Menší RD - nastavení VLAN k izolování návštěv

MikyM

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #30 kdy: 28. 08. 2020, 05:22:29 »
Ahoj, dva dny jsem googlil nastavování VLAN, prošel i sousední vlákno Velký RD - VLAN, nastavení, ale zatím jsem nenašel, co by pasovalo na náš dům. Nemám, s kým bych konzultoval, tak prosím prosím o pomoc tady.
.....
 No nejradši bych do toho kopnul ;-)
Ahoj,
nebudu komentovat co je lepší jestli UBNT nebo Mikrotik. Oba výrobci jsou dobří, mají své místo na trhu a také své výhody a nevýhody.

Zavést segmentaci sítě a oddělení pomocí VLAN a FW pravidel rozhodně smysl má. Stejně tak se trochu zamyslet nad omezením dostupných služeb, tedy nepouštět ven vše co si host zamane. Nejde tak o nedůvěru vůči návštěvě, která by chtěla vědome provádět cílené útoky. Jde především o to co jim na zařízení běží za případný balast o kterém nemusí sami ani vědět. A narovinu toho dokáže docela dost. Například řešit následky jako vymazání své IP z blacklistu protože z mě sítě byl veden DDOS apod. jsou nepříjemné.

Ve Tvém případě na TP switchi musíš vydefinovat VLANy a pravidla (tagged,untagged,default VLAN), které poté spojíš v trunk portu vedoucího do Mikrotiku.
Tyhle zdroje by Tě mohly posunout o kus dále:

https://forum.mikrotik.com/viewtopic.php?t=149651
https://wiki.mikrotik.com/wiki/Manual:Interface/VLAN
https://wiki.mikrotik.com/wiki/Manual:Bridge_VLAN_Table
https://wiki.mikrotik.com/wiki/Manual:Basic_VLAN_switching
https://wiki.mikrotik.com/wiki/Manual:CAPsMAN_with_VLANs#Without_Virtual_APs
https://static.tp-link.com/2020/202003/20200324/1910012764_T1600Gseries_UG.pdf

Step by step postup momentálně nemám, když tak dle zdrojů výše napiš kde jsi se zasekl.


Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #31 kdy: 28. 08. 2020, 07:38:29 »
V práci mám kombinaci obojího. Mikrotik se stará o VRF, VLANY, firewall, QoS.
UBNT je fajn pro nastavení a správu wifi.

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #32 kdy: 29. 08. 2020, 13:03:01 »
Posledna: ten TPlink switch - to bolo naozaj prastenie po kapse, kedze 48p POE+ Unifi switch v tej istej cenovej kategorii robi to iste + ma 500W (vs 384W u TPlink). S Unifi AP a routerom vsetko unifikovane a pod kontrolou.

Pod souslovím "v tej istej cenovej kategorii" si tedy alespoň já představuju něco mírně odlišného: TP link 11500Kč, Mikrotik asi 1800,-Kč (a už jsem ho měl) a ty 3 APčka dohromady tuším 3 tisíce (a už jsem je měl taky dávno koupené). Oproti tomu ten Ubiquiti US-48-500W (jestli jsem pogooglil ten správný) 18-19 tisíc. :-O

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #33 kdy: 29. 08. 2020, 13:11:43 »
Ahoj, dva dny jsem googlil nastavování VLAN, prošel i sousední vlákno Velký RD - VLAN, nastavení, ale zatím jsem nenašel, co by pasovalo na náš dům. Nemám, s kým bych konzultoval, tak prosím prosím o pomoc tady.
.....
 No nejradši bych do toho kopnul ;-)
Ve Tvém případě na TP switchi musíš vydefinovat VLANy a pravidla (tagged,untagged,default VLAN), které poté spojíš v trunk portu vedoucího do Mikrotiku.
Tyhle zdroje by Tě mohly posunout o kus dále:

https://forum.mikrotik.com/viewtopic.php?t=149651
https://wiki.mikrotik.com/wiki/Manual:Interface/VLAN
https://wiki.mikrotik.com/wiki/Manual:Bridge_VLAN_Table
https://wiki.mikrotik.com/wiki/Manual:Basic_VLAN_switching
https://wiki.mikrotik.com/wiki/Manual:CAPsMAN_with_VLANs#Without_Virtual_APs
https://static.tp-link.com/2020/202003/20200324/1910012764_T1600Gseries_UG.pdf

Step by step postup momentálně nemám, když tak dle zdrojů výše napiš kde jsi se zasekl.

Díky, projdu to. Zkusil jsem nejdřív nastavit Mikrotika podle jiného návodu, no je to masakr. Skončil jsem resetem na půdě, protože jsem se statečně odřízl jak od Mikrotika, tak od TPlinku :-) Chvíli mi to ale nějak chodilo.

Trochu by mi bodlo pár informací:
PVID1/system VLAN-ID 1 na tplinku musí být asi zachována, nebo?
Když mám na Mikrotiku Ether 1-WAN, Ether 2-momentálně PC-meteostanice (můžu přehodit do switche) a Ether 5-trunk do switche, tak VLANy definuju na Ether 5 a DHCP server kde a jak (nad jakým interface)?
Mám pak dělat nějaký bridge mezi Ether 2 a Ether 5 (resp.domácí VLAN), kvůli DHCP? Smyslem je, že cokoliv vrazím do Ether 2-4, tak bude v domácí VLAN.

Jestli se ptám hodně blbě, tak se omlouvám. Jsem jen hobík.

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #34 kdy: 08. 09. 2020, 16:08:07 »
Tak mám nastaveno, včetně MAC VLAN. Nastavil jsem to odspoda (tj. od AP, přes switch po Mikrotik) a šlape to jak má. AP v kotelně jsem přepojil na extra kabel, aby nešlo přes neřízený POE switch, ale přes velký řízený, tím pádem i v kotelně mám 2x SSID, jedno domácí, jedno návštěvnické. Není to jen kvůli kotelně, AP svítí i před dům. Měl jsem volný kabel, tak jsem to využil, jinak by tam druhé SSID být nemuselo Ty druhý dvě AP nechtěly připojovat návštěvy, zjistil jsem, že je to bugem ve FW a výrobce už to v dalším napravil, takže po update FW vše OK.

Při hraní si s tím jsem si mimo jiné všiml, že menu AP IP-COM a AP Tenda W6-S jsou stejná, jen se drobně liší design, jinak je to to samé.

Návod na VLANy jsem použil tento:
https://vaclavkrejci.cz/Mikrotik-nastaveni-VLAN-a-trunku


Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #35 kdy: 08. 09. 2020, 16:26:11 »
Návod na VLANy jsem použil tento:
https://vaclavkrejci.cz/Mikrotik-nastaveni-VLAN-a-trunku

Pokud chcete jít s bezpečností dál, tak dalším krokem je oddělit ty sítě na routeru přes VRF. Tím odpadají konfigurační rizika na firewallu, aby se z návštěvnické sítě nedalo dostat jinam. Obdobně to lze řešit i jen firewallem, ale tam je to přecijen náchylnější na konfigurační chybu.

5nik

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #36 kdy: 08. 09. 2020, 22:38:16 »
Návod na VLANy jsem použil tento:
https://vaclavkrejci.cz/Mikrotik-nastaveni-VLAN-a-trunku
V rychlosti jsem mrknul na návod a bohužel musím konstatovat, že konfigurace bridge/vlan je tam hodně zmršená. Ano, je to funkční, ale neoptimalizované a zbytečně to degraduje výkon routeru. Správně má být pouze jeden bridge a na něm teprve pověšené VLANy.

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #37 kdy: 08. 09. 2020, 22:52:58 »
V rychlosti jsem mrknul na návod a bohužel musím konstatovat, že konfigurace bridge/vlan je tam hodně zmršená. Ano, je to funkční, ale neoptimalizované a zbytečně to degraduje výkon routeru. Správně má být pouze jeden bridge a na něm teprve pověšené VLANy.

U levnějších modelů nepodporuje zabudovaný switch vlan table, takže to na výkon vyjde na stejno (letí to přes CPU). Nicméně doporučují to konfigurovat na bridgi jakožto dobrou praktiku.

5nik

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #38 kdy: 09. 09. 2020, 08:41:31 »
U levnějších modelů nepodporuje zabudovaný switch vlan table, takže to na výkon vyjde na stejno (letí to přes CPU). Nicméně doporučují to konfigurovat na bridgi jakožto dobrou praktiku.
Paradoxně u levnějších modelů switch chip podporuje více funkcionalit jak např. v RB4011 / 1100AHx4 (ale tam už je zase silné CPU). Pokud uživatel nepoužívá vlan filtering na bridge (troufám si tvrdit, že moc uživatelů se smart switchem nebude), pak je provoz skrze bridge offloadován switch chipem. HW offloading je na routerech podporován pouze na jednom bridge.

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #39 kdy: 09. 09. 2020, 18:56:33 »
K mé smůle bohužel nevím, o čem se bavíte :-) Jsem rád, že to mám nastavené, protože tady jsem pomoc nesehnal.
V Bridge/Ports mám tohle: (viz příloha)

Zapnul jsem si ještě graphing:
CPU 1-4%
Paměť 30MB/23%
Disk 14%

Tak myslím, že to Mikrotik dává pěkně.

5nik

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #40 kdy: 10. 09. 2020, 09:36:00 »
Tak myslím, že to Mikrotik dává pěkně.

Myslím, že můžete být v klidu. Neoptimalizovanost konfigurace by se u vás projevila jen v určitých případech, které ve vaší síti nejspíše nenastanou. Jednalo by se např. o intenzivní datovou komunikaci (>500Mbit) mezi fyzickými porty mikrotiku v rámci jedné VLANy. A to ještě za určitých "okolností".

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #41 kdy: 10. 09. 2020, 10:26:47 »
Děkuji. To můžu být tedy v klidu, na Mikrotiku jsou obsazené 2 fyzické porty, na eth2 je meteo PC, které co minutu posílá 100kB obrázek a data na web a eth5, na kterém je trunk na switch.

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #42 kdy: 10. 09. 2020, 10:29:06 »
Děkuji. To můžu být tedy v klidu, na Mikrotiku jsou obsazené 2 fyzické porty, na eth2 je meteo PC, které co minutu posílá 100kB obrázek a data na web a eth5, na kterém je trunk na switch.

Jinak k tomu vytížení CPU může to být někdy matoucí. Některé operace routeru se dají vykonávat jen na jednom jádře CPU. V tu chvíli router nestíhá, ale zátěž se ukáže např. u čtyřjádrového CPU jako 25 %. Samozřejmě, dokud jste u 5 %, není co řešit, ale pamatujte na to, kdybyste později něco řešil.

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #43 kdy: 10. 09. 2020, 10:34:03 »
OK, díky. Akorát Mikrotik 951 má jen jedno jádro.

Re:Menší RD - nastavení VLAN k izolování návštěv
« Odpověď #44 kdy: 10. 09. 2020, 10:38:59 »
OK, díky. Akorát Mikrotik 951 má jen jedno jádro.

Pak to můžete pustit z hlavy. :). Typ routeru jste myslím nepsal, takže to se Vás netýká.
V práci mám RB4011 na UPC linku 350/50. Mám tu tři VRF a nějaké fronty a stíhá to v poho. Podle všeho by to stíhal i RB3011, ale nižší mám ověřené, že už ne. Hodně to záleží na složitosti konfigurace a na skladbě provozu.

RB951 je oblíbený a na malá řešení naprosto v cajku model :).