Ασφαλής διαμοιρασμός σύνδεσης Internet (vlans, L3 switch)

[macovet]

Θέλω να δώσω από τη σύνδεσή μου internet (VDSL) στον ανιψιό μου που είναι στο δίπλα κτίριο. Η απόσταση γύρω στα 80m, θα ενώσω τους δύο χώρους με UTP/FTP (ή οπτική; ).
ΑΠΑΡΑΙΤΗΤΗ προϋπόθεση όμως είναι να προστατέψω το δικό μου δίκτυο και τις συσκευές μου, από τη χρήση του ανεψιού (και της παρέας του) μια και προβλέπω τον κωδικό του wifi του ανεψιού να τον παίρνει στο μέλλον αρκετός κόσμος.

Σκέφτομαι λοιπόν να κάνω ένα ξεχωριστό VLAN για τον ανεψιό και εξετάζω τους τρόπους.

Σενάριο 1το:
α) Στο ρούτερ της cosmote (SERCOM SPEEDPORT PLUS) συνδέω ένα managed L3 switch. ΠΧ Αυτό, ή αυτό.
Από μια vlan θύρα του switch φεύγει το καλώδιο (ή η οπτική; ) και καταλήγει στο διαμέρισμα του ανεψιού. β) Εκεί τερματίζει σε ένα φθηνό wireless access point (πχ ένα παλιό router του ΟΤΕ που διαθέτω που θα δουλεύει ως wireless access point; ) ή ένα φθηνό router/access point του εμπορίου. Τι λέτε, θα παίξει;

Σενάριο 2ρο:
Αντικαθιστώ το router της cosmote (θα το δουλεύω μόνο ως modem; ), με ένα νέο router που υποστηρίζει vlans (802.1q) (και SPF – >ΠΑΝΑΚΡΙΒΑ). To β) όπως πάνω, Ή μήπως πρέπει να το access point να υποστηρίζει και αυτό vlans;

[K1m0n]

Η απόσταση γύρω στα 80m, θα ενώσω τους δύο χώρους με UTP/FTP (ή οπτική; ).

Μέχρι 100m πάει το eth (βάση του spec του, και αν είναι ok απο καλώδιο/τερματισμό).
Αν έχεις 80m cable run θάναι ok, αν έχεις 100+ θες extenders,
ή βάζεις οπτική.
Αν θα είναι εκτεθειμένο/εναέριο βάζεις οπτική.

ΑΠΑΡΑΙΤΗΤΗ προϋπόθεση όμως είναι να προστατέψω το δικό μου δίκτυο και τις συσκευές μου, από τη χρήση του ανεψιού (και της παρέας του) μια και προβλέπω τον κωδικό του wifi του ανεψιού να τον παίρνει στο μέλλον αρκετός κόσμος.

Το βασικό ζήτημα δεν είναι πως θα χωρίσεις τα δίκτυα (αυτό είναι το ευκολάκι),
είναι ότι αν κάνουν τίποτα κακό ο ανιψιός σου ή/και οι φίλοι του, η δική σου ip φαίνεται,
εσύ θα είσαι υπόλογος, και αυτό δεν αλλάζει εύκολα
(θα μπορούσες ίσως να τους βγάλεις από ένα vpn, αλλά και θα πληρώνεις, και δεν είναι 100%).
Το πιο ασφαλές είναι να το αποφύγεις όλο αυτό και ο αγαπητός ανιψιός να κάνει την δική του σύνδεση.

Σκέφτομαι λοιπόν να κάνω ένα ξεχωριστό VLAN για τον ανεψιό και εξετάζω τους τρόπους.

Θες ένα ξεχωριστό network (όχι απαραίτητα vlan, αλλά εξυπηρετούν...) για τον ανιψιό,
+1 router με ικανά παραμετροποιήσιμο firewall ώστε να μην επικοινωνούν τα δίκτυα μεταξύ των.
Δοθέντος του παραπάνω, δεν κοιτάς σε soho, κοιτάς σε pro-summer ή σε diy.

Κοιτάς κάτι στην λύση 'β,
και στον ανιψιό βάζεις ένα router/ap κατά πως νομίζεις.
Αν στέλνεις vlan στον ανιψιό θα πρέπει και η άλλη πλευρά (το Ap/router) να υποστηρίζει vlans.

[macovet]

Το βασικό ζήτημα δεν είναι πως θα χωρίσεις τα δίκτυα (αυτό είναι το ευκολάκι),
είναι ότι αν κάνουν τίποτα κακό ο ανιψιός σου ή/και οι φίλοι του, η δική σου ip φαίνεται,

Αυτό που με απασχολεί είναι η προστασία του δικού μου δικτύου και των συσκευών του, ΘΕΛΩ ΝΑ ΜΗ ΦΑΙΝΕΤΑΙ ΤΙΠΟΤΑ ΑΠΟ ΤΗΝ ΠΛΕΥΡΑ ΤΟΥ ΑΝΕΨΙΟΥ.

Θες ένα ξεχωριστό network (όχι απαραίτητα vlan, αλλά εξυπηρετούν...) για τον ανιψιό

θα μπορούσες να μου δώσεις περισσότερες λεπτομέρειες;

+1 router με ικανά παραμετροποιήσιμο firewall ώστε να μην επικοινωνούν τα δίκτυα μεταξύ των.
Δοθέντος του παραπάνω, δεν κοιτάς σε soho, κοιτάς σε pro-summer ή σε diy.

Έχεις κάτι να προτείνεις;

Κοιτάς κάτι στην λύση 'β,

Δηλαδή το σενάριο 1 λες δεν παίζει (με ένα switch σαν αυτό https://www.skroutz.gr/s/47976615/Gr...FP-THyres.html)

- - - Updated - - -

Το βασικό ζήτημα δεν είναι πως θα χωρίσεις τα δίκτυα (αυτό είναι το ευκολάκι),

υπάρχει άλλος τρόπος να σετάρω μια πόρτα ethernet του speedport σε διαφορετικό subnet/dhtp μόνο για τον ανεψιό;

[K1m0n]

Αυτό που με απασχολεί είναι η προστασία του δικού μου δικτύου και των συσκευών του, ΘΕΛΩ ΝΑ ΜΗ ΦΑΙΝΕΤΑΙ ΤΙΠΟΤΑ ΑΠΟ ΤΗΝ ΠΛΕΥΡΑ ΤΟΥ ΑΝΕΨΙΟΥ.

Ok, εσύ ξέρεις.

Έχεις κάτι να προτείνεις;

Οτιδήποτε wrt-based, ή mtik, ή pf, ή ubnt, ή ότι.
Φτιάχνεις ένα ξεχωριστό δίκτυο για τον ανιψιό σου, τρέχεις dhcp στο interface,
κόβεις την επικοινωνία μεταξύ των 2 subnets με το firewall και έτοιμο.
Αν έχεις το /56 της cote στην wan του θα τους στείλεις και ένα /64 να έχουν ipv6.

Το κόστος δεν είναι απαραίτητα μεγάλο, το πως θα το ρυθμίσεις υποπτεύομαι ότι θα σου είναι πρόβλημα.
Το *πως* ακριβώς γίνονται αυτά στο x router, θα κοιτάξεις τα docs του.

Αν θες κάτι που να είναι consumer-oriented που να παίζει χωρίς να πρέπει να γίνεις network geek,
και να πάρει και την τηλεφωνία πάνω του, και να υποστηρίζεται και εκ' του isp,
θα μπορούσες να βάλεις ένα fritzbox και να συνδέσεις το eth που θα πάει στον ανιψιό στο guest.

Δηλαδή το σενάριο 1 λες δεν παίζει

1. δεν χρειάζεται να χρησιμοποιήσεις vlans (μπορείς να το κάνεις όμως).
2. τα 2 δίκτυα (το δικό σου lan και του ανιψιού) θα τα χωρίσεις στο router,
όχι στο switch.

[fadasma]

Να σου πω μια πιο απλή λύση που θα σε προστατεύσει περισσότερο;

Αγοράζεις ένα router για τον ανηψιο σου (ένα Huawei με WiFi 6 έχει 50-60€).
Στο ρουτερ αυτό φτιάχνεις μια σύνδεση PPPoE με το username και password το δικό σου που θα σου δώσει ο ΟΤΕ.
Συνδέεις το καλώδιο Ethernet σε μια πόρτα LAN του δικού σου speedport και ενεργοποιείς το PPPoE pass through.

Με τον παραπάνω τρόπο οχι μόνο απομονώνεις εντελώς το δίκτυο του ανιψιού σου αλλά επιπλέον θα παίρνει και δική του εξωτερική IP και αν τυχόν γίνει κάποια παρανομία, θα φαίνεται ότι έγινε από το δικό του δίκτυο.

[K1m0n]

Αγοράζεις ένα router για τον ανηψιο σου (ένα Huawei με WiFi 6 έχει 50-60€).
Στο ρουτερ αυτό φτιάχνεις μια σύνδεση PPPoE με το username και password το δικό σου που θα σου δώσει ο ΟΤΕ.
Συνδέεις το καλώδιο Ethernet σε μια πόρτα LAN του δικού σου speedport και ενεργοποιείς το PPPoE pass through.

Γίνεται μεν, και θα είναι όντως εντελώς ξεχωριστό, αλλά έχει 2 θεματάκια:
1. δεν είναι δεδομένο ότι η cosmote θα δίνει πάντα 2ό ppp session, και
2. δεν θα τρέχει κάπου qos/limiter, οπότε, δυνητικά, ο ανιψιός μπορεί να μονοπωλήσει την wan.

Κατά τα άλλα, ναι θα είναι 2 ξεχωριστά δίκτυα,
και ναι στήνεται εύκολα.

επιπλέον θα παίρνει και δική του εξωτερική IP και αν τυχόν γίνει κάποια παρανομία, θα φαίνεται ότι έγινε από το δικό του δίκτυο

Θα φαίνεται ότι έγινε απο αυτόν που έχει το όνομα του στο συμβόλαιο.
Αυτόν ξέρει ο isp, ξαδέρφια και θείοι του είναι αδιάφοροι.

[netblues]

Ας μπει με generic credentials να παιξει nat.
Οσο για το qos, και το μονοπωλειο, αυτα ειναι για geeks.