פתרון אופטימלי ליצירת שתי רשתות LAN נפרדות בבית

פורום רשתות, IT ומחשוב כללי - רשתות, ראוטרים, מחשבים ניידים, אביזרים וכו'.
evgenetic (פותח השרשור)
חבר ותיק
חבר ותיק
הודעות: 2641
הצטרף: דצמבר 2010
נתן תודות: 112 פעמים
קיבל תודות: 305 פעמים

פתרון אופטימלי ליצירת שתי רשתות LAN נפרדות בבית

נושא שלא נקרא #1 

היי,
יש לי שרת ביתי פשוט (ובו עוד כמה מכונות וירטואליות) אליו דרך האינטרנט מתחברים כמה אנשים בודדים לצורכי עבודה. כרגע הוא נמצא ברשת ביתית עם כל שאר המכשירים בהם אני עושה שימוש בבית. מן הסתם זה לא אידיאלי שאנשים שמתחברים אלי יכולים להפעיל את הרסיבר ולעשות עוד כל מיני דברים עם מכשירים שמחוברים לאותה הרשת...

הצלחתי לפתור את העניין על ידי התקנת OpenWRT על הראוטר שלי (Archer C7 v2), יצירת VLAN נפרד לשרת ויעוד של יציאת רשת אחת בראוטר לVLAN זה. באופן כזה שתי הרשתות היו בעלות קבוצת IP שונים, לא ראו ולא יכלו לגשת אחת לשנייה (בעזרת הגדרות firewall בראוטר) ולשתיהן הייתה גישה לאינטרנט. אבל OpenWRT לא עבד באופן יציב, מדי פעם הוא לא פתח עמודי אינטרנט, לפעמים קרס חיבור VPN מבחוץ (מה שעבד מושלם על הקושחה המקורית של הראוטר), ובאופן כללי היה על load מאד גבוה של כ1.5+.

אני לא שולט בתחום מספיק טוב כדי לנסות לפתור את הבעיות בOpenWRT, ומה שכנראה ייקח לי המון זמן, אז אני צריך פתרון אחר. אם אני מבין נכון הפתרון האידיאלי הוא רכישת ראוטר עם יכולות VLAN מובנות, אבל אולי אני מפספס משהו ויש פתרון יותר טוב. מה אתם חושבים?

rm1
חבר ותיק
חבר ותיק
הודעות: 1294
הצטרף: מרץ 2013
נתן תודות: 6 פעמים
קיבל תודות: 145 פעמים

נושא שלא נקרא #2 

מה שאתה יכול לעשות זה להתקין שרת וירטואלי נוסף ובו להריץ pfsense ואז לקנפג אותו שישמש כ FW על כל השרתים הווירטואליים האחרים.
זה לא מצריך כרטיס רשת פיזי נוסף אחד מספיק שיחובר לצד ה WAN של ה pfsense וצד ה LAN ושאר השרתים יחוברו ל SWITCH לוגי בתוך המכונה עם תת רשת נפרדת ללא כרטיס רשת פיזי.
אתה יכול להגדיר את ה VPN על ה pfsense וב C7 להפנות את הפורט של ה VPN לכתובת ה pfsense WAN.
ב pfsense אתה יכול לחסום גישה לכתובות הרשת הביתית חוץ מה C7 ליציאה לאינטרנט.
יש מדריכים רבים להגדרת pfsense כ FW עבור מחשב וירטואלי לפעמים עם שני כרטיסים אבל אצלך לא צריך את כרטיס ה LAN.
רק להגדיר את הניהול של השרת על הכרטיס הפיזי.
כך אתה יכול לותר על VLAN ו VPN ב C7 ולהקל עליו.

rm1
חבר ותיק
חבר ותיק
הודעות: 1294
הצטרף: מרץ 2013
נתן תודות: 6 פעמים
קיבל תודות: 145 פעמים

נושא שלא נקרא #3 

לדוגמה:

rm1
חבר ותיק
חבר ותיק
הודעות: 1294
הצטרף: מרץ 2013
נתן תודות: 6 פעמים
קיבל תודות: 145 פעמים

נושא שלא נקרא #4 

או על HIPER-V

evgenetic (פותח השרשור)
חבר ותיק
חבר ותיק
הודעות: 2641
הצטרף: דצמבר 2010
נתן תודות: 112 פעמים
קיבל תודות: 305 פעמים

נושא שלא נקרא #5 

מעולה, תודה!
משום מה חששתי מזה כי חשבתי שהוא קשה להגדרה, אבל אפילו כברירת מחדל אני מקבל כמעט את מה שרציתי.

NegativeIQ
חבר מביא חבר
חבר מביא חבר
הודעות: 4423
הצטרף: דצמבר 2005
נתן תודות: 11 פעמים
קיבל תודות: 570 פעמים

Re: פתרון אופטימלי ליצירת שתי רשתות LAN נפרדות בבית

נושא שלא נקרא #6 

evgenetic כתב:היי,
יש לי שרת ביתי פשוט (ובו עוד כמה מכונות וירטואליות) אליו דרך האינטרנט מתחברים כמה אנשים בודדים לצורכי עבודה. כרגע הוא נמצא ברשת ביתית עם כל שאר המכשירים בהם אני עושה שימוש בבית. מן הסתם זה לא אידיאלי שאנשים שמתחברים אלי יכולים להפעיל את הרסיבר ולעשות עוד כל מיני דברים עם מכשירים שמחוברים לאותה הרשת...

הצלחתי לפתור את העניין על ידי התקנת OpenWRT על הראוטר שלי (Archer C7 v2), יצירת VLAN נפרד לשרת ויעוד של יציאת רשת אחת בראוטר לVLAN זה. באופן כזה שתי הרשתות היו בעלות קבוצת IP שונים, לא ראו ולא יכלו לגשת אחת לשנייה (בעזרת הגדרות firewall בראוטר) ולשתיהן הייתה גישה לאינטרנט. אבל OpenWRT לא עבד באופן יציב, מדי פעם הוא לא פתח עמודי אינטרנט, לפעמים קרס חיבור VPN מבחוץ (מה שעבד מושלם על הקושחה המקורית של הראוטר), ובאופן כללי היה על load מאד גבוה של כ1.5+.

אני לא שולט בתחום מספיק טוב כדי לנסות לפתור את הבעיות בOpenWRT, ומה שכנראה ייקח לי המון זמן, אז אני צריך פתרון אחר. אם אני מבין נכון הפתרון האידיאלי הוא רכישת ראוטר עם יכולות VLAN מובנות, אבל אולי אני מפספס משהו ויש פתרון יותר טוב. מה אתם חושבים?
...
זה ממש מוזר לי מה שאתה מתאר, גם לי יש Archer C7 v2 עם OpenWRT 17.01.4 ו-OpenVPN והוא יציב לחלוטין. ה-VPN אמנם לא עובר את ה-10 מגה (אין מה לעשות, זה מה שקורה כשלוקחים מעבד שתונן למשימה אחת ומטילים עליו משימה שונה לגמרי) אבל מעולם לא קרס לי.

evgenetic (פותח השרשור)
חבר ותיק
חבר ותיק
הודעות: 2641
הצטרף: דצמבר 2010
נתן תודות: 112 פעמים
קיבל תודות: 305 פעמים

נושא שלא נקרא #7 

@NegativeIQ
אני לא השתמשתי בו כשרת VPN, מה שקרס מדי פעם הוא החיבור לsoftether במחשב הביתי שתמיד עבד יציב. עכשיו בpfsense אני כן משתמש בשירות הopen vpn המובנה והוא עובד מצוין. אני מניח שזה יכול להיות קשור להגדרות VLAN/interface/firewall לא לגמרי נכונות כי בשאר הדברים לא נגעתי. אני אגב לא מתנגד לנסות אותו שוב אם תתאר איך הדברים אמורים להיות מקונפגים במקרה שלי, כי זה בכל זאת נראה לי יותר אינטואיטיבי מאשר ראוטר וירטואלי :) בסה"כ מה שאני רוצה הוא שיציאת LAN4 בראוטר תהיה מיועדת לרשת אחרת ונפרדת עם גישה לאינטרנט.

eran405
אחראי תחום רשתות
אחראי תחום רשתות
הודעות: 3388
הצטרף: פברואר 2012
נתן תודות: 380 פעמים
קיבל תודות: 790 פעמים

נושא שלא נקרא #8 

@evgenetic
·

למיטב הבנתי אתה צריך switch שתומך (כרגיל נקרא managed switch) בשביל לייעד פורט פיזי מסוים ל-VLAN מסוים. בכל הראוטרים הפשוטים - כולל ב-C7 למיטב ידעתי - ה-4 פורטים של ה-LAN מחוברים ל-switch חומרתי שאינו תומך ב-VLANs ולכן כבר ברמה החומרתית יש גישה מכל פורט LAN לכל פורט LAN אחר. כנ"ל לגבי switch זול שאינו תומך ב-VLANs.

עריכה: כנראה שטעיתי לגבי זה. ראה את הפוסט של sys_admin בהמשך.

מה שאני מניח שאתה כן יכול לעשות עם openwrt וכאלה הוא להגדיר את ה-VLAN ברמה הלוגית ולהגדיר את הניתובים אליו וממנו כך שבחיבור switch מנוהל תוכל לבחור איזה פורט יהיה מוגדר על איזה VLAN.

כמובן שאם אתה סומך על הצרכנים האחרים שלך בתוך הבית ואתה רק רוצה להגן שלחיבורים מבחוץ לא תהיה גישה למכשירים אחרים בבית אז אתה לא צריך VLANs. אם נגיד החיבורים מבחוץ הם בעזרת VPN, אז אתה יכול לתת לכל המחשבים שמתחברים ל-VPN כתובות בטווח אחר (לפחות בציוד של ubiquiti זה לא משתמש ב-VLANs זה פשוט עוד רשת לוגית עם טווח כתובות אחר) ולהגדיר את חוקי הניתוב בצורה כזו שתהיה להם גישה רק לציוד שאתה מרשה.

כהערת אגב אציין שלאחרונה עברתי להשתמש ב-edgerouters של Ubiquiti ובדיוק לדברים כאלה הם ממש מצויינים ונוחים (נגיד זה). כמובן שאם אתה מסתדר עם ה-OpenWRT זו אופציה מצוינת ואם נח לך את להריץ pfsense אז זאת בכלל אופציה עוד יותר חזקה.

בהצלחה.
נערך לאחרונה על ידי eran405 ב 23/09/2018 8:11, נערך פעם 1 בסך הכל.

Fish72
סמל אישי של משתמש
חבר מביא חבר
חבר מביא חבר
הודעות: 3027
הצטרף: פברואר 2007
מיקום: ת"א
נתן תודות: 956 פעמים
קיבל תודות: 335 פעמים

נושא שלא נקרא #9 

@eran405
· בהמשך לתגובה של ערן - אני מוכר את הנתב הזה של UBIQUITI (עולה כ-600 שח בארץ וחזק בהרבה מהדגם שצויין) :

https://www.hometheater.co.il/vt309892.html

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #10 

@eran405
·

כמה תוספות, תיקונים ודגשים לנושא. הנתב C7 למשל, כולל גם מתג מנוהל מובנה של כ 4 פורטים שניתן בכל אחד מהם גם להגדיר לא רק שיוך ל VLAN מסויים, אלה גם תיוג וגם לייצר VLAN TRUNK על כל אחד מהפורטים אלה, אם משתמשים ב OPENWRT. בקשר למתג שנדרש ברשת לצורך המשימה, אז מדובר במתג שלא רק תומך ב VLANs, אלה גם ב VLAN Trunking , לצורך חיבור של VLAN Trunk למחשב שמריץ את המכונה הוירטואלית ושכל כרטיס רשת וירטואלי שלה מחובר ל VLAN שונה על ידי כך, דרך כרטיס רשת פיזי אחד שבו מוגדר כבר ה Trunk המדובר. גם, אם משתמשים בנתב כמו C7, עדיין נדרש אותו סוג של מתג, שדובר עליו מקודם. מצורף צילום מסך של ההגדרות VLAN בנתב C7.

eran405
אחראי תחום רשתות
אחראי תחום רשתות
הודעות: 3388
הצטרף: פברואר 2012
נתן תודות: 380 פעמים
קיבל תודות: 790 פעמים

נושא שלא נקרא #11 

@sys_admin
·
מעניין. בדקתי ב-linksys הישן שלי שמריץ ddwrt וגם שם נראה כמו שיש את כל האופציות האילו (אני מתעצל לוודא שזה באמת עובד).

אז בעצם בכל ראוטר פשוט יש את האופציה החומרתית להפריד את הפורטי ה-LAN ל-VLANs שונים ופשוט לא חושפים את האופציות האילו בקושחות של היצרן?

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #12 

@eran405
·
כמובן שלא בכל נתב פשוט קיים מתג מנוהל שלא מנוצל בתוכנה של היצרן, אבל ברוב המכריע של נתבים כאלה כן יש מתג כזה ואת זה ניתן לבדוק במפרטים שונים לפי דגם מדויק של הנתב, שבדרך כלל ניתן למצוא באתרים של הסברים לחומרה שמתאימה OPENWRT. ולשאלה השנייה השימוש ב VLANS במתג שב C7 ואפילו שב TP-Link TL-WDR4300 העתיק כן מתפקדים בצורה שמניחה את הדעת. הדבר נדרש גם כאשר משתמשים במוצרים האלה כבנקודות גישה שמשדרות מספר SSID, שכל אחד מהם מקושר ל VLAN שונה ברשת קווית או כאשר משתמשים בהקצאה של VLAN דינאמי לפי שם משתמש וסיסמה עם SSID יחיד.

NegativeIQ
חבר מביא חבר
חבר מביא חבר
הודעות: 4423
הצטרף: דצמבר 2005
נתן תודות: 11 פעמים
קיבל תודות: 570 פעמים

נושא שלא נקרא #13 

sys_admin כתב:@eran405
·
כמובן שלא בכל נתב פשוט קיים מתג מנוהל שלא מנוצל בתוכנה של היצרן, אבל ברוב המכריע של נתבים כאלה כן יש מתג כזה ואת זה ניתן לבדוק במפרטים שונים לפי דגם מדויק של הנתב, שבדרך כלל ניתן למצוא באתרים של הסברים לחומרה שמתאימה OPENWRT. ולשאלה השנייה השימוש ב VLANS במתג שב C7 ואפילו שב TP-Link TL-WDR4300 העתיק כן מתפקדים בצורה שמניחה את הדעת. הדבר נדרש גם כאשר משתמשים במוצרים האלה כבנקודות גישה שמשדרות מספר SSID, שכל אחד מהם מקושר ל VLAN שונה ברשת קווית או כאשר משתמשים בהקצאה של VLAN דינאמי לפי שם משתמש וסיסמה עם SSID יחיד.
...
יש סיבה לזה שזה ככה. בד"כ בראוטרים הזולים הפורטים של ה-LAN וה-WAN נמצאים על אותו Switch ורק מופרדים לשני VLAN-ים שונים. זה יותר זול ככה כי היצרן לא צריך לחבר שני כרטיסי רשת נפרדים. כפועל יוצא של התמיכה ב-VLAN-ים אז אפשר לעשות קונפיגורציה יותר חכמה עם OpenWRT.
נ.ב. כן, זה תיאורטית פוגע בביצועים אבל כל עוד זה מגיע ל-1Gbps זה גם ככה לא יהיה צוואר הבקבוק. אגב, לפעמים יש גם בעיות אחרות עם זה, לדוגמה ב-WR1043NDv1 עד שהקושחה עולה ומקנפגת את ה-VLAN-ים אז ה-Switch מעביר תקשורת חופשית בין ה-LAN ל-WAN, פוטנציאלית מאפשר לחדור לכם לרשת (אם כי כנראה שרק הספק יוכל לעשות את זה).

evgenetic (פותח השרשור)
חבר ותיק
חבר ותיק
הודעות: 2641
הצטרף: דצמבר 2010
נתן תודות: 112 פעמים
קיבל תודות: 305 פעמים

נושא שלא נקרא #14 

תודה על עזרה חבר'ה, בינתיים נראה לי שאשאר עם pfsene. מה שבעיקר קנה אותי זה ההגדרות המאד נוחות אך באותו הזמן גם מאד משוכללת של שרת openvpn (בעזרת Client Export Package).
ואם בעתיד ארצה, בעזרת כרטיס רשת כזה ומתג פשוט אוכל לעשות הפרדה פיזית של הרשתות די בקלות ממה שהבנתי.

rm1
חבר ותיק
חבר ותיק
הודעות: 1294
הצטרף: מרץ 2013
נתן תודות: 6 פעמים
קיבל תודות: 145 פעמים

נושא שלא נקרא #15 

אם לא הפעלתה את אופצית ה VLAN ב C7 אתה יכול גם לאפשר ולחסום גישה לרשת הביתית מהשרתים הוירטואלים וה VPN
ע"י חוקים ב pfsense

שלח תגובה

חזור אל “רשתות, אינטרנט ו- Fiber”