Здесь у Микротиков есть некоторые проблемы.
Альтернативой является размещение домашнего маршрутизатора, а затем еще одного маршрутизатора NAT позади него, чтобы данные IoT не попадали на другие ваши устройства.
Хотя я вижу, что двойной nat является решением изоляции, но использует совершенно другую подсеть, вызовет ли это проблемы при подключении к этим устройствам IOT на стороне локальной сети?
Я собирался опубликовать это, прежде чем прокрутил до конца. Недавно я обновился до него с ASUS RT-N66U и остался очень доволен. Стандартная прошивка ASUS и веб-интерфейс очень хороши. Я заплатил 160 долларов около 6 месяцев назад, сейчас на Amazon 140 долларов.
Тогда вопрос заключается в том, как осуществляется связь между двумя (V)LAN. Трансляции и, следовательно, практически все виды открытий будут заблокированы.
Более фундаментальным недостатком установки двух маршрутизаторов является следующее:
LAN A --R2-- LAN B --R1-- Интернет
NAT (без открытия портов) защитит системы в LAN A от попыток подключения от систем в LAN B. Но трафик из LAN A по-прежнему проходит через LAN B. Не сразу видно, но хороший хак может сделать сумасшедшие вещи, чтобы запутать переключение между портами LAN и, возможно, все равно увидеть трафик.
Да и да. Гостевая сеть — хорошее решение для изоляции беспроводных устройств, которым необходимо общаться только с Интернетом или, возможно, с другими «гостями».
Учитывая ваши потребности в контролируемой связи между различными «зонами безопасности», но которые по-прежнему разделяют в той же IP-подсети я бы поискал устройство, которое позволит вам фильтровать пакеты между портами коммутатора. Снова: Микротик. Да, придется немало повозиться, чтобы заставить все работать так, как вы хотите, но, по крайней мере, вы получите именно ту функциональность, которую хотите (по хорошей цене).
Обычно я подключаюсь к своей рабочей VPN и передаю много данных туда и обратно, транслирую баскетбольный матч на другом мониторе, жена подключена к ее рабочему VPN, несколько человек транслируют потоковую передачу с моего сервера Plex и/или моего музыкального сервера, и у них не было какой-либо заметной сети замедления. У меня соединение 1000/35 от Comcast.
Оттуда я подключаю беспроводную точку доступа в тупом режиме; он выполняет простое соединение, и все. Я явно заставляю его делать как можно меньше. Это означает, что любое устройство можно легко заменить позже, не затрагивая другое.
Это также позволяет мне довольно легко сегментировать сеть. Используя тегирование VLAN и поддерживающую его коммутационную структуру, вы можете сегментировать сеть с помощью всего одного внутреннего порта, но тогда вы ограничиваете весь межсегментный трафик и весь интернет-трафик совокупной скоростью этого одного порт. Если у вас есть отдельные физические порты для каждого сегмента сети/VLAN, все они могут работать на полной скорости. (Теоретически здесь 2,5 ГБ, хотя у меня есть только гигабитные коммутаторы VLAN, поэтому дополнительная скорость пока не используется.)
Основным недостатком является то, что вы управляете собственным брандмауэром, пишете свои правила и администрируете свои интерфейсы. Если вы еще не делали этого раньше, вам придется подняться на холм. Если вы уже достаточно хорошо разбираетесь в сетевых технологиях и брандмауэрах, понять, как Linux делает эти вещи, не так уж и сложно. Если у вас вообще нет опыта, это может расстраивать. Я использую пакет fwbuilder для написания правил брандмауэра; Раньше я делал это вручную, но макет fwbuilder в стиле Checkpoint довольно приятен. Синтаксис командной строки netfilter/iptables может оказаться довольно сложным, поэтому наличие графического интерфейса очень полезный.
Главный плюс — это то же самое, что и главный недостаток: вы управляете собственным брандмауэром. Это означает, что вы никогда не устареете. Я только что обновил свой Debian Bullseye до Bookworm. Это было не совсем безболезненно, я все еще устраняю какие-то странные неполадки с связыванием 9, но все его основные функции работают хорошо. Пока я буду поддерживать его в таком состоянии, оно будет оставаться актуальным.
Если вам нужно только проводное подключение, то Mikrotik Hex RB750Gr3 — очень подходящее устройство. У меня есть один резервный маршрутизатор, и, как уже было сказано, с ним мало что можно сделать, и цена приемлемая (менее 50 фунтов стерлингов на Amazon в Великобритании). Однако у Mikrotik очень специфический способ выполнения задач, и, очевидно, он сильно отличается от других маршрутизаторов, поэтому вам придется изучить два разных способа достижения одной и той же цели.
Тем не менее, ваши заявленные цели умеренно сложны, поэтому у вас впереди разумная кривая обучения.
Не используйте Smoothwall. Это очень, очень мертвый проект.
У меня есть компьютер, предназначенный для использования opnsense, и некоторый опыт настройки LAGG, псевдонимов, правил брандмауэра и т. д. Проблема в том, что каждый раз после установки операционной системы и выполнения обновления (даже без настройки чего-либо, кроме назначения интерфейса), обновление ломает операционную систему, оставляя меня с ошибкой 503 в Веб-портал. Проект временно приостановлен. Я провел тесты памяти, они прошли. Заменил SSD, но проблема осталась. Брандмауэр, который вы используете, похоже, работает в основном из командной строки?
Никогда раньше не встречал стада гладковолосых, спасибо, проверю их. WAP будет отдельным устройством. Требования за пределами NAT, брандмауэра, Wi-Fi, портов Ethernet, полных vlan, LAGG, псевдонимов. Графический интерфейс для быстрого доступа. Отделение IOT-устройств от основной сети, но возможность подключения к ним со стороны локальной сети. Примером может быть домашний помощник или пи-дыра. В настоящее время у меня нет планов запускать серверы любого типа, доступные из Интернета.
Оттуда, по крайней мере для этого нового устройства, я установил резервный DNS и openntpd, но не установил DHCP-сервер, поскольку мой NAS-сервер обрабатывает DHCP и основной DNS. Затем я настроил вторичные интерфейсы (опять же через /etc/network/interfaces.d, а не через более сложные сервисы) и создал набор правил брандмауэра с помощью fwbuilder. Я запускаю это на NAS через удаленную X Windows, но вы можете загрузить эту программу, скомпилированную для Windows, если хотите. Я просмотрел файлы, сгенерированные им в каталоге /etc, а затем добавил дополнительные пакеты, необходимые сценарию, когда я пытался его запустить. Я не помню, какие они были, но потребовалось несколько прерванных запусков и добавление новых пакетов, прежде чем все запустилось правильно.
Затем я добавил предложения post-up и pre-down к основному сетевому интерфейсу, запустил сценарий запуска брандмауэра и собственный сценарий остановки брандмауэра, который я создал сам. (это очень просто, просто отключает переадресацию, а затем удаляет все правила iptables.)
На протяжении всего этого процесса я обычно добавляю пакеты, когда замечаю их отсутствие, например, vim-nox, мои обычные точечные файлы, iptables и так далее. При входе в систему прямо сейчас на диске занято 2,2 ГБ из 116 доступных; Твердотельный накопитель 128G был чрезвычайно большого размера, но имел хорошую цену и был простым, так какого черта. Это какой-то странный китайский бренд, который я не узнаю; в эту коробку можно установить любой стандартный SSD, и его легко купить без него, если вы предпочитаете что-то более надежное.
Теперь обслуживание — это, по сути, apt update/apt dist-upgrade, а также время от времени проверка журналов. Я, вероятно, установлю logwatch и настрою его на электронную почту, но я еще этого не сделал.
отредактируйте, чтобы добавить: если вам нужны VLAN, их необходимо настроить как часть настройки сети. Я не делаю этого сам, поскольку у устройства четыре порта, поэтому я использую коммутатор для добавления тегов VLAN на основе входящего порта. Если у вас больше VLAN, чем внутренних сетевых интерфейсов, вам нужно, чтобы брандмауэр помечал все. На самом деле я этого не делал, но кратко изучил это, и это более или менее похоже на создание псевдонимов для существующих сетевых портов и назначение им IP-адресов. Если вы можете настроить сеть через /etc/network/interfaces.d, я думаю, вы сможете управлять VLAN, это очень тесно связано.
Вероятно, вам не нужен pfSense, так как этот вариант совершенно ужасен. Вместо этого я бы предложил проверить OPNSense, если вы не хотите создавать свой собственный. Здесь используется ядро BSD, я не уверен, какое именно, и имеется веб-интерфейс, на который я никогда не смотрел. Я знаю, что многим жителям Арса это нравится, так что, вероятно, это довольно хорошо. Я просто все делаю сам, потому что знаю как. Это не обязательно лучше, просто я научился это делать. OPNSense вполне мог бы быть лучше и обеспечить легкий доступ к более продвинутым функциям. (например, что-то с VLAN; из командной строки это не выглядит чем-то сложным, но это определенно не графический интерфейс.)
Эта конкретная машина поставлялась с предустановленным на SSD pfSense, но у меня сложилось впечатление, что его необходимо заменить обновленной версией, которая понимает сетевые порты I226V. На самом деле я не беспокоился ни о чем из этого, потому что использование готового дистрибутива из потенциально сомнительного источника в Китае не казалось мне разумным. Если бы я выбрал pf или OPNSense, я бы вместо этого загрузил свежие изображения и записал их.
отредактируйте, чтобы добавить пару часов спустя: еще одно преимущество того, что я делаю, заключается в том, что поверхность атаки очень мала. На данный момент у меня нет портов прослушивания на внешнем интерфейсе и только DNS и SSH в доверенном сегменте. Чтобы скомпрометировать брандмауэр, либо должна быть уязвимость на уровне ядра, которая может быть активирована без прослушивания портов, либо или кому-то придется взломать мой рабочий стол (вероятно, через веб-браузер), а затем получить учетные данные, чтобы преследовать другой компьютер. машины. Скорее всего, это не будет автоматизировано, возможно, потребуется ручное вмешательство. Вероятно.
