Помогите, пожалуйста, с поиском роутера.

Здесь у Микротиков есть некоторые проблемы.

Альтернативой является размещение домашнего маршрутизатора, а затем еще одного маршрутизатора NAT позади него, чтобы данные IoT не попадали на другие ваши устройства.

Хотя я вижу, что двойной nat является решением изоляции, но использует совершенно другую подсеть, вызовет ли это проблемы при подключении к этим устройствам IOT на стороне локальной сети?

Я собирался опубликовать это, прежде чем прокрутил до конца. Недавно я обновился до него с ASUS RT-N66U и остался очень доволен. Стандартная прошивка ASUS и веб-интерфейс очень хороши. Я заплатил 160 долларов около 6 месяцев назад, сейчас на Amazon 140 долларов.

Да, но VLAN будут делать то же самое. V просто означает отсутствие оборудования, но логически вы все равно получаете отдельные локальные сети, поэтому для каждой VLAN вам потребуется отдельная подсеть.

Тогда вопрос заключается в том, как осуществляется связь между двумя (V)LAN. Трансляции и, следовательно, практически все виды открытий будут заблокированы.

Более фундаментальным недостатком установки двух маршрутизаторов является следующее:

LAN A --R2-- LAN B --R1-- Интернет

NAT (без открытия портов) защитит системы в LAN A от попыток подключения от систем в LAN B. Но трафик из LAN A по-прежнему проходит через LAN B. Не сразу видно, но хороший хак может сделать сумасшедшие вещи, чтобы запутать переключение между портами LAN и, возможно, все равно увидеть трафик.

Да и да. Гостевая сеть — хорошее решение для изоляции беспроводных устройств, которым необходимо общаться только с Интернетом или, возможно, с другими «гостями».

Учитывая ваши потребности в контролируемой связи между различными «зонами безопасности», но которые по-прежнему разделяют в той же IP-подсети я бы поискал устройство, которое позволит вам фильтровать пакеты между портами коммутатора. Снова: Микротик. Да, придется немало повозиться, чтобы заставить все работать так, как вы хотите, но, по крайней мере, вы получите именно ту функциональность, которую хотите (по хорошей цене).

Никаких VLAN, только гостевая сеть для изоляции Интернета вещей. Не было никаких проблем

Обычно я подключаюсь к своей рабочей VPN и передаю много данных туда и обратно, транслирую баскетбольный матч на другом мониторе, жена подключена к ее рабочему VPN, несколько человек транслируют потоковую передачу с моего сервера Plex и/или моего музыкального сервера, и у них не было какой-либо заметной сети замедления. У меня соединение 1000/35 от Comcast.

Мой общий подход заключается в использовании проводного Linux-устройства в качестве внешнего брандмауэра/маршрутизатора. У них есть довольно симпатичные маленькие коробочки с пассивным охлаждением, в корпусах размером с NUC (по сути, толстая книга в мягкой обложке) с несколькими сетевыми портами. Недавно я купил Celeron N5105 с тактовой частотой 2 ГГц, четырьмя сетевыми портами 2,5 ГБ I226, 8 ГБ оперативной памяти и твердотельным накопителем 128 ГБ за 350 долларов, и он работает отлично. Linux определенно поддерживает тегирование VLAN, но вам придется настроить его самостоятельно, возможно, в командной строке.

Оттуда я подключаю беспроводную точку доступа в тупом режиме; он выполняет простое соединение, и все. Я явно заставляю его делать как можно меньше. Это означает, что любое устройство можно легко заменить позже, не затрагивая другое.

Это также позволяет мне довольно легко сегментировать сеть. Используя тегирование VLAN и поддерживающую его коммутационную структуру, вы можете сегментировать сеть с помощью всего одного внутреннего порта, но тогда вы ограничиваете весь межсегментный трафик и весь интернет-трафик совокупной скоростью этого одного порт. Если у вас есть отдельные физические порты для каждого сегмента сети/VLAN, все они могут работать на полной скорости. (Теоретически здесь 2,5 ГБ, хотя у меня есть только гигабитные коммутаторы VLAN, поэтому дополнительная скорость пока не используется.)

Основным недостатком является то, что вы управляете собственным брандмауэром, пишете свои правила и администрируете свои интерфейсы. Если вы еще не делали этого раньше, вам придется подняться на холм. Если вы уже достаточно хорошо разбираетесь в сетевых технологиях и брандмауэрах, понять, как Linux делает эти вещи, не так уж и сложно. Если у вас вообще нет опыта, это может расстраивать. Я использую пакет fwbuilder для написания правил брандмауэра; Раньше я делал это вручную, но макет fwbuilder в стиле Checkpoint довольно приятен. Синтаксис командной строки netfilter/iptables может оказаться довольно сложным, поэтому наличие графического интерфейса очень полезный.

Главный плюс — это то же самое, что и главный недостаток: вы управляете собственным брандмауэром. Это означает, что вы никогда не устареете. Я только что обновил свой Debian Bullseye до Bookworm. Это было не совсем безболезненно, я все еще устраняю какие-то странные неполадки с связыванием 9, но все его основные функции работают хорошо. Пока я буду поддерживать его в таком состоянии, оно будет оставаться актуальным.

Да, Smoothwall (по крайней мере открытая версия) очень устарело, последнее обновление примерно 10 лет назад. Eсть коммерческий продукт с похожим названием но на самом деле он не предназначен для домашнего использования, я даже не уверен, связаны ли они между собой, кроме общего имени. Причина, по которой я упомянул об этом, заключается в том, что это был один из первых проектов, предлагающих что-то похожее на теперь уже знакомый маршрутизатор. дистрибутив, то есть специально созданный дистрибутив Linux или UNIX для использования в качестве маршрутизатора/брандмауэра, признавая, что управление чем-то подобным «в сырой», как @мэлор делает это... не для всех.

Если вам нужно только проводное подключение, то Mikrotik Hex RB750Gr3 — очень подходящее устройство. У меня есть один резервный маршрутизатор, и, как уже было сказано, с ним мало что можно сделать, и цена приемлемая (менее 50 фунтов стерлингов на Amazon в Великобритании). Однако у Mikrotik очень специфический способ выполнения задач, и, очевидно, он сильно отличается от других маршрутизаторов, поэтому вам придется изучить два разных способа достижения одной и той же цели.

Тем не менее, ваши заявленные цели умеренно сложны, поэтому у вас впереди разумная кривая обучения.

Не используйте Smoothwall. Это очень, очень мертвый проект.

У меня есть компьютер, предназначенный для использования opnsense, и некоторый опыт настройки LAGG, псевдонимов, правил брандмауэра и т. д. Проблема в том, что каждый раз после установки операционной системы и выполнения обновления (даже без настройки чего-либо, кроме назначения интерфейса), обновление ломает операционную систему, оставляя меня с ошибкой 503 в Веб-портал. Проект временно приостановлен. Я провел тесты памяти, они прошли. Заменил SSD, но проблема осталась. Брандмауэр, который вы используете, похоже, работает в основном из командной строки?

Никогда раньше не встречал стада гладковолосых, спасибо, проверю их. WAP будет отдельным устройством. Требования за пределами NAT, брандмауэра, Wi-Fi, портов Ethernet, полных vlan, LAGG, псевдонимов. Графический интерфейс для быстрого доступа. Отделение IOT-устройств от основной сети, но возможность подключения к ним со стороны локальной сети. Примером может быть домашний помощник или пи-дыра. В настоящее время у меня нет планов запускать серверы любого типа, доступные из Интернета.

Да, я буквально собираю свой собственный Debian Linux. Для начала я делаю минимальную установку. Я настраиваю основной сетевой интерфейс с помощью базовой системы ifupdown, а не более продвинутой. предложения, так как это будет окно только с командной строкой, и я хочу, чтобы сеть запускалась так быстро, как возможный. Я устанавливаю ssh, настраиваю его с использованием предпочитаемых мной алгоритмов, генерирую новые ключи, а затем подключаюсь к приставке через ssh, чтобы продолжить настройку.

Оттуда, по крайней мере для этого нового устройства, я установил резервный DNS и openntpd, но не установил DHCP-сервер, поскольку мой NAS-сервер обрабатывает DHCP и основной DNS. Затем я настроил вторичные интерфейсы (опять же через /etc/network/interfaces.d, а не через более сложные сервисы) и создал набор правил брандмауэра с помощью fwbuilder. Я запускаю это на NAS через удаленную X Windows, но вы можете загрузить эту программу, скомпилированную для Windows, если хотите. Я просмотрел файлы, сгенерированные им в каталоге /etc, а затем добавил дополнительные пакеты, необходимые сценарию, когда я пытался его запустить. Я не помню, какие они были, но потребовалось несколько прерванных запусков и добавление новых пакетов, прежде чем все запустилось правильно.

Затем я добавил предложения post-up и pre-down к основному сетевому интерфейсу, запустил сценарий запуска брандмауэра и собственный сценарий остановки брандмауэра, который я создал сам. (это очень просто, просто отключает переадресацию, а затем удаляет все правила iptables.)

На протяжении всего этого процесса я обычно добавляю пакеты, когда замечаю их отсутствие, например, vim-nox, мои обычные точечные файлы, iptables и так далее. При входе в систему прямо сейчас на диске занято 2,2 ГБ из 116 доступных; Твердотельный накопитель 128G был чрезвычайно большого размера, но имел хорошую цену и был простым, так какого черта. Это какой-то странный китайский бренд, который я не узнаю; в эту коробку можно установить любой стандартный SSD, и его легко купить без него, если вы предпочитаете что-то более надежное.

Теперь обслуживание — это, по сути, apt update/apt dist-upgrade, а также время от времени проверка журналов. Я, вероятно, установлю logwatch и настрою его на электронную почту, но я еще этого не сделал.

отредактируйте, чтобы добавить: если вам нужны VLAN, их необходимо настроить как часть настройки сети. Я не делаю этого сам, поскольку у устройства четыре порта, поэтому я использую коммутатор для добавления тегов VLAN на основе входящего порта. Если у вас больше VLAN, чем внутренних сетевых интерфейсов, вам нужно, чтобы брандмауэр помечал все. На самом деле я этого не делал, но кратко изучил это, и это более или менее похоже на создание псевдонимов для существующих сетевых портов и назначение им IP-адресов. Если вы можете настроить сеть через /etc/network/interfaces.d, я думаю, вы сможете управлять VLAN, это очень тесно связано.

Вероятно, вам не нужен pfSense, так как этот вариант совершенно ужасен. Вместо этого я бы предложил проверить OPNSense, если вы не хотите создавать свой собственный. Здесь используется ядро ​​BSD, я не уверен, какое именно, и имеется веб-интерфейс, на который я никогда не смотрел. Я знаю, что многим жителям Арса это нравится, так что, вероятно, это довольно хорошо. Я просто все делаю сам, потому что знаю как. Это не обязательно лучше, просто я научился это делать. OPNSense вполне мог бы быть лучше и обеспечить легкий доступ к более продвинутым функциям. (например, что-то с VLAN; из командной строки это не выглядит чем-то сложным, но это определенно не графический интерфейс.)

Эта конкретная машина поставлялась с предустановленным на SSD pfSense, но у меня сложилось впечатление, что его необходимо заменить обновленной версией, которая понимает сетевые порты I226V. На самом деле я не беспокоился ни о чем из этого, потому что использование готового дистрибутива из потенциально сомнительного источника в Китае не казалось мне разумным. Если бы я выбрал pf ​​или OPNSense, я бы вместо этого загрузил свежие изображения и записал их.

отредактируйте, чтобы добавить пару часов спустя: еще одно преимущество того, что я делаю, заключается в том, что поверхность атаки очень мала. На данный момент у меня нет портов прослушивания на внешнем интерфейсе и только DNS и SSH в доверенном сегменте. Чтобы скомпрометировать брандмауэр, либо должна быть уязвимость на уровне ядра, которая может быть активирована без прослушивания портов, либо или кому-то придется взломать мой рабочий стол (вероятно, через веб-браузер), а затем получить учетные данные, чтобы преследовать другой компьютер. машины. Скорее всего, это не будет автоматизировано, возможно, потребуется ручное вмешательство. Вероятно.

Последнее сообщение в блоге

Винтажный и ретро-корпус для ПК находит нить
October 10, 2023

Горячая ностальгия по восстановлению компьютеров эпохи MS-DOS и созданию Sleeper. Я говорил с "ПК Филантропия«Сегодня он планирует поездку, чтобы к...

Винтажный и ретро-корпус для ПК находит нить
October 10, 2023

Горячая ностальгия по восстановлению компьютеров эпохи MS-DOS и созданию Sleeper. Я говорил с "ПК Филантропия«Сегодня он планирует поездку, чтобы к...

Винтажный и ретро-корпус для ПК находит нить
October 10, 2023

Горячая ностальгия по восстановлению компьютеров эпохи MS-DOS и созданию Sleeper. Я говорил с "ПК Филантропия«Сегодня он планирует поездку, чтобы к...