Optymalniejsze rozwiązania do mojej sieci domowej - separacja ruchu za pomocą vlanów

Question

Cześć,

przechodzę do Was z problemem separacji ruchu w mojej lekko rozbudowanej sieci domowej.

Przechodząc do szczegółów mam zbudowaną sieć domową, która rozrastała mi się z każdym rokiem i co jakiś czas coś nowego było dokładane, a w związku z tym, że adminem nie byłem, interesowało mnie żeby wszystko działało i w zasadzie działa, ale nie satysfakcjonuje mnie ten temat.

 

Cel do osiągnięcia: separacja wifi oraz sieci domowej

W teorii prosta sprawa, można zrobić dwa/trzy vlany z róznymi podsieciami i zamknąć temat, natomiast, w związku z tym, że siec jest zbudowana, nie do wszystkiego mam już bezpośredni dostęp i nie wszystko chce zmieniać, szukam rozwiązania swojego przypadku:

 

1. Router Mikrotik HEX , 5 portów

2. Switch zarządzalny TP-link

3. Deco M4 , kilka sztuk, jedno wpięte do Mikrotika, drugie do switcha tp-linka, część bezprzewodowo, tryb pracy: Access point

4. Kilka switchy POE niezarządzanych, glownie do kamer

5. Most na ubiquity

 

>Wszystkie urządzenia mają adresacje 192.168.1.0/24

 

Do mikrotika podpiety: 1. ISP(WAN, PPPoE) , 2. rejestrator do kamer 3. jedno deco 4. most ubiquity 5. switch tp-linka

 

Teoretycznie gdy na Deco włączę tryb wifi guest, to siec jest izolowana, ale nie działa mi przez to drukarka , która posiada statyczny adres 192.168.1.70 z urządzeń przewodowych wpiętych do switcha tp-link, stąd ta opcja jest wyłączona.

 

Wydaje mi się, że najlepiej będzie odseparować ruch między portami , ale chciałbym np. z portu, w których jest switch i urządzenia przewodowe to mieć dostęp do całej sieci, ale w drugą stronę go nie mieć, dla bezpieczeństwa.

Nie potrafię tego zrobić, aby wszystkie urządzenia były w jednej podsieci (głównie przez kamery, które statycznie mają podsieć 1 i nie mam dostępu do zmiany), a jednocześnie by ruch od strony wifi był odseparowany od LAN i aby mi drukarka działała z każdego urządzenia, nie tylko z wifi ;) 

 

Bardzo proszę o wskazówki co mogę ustawić na mikrotiku, przypuszczam, że będzie to kwestia 2/3 vlanów i dodanie reguł do firewalla, natomiast przekopiują internet w tutorialach ustawia się osobne podsieci i osobne dhcp dla urządzeń, a w moim przypadku muszę został przy jednej podsieci.

 

Być może ma ktoś pomysł jak optymalniej to zrobić, chętnie się nauczę.

 

Dziękuję za pomoc.

 

 

Answer 1

Cześć

Do czego nie masz dostępu?

Comments

Nie mam dostepu do rejestratora oraz kamer, które są pod adresem 192.168.1.X

---

No to super, to już mamy jedna sprawę załatwioną i wiadomo w jakiej sieci masz to robić je żeli nie chcesz VLAN i teraz tak, sieć dla gości to jest coś dość co izoluje ci każdą możliwość połączenia sie do pozostałych segmentów sieci CHYBA że jest jakaś ACL która pozwoli puścić ruch tylko do drukarki, Jeszcze jedno pytanie po co chcesz izolować sieć dla gości w takim przypadku a nie zabezpieczyć dobrze rejestratora np. wycinając jakieś DNS w sieci lokalnej albo coś co odpytuje.

Drugi sposób jaki bym wybrał to niestety ale VLANY trzeba uruchomić i to zrobić kilka

2-zarządzający

3-Kamery

4-Sieć dla gości

5-Sieć domowa

i teraz tak to miałbyś już trochę zabawy bo raz na MT musiał byś dla każdej sieci zrobić DHCP z pulą  z wyjątkiem tego kamerowego to trzeba sprawdzić

ale zakładam że na rejestratorze nie ma DHCP.

Na FIREWALL w MT zrobić ACLke która wycina ruch między VLANAMI i tak by zostało z wyjątkiem sieci dla gości która pozwala na ruch jednokierunkowy z sieci dla gości do adres drukarki.

następnie jeszcze jedną ALC która puszcza wszędzie ruch z sieci Zarządzającej (MGMT).

Moim zdaniem drugi sposób jest bardziej cywilizowany jeżeli chcesz mieć dobre zabezpieczenie na wanie jak i na lanie

wszystkie inne urządzania transmisyjne czyli AP I te Ubi najlepiej żeby miały statycznie adresy ( jak być później coś chciał zmienić hasło albo kanał to żeby nie szukać)

a adresacje możesz małe robić żeby rozrzut po puli nie był duży np maska 29/30/31

to na razie się nie rozpisuje daj znać kótry pomysł bardziej Ci odpowiada