Bridging tra wifi ed ethernet su un router

[jeyhw]

Ciao,
Scusate ma io questa cosa del bridging sul router la vorrei proprio capire.
Ho visto una volta una persona impostare una connessione bridge, nel pannello di controllo di una routerboard Mikrotik, tra l'interfaccia Ethernet e WIFI per permettere ad entrambe di condividere la connessione ad internet. Non sono riuscito a capire perché questa operazione fosse necessaria su un router. Ho sempre pensato che le due interfacce già comunicassero di default in qualche modo e che una volta che la connessione fosse stabilità nel router tramite porta WAN fosse automaticamente "distribuita" alle interfacce presente (Ethernet e wifi). Non ho avuto possibilità di fare domande al tecnico. Potete aiutarmi a capire tutta la faccenda?
Ho provato a cercare in giro ma non ho trovato niente di utile che potesse aiutarmi a chiarire il perché della necessità del bridging in quel caso.
Grazie

 

[r3dl4nce]

I router mikrotik permettono di fare molte cose, esempio potrei voler far sì che la rete wifi fosse scollegata dalla rete LAN, esempio uso la LAN per collegare i PC dell'ufficio mentre la wifi è disponibile anche a ospiti esterni per navigazione, ma senza possibilità di avere accesso ai dati della rete aziendale.
Se invece vuoi che le reti siano unite, devi appunto impostarle in bridge.
Nulla di strano.
Molti router basilari lo fanno già in automatico, però poi non puoi creare configurazioni più avanzate. RouterOs il sistema operativo dei router mikrotik invece è più avanzato e consente appunto tante possibilità, altro esempio potrei creare una wifi in bridge per connettere portatili e telefoni aziendali nebtes una seconda wifi per gli ospiti, con SSID e password diverse, non in bridge e usata solo per navigazione, ecc. Routeros ha anche un sistema di hotspot integrato. E così via.

 

[jeyhw]

I router mikrotik permettono di fare molte cose, esempio potrei voler far sì che la rete wifi fosse scollegata dalla rete LAN, esempio uso la LAN per collegare i PC dell'ufficio mentre la wifi è disponibile anche a ospiti esterni per navigazione, ma senza possibilità di avere accesso ai dati della rete aziendale.

Ok rimaniamo su questo esempio e sul router Mikrotik che pare tu conosca (per quanto mi riguarda mi interessa capire prima la teoria alla base). Se la rete wifi è scollegata dalla rete LAN entrambe le reti hanno accesso ad internet? Se si, perché e come? Se no, perché?

Se invece vuoi che le reti siano unite, devi appunto impostarle in bridge.
Nulla di strano.

Ecco, io pensavo che fossero già unite (anche sui ruoter non casalinghi), invece se ho capito bene, funzionano come dispositivi hardware separati

 

[r3dl4nce]

Le porte ethernet e le antenne wifi sono gestire da chip diversi.
Riguardo al bridging e al routing

Bridge (informatica) - Wikipedia

it.m.wikipedia.org

Routing - Wikipedia

en.wikipedia.org

 

[peg87]

I mikrotik sono un caso particolare dove tutto è configurabile. Chiedere se entrambe le interfacce hanno accesso a internet non è corretto, la domanda più giusta dovrebbe essere "hanno accesso alla stessa porta wan"?
Nel caso di Mikrotik la risposta è: dipende. Perchè puoi configurare tutto come vuoi, quindi che le porte LAN siano "routate" su una wan ed il wifi su un'altra, oppure tutte sulla stessa o su nessuna. Nei mikrotik tutte le porte possono essere lan e tutte possono essere wan. Nei router casalinghi dove hai una sola wan, wifi e lan sono in bridge (ma tu non lo vedi come configurazione).

I mikrotik vedono ogni cosa come un oggetto separato. Sta a te poi collegare i vari oggetti. per esempio quando inizi, le porte LAN sono separate. Sei tu che le devi mettere in bridge tra di loro.

Per precisione i Mikrotik sono per l'utenza avanzata, quindi anche casalinghi (visto che hanno un prezzo decisamente accessibile). La differenza con il mondo business è che quasi sempre router, switch e AP sono dispositivi fisicamente separati, quindi non ti poni questi problemi.

 

[jeyhw]

I mikrotik sono un caso particolare dove tutto è configurabile. Chiedere se entrambe le interfacce hanno accesso a internet non è corretto, la domanda più giusta dovrebbe essere "hanno accesso alla stessa porta wan"?
Nel caso di Mikrotik la risposta è: dipende. Perchè puoi configurare tutto come vuoi, quindi che le porte LAN siano "routate" su una wan ed il wifi su un'altra, oppure tutte sulla stessa o su nessuna. Nei mikrotik tutte le porte possono essere lan e tutte possono essere wan. Nei router casalinghi dove hai una sola wan, wifi e lan sono in bridge (ma tu non lo vedi come configurazione).

Ok, incomincio a capirci qualcosa finalmente (almeno spero :-))
Quindi, dicevamo, le porte LAN (in questo caso mettiamo che siano già tutte collegato per semplicità) e il chip WIFI sono due "oggetti" separati.
Come esempio, mettiamo pure che da una [sola] porta WAN ci sia l'accesso ad internet. All'origine se non ci colleghiamo (bridge?) alla WAN nessuno dei due "oggetti" di cui sopra gli host sia in LAN che in WIFI non navigano perché la porta WAN su cui arriva il collegamento internet non sa dove instradare i dati (del resto non possono nemmeno arrivargli richieste dagli host verso il cloud). È giusto? Mi serve una conferma o meno qui sul quello che ho ipotizzato. Grazie

I mikrotik vedono ogni cosa come un oggetto separato. Sta a te poi collegare i vari oggetti. per esempio quando inizi, le porte LAN sono separate. Sei tu che le devi mettere in bridge tra di loro.

Questa precisazione credo che mi sia stata molto utile.

Per precisione i Mikrotik sono per l'utenza avanzata, quindi anche casalinghi (visto che hanno un prezzo decisamente accessibile). La differenza con il mondo business è che quasi sempre router, switch e AP sono dispositivi fisicamente separati, quindi non ti poni questi problemi.

Eh si, questo lo sapevo. Stavo quasi pensando di comprarmene uno per fare esperimenti e capire ed affrontare per bene tutte le diverse problematiche di una rete.

Grazie ancora.

 

[peg87]

Ok, incomincio a capirci qualcosa finalmente (almeno spero :-))
Quindi, dicevamo, le porte LAN (in questo caso mettiamo che siano già tutte collegato per semplicità) e il chip WIFI sono due "oggetti" separati.
Come esempio, mettiamo pure che da una [sola] porta WAN ci sia l'accesso ad internet. All'origine se non ci colleghiamo (bridge?) alla WAN nessuno dei due "oggetti" di cui sopra gli host sia in LAN che in WIFI non navigano perché la porta WAN su cui arriva il collegamento internet non sa dove instradare i dati (del resto non possono nemmeno arrivargli richieste dagli host verso il cloud). È giusto? Mi serve una conferma o meno qui sul quello che ho ipotizzato.

Il collegamento tra Wan e Lan non lo fai con un bridge, altrimenti sarebbero tutte in bridge e non sarebbe più un router ma uno switch.

Comunqe si, se non colleghi in qualche modo le porte lan e wifi alla wan, nessuno raggiunge internet.

 

[jeyhw]

Il collegamento tra Wan e Lan non lo fai con un bridge, altrimenti sarebbero tutte in bridge e non sarebbe più un router ma uno switch.

In che modo, o come viene chiamata questa operazione allora, per curiosità?

Comunqe si, se non colleghi in qualche modo le porte lan e wifi alla wan, nessuno raggiunge internet.

Una precisazione. Posso quindi permettere agli utenti collegati in LAN e quelli in WIFI di accedere ad internet sulla stessa porta WAN senza però che essi possono comunicare tra loro? Se si, operano sulla stessa subnet allora pur essendo separati in qualche modo.
Grazie

 

[r3dl4nce]

Se vuoi provare Routeros puoi scaricarti la versione CHR che gira su macchina virtuale ed è completo, ha solo il limite di banda a 1Mb/s su ogni interfaccia se non acquisti la licenza, io lo uso per mettere Dude dai clienti

In che modo, o come viene chiamata questa operazione allora, per curiosità?

Routing, poi devi fare masquerade dei pacchetti

Una precisazione. Posso quindi permettere agli utenti collegati in LAN e quelli in WIFI di accedere ad internet sulla stessa porta WAN senza però che essi possono comunicare tra loro? Se si, operano sulla stessa subnet allora pur essendo separati in qualche modo.
Grazie

Si fa con le regole di firewall


Se hai interessi di questo tipo, io inizierei con il leggermi Reti di Calcolatori di Tannenbaum

 

[jeyhw]

Se vuoi provare Routeros puoi scaricarti la versione CHR che gira su macchina virtuale ed è completo, ha solo il limite di banda a 1Mb/s su ogni interfaccia se non acquisti la licenza, io lo uso per mettere Dude dai clienti

Ottimo, grazie! Potresti indicarmi il link per il download, giusto per esseri sicuri?
Ci vuole una registrazione o qualcosa del genere per usarlo anche se limitato?
Cos'è sto Dude?

Routing, poi devi fare masquerade dei pacchetti

hmm, altra carne messa a cuocere. Cos'è il masquerade?

Si fa con le regole di firewall

Forse, diciamo sicuramente, ho posto male la domanda. Lasciamo perdere il firewall per il momento. Intendevo dire, se le due interfacce possono indipendentemente, ma contemporaneamente accedere ad internet dalla WAN senza "vedersi"; o per poter andare in internet da una sola porta WAN devono per forza essere in bridge (per poi separarle con regole del Firewall come dicevi tu). In poche parole la wan può comunicare solo su una sola strada (o dispositivo, qui non saprei come esprimermi precisamente) direttamente per far confluire i dati? Spetterebbe all'amministratore indicare (tramite bridge appunto) che i due dispositivi devono essere visti come uno.

Se hai interessi di questo tipo, io inizierei con il leggermi Reti di Calcolatori di Tannenbaum

In effetti stavo iniziando proprio a darci un'occhiata in questi giorni. Ma non è detto che mi chiarisca le idee, anzi di solito le letture di questo tipo mi fanno porre antre domande che devo in qualche modo soddisfare per poter andare avanti.

Grazie di tutto

 

[r3dl4nce]

Ti ho consigliato il Tannenbaum proprio perché spiega come funzionano le reti, dal livello ISO/OSI 1 più basso ovvero il livello fisico, salendo al livello 2 datalink con il MAC address a indirizzare ogni singola scheda/porta di rete, livello 3 ovvero il livello di rete dove si inizia a parlare di pacchetti IP, la loro composizione (frammentazione, assemblaggio), la gestione dei percorsi (inoltro, instradamento), e così via fino a arrivare al livello 7 applicativo
Le tue domande sono proprio in parte la base del mio lavoro e senza le giuste basi non è facile risponderti.
Se non sai come funzionano le tabelle ARP, spiegarti come uno switch sa dove inoltrare i pacchetti è difficile. Se non sai la gestione degli indirizzi IP e che ruolo occupano nel decidere il percorso per l'instradamento di un pacchetto, one ti spiego cos'è il masquerade?
Certo potrei fare esempi banali, se cerchi su internet ne trovi quanti ne vuoi. Io però ti rioeto un consiglio migliore : se gli argomenti ti interessano e appassionano, leggi. Ti ho già anche indicato cosa leggere. Magari un giorno potrebbe piacerti fare il sistemista o più specializzato tecnico di rete

 

[jeyhw]

Ti ho consigliato il Tannenbaum proprio perché spiega come funzionano le reti, dal livello ISO/OSI 1 più basso ovvero il livello fisico, salendo al livello 2 datalink con il MAC address a indirizzare ogni singola scheda/porta di rete, livello 3 ovvero il livello di rete dove si inizia a parlare di pacchetti IP, la loro composizione (frammentazione, assemblaggio), la gestione dei percorsi (inoltro, instradamento), e così via fino a arrivare al livello 7 applicativo
Le tue domande sono proprio in parte la base del mio lavoro e senza le giuste basi non è facile risponderti.
Se non sai come funzionano le tabelle ARP, spiegarti come uno switch sa dove inoltrare i pacchetti è difficile. Se non sai la gestione degli indirizzi IP e che ruolo occupano nel decidere il percorso per l'instradamento di un pacchetto, one ti spiego cos'è il masquerade?
Certo potrei fare esempi banali, se cerchi su internet ne trovi quanti ne vuoi. Io però ti rioeto un consiglio migliore : se gli argomenti ti interessano e appassionano, leggi. Ti ho già anche indicato cosa leggere. Magari un giorno potrebbe piacerti fare il sistemista o più specializzato tecnico di rete

Ok, sto già raccogliendo materiale in giro.
Ho scaricato anche RouterOS CHR (la 6.43 long-term). Vorrei solo farti un paio di domande su questo e chiudiamo la discussione.
La scheda di rete (network adapter) la lascio in NAT?
Ci sono delle impostazioni che mi consigli per far funzionare al meglio routeroS su VM? Io uso VMware. Grazie

 

[r3dl4nce]

Come versione di RouterOs CHR prendi la stable.

Nat su vmware vuol dire che la scheda di rete virtuale sarà su una rete diversa e non in bridge con la rete fisica del PC.

Riguardo a configurazioni particolari non ce ne sono, se non quella di scaricare winbox e iniziare a fare le prove con quello, per poi passare a utilizzare anche il terminale. Magari fai delle configurazioni e dal terminale con il comando /export vedi che comandi sono utilizzati per attuarle

 

[jeyhw]

Come versione di RouterOs CHR prendi la stable.

Nat su vmware vuol dire che la scheda di rete virtuale sarà su una rete diversa e non in bridge con la rete fisica del PC.

Riguardo a configurazioni particolari non ce ne sono, se non quella di scaricare winbox e iniziare a fare le prove con quello, per poi passare a utilizzare anche il terminale. Magari fai delle configurazioni e dal terminale con il comando /export vedi che comandi sono utilizzati per attuarle

Magari creado network devices che non esistono fisicamente (c'è pure l'opzione only host). Tu quale opzioni usi per fare delle prove?
Devo quindi collegare winbox alla macchina virtuale (inserendo un ip) per aver l'interfaccia grafica, se ho capito bene. Grazie

 

[r3dl4nce]

Io uso le CHR solo per utilizzare Dude (un programmino che può essere integrato in routeros per tracciare mappa di rete e verificare funzionamento degli apparati connessi), geveralmente su macchina virtuale su proxmox o esxi con la ethernet in bridge con la rete LAN, dando poi un IP non utilizzato al Routeros.
Per usarlo da switch o router, uso proprio le routerboard in base alle caratteristiche che mi servono, tipo a casa in cascata al router Tim hub ho un hAP ac2.
Per configurare RouterOs puoi accedere con un terminale telnet o SSH con l'ip assegnato, da winbox puoi accederci anche con il MAC (se nello stesso segmento di rete) dato che routeros ha un MAC telnet server integrato