Forum Ljud, bild och kommunikation Nätverk och uppkoppling Tråd Inlägg

Önskar lite hjälp med uppsättning av vlan

1
Skriv svar
Permalänk
Medlem

Önskar lite hjälp med uppsättning av vlan

Hej,

Jag är inte särskilt het på nätverk, kan en del men har sällan behövt göra något mer avancerat än vanliga hemmanätverk med allt på ett subnät. Jag håller på att öka säkerheten hemma via segmentering av nätverket och har kommit till en punkt där jag behöver sätta upp ett eller flera vlan.

Min gamla router är en asus ac58u som kör openwrt. Den har dock inget (bra) stöd för vlan. Därför har jag införskaffat en Edgerouter X som nu ligger framför asus routern. Asus routern agerar access punkt för wifi. Jag låter den även hantera ett gäst/iot nätverk.

Vad jag vill åstadkomma:

Jag har en raspberry pi som jag vill exponera mot internet samtidigt som jag håller den isolerad från mitt lan. För närvarande är det web som är intressant så port 80/443. Jag vill kunna ansluta med ssh från mitt lan men all annan trafik ska droppas. Min tanke är att sätta upp ett dedikerat vlan för raspberryn och en brandväggsregel som öppnar ssh från lan.

Frågor

Just vlan är jag väldigt osäker på. Räcker det med att jag skapar upp ett vlan för min raspberry server eller behöver jag också ett vlan för mitt LAN?

Blir heller inte riktigt klok på ifall trafiken ska vara taggad eller inte.

Har försökt rita upp min topologi i paint nedan:

Senast redigerat
Visa signatur

| Ryzen 5800x | Asus prime x470 pro | Asus rtx 3080 tuf oc | Gskill 32gb 3,6ghz | aw3225qf |

Redigera
Citera flera Citera
Permalänk
Medlem

Vlan är inte då knepigt börja med att skapa interface i din router ex vlan 10 192.168.10.1 vlan 20 192.168.20.1 etc, sen i din switch skapar du vlanen utan interface (om du har en sån) du skickar trafiken Till switchen taggat i en sk trunk. Sen kan man ha access portar på det specifika vlanet dvs untagged, annars måste enheten du kopplar in tagga av trafiken, går köra så med men då måste du i din ex raspberry confa att den kör på vlan 20 ex. Man gör så om du ex kör en server med virtuella maskiner på olika nät, då taggar man av trafiken i sin hypervisor.

Redigera
Citera flera Citera
Permalänk
Medlem

Har du ingen switch så kör alla portar otaggat

https://www.dummies.com/programming/networking/cisco/how-virt...

Redigera
Citera flera Citera
Permalänk
Medlem

Det du är ute efter brukar kallas för DMZ.
Detta är eget nätverk som har en begränsad åtkomlighet utifrån och ingen åtkomst till LAN.
Så om någon knäcker en enhet på DMZ så är fortfarande de interna nätverket skyddat.
Finns ett flertal guider om hur man sätter upp DMZ på Edgerouter X.
Något VLAN behövs inte.

Visa signatur

Klient: AMD 7 5800X | ASUS X570-F | 32GB 3200MHz | Corsair RM850 | Gigabyte 3070 | Phanteks P500A | Samsung 980 PRO
HTPC: Intel I7 4770T | 16 GB 1600 | FC8 EVO | Gigabyte GA-H87N-WIFI | Samsung 840 250GB
Server: Intel XEON E5620 x 2| ASUS Z8PE-D18 | 96GB 1333MHz | Corsair AX 1200W | HAF 932 | WD Black 2TB
Nätverk: Telia F@st| Unifi AC Lite/Pro/LR/Nano/Mesh/U6-LR/U6+/U6-Lite | Nighthawk M1 | pfSense | TP-Link TL-WPA8630KIT | Ubiquiti NanoStation M5 | UniFi Switch 8-150W

Redigera
Citera flera Citera
Permalänk
Medlem

Tack för svaren, blir antagligen att jag pillar mer med det här till helgen

Visa signatur

| Ryzen 5800x | Asus prime x470 pro | Asus rtx 3080 tuf oc | Gskill 32gb 3,6ghz | aw3225qf |

Redigera
Citera flera Citera
Permalänk
Medlem

Har dålig koll på vilka edgeroutrar som har switch. Men du behöver inte helt säkert blanda in vlan om du inte vill ha en switch. Du kan sätta ett nät per port på edgeroutern. Eller skapa vlan och peka det på en specifik port

Redigera
Citera flera Citera
Permalänk
Medlem

Ah, den här modellen (X) har en inbyggd switch

Visa signatur

| Ryzen 5800x | Asus prime x470 pro | Asus rtx 3080 tuf oc | Gskill 32gb 3,6ghz | aw3225qf |

Redigera
Citera flera Citera
Permalänk
Protectera AB

Sätt upp eth1 - eth3 så att de ingår i switch 0. Lägg till två VLAN men adresser 192.168.1.x, 192.168.2.x
Eth4 sätter du ytterligare en adressrange, exempelvis 192.168.3.1/24

Om jag fattar bilden rätt så vill du köra flera nät i Asus switch/accesspunkten. Då är första fråga. Om den klarar flera VLAN. Om ja, då behöver du tagga trafiken till den. I edgerouter x så lägger du vlan id x, vlan id y i vid fältet under switch 0 interface.

Sedan behöver du sätta upp brandväggsregler som begränsar åtkomst mellan näten och ger tillstånd att köra ssh till raspberryn.

Under port forward öppnar du port 80 och 443 mot den ip som du har i raspberryn. Lycka till!

Visa signatur

protectera.se

Redigera
Citera flera Citera
Permalänk
Medlem

Tackar för alla svar. Jag tror mig ha löst problemet tillsvidare. Valde att koppla loss eth4 från switchen och satte upp brandväggsregler för att begränsa trafik mellan subnäten. Jag tror och hoppas att jag fått till brandväggsreglerna någorlunda korrekt.

Satte kort upp följande regler.

ETH4/IN: 
Policy Accept.
1: Tillåt Established och related state anslutningar //för t.ex. ssh trafik
2: Droppa trafik till 192.168.0.0/16

ETH4/Local:
Policy Drop //blocka administration av routern

ETH4/OUT:
Policy Drop
1. Tillåt Established och related state anslutningar //oklart ifall detta faktiskt behövs
2. Tillåt tcp trafik på port 22 och 80 från 192.168.1.0/24

Iot nätverket var kanske lite onödig information, den delen är klar sen tidigare - låter asus routern hantera hela det subnätet med sin egen brandvägg själv eftersom den saknar stöd för vlan.

Visa signatur

| Ryzen 5800x | Asus prime x470 pro | Asus rtx 3080 tuf oc | Gskill 32gb 3,6ghz | aw3225qf |

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara