ראוטר עם dual wan במחיר שפוי

[eran405]

במידה ואוסיף ראוטר נוסף רק לרשת ה'אורחים'(אין לי צורך ברשת כזו בכל הבית, רק בקומה התחתונה) שיחובר לאחד מהR6400 - האם אוכל להגדיר בEDGEROUTER שיפריד אותו משאר הרשת ללא צורך בחיבור ישיר שלו לEDGEROUTER? או שגם פה נדרשת תמיכה בVLANים בראוטר ל'אורחים'?

...

זה בעיה כי ברגע שציוד מסויים לא תומך ב-VLANs אתה חייב לספק תקשורת untagged רק של ה-VLAN הרלוונטי ואת זה אתה יכול לעשות רק מציוד שתומך ב-VLANs (אנסה להסביר זאת יותר בפירוט בהמשך ההודעה). בנוסף ברגע שאתה מעביר תקשורת רק ל-VLAN אחד לציוד מסויים אז כמובן שגם כל הציוד שמחובר "מאחוריו" יהיה מחובר אך ורק ל-VLAN הזה. זה אומר שאם אין לך ציוד נוסף שתומך ב-VLANs אז תצטרך להפריד בין הרשת הראשית לבין רשת האורחים, ע"י חיבור לפורטים פיזיים שונים של הראוטר הראשי (כמו שהסברתי בפוסט הקודם, במקרה הספציפי הזה אין צורך ב-VLANs).

אם נניח לדוגמא שהגדרת את VLAN 20 בשביל הרשת של האורחים ב-edgerouter (עם חוקי firewall מתאימים כמובן), ונניח שאתה מוסיף ראוטר "פשוט" לרשת של האורחים אזי אתה חייב שהוא יחובר לרשת הראשית דרך פורט שמוגדר על VLAN 20. אם היה לך switch שתומך ב-VLANים אז אין בעיה לחבר trunk בינו לראוטר הראשי, כאשר trunk אומר שהוא יעביר מספר VLANים על גבי חיבור בודד (ע"י שימוש ב-VLAN tagging), ולשייך את הפורט שמחובר מה-switch לראוטר של האורחים ל-VLAN 20. אבל ברגע שאתה רוצה לחבר את הראוטר של האורחים מאחורי ה-R6400 (ללא קושחה צד שלישי שתומכת ב-VLANs), אז אתה לא יכול להשתמש ב-trunk בשביל להעביר מספר VLANs על גבי כבל בודד לכיוונו ולכן תהיה חייב לבחור VLAN בודד שיוצא מכיוון ה-edgerouter ל-R6400. אם אתה בוחר את הרשת הראשית אז גם הראוטר הנוסף שהיה אמור להיות בשביל האורחים יהיה מחובר לרשת הראשית, ואם אתה בוחר את ה-VLAN של האורחים אזי גם הרשת של ה-R6400 תהיה הרשת של האורחים. לכן כמו שכתבתי לעיל, אם אין לך ציוד נוסף שתומך ב-VLANs, תהיה חייב כבל נפרד שיוצא מה-edgerouter ומזין אך ורק את הראוטר של האורחים, ובמקרה כזה גם אין צורך ב-VLANs (אפשר להגדיר רשתות שונות על פורטים שונים של הראוטר ללא VLANים).

ראה גם את האיור והסבר כאן שבתקווה יעזור להבין על מה אנחנו מדברים:
https://help.ui.com/hc/en-us/articles/1 ... are-Switch
בדוגמא הזאת יש AP שתומך שב-VLANs אז יש הגדרה של VLANים ופורט trunk שמחבר בין הראוטר ל-AP, אבל לדוגמא פורט eth3 משוייך ל-VLAN 10 untagged ולכן התקשורת של הפורט הזה תהיה משוייכת ל-VLAN אבל באופן שקוף לתחנה webserver, שרוצה או לא רוצה, עם או בלי תמיכה ב-VLANים, תמיד יהיה מוגבל אך ורק ל-VLAN המוגדר.

תשווה את זה אם המקרה שיש switch שתומך ב-VLANs:
https://help.ui.com/hc/en-us/articles/2 ... on-a-Stick
הפעם ה-webserver מחובר לאחד מהפורטים של הסוויץ, ובדיוק כמו קודם עדיין מוגדר ומוגבל ל-VLAN 10, אבל פורטים אחרים בסוויץ יכולים להיות מוגדרים על VLANים אחרים untagged (או פורטי trunk כמו זה שמחבר את ה-AP בדומה לדוגמא הראשונה). דבר כזה כמובן אינו אפשרי עם הסוויץ לא תומך ב-VLANים.

[integral]

אם הבזק בתוך הארון, אז קנה ראוטר זול כתלות בטווח שאתה צריך בשביל האורחים (למשל ה AX3 אפילו לא PRO שממש עולה גרושים), את הראוטר החדש תחבר קווית ל ER-X או לאיזה סוויטש בבית בתור ראוטר, ותוודא שיש לו סאבנט שונה ׁׁ(ה AX3/PRO בברירת מחדל מחלקים כתובות על 192.182.3) . אז תוכל למשל לשנות את השם שלו ל GUEST, להגדיר אותו שיעבוד רק על 2.4 או מה שתרצה ולהקצות אותו לאורחים.

אם כבר אתה מתכנן על MESH אז זה כבר דיון אחר, אבל למיטב הבנתי ה 6400 מספק אותך.

[ariel-ro]

@integral
חשבתי על זה וזה בדיוק מה ששאלתי ו@eran45 הגיב לי עליו.
נראה שלא יהיה 'בידוד' בין הרשתות, ומי שיחובר לראוטר של האורחים עדיין יוכל ללכת 'אחורה' ברשת ולגשת לרשת הראשית.
גם בMESH למיטב הבנתי זו הבעיה כאשר כל היחידות הן AP והניהול מתבצע ע"י הEDGEROUTER.
בכל מקרה ברשת ממליצים גם על הAdvancedTomato כקושחה צד שלישי לR6400, אז ננסה להתקין אותה ולראות אם אפשר להיעזר בה לצורך VLANים ורשת אורחים.

[ag43]

לרגע שמחתי שיש עוד קושחה אבל אז ראיתי שהיא התעדכנה לפני 3 שנים בפעם האחרונה.

[integral]

@integral
חשבתי על זה וזה בדיוק מה ששאלתי ו@eran45 הגיב לי עליו.
נראה שלא יהיה 'בידוד' בין הרשתות, ומי שיחובר לראוטר של האורחים עדיין יוכל ללכת 'אחורה' ברשת ולגשת לרשת הראשית.
גם בMESH למיטב הבנתי זו הבעיה כאשר כל היחידות הן AP והניהול מתבצע ע"י הEDGEROUTER.
בכל מקרה ברשת ממליצים גם על הAdvancedTomato כקושחה צד שלישי לR6400, אז ננסה להתקין אותה ולראות אם אפשר להיעזר בה לצורך VLANים ורשת אורחים.

...

@ariel-ro

לא אמרתי שתחבר כ AP כי אז באמת ה ER-X ינהל ואז כל האורחים יקבלו כתובת מה ER-X.

אמרתי שתחבר אותו בתור ראוטר עם DHCP ורק האורחים יקבלו ממנו כתובות 192.168.3.X או מה שתבחר. הוא בס"כ יקבל חיבור לאינטרנט מה ER-X.

מעבר לכך, אני מקווה שאתה מנהל רשת אורחים עם סיסמה ושהאורחים שלך לא באים כי יש משהו ברשת הביתית שלך שהם מחפשים .

[ag43]

סיפור - הייתי בכנס של RUCKUS לפני כמה שנים. לאחר אחת ההרצאות הטכניות שאלו אם יש שאלות.

מנהל IT של חברת תרופות (!) קטנה בארץ שאל איך הוא יכול לחבר אורחים\נהגים וכדו' לאינטרנט בלי לחבר אותם לרשת הפנימית שלו...

מסתבר שהרשת האלחוטית של החברה מבוססת WPA2 ביתי והוא פשוט חיבר את כל מי שהיה צריך אינטרנט לרשת הפנימית שלו.

החלק העצוב הוא שרק המנחה ואני בהינו בו בהלם.

[eran405]

נראה שלא יהיה 'בידוד' בין הרשתות, ומי שיחובר לראוטר של האורחים עדיין יוכל ללכת 'אחורה' ברשת ולגשת לרשת הראשית.

...

דבר ראשון כמו שכבר פורט בהרחבה בפוסט הקודם, אם אתה מחבר את ה-AP החדש ישירות ל-ER-X אז אין בעיה כי אפשר להגדיר subnet שונה על הפורט הספציפי ולהפריד בינו לרשת הראשית. אם אתה מחבר את את ה"ראוטר" של האורחים כ-AP דרך switch או AP אחר שמשמש את הרשת הראשית אז אני לא רואה איך תוכל לעשות בידוד בין הרשתות (בהנחה שהציודים לא תומכים ב-VLANs).

כמו ש[email protected] הציע, יש אופציה נוספת שלא חשבתי עליה של שימוש בראוטר מלא רק בשביל הרשת של האורחים כך שיהיה double NAT (בתקווה לא משנה כי זה יהיה רק לרשת של אורחים). בחיבור נאיבי עדיין לא תהיה הפרדה בין הרשתות, כי אם ה-WAN של הראוטר של האורחים משוייך לרשת הראשית, הוא יכול לתקשר ישירות אם הקליינטים ברשת הראשית ללא מעבר ברמות הניתוב/firewall של ה-edgerouter. לדוגמא אם תחנה 192.168.5.15 ברשת של האורחים מנסה לפנות לתחנה 192.168.4.7 ברשת הראשית, היא תשלח את זה לראוטר של האורחים שהינו ה-gateway שלה, ובהנחה שאין בו אפשרות חסימה מתאימה, הוא יעביר את זה ל-WAN שלו שנמצא ברשת המתאימה (לדוגמא ה-WAN שלו יהיה 192.168.4.2) והתקשורת בתוך ה-subnet עוברת ישירות ב-L2 ואין מעורבות של ניתוב או firewall (אפילו אם צריך לעבור בין פורטים שונים ב-edgerouter).

אבל אפשר לתקן זאת כי אתה שולט בכתובת WAN של הראוטר של האורחים (ובתקווה אתה לא מודאג שהאורחים יפרצו את הראוטר שלהם ודרכו יקבלו גישה לרשת הראשית). אתה מגדיר לראוטר של האורחים כתובת WAN ב-subnet אחר, לדוגמא 192.168.3.2 ומוסיף כתובת מתאימה על הממשק המתאים ב-edgerouter, לדוגמא 192.168.3.1 (ה-gateway של האורחים חייב בהתאם להיות 192.168.3.1). כעת אתה יכול לחבר את ה-WAN של האורחים לכל נקודה ברשת המקומית ועדיין התקשורת מהרשת של האורחים תהיה חייבת לעבור דרך טבלאות הניתוב של ה-edgerouter שיראה שהיא מגיע מהכתובת 192.168.3.2 ולכן בקלות אפשר להגדיר את החסימה הנדרשת.

אם נחזור לדוגמא שנתתי לעיל: תחנה 192.168.5.15 ברשת של האורחים מנסה לפנות לתחנה 192.168.4.7 ברשת הראשית, היא תשלח את זה לראוטר של האורחים שיעביר את זה ל-WAN שלו אבל הפעם ה-WAN שלו לא נמצא ב-subnet המתאים ולכן החבילה תשלח ל-gateway שלו שזה ה-edgerouter (כאשר כתובת המקור תהיה הכתובת של ה-WAN של האורחים 192.168.3.2 מכיוון שהוא מבצע NAT). לכן בקלות אפשר לחסום את הבקשה בעזרת חוקי firewall ב-edgerouter.

אם אתה מעוניין באופציה הזאת אבל לא ברור איך בדיוק להגדיר זאת ב-edgerouter אני יכול לנסות לעזור.

גם בMESH למיטב הבנתי זו הבעיה כאשר כל היחידות הן AP והניהול מתבצע ע"י הEDGEROUTER.

...

אם כבר אתה שוקל לקנות פתרון mesh, אז למה לא ללכת על APs מסדרת עסקית, כמו לדוגמא ה-U6Lite. ספציפית ל-unifi יש את המוזריות שלו כמו הדרישה להשתמש ב-controller בשביל גישה להגדרות המלאות אבל סה"כ זה אמור לתמוך בכל מה שאתה ולדעתי זה גם ציוד ברמה יותר גבוה ממה שתקבל מפתרונות mesh ביתיים. כמובן יש גם APs עסקיים לחברות אחרות ולדעתי גם הם יתמכו ב-VLANs ללא בעיה. מה שכן שם לב שאם יש לך סוויצ'ים שאתה מצפה שתקשורת tagged תעבור דרכם, תצטרך דגם שתומך ב-VLANs (אחד הפתרונות הזולים בשביל זה הוא לקחת ER-X ולהשתמש בו רק כ-switch תומך VLAN...).