זה המקום שבו למיקרוטיקס יש כמה אתגרים.
חלופה היא הנתב הביתי שלך ואז נתב NAT אחר מאחוריו כדי להרחיק את חומרי ה-IoT מהמכשירים האחרים שלך.
אמנם אני יכול לראות כפול נאט הוא פתרון לבידוד אבל משתמש בתת רשת אחרת לגמרי, האם זה יגרום לבעיות כשצריך להתחבר למכשירי ה-IOT האלה בצד ה-LAN?
התכוונתי לפרסם את זה לפני שגללתי עד למטה. שדרגתי לזה מ-ASUS RT-N66U לאחרונה והייתי מאוד מרוצה ממנו. קושחת מניות ASUS וממשק משתמש אינטרנט טובים מאוד. שילמתי $160 לפני כחצי שנה, $140 באמזון עכשיו
השאלה אם כך היא איך אתה מתקשר בין שני (V) LANs. שידורים ובכך פחות או יותר כל מיני גילויים ייחסמו.
החיסרון הבסיסי יותר של הגדרת שני הנתבים הוא הבא:
LAN A --R2-- LAN B --R1-- אינטרנט
ה-NAT (ללא פתיחת יציאות) יגן על המערכות ב-LAN A מפני ניסיונות חיבור ממערכות ב-LAN B. אבל התעבורה מ-LAN A עדיין זורמת דרך LAN B. לא נראה מיד, אבל פריצה טובה יכולה לעשות דברים מטורפים כדי לבלבל את המעבר בין יציאות LAN ואולי לראות את התעבורה בכל מקרה.
כן וכן. רשת אורחים היא פתרון טוב לבודד דברים שהם אלחוטיים וצריכים לדבר רק עם האינטרנט, או אולי עם "אורחים" אחרים.
עם הצרכים שלך שתהיה לך תקשורת מבוקרת בין "אזורי אבטחה" שונים אבל זה עדיין משתף באותה תת-רשת IP הייתי בודק מכשיר שיאפשר לך לבצע סינון מנות בין יציאות מתג. שוב: מיקרוטיק. כן, זה יהיה כמות טובה של התעסקות כדי לגרום להכל לעבוד כמו שאתה רוצה שזה יעבוד, אבל לפחות אתה מקבל בדיוק את הפונקציונליות שאתה רוצה (במחיר טוב).
אני בדרך כלל מחובר ל-VPN של העבודה שלי ומעביר הרבה נתונים קדימה ואחורה, מזרים משחק כדורסל על הצג השני, האישה היא מחובר ל-VPN של העבודה שלה, כמה אנשים זורמים משרת ה-Plex שלי ו/או משרת המוזיקה שלי, ולא הייתה להם שום רשת בולטת האטות. אני בחיבור 1000/35 מקומקאסט.
משם, אני מצרף AP אלחוטי במצב מטומטם; זה עושה גישור פשוט, וזה הכל. אני בפירוש גורם לזה לעשות כמה שפחות. המשמעות היא שקל להחליף כל אחד מהמכשירים מאוחר יותר, מבלי להשפיע על השני.
זה גם מאפשר לי לפלח את הרשת די בקלות. באמצעות תיוג VLAN ומארג מתגים התומך בו, אתה יכול לפלח רשת עם יציאה פנימית אחת בלבד, אבל אז אתה מגביל את כל התעבורה בין הפלחים, וכל תעבורת האינטרנט, למהירות המצטברת של הסינגל הזה נמל. אם יש לך יציאות פיזיות נפרדות עבור כל מקטע רשת/VLAN, כולן יכולות לפעול במלוא המהירות. (בתיאוריה 2.5 ג'יגה-בייט כאן, למרות שיש לי רק מתגי VLAN של Gigabit, כך שעדיין לא נעשה שימוש במהירות הנוספת.)
החיסרון העיקרי הוא שאתה מנהל את חומת האש שלך, כותב כללים משלך ומנהל את הממשקים שלך. אם לא עשית זאת בעבר, זו גבעה מובהקת לטפס עליה. אם אתה כבר מבין היטב את הרשתות ואת חומת האש, להבין איך לינוקס עושה את הדברים האלה זה לא קשה מדי. אם אין לך רקע בכלל, זה יכול להיות מתסכל. אני משתמש בחבילת fwbuilder כדי לכתוב חוקי חומת אש; עשיתי את זה ידנית בעבר, אבל הפריסה מסוג Checkpoint של fwbuilder היא די נעימה. תחביר netfilter/iptables בשורת הפקודה יכול להיות די שעיר, כך שיש לו ממשק משתמש מאוד מוֹעִיל.
החיסרון העיקרי הוא אותו דבר כמו החיסרון העיקרי: אתה מנהל את חומת האש שלך. זה אומר שאתה אף פעם לא מיושן. זה עתה שדרגתי את שלי מדביאן bullseye לתולעת ספרים. זה לא היה ממש כואב, אני עדיין פותר בעיות במשהו מוזר עם bind9, אבל כל הפונקציות העיקריות שלו פועלות היטב. זה ימשיך להיות מעודכן כל עוד אני אשמור את זה ככה.
אם אתה צריך רק חוטי אז Mikrotik Hex RB750Gr3 הוא מכשיר בעל יכולת גבוהה. יש לי אחד בתור נתב גיבוי וכאמור, יש מעט מאוד שאי אפשר לעשות איתו, והמחיר נכון (פחות מ-50 פאונד מאמזון בבריטניה). ל-Mikrotik יש דרך מאוד מסוימת לעשות דברים, וככל הנראה היא שונה למדי מנתבים אחרים, כך שתצטרך ללמוד שתי דרכים שונות להשיג את אותו הדבר.
עם זאת, המטרות המוצהרות שלך מורכבות במידה בינונית, כך שיש לך עקומת למידה סבירה לפניך בכל מקרה
אל תשתמש ב-Smoothwall. זה פרויקט מאוד מאוד מת.
יש לי מחשב בנוי לשימוש ב-opnsense, וקצת ניסיון בהגדרת LAGG'S, כינויים, חוקי חומת אש וכו', הבעיה היא שכל פעם לאחר התקנת מערכת ההפעלה וביצוע עדכון (אפילו בלי להגדיר שום דבר מלבד הקצאת הממשק) העדכון שובר את מערכת ההפעלה ומשאיר אותי עם שגיאה 503 ב- פורטל אינטרנט. הפרויקט מושהה זמנית. עשיתי מבחני זיכרון שזה עבר. החליף את ה-ssd אבל הבעיה עדיין מתרחשת. חומת האש שבה אתה משתמש נשמע כאילו היא פועלת בעיקר משורת הפקודה?
מעולם לא היה עדר של קירות חלקים לפני כן, תודה, אבדוק אותם. WAP יהיה מכשיר נפרד. דרישות מחוץ ל-NAT, חומת אש, wifi, יציאות Ethernet מלאים ב-VLAN, LAGG, כינויים. מדריך לגישה נוחה. הפרדת התקני iot מהרשת הראשית אבל עדיין צריך להתחבר אליהם מהצד LAN. דוגמה תהיה עוזרת ביתית או פי-חור. כרגע אין לי תוכניות להפעיל שרתים מכל סוג הנגישים מהאינטרנט.
משם, לפחות עבור התיבה החדשה הזו, התקנתי גיבוי DNS ו-openntpd, אבל ללא שרת DHCP, כי תיבת ה-NAS שלי מטפלת ב-DHCP וב-DNS הראשי. לאחר מכן קבעתי את התצורה של הממשקים המשניים (שוב דרך /etc/network/interfaces.d, במקום השירותים המתוחכמים יותר), ובניתי ערכת כללים של חומת אש עם fwbuilder. אני מריץ את זה ב-NAS דרך X Windows מרחוק, אבל אתה יכול להוריד את התוכנית ההידור עבור Windows אם אתה מעדיף. סקרתי את הקבצים שהוא יצר תחת /etc, ואז הוספתי את כל החבילות הנוספות שהסקריפט צריך כשניסיתי להפעיל אותו. אני לא זוכר מה הם היו, אבל נדרשו כמה ריצות שהופסקו והוספת חבילות חדשות לפני שזה התחיל כהלכה.
לאחר מכן הוספתי סעיפי פוסט-אפ ו-pre-down לממשק הרשת הראשי, הפעלת סקריפט התחל חומת האש וסקריפט עצירה מותאם אישית של חומת אש שבניתי בעצמי. (זה מאוד פשוט, פשוט משבית את ההעברה ואז מנקה את כל כללי iptables.)
לאורך כל התהליך הזה, אני בדרך כלל מוסיף חבילות כשאני שם לב שהן חסרות, כמו vim-nox מיד, קבצי הנקודות הרגילים שלי, iptables וכו'. בכניסה לתיבה עכשיו, השטח המשמש בדיסק הוא 2.2G מתוך 116 זמינים; ה-SSD של 128G היה גדול מדי, אבל הוא היה במחיר טוב והיה קל, אז מה לעזאזל. זה איזה מותג סיני מוזר שאני לא מזהה; הקופסה הזו תקבל כל SSD סטנדרטי, וקל לקנות אותה בלי, אם אתה מעדיף משהו יותר מכובד.
כעת, התחזוקה היא די עדכון/שדרוג דיסט מתאים, יחד עם בחינת היומנים מדי פעם. אני כנראה אתקין את logwatch ואגדיר אותו למייל בסופו של דבר, אבל עדיין לא עשיתי את זה.
ערוך כדי להוסיף: אם אתה צריך רשתות VLAN, יש להגדיר זאת כחלק מהגדרת הרשת. אני לא עושה את זה בעצמי כאן, כי לקופסה יש ארבע יציאות, אז אני משתמש במתג כדי להוסיף תגי VLAN על סמך יציאה נכנסת. אם יש לך יותר רשתות VLAN מאשר ממשקי רשת פנימיים, אז אתה רוצה שחומת האש תתייג דברים. למעשה לא עשיתי את זה, אבל בדקתי את זה בקצרה, וזה נראה פחות או יותר כמו יצירת כינויים על יציאות רשת קיימות, והקצאת ה-IP לשם. אם אתה יכול להגדיר את הרשת דרך /etc/network/interfaces.d, אני חושב שאתה יכול להתמודד עם VLAN, זה קשור מאוד.
אתה כנראה לא רוצה pfSense, כי התלבושת הזו נוראית לחלוטין. הייתי מציע לבדוק את OPNSense, במקום זאת, אם אינך רוצה לגלגל משלך. זה באמצעות ליבת BSD, אני לא בטוח איזו, ומגיע עם ממשק משתמש אינטרנטי שמעולם לא הסתכלתי עליו. אני יודע שיש מספר תושבי ארס שאוהבים את זה, אז זה כנראה די טוב. אני פשוט עושה הכל בעצמי כי אני יודע איך. זה לא בהכרח טוב יותר ככה, זה פשוט איך למדתי לעשות את זה. OPNSense עשויה להיות טובה יותר, ועשויה לתת גישה קלה לפונקציונליות מתקדמת יותר. (כמו חומרי ה-VLAN, למשל; זה לא נראה סופר קשה משורת הפקודה, אבל זה בהחלט לא GUI.)
המכונה הספציפית הזו הגיעה עם pfSense שהוטען מראש על ה-SSD, אבל קיבלתי את הרושם שצריך להחליף אותה בגרסה מעודכנת שמבינה את יציאות הרשת I226V. למעשה לא התעסקתי בשום דבר מזה, כי הפעלת הפצה בנויה מראש ממקור שעלול להיות מפוקפק בסין לא נראתה לי חכמה. אם הייתי הולך עם pf או OPNSense, הייתי מוריד תמונות טריות וצורב אותן במקום.
ערוך כדי להוסיף, כמה שעות מאוחר יותר: יתרון נוסף לעשות דברים כמו שאני עושה אותם הוא שמשטח ההתקפה נמוך מאוד. כרגע, יש לי אפס יציאות האזנה בממשק החיצוני, ורק DNS ו-SSH בקטע המהימן. כדי לסכן את חומת האש, או שתצטרך להיות פגיעות ברמת ליבה שניתן להפעיל ללא יציאות האזנה, או שמישהו יצטרך לפרוץ לשולחן העבודה שלי (כנראה דרך דפדפן האינטרנט), ואז לתפוס אישורים כדי ללכת אחרי השני מכונות. סביר להניח שזה לא הולך להיות אוטומטי, זה כנראה ידרוש תשומת לב ידנית. כנראה.
