Propojení dvou LAN sítí - správa HW

[sisak]

Ahoj.
Mám dvě LAN sítě. 192.168.103.x a 192.168.1.x. Každá síť má svůj switch, své připojení k internetu (router) a žije si "svým" životem.
Chci abych z PC v LAN1 (192.168.103.x) mohl spravovat HW v druhé LAN2 síti s (192.168.1.x).
Switche LAN1 a LAN2 nyní mám propojeny na portech 8. Jak konfigurovat porty? (TAG, UNTAG.....)? A co routování ?
PC z LAN2 nesmí mít (zatím) přístup do LAN1.
Děkuji za srozumitelné rady.

[Reklama]

[LamZelezo]

Zacni nastudovanim rozdilu mezi routerem a switchem a souvisejicimi vecmi ohledne siti. Tvuj dotaz je typu: mam nekolik listu nerezove oceli, traverzu a kanystr benzinu. Jak postavit auto?

Rozhodne nepropojuj switche, jak jsi planoval.

[Petr Krčmář]

Pokud jde o dvě oddělené sítě, nedají se takto propojit na druhé síťové vrstvě, protože tím vznikne jeden síťový segment. V něm se budou míchat provozy ze dvou sítí, budu se tam šířit broadcasty a multicasty a kterýkoliv uzel bude moci neomezeně komunikovat s ostatními.

Správným řešením je obě sítě propojit směrovačem (router). To je prvek, který je členem obou sítí (má adresy z obou rozsahů) a dokáže předávat provoz mezi oběma oddělenými segmenty. Zároveň na něm může být filtr, který propustí jen žádaný provoz a zbytek ne.

Pokud už jsou v obou sítích směrovače, tak existují v zásadě dvě možnosti. Buď jeden z nich připojit i do druhé sítě nebo ty směrovače propojit mezi sebou. Tím vznikne třetí síť mezi nimi (další adresní rozsah) a bude možné směrovat provoz mezi těmito sítěmi. Je třeba ale tušit, jak funguje směrování v IP sítích.

Klíčová slova k dalšímu studiu v angličtině: router, routing table, route.

[sisak]

Asi si myslíte, že jsem úplná lama. Dobrá. Samozřejmě, že vím co je router, switch.....
Tu druhou LAN2 jsem chtěl propojit pomocí VLAN123. Na routeru první sítě si umím nastavit, kam se z VLAN123 povolí přístup do LAN1 první sítě . Oba switche mám L2+. V tuto chvíli mi nejde ping z LAN1 na switch LAN2.
Buď mám špatně nakonfigurované porty 8 na switches nebo schází směrování, nebo to je prostě blbost a nejde to takto udělat.

[Marek Staněk]

Vztahovačnost řešit nebudu.

Technicky to "přibližně takhle nějak" udělat jde, např. ta stanice, co má sahat do druhé sítě, může mít na síťovém adaptéru sekundární adresu z jejího rozsahu, nicméně to nemění nic na tom, že to není dobrý nápad (už proto, že když si v té první síti kdokoli nastaví adresu z první sítě a naopak, může do ní vlézt a dělat tam brajgl).

[Reklama]

[jakub13]

Omlouvám se, že do toho zasahuji. Ona to možná není ani vztahovačnost... je to vidět ve více vláknech zde. Tazatel nadhodí problém a ostatní místo toho, aby se ho zeptali, proč to chce řešit zrovna takovým způsobem se do něj pustí a píší mu, jaký je "idiot" a podsouvají mu úplně jiné řešení, které tazatel z nějakého důvodu ani nechtěl / nemohl použít.
Z původního dotazu jsem pochopil, že tazatel o tom co je switch, router, LAN atd. ví. Pouze se ptá na možnost propojit dvě existující LAN. Řešení je to možná krkolomné, ale nějaký důvod pro něj asi bude, ne? Navíc, samotného by mě to technicky zajímalo.

[5nik]

Bez routování, jen s pomocí tagování VLAN, si můžeš LAN2 dotáhnout až přímo do PC v LAN1. To předpokládá, že PC si bude rozumět s tagovanými i netagovanými pakety a nebo bude mít druhou fyzickou síťovku. Pak bude PC připojen napřímo v obou LAN.
Pokud máš L2+ switche, většinou mají statický routing, pomocí kterého by se to dalo odroutovat. Předpokládá to ale nastavení adekvátních rout na PC i na všech managovaných prvcích v LAN2. Aby to fungovalo bez nastavování routy na zařízeních v LAN2, musel by switch dělat i NAT, což nebude umět. Druhá věc je, že switche nemají stavový firewall (ACL), takže komunikace by fungovala oboustranně a nedalo by se ve firewallu (ACL) rozlišit směr navázání spojení (což v případě zpřístupnění pouze PC v LAN1 by zase tolik nevadilo).
Pokud to shrnu, vidím 3 možnosti:
1) dovedeš si pomocí VLANy (nebo druhé fyz. síťovky) LAN2 i do PC v LAN1
2) sítě propojíš řádně přes routery obou sítí spojovací sítí
3) kombinace obou - jednu ze sítí (ze switche) propojíš do routeru druhé sítě a tam si vyřešíš routování mezi sítěmi, včetně firewallu

[f-k-r]

Ahoj.
Mám dvě LAN sítě. 192.168.103.x a 192.168.1.x. Každá síť má svůj switch, své připojení k internetu (router) a žije si "svým" životem.
Chci abych z PC v LAN1 (192.168.103.x) mohl spravovat HW v druhé LAN2 síti s (192.168.1.x).
Switche LAN1 a LAN2 nyní mám propojeny na portech 8. Jak konfigurovat porty? (TAG, UNTAG.....)? A co routování ?
PC z LAN2 nesmí mít (zatím) přístup do LAN1.

Čisté řešení, jak bylo několikrát uvedeno, znamená propojit Vaše LAN pomocí L3 prvku, tj. směrovače, který by mohl zajistit i filtrování provozu.

Máte v těch switchích nějaké svoje VLANy? Co znamená, že máte propojeny switche LAN1 a LAN2 na portech 8? Resp. v jakém módu ty porty jsou (access/trunk)? Pokud by byly v režimu access a vše ve stejné VLAN, pak vlastně ty dvě LAN spojujete v jednu (tj. do jednoho segmentu, resp. jedné broadcastové domény), jen se v ní budou vyskytovat dvě L3 sítě (Vaše 192.168.103.x a 192.168.1.x) jakoby přes sebe. Z hlediska IP (L3) by se ty sítě jevily jako oddělené, v každé je její vlastní výchozí brána (ty Vaše routery), ovšem L2 broadcasty či multicasty by se šířily ke všem uzlům.
Jo, ony routery, co jsou zač? Kolik mají L3 portů?

[LamZelezo]

Omlouvám se, že do toho zasahuji. Ona to možná není ani vztahovačnost... je to vidět ve více vláknech zde. Tazatel nadhodí problém a ostatní místo toho, aby se ho zeptali, proč to chce řešit zrovna takovým způsobem se do něj pustí a píší mu, jaký je "idiot" a podsouvají mu úplně jiné řešení, které tazatel z nějakého důvodu ani nechtěl / nemohl použít.
Z původního dotazu jsem pochopil, že tazatel o tom co je switch, router, LAN atd. ví. Pouze se ptá na možnost propojit dvě existující LAN. Řešení je to možná krkolomné, ale nějaký důvod pro něj asi bude, ne? Navíc, samotného by mě to technicky zajímalo.

Ja prece jen zareaguji, protoze mam velmi spatne zkusenosti s bezcitnymi citlivkami v pasivne agresivnim modu:

a) Kdo mu napsal, ze je idiot?
b) Kdyz zformuloval svuj dotaz tak zavadejicim zpusobem, co je spatneho na tom, ze se mu nekteri snazi zabranit v predpokladane katastroficke konfiguraci?
c) Jak se dalo pochopit, ze zna rozdil mezi routerem a switchem, kdyz v dotazu na zabezpecene propojeni dvou siti priklada nejaky vyznam tomu, ze propojil zrovna switche a zrovna na portu 8? Myslim, ze kecas.

Upozornuji, ze mam rad tebe i jeho, jen nevim, proc mam venovat reseni podobnych dotazu vic energie nez tazatel

[sisak]

Nechtěl jsem se k tomu vracet, ale přece.
Několikrát jsem narazil v různých diskuzích na to, že když se někdo na něco zeptá (a ptá se asi proto, protože to neví nebo prostě to neumí udělat) proto asi forum je, tak je spousta lidí, kteří mají snahu mu to vysvětlit a poradit. Někdy se ale najdou i tací, kteří tazatele odbydou slovy "to si vygoogli, dostuduj....". Vždy mám silné podeření, že tito odpovídající sami naznají řešení. Všem, kteří mi odpověděli a přišli s nějakým názorem, těm děkuji. Děkuji, že jste věnovali svůj čas a chtěli poradit.

Ale zpět k "mému" problému, který zajímal i jednoho diskutujího a i on chtěl znát třešení.

Problém se pokusím znovu popsat.
Zadání je takové jaké je. V tuto chvíli to nemohu udělat jinak, tak prosím o rady jak řešit tuto situaci. Nějaké řešení navhl už "5nik", ale zadání nebylo kompletní.

Jsou dvě LAN sítě. 192.168.103.x a 192.168.1.x. Každá síť má svůj router s vlastním připojením do internetu. Každá síť si "žije" svým životem. Na routerech je i DHCP. Obě LAN jsou v defaultní VLAN1 switchů. LAN1 ....103.x má switch TP-Link SG3210. LAN2 ....1.x má switch TP-Link SG 2218. Oba switche umí L2+. Na switchi v LAN1 ...130.x využívám VLANy (tři). Přístup VLAN mezi sebou a LAN1 mi řídí router sitě LAN1 ...103.x

Cíl:
Potřebuji z LAN1...103.x (minimálně z jednoho PC) mít přístup na všechna zařízení v LAN2 ...1.x kvůli správě. A také potřebuji (v prvním dotazu jsem to nepsal, abych to nekomplikoval) abych z jednoho (časem možná z více PC) v LAN2  mohl do sítě LAN1...103.x na server.
switche LAN1 a LAN2 jsou fyzicky vedle sebe a mohu je propojit (např. porty8). Porty jsou zkoušel nastavit různě ale nedostal jsem se ke správnému výsledku.

Je to řešitelné? Díky

[LamZelezo]

Vytvor na switchi v LAN1 dalsi VLAN, prirad ji volny port (untagged), propoj s portem na switchi v LAN2 a prived tu novou VLAN na router v LAN1. Na tomto routeru si pak muzes ridit prostup mezi sitemi, jak uz to delas pro VLANy v LAN1.

[Jose D]

Je to řešitelné? Díky

je. dotáhni si tu správcovskou VLAN do toho routeru spravované sítě a na routrech nastav routy.

Pokud to chceš mít robustní a víc jednoduché pro začátečníka, tak si mezi routery vytvoř nějakou neutrální VLAN s neutrální L3 sítí, přes kterou si routuj co potřebuješ. tohle níž popsal LamZelezo.

Nakresli si to, a ono se to rozpadne na uchopitelnější podproblémy.

[.]

Zadání je takové jaké je.

Problém je v tom, že zadání je do jisté míry nereálné. Můžeš si na routeru s podsítí 192.168.1.x spustit třeba OpenVPN server (samozřejmě za předpokladu, že má veřejnou IPv4) a pak se do podstítě dostat odkudkoliv odjinud přes OpenVPN klienta, anebo si do sítě 192.168.1.x strčit nějaký mini-PC se vzdálenou plochou a také pak budeš mít možnost spravovat další zařízení v této síti, ale celkově je to prostě krkolomné.

[5nik]

Jedno řešení (snad nejčistší) jsem zkusil schématicky načrtnout. Jedná se o propojení pomocí spojovací sítě s adresací 192.168.33.0/30 a VLAN ID 33 (tj. R1 bude mít na interfacu VLANy např. .33.1, R2 na stejné VLANě .33.2), nastavené adekvátní routy pro vzdálené sítě. Tuto spojovací síť pomocí VLANy 33 dovedeš na oba switche a port 8 (propojovací) na obou switchích necháš jako access port s PVID 33 (tedy propojem mezi switchi polezou pouze netagované pakety VLANy 33). Kdo kam může a nemůže si pak vyřídíš na obou routerech.

[Marek Staněk]

Technická:
jestli jsou routery i switche blízko sebe, úplně nejlepší by bylo routery nahradit jedním s multiWAN (nebo je klidně ponechat), a switch nahradit jedním větším, do něj dovést trunk(y) z routeru/ů, ve switchi to rozplést do accessportů, a v routeru/-ech to patřičně naroutovat a rozdělit firewallem.

Protože ta vyfikndace s VLAN33 bude v popsané podobě fungovat jen v případě, že mezi routery a switchi jsou nataženy trunky. Pokud jsou stávající LAN ve switchích do routeru připojeny accessportem, tak se tahle trasa stejně napřed musí přehodit na trunk.