Aiuto configurazione VLAN per rete ospiti

Pagina 1 di 2 1 2 ultimo
Visualizzazione dei risultati da 1 a 10 su 13
  1. #1

    Predefinito Aiuto configurazione VLAN per rete ospiti

    Ciao,
    avrei bisogno del vs aiuto per configurare una VLAN.

    In casa ho un router Technicolor TG789vac v2 per la Fibra di Tiscali e uno switch Netgear JGS524Ev2 (24-Port Gigabit ProSAFE Plus Switch) che supporta le VLAN (sia port based che 802.1Q)

    Sulla porta 8 del mio switch ho collegato un cavo che va a un'altra casetta limitrofa alla mia che darò in affitto ai turisti e in cui installerò un router o un access point per fornire loro una rete Guest. Quel che voglio fare è che i turisti possano accedere a internet, ma non vedere la mia rete locale e per questo ho pensato alle VLAN. Se metto un router potrei fare una configurazione WAN e far si che il server DHCP dia indirizzi in un'altra sottorete, ma non riesco a evitare che qualcuno tolga il cavo lan da dietro il router e si colleghi direttamente alla mia rete. Lo stesso dicasi se installo un Access Point perchè l'utente smaliziato potrebbe scollegare il cavo di rete e accedere direttamente alla mia rete scavalcando tutte le restrizioni che potrei mettere sull'AP.
    Se potessi far funzionare tutto con un Access Point potrei forse poi creare anche un SSID extra per me che mi da un altro pò di copertura in giardino (cmq questo è secondario).

    Con l'hardware che ho e con l'AP/router extra che comprerò come posso fare a ottenere l'obiettivo che mi sono prefissato?

    Da quel che ho capito da alcune guide in rete sembra che debba taggare in qualche modo la porta 8 del mio switch che va alla casetta, ma da alcune prove fatte non sono riuscito a far andare nulla.

    Grazie mille

  2. #2
    Super Moderatore L'avatar di frakka
    Registrato
    May 2001
    Località
    Casalecchio di Reno (Bo)
    Età
    43
    Messaggi
    23,379
    configurazione

    Predefinito

    Non lo puoi fare.
    ######################################################
    [EDIT:]
    Scusami, come non detto... Non so perchè prima mi aveva aperto un'altra pagina sul sito di netgear che riportava un apparato unmanaged.
    Mi riguardo un attimo la questione...
    ######################################################


    Per ottenere il tuo scopo la soluzione più economica è prendere un altro router da mettere in cascata al tiscali per gestire la tua rete locale e connettere i dispositivi dei turisti (l'AP che arriva alla casetta) direttamente al router di Tiscali. In questo modo, anche se scollegassero il cavo dall'AP, si troverebbero in una rete "vuota" costituita solo da loro, dal router Tiscali e dalla porta WAN del router che nasconde la tua rete locale.

    Preferibilmente scegli un router di una certa qualità, che ti permetta di configurare un po' di firewall sulla porta WAN, per bloccare tutto il traffico in ingresso non proveniente direttamente dall'IP del router Tiscali.

    Se è necessario un numero maggiore di porte, puoi montare dei normali switch unmanaged dietro a ciascun router.

    In questo modo non potrai usare l'AP dei turisti per estendere la tua rete privata ma configurare la rete per poter fare questa cosa richiederebbe di mettere un router in grado di gestire VLAN o comunque reti LAN multiple in cascata al Tiscali e anche un AP (che supporti le VLAN ed SSID multipli!) nella casetta dei turisti.

    Sicuramente mantenere le reti su device separati costa meno e ti espone a meno rischi di sicurezza.
    Ultima modifica di frakka : 23-04-2018 a 02:09

    Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.

  3. #3
    Super Moderatore L'avatar di frakka
    Registrato
    May 2001
    Località
    Casalecchio di Reno (Bo)
    Età
    43
    Messaggi
    23,379
    configurazione

    Predefinito

    Rimane valido quanto detto in precedenza: Perchè il discorso funzioni è necessario che anche il router sia in grado di gestire le VLAN o almeno reti diverse per ogni porta fisica.

    Nel mio caso, il mio "router" (server linux autocostruito) ha una porta WAN che va verso il router del provider ed sul lato "LAN" ha 3 VLAN: Una per la mia rete locale cablata, una per la mia rete locale wireless (in bridge) ed una per la rete wi-fi ospiti.

    Sulla porta che va all'access point ho impostato come "tagged" sia la VLAN "ospiti" che la vlan "privata" e, nonostante condividano la stessa porta fisica, sono due reti completamente distinte a livello di traffico.
    Poi è il router che, gestendo le VLAN come se fossero porte diverse, smista e soprattutto regola il traffico tra le varie reti.
    Se il router non fosse in grado di gestire le VLAN avrei necessità di dedicare una porta ethernet diversa per ogni rete ma ancora potrei ottenere lo scopo.

    La maggior parte dei router "home" non è in grado di fare questa cosa quindi, senza aggiungere un router, non puoi fare quello che chiedi anche se lo switch supporta le VLAN.


    Rimango dell'idea che la soluzione che ti ho prospettato prima sia la più economica ed efficiente...

    Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.

  4. #4

    Predefinito

    Corretto, lo switch è managed e supporta le vlan. L'idea di avere un dispositivo in piu a monte l'avevo scartata proprio perchè poi dovrei comprare sia questo a monte che uno a valle che mi faccia da hotspot con relativi costi e consumi extra :/

    Se solo riuscissi a trovare una soluzione per evitare che gli ospiti tolgano il cavo di rete da sotto l'access point avrei trovato un buon compromesso. Ho appena comprato un edimax cap300 e visto che oltre ad avere una copertura fenomenale mi consente snche di bloccare il traffico verso certe reti in base al ssid, oltre che di fare traffic shaping.
    Sarebbe un compromesso accettabile in un'abitazione.

    Qualche altra idea?

  5. #5
    Super Moderatore L'avatar di frakka
    Registrato
    May 2001
    Località
    Casalecchio di Reno (Bo)
    Età
    43
    Messaggi
    23,379
    configurazione

    Predefinito

    Originariamente inviato da blacktek
    Corretto, lo switch è managed e supporta le vlan. L'idea di avere un dispositivo in piu a monte l'avevo scartata proprio perchè poi dovrei comprare sia questo a monte che uno a valle che mi faccia da hotspot con relativi costi e consumi extra :/

    Se solo riuscissi a trovare una soluzione per evitare che gli ospiti tolgano il cavo di rete da sotto l'access point avrei trovato un buon compromesso. Ho appena comprato un edimax cap300 e visto che oltre ad avere una copertura fenomenale mi consente snche di bloccare il traffico verso certe reti in base al ssid, oltre che di fare traffic shaping.
    Sarebbe un compromesso accettabile in un'abitazione.

    Qualche altra idea?
    Stasera ci riguardo ma non penso che ci sia modo di farlo senza aggiungere o sostituire hardware...

    Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.

  6. #6

    Predefinito

    Originariamente inviato da frakka
    Stasera ci riguardo ma non penso che ci sia modo di farlo senza aggiungere o sostituire hardware...
    grazie

  7. #7
    Super Moderatore L'avatar di frakka
    Registrato
    May 2001
    Località
    Casalecchio di Reno (Bo)
    Età
    43
    Messaggi
    23,379
    configurazione

    Predefinito

    Ma l'edimax è dotato del kit per il montaggio a soffitto: Tu pensi di tenerlo ad altezza d'uomo o montarlo a parete?

    Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.

  8. #8

    Predefinito

    Originariamente inviato da frakka
    Ma l'edimax è dotato del kit per il montaggio a soffitto: Tu pensi di tenerlo ad altezza d'uomo o montarlo a parete?
    posso optare per entrambe le soluzioni, ma per la sicurezza non cambia troppo. Alla fine se uno vuole togliere il cavo lo fa sia che sia a soffitto che a parete. come mai la domanda?

  9. #9
    Super Moderatore L'avatar di frakka
    Registrato
    May 2001
    Località
    Casalecchio di Reno (Bo)
    Età
    43
    Messaggi
    23,379
    configurazione

    Predefinito

    Per curiosità... Anche io ho l'AP montato a soffitto e lo ritengo sufficiente come "anti-manomissione".

    Stavo pensando a come fare ma fino a che tutto confluisce nella stessa LAN del router non c'è nulla che puoi fare per separare il traffico.

    Oddio...
    L'unico modo in cui potresti "separare" (ma è una porcheria) è quello di configurare in modalità "access" una parte delle porte dello switch su una vlan e una altro gruppo di porte su un'altra VLAN. Dovresti poi portare due cavi dal router, uno per ciascuna VLAN: I dispositivi finirebbero per trovarsi nella stessa "network" ma su due "supporti" logici separati (come se avessi due switch indipendenti all'interno dello stesso chassis) quindi i dispositivi collegati a diverse VLAN sullo switch non potrebbero raggiungersi tra loro ma dovrebbero essere in grado di raggiungere il router e uscire verso internet.

    Mi aspetto però ogni genere di imprevisti, non ho proprio idea di quali problemi potrebbero insorgere (ma sono abbastanza sicuro che ce ne sarebbero!). Se le porte integrate nel router fossero "hub" e non "switch" (che normalmente sarebbe male!) potrebbe forse anche funzionare...
    Ma è molto probabile che si incarti tutto dato che lo switch rileverà un loop, sentendo il MAC address del router su due porte diverse. Puoi forse vedere se lo switch permette di disattivare la "loop detection"...

    Ma, davvero... Non lo fare, non è il caso.


    Purtroppo i router SOHO commerciali non permettono (solitamente) di intervenire sulle porte lato LAN o di fare configurazioni avanzate...

    Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.

  10. #10

    Predefinito

    Originariamente inviato da frakka
    Per curiosità... Anche io ho l'AP montato a soffitto e lo ritengo sufficiente come "anti-manomissione".

    Oddio...
    L'unico modo in cui potresti "separare" (ma è una porcheria) è quello di configurare in modalità "access" una parte delle porte dello switch su una vlan e una altro gruppo di porte su un'altra VLAN. Dovresti poi portare due cavi dal router, uno per ciascuna VLAN: I dispositivi finirebbero per trovarsi nella stessa "network" ma su due "supporti" logici separati (come se avessi due switch indipendenti all'interno dello stesso chassis) quindi i dispositivi collegati a diverse VLAN sullo switch non potrebbero raggiungersi tra loro ma dovrebbero essere in grado di raggiungere il router e uscire verso internet.

    Mi aspetto però ogni genere di imprevisti, non ho proprio idea di quali problemi potrebbero insorgere (ma sono abbastanza sicuro che ce ne sarebbero!). Se le porte integrate nel router fossero "hub" e non "switch" (che normalmente sarebbe male!) potrebbe forse anche funzionare...
    Ma è molto probabile che si incarti tutto dato che lo switch rileverà un loop, sentendo il MAC address del router su due porte diverse. Puoi forse vedere se lo switch permette di disattivare la "loop detection"...

    Ma, davvero... Non lo fare, non è il caso.
    si mi sa che è troppo spinta come soluzione. penso che devo spippolare cercando di evitare che le persone mi possano togliere il cavo dall'AP (cosa che cmq è remota)

    Sei comunque sicuro che abilitando le VLAN sullo switch non riesca a segmentare nulla senza un router che supporti le VLAN? a intuito è come dici te.

    OT: sai consigliarmi eventualmente qualche buon router/firewall casalingo senza wifi? mi pareva interessante questo linksys Web Management

    la funzione che al momento mi manca di più è avere un PPTP server in casa per poter fare interventi da remoto. il mio technicolor supporta il portforwarding solo TCP e UDP e non di GRE, quindi penso che mettere il server PPTP su un raspberry locale non funzionerebbe, giusto?

Pagina 1 di 2 1 2 ultimo

Informazioni Thread

Users Browsing this Thread

Ci sono attualmente 1 utenti che stanno visualizzando questa discussione. (0 utenti e 1 ospiti)

Regole d'invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
nexthardware.com - © 2002-2022