Nastavení routerů pro hlavní a sekundární síť

Routery, AP, switche, huby, ethernet

Moderátor: Moderátoři Živě.cz

Do fóra se už nepřihlásíte přezdívkou, je potřeba e-mail. Hned teď se podívejte, jakou e-mailovou adresu tady používáte a zapište si ji: odkaz Uživatelský panel v hlavičce –> záložka Profil. (Podrobnosti)

Odeslat příspěvekod superzoom 27. 7. 2022 20:36

Ahoj, potřeboval bych se poradit. Mám doma následující zapojení.

Od internet providera přivedena páteř s veřejkou.
|
Na vstupu je hlavní router (ASUS s DHCP).
|
Za routerem připojení klienti (drátově i bezdtrátově). Na některé klienty jsou v rámci master routeru otevřené porty pro vzdálený přístup.
|
Mimo tyto klienty jsou v síti drátově připojeny další dva routery v režimu AP s vypnutým DHCP (v zapojení LAN-LAN). Historicky pro posílení signálu.

Nyní bych z těchto AP potřeboval udělat propojení LAN-WAN, abych uvnitř hlavní sítě vytvořil dvě sekundární sítě LAN. Možná to zní komplikovaně, ale v principu potřebuji oddělit sítě za současným AP od hlavní. Chci se zeptat, zda je to realizovatelné a pokud ano, jak je to třeba s případným pokusem o proniknutí z vytvořené sekundární sítě do hlavní při útoku hackerů např. ransomware? Bude to komplikovanější než stávající zapojení nebo to i přes to proletí do hlavní sítě?

Všechny příspěvky včetně návrhů na uvedení do provozu vítány!
superzoom
Kolemjdoucí

Odeslat příspěvekod milsimr 27. 7. 2022 20:43

To co hledáš se jmenuje firewall a v rámci firewallu pak buď samostatnou VLAN, nebo spíše definovat vlastní DMZ.
Administrátor fóra Živě.cz.
milsimr
Administrátor
Uživatelský avatar

Odeslat příspěvekod superzoom 27. 7. 2022 21:13

Chápu. Pravděpodobně řešení, které je nejvhodnější. Pokud bych však vycházel ze stávající výbavy? Pořízení firewall časem nezavrhuji... Potřeboval bych se idálně vytočit s tím co mám k dispozici.
superzoom
Kolemjdoucí

Odeslat příspěvekod vladimir 28. 7. 2022 06:31

superzoom píše:jak je to třeba s případným pokusem o proniknutí z vytvořené sekundární sítě do hlavní při útoku hackerů např. ransomware?
Takové kaskádové zapojení v principu nechrání před útokem z nově vytvořené sítě do hlavní, ale jenom v opačném směru.
Většina ransomware nejspíš zašifruje jenom lokální disky a připojené síťové disky, ovšem nelze vyloučit existenci malwaru, který bude aktivně prohledávat síť, aby nadělal co největší škody.
Tedy tví nájemníci (?) budou v principu ve větším bezpečí, než ty. Pokud by nějakého útočníka, který vnikne do vedlejší sítě, napadlo proskenovat adresy mimo rozsah nově vytvořené sítě, v pohodě se dostane do zařízení té tvé hlavní sítě (protože z hlediska té nové sítě je hlavní síť "před NAT", "internet") a pak už by záleželo jenom na zabezpečení těch jednotlivých počítačů v tvé hlavní síti (firewally, aktualizace, zaheslování...)

Pokud to chceš řešit, toho Asuse (hlavní router) vyměň za pořádný router, například Mikrotika, na kterém nadefinuješ pro jednotlivé LAN-porty několik sítí (192.168.88.X, 192.168.89.X, 192.168.90.x) a ve firewallu zakážeš komunikaci mezi nimi. K těm dalším sítím připojíš přes kabely ty další wifi-routery - už bude jedno, jestli v režimu AP nebo router.

Jiné řešení, takové na koleně, by bylo, že bys dokoupil další router, takže místo tří bys měl čtyři. Jeden by byl připojený na přípojku internetu, byl by bez wifi a k němu by byly připojené tři wifi-routery v režimu router (NAT), jeden pro tu tvou "hlavní" síť a dva pro nájemníky. Na hlavním routeru bys adresu routeru pro tvou hlavní síť nadefinoval jako DMZ, aby se ti tam forwardovaly všechny porty a pak už bys na routeru tvé sítě forwardoval porty tak, jak jsi zvyklý.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod superzoom 28. 7. 2022 09:38

Díky za návrh! Tvůj postřeh je správný a kompletně pokryje mé potřeby. Měl bys doporučení na konkrétní Mikrotik? Čím víc portů LAN, tím víc úspory na dalších switch. Mohl bych se následně obrátit s radou v konfigurací?
superzoom
Kolemjdoucí

Odeslat příspěvekod vladimir 28. 7. 2022 14:31

V podstatě libovolný Mikrotik. O jaké rychlosti internetu se bavíme? Má ten Mikrotik umět i wifi, nebo je umístěný někde v technické místnosti, která tak jako tak není příliš vhodná pro umístění wifi, případně v plechovém rozvaděči?

Modely s více porty existují, ale ta cena je poměrně vysoká a jsou často bez wifi, protože se uvažuje umístění v plechovém rozvaděči. Cena malého Mikrotika + switche vychází většinou výhodněji než cena velkého Mikrotika.

Routerboard MikroTik RB4011iGS+5HacQ2HnD 10x gigabit LAN, N+AC wifi, cena je ovšem skoro 6000Kč.

Proti tomu Routerboard MikroTik hAP ac2 5x gigabit LAN za 1600Kč + switch za pár stovek a pro domácí použití je výkonově excelentní, samozřejmě pomalejší, než to "dělo" nahoře, ale i gigabitový internet utáhne velice slušně.
vladimir
Expert
Uživatelský avatar


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků