Access point WiFi do IoT

Witam,

Potrzebuję access point (router) który obsłuży mi kilka urządzeń WiFi (komputer + telefony) i urządzenia IoT (inteligentne termostaty i gniazdka po WiFi). W domu jest już główny router/switch mikrotika. Nie mogę mieć fizycznie oddzielnych access pointów do WiFi i IoT ponieważ mikrotik jest glęboko schowany, a kabel LAN jest jeden w punkcie centralnym domu. Założenie jest takie, że komputery i telefony muszą widzieć siebie nawzajem i wszystkie urządzenia lokalne (np. drukarka), natomiast urządzenia IoT mają mieć dostęp do Internetu ale nie mogą widzieć pozostałych urządzeń w sieci lokalnej ze względów bezpieczeństwa. Na pewno pod IoT trzeba stworzyć osobną sieć WiFi. Chodzi mi o taki access point który da radę ustawić dostępy zgodnie z ww założeniami. Co polecacie?

Pozdrawim

To nie lepiej przydzielić po MAC wszystkie IoT do osobnego VLANu na mikrotiku?

Nie napisałaś jaki masz mikrotik (za 100 zł czy za 1000):smirk: i nie wiadomo co sie da na nim zrobić?

Mam RB2011iL-RM.
@hindus cenna uwaga.
Wgryzam się dopiero w tematy sieciowe. Poczytam pod kątem VLANów.
@darek0107 masz jeszcze jakąś inną sugestię czy MACi przydzielone do osobnego VLANu to optymalny sposób?

Ale ja ciebie za bardzo nie rozumię. Masz coś takiego https://www.cdr.pl/p1750,mikrotik-routerboard-rb2011il-rm-rb2011il-rm-1u-19.html
i ty do tego chcesz podłaczyć 1 szt. router WiFi do jenego portu który obłuży cie te urządzenia ?
To po co ci ten router/switch jeżeli używaż jednego portu - on jest niepotrzeby. To musisz mieć router WiFi z możliwością tworzenia podsieci. Bo inaczej musisz stworzyć podsieci na kolejnych portach (czyli kilka zwykłych routerów WiFi) Mam coś podobnego w pracy. Teoretycznie można mu spisać skrypt, żeby rodzielić te urządzenia na jednej sieci, ale nie wiem czy sobie z tym poradzisz. Chyba że ja nie kapuje co chcesz robić, ale tak doczytałem.
VLAN to jest coś takiego https://pasja-informatyki.pl/sieci-komputerowe/vlan-wprowadzenie/

u tego producenta wszystkie urządzenia bazują na jednym systemie (routerOS), możliwości w zakresie tworzenia VLANów są identyczne nawet w popierdółce za 100zł.

Wiadomo wydajność routingu, przepustowość VPN itd będzie się różnić. Im lepsze urządzenie tym będzie wydajniej.

Do AP musisz doprowadzić kabel wpięty do portu pracującego w trybie trunk, później zwykle na samym AP jest możliwość dodania SSID do konkretnego VLANu.

Użytkownik łącząc się z siecią np. siec_10 np. dostanie się do VLAN ID 10 i adresacji 192.168.10.0/24
inny użytkownik łączący się z siecią siec_20 dostanie się do VLAN ID 20 i adresacji 192.168.20.0/24

A same interakcje między VLANami skonfigurujesz w firewallu bo domyślnie chyba jest między nimi łączność w MT.

No i najważniejsze wszystkie urządzenia po drodze muszą wspierać VLANy.

@darek0107 to właśnie było moje pytanie odnośnie access pointa z możliwością tworzenia podsieci. Odpowiedzi na mój post naprowadziły mnie na pomysł, że da się wydzielić vlan dla moich urządzeń IoT na poziomie routera mikrotik, który już mam. Mam już też zwykłego tplinka z wgranym openwrt jako access point. Jeśli na tych urządzeniach da się wydzielić podsieć dla urządzeń IoT to super, jeśli nie to prosze o radę jaki access point kupić aby spełnił moje oczekiwania.

Mam raczej podstawową wiedzę o sieciach dlatego muszę zadać pytanie odnośnie AP.
Rozumiem, że VLANy utworzę na moim głównym routerze mikrotik. Wydaje mi się, że dowolny AP nie pozwoli mi powiązać róznych SSID z VLANami, chyba że się mylę?

Ale koledzy nie o to chodzi. Konfiguracja to jest prosta Np https://grzegorzkowalik.com/mikrotik-konfiguracja-vlan/
Chodzi o to że on ma router/switch który na “n” portów RJ45 i teraz tak: konfiguruje sobie VLANy jak wyżej no i co dalej. Jak połaczyć sieci z innymi urządzeniami - przez dodatkowy switch po kabli jak jest np za mało portów lub prze WiFi
Jak przez jeden router WiFi? Każdy VLAN musi mieć swój (to tak jak każda sieć musi mieć swój drut)
Można to zrobić w inny spsosób na jednej sieci tak że część urządzeń będzie odizolawana od innych ale to jest wyższa szkoła jazdy i tego nie da się zrobić z podstawowej konfukuracji
Raczej nie chodzi tu o konfigurację tylko fizyczne rozwiązanie problemu
A jaki jest problem ustawić 2 routery WiFi - do dwóch portów i wtery jest po sprawie - mamy dwie sieci. Dodatkowo na routerach WiFi wywalamy niepotrzebne urządzenia (blokujemy) i jest OK
Tylko jest problem - jak przyjdzie ktoś obcy to nie połaczy sie do sieci swoim urządzenie, trzeba by sworzyć trzecią otwartą jak poblokujesz po MAC Adress
A jeżeli chodzi o uzrądzenie to może https://www.ceneo.pl/91224398;pla#tab=spec tu masz cos takiego https://draytek.pl/przyklady/wifi-vigorap-dostep-bezprzewodowy-dla-gosci-z-uzyciem-vlan/#przyklad ale to ci chyba nie rozwiąże problemu
Ten RB2011iL-RM to się używa do sieci przewodowej nie wiem po co to kupiłeś?

RB2011iL-RM mam w punkcie gdzie schodzą mi kable z całego domu, służy on do obsługi sieci przewodowej. Kupiłem go bo chciałem mieć coś czym będą mógł się pobawić, podszkolić swoją wiedzę i jednocześnie wykorzystać praktycznie np. blokując dostęp w późnych godzinach nocnych. Teraz pomyślałem od wydzielonej sieci dla IoT.
Od mikrotika do punktu centralnego w domu, gdzie AP zapewnia dostęp w całym budynku mam jeden kabel ethernet. Reszta kabli jest doprowadzona do pokoi, gdzie mam stacjonarki, TV wszystko po kablu. Jeśli podłączę dodatkowy AP w którymś z pokoi to będą miał martwe punkty gdzie sygnału nie będzie.
Szkoda, że nie mam dwóch kabli do centralnego punktu w domu, wtedy mógłbym podłączyć fizycznie dwa AP i było by to prostrze w konfiguracji. Muszę się zastanowić nad pociągnięciem jeszcze jednego kabla, ale to będzie wiązało się z wierceniem i większym lub mniejszym bałaganem. Wtedy będę mógł zrobić VLANy na portach mikrotika. Dobrze zrozumiałem?

Zawsze możesz dorzucić kolejny switch mikrotika na końcu kabla i dopiero od niego wyprowadzić dwa AP

Co myślicie o tym https://mikrotik.com/product/RB941-2nD-TC?
RB2011iL-RM został by głównym routerem, a RB941 jako AP z dwoma SSID.
Przy czym urządzenia z jednego SSID widzą się po LAN z tymi podłączonymi bezpośrednio do RB2011.
Urządzenia IoT z drugiego SSID mają dostęp do Internetu, ale nie widzą urządzeń LAN i tych z pierwszego SSID. Na razie interesuje mnie informacja czy taki układ da się zrealizować, a jak to zrobić to doczytam i ewentualnie później Was dopytam.

Na MT spokojnie może zdefiniować wiele podsieci z różnymi adresacjami na jednym routerze.

Domyślnie wszystkie urządzenia będą się widzieć niezależnie od podsieci. Dopiero definiując odpowiednią regułę firewalla możesz ograniczyć ruch między np. dwoma urządzeniami, dwoma podsieciami itd.

OK tylko nie wiem czy Ci się to uda skonfigurować? Bo ty chcesz zrobić SSID1 jako przezroczyste żeby nie ciągnąc drugiego kabla od RB2011. I wtedy połączenia między urządzeniami odbywają się na RB2011 bo inaczej nie będzie połączeń między urządzeniami podpiętymi pod RB2011 i RB941. Tylko jest problem - jak robić żeby urządzenia IoT widziały się miedzy sobą? Nie wiem, kombinuj bo jak tak dobry nie jestem żeby Ci pomóc :joy:

sadaj72 - Tak, ale to są sieci programowe a nie fizyczne przez separację grup portów.
“Domyślnie wszystkie urządzenia będą się widzieć niezależnie od podsieci.” - tak tylko on chce zrobić przezroczysty SSID1 - tu mamy głowny RB2011 -“SSID widzą się po LAN z tymi podłączonymi bezpośrednio do RB2011”
Ja bym dał tu inne urządzenia - ale celem kolegi to jest nauka, to niech się bawi
Tu jest tak: część urządzeń podpiętych pod RB2011 część pod RB941 no i gdzie ta siecią zarządzać? Dlatego SSID1 musi być przezroczysty - czyli kabel po radiu do RM2011

Tak sobie wyobrażam przykładową konfigurację.

W MT ekspertem nie jestem więc nie chcę wchodzić w szczegóły konfiguracji, aby nie wprowadzać błędów lub złych praktyk podczas konfiguracji, zwłaszcza że konfiguracja VLANów na tych urządzeniach jest trochę zakręcona. Ale jest wiele materiałów szkoleniowych w internecie.

Na domyślnych ustawieniach powinna być łączność między dwiema podsieciami na dwóch VLANach, tzw. inter-vlan routing. Ograniczyć komunikację można jak wspomniałem wcześniej za pomocą reguł w firewallu.

Dzięki @sadaj72,

wcześniej wiedziałem tylko, że jest coś takiego jak VLAN. Teraz wiem, że może być tagowany, więc już coś się nauczyłem :). Przejrzałem linka linków z google i chyba rozumiem ideę. Myślę, że dokupię AP Mikrotik i spróbuję to skonfigurować. Jeśli nie dam rady będą wiercił dziurę pod jeszcze jeden kabel :slight_smile:

Radę dasz, @sadaj72 Ci mniej więcej dobrze opisał. Problem możesz mić tyklo w wydzieleniem IoT On Ci to samo narysował co Ci mówiłem - AP jest przezroczysty. Jak Ci się uda tak to zestawić to będzie OK bo na RB2011 wszystko zrobisz. Jak też nie jestem ekspertem w programowaniu tych urządzeń, tak że więcej raczej Ci nie pomogę.
Tylko to sieci programowe, w instytucjach nie robi się czegoś takiego bo ładwo jest się włamać w VLAN10 do VLAN20 i na odwrót. Przy wydzielonych portach spawa jest już trudniejsza