Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Vlan Wlan zeroshell

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
elpapais



Registrato: 22/07/19 23:50
Messaggi: 14

MessaggioInviato: Mar Gen 28, 2020 2:55 pm    Oggetto: Vlan Wlan zeroshell Rispondi citando

Salve a tutti.

Ho la seguente struttura:
4 access point indor
4 access point outdor
10 computer + stampanti (alcune WIFI) + pos + ricevitori fisceli telematici....
1 (che forse diventeranno due) connessioni fibra telecom
8 telecamere WIFI
2 connessioni VOIP
4 Telefoni Voip.

Devo tenere separate le reti e quindi con zeroshell ho impostato:
1) ETH0 per la sola configurazione di Zeroshell e rete interna
2) ETH1 per la connessione al router con una scheda gigalan, che viene nattata per distribuire internet. In seguito metto un'altra e faccio load balancing ecc ecc
3) ETH2 per la distribuzione del wifi quindi fizicamente collegata au uno switch unmanaged sul quale vanno tutti gli access point.
Su ETH2 ip 172.16.0.1 255.255.240.0 collegata allo switch.
Su ETH2.111 VLAN con ip 172.16.16.1 255.255.240.0 per SSID Clienti
Su ETH2.222 VLAN con ip 172.16.32.1 255.255.240.0 per SSID Azienda
Su ETH2.333 VLAN con ip 172.16.48.1 255.255.240.0 per SSID Videosorveglianza.
Configurato i DHCP in modo che rilasci IP separati per le VLAN (quindi gli SSID).
Ho configurato gli access point in modo che gli SSID, si colleghino alle Vlan 111, 222, 333.

Il tutto secondo me funziona egregiamente.
Ma.......
Leggendo le varie guide e parlando con un tecnico dell'azienda che produce gli access point, dice che devo creare sul router delle VWLan.
Ovvero dotare zeroshell di una scheda di rete WIFI, creare sul router tramite WIFI manager gli SSID e poi fare i bridge.....
Non mi va so che sono io a sbagliare ma nopn capisco doce...
diciamo che se non è indispensabile il passaggio di creare gli SSID sulla scheda wifi di zeroshell poco importa....
Come ho fatto io va bene o ci son problemi di sicurezza?
Grazie mille.
Top
Profilo Invia messaggio privato
wind



Registrato: 01/11/12 09:51
Messaggi: 204

MessaggioInviato: Mar Gen 28, 2020 6:17 pm    Oggetto: Re: Vlan Wlan zeroshell Rispondi citando

elpapais ha scritto:
Salve a tutti.

Ho la seguente struttura:
4 access point indor
4 access point outdor
10 computer + stampanti (alcune WIFI) + pos + ricevitori fisceli telematici....
1 (che forse diventeranno due) connessioni fibra telecom
8 telecamere WIFI
2 connessioni VOIP
4 Telefoni Voip.

Devo tenere separate le reti e quindi con zeroshell ho impostato:
1) ETH0 per la sola configurazione di Zeroshell e rete interna
2) ETH1 per la connessione al router con una scheda gigalan, che viene nattata per distribuire internet. In seguito metto un'altra e faccio load balancing ecc ecc
3) ETH2 per la distribuzione del wifi quindi fizicamente collegata au uno switch unmanaged sul quale vanno tutti gli access point.
Su ETH2 ip 172.16.0.1 255.255.240.0 collegata allo switch.
Su ETH2.111 VLAN con ip 172.16.16.1 255.255.240.0 per SSID Clienti
Su ETH2.222 VLAN con ip 172.16.32.1 255.255.240.0 per SSID Azienda
Su ETH2.333 VLAN con ip 172.16.48.1 255.255.240.0 per SSID Videosorveglianza.
Configurato i DHCP in modo che rilasci IP separati per le VLAN (quindi gli SSID).
Ho configurato gli access point in modo che gli SSID, si colleghino alle Vlan 111, 222, 333.

Il tutto secondo me funziona egregiamente.
Ma.......
Leggendo le varie guide e parlando con un tecnico dell'azienda che produce gli access point, dice che devo creare sul router delle VWLan.
Ovvero dotare zeroshell di una scheda di rete WIFI, creare sul router tramite WIFI manager gli SSID e poi fare i bridge.....
Non mi va so che sono io a sbagliare ma nopn capisco doce...
diciamo che se non è indispensabile il passaggio di creare gli SSID sulla scheda wifi di zeroshell poco importa....
Come ho fatto io va bene o ci son problemi di sicurezza?
Grazie mille.


Ciao,

i poblemi di scurezza sono che lo switch un-managed non gestisce le vlan. e quindi se tu le fai, non vengono "isolate" correttamente.

Bastca comprare uno switch managed e sistemi tutto...
Top
Profilo Invia messaggio privato
elpapais



Registrato: 22/07/19 23:50
Messaggi: 14

MessaggioInviato: Mar Gen 28, 2020 7:30 pm    Oggetto: Wind Grazie per la risposta Rispondi citando

Ti ringrazio per la risposta Wind

Le vlan hanno classe diversa e sono legate agli ssid...
Scusa ma non riesco a capire.
ogni access point ha 3 SSID che sono identici per tutti gli access point....
Ogni SSID in funzione alle VLAN hanno classe differente (uguali alle vlan)...

Non riesco a capire come dovrei collegare lo switch managed...
Le vlan mi escono da una scheda di rete....
vado sullo switch e gli dico che la porta 1 ha la vlan111, la porta 2 ha la vlan222, la porta 3 ha la vlan333 e poi?
I 3 cavi che ho cosa ne faccio? li metto dentro a un'altro switch e li ricompatto su unico cavo?
oppure gli dico che vlan111 va sulla porta 1 che vlan222 va sulla porta1 vlan333 va sulla porta1 per 8 volte in modo da poter collegare gli 8 access point?

scusa ma veramente non capisco so perfettamente che è un mio problema ....

Grazie in anticipo per una risposta.
Top
Profilo Invia messaggio privato
elpapais



Registrato: 22/07/19 23:50
Messaggi: 14

MessaggioInviato: Mar Gen 28, 2020 7:33 pm    Oggetto: precisazione Rispondi citando

lo switch menzionato è solo ed esclusivamente per le vlan e gli access point e logicamente la porta ETH02 di zeroshelll
Le altre schede di rete sono su altri switch e cavi diversi-
Top
Profilo Invia messaggio privato
wind



Registrato: 01/11/12 09:51
Messaggi: 204

MessaggioInviato: Ven Gen 31, 2020 12:07 pm    Oggetto: Re: precisazione Rispondi citando

elpapais ha scritto:
lo switch menzionato è solo ed esclusivamente per le vlan e gli access point e logicamente la porta ETH02 di zeroshelll
Le altre schede di rete sono su altri switch e cavi diversi-


Ciao,

faccio un po' fatica a spiegarti le reti con le Vlan da un post su un forum...
è quasi un argomento da esame Smile

semplifico:

su un cavo cat5 possono passare piĂą VLAN.
es acces point SSID1->VLAN1 SSID2->Vlan2 etc...

sulla porta dello switch programmi che da quel cavo passano vVlan1, Vlan2, Etc...

e così via per le restanti porte...

se qualcuno si connette ad una data porta e non è configurata per funzionare con certe Vlan, queste non sono raggiungibili.

puoi avere un unico swuitch che gestise tutte le Vlan pubbliche (quelle che vanno sui vari SSID) e private... nello stesso momento senza che le une siano accessibili alle altre.. come se fossero LAN Virtuali).

Spero di essermi spiegato decentemente...
Top
Profilo Invia messaggio privato
maverick



Registrato: 18/03/14 17:25
Messaggi: 630

MessaggioInviato: Sab Feb 01, 2020 5:16 pm    Oggetto: Rispondi citando

Non so se può essere utile, io in certe reti ho fatto gestire le vlan direttamente dagli switch isolandole con nomi diversi.
Per esempio wifi vlan 190 lan 200 e così via. Ho sacrificato una porta per fare il trunk con un altro switch.
Dall'altra parte del cavo di rete ho configurato un altro switch usando una porta come trunk che fa transitare tutte le vlan e poi suoni porta ho abilitato la vlan che mi interessa che quella porta sia abilitata. Sono quindi isolate. Unica cosa se tu hai dei pc le porte sono si abilitate a lavorare sulla vlan che tu hai abilitato ma in compenso però la devi definire untagged altrimenti non funziona per il pc. Stessa cosa per gli access point a meno che tu non abbia quelli che gestiscono le vlan.
Ciao
Top
Profilo Invia messaggio privato
elpapais



Registrato: 22/07/19 23:50
Messaggi: 14

MessaggioInviato: Dom Feb 02, 2020 11:03 am    Oggetto: grazie per le risposte Rispondi citando

Grazie a tutti per le risposte.. in quello switch ci sono attaccati solo access point .
non ci sono pc collegati e se eventualmente si collegassero via WIFI si collegherebbero a uno degli SSID con relativa password oppure su SSID sotto Captive Portal.
Il cavo ethernet da zeroshell, ha le VLAN_1, VLAN_2, VLAN_3, ed entra sullo switch 16 porte
diciamo nella porta 1.
nella porta da 8 a 16 abbiamo gli access point che al loro interno hanno gli SSID_1, SSID_2, SSID_3 rispettivamente collegati alle VLAN_1, VLAN_2, VLAN_3, e su tutti gli ssid degli access point è attivata la SSID Isolation.

seerve proprio lo switch e fare il tag delle vlan?
e per come ho inteso io dovrei dire che sulla porta 8 dello switch, ci sono taggate le VLAN_1, VLAN_2, VLAN_3. idem sulla porta 9, 10, 11, 12, 13, 14, 15, 16.....
è corretto?
grazie
Top
Profilo Invia messaggio privato
wind



Registrato: 01/11/12 09:51
Messaggi: 204

MessaggioInviato: Ven Feb 07, 2020 10:18 pm    Oggetto: Re: grazie per le risposte Rispondi citando

Ciao,

le porte di uno Switch Managed possono essere tag o untag.

lo switch mantiene separate le reti come se fossero switch diversi.

Potrebbe essere una lettura utile:

https://www.ge.infn.it/~brunengo/STC/aa_2006_2007/Slides/VLAN.pdf

https://mr-service.it/news/vlan-come-configurarle-e-perche

http://robertobandiera.altervista.org/nuovo/reti/Introduzione_alle_VLAN.pdf

Ciao!
Top
Profilo Invia messaggio privato
elpapais



Registrato: 22/07/19 23:50
Messaggi: 14

MessaggioInviato: Sab Feb 08, 2020 9:37 am    Oggetto: Risposta a un testone come me... Rispondi citando

Per dare un chiarimento a chi come me è un po testone, in questo dociumento
[url] https://www.ge.infn.it/~brunengo/STC/aa_2006_2007/Slides/VLAN.pdf [/url]
alla slide N°3 cita:

L’utilizzo delle Virtual LAN permette di realizzarerisparmio: non e’ necessario realizzare una nuova infrastruttura direte locale con apparati e linee dedicate per creare una nuovaLAN parallela entro lo stesso ambiente della LAN preesistenteaumento di prestazioni: il confinamento del traffico broadcast permette di evitare la propagazione di frame verso destinazioniche non hanno necessita’ di riceverloaumento della sicurezza: una utenza connessa ad una VLAN non ha modo di vedere il traffico interno alle altre VLANflessibilita’: lo spostamento fisico di una utenza all’interno deilocali raggiunti dalla infrastruttura di rete puo’ essere realizzatosenza modifiche della topologia fisica, ma logicamente attraversola opportuna riconfigurazione degli apparati di rete (switch o bridge))

dal che si evince che nel caso zeroshell + scheda di rete prevista per i soli access point + unmanaged switch, non sia indispensabile uno switch managed dato che le vlan create su zeroshell (sono gia separate), accederanno ai rispettivi SSID degli access point nei quali sono associate vlan-ssid.

Se ho detto qualcosa di errato vi prego di continuare questo post.
Grazie
Top
Profilo Invia messaggio privato
wind



Registrato: 01/11/12 09:51
Messaggi: 204

MessaggioInviato: Mer Feb 12, 2020 10:53 am    Oggetto: Re: Risposta a un testone come me... Rispondi citando

Ciao,

in questa configurazione (non switch managed) devi considerare che è che una persona minimamente preparata che si collega al qualsiasi SSID può accedere alle restanti reti Wifi anche se non ne ha le pass.

Esempio uno collegato alla rete "clienti" può spaccarsi come "azienda" o come "videosorveglianza" e quindi accedere alle risorse della rete come se fosse connesso a quel SSID.

ovvero, se io arrivo nell'azienda, mi dai la pass per i clienti, posso accedere alle telecamere o al DB aziendale.. (ho semplificato ulteriormente).

Ti prego non rispondermi "però ti servono le password" perchè la risposta è "allora cosa hai diviso a fare gli SSID"

Ciao!
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it