Odizoliwanie komputerów w sieci, brak możliwości VLAN


(Osimaru) #1

Witam.

Muszę oddzielić w pracy komputery publiczne od reszty sieci, myślałem że pójdzie łatwo i wystarczy wydzielić VLAN na jednym porcie routera z Orange (Comtrend), ale taka konfiguracja nie jest możliwa. W każdym razie tak mi odpisało Orange.

Pozostaje mi chyba jedynie podłączenie do jednego z portów drugiego routera, na którym również będzie włączony serwer DHCP na innej adresacji? Zakupiłem router Asus RT-12N aby go użyć w tym celu, w razie potrzeby wspiera on Tomato. Jak to ogarnąć w możliwie najprostszy sposób, aby działało i te komputery podłączone do do Asusa były odizolowane od naszych firmowych komputerów?

Pozdrawiam.


(ADR1991) #2

Być może się mylę, ale jeśli podłączysz do routera z orange router asusa oraz komputery firmowe, to komputery podłączone do asusa będą miały dostęp do tych firmowych. Jeżeli zrobisz odwrotnie (komputery firmowe do asusa, a te drugie do orange), to te pozostałe komputery nie będą miały dostępu do firmowych, ale firmowe będą miały dostęp do tych pozostałych.


(Osimaru) #3

schemat.thumb.jpg.709e8fa0f743fb0aaf0348

Rozrysowałem schemacik w paincie o co mi chodzi.

Da się w ogóle stworzyć sieć w taki sposób jak to rozrysowałem, czy jeżeli serwer DHCP będzie włączony na Asusie to mi namiesza coś w głównej sieci? Chcę osiągnąć takie coś, że wszystkie urządzenia podłączone do Asusa będą miały adresacje z innego zakresu i będą odseparowane od tych, podpiętych bezpośrednio do routera Orange lub przez switch.

schemat.jpg


(flecht) #4

Jeżeli miałbym to tak separować, to zdecydowałbym się raczej na odwrotne podejście – urządzenia firmowe na drugim routerze.


(Osimaru) #5

Możesz powiedzieć czemu byś zdecydował zrobić to na odwrót? Moja wersja nie zadziała?

Wiesz, mam na tym routerze od Orange ustawione przekierowania portów z zewnątrz i szczerze mówiąc chciałbym uniknąć rozgrzebywania tego, bo działa…

Niestety nie mam możliwości wydzielenia VLAN na tym routerze od Orange, ogółem nie mam tam żadnych uprawnień bo Orange nie chce dać mi danych na jakieś konto admina do tego routera, a sami nie mogą nic zrobić lub nie potrafią.


(flecht) #6

W twoim wariancie ruch publiczny będzie szedł po łączach prywatnych – zgaduję, że separację uzyskasz nie od tej strony, co byś chciał.


(Osimaru) #7

Serwerem DHCP jest router od Orange, innym serwerem jest komputer, który musi zostać odseparowany, ale nie jest to taki serwer przez który idzie ruch sieciowy tylko taki z bazą danych i na niego są porobione przekierowania ruchu z zewnątrz i inne rzeczy. Boje się, że nie podołam potem konfiguracji gdybym tak jakby zamienił sieci miejscami.

Hmm, uzyskam separację nie od tej strony co bym chciał… a to nie zadziała tak jakby w obie strony? Tak, że obie sieci będą dla siebie niewidoczne?


(Drobok) #8

Wyżej zawsze się będziesz mógł podłączyć, jeśli ip nie ma w podsieci zapytanie idzie do bramy a jako że twoja brama jest w podsieci z danym ip to dostęp do niego będzie bezproblemowy.

Jedyna opcja to 2 podsieci i blokada wzajemnego ruchu w firewallu (czego na swoim routerze nie zrobisz), więc musisz zmienić oprogramowanie routera/ wstawić fizyczny firewall / zmienić router na taki z odpowiednim firewallem. Tak czy siak ten asus jest zbędny, chyba że nie chcesz się łączyć bez przekierowania portów z pc publicznymi.

Porada ADR1991 też imo jest ok. 


(Osimaru) #9

A ten asus jakbym np. zainstalował na nim Tomato nie będzie miał odpowiednich możliwości w firewallu aby ustawić to wszystko żeby było cacy podłączając tak jak to rozrysowałem?


(Drobok) #10

To mogło by się udać - zablokowałbyś na nim dostęp do puli ip którą będziesz miał w sieci prywatnej.

Jednak zmiana oprogramowania na nowym urządzeniu powoduję utratę gwarancji - szczególnie jeśli zrobisz z niego przycisk do papieru, a przywrócenie starego za pomocą jtag się nie uda.


(Osimaru) #11

Z instalacją Tomato sobie poradzę, już nie raz to robiłem. Co do uceglenia to Asusy prościej odratować.

Z tym, że z konfiguracją zasad w tym firewallu sobie nie poradzę sam i tu będę musiał zasięgnąć porad również.

Oczywista sprawa, ale się upewniam: kabel od routera orange musi być oczywiście wpięty w port WAN Asusa, na którym będzie drugi serwer dhcp?


(Drobok) #12

tomato nie ma bardziej rozbudowanego firewalla, ale imo routing puli adresów na loopback powinien zadziałać tak jak oczekujesz. Spróbuj najpierw tego na fabrycznym firmware, a później o ile nie zadziała to wgraj dd-wrt a nie tomato. I tam masz już konkretny firewall.

Co do podłączenia - tak.

Wchodzisz w routing, wpisz ip i maskę dla danej podsieci którą chcesz zablokować, a w gateaway wpisz 0.0.0.0 lub 127.0.0.1


(Osimaru) #13

Czyli spróbować najpierw na domyślnym sofcie? Jeżeli nie ma potrzeby zmieniać na tomato to nie.

Czyli jeżeli Asus będzie serwerem dhcp w podsieci 192.168.1.x, to w routingu muszę wpisać ip i maskę tej głównej podsieci która leci z routera Orange i wpisać jej bramę jako 0.0.0.0 lub 127.0.0.1? A w takim wypadku komputery w obu podsieciach będą się wzajemnie widzieć tylko będzie zablokowana możliwość połączenia między jednym a drugim, czy w ogóle nie powinny się widzieć?

PS. Patrzę u siebie w Tomato i tam jeszcze trzeba wybrać interfejs, którego dotyczy reguła. Tu będę musiał wybrać ten interfejs LAN, na którym jest adresacja z Asusa (192.x.x.x)?


(Drobok) #14

Jeśli masz włączony nat, to powinieneś wybrać wan. Nie blokuj całej sieci tylko część ip w sieci prywatnej.

Czy będą się widzieć, trudno powiedzieć. Nie wiem jak pc listują inne w sieci, jeśli przez broadcast to wtedy będą się widziały (o ile nie zablokujesz odpowiedzi). Jednak w wypadku próby pingu każdego ip napastnik nie dostanie odpowiedzi od pc do którego dostęp zablokujesz przez tablicę routingu. Musiałbyś spytać kogoś mądrzejszego :stuck_out_tongue:

Z racji włączonego nat część pc podłączonych bezpośrednio do orange nie będzie widzieć ten asusowej. Te pod asustem nawet w wypadku braku jakiegokolwiek działania nie powinny wyświetlać obecności pc spod orange (o ile pc nie będzie pingował wszystkich ip po kolei). Jednak po wpisaniu ip połączenie powinno nastąpić (co ty w tablicy routingu będziesz blokował). 


(Osimaru) #15

Ok dzięki, spróbuję to zrobić we wtorek bo wtedy będę w pracy. To funkcję NAT muszę włączyć na którymś z urządzeń? Zablokować np. zakres IP serwera DHCP Orange + adres routera orange?


(Drobok) #16

Nie, nat domyślnie powinien być włączony. Jeśli podłączysz lan orange do wan asusa to poza routingiem nie musisz nic zmieniać. 

A co przekierowania adresu routera nadrzędnego - jeśli blokowałbyś to firewallem to nie miałbyś dostępu do panelu routera, a jeśli zablokujesz go za pomocą tablicy routingu to stracisz dostęp do internetu. Jednak tutaj też musiałbyś zasięgnąć drugiej opinii lub zwyczajnie spróbować.


(roobal) #17

Nie zamienisz tych routerów miejscami z prostego powodu - Asus nie ma modemu adsl. Pozostaje jedynie blokowanie na ruchu firewallem lub kupno niedrogiego switch zarządzalnego przez interfejs web. Taki 8-portowy można kupić za jakieś 500zł netto. Ewentualnie jakiś APek z kilkoma SSIDami, np. Ubiquity Unifi.


(Osimaru) #18

Nie miałbym dostępu do panelu routera nadrzędnego z komputerów podpiętych pod Asusa? To akurat by mi również odpowiadało :wink:

 


(Drobok) #19

W lan route


(Osimaru) #20

Tak też spróbowałem zrobić wpisując kolejno 10.0.0.0 (bo nie mogłem zakresu wybranego wpisać, w każdym razie nie umiem), standardową maskę oraz bramę 0.0.0.0 ale jak się okazało nic nie działa a podłączenie routera namieszało mi z adresacją w głównej sieci - czyżby NAT w tym routerze orange nie był włączony? Ja nie widzę opcji w tym głównym routerze włączenia lub wyłączenia NAT, gdy klikam w zakładkę NAT to mam przekierowywanie portów.