Ahoj, chtěl bych doma zabezpečit síť. Pořídil jsem Intel NUC, kdy mi poběží různe věci kvuli testování(Win10Pro + Virt. Debian). Vedlé me hlavní práce vyrábím hry a potřeboval bych, aby na tom NUC bežel nonstop herní server. Dneska se to řeší přes služby třetích stran, ale to bych víceméně za srovnatelné parametry s tím NUC dal za VPS 1200 kč/měs a více, takže by se to už po roce nevyplatilo.
A teď k mojí otázce. Chci teda rozdělit síť na veřejnou a neveřejnou část, ale potřebuju pár věcí ujasnit.
rozdělení sítě by bylo jednoduché následovně:
VLAN 1: privátní
Pracovní PC, dalsi PC, NAS, WiFi(mobily, notebook), Android TV. všechna zařízení mají přístup na NAS
VLAN 2: veřejné s přístupem z venku
NUC Win, NUC (virt.) Debian, Raspberry Pi, PlayStation.
jestli funkci VLAN chápu správně s takovýmto rozdělením by nemělo bejt možný ani pingnout z
1 na
2. Ale potřeboval bych přístup na ten NUC přes vzdalenou plochu z PC ale neohrozit NAS a vlastně aby NUC nemohl vidět nic.
A teď jak tohle řešit?
Jde VLAN nějak nakonfigurovat aby tohle umožnila? Nebo je lepší aby v tom NUC beželo OpenVPN a komunikace probíhala přes něj? Tím by teoreticky prac. PC vidělo do (veřejné)
VLAN 2 a mělo pro to zvlášť jako další síť s jinou domenou a tak by nebylo na
VLAN 1 vidět? OpenVPN jsme používali v bývalé práci pro práci z domu a zdálo se že to fungovalo tak jak píšu, ale jistý si nejsem. A ještě mi není jasné jak by se na ten OVPN server připojovalo, jestli přes veřejnou IP na routeru jakoby venkem?
A třetí možnost, dát prac. PC a NUC jako jediné do další
VLAN 3, myslím že to switche dle obrázků nastavení co jsem zkoumal umožňují být součástí více VLAN. Ale není mi jasné, jestli tímto "přemostením" nebude pak NUC i součástí sítě kde je NAS.
Mám v tom bordel jestli se to nedá řešit dvěma doménama, ale přijde mi že v případě
VLAN 3 by bylo možné v případě nějaké díry napadnout NUC, ten by jak v Benešovské nemocnici nakazil přes
VLAN 3 to pracovní PC ve
VLAN 1 a to když vidí neomezeně na NAS by pak mohlo NAS zašifrovat nebo něco dalšího.
Takže otázky jsou: jak udělat nejlépe tento setup. Jestli je dnes vubec možné napadnout přes veřejnou IP nějaké PC s moderním updatovaným OS pokud neotevírám neznámé exe soubory a když na firewallu(router) jsou povoleny porty jen pro určité služby.
A který z těchto switchů byste vybrali a jestli mam řešit podporu L2 a L3 pro mé účely?
Netgear GS108E Prosafe Plushttps://www.alza.cz/netgear-gs108e-prosafe-plus-d2206249.htmstrana 5-6
https://www.netgear.com/images/datasheet/switches/Gigabit_Ethernet_Smart_Managed_Plus_Switches_DS.pdfTP-LINK TL-SG108Ehttps://www.alza.cz/tp-link-tl-sg108e-d1530248.htmhttps://www.tp-link.com/us/business-networking/easy-smart-switch/tl-sg108e/#specifications tady nechápu proč stejnej typ s podporou VLAN ma v nazvu V4 unmanaged a neni jasné který alza má a jeste alza má chybu v propustnosti, kde mají 8 místo 16.
https://www.tp-link.com/us/home-networking/8-port-switch/tl-sg108e/v5/#specificationsD-Link DGS-1100-08https://www.alza.cz/d-link-dgs-1100-08-d4692184.htmhttps://www.dlink.com/en/products/dgs-1100-08-8-port-gigabit-smart-managed-switchZa případné odpovědi děkuji.