Telia internet+TV, VLAN och switchar - jag tänker behålla Intenon men vill ha intranet/internet+TV i två olika uttag med bara en kabel till varje

Permalänk
Medlem

Telia internet+TV, VLAN och switchar - jag tänker behålla Intenon men vill ha intranet/internet+TV i två olika uttag med bara en kabel till varje

Hej,

Jag har fiber från Telia (Internet+TV+IPtele) och en Inteno-switch.

Som många andra har jag tyvärr bara en kabel från mediaskåpet till varje rum och i två rum vill jag ha både intranet/internet och TV (ja, det ingår rätt till flera boxar i vårt avtal). Tele kör jag med en Tilgin-adapter direkt i Intenon i mediaskåpet och där i sitter en DECT-bas och den lösningen tänker jag behålla som den är. (Ja, jag vet att fast telefoni är omodernt, men det ingår i vårt gruppavtal och jag gillar ändå konceptet att kunna ringa till huset och inte till en person som kanske inte är hemma.)

Jag har läst massor med trådar om VLAN och Telias fibertjänster, men är fortfarande inte 100% på att jag fattat allt. Skrev motsvarande detta inlägg i en gammal tråd, men tänkte att jag startar nog en ny för att öka chanserna till svar.

Jag har bestämt mig för att behålla min Inteno och det fallet verkar inte vara beskrivet. De flesta verkar köra den råa signalen från Röda porten på Intenon in i en managerbar switch och så plocka ut internet och gå via en router för att skapa intranät och såtillbaka till switchen.

För att slippa ta reda å vilka VLAN id som telia använder, samt att slippa det där med att exponera management VLAN ut mot internet tänkte jag alltså lägga allt bakom Inteno och router.
Jag har tittat på DLINK DGS-1100-08 som verkar ligga förvånansvärt lågt i pris. Finns det nån hake tro...?
Dessa är billigare än Netgears och man kan sätta vilket VLAN man vill ha management, medan Netgear verkar ha management öppet på alla portar alltid, vilket någon på prisjakt ondgjort sig över. Sätter jag då management på mitt intranät så exponerar jag inte heller det mot TV-porten i Intenon (även om det kanske är osannorlikt att någon letar sig in den vägen).

Planen är alltså att jag låter min router få WAN via Intenon från Telia och så kopplar jag LAN från router till första managerbara switchen (=Switch 1) och så kopplar jag även TV från Intenon till Switch 1.

Om jag fattar det rätt kan jag i mina switchar då använda vilka VLAN ID jag vill.
T ex såhär:
VLAN 1 = Intranet/Internet (även management VLAN)
VLAN 2 = IPTV

Switch 1

Port 1: Intranät in från LAN på router
Port 2: TV in från Inteno
Port 3-6 Internet (datorer mm)
Port 7: Internet+TV till Switch 2
Port 8: Internet+TV till Switch 3

VLAN - Portar
1 - 1,5-6 U, 7T, 8T
2 - 2U, 7T, 8T

PVID
Port 1,5-8 PVID 1
Port 2 PVID 2

Switch 2 och 3 (efter Switch 1)
Port 1: Internet+TV från Switch 1
Port 2-7: Internet (datorer mm)
Port 8: TV

VLAN - Portar
1 - 1T, 2-7U
2 - 1T, 8U

PVID
Port 1-7 PVID 1
Port 8 PVID 2

IGMP-snooping aktiveat (i DSG-1100-08 verkar man inte kunna sätta IGMP-snooping på bara ett VLAN (?). Kommer det fungera ändå?
På Switch 2 och 3 där jag bara har TV i ett uttag, behövs IGMP-snooping även där?

Management VLAN Enabeled på VLAN1 i Switch 1. Då borde ingen komma åt att managering via port 2 som är exponerad utåt mot Inteno TV-port va (oavsett hur låg risken må vara)?

Det jag är mest osäker på är om VLAN 1 ska eller måste vara taggat mellan Switch 1 Port 7,8 och Switch 2 och 3 Port 1?

Något annat jag fått om bakfoten?

Jag lånade en DSG-1100-16 generation 1 och testade lite snabbt igår att konfigurera ungefär som Switch 1, men jag satte VLAN ID 2 som U på Port 2 och 16 (inget annat kopplat och dessa portar bara medlemmar av VLAN ID 2 med PVID satt till 2) och så kopplade jag in den på tråden mellan Intenon och TV-boxen, men se då ville inte TV-boxen vara med och tiden rann ut.
Kopplade tillbaka TV-boxen direkt till Intenon, men den vägrade då fortfarande. Kom dock igång igen efter en omstart. Phu.
Men det kanske hade funkat om jag bara startat om den när trafiken gick genom P2-P16 på Switchen?

Nån som är haj på VLAN och telia mm som kan bedöma om jag tänkt rätt?

Permalänk
Medlem

För att direkt svara på din fråga så ja VLAN 1 ska vara taggat mellan switch 1 och switch 2/3. Likaså VLAN 2 som du skriver
Tänk såhär, taggat går bra sålänge nätverksenheterna har möjlighet att "prata VLAN", och i det här fallet så gör det ju det. VLAN 1 måste vara taggat på port 1 om du vill att port 1 ska vara en del av VLAN 1.

Btw det där ang. Netgear vs D-Link det där om att du i D-link kan stänga av manegment på vissa portar ser jag inget problem med i Netgears fall. Har själv Netgear och om man ser det som ett problem kan man lätt i en brandvägg konfa regler som förbjuder access till port 80 på det aktuella VLANet

Permalänk
Medlem
Skrivet av xiotix:

För att direkt svara på din fråga så ja VLAN 1 ska vara taggat mellan switch 1 och switch 2/3. Likaså VLAN 2 som du skriver
Tänk såhär, taggat går bra sålänge nätverksenheterna har möjlighet att "prata VLAN", och i det här fallet så gör det ju det. VLAN 1 måste vara taggat på port 1 om du vill att port 1 ska vara en del av VLAN 1.

Btw det där ang. Netgear vs D-Link det där om att du i D-link kan stänga av manegment på vissa portar ser jag inget problem med i Netgears fall. Har själv Netgear och om man ser det som ett problem kan man lätt i en brandvägg konfa regler som förbjuder access till port 80 på det aktuella VLANet

Hej
Men på port 1 måste väl VLAN 1 vara otaggat eftersom det pratar med LAN från routern?

Jag testade lite idag med bara en DSG-1100-16 och hade VLAN 2 otaggat på två portar och strömmade TV-trafiken därigenom. Från play-biblioteket gick det bra, men direktsändning/multicast funkade det inte förrän jag stängde av IGMP snooping. Ska det bara vara på i den switch som tar emot från TV-leverantören, i Intenon alltså? Trodde det skulle vara på hela vägen till digitalboxen. Men å andra sidan är det ju inte IGMP snooping i en vanlig dum-switch som man kan ha efter Intenon för att få fler TV-uttag.

Skickades från m.sweclockers.com

Permalänk
Medlem

Ska säga direkt att jag är ganska okunnig när det gäller dessa saker men vill hjälpa till med det lilla jag vet Nån kunnigare kan komplettera mig om jag säger nåt galet...

Så som du har designat ditt nätverk så ja!
Själv kör jag ett antal VLAN i mitt nätverk där hemma som jag tilldelar olika ip-adress-segment och då kör jag givetvis taggat mellan switchen och routern. Men i ditt fall så ja otaggat.

Det där med IGMP snooping har jag mindre koll på Jag kollade i mina switchar och där är det på hela vägen i alla switchar och funkar fin-fint med flera tv-boxar. Jag kör dock min port taggat VLAN 845 (?)(telias vlan för tv) mellan switchen och Intenon, vet inte om det kan ha betydelse.. Sen precis som dig otaggat till tv-boxarna i slutänden.
Har inte "forskat" mera i om det är rätt sätt att göra det på, jag var bara nöjd med att jag fick det att funka

Permalänk
Medlem
Skrivet av xiotix:

...
Btw det där ang. Netgear vs D-Link det där om att du i D-link kan stänga av manegment på vissa portar ser jag inget problem med i Netgears fall. Har själv Netgear och om man ser det som ett problem kan man lätt i en brandvägg konfa regler som förbjuder access till port 80 på det aktuella VLANet

Det där med management VLAN förresten glömde jag kommentera:
Efter vad jag läste i en recension på prisjakt (https://www.prisjakt.nu/produkt.php?o=2352286) så är det tillgång till config på alla portar alltid i Netgears GS-switchar och kör man antingen telias trunk eller TV-VLAN från Intenon in i switchen så exponerar man alltså config ut mot "utsidan" utan att ha någon egen brandvägg emellan. TV-VLAN från Telia kanske är mindre risk att någon kan komma via, men det är ju i alla fall en miljö som jag då inte kontrollerar själv.

All input är uppskattad! Om du inte anser dig vara expert så är det ändå lärorikt att diskutera. Alla har ju lite att tillföra och i slutänden kanske alla lär sig nåt nytt

Jag ska labba mer så fort jag hinner och kanske beställa en DGS-1100-08 så jag kan ta emot taggad trafik i andra änden av en tråd och se om jag kan dela upp.

IGMP-snooping verkar vara svårt att förstå. Jag får väl testa. Men det hade ju varit bra att veta att/om/hur det ska vara och funka innan man köper på sig mer prylar. Men Kjell.com hävdar ju att DGS-1100 är perfekt med fiber och iptv, så den borde väl vara testad för ändamålet och räcka till hoppas jag. Det verkar bara vara i Level3-switchar som man kan sätta igmp-snooping på VLAN-nivå. Undras om Intenon var en Level2- eller Level3-enhet. Får läsa på mer när jag hinner...

Permalänk
Medlem

Jo jag förstod att det var den recensionen du syftade på, själv läst den och det har faktiskt fått mig lite konfunderad ang. mina netgear switchar med min tv-setup med vlan... alltså vad gäller säkerheten då. Skrev ett inlägg i somras i den där feta tråden som du skrev i först, men fick inte mycket till svar där så har inte orkat bry mig haha!
Men jag är absolut obekväm vid tanken att man ev. ger utomstående access till sånt som dom inte ska komma åt. När allt kommer omkring så känner jag att jag vet för lite om nätverk för att faktiskt kommentara hur säkert/osäkert min setup är.

Ska labba med min brandvägg när jag kommer hem och se om det går att täppa till "hålet"

Permalänk
Medlem
Skrivet av xiotix:

Jo jag förstod att det var den recensionen du syftade på, själv läst den och det har faktiskt fått mig lite konfunderad ang. mina netgear switchar med min tv-setup med vlan... alltså vad gäller säkerheten då. Skrev ett inlägg i somras i den där feta tråden som du skrev i först, men fick inte mycket till svar där så har inte orkat bry mig haha!
Men jag är absolut obekväm vid tanken att man ev. ger utomstående access till sånt som dom inte ska komma åt. När allt kommer omkring så känner jag att jag vet för lite om nätverk för att faktiskt kommentara hur säkert/osäkert min setup är.

Ska labba med min brandvägg när jag kommer hem och se om det går att täppa till "hålet"

Men har du nån brandvägg framför TV-nätet?
Har du inte switchen direkt efter mediaomvandlaren och sen tar du in VLAN för internet+tv i en port på switchen, plockar ut VLAN för TV till en eller flera portar på switchen och så tar internet till routern och skapar intranät och drar det tillbaka till switchen och distribuerar till ett antal portar. I så fall har du ju ingen brandvägg framför switchen...

Permalänk
Medlem
Skrivet av johnbull:

Men har du nån brandvägg framför TV-nätet?
Har du inte switchen direkt efter mediaomvandlaren och sen tar du in VLAN för internet+tv i en port på switchen, plockar ut VLAN för TV till en eller flera portar på switchen och så tar internet till routern och skapar intranät och drar det tillbaka till switchen och distribuerar till ett antal portar. I så fall har du ju ingen brandvägg framför switchen...

Nej jag har inte riktigt det upplägget på det. I den mediaomvandlaren vi har hemma får vi ut tv och internet i olika portar från den så jag behöver inte själv splitta upp det. Så direkt efter internet-porten på intenon (mediaomvandlaren) så har jag en brandvägg+router som sedan är ansluten till första switchen.. Sedan tv-vlan in i en annan port på samma switch.
Men ja precia som du säger har fortfarande ingen brandvägg mellan tv-porten på intenon och switchen så lite osäker på hurvida det funkar att sätta upp regler för tv-VLANet...
Man är ju inte gärna sugen på att köpa en till brandvägg heller haha

Men säkerhetsaspekterna i det hela: tv-VLANet ska ju fortfarande vara isolerat från resten av nätverket eller hur? (Med det antaget att jag satt upp VLANen korrekt)
Med den lilla tråkiga detaljen att config sidan för switchen exponeras utåt, som sagt :b
Blir fasen nojig nu när jag börjar tänka på detta haha..

Skickades från m.sweclockers.com

Permalänk
Medlem
Skrivet av xiotix:

Nej jag har inte riktigt det upplägget på det. I den mediaomvandlaren vi har hemma får vi ut tv och internet i olika portar från den så jag behöver inte själv splitta upp det. Så direkt efter internet-porten på intenon (mediaomvandlaren) så har jag en brandvägg+router som sedan är ansluten till första switchen.. Sedan tv-vlan in i en annan port på samma switch.
Men ja precia som du säger har fortfarande ingen brandvägg mellan tv-porten på intenon och switchen så lite osäker på hurvida det funkar att sätta upp regler för tv-VLANet...
Man är ju inte gärna sugen på att köpa en till brandvägg heller haha

Men säkerhetsaspekterna i det hela: tv-VLANet ska ju fortfarande vara isolerat från resten av nätverket eller hur? (Med det antaget att jag satt upp VLANen korrekt)
Med den lilla tråkiga detaljen att config sidan för switchen exponeras utåt, som sagt :b
Blir fasen nojig nu när jag börjar tänka på detta haha..

Skickades från m.sweclockers.com

Just. Det var därför jag läste mer och hittade dlink DGS-1100 switcharna där man kan välja config-VLAN och då inte exponera det mot TV-VLANet. Men förhoppningsvis har Telia koll på sin miljö och risken att någon letar sig in den vägen är nog tämligen liten. Av alla telia-kunder är vi nog inte jättemånga som sätter upp mangerbara switchar, så den som vill ta sig in hos någon den vägen lär väl få letade ett tag och då finns det nog både enklare mål om man är ute efter volym och mer spännande mål om man är ute efter något specifikt... (inte för att jag vet vad du har i ditt nät dock... )

Permalänk
Medlem
Skrivet av johnbull:

Just. Det var därför jag läste mer och hittade dlink DGS-1100 switcharna där man kan välja config-VLAN och då inte exponera det mot TV-VLANet. Men förhoppningsvis har Telia koll på sin miljö och risken att någon letar sig in den vägen är nog tämligen liten. Av alla telia-kunder är vi nog inte jättemånga som sätter upp mangerbara switchar, så den som vill ta sig in hos någon den vägen lär väl få letade ett tag och då finns det nog både enklare mål om man är ute efter volym och mer spännande mål om man är ute efter något specifikt... (inte för att jag vet vad du har i ditt nät dock... )

Aa det gjorde du nog rätt i! Bekvämt och enkelt sätt att snabbt säkra upp sitt nät på. Men ja vi får hoppas att Telia har koll på sina grejor hehe..
Jag kan återkomma om några veckor när jag är hemma och kan labba med switcharna/brandväggen om jag lyckas blocka till "hålet".

Lycka till med ditt projekt och skriv gärna i tråden när det händer saker, som du sa där förut så kan vi båda två lära oss något på vägen

Permalänk
Medlem

Så som jag förstått det är Telias subnät för tv helt skilt från publika internet så det bör vara riskfritt.

Skickades från m.sweclockers.com

Permalänk
Medlem
Skrivet av joalin:

Så som jag förstått det är Telias subnät för tv helt skilt från publika internet så det bör vara riskfritt.

Skickades från m.sweclockers.com

Nja, der håller jag inte riktigt med om...
Så som jag förstår det kommer de i samma plastfiber men på olika VLAN... .
Netgear har uppenbarligen ett säkerhetshål i sina Prosafe-switchar. Det har skrivits om säkerhetshål i allehanda routers, både konsumentpodukter och även i som stora Cisco och liknande, så jag håller nog inte med om att de är helt skiljda åt... Däremot kan jag hålla med om att det finns mycket större risker förstår attacker direktlänk via internet

Permalänk
Medlem

Om du kollar i ditt nätverk så ser du att dina boxar har Natade adresser i 192.168.x.x-spannet, och TV-trafiken i routern kommer in via ett 10.x.x.x-nät, alltså skilt från publika internet. Samma fiber, jajamen, dock i glas

Permalänk
Medlem
Skrivet av joalin:

Om du kollar i ditt nätverk så ser du att dina boxar har Natade adresser i 192.168.x.x-spannet, och TV-trafiken i routern kommer in via ett 10.x.x.x-nät, alltså skilt från publika internet. Samma fiber, jajamen, dock i glas

Jovisst är de skilda åt som olika VLAN, men hur säkert det är mellan VLANen har ju inte jag nån aning om. Netgear har ju uppenbarligen säkerhetshål i sina switchar och jag har ingen aning om hur det ser ut i Telias. Så länge det går i samma fysiska nät så finns det ju risker. Om än små... Kan man då ha egna switchar som inte tillåter management från de portar man exponerar mot sin utsida är det ju bra.
Däremot vet jag ingen som kört de switchar jag tittar på med dessa tjänster. Netgears är ju både Level2 och Level 3, medan dessa Dlink är bara Level2.
Level2 verkar inte kunna ställa IGMP-snooping till bara ett VLAN, utan det blir på hela switchen.

Jag fick inte multicast att fungera förrän jag stängde av IGMP-snooping i min D-Link DSG-1100 switch, vilket jag inte förstår, då allt jag läst tyder på att det ska vara aktiverat.
Nu kör jag bara TV otaggat in i en port och säger att det är ett eget VLAN och så plockar jag ut det otaggat på en annan port och skickar till boxen. Det jag funderar på nu är vad som händer när/om jag köper en switch till och sätter vid digitaltvboxen och skickar två VLAN taggat i samma tråd från Switch 1 till Switch 2 och då plockar ut TV-VLAN otaggat till boxen i switch2. Kommer det fortfarande funka med IGMP-snooping avstängt, eller måste jag slå på det i en eller båda switcharna och kommer det att funka överhuvud taget? Om jag kör med det avslaget, kommer det bli en massa onödig trafik som sänker mitt intranät?

Inte helt lätt det här, men spännande och jag vill ju helst inte köpa hårdvara som inte fungerar...

Permalänk
Medlem

Hur går det för dig? Får du till det?

Jag har iaf labbat lite med mina grejor nu och precis som du sa (och som jag egentligen själv misstänkte) så gick det ju inte att sätta upp några regler för det vlanet i brandväggen när trafiken inte går genom den (låter så logiskt när man säger det så haha...).

Men sedan så av en slump så surfar jag runt och ser att det finns en ny firmware version till dom netgear switcharna jag kör (gs105e och gs116e) med nån nya funktionallitet som dom kallar Access Control, och se på f*n! Det är ju typ det jag efterfrågar Där kan man ställa in vilka ip-adresser som ska ha tillgång till kontrollsidan. Jag vet inte hur säker implementeringen är exakt men känns iaf mycket bättre än det som var innan.
Snacka om att denna nya firmware version kom som på beställning haha

Skickades från m.sweclockers.com

Permalänk
Medlem

Hej Xiotix
Jag har inte fått tummen ur att köpa nån mer hårdvara. Det har varit för mycket annat... jul och sånt...
Fungerar på om anledningen till att direktsändning/multicast bara fungerade när jag stängde av IGMP snooping är för att det är den gamla rev A jag kom över av DGS-1100-16 och att den är för gammal och de nya (sen några år tillbaka är vet B1)
Eller om det beror på att jag i nuläget bara kör IPTV rakt igenom den och inte har flera VLAN på de portarna... men det borde väl inte spela nån roll.
Får se när jag får mer tid att leka vilken hårdvara jag köper.

Kul att Netgear börjar fatta problemet. Att låsa det på IP adresser är väl inte lika bra som att kunna låsa det till ett VLAN som inte exponeras utåt, eftersom det då ändå finns en öppning mot utsidan. Men det gör det ju i alla fall lite krångligare för någon att utnyttja säkerhetshålet och den som är så kunnig och motiverad kanske kommer in oavsett. Men tillräckligt många nivåer av tillkrångling så stoppas väl de flesta mer automatiserade angrepp.

Skickades från m.sweclockers.com

Permalänk
Medlem

Jo jag vet precis.. nu är det julen som gäller så svårt att få tid med nåt annat :b
Det kan vara lite lurigt sånt där med med flera revisioner / versioner av switchar. Man får verkligen kolla noga innan man köper (var samma med mina). Det där ang IGMP är jag väldigt dåligt insatt i som jag sa tidigare. Det enda jag kan säga är att det var på i mina switchar default och det verkar ju funka som det ska... Jag är säker på att du löser det när du ger att lite mera tid!

Ja alltså Netgears lösningen på problemet är nog verkligen inte optimal är säkerhetsperspektiv. Jag provade bara för skojs skull att ansluta mig till ett vlan som jag inte gett tillgång till kontrollsidan, men override:ade jag med ett annat ip i windows och så kom jag sedan åt kontrollsidan. Det räcker asså med att klienten påstår att den har en godkänd ip adress så är saken klar... Det positiva är väl att netgear ändå uppmärksammat problemet som du säger

Skickades från m.sweclockers.com