Progettazione LAN domestica

[blueven]

Ciao a tutti,
questo è il progettino che avevo fatto per la LAN di casa nuova:


La rete si sviluppa su 3 piani di casa. E' stato già tutto cablato con cat 6. I due access point, uno al piano terra e uno al piano primo, entrambi cablati quindi non serve mesh ma sarebbe gradito il fast roaming (ma non obbligatorio). L'abitazione non è servita da adsl/fibra, per cui dovrò optare per FWA.

Nel valutare quali dispositivi acquistare, mi è sorto il dubbio se devo prevedere, per motivi di sicurezza, di segmentare la rete in differenti VLAN/subnet.

Sostanzialmente i dispositivi presenti e futuri, possono essere così raggruppati logicamente (e forse anche a livello di sicurezza):
- Video sorveglianza (camere ip e nvr)
- V.C. IP, ovvero video citofonia IP, con due postazioni esterne e un monitor interno
- centralina domotica (con sensori allarme e sirena incorporati)
- prese per TV/streaming
- prese pc figli
- prese pc mio studio
- wallbox ricarica auto elettrica (per il futuro)
- wifi abitanti casa
- wifi ospiti

Cosa mi consigliate?

 

[nivaria_achinet]

Ciao a tutti,
questo è il progettino che avevo fatto per la LAN di casa nuova:


La rete si sviluppa su 3 piani di casa. E' stato già tutto cablato con cat 6. I due access point, uno al piano terra e uno al piano primo, è previsto che vadano in mesh. L'abitazione non è servita da adsl/fibra, per cui dovrò optare per FWA.

Nel valutare quali dispositivi acquistare, mi è sorto il dubbio se devo prevedere, per motivi di sicurezza, di segmentare la rete in differenti VLAN/subnet.

Sostanzialmente i dispositivi presenti e futuri, possono essere così raggruppati logicamente (e forse anche a livello di sicurezza):
- Video sorveglianza (camere ip e nvr)
- V.C. IP, ovvero video citofonia IP, con due postazioni esterne e un monitor interno
- centralina domotica (con sensori allarme e sirena incorporati)
- prese per TV/streaming
- prese pc figli
- prese pc mio studio
- wallbox ricarica auto elettrica (per il futuro)
- wifi abitanti casa
- wifi ospiti

Cosa mi consigliate?

Io conosco 3 soluzioni in cloud: Ubiquiti, Zyxel (Nebula) e TP-Link (Omada).

Ubiquiti è la più completa tra le 3 (ha anche la wallbox per la carica elettrica).

Omada hai tre modi per gestire il cloud:
- installi il software di controllo su un PC (però se il computer si rompe, perdi tutto).
- acquistare un controller hardware (però anche quello se si rompe, perdi tutto).
- usare un controller cloud che però dovresti pagare 25€ di licenza per ogni dispositivo (access point, switch, ...)

Con Nebula, invece è tutto già in cloud. L'unica pecca è che dovresti pagare ogni anno la licenza per gli aggiornamenti di licenza del Firewall (e non parliamo di poco).

In ogni caso, sono 3 soluzioni non proprio economiche.

 

[Kelion]

Gli AP direttamente al router e se prendi due router Fritzbox 4040 (oppure 4060 col wifi 6) collegati in lan wan come client IP hanno 4 porte lan ciascuno e generano rete wifi mesh con satelliti Fritzbox se necessario così elimini due switch il che non è male. Staranno tutti sulla rete del router e si vedranno tra loro. Meno switch metti e meglio è. Gli apparati di sicurezza meglio su cablato se no hanno poca sicurezza. Non mescolare sullo stesso ramo di rete gli apparati che hanno funzioni diverse tra loro. La segmentazione in Vlan la puoi fare da switch managed avanzato collegato direttamente al router anche su più porte per evitare cali di banda. @r3dl4nce ti potrà consigliare roba Mikrotik che ti consentirà di gestire in modo più avanzato la situazione.

 

[r3dl4nce]

A me questa struttura urla tanto di VLAN, sicuramente io gestirei una VLAN dedicata per la VDS / allarme, il resto eventualmente se hai vari apparati domotici puoi pensare di metterli in VLAN a parte anche quelli.
Chiaramente però tutto ciò poi devi essere in grado di gestirlo, io installerei apparati mikrotik, con firewall / CAPsMAN che gestisca le varie VLAN subito dietro il router dell'operatore (o eventualmente che possa sostituire direttamente il router operatore, se questo te lo consente), la funzionalità CAPsMAN consente la gestione centralizzata di più access point wifi, inoltre imposti le varie VLAN negli switch (chiaramente tutto managed) in base a cosa ci collegherai.
Il problema è che con Mikrotik è tutto da conoscere e impostare avendo esperienza di configurazioni su RouterOS, non c'è molto di guidato e devi avere conoscenze per gestire e manutenere questa struttura.
Ubiquiti può fare ciò che richiedi con il sistema UniFi e una DreamMachine come firewall/gateway, oltre a necessitare o un PC dove installare il controller unifi o acquistare la unifi cloud key. E come costi Ubiquiti è diventato alto, molto alto, più del doppio di Mikrotik. però si gestisce abbastanza facilmente, è tutto molto guidato con interfaccine web facili, anche se a me non piace come si imposta la configurazione Unifi.
Non so che conoscenze o competenze hai nè quanto ci vuoi spendere, se non sei molto ferrato su infrastrutture di rete forse ti conviene affidarti a una ditta del settore che possa farti un buon lavoro e soprattutto ti fornisca la manutenzione

 

[blueven]

Grazie a tutti per le risposte.

@Kelion purtroppo gli switch "piccoli" sono entrambi al piano terra, e devono essere POE. Quindi temo debbano rimanere.

@r3dl4nce Il mio livello di conoscenza di infrastruttura di rete è diciamo medio. Apparati mikrotik non ne ho mai usati, e non avrei il tempo per sbatterci su perchè mi immagino non sono di immediato apprendimento. Come suggerisce @nivaria_achinet, io avevo pensato ad Omada di TPlink, più che altro perchè mi sembra la più accessibile economicamente, ed ad Ubiquiti che però è molto più costosa. L'unica cosa che non ho capito è perchè è necessario avere un cloud per la gestione dei vari dispositivi... forse per il backup delle configurazioni? Non basterebbe semplicemente salvarsi il backup su file dei vari dispositivi o mi sfugge qualcosa?


Supponendo di creare queste 3 VLAN:

- DOM-SIC [cavo] (centralina domotiche, nvr, videocamere, videocitofoni, monitor-videocitofoni )
- CASA [cavo e wifi] (tv, server plex, NAS, postazioni stanzette e studio, wallbox )
- OSPITI [wifi] (accesso internet)

Vorrei:
1- no dhcp sulle vlan "DOM-SIC" e "CASA", quindi tutti ip statici. Oppure dhcp con sole associazioni MAC-IP, nessun ip "libero".
2- che un paio di IP (sia cavo che wifi) della vlan "CASA" potessero comunque accedere alla vlan "DOM-SIC"

Entrambi i punti 1 e 2 vanno gestiti con un firewall?

Riguardo al router, è importante che che mi permetta una wan di backup tramite sim. Per cui ci vorrei collegare due modem, uno dell'operatore (sicuramente FWA perchè non ho fibra in zona) ed uno mio con mia sim (che già ho).

Inoltre il router o il firewall debba avere almeno la possibilità di configurare vpn in ingresso e uscita con relative regole di instradamento (es. asuswrt con le sue regole) , e servizio di dyndns.

Immagino siano tutte cose fattibili, ma non saprei con quali dispositivi razionalizzare tutto questo.


p.s. Ho corretto il post originario. Dai fatto i I due access point, uno al piano terra e uno al piano primo, sono entrambi cablati quindi non serve mesh ma sarebbe gradito il fast roaming (ma non obbligatorio).

 

[r3dl4nce]

Chiaramente devi avere un firewall collegato al router FWA o se possibile direttamente alla CPE FWA che poi gestisca le varie subnet delle VLAN, quindi i vari servizi di rete come DHCP, e imposti le regole di routing necessarie per ogni subnet (esempio immagino il pc che dovrà avere accesso al NVR, ecc)
Su ubiquiti con dreammachine si dovrebbe gestire tutto ciò anche se è tanto che non installo impianti ubiquiti dato che davvero sono diventati molto esosi, mentre su Tplink non si dirti dato che mi taglierei una mano prima di buttare soldi in quella marcaccia schifosa.
Ovviamente con mikrotik tutto questo è fattibile, ma se non lo conosci ci tiri giù diversi santi dal cielo...

 

[PippoGold]

Io ho una rete similare a casa mia.
Ho usato Openwrt su router compatibili seguendo questo video. Economico, scalabile e molto stabile. In 3 anni non ho mai fatto un riavvio causa malfunzionamento…