Jak podzielic siec? Dwa Access Pointy?

IP: *.hlrn.qwest.net 06.04.14, 00:13
Witam,

Potrzebuje pozdzielic siec i dodac drugiego access pointa. Po co? Czesc urzadzen ktore mam (np. kamery IP, alarm etc.) korzystaja z autoryzacji WAP. Dzielac siec, chcialbym zachowac bezpieczenstwo, zatem urzadzenia ktora sa dla mnie wazne (np. urzadzenia NAS), wszystkie komputery (za wyjatkiem serwera obslugujacego kamery) umiescilbym w sieci A, natomiast kamery i alarm umiesciblym w sieci B.
Do tego dochodza reguly. Z sieci B nie mozna polaczyc sie do sieci A, z sieci A mozna polaczyc sie do sieci B. W sieci B tylko zdefiniowane urzadzenia moga polaczyc sie z internetem. Siec A ma byc niedostepna z internetu, natomiast siec B moze.

W jaki sposob najprosciej to osiagnac? Mam w tej chwili kilka routerow z access pointami; otwarty jestem na zakup nowego sprzetu.

Pozdrawiam,
Jacek
    • hohmann_transfer Re: Jak podzielic siec? Dwa Access Pointy? 06.04.14, 08:22
      Podziel na 2 vlany.
    • wariant_b Re: Jak podzielic siec? Dwa Access Pointy? 06.04.14, 10:07
      Nie wiem, czy dobrze zrozumiałem:
      część urządzeń sieciowych korzysta ze starszych zabezpieczeń WEP lub WPA,
      możliwych do podsłuchu i włamania, a nie ma możliwości ich kablowego podłączenia.
      Rozumiem, że elementarne zabezpieczenie przez filtrowanie MAC jest stosowane.
      Natomiast reszta, w tym komputery i NAS, oparte o WPA2 są na dziś bezpieczne.
      Nadto kamery i alarmy powinny być dostępne bezpośrednio z Internetu,
      natomiast reszta oczywiście nie - połączenie musi być inicjowane od wewnątrz.

      Rozumiem, że żaden z routerów nie posiada zaawansowanych możliwości
      umożliwiających skonfigurowanie takiej konfiguracji np. przez obsługę wielu
      sieci WiFi i pełną obsługę DMZ. Czyli mamy typowe routerki domowe.

      W tej sytuacji chyba trzeba będzie wykorzystać dodatkowy router z WiFi
      skonfigurowany pod starsze urządzenia. Stworzy to dodatkową sieć IP (sieć B).
      Najlepiej byłoby ustalić niezbędne porty urządzeń (serwer kamer i alarmy)
      i przekierować je na adresy zewnętrzne (czyli adres WAN w sieci A) i wyłączyć
      pozostały ruch. Na routerze głównym jeszcze raz skorzystać z port forwardingu
      i znowu przekierować wybrane adresy portów (z IP WAN B) na adres zewnętrzny.

      Bardzo dużo zależy od możliwości konfiguracyjnych routerów i samych urządzeń
      z sieci B. Gdybyś podał modele byłoby prościej ustalić, co i jak da się skonfigurować.
      • Gość: Jacek Re: Jak podzielic siec? Dwa Access Pointy? IP: *.hlrn.qwest.net 06.04.14, 17:05
        >Nie wiem, czy dobrze zrozumiałem:
        >część urządzeń sieciowych korzysta ze starszych zabezpieczeń WEP lub WPA,
        >możliwych do podsłuchu i włamania, a nie ma możliwości ich kablowego podłączenia.

        Dokladnie.

        > Rozumiem, że elementarne zabezpieczenie przez filtrowanie MAC jest stosowane.

        Nie pomyslalem o tym. Warte dodania.

        > Natomiast reszta, w tym komputery i NAS, oparte o WPA2 są na dziś bezpieczne.
        > Nadto kamery i alarmy powinny być dostępne bezpośrednio z Internetu,
        > natomiast reszta oczywiście nie - połączenie musi być inicjowane od wewnątrz.

        Dochodza do tego dwie kwestie. Po pierwsze, ruch generowany przez kamery i serwer je obslugujacy jest bardzo duzy. Po wtore, QoS dla polaczen VOIP.

        > Rozumiem, że żaden z routerów nie posiada zaawansowanych możliwości
        > umożliwiających skonfigurowanie takiej konfiguracji np. przez obsługę wielu
        > sieci WiFi i pełną obsługę DMZ. Czyli mamy typowe routerki domowe.

        Dokladnie tak. DMZ ograniczona jest do dodania jednego adresu IP. Ponadto router (Actiontec Q1000) jest modemem od providera wiec nie moge go zastapic.

        > W tej sytuacji chyba trzeba będzie wykorzystać dodatkowy router z WiFi
        > skonfigurowany pod starsze urządzenia. Stworzy to dodatkową sieć IP (sieć B).
        > Najlepiej byłoby ustalić niezbędne porty urządzeń (serwer kamer i alarmy)

        czyli bedziemy miec dwie sieci

        -> router /ap 192.168.0.1 255.255.255.0 --> router/ap 192.168.0.254 192.168.1.1 255.255.255.0

        > i przekierować je na adresy zewnętrzne (czyli adres WAN w sieci A) i wyłączyć
        > pozostały ruch. Na routerze głównym jeszcze raz skorzystać z port forwardingu
        > i znowu przekierować wybrane adresy portów (z IP WAN B) na adres zewnętrzny.

        > Bardzo dużo zależy od możliwości konfiguracyjnych routerów i samych urządzeń
        > z sieci B. Gdybyś podał modele byłoby prościej ustalić, co i jak da się skonfigurować.

        Modem glowny / access point Actiontec Q1000
        Drugi router / access point - otwarty jestem na propozycje. Cena, o ile w granicach rozsadku, nie ma znaczenia.

        Pozdawiam,
        Jacek
        • wariant_b Re: Jak podzielic siec? Dwa Access Pointy? 06.04.14, 20:36
          Gość portalu: Jacek napisał(a):
          > Ponadto router (Actiontec Q1000) jest modemem od providera wiec...

          Więc jeśli możesz nim zarządzać, to jeszcze wszystko jest OK.
          Ale jeśli zarządzany jest przez ISP - to cała zabawa będzie mało skuteczna.
          Nie wystawisz w prosty sposób serwera kamer na świat, czyli będąc poza
          domem nie będziesz miał możliwości kontroli kamer.

          > -> router /ap 192.168.0.1 255.255.255.0 --> router/ap 192.168.0.254
          > 192.168.1.1 255.255.255.0

          No właśnie - na przykład tak. Teraz kamery będą w innej sieci i nie będą
          bezpośrednio zapychały swoją komunikacją sieci domowej 192.168.0.x
          Oczywiście odstęp między kanałami WiFi powinien być możliwie duży.

          > Dochodza do tego dwie kwestie. Po pierwsze, ruch generowany przez kamery
          > i serwer je obslugujacy jest bardzo duzy. Po wtore, QoS dla polaczen VOIP.

          Ruch zostanie odizolowany i ograniczony do bieżącego podglądu kamer.
          Rejestracja nagrań nie będzie wychodziła do sieci domowej, bo i po co.
          A VoIP czemu wpychasz do sieci B? Jeśli rozumiem, wszystkie odbiorniki są w A.

          Powiedzmy, że serwer kamer jest dostępny przez port https 443 i ma adres
          192.168.1.200 w sieci B. Na routerze przekierowujesz port 443 z 192.168.1.200
          na port zewnętrzny 443 na adresie WAN (czyli jak w przykładzie 192.168.0.254)
          i możesz oglądać stronę serwera kamer pod adresem 192.168.0.254
          Podobny zabieg na routerze Acionteca i świat może oglądać twoje widoki
          z kamer (być może trzeba będzie skorzystać z DynaDNS, jeśli adres zewnętrzny
          jest zmienny) i tylko tyle, bo inne porty serwera nie są dostępne dla świata.

          > Modem glowny / access point Actiontec Q1000

          Jeśli masz gdzieś link do manuala, to podrzuć albo wystaw plik.
          Jakoś nie mogę trafić na dokumentację tego routera.
    • Gość: internauta Re: Jak podzielic siec? Dwa Access Pointy? IP: *.173.61.184.tesatnet.pl 06.04.14, 16:44
      Zainteresuj się produktami TPLinka, które pozwalają założyć 4 sieci (SIID), dla których z osobna można ustawić zabezpieczenia, dostępy ...
      • Gość: Jacek Re: Jak podzielic siec? Dwa Access Pointy? IP: *.hlrn.qwest.net 06.04.14, 17:12
        Ktory model na przyklad? Patrzylem a instrukcje do TP-Link N600 TL-WDR3600 i wyglada na to ze oblsuguje tyko 1 SSID.
        • hohmann_transfer Re: Jak podzielic siec? Dwa Access Pointy? 06.04.14, 20:19
          Możesz użyć alternatywnego firmware do routerów - dd-wrt

          www.dd-wrt.com/wiki/index.php/Polski_DD-WRT_%28PL%29
          Nie używałem tego osobiście ale według opisów daje możliwości jak multiple ssid,vlan etc

          tu masz listę urządzeń obsługiwanych przez ten firmware -
          www.dd-wrt.com/wiki/index.php/Supported_Devices
        • wariant_b Re: Jak podzielic siec? Dwa Access Pointy? 06.04.14, 20:50
          Gość portalu: Jacek napisał(a):
          > Ktory model na przyklad?

          Z modelem na razie spokojnie - jeśli kamerki mają stare szyfrowanie, to i pewnie
          są w standardzie 802.11g - a wtedy lepiej sprawdzi się jakiś stary router z WiFi g.
          Routery będziesz łączył kablem ethernet, więc po WiFi nie będą się komunikować.
          Kluczowy jest router dostawcy, a tego zdaje się nie możesz wymienić.
          Inny router będzie konieczny, gdybyś chciał w domu przechodzić na 802.11a lub ac.
          Jeśli dostawca z vdsl po miedzi przejdzie np. na światłowód, wymieni ci router.

          Pisałeś, że masz już jakieś routery WiFi - do testów w zupełności wystarczą.
Pełna wersja