מאמרים אחרונים

שתף בפייסבוק שיתוף בפייסבוק
RSS - מאמריםמאמרים
RSS - פורומיםפורומים
דווח למנהל דיווח למנהל
קישור לעמוד זה קישור לעמוד זה
עוד בקבוצת HT



פתרון אופטימלי ליצירת שתי רשתות LAN נפרדות בבית


עמוד 1 מתוך 4
עבור לעמוד  1  |  2  |  3  |  4  |  הבא 
   פורומים > HTPC ומחשוב > רשתות, IT ומחשוב
מחבר הודעה
evgenetic
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Dec 25, 2010
הבעות תודה: 313
מספר הודעות: 2641

 #1  נשלח: ו' 21/09/2018 11:29
פתרון אופטימלי ליצירת שתי רשתות LAN נפרדות בבית

היי,
יש לי שרת ביתי פשוט (ובו עוד כמה מכונות וירטואליות) אליו דרך האינטרנט מתחברים כמה אנשים בודדים לצורכי עבודה. כרגע הוא נמצא ברשת ביתית עם כל שאר המכשירים בהם אני עושה שימוש בבית. מן הסתם זה לא אידיאלי שאנשים שמתחברים אלי יכולים להפעיל את הרסיבר ולעשות עוד כל מיני דברים עם מכשירים שמחוברים לאותה הרשת...

הצלחתי לפתור את העניין על ידי התקנת OpenWRT על הראוטר שלי (Archer C7 v2), יצירת VLAN נפרד לשרת ויעוד של יציאת רשת אחת בראוטר לVLAN זה. באופן כזה שתי הרשתות היו בעלות קבוצת IP שונים, לא ראו ולא יכלו לגשת אחת לשנייה (בעזרת הגדרות firewall בראוטר) ולשתיהן הייתה גישה לאינטרנט. אבל OpenWRT לא עבד באופן יציב, מדי פעם הוא לא פתח עמודי אינטרנט, לפעמים קרס חיבור VPN מבחוץ (מה שעבד מושלם על הקושחה המקורית של הראוטר), ובאופן כללי היה על load מאד גבוה של כ1.5+.

אני לא שולט בתחום מספיק טוב כדי לנסות לפתור את הבעיות בOpenWRT, ומה שכנראה ייקח לי המון זמן, אז אני צריך פתרון אחר. אם אני מבין נכון הפתרון האידיאלי הוא רכישת ראוטר עם יכולות VLAN מובנות, אבל אולי אני מפספס משהו ויש פתרון יותר טוב. מה אתם חושבים?
| פרופיל | שלח הודעה | חפש
rm1
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Mar 11, 2013
הבעות תודה: 125
מספר הודעות: 1174

 #2  נשלח: ו' 21/09/2018 13:07

מה שאתה יכול לעשות זה להתקין שרת וירטואלי נוסף ובו להריץ pfsense ואז לקנפג אותו שישמש כ FW על כל השרתים הווירטואליים האחרים.
זה לא מצריך כרטיס רשת פיזי נוסף אחד מספיק שיחובר לצד ה WAN של ה pfsense וצד ה LAN ושאר השרתים יחוברו ל SWITCH לוגי בתוך המכונה עם תת רשת נפרדת ללא כרטיס רשת פיזי.
אתה יכול להגדיר את ה VPN על ה pfsense וב C7 להפנות את הפורט של ה VPN לכתובת ה pfsense WAN.
ב pfsense אתה יכול לחסום גישה לכתובות הרשת הביתית חוץ מה C7 ליציאה לאינטרנט.
יש מדריכים רבים להגדרת pfsense כ FW עבור מחשב וירטואלי לפעמים עם שני כרטיסים אבל אצלך לא צריך את כרטיס ה LAN.
רק להגדיר את הניהול של השרת על הכרטיס הפיזי.
כך אתה יכול לותר על VLAN ו VPN ב C7 ולהקל עליו.
| פרופיל | שלח הודעה | חפש
rm1
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Mar 11, 2013
הבעות תודה: 125
מספר הודעות: 1174

 #3  נשלח: ו' 21/09/2018 13:15

לדוגמה:
| פרופיל | שלח הודעה | חפש
rm1
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Mar 11, 2013
הבעות תודה: 125
מספר הודעות: 1174

 #4  נשלח: ו' 21/09/2018 13:21

או על HIPER-V
| פרופיל | שלח הודעה | חפש
evgenetic
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Dec 25, 2010
הבעות תודה: 313
מספר הודעות: 2641

 #5  נשלח: ו' 21/09/2018 14:32

מעולה, תודה!
משום מה חששתי מזה כי חשבתי שהוא קשה להגדרה, אבל אפילו כברירת מחדל אני מקבל כמעט את מה שרציתי.
| פרופיל | שלח הודעה | חפש
NegativeIQ (דן)
חבר מביא חבר
חבר מביא חבר

הצטרף בתאריך:
  Dec 13, 2005
הבעות תודה: 453
מספר הודעות: 3799

 #6  נשלח: שבת 22/09/2018 11:19
Re: פתרון אופטימלי ליצירת שתי רשתות LAN נפרדות בבית

evgenetic כתב:
היי,
יש לי שרת ביתי פשוט (ובו עוד כמה מכונות וירטואליות) אליו דרך האינטרנט מתחברים כמה אנשים בודדים לצורכי עבודה. כרגע הוא נמצא ברשת ביתית עם כל שאר המכשירים בהם אני עושה שימוש בבית. מן הסתם זה לא אידיאלי שאנשים שמתחברים אלי יכולים להפעיל את הרסיבר ולעשות עוד כל מיני דברים עם מכשירים שמחוברים לאותה הרשת...

הצלחתי לפתור את העניין על ידי התקנת OpenWRT על הראוטר שלי (Archer C7 v2), יצירת VLAN נפרד לשרת ויעוד של יציאת רשת אחת בראוטר לVLAN זה. באופן כזה שתי הרשתות היו בעלות קבוצת IP שונים, לא ראו ולא יכלו לגשת אחת לשנייה (בעזרת הגדרות firewall בראוטר) ולשתיהן הייתה גישה לאינטרנט. אבל OpenWRT לא עבד באופן יציב, מדי פעם הוא לא פתח עמודי אינטרנט, לפעמים קרס חיבור VPN מבחוץ (מה שעבד מושלם על הקושחה המקורית של הראוטר), ובאופן כללי היה על load מאד גבוה של כ1.5+.

אני לא שולט בתחום מספיק טוב כדי לנסות לפתור את הבעיות בOpenWRT, ומה שכנראה ייקח לי המון זמן, אז אני צריך פתרון אחר. אם אני מבין נכון הפתרון האידיאלי הוא רכישת ראוטר עם יכולות VLAN מובנות, אבל אולי אני מפספס משהו ויש פתרון יותר טוב. מה אתם חושבים?

זה ממש מוזר לי מה שאתה מתאר, גם לי יש Archer C7 v2 עם OpenWRT 17.01.4 ו-OpenVPN והוא יציב לחלוטין. ה-VPN אמנם לא עובר את ה-10 מגה (אין מה לעשות, זה מה שקורה כשלוקחים מעבד שתונן למשימה אחת ומטילים עליו משימה שונה לגמרי) אבל מעולם לא קרס לי.
| פרופיל | שלח הודעה | חפש
evgenetic
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Dec 25, 2010
הבעות תודה: 313
מספר הודעות: 2641

 #7  נשלח: שבת 22/09/2018 11:41

NegativeIQ
אני לא השתמשתי בו כשרת VPN, מה שקרס מדי פעם הוא החיבור לsoftether במחשב הביתי שתמיד עבד יציב. עכשיו בpfsense אני כן משתמש בשירות הopen vpn המובנה והוא עובד מצוין. אני מניח שזה יכול להיות קשור להגדרות VLAN/interface/firewall לא לגמרי נכונות כי בשאר הדברים לא נגעתי. אני אגב לא מתנגד לנסות אותו שוב אם תתאר איך הדברים אמורים להיות מקונפגים במקרה שלי, כי זה בכל זאת נראה לי יותר אינטואיטיבי מאשר ראוטר וירטואלי בסה"כ מה שאני רוצה הוא שיציאת LAN4 בראוטר תהיה מיועדת לרשת אחרת ונפרדת עם גישה לאינטרנט.
| פרופיל | שלח הודעה | חפש
eran405
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Feb 27, 2012
הבעות תודה: 473
מספר הודעות: 2395

 #8  נשלח: שבת 22/09/2018 16:28

evgenetic
·

למיטב הבנתי אתה צריך switch שתומך (כרגיל נקרא managed switch) בשביל לייעד פורט פיזי מסוים ל-VLAN מסוים. בכל הראוטרים הפשוטים - כולל ב-C7 למיטב ידעתי - ה-4 פורטים של ה-LAN מחוברים ל-switch חומרתי שאינו תומך ב-VLANs ולכן כבר ברמה החומרתית יש גישה מכל פורט LAN לכל פורט LAN אחר. כנ"ל לגבי switch זול שאינו תומך ב-VLANs.

עריכה: כנראה שטעיתי לגבי זה. ראה את הפוסט של sys_admin בהמשך.

מה שאני מניח שאתה כן יכול לעשות עם openwrt וכאלה הוא להגדיר את ה-VLAN ברמה הלוגית ולהגדיר את הניתובים אליו וממנו כך שבחיבור switch מנוהל תוכל לבחור איזה פורט יהיה מוגדר על איזה VLAN.

כמובן שאם אתה סומך על הצרכנים האחרים שלך בתוך הבית ואתה רק רוצה להגן שלחיבורים מבחוץ לא תהיה גישה למכשירים אחרים בבית אז אתה לא צריך VLANs. אם נגיד החיבורים מבחוץ הם בעזרת VPN, אז אתה יכול לתת לכל המחשבים שמתחברים ל-VPN כתובות בטווח אחר (לפחות בציוד של ubiquiti זה לא משתמש ב-VLANs זה פשוט עוד רשת לוגית עם טווח כתובות אחר) ולהגדיר את חוקי הניתוב בצורה כזו שתהיה להם גישה רק לציוד שאתה מרשה.

כהערת אגב אציין שלאחרונה עברתי להשתמש ב-edgerouters של Ubiquiti ובדיוק לדברים כאלה הם ממש מצויינים ונוחים (נגיד זה). כמובן שאם אתה מסתדר עם ה-OpenWRT זו אופציה מצוינת ואם נח לך את להריץ pfsense אז זאת בכלל אופציה עוד יותר חזקה.

בהצלחה.


נערך בפעם אחרונה על-ידי eran405 בתאריך א' 23/09/2018 7:11, נערך סך הכל פעם אחת
| פרופיל | שלח הודעה | חפש
Fish72
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Feb 19, 2007

מיקום: ת"א
הבעות תודה: 227
מספר הודעות: 1901

 #9  נשלח: שבת 22/09/2018 17:28

eran405
· בהמשך לתגובה של ערן - אני מוכר את הנתב הזה של UBIQUITI (עולה כ-600 שח בארץ וחזק בהרבה מהדגם שצויין) :

https://www.hometheater.co.il/vt309892.html
| פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 398
מספר הודעות: 2127

 #10  נשלח: שבת 22/09/2018 23:00

eran405
·

כמה תוספות, תיקונים ודגשים לנושא. הנתב C7 למשל, כולל גם מתג מנוהל מובנה של כ 4 פורטים שניתן בכל אחד מהם גם להגדיר לא רק שיוך ל VLAN מסויים, אלה גם תיוג וגם לייצר VLAN TRUNK על כל אחד מהפורטים אלה, אם משתמשים ב OPENWRT. בקשר למתג שנדרש ברשת לצורך המשימה, אז מדובר במתג שלא רק תומך ב VLANs, אלה גם ב VLAN Trunking , לצורך חיבור של VLAN Trunk למחשב שמריץ את המכונה הוירטואלית ושכל כרטיס רשת וירטואלי שלה מחובר ל VLAN שונה על ידי כך, דרך כרטיס רשת פיזי אחד שבו מוגדר כבר ה Trunk המדובר. גם, אם משתמשים בנתב כמו C7, עדיין נדרש אותו סוג של מתג, שדובר עליו מקודם. מצורף צילום מסך של ההגדרות VLAN בנתב C7.



(2) הבעות תודה: Fish72 , eran405
| פרופיל | שלח הודעה | חפש
eran405
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Feb 27, 2012
הבעות תודה: 473
מספר הודעות: 2395

 #11  נשלח: א' 23/09/2018 7:09

sys_admin
·
מעניין. בדקתי ב-linksys הישן שלי שמריץ ddwrt וגם שם נראה כמו שיש את כל האופציות האילו (אני מתעצל לוודא שזה באמת עובד).

אז בעצם בכל ראוטר פשוט יש את האופציה החומרתית להפריד את הפורטי ה-LAN ל-VLANs שונים ופשוט לא חושפים את האופציות האילו בקושחות של היצרן?
| פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 398
מספר הודעות: 2127

 #12  נשלח: א' 23/09/2018 9:55

eran405
·
כמובן שלא בכל נתב פשוט קיים מתג מנוהל שלא מנוצל בתוכנה של היצרן, אבל ברוב המכריע של נתבים כאלה כן יש מתג כזה ואת זה ניתן לבדוק במפרטים שונים לפי דגם מדויק של הנתב, שבדרך כלל ניתן למצוא באתרים של הסברים לחומרה שמתאימה OPENWRT. ולשאלה השנייה השימוש ב VLANS במתג שב C7 ואפילו שב TP-Link TL-WDR4300 העתיק כן מתפקדים בצורה שמניחה את הדעת. הדבר נדרש גם כאשר משתמשים במוצרים האלה כבנקודות גישה שמשדרות מספר SSID, שכל אחד מהם מקושר ל VLAN שונה ברשת קווית או כאשר משתמשים בהקצאה של VLAN דינאמי לפי שם משתמש וסיסמה עם SSID יחיד.
(1) הבעות תודה: eran405
| פרופיל | שלח הודעה | חפש
NegativeIQ (דן)
חבר מביא חבר
חבר מביא חבר

הצטרף בתאריך:
  Dec 13, 2005
הבעות תודה: 453
מספר הודעות: 3799

 #13  נשלח: א' 23/09/2018 10:19

sys_admin כתב:
@eran405
·
כמובן שלא בכל נתב פשוט קיים מתג מנוהל שלא מנוצל בתוכנה של היצרן, אבל ברוב המכריע של נתבים כאלה כן יש מתג כזה ואת זה ניתן לבדוק במפרטים שונים לפי דגם מדויק של הנתב, שבדרך כלל ניתן למצוא באתרים של הסברים לחומרה שמתאימה OPENWRT. ולשאלה השנייה השימוש ב VLANS במתג שב C7 ואפילו שב TP-Link TL-WDR4300 העתיק כן מתפקדים בצורה שמניחה את הדעת. הדבר נדרש גם כאשר משתמשים במוצרים האלה כבנקודות גישה שמשדרות מספר SSID, שכל אחד מהם מקושר ל VLAN שונה ברשת קווית או כאשר משתמשים בהקצאה של VLAN דינאמי לפי שם משתמש וסיסמה עם SSID יחיד.

יש סיבה לזה שזה ככה. בד"כ בראוטרים הזולים הפורטים של ה-LAN וה-WAN נמצאים על אותו Switch ורק מופרדים לשני VLAN-ים שונים. זה יותר זול ככה כי היצרן לא צריך לחבר שני כרטיסי רשת נפרדים. כפועל יוצא של התמיכה ב-VLAN-ים אז אפשר לעשות קונפיגורציה יותר חכמה עם OpenWRT.
נ.ב. כן, זה תיאורטית פוגע בביצועים אבל כל עוד זה מגיע ל-1Gbps זה גם ככה לא יהיה צוואר הבקבוק. אגב, לפעמים יש גם בעיות אחרות עם זה, לדוגמה ב-WR1043NDv1 עד שהקושחה עולה ומקנפגת את ה-VLAN-ים אז ה-Switch מעביר תקשורת חופשית בין ה-LAN ל-WAN, פוטנציאלית מאפשר לחדור לכם לרשת (אם כי כנראה שרק הספק יוכל לעשות את זה).
(1) הבעות תודה: eran405
| פרופיל | שלח הודעה | חפש
evgenetic
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Dec 25, 2010
הבעות תודה: 313
מספר הודעות: 2641

 #14  נשלח: א' 23/09/2018 12:23

תודה על עזרה חבר'ה, בינתיים נראה לי שאשאר עם pfsene. מה שבעיקר קנה אותי זה ההגדרות המאד נוחות אך באותו הזמן גם מאד משוכללת של שרת openvpn (בעזרת Client Export Package).
ואם בעתיד ארצה, בעזרת כרטיס רשת כזה ומתג פשוט אוכל לעשות הפרדה פיזית של הרשתות די בקלות ממה שהבנתי.
| פרופיל | שלח הודעה | חפש
rm1
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Mar 11, 2013
הבעות תודה: 125
מספר הודעות: 1174

 #15  נשלח: א' 23/09/2018 14:10

אם לא הפעלתה את אופצית ה VLAN ב C7 אתה יכול גם לאפשר ולחסום גישה לרשת הביתית מהשרתים הוירטואלים וה VPN
ע"י חוקים ב pfsense
| פרופיל | שלח הודעה | חפש
כל הזמנים הם שעון חורף - ישראל (GMT+2) הצג הודעות קודמות:    
פורומים > רשתות, IT ומחשוב עבור לעמוד  1  |  2  |  3  |  4  |  הבא 


  
    שם משתמש:
נתוני כניסה לכל אתרי HT:

  סיסמא:
 

  


 | 

קפוץ אל: 
לא ניתן לשלוח הודעות בפורום זה
לא ניתן להגיב להודעות בפורום זה
לא ניתן לערוך את הודעותיך בפורום זה
לא ניתן למחוק את הודעותיך בפורום זה
לא ניתן להצביע לסקרים בפורום זה
לא ניתן לצרף קבצים בפורום זה
לא ניתן להוריד קבצים בפורום זה

תקנון / תנאי השימוש באתר צור קשר / contact us כל הזכויות שמורות לקבוצת ht