DOMANDA suddividere LAN in 2 sottoreti distinte, mantenendo ADSL in comune

[Mirko.Ma]

salve a tutti,

ho l'esigenza di suddividere la mia lan in 2 sottoreti in cui un gruppo di PC condivide e si vedono fra loro (quelli del gruppo dello Switch di destra), mentre un altro gruppo di PC (quelli del gruppo del Router di sinistra) non deve vedere le risorse condivise e non devono vedersi neanche fra di loro, ma deve solo accedere alla ADSL

La configurazione è come da schema:


ROUTER Asus DSL-N13:
= fornisce accesso ad ADSL
= fornisce collegamento WiFi a NoteBook
= collega 2 PC tramite PowerLine che devono solo funzionare accedendo alla ADSL e nient'altro!! NON si devono vedere neanche fra di loro
= collega un NAS che verrà utilizzato per pubblicare un SITO WEB pubblico
= alle porte USB sia possibile collegare provvidoriamente un HD o un PENDRIVE da condividere accedendovi dal WEB
= alla porta 4 (LAN-4 Router) è collegato uno Smart-Switch tramite la propria porta (LAN-8 Switch)

Smart-SWITCH Longshine LSC-GS8208-A:
= Tutti i PC e le periferiche collegate a questo switch devono condividere le risorse e vedersi fra loro
= collega 3 PC (PC1, PC2, PC3)
= collega una stampante/Fax Multifunzione di rete
= collega 2 PC (PC X, PC Y) in due stanze diverse che un domani espanderanno la rete tramite 2 switch al posto dei PC indicati
= collega un NAS per BACKUP e per Audio/Video condiviso in rete (condiviso solo dai PC collegati a questo Switch)


DOMANDA 1:
Come fare a suddividere la rete che al momento ha indirizzi IP statici?
So che tramite subnet mask è possibile farlo ma non so da dove iniziare (ho letto sul web è mi sono altamente incasinato) potete indicarmi un esempio pratico in base alle mie esigenze


DOMANDA 2:
Come fare a suddividere la lan in modo che (lato destro) dello switch la rete abbia indirizzi IP statici,
mentre nel (lato sinistro) del router la rete abbia indirizzo IP dinamico ovvero non indicato in precedenza?

DOMANDA 3:
Cosa mi consigliate per proteggere la sicurezza del lato Smart-Switch (tutte i PC e condivisioni del gruppo di destra) proteggere da accessi esterni inderiderati?

Al momento mi fermo qui... poi risolto questo... mi sarei perso anche nel configurare il NAS ma questo è un altro argomento :muro:

Ringrazio chiunque voglia aiutarmi :boh:

ciao
Mirko

 

[zesto]

Lascia stare il subnetting. Oltre ad essere una cosa non proprio immediata uno dei due gruppi non potrà andare su internet (a meno di qualche miracolosa evoluzione...). Meglio provare con le vlan: il tuo router mi pare non implementi la funzione, ma dovrebbe farlo openwrt. In alternativa portesti installare un serverino che ti gestisca le reti oppure comprare un secondo router da mettere in cascata al primo in modo che si occupi di gestire la seconda rete...

 

[Mirko.Ma]

preferivo (se possibile) configurare qualcosa di non software..

Per VLAN si intende un software che gestisce reti virtuali? e quindi devo configurare qualcosa che se cambio PC devo reinstallare il SW...
Preferivo utilizzare unicamente un indirizzo (anche se trovarlo giusto ci vorrebbe più tentativi)... ma visto che spesso cambio PC per test o per collegare momentaneamente quello di un cliente... quindi preferivo solo cambiare indirizzo IP (se fosse posibile) e senza configurare software...

Altre soluzioni???

Ho aggiunto appositamente uno Smart-Switch Management in modo da poter filtrare il traffico...
Ma purtroppo sono troppo a digiuno di queste configurazioni...

Qualcuno potrebbe darmi le prime dritte (anche solo teoriche così poi aprofondisco) per gstire lo Smart-Switch che dovrebbe fare si di filtrare in HW il flusso dati riuscendo a non fare entrare utenti indesiderati... e quindi (in figura sopra) tenere separati gli utenti di sinistra (del Router) separati dagli utenti di destra (dello smart-switch filtrato)... ??? Scusate se dico fesserie, ma dovrebbe essere in questi termini? o no? boh?

Qualcuno se ne intende?
Grazie ancora
Mirko

 

[bauer]

Penso che nessuno stia qui a spiegarti come configurare le vlan sullo switch, non per cattiveria o mancanza di voglia, ma perchè diventa un bordello. Su internet trovi qualche argomento. Cmq, io a casa stavo provando una configurazione del genere e sono riuscito tramite il mio Cisco SG300-20 a creare due reti differenti che non si vedevano tra loro, stessa subnet ma con classe ip differente. La prima classe ws 192.168.1.2 veniva gestita dal dhcp del router, l'altra invece 192.168.2.2 non aveva il dhcp ma solo static ip perchè veniva gestita dallo switch. Lo switch è in layer 2 in questo momento quindi per ogni vlan che crei sullo switch non lui non puo gestire piu di un server dhcp, attivando l'opzione layer 3, tramite una guida che ho trovato, per ogni vlan puoi impostare il dhcp. Detto questo, configurato lo switch sono riuscito ad avere la lan funzionante su entrambe, il problema che non sono riuscito a risolvere è la navigazione sulla vlan 2, quindi 192.168.2.1. Non sono riuscito a farlo navigare, per il resto però funzionava tutto.

Devi fare un po di tentativi, ma cmq resta una soluzione se devi usarla in ambito domestico da evitare...

 

[zesto]

Scusa, forse andavo un pò di fretta e non ho notato che fosse uno smart switch. A giudicare da quello che si trova in rete il tuo modello gestisce le vlan. Basta quindi impostarne una tramite l'interfaccia dello switch. In questo modo ciò che è gestito dal router otterrà un ip dinamico tramite il dhcp, la parte dello switch (su una subnet diversa) avrà ip statici che assegnerai tu. Il firewall del router, insieme a una corretta configurazione di macchine e condivisioni, dovrebbe essere sufficiente per proteggere l'intera rete. Magari puoi riservare gli ip, filtrare i mac e impedire l'assegnazione di ip eccedenti al numero dei tuoi dispositivi. Se usi il wifi nascondi l'ssid e usa password decenti. Il tutto cum grano salis.

P.s.: la vlan non è nulla di esotico. E' una lan "logica" che esiste solo nel dispositivo, mentre nella realtà dovrebbe essere gestita da un apparato fisico a parte che invece non c'è. Quindi niente installazioni software ex-novo. Semplicemente se colleghi una nuova macchina devi assegnargli un nuovo ip (visto che in quella parte della rete non c'è il dhcp).

 

[Mirko.Ma]

perfetto... è quello che volevo sentire...


Se ho capito bene:

Router:
- IP dinamico tramite DHCP
- dal Firewall del Router filtro IP e/o MAC dei PC autorizzati ad accedervi
- WiFi nascondo SSDI in modo che non sia visibile il mio none del WiFi per evitare attacchi tramite WiFi

Smart-Switch:
- imposto subnet diversa dal Router (esempio di BAUER 192.168.1.2 per Router, e 192.168.2.2 per Smart-Switch)
- imposto IP statico (senza DHCP)

IN PRATICA quando collego un nuovo PC:
- Qualsiasi PC con IP dinamico può accedere alla rete del Router se non è filtrato dal Firewall del Router tramite filtraggio IP e/o MAC
- Qualsiasi WiFi che conosce il nome del mio SSID (nascosto+password) può accedere alla rete del Router se non è filtrato dal Firewall del Router tramite filtraggio IP e/o MAC
- Solo i PC collegati (con cavo LAN) allo Smart-Switch configurati con IP Statico possono accedere alla lan dello Switch a meno che non siamo filtrati da IP e/o MAC dello Smart-Switch

DOMANDA 1:
- ho azzeccato qualcosa nel mio discorso?

DOMANDA 2:
- e la VLAN alla fine cos'è? ...è per caso quello che ho appena scritto sopra ovvero configurare una diversa subnet con filtraggio IP?

DOMANDA 3:
- capisco che non sia possibile (come dice BAUER: un bordello da spiegare), ma se la VLAN è qualcosa di diverso da quello che ho capito... qualche dritta generica dei passi da compiere?... che poi mi documento meglio tramite web dei vari significati e procedure... (:inchino:almeno qualche dritta grossolana...:inchino:)

QUANTI PIU' COMMENTI VERRANNO SCRITTI... quanto meglio capirò io i passi da fare (e capiranno chi è nelle mie condizioni...):
- Perchè BAUER non riesce a fare navigare in internet la LAN con subnet 192.168.2.2 mentre io dovrei riuascirci?
...a me sembra molto simile quello che ha scritto ZESTO e che ho riassunto sopra, quindi percho BAUER non naviga:boh:
- forse perchè io ho uno Smart-Switch mentre BAUER ha un Switch tradizionale? (è gradito un commento:boh:)

Grazie a tutti..
Grazie zesto e grazie bauer!!

attendo ansioso
Mirko

 

[Mirko.Ma]

in queste vacanze natalizie proverò a cimentarmi nella modifica della mia LAN seguendo i suggerimenti proposti....

...nessuno che mi conferma se ho capito bene le indicazioni mel mio riepilogo del 02-12-2012, 17:34, #6 ?

Grazie

 

[Mirko.Ma]

uppete.... e buon natale

 

[Mirko.Ma]

uppete... e buon anno

 

[Mirko.Ma]

Rieccomi... e... come mi ero riproposto ho provveduto a smanettare sullo SmartSwitch LONGSHINE LCS-G8208-A

Esito? non ci ho capito niete anche se ho visto che è molto versatile e che è configurabile per dividere le 8 porte in 4 sottogruppi filtrando fino 4000 indirizzi IP/MAC... (almeno penso di aver capito così)

Sono contento che come speravo l'acquisto che avevo fatto mi servisse allo scopo... ma non ho capito poco lato configurazione :muro:

Ho guardato a anche sul WEB per capire in generale i termini (linguisticamente parlando) delle VLAN per farmi una cultura... ma effettivamente a parte Wiki che genericamente ha fatto un po di storia non ho trovato molto

DOMANDA1: mi potete indicare un buon link dove viene spiegato bene l'argomento almeno per capire i vari termini e potermi racapezzare sul mio SmartSwitch?


MIA ESIGENZA LATO ROUTER: http://www.asus.it/Networks/ADSL_Modem_Routers/DSLN13/#download
- sul Router devo filtrare indirizzi MAC/IP per fare entrare in Wi-Fi chi mi pare e altrettanto sulle porte LAN-1 e LAN-2... e fino a qui tutto OK
- sul Router devo poter lasciare funzionante sulla LAN-4 il canale ADSL che tramite la porta LAN-4 del Router arriva sulla LAN-8 dello SmartSwitch

DOMANDA2: se non metto filtri sulla LAN-4 del Router ottengo automaticamente che tutto quello che transita in LAN-4 arriva allo SmartSwitch e quindi il segnale ADSL arriva su tutte le porte LAN-1 fino LAN-7 dello SmartSwitch?

DOMANDA3: di conseguenza se non filtro LAN-4 del Router vuole dire che permetto a chiunque di transitare verso lo SmartSwitch?

MIO PENSIERO: gli unici che transiteranno in LAN-4 saranno quei PC che ho filtrato IP/MAC (Wi-Fi e LAN1 e LAN2) + quello che mi preoccupa sono le intrusioni dal WEB???

DOMANDA4: per impedire che gli utenti Wi-Fi autorizzati al Router entrino nello SmartSwitch e anche per impedire che gli utenti LAN-1 e LAN-2 (autorizzati sul Router) entrino nello SmartSwitch e stessa cosa per quegli utenti non autorizzati entrati dal WEB (che possono transitare entrando nel NAS pubblico/sito su LAN-3 Router ma che non possono entrare nello SmartSwitch)... penso che debba filtrare la porta LAN-4 escludento tutti gli accessi... ma così facendo bloccherei anche il traffico ADSL?

Mentre nella porta LAN-3 Router filtrerei MAC/IP facendo passare solo quegli utenti autorizzati LAN1 + LAN2 + Wi-Fi + accessi dal WEB Autorizzati... giusto?


MIA ESIGENZA LATO SMARTSWITCH: http://network.longshine.de/uploads/files/Manual/English/GS8208A-manual_eng.pdf
- Ho letto sul manuale dello Smart Switch LONGSHINE che è possibile suddividere le 8 porte in 4 gruppi...
- in effetti io non ho da suddividere le porte dello SmartSwitch... ma unicamente separare lo Smart Switch che permetterà unicamente di condividere i PC collegati allo smart Switch che dovranno navigare in interneti tramite il Router e nello stesso tempo tutti i PC che transitano sul Router (LAN1 e LAN2 + Wi-Fi + utenti del WEB che entrano nel NAS pubblico LAN-3) non devono accedere ai PC collegati allo SmartSwitch... COME FARE?

Chi ci capisce, se la cosa è semplice, guardando il manuale (che ho linkato) mi può dare qualche dritta? :inchino:

Grazie
ciao
Mirko

 

[Mirko.Ma]

Dai...su... :)

nessuno che conosce il mio SmartSwitch Longshine LSC-GS8208-A :help:
http://network.longshine.de/uploads/files/Manual/English/GS8208A-manual_eng.pdf
ASUS - Networking- ASUS DSL-N13




:thanks:

 

[Denver]

Sul forum mica si lavora per soldi, guadagnare non è lo scopo del forum. E' un concetto del tutto errato, edita il messaggio ;)

 

[Mirko.Ma]

up