Nastavení a výběr switche pro VLAN kolem 1000 Kč

Nastavení a výběr switche pro VLAN kolem 1000 Kč
« kdy: 24. 08. 2020, 14:48:44 »
Ahoj, chtěl bych doma zabezpečit síť. Pořídil jsem Intel NUC, kdy mi poběží různe věci kvuli testování(Win10Pro + Virt. Debian). Vedlé me hlavní práce vyrábím hry a potřeboval bych, aby na tom NUC bežel nonstop herní server. Dneska se to řeší přes služby třetích stran, ale to bych víceméně za srovnatelné parametry s tím NUC dal za VPS 1200 kč/měs a více, takže by se to už po roce nevyplatilo.

A teď k mojí otázce. Chci teda rozdělit síť na veřejnou a neveřejnou část, ale potřebuju pár věcí ujasnit.
rozdělení sítě by bylo jednoduché následovně:

VLAN 1: privátní
Pracovní PC, dalsi PC, NAS, WiFi(mobily, notebook), Android TV. všechna zařízení mají přístup na NAS

VLAN 2: veřejné s přístupem z venku
NUC Win, NUC (virt.) Debian, Raspberry Pi, PlayStation.

jestli funkci VLAN chápu správně s takovýmto rozdělením by nemělo bejt možný ani pingnout z 1 na 2. Ale potřeboval bych přístup na ten NUC přes vzdalenou plochu z PC ale neohrozit NAS a vlastně aby NUC nemohl vidět nic.
A teď jak tohle řešit?
Jde VLAN nějak nakonfigurovat aby tohle umožnila? Nebo je lepší aby v tom NUC beželo OpenVPN a komunikace probíhala přes něj? Tím by teoreticky prac. PC vidělo do (veřejné) VLAN 2 a mělo pro to zvlášť jako další síť s jinou domenou a tak by nebylo na VLAN 1 vidět? OpenVPN jsme používali v bývalé práci pro práci z domu a zdálo se že to fungovalo tak jak píšu, ale jistý si nejsem. A ještě mi není jasné jak by se na ten OVPN server připojovalo, jestli přes veřejnou IP na routeru jakoby venkem?
A třetí možnost, dát prac. PC a NUC jako jediné do další VLAN 3, myslím že to switche dle obrázků nastavení co jsem zkoumal umožňují být součástí více VLAN. Ale není mi jasné, jestli tímto "přemostením" nebude pak NUC i součástí sítě kde je NAS.
Mám v tom bordel jestli se to nedá řešit dvěma doménama, ale přijde mi že v případě VLAN 3 by bylo možné v případě nějaké díry napadnout NUC, ten by jak v Benešovské nemocnici nakazil přes VLAN 3 to pracovní PC ve VLAN 1 a to když vidí neomezeně na NAS by pak mohlo NAS zašifrovat nebo něco dalšího.

Takže otázky jsou: jak udělat nejlépe tento setup. Jestli je dnes vubec možné napadnout přes veřejnou IP nějaké PC s moderním updatovaným OS pokud neotevírám neznámé exe soubory a když na firewallu(router) jsou povoleny porty jen pro určité služby.


A který z těchto switchů byste vybrali a jestli mam řešit podporu L2 a L3 pro mé účely?

Netgear GS108E Prosafe Plus
https://www.alza.cz/netgear-gs108e-prosafe-plus-d2206249.htm
strana 5-6 https://www.netgear.com/images/datasheet/switches/Gigabit_Ethernet_Smart_Managed_Plus_Switches_DS.pdf

TP-LINK TL-SG108E
https://www.alza.cz/tp-link-tl-sg108e-d1530248.htm
https://www.tp-link.com/us/business-networking/easy-smart-switch/tl-sg108e/#specifications tady nechápu proč stejnej typ s podporou VLAN ma v nazvu V4 unmanaged a neni jasné který alza má a jeste alza má chybu v propustnosti, kde mají 8 místo 16.
https://www.tp-link.com/us/home-networking/8-port-switch/tl-sg108e/v5/#specifications

D-Link DGS-1100-08
https://www.alza.cz/d-link-dgs-1100-08-d4692184.htm
https://www.dlink.com/en/products/dgs-1100-08-8-port-gigabit-smart-managed-switch

Za případné odpovědi děkuji.



Re:Nastavení a výběr switche pro VLAN kolem 1000 Kč
« Odpověď #1 kdy: 24. 08. 2020, 15:14:46 »
Ano, jde to, přes protected porty. Nicméně to není úplně ideální cesta. Switch pracuje (převážně) na L2, zatímco to, co potřebujete je L3 operace. Na tohle správně přísluší router.

Správné řešení je tedy pořídit switch, s podporou VLAN. Switchi nastavíte čísla VLAN na porty, zatímco do routeru si je pošlete otagované (802.1q trunk). Ten každou z VLAN uvidí jako nezávislý interface (např. eth0.15 (vlan15), eth0.16 (vlan16)) atd. Pravidla, kdo kam smí, pak patří až na ten router.

Re:Nastavení a výběr switche pro VLAN kolem 1000 Kč
« Odpověď #2 kdy: 24. 08. 2020, 15:46:53 »
Ten Netgear má v parametrech uvedenou podporu "L3 Services - DHCP" tam bych to nastavil? Jinak mám prozatím VDSL modem od O2 kde nějaká podpora routingu je, ale nejsem si jisty jestli by to na to stačilo a zda to vubec jde, když je před switchem a zda by vubec rozpoznal to tagování.
pokud teda nastavím číslo té VLAN stejně ve switchi a v modemu tak se to správně identifikuje? vypadá to tam nějak takhle...


Re:Nastavení a výběr switche pro VLAN kolem 1000 Kč
« Odpověď #3 kdy: 24. 08. 2020, 16:06:41 »
Ten Netgear má v parametrech uvedenou podporu "L3 Services - DHCP" tam bych to nastavil? Jinak mám prozatím VDSL modem od O2 kde nějaká podpora routingu je, ale nejsem si jisty jestli by to na to stačilo a zda to vubec jde, když je před switchem a zda by vubec rozpoznal to tagování.

Podle mě to nepůjde. Musel byste to nastavit na switchi pomocí L2 služeb - tj. který port na jaký má vidět. Ale jak už jsem psal, není to ideální, má to svoje úskalí. Podpora v L3 switchích se už liší výrobce od výrobce, ale obvykle to bývá jakási očesaná sada router funkcí (velmi očesaná).

VDSL modem do toho netahejte, to je koncové zařízení providera. Za ním má být router a za ním switch. Pak půjde udělat to, co žádáte.

Re:Nastavení a výběr switche pro VLAN kolem 1000 Kč
« Odpověď #4 kdy: 24. 08. 2020, 16:15:26 »
Když bych to zjednodušil že chci jen dvě VLAN a nikdy nebudou mezi sebou komunikovat a NUC bych obsluhoval lokálně nikoliv přes síť, tak by měl stačit jen ten switch s L2 nebo je tam i tak šance že něco může proniknout? Diky za info.


Re:Nastavení a výběr switche pro VLAN kolem 1000 Kč
« Odpověď #5 kdy: 24. 08. 2020, 16:17:42 »
Když bych to zjednodušil že chci jen dvě VLAN a nikdy nebudou mezi sebou komunikovat a NUC bych obsluhoval lokálně nikoliv přes síť, tak by měl stačit jen ten switch s L2 nebo je tam i tak šance že něco může proniknout? Diky za info.

Jestli butete z notebooku přistupovat na NUC, pak už ty dvě VLAN spolu "nějak" komunikovat musí.

Re:Nastavení a výběr switche pro VLAN kolem 1000 Kč
« Odpověď #6 kdy: 24. 08. 2020, 16:32:26 »
Jestli butete z notebooku přistupovat na NUC, pak už ty dvě VLAN spolu "nějak" komunikovat musí.

to ne, myslel jsem to tak, že jestli oželím vzdálený přístup na NUC jestli bude stačit ten switch s L2 oddělením bez routeru. NUC bych si ovladal normalně lokálně na monitoru a klavesnici, případně přes teamviewer přes internet. Prioritou je ochránit ten NAS kde jsou pracovní věci pod NDA.

Re:Nastavení a výběr switche pro VLAN kolem 1000 Kč
« Odpověď #7 kdy: 24. 08. 2020, 16:34:17 »
Jestli butete z notebooku přistupovat na NUC, pak už ty dvě VLAN spolu "nějak" komunikovat musí.

to ne, myslel jsem to tak, že jestli oželím vzdálený přístup na NUC jestli bude stačit ten switch s L2 oddělením bez routeru. NUC bych si ovladal normalně lokálně na monitoru a klavesnici, případně přes teamviewer přes internet. Prioritou je ochránit ten NAS kde jsou pracovní věci pod NDA.

Pak na to stačí obyčejný switch s podporou VLAN. Já třeba používal D-Link.
Dlužno ale upozornit, že to nechrání od průniku zvenčí. Tam jste odkázaný na kvalitu DSL modemu a jeho firewallu.

Re:Nastavení a výběr switche pro VLAN kolem 1000 Kč
« Odpověď #8 kdy: 24. 08. 2020, 16:44:56 »
Jinak mám prozatím VDSL modem od O2 kde nějaká podpora routingu je, ale nejsem si jisty jestli by to na to stačilo a zda to vubec jde, když je před switchem a zda by vubec rozpoznal to tagování.


VDSL modem od O2 ma urcite vic LAN portu, takze kdyby neumel tagovani, stacilo by na nem nastavit napr. VLAN1 na jeden a VLAN2 na dalsi, na switchi potom pripojit kazdy z nich do portu v dane VLAN. Netusim ale jestli umi nejaka rozumna pravidla na routing/firewalling mezi VLANama, zvlast DHCP pro kazdy z nich apod. - to bychom potrebovali vedet minimalne typ.

Byl by pak potreba jenom switch s uplne zakladni podporou VLAN.

Re:Nastavení a výběr switche pro VLAN kolem 1000 Kč
« Odpověď #9 kdy: 24. 08. 2020, 17:04:38 »
Jinak mám prozatím VDSL modem od O2 kde nějaká podpora routingu je, ale nejsem si jisty jestli by to na to stačilo a zda to vubec jde, když je před switchem a zda by vubec rozpoznal to tagování.


VDSL modem od O2 ma urcite vic LAN portu, takze kdyby neumel tagovani, stacilo by na nem nastavit napr. VLAN1 na jeden a VLAN2 na dalsi, na switchi potom pripojit kazdy z nich do portu v dane VLAN. Netusim ale jestli umi nejaka rozumna pravidla na routing/firewalling mezi VLANama, zvlast DHCP pro kazdy z nich apod. - to bychom potrebovali vedet minimalne typ.

Byl by pak potreba jenom switch s uplne zakladni podporou VLAN.

modem od O2 je ZTE H267A https://www.o2.cz/_pub/12/12/4a/587811_1398033_ZTE_H267A_final.pdf
Co tak koukám do nastavení tak to vypadá že DHCP umí jen jedno globální. Ale s těma VLAN jsem něco (asi chybně) zkoušel viz obrazek nahoře co tam je za položky v menu.

A nepomohlo by mi místo switche koupit router s odděleným DHCP pro porty a podporou VLAN?
Já bohužel ze sítí chápu jen ty věci co nastavuje uživatel v PC, takže to ostatní mám hodně hrubou představu co potřebuju a proto se ptám. Ještě tu mám druhý Modem s routovacíma funkcema Comtrend a ten momentálně používám místo switche pro zařízení kterým stačí 100Mbit LAN. Ten tam má i více nastavení ale pracovni PC a NAS musí být na gigabitu, takže přes to jít nemůžou, ale ten NUC by tam být mohl. Ale pomůžu si tím vubec nějak? Zase nechci vymýšlet nesmysly, jsem právě chtěl koupit ten switch že se mi i podle obrázků zdálo to nastavení VLAN jednoduché, ne jak v tom O2 modemu.

Re:Nastavení a výběr switche pro VLAN kolem 1000 Kč
« Odpověď #10 kdy: 24. 08. 2020, 17:06:24 »
...

Abychom jen neteoretizovali, za mě ideální low cost řešení:
1. modem přepnout do režimu bridge
2. za něj posadit Mikrotik
3. za něj posadit D-Link switch

Re:Nastavení a výběr switche pro VLAN kolem 1000 Kč
« Odpověď #11 kdy: 24. 08. 2020, 17:44:59 »
...

Abychom jen neteoretizovali, za mě ideální low cost řešení:
1. modem přepnout do režimu bridge
2. za něj posadit Mikrotik
3. za něj posadit D-Link switch

Mužete mi to vysvětlit jak blbcovi?
Takže v modemu přijmu DSL kde to musí být nastaveno na Routing a defaultní VLAN 848 te DSL link. Pak nevím kde a na co dám ten bridge protože tam když se to nastaví u DSL nebo Ethernet tak tam zustane jediná položka VLAN ID. V modemu taky nejspíš vypnu DHCP protože to začne řešit ten Mikrotik (připojený jedným kabelem do modemu), kde udělám 2 ruzne DHCP? Jakože třeba IP x.x.x.1 až 20 a druhy DHCP x.x.x.21 až 255 nebo spíš x.x.x.x a x.x.y.y? To nějak pošlu na ten D-Link switch opět jedním kabelem do port 1 a dál tam budou už napíchaný ty VLAN 1 a VLAN 2 stroje do dalších portů dle nastavení VLAN. Nechapu ten význam dvou DHCP jestli má být každé s jiným rozsahem a jak by v tom případě komunikovaly 2 stroje z rozdílných VLAN a jak funguje to tagování, kde se dělá.

Re:Nastavení a výběr switche pro VLAN kolem 1000 Kč
« Odpověď #12 kdy: 24. 08. 2020, 18:48:36 »
Předně, to, co popisuji je jen jedna z možností, jak to dělat. Já preferuji modem v režimu bridge, protože jinak dochází 2x k překladu IP adres - to nic nepřinese, jen komplikuje.

Po přepnutí modemu do režimu bridge se pak na routeru (Mikrotiku) nastaví pppoe interface a přihlašovací údaje do DSL linky se zadají tam.

Na routeru bych si nadefinoval VLANY. Tím mi vzniknou interface (např.) ether2.10 a ether2.20 (virtuální).
Na každý z nich pak můžete umístit samostatné DHCP.
Na switchi pak určíte, které porty jsou vlan 10 a 20. Podle toho přiřazení pak dostanou IP adresy.

Pokud budete chtít vlan 10 a 20 od sebe bezpečně oddělit, tak na routeru nadefinujete VRF (virtual routing and forwarding). Tím naprosto oddělíte obě větve od sebe.

(Pokud budete chtít, abyste např. z laptopu mohl přistupovat na NUC, pak lze do VRF přidat pravidla, která to umožní provést bezpečně).

Ano, je to už trochu advanced konfigurace.

Re:Nastavení a výběr switche pro VLAN kolem 1000 Kč
« Odpověď #13 kdy: 24. 08. 2020, 19:55:14 »
Předně, to, co popisuji je jen jedna z možností, jak to dělat. Já preferuji modem v režimu bridge, protože jinak dochází 2x k překladu IP adres - to nic nepřinese, jen komplikuje.

Po přepnutí modemu do režimu bridge se pak na routeru (Mikrotiku) nastaví pppoe interface a přihlašovací údaje do DSL linky se zadají tam.

Na routeru bych si nadefinoval VLANY. Tím mi vzniknou interface (např.) ether2.10 a ether2.20 (virtuální).
Na každý z nich pak můžete umístit samostatné DHCP.
Na switchi pak určíte, které porty jsou vlan 10 a 20. Podle toho přiřazení pak dostanou IP adresy.

Pokud budete chtít vlan 10 a 20 od sebe bezpečně oddělit, tak na routeru nadefinujete VRF (virtual routing and forwarding). Tím naprosto oddělíte obě větve od sebe.

(Pokud budete chtít, abyste např. z laptopu mohl přistupovat na NUC, pak lze do VRF přidat pravidla, která to umožní provést bezpečně).

Ano, je to už trochu advanced konfigurace.

Mám co studovat, děkuji za užitečné informace.

Re:Nastavení a výběr switche pro VLAN kolem 1000 Kč
« Odpověď #14 kdy: 24. 08. 2020, 23:02:29 »
Doma provozuji VLANy a neni to nic sloziteho, ale samozrejme si to musi clovek vyzkouset a nacist.
Nejjednodussi cesta je nastavit VLANy na switchi v rezimu L2, kdy se switch defacto rozdeli na nekolik oddelenych siti. Kazda VLAN = samostatna sit. Komunikace/blokace mezi jednotlivymy VLAN se pak resi pomoci FW pravidel na routeru. Da se bud kompletne blokovat komunikace obemi smery nebo povolit pristup z jedne do druhe, ale ne naopak. Ci take selektivne vybirat, co kam muze komunikovat. Vetsina levnejsich (v castce 1000,- Kc snad vsechny) switchu zvladaji jen L2 a L3 je pouzitelne spise u switchu o rad drazsich.

V mem pripade resim FW pravidla na routeru pfSense, kde se da vse pohodlne nastavit z pekneho GUI a na internetu lze nalezt spousty videi ci obrazkovych navodu.

Z vybranych switchu bych bral D-Link. Sam je pouzivam ve vsech svych sitich a jsem s nimi pomerne spokojen. Akorat se teda jedna o vyssi rady 12xx/15xx. S Netgear nemam zkusenost. TP-Link TL-SG108E (i model TL-SG108PE) jsem mel a byl s nimi spokojeny. Akorat u zvoleneho modelu (TL-SG108E) pozor na to, ze nemaji GUI pristupne z prohlizece (narozdil od modelu TL-SG108PE). Lze je ovladat pouze s pomoci Windows aplikace, coz trochu snizuje uzivatelsky komfort, zvlast pro Linuxove nadsence.
Nehledet na cenu, tak z uzivatelskeho hlediska bych nejspis volil produkty z Ubiquiti Unifi rady - Ubiquiti US-8.