Como configurar a rede guest / ethernet / fiber

Navegue suas respostas
1

Eu tenho uma rede bastante básica, mas estou querendo fazer algumas alterações e gostaria de saber qual seria a melhor maneira de conseguir isso.

Atualmente: Eu tenho a internet vem para o modem para o roteador para o switch para todos os dispositivos com fio e um ponto de acesso para os dispositivos sem fio.

O que eu gostaria: Eu vou adicionar um segundo AP para acesso de convidado. (A razão para isso é que eles podem navegar livremente enquanto estão completamente separados da minha rede doméstica e eu posso limitar seu uso se eu precisar.) Eu não quero que eles sejam capazes de acessar os dispositivos na minha rede principal, mas eu faço isso. quer que eles consigam acessar a mesma internet.

Eu também gostaria de adicionar uma conexão de fibra de 5 Gb para o meu PC principal e para o meu servidor usar para a comunicação entre eles, pois eu freqüentemente transfiro grandes quantidades de arquivos entre os dois. Eu não quero que essa conexão de fibra tenha acesso à internet. Eu também não quero qualquer dispositivo para tentar passar pelo outro para acessar a internet, pois eles já terão sua própria conexão que eles deveriam estar usando. (Nota: estou disposto a contornar o switch e conectar os dois diretamente, se eu precisar, mas prefiro passar pelo switch.)

Tenho certeza de que precisaremos usar sub-redes, VLANs, configurações de firewall ou uma combinação dos três para realizar o que eu quero fazer. Eu sou muito experiente em ambos como eu trabalho fazendo suporte VOIP e serviços gerenciados para empresas muito grandes, mas esta será a primeira vez que eu vou estar configurando um a partir do zero, então eu não tenho certeza qual seria a melhor prática para realizar o que Estou querendo. Dada a opção, prefiro sub-redes em VLANs.

Tenho certeza de que essas perguntas aparecerão, então tentarei responder a maioria delas abaixo. Modem é um modem de cabo Arris. O roteador é um EA6900 da Linksys, mas será substituído por um roteador PFSense de montagem em rack personalizado. Switch gerenciado é um Netgear GS748Tv3 de 48 portas

Abaixo está um diagrama básico para explicar o que eu gostaria de alcançar.

    
por Oreo Collas 30.07.2018 / 05:10

3 respostas

0

1) Rede de convidados: A maneira mais simples de configurar isso é em seu roteador principal, onde você usa regras de firewall para garantir que o segmento com o convidado seja separado do segmento com sua rede interna (LAN e WLAN). Então você terá dois segmentos (e um terceiro segmento para a conexão de fibra).

Eu não estou familiarizado com pfSense, apenas com iptables, então não posso dar detalhes, mas é uma configuração bastante padrão onde basicamente você tem que adicionar regras que permitem o encaminhamento entre os adaptadores de rede para convidado / internet e interno / internet, mas não permitir guest / internal.

Se você não conseguir conectar o AP Guest diretamente ao roteador, mas apenas ao switch, precisará de uma VLAN que pareça estar diretamente conectada ao roteador.

Observe que o rack personalizado não terá apenas o roteamento e o firewall, mas também serviços como DHCP, proxy / cache DNS, etc. Os roteadores domésticos incluem tudo isso e também já têm uma configuração de rede guest pronta. Se você realmente precisa de um rack personalizado, e se ele vem com tudo que você precisa. Outra opção é substituir o firmware em seu roteador doméstico pelo OpenWRT, etc.

2) Fibra entre o PC e o servidor: Eu esperaria que o Netgear suportasse a configuração de "grupos de portas" ou algo similar que apenas conversassem entre si. Faça um desses grupos para as duas portas de fibra e outro para o resto. Se a Netgear não puder fazer isso, use a VLAN na fibra. Um segmento diferente para a fibra significa que você pode escolher a rota de transferência escolhendo o endereço de destino.

3) A interface WLAN do seu AP interno deve ser conectada à interface LAN (dependendo do firmware do AP, isso tem vários nomes). Isso significa que seu servidor DHCP central no roteador pode lidar com ambos e também significa que sua LAN e WLAN podem compartilhar um único segmento e se ver.

    
por 30.07.2018 / 08:09
1

Ouvi dizer que é melhor ver uma vez, em vez de uma centena de vezes, por isso, abaixo estão as minhas sugestões:

pFsense é uma solução flexível de nível corporativo realmente poderosa, para que você possa utilizar praticamente qualquer coisa. Se você vai usar um PC normal como um lar para o seu pFsense , você pode encontrar algumas placas Ethernet multiportas decentes, algo como

EusugiroquevocêuseplacasbásicasdaIntel(comoIntelPRO/1000...)paracompatibilidademáximacomoFreeBSD(sistemaoperacionalportrásdo pFsense ).

Dessa forma, você pode fisicamente dividir a rede em várias sub-redes que podem ser isoladas ou podem conversar entre si, dependendo das suas necessidades, configurando o firewall / roteamento em pFsense . Embora as VLANs sejam baratas, pode haver casos em que alguns equipamentos de clientes não a suportem, portanto, separar as sub-redes fisicamente como OPT1 e LAN na imagem acima reduzirá em um PITA futuro.

Como sobre link de fibra, adquira um par de cartões de fibra e instale-o no servidor e no seu PC principal e conecte-os diretamente. Se você não configurasse uma ponte entre as interfaces ethernet e fiber no seu PC principal, então seu servidor estará acessível somente a este PC.
Eu sugiro que você vá com link de 10Gb. Se você comprar no eBay, você pode encontrar muito barato (para comparar com novo) equipamentos usados. Se você usasse placas baseadas no chipset Intel 82599, você não teria problema, apenas lembre-se, para comparar com placas Ethernet, as de fibra são Zoo reais, onde as placas têm o mesmo slot para módulos de fibra mas incompatíveis entre si ( por exemplo, o módulo netgear SFP + pode caber no soquete das placas básicas da Intel, mas não funcionaria.)
Também use cabos de fibra que tenham cor ciano se a distância entre o seu PC e o servidor for importante.

    
por 30.07.2018 / 16:21
0

Para isolamento real, você precisa de VLANs ou de várias interfaces de rede.

Falarei sobre as VLANs, porque elas são baratas e fáceis de implementar:

  • VLAN 1: rede regular
  • VLAN 2: rede de convidados

Vou apenas descrever a configuração de destino.

  • Na sua caixa de firewall / roteador,
    • VLAN 1 e 2 estão configurados.
    • a interface de rede da LAN está configurada para usar VLANs marcadas (às vezes chamadas de tronco)
    • A VLAN 1 é atribuída à zona de “rede interna”
    • A VLAN 2 é atribuída à zona de “rede de convidados”
    • as regras de firewall / encaminhamento são configuradas conforme apropriado
  • No seu switch gerenciado,
    • o firewall / roteador está conectado à porta 1
    • o AP convidado está conectado à porta 2
    • a porta 1 é membro da VLAN 1 & 2, marcado
    • a porta 2 é membro da VLAN 2, não marcada
    • todas as outras portas são membros da VLAN 1, sem tag

Isso resultará em uma rede de convidados isolada. O tráfego da rede de convidados será isolado conforme configurado no firewall.

Seu switch não suporta Ethernet de 5 GBit / s de nenhuma maneira.

    
por 30.07.2018 / 07:59

Tags

Como posso configurar as cifras para o Dropbear no DD-WRT? não pode acessar uma pasta no pc remoto