Návrh domacej siete

[jjrsk]

Proboha na co?

Proc se pripojujes do diskusi o vecech, kterym nerozumis a nic o nich nevis?

...

dtto

Je zajímavé,...

A dalsi nehorazny blabol ...

...

Cisco/Linksys - to jsou takovy ty levny cisco krabky. Kdyz vyberes spravnej model, je to routoswitch, a umi to vse co budes chtit. Nejspis chces PoE variantu.

Pripadne mikrotik, ale tady pocitej s tim, ze po aktualizacich cas od casu neco prestane fungovat.

Unify bych uz moc nedoporucil, cim dal vic to tlacej do toho, ze musis mit ucet v cmoudu bez kteryho nic nenastavis.

[Reklama]

[dzavy]

Dát TV, mobily, smarthome, atd. do oddělených VLAN je sice nápad dobrej, ale v praxi dost z toho naráží na mDNS. Mikrotik to "neumí" forwardovat mezi VLANama, takže z mobilu neuděláte Miracast/AirPlay/Spotify Connect/..., nevytisknete si nic na tiskárně ani si nenastavíte např. Ikea Tradfri Gateway nebo HomeKit.

[.]

Proc se pripojujes do diskusi o vecech, kterym nerozumis a nic o nich nevis?

Tak to fakt netuším, proč tady děláš chytrolína, když dané problematice rozumíš jak koza petrželi...

[5nik]

...
    4)
        (1Gbit)       
        * UPC (bridge)
        * Router: Mikrotik RB2011iL-IN (10p) (~2500 Kč)
        * Switch: 8P ( 600 kč) (LAN_NETWORK)
        * Switch: 8P ( 600 kč) (CAMERA_NVR)
        -----------------------
        3700 kč
...
       

Mikrotik RB2011 je celkem starý a pomalý, je možné, že narazíte na výkonnostní strop (zejména u pps). Na rychlou VPN a podobné náročnější věci zapomeňte. Stejný výkon procesoru má i switch Mikrotik CRS326-24G-2S+RM, kterým byste vyřešil vše v jednom včetně podpory VLAN. Cena je ale o pár stovek vyšší.

[jjrsk]

Proc se pripojujes do diskusi o vecech, kterym nerozumis a nic o nich nevis?

Tak to fakt netuším, proč tady děláš chytrolína, když dané problematice rozumíš jak koza petrželi...

Ja se tim hosanku narozdil od tebe zivim, a rozdeleni site je zaklad zcela jakykoli bezpecnosti a provozni spolehlivosti, a samozrejme i doma. Takze negramotnej tatar kterej tady vyklada kravoviny mi muze leda tak pucovat ...

[Reklama]

[.]

Nemá pravdu, protože celou dobu je řeč o domácí síti. A v ní opravdu není potřeba dělat harakiri s VLAN apod. a celé to naprosto zbytečně komplikovat. Možná pokud je někdo hračička, tak se tím může bavit, nicméně autor dotazu a ten, koho se to týká, jsou zjevně laici a tedy čím jednoduší vše bude, tím lépe.

[uwe.filter]

Vzhledem k tomu, jak byl formulován dotaz, pravdu má. Pokud by autorovi dotazu na správném návrhu sítě nezáleželo, neptal by se na to a použil by první router, který by mu padnul pod ruku v kombinaci s libovolným switchem. To ale dle všeho není ten případ, dokonce sám např. VLANy zmínil.

[Lord_Pitzbudka]

Otazka ale je, jestli je zmínil proto, ze vi, co to je, a nebo simomtom nekde precetl, a z toho jen ziskal pocit, ze je nutne potrebuje.

[cznarg]

Když to tak čtu, tak mě přijde jak kdyby si pár zdějších osazenců myslelo že jakákoli forma zabezpečení domácí sítě (zvlášť třeba VLANy, což je ta nejprimitivnější forma zabezpečení) je zcela zbytečná.
Tak si vezme co mám(e) na domácí síti:
- Různé fotografie a backupy, vč. např. různých které by se ven neměli dostat.
- Nevím jak kdo, ale já tam mám třeba doma firemní data (práce z WS na HO, firemní notebook, klíče na VPNky, SSH klíče...)
- Mobil s kontakty, facebookem, firemním kecálkem, emaily
- SmartTV
- IoT věci a ovladače (světla, větráky, žaluzky, mikrofony (google nest), pračka, někdo má např. i kotel...)
- 3D tiskárnu
- a další...
Pokud někdo hackne byť jednu IoT věc (což je dnes celkem běžné z hlediska chabého zabezpečení výrobců) tak bez další vrstvy zabezpečení to útočník může zkoušet dál a všude... a dřív nebo později někde patrně uspěje, a to vážně nechete... (únik firemních dat, instalace ransomware, pokud bude útočnik vtipálek tak třeba i 3D tiskárnou s vhodným nastavením Vám může zapálit klidně celý byt)

Za mě: do zabezpečení se má investovat vždy, a zvláště doma, kde se používají přístroje které mají mnohdy chatrné zabezpečení (ne všechno bohužel neběží na OS které si uživatel může libovolně updatovat). Natož pokud ještě do sítě ke všemu pustíte návštěvy...

[.]

Pokud jde o zálohu dat, jenž nemají být přístupná, pak jistě každý zná třeba 7-Zip a dostatečně silné heslo. To je podstatně větší ochrana, než pitomosti s VLAN.

A samozřejmě nezpřístupňovat ven do netu ta zařízení, u kterých to není nezbytně nutné. Tedy tiskárna zpřístupněná do netu být obvykle nemusí a pak ani není riziko, že s ní někdo na dálku zapálí byt.

[cznarg]

Pokud jde o zálohu dat, jenž nemají být přístupná, pak jistě každý zná třeba 7-Zip a dostatečně silné heslo. To je podstatně větší ochrana, než pitomosti s VLAN.

A samozřejmě nezpřístupňovat ven do netu ta zařízení, u kterých to není nezbytně nutné. Tedy tiskárna zpřístupněná do netu být obvykle nemusí a pak ani není riziko, že s ní někdo na dálku zapálí byt.

Už vidím, jak denně zálohujete všechny data z WS a notebooku do 7-zipu, nastavujete mu heslo a ručně to někam kopírujete (dohromady cca. 1 TB dat). Takhle se to fakt běžně provozovat nedá :-)

A samozřejmě nezpřístupňovat ven do netu ta zařízení: ve Vašem návrhu sítě stačí 1 zařízení které bude, byť třeba omylem, přístupné z venku (případně děravý cloud) a útočníkovi se do něj podaří dostat. Thats all. Pak bude mít celou síť na dlani, vč. celého IoT, tiskárny, všech počítačů (...) jako kdyby u Vás lokálně seděl a připojil se fyzicky do všech vlan (které ve Vašem případě nemáte).  A to jen kvůli lenosti administrátora a názoru že zabezpečovat domov je zcela zbytečné.

[.]

Proč bych měl denně zálohovat TB dat? Nebo běžná domácnost má takovou potřebu? Asi sotva

Když se nějaký útočník (hypoteticky) dostane do jednoho mého zařízení přístupného z netu, tak tím také končí, protože z toho zařízení žádná cesta nikam dál nevede.

[David]

Že vám to stojí za to se tady hádat, vlastně diskutovat. Ať si to každý udělá, jak chce. Já bych si síť taky rozdělil do VLAN, IoT síť zvlášť, možná bych spojil hlavní drát a bezdrát do jedné sítě, aby nebyl problém třeba při hraní her (ale taky jde často zadat IP adresa a tím to obejít). Nesmí se to překombinovat, ale základní oddělení to chce. + firewall zakázat vše a povolit jen nutné.

[Marekuss]

Dát TV, mobily, smarthome, atd. do oddělených VLAN je sice nápad dobrej, ale v praxi dost z toho naráží na mDNS. Mikrotik to "neumí" forwardovat mezi VLANama, takže z mobilu neuděláte Miracast/AirPlay/Spotify Connect/..., nevytisknete si nic na tiskárně ani si nenastavíte např. Ikea Tradfri Gateway nebo HomeKit.

Skvely hint, ďakujem! Mikrotik túto funkctionalitu plánuje doplniť https://forum.mikrotik.com/viewtopic.php?t=174354#p992798.

Mikrotik RB2011 je celkem starý a pomalý, je možné, že narazíte na výkonnostní strop (zejména u pps). Na rychlou VPN a podobné náročnější věci zapomeňte. Stejný výkon procesoru má i switch Mikrotik CRS326-24G-2S+RM, kterým byste vyřešil vše v jednom včetně podpory VLAN. Cena je ale o pár stovek vyšší.

Ďakujem za tip, pár stoviek hore/dole nieje smerodatné. Príde mi to koncipované ako switch, kde síce to má aj routerOS, ale myslím si podla CPU, že router nebude primárna funkcionalita.

Vzhledem k tomu, jak byl formulován dotaz, pravdu má. Pokud by autorovi dotazu na správném návrhu sítě nezáleželo, neptal by se na to a použil by první router, který by mu padnul pod ruku v kombinaci s libovolným switchem. To ale dle všeho není ten případ, dokonce sám např. VLANy zmínil.

Otazka ale je, jestli je zmínil proto, ze vi, co to je, a nebo simomtom nekde precetl, a z toho jen ziskal pocit, ze je nutne potrebuje.

VLAN mám "nasadené" na OpenWRT skrz veci čo ste popísali - Kamery/GuestWifi/DMZ ...

...

Ďakujem za názor, ale myslím si, že ak sú dostupné prostriedky /napr VLAN/ ktoré môžu podporiť bezpečnosť, nieje dôvod ich nepoužiť.
Prosím Vás, môžete mi napísať nevýhody VLAN ktoré ste za roky praxe nazbieral?

[.]

Jak VLAN u domácí sítě zajistí nějakou bezpečnost? A co je vlastně potřeba v domácí síti tak akutně zabezpečovat? Už se opakuji, ale někdo to napsal výše - doma si samozřejmě každý ohlídá vstupní dveře před nezvanou návštěvou, ale pokoje uvnitř domu/bytu asi zamyká sotva kdo. Takže já nebudu psát nevýhody VLAN u home použití, ale pouze napíši, že není ani jedna smysluplná výhoda používat VLAN doma. Samozřejmě pokud má ale někdo pocit, že si musí svoji síť takto doma řešit, tak je to jeho problém a moje zbytečná starost. Ať si to klidně udělá, nikdo mu v tom nebrání