Önskar lite hjälp med uppsättning av vlan

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Mar 2004

Önskar lite hjälp med uppsättning av vlan

Hej,

Jag är inte särskilt het på nätverk, kan en del men har sällan behövt göra något mer avancerat än vanliga hemmanätverk med allt på ett subnät. Jag håller på att öka säkerheten hemma via segmentering av nätverket och har kommit till en punkt där jag behöver sätta upp ett eller flera vlan.

Min gamla router är en asus ac58u som kör openwrt. Den har dock inget (bra) stöd för vlan. Därför har jag införskaffat en Edgerouter X som nu ligger framför asus routern. Asus routern agerar access punkt för wifi. Jag låter den även hantera ett gäst/iot nätverk.

Vad jag vill åstadkomma:

Jag har en raspberry pi som jag vill exponera mot internet samtidigt som jag håller den isolerad från mitt lan. För närvarande är det web som är intressant så port 80/443. Jag vill kunna ansluta med ssh från mitt lan men all annan trafik ska droppas. Min tanke är att sätta upp ett dedikerat vlan för raspberryn och en brandväggsregel som öppnar ssh från lan.

Frågor

Just vlan är jag väldigt osäker på. Räcker det med att jag skapar upp ett vlan för min raspberry server eller behöver jag också ett vlan för mitt LAN?

Blir heller inte riktigt klok på ifall trafiken ska vara taggad eller inte.

Har försökt rita upp min topologi i paint nedan:

| Ryzen 2600@4ghz | Asus prime x470 pro | Msi rtx 2070 | Corsair 16gb 3ghz | Samsung 970 evo plus | Asus mg279Q |

Trädvy Permalänk
Medlem
Plats
Luleå
Registrerad
Maj 2016

Vlan är inte då knepigt börja med att skapa interface i din router ex vlan 10 192.168.10.1 vlan 20 192.168.20.1 etc, sen i din switch skapar du vlanen utan interface (om du har en sån) du skickar trafiken Till switchen taggat i en sk trunk. Sen kan man ha access portar på det specifika vlanet dvs untagged, annars måste enheten du kopplar in tagga av trafiken, går köra så med men då måste du i din ex raspberry confa att den kör på vlan 20 ex. Man gör så om du ex kör en server med virtuella maskiner på olika nät, då taggar man av trafiken i sin hypervisor.

Trädvy Permalänk
Medlem
Plats
Luleå
Registrerad
Maj 2016

Har du ingen switch så kör alla portar otaggat

https://www.dummies.com/programming/networking/cisco/how-virt...

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Mar 2011

Det du är ute efter brukar kallas för DMZ.
Detta är eget nätverk som har en begränsad åtkomlighet utifrån och ingen åtkomst till LAN.
Så om någon knäcker en enhet på DMZ så är fortfarande de interna nätverket skyddat.
Finns ett flertal guider om hur man sätter upp DMZ på Edgerouter X.
Något VLAN behövs inte.

Klient: Intel I7 3820 | ASUS P9X79 Pro | 64GB 1600MHz | Corsair HX 850W | Gigabyte 1080TI | HAF 922 | Crucial 525G | Seagate XT 4TB
Server: Intel XEON E5620 x 2| ASUS Z8PE-D18 | 96GB 1333MHz | Corsair AX 1200W | HAF 932 | WD Black 2TB
HTPC: Intel I7 4770T | 16 GB 1600 | FC8 EVO | Gigabyte GA-H87N-WIFI | Samsung 840 250GB

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Mar 2004

Tack för svaren, blir antagligen att jag pillar mer med det här till helgen

| Ryzen 2600@4ghz | Asus prime x470 pro | Msi rtx 2070 | Corsair 16gb 3ghz | Samsung 970 evo plus | Asus mg279Q |

Trädvy Permalänk
Medlem
Registrerad
Dec 2008

Har dålig koll på vilka edgeroutrar som har switch. Men du behöver inte helt säkert blanda in vlan om du inte vill ha en switch. Du kan sätta ett nät per port på edgeroutern. Eller skapa vlan och peka det på en specifik port

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Mar 2004

Ah, den här modellen (X) har en inbyggd switch

| Ryzen 2600@4ghz | Asus prime x470 pro | Msi rtx 2070 | Corsair 16gb 3ghz | Samsung 970 evo plus | Asus mg279Q |

Trädvy Permalänk
Protectera AB
Plats
Linköping
Registrerad
Aug 2007

Sätt upp eth1 - eth3 så att de ingår i switch 0. Lägg till två VLAN men adresser 192.168.1.x, 192.168.2.x
Eth4 sätter du ytterligare en adressrange, exempelvis 192.168.3.1/24

Om jag fattar bilden rätt så vill du köra flera nät i Asus switch/accesspunkten. Då är första fråga. Om den klarar flera VLAN. Om ja, då behöver du tagga trafiken till den. I edgerouter x så lägger du vlan id x, vlan id y i vid fältet under switch 0 interface.

Sedan behöver du sätta upp brandväggsregler som begränsar åtkomst mellan näten och ger tillstånd att köra ssh till raspberryn.

Under port forward öppnar du port 80 och 443 mot den ip som du har i raspberryn. Lycka till!

protectera.se

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Mar 2004

Tackar för alla svar. Jag tror mig ha löst problemet tillsvidare. Valde att koppla loss eth4 från switchen och satte upp brandväggsregler för att begränsa trafik mellan subnäten. Jag tror och hoppas att jag fått till brandväggsreglerna någorlunda korrekt.

Satte kort upp följande regler.

ETH4/IN: Policy Accept. 1: Tillåt Established och related state anslutningar //för t.ex. ssh trafik 2: Droppa trafik till 192.168.0.0/16 ETH4/Local: Policy Drop //blocka administration av routern ETH4/OUT: Policy Drop 1. Tillåt Established och related state anslutningar //oklart ifall detta faktiskt behövs 2. Tillåt tcp trafik på port 22 och 80 från 192.168.1.0/24

Iot nätverket var kanske lite onödig information, den delen är klar sen tidigare - låter asus routern hantera hela det subnätet med sin egen brandvägg själv eftersom den saknar stöd för vlan.

| Ryzen 2600@4ghz | Asus prime x470 pro | Msi rtx 2070 | Corsair 16gb 3ghz | Samsung 970 evo plus | Asus mg279Q |