat, ale musí se do něj hodit balíček CAPsMAN v1, který se už nerozvíjí, aktuální řada CAPsMAN v2 má LwAP vyhozeno a řídí jen další rádia od Mikrotiku.
Nijak. Ale to není problém Controlleru, že si někdo napřed nakoupí harampádí a pak teprve řeší, jak ho rozchodit. Vždycky to chce opačný postup, napřed promyslet, pak kupovat :)

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #29 kdy: 25. 08. 2020, 20:25:47 »
Unifi ma niekolko vyhod, ak to clovek mysli doma s bezpecnostou a komfortom ovladania naozaj vazne.
Unifi sa ovladat cez GUI a rovnako aj cez CLI.
Dalsia - Unifi controller, ktory bezi v kontajneri v NASe Vam dava slobodu. Napr. taky failover trva asi tak 4 sec. = mam ready dva kontajnery, v pripade chybneho upgradu primarneho. Co sa stava uplne bezne, ze vendor sa obcas sekne.
Ak mate nad kontajnermi Portainer, tak je to na pana.
V neposlednom rade Guest portal v Unifi je uplne skvela vec. Deckam mozete dat na telefon (manazovany pristup) k pridelovani Passcode pre Guest WiFi. Keby cokolvek, tak to dokazete zablokivat cez SmartApp i z druhej strany planety.
O kvalite a ucinnosti IPS netreb pisat. Od rozbehnutia Unifi mam v kazdej site pokoj.

Posledna: ten TPlink switch - to bolo naozaj prastenie po kapse, kedze 48p POE+ Unifi switch v tej istej cenovej kategorii robi to iste + ma 500W (vs 384W u TPlink). S Unifi AP a routerom vsetko unifikovane a pod kontrolou.
Unifi nie je pre lenivych adminov. To napise akurat clovek, ktory to nenasadzoval a neprevadzkuje. Proste shoot into dark. Unifi dava zmysel. Staci uvazovat.