Permalänk

Separera nätverk

Jo, sitter och funderar på om man kanske skulle ta och separera nätverkstrafiken hemma. Har idag följande setup:

  • En ASUS RT-AC68U router med Merlin FW

  • En 24-portars switch (ej managerbar)

  • 3 WiFi-nät via routern - 5GHz och 2,4GHz samt ett gästnät på 2,4GHz (inbyggd funktion i Merlin FW)

  • En hög med switchar (ej managerbara) som ej är inkopplade

Så, vad vill jag göra då? Jo, skulle vilja få till följande (utan nån särskild ordning):

  • Separera nätversktrafiken i tre delar - Betrodda enheter, IoT-enheter och Gäst-enheter

  • WiFi 5GHz och 2,4GHz för betrodda enheter och 2,4 GHz för gäst-enheter (dvs som det är idag) samt kanske ett IoT-nät (just nu är alla IoT-enheter anslutna via kabel, men man vet ju aldrig)

  • I grunden skall enheterna på respektive nät inte komma åt enheter på övriga nät men vissa enheter såsom smart-tv'n (på Iot-nätet) skall komma åt mediaservern (på betrodda nätet).

  • IoT och Gäster skall inte ha möjlighet att logga in på routern

  • Har en nätverksansluten skrivare som betrodda enheter och gäster skall komma åt

  • DHCP tror jag endast behövs för gäst-enheter

Har försökt läsa på hur man göra detta med iptables, etables och gud vet allt. Lite koll har man väl fått, men inte tillräckligt känner jag :-(. Har dock konstaterat att detta inte löses via routerns inbyggda GUI utan att det är script som gäller. Eftersom jag inte har en switch som är mangerbar (vilket hade gett möjlighet till VLAN) så funderade ja på om det går att lösa via routerns LAN-portar (=switch), då jag har flera lösa switchar och sålunda kan låta 1 switch = 1 nät? Ja, som sagt, behöver lite assistans för hur man kan göra detta med befintlig utrustning.

Permalänk
Medlem

@Falcon_Bayerskt:

Kanske går men lättaste och säkraste sättet är ju att bara skaffa en billig gäst-router och koppla direkt till ISP LAN brevid din andra router. Då kan du ha din riktiga router och nätverk dolt och med långa lösenord, sedan har du gäst-routern som är synlig och med hyfsat enkelt lösenord som går att säga muntligt så att någon förstår.

För övrigt så kommer WPA3 standarden någon i år så det kanske kan vara något att vänta på. Köpa en ny WPA3 router till ditt riktiga nätverk och ta gamla routern till gästnätverket.

Permalänk

Jo förvisso, men är ändå lite intresserad av att få till detta, bl a för att lära mig hur man bygger nät med olika regler osv.

Permalänk
Medlem

Köp en router med stöd för VLAN samt switchar som är managerbara. Dock måste dina WIFI-accesspunkter ha stöd för VLAN också om du ska få det att fungera bra.

I edgeroutern kan man skapa 3 nätverk. Sen styra vad dessa nätverk får göra. Tex Standard Vlan får göra allt inkl komma åt resurser som router gränsnittet osv.
Vlan 10 som är gäst kommer bara åt internet
vlan 20 som är iot kan komma åt internet samt en filserver, eller annan enhet som behövs.

Då skapas det virtuella nätverk ovanpå ditt fysiska nätverk. Man kan styra så vissa portar bara kommer åt vissa vlan, tex port 1 är "öppna" nätet, port 2 gäst och port 3 iot. Du kan i en accesspunkt, som Unifi, ställa in att du har ett wifi namn med SSID "mitthemmanät" kommer åt allt, dvs standard vlan, ett annat som heter "gäster" som bara kommer åt vlan 10 samt att det är tiddsstyrt så efter kl 23 så är det avstängd osv osv.

Kräver dock du köper lite nya grejer. En unamanaged switch kommer inte hjälpa dig, den kommer bara kunna dela ut ett nätverk. Iofs kan man ha en switch till varje VLAN och skicka otaggade nätverk från routern om den har nog med portar.

Permalänk
Skrivet av boibo:

Köp en router med stöd för VLAN samt switchar som är managerbara. Dock måste dina WIFI-accesspunkter ha stöd för VLAN också om du ska få det att fungera bra.

I edgeroutern kan man skapa 3 nätverk. Sen styra vad dessa nätverk får göra. Tex Standard Vlan får göra allt inkl komma åt resurser som router gränsnittet osv.
Vlan 10 som är gäst kommer bara åt internet
vlan 20 som är iot kan komma åt internet samt en filserver, eller annan enhet som behövs.

Då skapas det virtuella nätverk ovanpå ditt fysiska nätverk. Man kan styra så vissa portar bara kommer åt vissa vlan, tex port 1 är "öppna" nätet, port 2 gäst och port 3 iot. Du kan i en accesspunkt, som Unifi, ställa in att du har ett wifi namn med SSID "mitthemmanät" kommer åt allt, dvs standard vlan, ett annat som heter "gäster" som bara kommer åt vlan 10 samt att det är tiddsstyrt så efter kl 23 så är det avstängd osv osv.

Kräver dock du köper lite nya grejer. En unamanaged switch kommer inte hjälpa dig, den kommer bara kunna dela ut ett nätverk. Iofs kan man ha en switch till varje VLAN och skicka otaggade nätverk från routern om den har nog med portar.

Är inte så sugen på att köpa nytt i nuläget. Men om jag i framtiden kommer uppgradera/köpa nytt så kommer det definitivt bli mangerbara prylar, men det blir inte just nu.

Jag har fått för mig att det borde gå att lösa genom att låta respektive port på routern motsvara ett nät. Alltså, jag kopplar in en switch per portion i routern och sedan klienterna på därför avsedd switch. Kallas väl för fysisk separering vad jag förstått, till skillnad mot virtuell separering som använder sig av VLAN. Men för att få till separeringen så måste routern konfigureras, och det är där jag brister lite. Har börjat läsa på lite om ebtables och iptables men inte riktigt fått kläm på det än...

Permalänk
Medlem

@Falcon_Bayerskt: du kommer nog inte kunna göra det du vill med din router. Det kanske går via shell på routern, men jag tvivlar på det.

en edgerouter x för 500 kr kan däremot göra allt detta mycket lättare och framförallt på ett pålitligt och förutsägbart sätt.
Men den så kan du skapa separata nätverk för portarna och brandväggsregler som du behöver.

Permalänk
Skrivet av boibo:

@Falcon_Bayerskt: du kommer nog inte kunna göra det du vill med din router. Det kanske går via shell på routern, men jag tvivlar på det.

en edgerouter x för 500 kr kan däremot göra allt detta mycket lättare och framförallt på ett pålitligt och förutsägbart sätt.
Men den så kan du skapa separata nätverk för portarna och brandväggsregler som du behöver.

Jo, det är väl som så, att om det ska gå så är det via SSH och diverse kommandon/script. Får läsa vidare på SnB och andra ställen och se om jag kan klura ut nåt

Permalänk

@Falcon_Bayerskt:
Har du kollat på Shibbys Tomato firmware? Jag tror att du har stöd för att dela upp nätverk i routerns gui där.

Permalänk
Skrivet av ByteBitten:

@Falcon_Bayerskt:
Har du kollat på Shibbys Tomato firmware? Jag tror att du har stöd för att dela upp nätverk i routerns gui där.

Nej inte på ett bra tag. Körde Shibbys Tomato på gamla routern, men efter att jag bytte till nuvarande router så har jag kört Merlin, vilken jag tycker funkar riktigt bra. Kör bl a med annonsblockering i routern så att man slipper ha det enskilt på alla klienter, perfekt! Men det kanske är värt att kika tillbaka på Shibby igen, tack för tipset!