Gestione ip lan e wifi

[olometaboy]

Buongiorno
Mi sono deciso ad organizzare per bene gli indirizzi IP della la mia lan.
Vi spiego la composizione.
A casa mi arriva la Fibra ottica che è connessa al mediaconverter che la transforma in rj45 per portarla al modem alla porta wan.
Dal modem tramite presa lan (192.168.0.1) ho un cavo che va a un accès point 192.168.0.3( entra in una porta lan) per le periferiche wifi
Un altro cavo dal modem va a una box tv
Un altro cavo dal modem va a un think client(Wan 192.168.0.2) dove ho installato pfsense da qui esce (lan 192.168.1.1) e si connette su uno switch 8 porte
Allo switch sono connessi un PC un 2 nas (un principale è uno per la replica) 1 amplificatore audio 1 lettore blue ray
Attualmente il dhcp è attivo su tutte le interfacce ma tramite mac ho fissato tutti gli IP delle periferiche.
Innanzitutto volevo spostare l'ap dietro pfsense, guadagno in protezione dall'esterno ma perdo quella interna.
Secondo voi è meglio organizzare i vari ip e le sottoreti?

 

[olometaboy]

io lo sposterei, per la protezione interna bastano i soliti accorgimenti (e se hai assegnato a tutti i dispositivi IP statico potresti addirittura disabilitare il DHCP così da potenziare ulteriormente la sicurezza della rete).

Per il wifi il dhcp é necessario perche quando ti viene a trovare qualcuno e si connette evita di dovegli parametrate il pc o il cellulare (vista la connessione che ho la gente preferische il mio wifi alla 4G)
Per le periferiche connesse via cavo alcune sono rognose da mettere in ip statico ( tipo l'amplificatore e il lettore blue ray).
Quello che mi "preoccupa" sono le connessioni wifi perche non le vedi. Avevo pensato a creare una vlan ma se faccio cosi perdo la possibilità di interazione tra cellulare e amplificatore e in generale tra tutte le periferiche filari e non filari.

 

[olometaboy]

guarda anch'io son così, ma non son tutti che condividono il wifi con gli amici... poi bè disabilitare il DHCP è una procedura estrema, ma che incrementa enormemente la sicurezza di una rete, mi sembrava che tu avessi esigenze particolari al riguardo e proprio per questo non mi aspettavo che tu condividessi... a questo punto non so come al pensi tu, ma io mi preoccuperei più di possibili attacchi dall'esterno, le persone con le quali condivido il mio wifi sono fidate.

perchè lettore blue ray ecc sono rognosi? vai a controllare gli accessi, leggi il loro mac ed aggiungi IP statico (come hai già fatto per il resto).

puoi sia impostare uan vlan per gestire la rete dei tuoi dispositivi ed isolarla da quella guest oppure anche prendere direttamente un altro router/AP gestire un guest network, spostando quindi tutti i tuoi dispositivi dietro al firewall o anche mettendoli entrambi dietro, ma in reti separate...

Mi hai dato un ideona il mio ap (tp-link c9) permette la creazione di una rete guest usero questa per gli invitati. Il resto del traffico lo gestisco con la rete "ufficale"
Comunque se vuoi asseganre gli ip in base al mac addres devi per forza attivare il dhcp, in compenso posso limitare il numero di indirizzi al numero di periferiche che ho sulla rete