היי,
יש לי שרת ביתי פשוט (ובו עוד כמה מכונות וירטואליות) אליו דרך האינטרנט מתחברים כמה אנשים בודדים לצורכי עבודה. כרגע הוא נמצא ברשת ביתית עם כל שאר המכשירים בהם אני עושה שימוש בבית. מן הסתם זה לא אידיאלי שאנשים שמתחברים אלי יכולים להפעיל את הרסיבר ולעשות עוד כל מיני דברים עם מכשירים שמחוברים לאותה הרשת...
הצלחתי לפתור את העניין על ידי התקנת OpenWRT על הראוטר שלי (Archer C7 v2), יצירת VLAN נפרד לשרת ויעוד של יציאת רשת אחת בראוטר לVLAN זה. באופן כזה שתי הרשתות היו בעלות קבוצת IP שונים, לא ראו ולא יכלו לגשת אחת לשנייה (בעזרת הגדרות firewall בראוטר) ולשתיהן הייתה גישה לאינטרנט. אבל OpenWRT לא עבד באופן יציב, מדי פעם הוא לא פתח עמודי אינטרנט, לפעמים קרס חיבור VPN מבחוץ (מה שעבד מושלם על הקושחה המקורית של הראוטר), ובאופן כללי היה על load מאד גבוה של כ1.5+.
אני לא שולט בתחום מספיק טוב כדי לנסות לפתור את הבעיות בOpenWRT, ומה שכנראה ייקח לי המון זמן, אז אני צריך פתרון אחר. אם אני מבין נכון הפתרון האידיאלי הוא רכישת ראוטר עם יכולות VLAN מובנות, אבל אולי אני מפספס משהו ויש פתרון יותר טוב. מה אתם חושבים?
פתרון אופטימלי ליצירת שתי רשתות LAN נפרדות בבית
מה שאתה יכול לעשות זה להתקין שרת וירטואלי נוסף ובו להריץ pfsense ואז לקנפג אותו שישמש כ FW על כל השרתים הווירטואליים האחרים.
זה לא מצריך כרטיס רשת פיזי נוסף אחד מספיק שיחובר לצד ה WAN של ה pfsense וצד ה LAN ושאר השרתים יחוברו ל SWITCH לוגי בתוך המכונה עם תת רשת נפרדת ללא כרטיס רשת פיזי.
אתה יכול להגדיר את ה VPN על ה pfsense וב C7 להפנות את הפורט של ה VPN לכתובת ה pfsense WAN.
ב pfsense אתה יכול לחסום גישה לכתובות הרשת הביתית חוץ מה C7 ליציאה לאינטרנט.
יש מדריכים רבים להגדרת pfsense כ FW עבור מחשב וירטואלי לפעמים עם שני כרטיסים אבל אצלך לא צריך את כרטיס ה LAN.
רק להגדיר את הניהול של השרת על הכרטיס הפיזי.
כך אתה יכול לותר על VLAN ו VPN ב C7 ולהקל עליו.
זה לא מצריך כרטיס רשת פיזי נוסף אחד מספיק שיחובר לצד ה WAN של ה pfsense וצד ה LAN ושאר השרתים יחוברו ל SWITCH לוגי בתוך המכונה עם תת רשת נפרדת ללא כרטיס רשת פיזי.
אתה יכול להגדיר את ה VPN על ה pfsense וב C7 להפנות את הפורט של ה VPN לכתובת ה pfsense WAN.
ב pfsense אתה יכול לחסום גישה לכתובות הרשת הביתית חוץ מה C7 ליציאה לאינטרנט.
יש מדריכים רבים להגדרת pfsense כ FW עבור מחשב וירטואלי לפעמים עם שני כרטיסים אבל אצלך לא צריך את כרטיס ה LAN.
רק להגדיר את הניהול של השרת על הכרטיס הפיזי.
כך אתה יכול לותר על VLAN ו VPN ב C7 ולהקל עליו.
- NegativeIQ
-
- חבר מביא חבר
- הודעות: 4423
- הצטרף: דצמבר 2005
- נתן תודות: 11 פעמים
- קיבל תודות: 570 פעמים
Re: פתרון אופטימלי ליצירת שתי רשתות LAN נפרדות בבית
זה ממש מוזר לי מה שאתה מתאר, גם לי יש Archer C7 v2 עם OpenWRT 17.01.4 ו-OpenVPN והוא יציב לחלוטין. ה-VPN אמנם לא עובר את ה-10 מגה (אין מה לעשות, זה מה שקורה כשלוקחים מעבד שתונן למשימה אחת ומטילים עליו משימה שונה לגמרי) אבל מעולם לא קרס לי.evgenetic כתב:היי,
יש לי שרת ביתי פשוט (ובו עוד כמה מכונות וירטואליות) אליו דרך האינטרנט מתחברים כמה אנשים בודדים לצורכי עבודה. כרגע הוא נמצא ברשת ביתית עם כל שאר המכשירים בהם אני עושה שימוש בבית. מן הסתם זה לא אידיאלי שאנשים שמתחברים אלי יכולים להפעיל את הרסיבר ולעשות עוד כל מיני דברים עם מכשירים שמחוברים לאותה הרשת...
הצלחתי לפתור את העניין על ידי התקנת OpenWRT על הראוטר שלי (Archer C7 v2), יצירת VLAN נפרד לשרת ויעוד של יציאת רשת אחת בראוטר לVLAN זה. באופן כזה שתי הרשתות היו בעלות קבוצת IP שונים, לא ראו ולא יכלו לגשת אחת לשנייה (בעזרת הגדרות firewall בראוטר) ולשתיהן הייתה גישה לאינטרנט. אבל OpenWRT לא עבד באופן יציב, מדי פעם הוא לא פתח עמודי אינטרנט, לפעמים קרס חיבור VPN מבחוץ (מה שעבד מושלם על הקושחה המקורית של הראוטר), ובאופן כללי היה על load מאד גבוה של כ1.5+.
אני לא שולט בתחום מספיק טוב כדי לנסות לפתור את הבעיות בOpenWRT, ומה שכנראה ייקח לי המון זמן, אז אני צריך פתרון אחר. אם אני מבין נכון הפתרון האידיאלי הוא רכישת ראוטר עם יכולות VLAN מובנות, אבל אולי אני מפספס משהו ויש פתרון יותר טוב. מה אתם חושבים?...
- evgenetic (פותח השרשור)
-
- חבר ותיק
- הודעות: 2641
- הצטרף: דצמבר 2010
- נתן תודות: 112 פעמים
- קיבל תודות: 305 פעמים
@NegativeIQ
אני לא השתמשתי בו כשרת VPN, מה שקרס מדי פעם הוא החיבור לsoftether במחשב הביתי שתמיד עבד יציב. עכשיו בpfsense אני כן משתמש בשירות הopen vpn המובנה והוא עובד מצוין. אני מניח שזה יכול להיות קשור להגדרות VLAN/interface/firewall לא לגמרי נכונות כי בשאר הדברים לא נגעתי. אני אגב לא מתנגד לנסות אותו שוב אם תתאר איך הדברים אמורים להיות מקונפגים במקרה שלי, כי זה בכל זאת נראה לי יותר אינטואיטיבי מאשר ראוטר וירטואלי בסה"כ מה שאני רוצה הוא שיציאת LAN4 בראוטר תהיה מיועדת לרשת אחרת ונפרדת עם גישה לאינטרנט.
אני לא השתמשתי בו כשרת VPN, מה שקרס מדי פעם הוא החיבור לsoftether במחשב הביתי שתמיד עבד יציב. עכשיו בpfsense אני כן משתמש בשירות הopen vpn המובנה והוא עובד מצוין. אני מניח שזה יכול להיות קשור להגדרות VLAN/interface/firewall לא לגמרי נכונות כי בשאר הדברים לא נגעתי. אני אגב לא מתנגד לנסות אותו שוב אם תתאר איך הדברים אמורים להיות מקונפגים במקרה שלי, כי זה בכל זאת נראה לי יותר אינטואיטיבי מאשר ראוטר וירטואלי בסה"כ מה שאני רוצה הוא שיציאת LAN4 בראוטר תהיה מיועדת לרשת אחרת ונפרדת עם גישה לאינטרנט.
@evgenetic
·
למיטב הבנתי אתה צריך switch שתומך (כרגיל נקרא managed switch) בשביל לייעד פורט פיזי מסוים ל-VLAN מסוים. בכל הראוטרים הפשוטים - כולל ב-C7 למיטב ידעתי - ה-4 פורטים של ה-LAN מחוברים ל-switch חומרתי שאינו תומך ב-VLANs ולכן כבר ברמה החומרתית יש גישה מכל פורט LAN לכל פורט LAN אחר. כנ"ל לגבי switch זול שאינו תומך ב-VLANs.
עריכה: כנראה שטעיתי לגבי זה. ראה את הפוסט של sys_admin בהמשך.
מה שאני מניח שאתה כן יכול לעשות עם openwrt וכאלה הוא להגדיר את ה-VLAN ברמה הלוגית ולהגדיר את הניתובים אליו וממנו כך שבחיבור switch מנוהל תוכל לבחור איזה פורט יהיה מוגדר על איזה VLAN.
כמובן שאם אתה סומך על הצרכנים האחרים שלך בתוך הבית ואתה רק רוצה להגן שלחיבורים מבחוץ לא תהיה גישה למכשירים אחרים בבית אז אתה לא צריך VLANs. אם נגיד החיבורים מבחוץ הם בעזרת VPN, אז אתה יכול לתת לכל המחשבים שמתחברים ל-VPN כתובות בטווח אחר (לפחות בציוד של ubiquiti זה לא משתמש ב-VLANs זה פשוט עוד רשת לוגית עם טווח כתובות אחר) ולהגדיר את חוקי הניתוב בצורה כזו שתהיה להם גישה רק לציוד שאתה מרשה.
כהערת אגב אציין שלאחרונה עברתי להשתמש ב-edgerouters של Ubiquiti ובדיוק לדברים כאלה הם ממש מצויינים ונוחים (נגיד זה). כמובן שאם אתה מסתדר עם ה-OpenWRT זו אופציה מצוינת ואם נח לך את להריץ pfsense אז זאת בכלל אופציה עוד יותר חזקה.
בהצלחה.
·
למיטב הבנתי אתה צריך switch שתומך (כרגיל נקרא managed switch) בשביל לייעד פורט פיזי מסוים ל-VLAN מסוים. בכל הראוטרים הפשוטים - כולל ב-C7 למיטב ידעתי - ה-4 פורטים של ה-LAN מחוברים ל-switch חומרתי שאינו תומך ב-VLANs ולכן כבר ברמה החומרתית יש גישה מכל פורט LAN לכל פורט LAN אחר. כנ"ל לגבי switch זול שאינו תומך ב-VLANs.
עריכה: כנראה שטעיתי לגבי זה. ראה את הפוסט של sys_admin בהמשך.
מה שאני מניח שאתה כן יכול לעשות עם openwrt וכאלה הוא להגדיר את ה-VLAN ברמה הלוגית ולהגדיר את הניתובים אליו וממנו כך שבחיבור switch מנוהל תוכל לבחור איזה פורט יהיה מוגדר על איזה VLAN.
כמובן שאם אתה סומך על הצרכנים האחרים שלך בתוך הבית ואתה רק רוצה להגן שלחיבורים מבחוץ לא תהיה גישה למכשירים אחרים בבית אז אתה לא צריך VLANs. אם נגיד החיבורים מבחוץ הם בעזרת VPN, אז אתה יכול לתת לכל המחשבים שמתחברים ל-VPN כתובות בטווח אחר (לפחות בציוד של ubiquiti זה לא משתמש ב-VLANs זה פשוט עוד רשת לוגית עם טווח כתובות אחר) ולהגדיר את חוקי הניתוב בצורה כזו שתהיה להם גישה רק לציוד שאתה מרשה.
כהערת אגב אציין שלאחרונה עברתי להשתמש ב-edgerouters של Ubiquiti ובדיוק לדברים כאלה הם ממש מצויינים ונוחים (נגיד זה). כמובן שאם אתה מסתדר עם ה-OpenWRT זו אופציה מצוינת ואם נח לך את להריץ pfsense אז זאת בכלל אופציה עוד יותר חזקה.
בהצלחה.
נערך לאחרונה על ידי eran405 ב 23/09/2018 8:11, נערך פעם 1 בסך הכל.
- Fish72
- חבר מביא חבר
- הודעות: 3027
- הצטרף: פברואר 2007
- מיקום: ת"א
- נתן תודות: 956 פעמים
- קיבל תודות: 335 פעמים
@eran405
· בהמשך לתגובה של ערן - אני מוכר את הנתב הזה של UBIQUITI (עולה כ-600 שח בארץ וחזק בהרבה מהדגם שצויין) :
https://www.hometheater.co.il/vt309892.html
· בהמשך לתגובה של ערן - אני מוכר את הנתב הזה של UBIQUITI (עולה כ-600 שח בארץ וחזק בהרבה מהדגם שצויין) :
https://www.hometheater.co.il/vt309892.html
- sys_admin
-
- חבר מביא חבר
- הודעות: 3685
- הצטרף: ינואר 2014
- מיקום: גליל מערבי
- נתן תודות: 9 פעמים
- קיבל תודות: 718 פעמים
@eran405
·
כמה תוספות, תיקונים ודגשים לנושא. הנתב C7 למשל, כולל גם מתג מנוהל מובנה של כ 4 פורטים שניתן בכל אחד מהם גם להגדיר לא רק שיוך ל VLAN מסויים, אלה גם תיוג וגם לייצר VLAN TRUNK על כל אחד מהפורטים אלה, אם משתמשים ב OPENWRT. בקשר למתג שנדרש ברשת לצורך המשימה, אז מדובר במתג שלא רק תומך ב VLANs, אלה גם ב VLAN Trunking , לצורך חיבור של VLAN Trunk למחשב שמריץ את המכונה הוירטואלית ושכל כרטיס רשת וירטואלי שלה מחובר ל VLAN שונה על ידי כך, דרך כרטיס רשת פיזי אחד שבו מוגדר כבר ה Trunk המדובר. גם, אם משתמשים בנתב כמו C7, עדיין נדרש אותו סוג של מתג, שדובר עליו מקודם. מצורף צילום מסך של ההגדרות VLAN בנתב C7.
·
כמה תוספות, תיקונים ודגשים לנושא. הנתב C7 למשל, כולל גם מתג מנוהל מובנה של כ 4 פורטים שניתן בכל אחד מהם גם להגדיר לא רק שיוך ל VLAN מסויים, אלה גם תיוג וגם לייצר VLAN TRUNK על כל אחד מהפורטים אלה, אם משתמשים ב OPENWRT. בקשר למתג שנדרש ברשת לצורך המשימה, אז מדובר במתג שלא רק תומך ב VLANs, אלה גם ב VLAN Trunking , לצורך חיבור של VLAN Trunk למחשב שמריץ את המכונה הוירטואלית ושכל כרטיס רשת וירטואלי שלה מחובר ל VLAN שונה על ידי כך, דרך כרטיס רשת פיזי אחד שבו מוגדר כבר ה Trunk המדובר. גם, אם משתמשים בנתב כמו C7, עדיין נדרש אותו סוג של מתג, שדובר עליו מקודם. מצורף צילום מסך של ההגדרות VLAN בנתב C7.
- sys_admin
-
- חבר מביא חבר
- הודעות: 3685
- הצטרף: ינואר 2014
- מיקום: גליל מערבי
- נתן תודות: 9 פעמים
- קיבל תודות: 718 פעמים
@eran405
·
כמובן שלא בכל נתב פשוט קיים מתג מנוהל שלא מנוצל בתוכנה של היצרן, אבל ברוב המכריע של נתבים כאלה כן יש מתג כזה ואת זה ניתן לבדוק במפרטים שונים לפי דגם מדויק של הנתב, שבדרך כלל ניתן למצוא באתרים של הסברים לחומרה שמתאימה OPENWRT. ולשאלה השנייה השימוש ב VLANS במתג שב C7 ואפילו שב TP-Link TL-WDR4300 העתיק כן מתפקדים בצורה שמניחה את הדעת. הדבר נדרש גם כאשר משתמשים במוצרים האלה כבנקודות גישה שמשדרות מספר SSID, שכל אחד מהם מקושר ל VLAN שונה ברשת קווית או כאשר משתמשים בהקצאה של VLAN דינאמי לפי שם משתמש וסיסמה עם SSID יחיד.
·
כמובן שלא בכל נתב פשוט קיים מתג מנוהל שלא מנוצל בתוכנה של היצרן, אבל ברוב המכריע של נתבים כאלה כן יש מתג כזה ואת זה ניתן לבדוק במפרטים שונים לפי דגם מדויק של הנתב, שבדרך כלל ניתן למצוא באתרים של הסברים לחומרה שמתאימה OPENWRT. ולשאלה השנייה השימוש ב VLANS במתג שב C7 ואפילו שב TP-Link TL-WDR4300 העתיק כן מתפקדים בצורה שמניחה את הדעת. הדבר נדרש גם כאשר משתמשים במוצרים האלה כבנקודות גישה שמשדרות מספר SSID, שכל אחד מהם מקושר ל VLAN שונה ברשת קווית או כאשר משתמשים בהקצאה של VLAN דינאמי לפי שם משתמש וסיסמה עם SSID יחיד.
- NegativeIQ
-
- חבר מביא חבר
- הודעות: 4423
- הצטרף: דצמבר 2005
- נתן תודות: 11 פעמים
- קיבל תודות: 570 פעמים
יש סיבה לזה שזה ככה. בד"כ בראוטרים הזולים הפורטים של ה-LAN וה-WAN נמצאים על אותו Switch ורק מופרדים לשני VLAN-ים שונים. זה יותר זול ככה כי היצרן לא צריך לחבר שני כרטיסי רשת נפרדים. כפועל יוצא של התמיכה ב-VLAN-ים אז אפשר לעשות קונפיגורציה יותר חכמה עם OpenWRT.sys_admin כתב:@eran405
·
כמובן שלא בכל נתב פשוט קיים מתג מנוהל שלא מנוצל בתוכנה של היצרן, אבל ברוב המכריע של נתבים כאלה כן יש מתג כזה ואת זה ניתן לבדוק במפרטים שונים לפי דגם מדויק של הנתב, שבדרך כלל ניתן למצוא באתרים של הסברים לחומרה שמתאימה OPENWRT. ולשאלה השנייה השימוש ב VLANS במתג שב C7 ואפילו שב TP-Link TL-WDR4300 העתיק כן מתפקדים בצורה שמניחה את הדעת. הדבר נדרש גם כאשר משתמשים במוצרים האלה כבנקודות גישה שמשדרות מספר SSID, שכל אחד מהם מקושר ל VLAN שונה ברשת קווית או כאשר משתמשים בהקצאה של VLAN דינאמי לפי שם משתמש וסיסמה עם SSID יחיד....
נ.ב. כן, זה תיאורטית פוגע בביצועים אבל כל עוד זה מגיע ל-1Gbps זה גם ככה לא יהיה צוואר הבקבוק. אגב, לפעמים יש גם בעיות אחרות עם זה, לדוגמה ב-WR1043NDv1 עד שהקושחה עולה ומקנפגת את ה-VLAN-ים אז ה-Switch מעביר תקשורת חופשית בין ה-LAN ל-WAN, פוטנציאלית מאפשר לחדור לכם לרשת (אם כי כנראה שרק הספק יוכל לעשות את זה).
- evgenetic (פותח השרשור)
-
- חבר ותיק
- הודעות: 2641
- הצטרף: דצמבר 2010
- נתן תודות: 112 פעמים
- קיבל תודות: 305 פעמים
תודה על עזרה חבר'ה, בינתיים נראה לי שאשאר עם pfsene. מה שבעיקר קנה אותי זה ההגדרות המאד נוחות אך באותו הזמן גם מאד משוכללת של שרת openvpn (בעזרת Client Export Package).
ואם בעתיד ארצה, בעזרת כרטיס רשת כזה ומתג פשוט אוכל לעשות הפרדה פיזית של הרשתות די בקלות ממה שהבנתי.
ואם בעתיד ארצה, בעזרת כרטיס רשת כזה ומתג פשוט אוכל לעשות הפרדה פיזית של הרשתות די בקלות ממה שהבנתי.