Перейти до

Разграничение доступа в домашней сети


Рекомендованные сообщения

Добрый день.

Необходима помощь в решении задачи. В построении сетей опыта не имею, заранее извиняюсь за (возможно) идиоские вопросы.

 

Исходные данные: домашняя есть, обычный домашний роутер, кучка беспроводных устройств, кучка проводных.

Что нужно:

1. Ограничить доступ для нескольких проводных и беспроводных устройств ко внутренней сети, оставить доступ в интернет

2. Ограничить доступ к некоторым устройствам для остальных, кроме одного (например, доступ к IP-камерам не должен быть ни у одного устройства, кроме сервера, который пишет, при этом доступ к серверу должен быть из общей сети и интернета)

 

Что я напридумывал:

Купить L2 коммутатор, и поднять на нем VLAN на базе портов, например, для основной сети VLAN1, камер VLAN2, для изолированных по отдельному VLAN, сервер входит в VLAN1 и VLAN2, роутер во все VLAN

 

Вопросы:

1. Правильный подход выбран для решения задач? Если нет, то как это можно сделать?

2. Если подход правильный, как будут назначаться IP для проводных и беспроводных клиентов? DHCP роутера будет работать?

 

Ссылка на сообщение
Поделиться на других сайтах

Эм, это можно реализовать средствами микротика, разбиванием на бриджы.

Указали бы какой роутер используеться, и что еще есть в сети (помимо камер, сервера, пк, телефонов).

Ссылка на сообщение
Поделиться на других сайтах

 

 

Купить L2 коммутатор
 

С поправкой - L2 managed/управляемый/smart.

"Тупарики" L2 Как правило не имеют никаких настроек-VLAN.

Но возникает тогда вопрос - кто будет разруливать политики между вланами (то есть, к примеру, роутер с поддержкой VLAN и фаерволом. Или взять сразу нормальный L3 свич).

В общем сильно зависит от того, на каком железе остановитесь.

В принципе и на микротике можно, а можно и без него.

Со свичами CRS микротика осторожно - там роутинг очень слабый (ибо софтверный). Может оказаться неприятным сюрпризом. Аналогично с бриджами в микротике - они софтверные, то есть нагрузка на проц....

То есть вначале озвучте бюджет и пропускную, какую хочется иметь.

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)
То есть вначале озвучте бюджет и пропускную, какую хочется иметь.

 

Гигабит

В пределах 100-150 баксов было бы отлично

Відредаговано dotter
Ссылка на сообщение
Поделиться на других сайтах

1. В описании АС66 ничего не вижу насчет VLAN.

2. Гигабит где - внутри сегмента/влана, между вланами, Интернет?

При таком бюджете ничего, кроме D-link DGS-1100 с его сегментацией трафика не приходит на ум...

Но у меня с таким железом опыта мало :)

Відредаговано BlackVS
Ссылка на сообщение
Поделиться на других сайтах

Спасибо за ответы.

1. В стоковой прошивке похоже есть, но настраивать только по телнету.

Но есть и сторонние, где настройки VLAN есть в веб интерфейсе: http://tomato.groov.pl/wp-content/gallery/screenshots/vlan.png

Перешить роутер не проблема, при необходимости.

 

2. Интернет пока 100 Мбит, в будущем возможен переход на Гбит, но пока я вижу мало смысла в этом.

Остальное гигабит

Ссылка на сообщение
Поделиться на других сайтах

Ну так перешивай свой роутер и попробуй собрать свою схему... если все взлетит то просто докупишь управляемый л2 коммутатор. 

Ибо в подобных схемах на кастомных прошивках грабли могут вылезти на любом шаге...

Ссылка на сообщение
Поделиться на других сайтах

Как по мне как вообще ничего делать не нужно. Любая камера имеет на доступ логин/пароль, у большинства есть и белый/черный список по айпи на доступ. Что есть сервер видеонаблюдения? Там же точно так же должен быть логин/пароль и файрвол...

Ссылка на сообщение
Поделиться на других сайтах

Как по мне как вообще ничего делать не нужно. Любая камера имеет на доступ логин/пароль, у большинства есть и белый/черный список по айпи на доступ. Что есть сервер видеонаблюдения? Там же точно так же должен быть логин/пароль и файрвол...

Увы, не любая. К тому же вопрос не только в камерах - нужно полностью закрыть доступ ко внутренней сети для нескольких потребителей

 

Эм, мне кажеться что за 130 баксов купить rb2011 (сам такой пользую), и он разрулит абсолютно всё.

Спасибо за рекомендацию, но у меня появилось еще несколько нубских вопросов:

1. Какая схема подключения? Инет-АС66-rb2011-потребители или Инет-rb2011-АС66(как точка доступа)+потребители

2. В rb2011 5 гигабитных портов и 5 по 100 Мбит. Что если мне нужно подключить больше 5 гигабитных устройств с ограничениями?

3. Хотя бы в 2 словах, как будет выглядеть настройка всего этого добра?

Ссылка на сообщение
Поделиться на других сайтах

Если нужно больше 5 гигабиток то rb3011.

У меня реализовано так:

Rb2011, в котором отключен встроенный wifi (у меня модель с wifi)

Точка доступа - xiaomi mi wifi router 3

Ну и сервак, камеры, точка доступа, компы и т.д. воткнуты в rb2011.

 

Просто камеры, точка доступа, ТВ приставка имеют 100мбит порты, и мне как бы rb2011 хватает.

Производительности тоже хватает (15 правил фаервола, 200 мбит жует на легке).

 

Просто, если с микротиком дел не имели, будт сложности в первоначальной настройке, но потом норм. Я сейчас уже на другой роутер не перееду.

 

 

AC66 - хорош роутер.

Единственный минус что у xiaomi mi wifi 3 роутера нет гостевой/негостевой точки доступа. Но всё это можно реализовать микротиком, разделением пользователей на разные пулы dhcp ip адресов.

Скорости у сяоми роутера, хоть и порт 100 мбит, хватает. 2,4 и 5 ггц.

 

Ну как-то так.

 

Если я в чем то не прав то поправьте.

Відредаговано H_U_L_K
Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

Xiaomi mi wifi router 3 хорош за свои деньги, но мне 100 Мбит вероятно не хватило бы - 4 активных клиента ас, из которых в среднем половина в инете, вторая с сервера во внутренней сети смотрят/качают.

Да и менять на него мое добро смысла мало :)

Впрочем, это уже оффтоп.

 

По поводу сложностей в настройке - разберусь, все это затеваю в том числе для самообразовательных целей - всегда интересовала эта сфкра, но только сейчас дошли руки до реальных занятий этим. Главное сейчас выбрать правильно железо, чтобы можно было с ним реализовать все что нужно.

 

Если нужно больше 5 гигабиток то rb3011.

А через обычный свич подключить нельзя? Если на порт роутера подключить свитч с несколькими потребителями, им можно настроить разные для каждого доступы в сети? Відредаговано dotter
Ссылка на сообщение
Поделиться на других сайтах

Единственный минус что у xiaomi mi wifi 3 роутера нет гостевой/негостевой точки доступа. Но всё это можно реализовать микротиком, разделением пользователей на разные пулы dhcp ip адресов. Скорости у сяоми роутера, хоть и порт 100 мбит, хватает. 2,4 и 5 ггц.

 

 

Нет там этого минуса. Все там на месте, и в  двойке есть и в пятерке.  Хороший роутер но не для задач ТС

 

 

post-17807-0-12215400-1502020443_thumb.jpg

Ссылка на сообщение
Поделиться на других сайтах

 

Единственный минус что у xiaomi mi wifi 3 роутера нет гостевой/негостевой точки доступа. Но всё это можно реализовать микротиком, разделением пользователей на разные пулы dhcp ip адресов. Скорости у сяоми роутера, хоть и порт 100 мбит, хватает. 2,4 и 5 ггц.

 

Нет там этого минуса. Все там на месте, и в двойке есть и в пятерке. Хороший роутер но не для задач ТС

Ну, из коробки нет.

И мне проще было развести пользователей на уровне dhcp, нежели колдовать с прошивкой падавана.

Ссылка на сообщение
Поделиться на других сайтах

Как по мне как вообще ничего делать не нужно. Любая камера имеет на доступ логин/пароль, у большинства есть и белый/черный список по айпи на доступ. Что есть сервер видеонаблюдения? Там же точно так же должен быть логин/пароль и файрвол...

Не любая. И чем дальше тем больше попадается бытовых устройств (телевизоры, медиаплееры, кондиционеры, и т.д.) где или нет пароля или нельзя поменять стандартный.... Странная тенденция однако.  :wacko:

Ссылка на сообщение
Поделиться на других сайтах

1) Что за камера то такая что пароль на нее не вещается.

2) Вы мониторили траффик в своей сети? Я на 90% уверен, что полку в 100 Мбит/с вы не используете... P.S. из опыта мониторинга траффика пользователей в сетях провайдеров.

Ссылка на сообщение
Поделиться на других сайтах

1) Что за камера то такая что пароль на нее не вещается.

Xiaomi Ants Xiaoyi Smart Camera. Забрать RTSP поток можно без авторизации, доступ к записям, которые на карте памяти тоже открытый. Механизмы ограничения доступа в принципе отсутствуют. Также в сети будут чужие люди, у которых может появиться желание поковырять мои устройства, а в их степени защиты, даже, если она и есть, я совсем не уверен. Чтобы минимизировать вероятность таких ковыряний и затруднить их я и хочу разграничить доступ на уровне сети.

 

2) Вы мониторили траффик в своей сети? Я на 90% уверен, что полку в 100 Мбит/с вы не используете... P.S. из опыта мониторинга траффика пользователей в сетях провайдеров.

Я не утверждаю что у меня 100% времени нагрузка больше 100 Мбит/с, но после перехода на гигабитный роутер во время пиковых нагрузок пропали подлагивания при просмотре видео как с сервера так и с ютуба и остального инета.

В любом случае это оффтоп, имхо.

 

Повторю свой вопрос:

А через обычный свич подключить нельзя? Если на порт роутера подключить свитч с несколькими потребителями, им можно настроить разные для каждого доступы в сети?

Ссылка на сообщение
Поделиться на других сайтах

Повторю свой вопрос:


А через обычный свич подключить нельзя? Если на порт роутера подключить свитч с несколькими потребителями, им можно настроить разные для каждого доступы в сети?

 

Нужен свич с поддержкой VLAN. Тогда можно.

Ссылка на сообщение
Поделиться на других сайтах

Ок, спасибо за ответы.

Т.е. как я понимаю, одним из вариантов будет покупка роутера типа Mikrotik RB2011, и если мне не будет хватать портов докупить практически любой L2 свич, а текущий роутер поставить как точку доступа.

 

Еще раз всем спасибо за помощь :)

Ссылка на сообщение
Поделиться на других сайтах

Вдогонку еще один вопрос.

Если подключить к RB2011 мой AC66 как ТД, беспроводных абонентов, котоорые к ней подключены можно будет загонять в разные VLAN средствами RB2011?

Или нужно будет перешивать AC66 на стороннюю прошивку с нормальной работой с VLAN и настраивать это уже на нем?

Ссылка на сообщение
Поделиться на других сайтах

А не проще залить на существующий роутер прошивку openwrt и потом создать интерфейсы изолированные друг от друга, хоть проводные, хоть беспроводные. И никаких дополнительных финансовых затрат. Автор ведь сказал что сеть домашняя, для себя ведь делает. Насоветовали, только деньги вытаскивай...

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від c0rax
      Коллеги, у кого есть и кто может поделиться адекватным и актуальным на сегодняшний день, примером такого заявления, с каким нужно обращаться в ОСББ/ЖЕК/обслуживающую ТОВ, для заключения договора и получения разрешения на доступ и размещения телеком. оборудования в доме или жк ?
       
      Отправьте сюда или мне в ЛС. Спасибо.
    • Від lugam0dder
      Куплю 24 и 48 портовые гигабитные коммутаторы доступа. Б.У. известных марок.
      Интересуют предложения от 50шт.
      Основные требования:
      Telnet
      SNMP
      Vlan >64
      Тихий
      Невысокое потребление
      Влазящий в 400мм шкаф
      SFP >=2шт
      Всеядный по SFP
      Предложения в ПМ.
    • Від Beshenuy
      Доброго дня
      Чи користується хтось із Львівських провайдерів чи техніків універсальними ключами до домофонів ?
      Можливо у когось є коди універсальні від різних домофонних структур?
      Потрібна допомога з доступами. Звійсно не безкоштовно=)
       
    • Від v89_0470
      Есть в продаже коммутатор Eltex MES2124F БУ.
      Интерфейсы
      24 х 100BASE-FX/1000BASE-X (SFP) 4 x 10/100/1000BASE-T/1000BASE-X/ 100BASE-FX Combo  Консольный порт RS-232/RJ-45  
      Производительность
      Пропускная способность - 56 Гбит/с Производительность на пакетах длиной 64 байта - 41 MPPS Таблица MAC-адресов - 16K Количество активных VLAN - 4K Таблица ACL - 512 Размер Jumbo-фрейма - максимальный размер пакетов 10240 байт  
      Коммутатор проверен, прошивки свежие,  в комплекте сам коммутатор, крепеж в стойку, кабель питания.
      Продается по причине замены на MES2324FB на сети клиента.
       
      Цена 6000 грн возможен небольшой торг.
       
      Все вопросы в личку или звоните 0991796389.
       

    • Від serf1
      С наилучшими пожеланиями всем!
      Просим подсказать/помочь, если кто сталкивался с подобной ситуацией.
      Построили ПОН в одном населенном пункте. Народ подключается, довольны. Скорость по оптике до 100 МБит/с.
      Столкнулись с проблемой. Есть микрорайон, где дома и опоры принадлежат определенной организации, которая также раздает интернет в этом районе. Они предоставляют услугу со скоростью до 5 МБит/с. 
      На наши официальные письма по доступу к их  инфраструктуре получили официальный отказ из центрального офиса.
      Может у кого есть варианты решения подобной ситуации?
      Заранее спасибо.
×
×
  • Створити нове...