VLAN Setup Possível?

Navegue suas respostas
1

Eu quero ver se o seguinte é possível usando VLAN:

Eu tenho o seguinte equipamento:

  • Ubiquiti EdgeRouter Lite
  • Comutador TP-LINK TL-SG1016PE
  • Servidor inicial
  • 4 x Câmeras IP

É possível configurar VLANs na seguinte configuração com apenas um único switch:

  • Ter a rede doméstica normal (ou seja, todos os computadores domésticos, celulares, etc.) em dizer VLAN1.

  • Tenha o Home Server na VLAN 2.

  • Tenha as câmeras IP na VLAN 3.

Em seguida, você pode: VLAN 1 se comunicar com a VLAN 2. VLAN 3 para se comunicar com a VLAN 2. Não permitir conexão para a VLAN 3 de volta à VLAN 1, mas permitir conexão da VLAN 1 à VLAN 3.

Basicamente, para dividir as câmeras da rede doméstica normal para que ninguém possa se conectar às suas portas ethernet e acessar a rede, mas ao mesmo tempo ainda possa acessar o servidor doméstico que está atuando como NVR, tanto pelas câmeras quanto pela rede doméstica.

    
por Tenatious 10.08.2018 / 14:08

1 resposta

3

Vou encobrir a configuração da VLAN brevemente. Eu estou usando um switch inteligente TP-Link para referência - o intervalo Easy Smart Switch é um pouco diferente, mas isso deve ser mais ou menos factível da mesma maneira. Consulte Capítulos 6.3 e 6.4 no manual.

  1. Você deseja configurar 802.1Q VLANs, não as mais básicas "baseadas em porta".
  2. Insira o ID da VLAN que você deseja configurar (por exemplo, 1)
  3. Selecione as portas marcadas . Isso significa que as portas pertencentes a essa VLAN serão enviadas, com a tag VLAN . Use isso para portas que levam a outros dispositivos com reconhecimento de VLAN, como seu roteador ou outros switches gerenciados.
  4. Selecione as portas não marcadas . Os quadros pertencentes à VLAN também serão enviados para essas portas, mas a tag da VLAN é removida na saída. Use isso para portas que levam a hosts (incluindo seus computadores, servidores e câmeras).
  5. Configure seus PVIDs para que os quadros recebidos em portas não marcadas recebam uma tag padrão.

No seu caso, a VLAN 1 seria marcada na porta do roteador e não marcada em nenhuma porta à qual os computadores se conectam (com o PVID 1 nessas mesmas portas). A VLAN 2 seria marcada na porta do roteador e não marcada na porta do servidor (com o PVID 2 nessa porta). A VLAN 3 seria marcada na porta do roteador e não marcada nas portas da câmera (com o PVID 3 nessas portas).

Você também precisará configurar o EdgeOS:

  1. Adicione as interfaces de VLAN, atribuindo a cada uma delas seu próprio endereço IP e sub-rede (assumirei 192.168.1.1/24 , 192.168.2.1/24 e 192.168.3.1/24 para simplificar. Isso significa que o roteador está usando o endereço 192.168.3.1 no 192.168.3.0/24 sub-rede em sua interface VLAN 3.)
  2. Adicione servidores DHCP servindo cada VLAN, fornecendo a eles sua própria sub-rede.
  3. Configure os servidores DHCP para definir o gateway ("roteador") para o dispositivo EdgeOS. Isso deve corresponder aos endereços IP que você especificou no nº 1.
  4. Adicione as VLANs como interfaces de escuta de DNS se quiser que elas tenham acesso ao servidor DNS de cache do roteador.

Agora, por padrão, o EdgeOS roteará pacotes entre todas as suas interfaces. Você quer bloquear isso em cenários específicos, o que pode ser feito usando o firewall EdgeOS.

  1. A primeira coisa que você vai querer fazer é adicionar um conjunto de regras bloqueando as VLANs (2 e 3?) de acessar a interface de gerenciamento do roteador. Deve ser algo como:

    1. Ação padrão: descartar
    2. Edite o conjunto de regras e configure-o para aplicar a Interfaces = > adicione suas interfaces VLAN na direção local . Certifique-se de que a VLAN da qual você deseja gerenciar o roteador ainda tenha acesso!
    3. Adicionar regra para aceitar TCP e UDP na porta 53 para permitir o DNS
    4. Adicionar regra para aceitar TCP e UDP em Established e Related estados (guia avançada)

  2. Crie um novo conjunto de regras para um caminho 1 = > 3, padrão Accept . Certifique-se de editá-lo e aplicá-lo apenas às interfaces VLAN 1 e 3. Agora você precisa adicionar suas regras em ordem. Eu sugeriria:

    1. Adicione uma regra a Accept de Source 192.168.1.0/24 a Destination 192.168.3.0/24 . Isso permite que 1 = > 3 para iniciar conexões.
    2. Adicione uma regra a Accept de Source 192.168.3.0/24 a Destination 192.168.1.0/24 no estado Established ou Related . Isso permite 3 = > 1 respostas (a rede é bidirecional!) Para TCP e UDP.
    3. Adicione uma regra a Drop de Source 192.168.3.0/24 a Destination 192.168.1.0/24 . Este é o substituto que rejeita qualquer coisa não permitida pela regra nº 2, significando 3 = > 1 não pode iniciar novas conexões.
  3. Você também pode querer adicionar regras de firewall que bloqueiam a VLAN 3 de acessar a Internet.

Há um pouco de discussão aqui: link

Se você não fizer nada para bloqueá-lo, 1 < = > 2 e 2 < = > 3 deveria ter trabalhado desde o início. Tenha em mente que isso abre a possibilidade de um invasor ignorar o firewall do seu roteador indo em 3 = > 2 = > 1 se algo está vulnerável em 2.

Lembre-se também de que esta configuração de exemplo é permitida por padrão com um bloco explícito de 3 = > 1 - mas 3 ainda pode acessar qualquer VLAN futura que você configurar. Uma configuração mais segura (mas um pouco mais complexa) é bloquear por padrão (bloco 192.168.0.0/16 como a última regra em um conjunto de regras) e permitir explicitamente 1 < = > 2, 2 < = > 3 e 1 = > 3. Segue os mesmos princípios gerais; você só precisa adicionar regras explicitamente permitindo 2 e bloqueando o resto.

    
por 10.08.2018 / 16:00

Tags

Linux equivalente do comando do Windows-R (XFCE) Laptop bateu no chão. Como faço para conectar-me ao WiFi agora que a detecção de Wi-Fi parece estar danificada?