Tu Mikrotiks ima izazova.
Alternativa je imati svoj kućni usmjerivač, a zatim još jedan NAT usmjerivač iza njega kako biste držali IoT stvari podalje od drugih uređaja.
Iako vidim da je dvostruki nat rješenje za izolaciju, ali koristi sasvim drugu podmrežu, bi li to uzrokovalo probleme kada se treba povezati s tim iot uređajima na lan strani?
Namjeravao sam objaviti ovaj prije nego što sam skrolao do kraja. Nedavno sam nadogradio na ovo s ASUS RT-N66U i vrlo sam zadovoljan s njim. ASUS dionički firmware i web sučelje su vrlo dobri. Platio sam 160 USD prije otprilike 6 mjeseci, sada 140 USD na Amazonu
Pitanje je kako komunicirate između dva (V)LAN-a. Emitiranje, a time i skoro sve vrste otkrića bit će blokirani.
Temeljniji nedostatak postavljanja dva usmjerivača je sljedeći:
LAN A --R2-- LAN B --R1-- internet
NAT (bez otvaranja portova) će zaštititi sustave u LAN-u A od pokušaja povezivanja sa sustava u LAN-u B. Ali promet s LAN-a A i dalje teče preko LAN-a B. Nije odmah vidljivo, ali dobar hack može učiniti lude stvari da zbuni prebacivanje između LAN portova i eventualno vidi promet svejedno.
Da i da. Mreža za goste je dobro rješenje za izolaciju stvari koje su bežične i trebaju samo razgovarati s internetom ili možda s drugim "gostima".
Uz vaše potrebe da imate kontroliranu komunikaciju između različitih "sigurnosnih zona", ali to još uvijek dijelite istu IP podmrežu, potražio bih uređaj koji će vam omogućiti filtriranje paketa između portova preklopnika. Opet: Mikrotik. Da, bit će to dosta petljanja kako bi sve radilo kako želite, ali barem ćete dobiti točno onu funkcionalnost koju želite (po dobroj cijeni).
Obično sam spojen na svoj poslovni VPN i premještam puno podataka naprijed-natrag, prenosim košarkašku utakmicu na drugom monitoru, žena je spojen na njezin radni VPN, nekoliko ljudi struji s mog Plex poslužitelja i/ili mog glazbenog poslužitelja, a nisu imali nikakvu primjetnu mrežu usporavanja. Ja sam na 1000/35 vezi s Comcastom.
Odatle priključujem bežični AP u glupom načinu rada; radi jednostavno premošćivanje, i to je sve. Izričito ga činim što je manje moguće. To znači da je lako zamijeniti bilo koji uređaj kasnije, bez utjecaja na drugi.
To mi također omogućuje prilično jednostavno segmentiranje mreže. Korištenjem VLAN označavanja i sklopa sklopke koji to podržava, možete segmentirati mrežu sa samo jednim unutarnjim priključkom, ali tada ograničavate sav promet između segmenata i sav internetski promet na ukupnu brzinu tog pojedinačnog luka. Ako imate zasebne fizičke priključke za svaki mrežni segment/VLAN, svi mogu raditi punom brzinom. (2,5 GB u teoriji ovdje, iako imam samo gigabitne VLAN preklopnike, tako da se dodatna brzina još ne koristi.)
Glavna mana je da upravljate vlastitim vatrozidom, pišete vlastita pravila i upravljate vlastitim sučeljima. Ako ovo niste prije učinili, ovo je definitivno brdo na koje se morate popeti. Ako se već prilično dobro razumijete u umrežavanje i vatrozid, shvatiti kako Linux radi te stvari nije previše teško. Ako nemate nikakvu pozadinu, to može biti frustrirajuće. Koristim paket fwbuilder za pisanje pravila vatrozida; Ranije sam to radio ručno, ali izgled fwbuildera tipa Checkpoint prilično je ugodan. Sintaksa netfilter/iptables naredbenog retka može biti prilično komplicirana, pa je GUI vrlo koristan.
Glavna prednost ista je stvar kao i glavna mana: upravljate vlastitim vatrozidom. To znači da nikada niste zastarjeli. Upravo sam nadogradio svoj s Debian bullseye na bookworm. Nije bilo sasvim bezbolno, još uvijek rješavam nešto čudno s bind9, ali sve njegove glavne funkcije rade dobro. I dalje će biti ažuran sve dok ga ja držim takvim.
Ako trebate samo žičane, onda je Mikrotik Hex RB750Gr3 vrlo sposoban uređaj. Imam jedan kao rezervni usmjerivač i kao što je rečeno, postoji vrlo malo toga što ne možete učiniti s njim, a cijena je odgovarajuća (manje od £50 od Amazona u UK). Mikrotik ipak ima vrlo specifičan način obavljanja stvari, i očito se dosta razlikuje od ostalih usmjerivača pa biste morali naučiti dva različita načina postizanja iste stvari.
Ipak, vaši navedeni ciljevi su umjereno složeni, tako da imate razumnu krivulju učenja ispred sebe ili
Nemojte koristiti Smoothwall. To je vrlo, vrlo mrtav projekt.
Imam računalo izgrađeno za korištenje opnsensea i određeno iskustvo u postavljanju LAGG-a, aliasa, pravila vatrozida itd. Problem je što svaki put nakon instaliranja operativni sustav i izvođenje ažuriranja (čak i bez konfiguriranja bilo čega osim dodjele sučelja) ažuriranje kvari OS ostavljajući me s pogreškom 503 na web portal. Projekt je stavljen na privremeno čekanje. Proveo sam testove pamćenja koji su prošli. Zamijenio je ssd, ali problem se i dalje pojavljuje. Vatrozid koji koristite zvuči kao da uglavnom radi iz naredbenog retka?
Nikad prije nisam imao krdo glatkih zidova, hvala, provjerit ću ih. WAP će biti zaseban uređaj. Zahtjevi izvan NAT-a, vatrozida, wifi-ja, Ethernet portova je full vlan, LAGG, Aliases. Gui za jednostavan pristup. Odvajanje iot uređaja od glavne mreže, ali i dalje povezivanje s njima s lan strane. Primjer bi bio kućni pomoćnik ili pi-hole. Trenutačno nemam planove za pokretanje poslužitelja bilo koje vrste dostupnih s interneta.
Odatle sam, barem za ovaj novi uređaj, instalirao rezervni DNS i openntpd, ali ne i DHCP poslužitelj, jer moj NAS uređaj obrađuje DHCP i primarni DNS. Zatim sam konfigurirao sekundarna sučelja (opet kroz /etc/network/interfaces.d, radije nego kroz sofisticiranije usluge), i izgradio skup pravila vatrozida s fwbuilderom. Ja to pokrećem na NAS-u putem udaljenog X Windowsa, ali možete preuzeti taj program kompiliran za Windows ako želite. Pregledao sam datoteke koje je generirao pod /etc, a zatim dodao sve dodatne pakete koji su skripti bili potrebni kada sam je pokušao pokrenuti. Ne sjećam se koji su bili, ali trebalo je nekoliko prekinutih pokretanja i dodavanja novih paketa prije nego što je ispravno počelo.
Zatim sam dodao post-up i pre-down klauzule primarnom mrežnom sučelju, pokrenuvši početnu skriptu vatrozida i prilagođenu zaustavnu skriptu vatrozida koju sam napravio sam. (vrlo je jednostavno, samo onemogućuje prosljeđivanje i zatim briše sva pravila iptables.)
Kroz cijeli ovaj proces obično dodajem pakete čim primijetim da nedostaju, poput vim-noxa odmah, mojih uobičajenih dot datoteka, iptables, i tako dalje. Prijavom u kutiju upravo sada, iskorišteni prostor na disku je 2,2 G od 116 dostupnih; 128G SSD bio je nevjerojatno predimenzioniran, ali imao je dobru cijenu i bio je jednostavan, pa što kvragu. To je neka čudna kineska marka koju ne prepoznajem; ova kutija će prihvatiti bilo koji standardni SSD, i lako je kupiti bez njega, ako želite nešto renomiranije.
Sada je održavanje prilično prikladno update/apt dist-upgrade, zajedno s povremenim pregledom zapisa. Vjerojatno ću instalirati logwatch i postaviti ga za slanje e-pošte na kraju, ali to još nisam učinio.
uredi za dodavanje: Ako trebate VLAN-ove, to morate konfigurirati kao dio mrežnog postavljanja. Ovdje to ne radim osobno jer kutija ima četiri priključka, pa koristim prekidač za dodavanje VLAN oznaka na temelju dolaznog priključka. Ako imate više VLAN-ova nego internih mrežnih sučelja, tada želite da vatrozid označava stvari. Nisam to zapravo učinio, ali sam to kratko pogledao i izgleda više-manje kao stvaranje aliasa na postojećim mrežnim priključcima i tamo dodjeljivanje IP-ova. Ako možete konfigurirati mrežu putem /etc/network/interfaces.d, mislim da možete rukovati VLAN-ovima, to je vrlo blisko povezano.
Vjerojatno ne želite pfSense, jer je ta odjeća potpuno užasna. Umjesto toga, predlažem da provjerite OPNSense ako ne želite pokrenuti vlastiti. To koristi BSD kernel, nisam siguran koji, i dolazi s web GUI-jem koji nikad nisam pogledao. Znam da ima mnogo Arsovih stanovnika kojima se to sviđa, pa je vjerojatno prilično dobro. Sve radim sama jer znam kako. Nije nužno bolje tako, samo sam to naučio raditi. OPNSense bi mogao biti bolji i mogao bi omogućiti lakši pristup naprednijoj funkcionalnosti. (kao što je VLAN, na primjer; to ne izgleda jako teško iz naredbenog retka, ali definitivno nije GUI.)
Ovaj specifični stroj dolazi s pfSenseom unaprijed instaliranim na SSD, ali stekao sam dojam da ga treba zamijeniti ažuriranom verzijom koja razumije I226V mrežne priključke. Zapravo se nisam zamarao ničim od toga jer mi se pokretanje unaprijed izgrađene distribucije iz potencijalno sumnjivog izvora u Kini nije činilo pametnim. Kad bih se odlučio za pf ili OPNSense, preuzeo bih svježe slike i umjesto toga ih spržio.
uredi za dodavanje, nekoliko sati kasnije: još jedna prednost obavljanja stvari na način na koji ja radim je ta što je površina za napad vrlo niska. Trenutačno nemam slušajućih priključaka na vanjskom sučelju i samo DNS i SSH na pouzdanom segmentu. Da bi se ugrozio vatrozid, ili bi trebala postojati ranjivost na razini kernela koja bi se mogla pokrenuti bez portova za slušanje, ili bi netko morao hakirati moju radnu površinu (vjerojatno putem web-preglednika), a zatim zgrabiti vjerodajnice da bi krenuo za drugim strojevi. To najvjerojatnije neće biti automatizirano, vjerojatno će trebati ručna pažnja. Vjerojatno.
