Είναι απομονωμένα τα 2 δίκτυα 192.168.1.0/24 και 192.168.2.0/24?

[bobis]

Καλημέρα.

Αυτή τη στιγμή στο χώρο μου, ισχύει η τοπολογία της παρακάτω επισυναπτομένης εικόνας:



Kατά πόσο κατάφερα την απομόνωση του δικτύου GUEST (192.168.2.0/24) από το δικό μου ΗΟΜΕ (192.168.1.0/24)?

Απλά επειδή τρέχω SAMBA NAS στο δικό μου δίκτυο και δεν θα ήθελα το GUEST network να το βλέπει.

Ευχαριστώ

[WAntilles]

Πήγες (και αν πήγες, αν τα κατάφερες) Ακρόπολη -> Σύνταγμα μέσω Βαρυπόμπης, αντί να πάρεις απλά για μια στάση το Μετρό.

Δες εδώ:

https://www.samba.org/samba/docs/man...mb.conf.5.html

Το κομμάτι:

hosts allow (S)

hosts deny (S)

[bobis]

Πήγες (και αν πήγες, αν τα κατάφερες) Ακρόπολη -> Σύνταγμα μέσω Βαρυπόμπης, αντί να πάρεις απλά για μια στάση το Μετρό.

Δες εδώ:

https://www.samba.org/samba/docs/man...mb.conf.5.html

Το κομμάτι:

hosts allow (S)

hosts deny (S)

Το ξέρω ότι θα μπορούσα να αποφύγω το DOUBLE NAT με τις ρυθμίσεις που πρότεινες (άλλωστε έχω καταχωρήσει DMΖ το ROUTER 1 στο ΜΟDEM), ή να μπαίνω μόνο με VPN (10.8.0.1/24 network) στο ΝΑS, αλλά εκτός από το NAS, γουστάρω απλά 2 απομονωμένα δίκτυα, (δεν θέλω σε καμία περίπτωση οι GUEST να βλέπουν κίνηση δικτύου στο HOME, είτε ΝΑS , είτε όχι) είναι σωστό έτσι όπως το έστησα ή όχι?

Η λύση του GUEST WIFI AP από το MODEM ή ROUTER 1 δεν είναι λύση διότι δεν πάει καλό σήμα στον πάνω όροφο και έτσι , εκμεταλλεύτηκα το UTP που πάει ήδη πάνω (ethernet) και έστησα separate network (192.168.2.0/24).

[griniaris]

Το οτι εχεις διαφορετικα subnet ΔΕΝ ΕΞΑΣΦΑΛΙΖΕΙ οτι δεν εχει προσβαση ο ενας στον αλλο.

Κανε δοκιμες και θα δεις οτι περνανε .

Θα πρεπει να φτιαξεις κανονες στο καθενα firewall .
πχ. να κανει reject οτιδηποτε δεν θες να περναει.

[bobis]

Το οτι εχεις διαφορετικα subnet ΔΕΝ ΕΞΑΣΦΑΛΙΖΕΙ οτι δεν εχει προσβαση ο ενας στον αλλο.

Κανε δοκιμες και θα δεις οτι περνανε .

Θα πρεπει να φτιαξεις κανονες στο καθενα firewall .
πχ. να κανει reject οτιδηποτε δεν θες να περναει.

Τι δοκιμές να κάνω? Αφού τα pings, στη συγκεκριμένη συνδεσμολογία ΔΕΝ βλέπονται, (π.χ. ένα host στο 192.168.1.0/24 κάνει ping timeout σε ένα host που ανήκει στο 192.168.2.0/24 και το ανάποδο), αρκει αυτό? Δηλαδή μιλάμε για 2 separate LANS που γίνονται NATTED από 2 routers στο ίδιο WAN 192.168.178.0/24

[Ashtaroth]

Απο την στιγμή που έχεις NAT στα ρούτερ τότε τα δίκτυα είναι απομονωμένα

Βέβαια αν στην θέση του switch έβαζες ένα Mikrotik (πχ το 2011) θα γλύτωνες το double NAT

[eliasbats]

Η αλήθεια είναι ότι έχεις πετύχει την επιθυμητή απομόνωση σε μεγάλο βαθμό, μέσω των ΝΑΤ. Ωστόσο, για να το πετύχεις αυτό αναγκάστηκες:
1) να χρησιμοποιήσεις ίσως επιπλέον εξοπλισμό (το ίσως πάει στο γεγονός πως, από την άλλη, μάλλον σε βολεύουν οι 2 επιπλέον routers ως Access Points).
2) εκ του αποτελέσματος να καταλήξεις σε ένα μή ευέλικτο LAN, όταν χρειαστεί στο μέλλον να ανοίξεις κάποια επικοινωνία από το 1 subnet στο άλλο (θα πρέπει να κάνεις port forwarding κλπ.), και... είναι μαθηματικά βέβαιο ότι κάποια στιγμή θα χρειαστείς κάποιου είδους επικοινωνία από το 1 subnet στο άλλο (είσαι προφανώς άνθρωπος που τα γαργαλάει αυτά όπως όλοι μας εδώ μέσα).
3) να συμβιβαστείς με το να κάνεις 2πλό forwarding κάθε φορά που θέλεις μια επικοινωνία από το internet προς τα μέσα.

Η πιο συνηθισμένη προσέγγιση είναι 1 router με VLAN support, με interVLAN routing και με κανόνες firewall μεταξύ των 2 VLANs. Φυσικά συμπληρώνεις με switches & APs όπου χρειάζεται.

[Mosfet]

Βασικά συμφωνώ με τον eliasbats.

Έχεις προσθέσει πολυπλοκότητα (διπλό NAT), για να κάνεις κάτι απλό.

Άλλωστε, οποιοδήποτε σύγχρονο αξιοπρεπές router, υποστηρίζει guest wi-fi δίκτυο (δηλ. χωριστό vlan) το οποίο δεν βλέπει το υπόλοιπο δίκτυο (που από ότι κατάλαβα, αυτό θέλεις ουσιαστικά).

[bobis]

Βασικά συμφωνώ με τον eliasbats.

Έχεις προσθέσει πολυπλοκότητα (διπλό NAT), για να κάνεις κάτι απλό.

Άλλωστε, οποιοδήποτε σύγχρονο αξιοπρεπές router, υποστηρίζει guest wi-fi δίκτυο (δηλ. χωριστό vlan) το οποίο δεν βλέπει το υπόλοιπο δίκτυο (που από ότι κατάλαβα, αυτό θέλεις ουσιαστικά).

Το γνωρίζω αυτό με το guest wifi, απλά δεν πιάνει καλά πάνω, οπότε έκατσα και έφτιαξα separate network από την αρχή (το ethernet που πάει πάνω όροφο υπήρχε έτοιμο από παλιά, περασμένο μέσα από τρύπες και πάει πάνω μέσω των πίσω μπαλκονιών).

Και δεν χρειάζεται κάποιου είδους επικοινωνία των 2 δικτύων, αφού από την αρχή τα ήθελα έτσι ξεχωριστά τα subnets για μεγαλύτερη ασφάλεια.

Και το VLAN, φίλος μου είπε ότι δεν είναι και τόσο ασφαλές ή δεν υπάρχει full συμβατότητα και έτσι προχώρησα σε φυσικό διαχωρισμό.

Όσο για το διπλό NAT, από την μεριά του δικτύου μου , το αποφεύγω βάζοντας DMZ την wan ip του router 1 στο modem και έτσι κάνω μόνο μια φορά port forwarding στο interface του router 1. Αν θέλει να ανοίξει θύρες κάποιο host στο 192.168.2.0/24 δίκτυο, εκεί θέλει διπλή καταχώρηση αναγκαστικά.

[kostas2911]

Το γνωρίζω αυτό με το guest wifi, απλά δεν πιάνει καλά πάνω, οπότε έκατσα και έφτιαξα separate network από την αρχή (το ethernet που άει πάνω όροφο υπήρχε έτοιμο από παλιά, περασμένο μέσα από τρύπες και πάει πάνω μέσω των πίσω μπαλκονιών).

Και δεν χρειάζεται κάποιου είδους επικοινωνία των 2 δικτύων, αφού από την αρχή τα ήθελα έτσι ξεχωριστά τα subnets για μεγαλύτερη ασφάλεια.

Και το VLAN, φίλος μου είπε ότι δεν είναι και τόσο ασφαλές ή δεν υπάρχει full συμβατότητα και έτσι προχώρησα σε φυσικό διαχωρισμό.

Όσο για το διπλό NAT, από την μεριά του δικτύου μου , το αποφεύγω βάζοντας DMZ την wan ip του router 1 στο modem και έτσι κάνω μόνο μια φορά port forwarding στο interface του router 1. Αν θέλει να ανοίξει θύρες κάποιο host στο 192.168.2.0/24 δίκτυο, εκεί θέλει διπλή καταχώρηση αναγκαστικά.

Αυτό που ήθελες να πετύχεις το πέτυχες.
Σίγουρα όπως είπαν και προηγουμένως υπήρχαν "καλύτεροι" τρόποι.
Όσο όμως υπάρχει DMZ στο router 1 δεν θα μπορέσεις ποτέ να ανοίξεις πόρτα στο 192.168.2.0/24.