2 oddělené sítě

Routery, AP, switche, huby, ethernet

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod Lama32 4. 12. 2021 16:21

Dobrý den,

přečetl jsem si několik článku a mám určitou představu jak na to. Ale protože to nechci zkazit, abych měl doma pohodu, a nemusel pak něco vracet, dovolil bych se Vás zde přeptat.

Potřebuji doma striktně oddělit jedno zařízení od sítě, dosud to dělám přes Guest wi-fi, ale raději bych to udělal přes kabel.

Varianta č.1:
Hlavní router (jiný subnet)
1. Router (jiný subnet)
2. Router (jiný subnet)

Nevýhoda, musím koupit dvě zařízení. Výhoda - relativně jednoduchý a spolehlivý setup.
Je to tak, že zařízení z Router 1 a Router 2 se za žádných okolností nemohou vidět i když se Routery potkávají na Hlavním routeru (při použití jiných IP rozsahů)?

Varianta č.2:
Hlavní router s funkcí VLAN, kde nastavím dvě VLAN s různými rozsahy.

Nevýhoda - nenajdu vhodný návod na YouTube. Výhoda - pouze 1 zařízení.


Děkuji vše za pomoc.
Lama32
Kolemjdoucí

Odeslat příspěvekod JirkaVejrazka 4. 12. 2021 19:50

Tohle je mozne, ale zbytecne slozite reseni.Staci si koupit nejaky schopnejsi router (treba Mikrotik za 600 se 100Mbit porty (treba https://access-pointy.heureka.cz/mikrotik-rb931-2nd/ ) nebo cca 1800 s 1Gbit porty (https://access-pointy.heureka.cz/mikrotik-rb951g-2hnd/) a nic dalsiho kupovat nemusis. Oddeleni siti se da nastavit v konfiguraci, se kterou bychom pomohli.

VLAN neni potreba.

Mimochodem, navody je dobre hledat v psane dokumentaci.
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod hunter21 4. 12. 2021 20:17

Čo presne pre teba znamená oddeliť zariadenie od siete? Vieš to popísať podrobnejšie?
Napoviem:
Môže to znamenať napríklad len to, že by si nechcel aby bolo vidieť čo máš nazdielané.
hunter21
Pokročilý

Odeslat příspěvekod milsimr 4. 12. 2021 21:24

Nestačí jen trochu schopnější router, který by uměl nastavit DMZ na konkrétní IP? Popř. jsou i jiné možnosti, ale záleží na požadavcích.
Administrátor fóra Živě.cz.
milsimr
Administrátor
Uživatelský avatar

Odeslat příspěvekod JirkaVejrazka 5. 12. 2021 09:06

DMZ na konkretni IP v provedeni domacich krabicek provadi spis presmerovani portu na jeden stroj v LAN, ne realnou uddelenou DMZ, ne?
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod soban 5. 12. 2021 10:56

Jak už psaly, pokud potřebuješ udělat vlastně dvě nezávislé sítě tak se to dá udělat s mikrotikem kdy jedna síť bude na nějakých lan portech a druhá na jiných tak stejně i wifi se tam dá připojit na jednu nebo druhou, pokud má dvě rádia tak každé může být v jiné síti.

A nebo se to dá udělat routerem do kterého se dá nainstalovat OpenWRT samozřejmě ten router musí mít celkem výkonný cpu aby to stíhal.....

A nebo další řešení je další router - čili krabička.

Teď jde o to co už máš za zařízení.

Z mikrotiku bych doporučil:

S wifi: RBD52G-5HacD2HnD-TC někdy značené jako hAP ac²
Bez wifi: RB750Gr3
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod JirkaVejrazka 5. 12. 2021 13:18

Ja nejsem holka! ;-)
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod milsimr 5. 12. 2021 13:53

JirkaVejrazka: U většiny SoHo to nejspíš bude tak jak říkáš. Tak nějak jsem doufal, že to umí aspoň lepší Mikrotiky (v ruce jsem je neměl, tak bohužel nevím). Popř. by to měl umět aspoň Turris, ale ten je cenovkou už taky někde jinde.

Ideální by bylo splašit nějakej NUC se dvěma síťovkama za pusu a hodit na to nějakej router OS ...
Administrátor fóra Živě.cz.
milsimr
Administrátor
Uživatelský avatar

Odeslat příspěvekod JirkaVejrazka 5. 12. 2021 14:07

Mikrotiky to umi (vsechny), ale nerikaji tomu DMZ. To jen nekteri vyrobci (Asus?) ten termin DMZ ohnuli do protismeru, aby ho mohli napsat na krabicky.

Neni potreba NUC s velkou spotrebou a zbytecnym vykonem, tohle s prstem v nose zvladne kazdy rozumne konfigurovatelny router. Az uz Mikrotik nebo snad OpenWRT (tam nemam osobni zkusenost, ale co jsem slysel tak by to melo jit)
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod soban 5. 12. 2021 15:08

V Openwrt to jde bez problémů nastavit, jedině že by tam byl hloupý switch kde by nešly nastavit jednotlivé porty....
soban
Pokročilý

Odeslat příspěvekod hunter21 5. 12. 2021 15:28

Neviem páni ako chápete to striktné oddelenie, ale u nás vo firme s 5000 PC bola rovnaká požiadavka na jednom stroji a dopadlo to tak, že sme z neho odstránili sieťovú kartu aby to bolo striktne oddelené od siete. Spracovávalo sa na tom účtovníctvo a žiadateľ nechcel aby sa mu do PC ani náhodou niekto po sieti dostal. Preto by som rád vedieť, čo to striktne znamená pre tazateľa.
hunter21
Pokročilý

Odeslat příspěvekod vladimir 5. 12. 2021 16:02

Lama32 píše:Varianta č.1:
Hlavní router (jiný subnet)
1. Router (jiný subnet)
2. Router (jiný subnet)
Co je účelem toho oddělení?
1A: Aby tento potenciálně zavirovaný počítač nenakazil ostatní v síti,
1B: nebo naopak, aby se na tento počítač například s účetnictvím nikdo nedostal?
Podle toho, o kterou variantu jde, ti stačí hlavní router a JEDEN pomocný router a za ten pomocný router dáš 1A: všechny počítače kromě toho jednoho, 1B: za ten pomocný router dáš ten jeden počítač.

Já mám taky počítač, na který se nemá nikdo dostat (zálohy), tak to řeším Mikrotikem se dvěma sítěmi, na kterém mám zablokovanou komunikaci v jednom směru (počítač se zálohami smí navázat spojení se serverem v síti a vyzvednout si připravené zálohy, ale žádný počítač ze sítě nesmí navázat spojení na tento počítač.) Záleží na tobě, jak moc striktní oddělení potřebuješ.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod Lama32. 10. 12. 2021 09:52

Děkuji všem za Vás čas a odpovědi. Dost dobře to možná jen hrotím.

Mám firemní notebook, kde jsou různé sledovače apod. - což mi je víceméně jedno. Ale protože nad tím strojem nemám kontrolu, nechci aby byl volně na mé síti. Proto jsem si ho přihlásil přes Guest-Wifi a jsem spokojený, jenže bych to chtěl dát na kabel kvůli lepší stabilitě a rychlosti, ale tam už tápu.

Pokud by mi mojí situaci vyřešili 3 zařízení tj. 1 hlavní router s připojením k internetu a pak dva oddělené routery - jeden osobní a jeden jen pro firemní notebook, nevadí mi koupit 2 krabičky na víc.

Ale samozřejmě 1 krabiča je lepší, kvůli úspoře místa. Nejlepší řešení je tedy koupit Mikrotik a nastavit tam VLAN (jestli se to tak jmenuje) na jeden port a druhou VLAN na všechny ostatní porty? Díky.
Lama32.
Kolemjdoucí

Odeslat příspěvekod JirkaVejrazka 10. 12. 2021 10:15

Ne, VLAN nepotrebujes. Potrebujes tam mit dva bridge, dva DHCP servery a dva adresni rozsahy. VLAN jsou na neco jineho, nez potrebujes ty.

Pokud chces "jednoduche" reseni, tak si kup obycejny router s odpovidajici rychlosti portu (100Mbit nebo 1Gbit podle prenosu dat v domacnosti a rychlosti pripojeni k Internetu), ten propoj s tim hlavnim routerem (LAN z hlavniho routeru do WAN noveho routeru) a celou domacnost krome pracovniho notebooku pripoj k tomu novemu routeru. Vcetne vsech WiFi zarizeni. A dej pozor na to, ze DHCP na novem routeru musi byt nastavene na jiny adresni rozsah (tj. pokud ma soucasny router bezny rozsah 192.168.0.0/24, tak ten novy musis nastavit treba na 192.168.2.0/24).

Pokud bys to chtel resit jednim zarizenim, poradime s tim Mikrotikem, az ho budes mit.
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod Lama32. 10. 12. 2021 16:31

Díky moc, nevím proč některé návody na YouTube hovořili o 3 routerech, ale tohle mi dává perfektní smysl.

Líbí se mi to řešení, že si koupím nový router (mám pomalejší wifi než bych musel mít a při kopírování souborů to jde znát takže to využiju) a celou svoji domácí síť "postavím" na něm. Kabel z aktuálního routeru dám do zdířky WAN, nastavím odlišné rozsahy atd. Poté do aktuálního routeru zapojím pracovní notebook a mám hotovo.

Řešení s Mikrotikem zní krásně, ale obávám se, že jsem na něj příliš velká lama a musel bych s každým problémem za Vámi nebo někam jinam.
Lama32.
Kolemjdoucí

Další stránka

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků