Zapojení (zabezpečení) domácí sítě - jak na to?

Na modem se dostanou vždycky, když data lezou přes něj.
Já bych tam asi dal dva routery a měl tak dvě oddělené sítě, které se navzájem nemůžou lehce ovlivňovat.

Já bych byl také pro dvě oddělené sítě a co nejlepší zabezpečení administrace modemu a obou routerů.

Můžeš se dát prosím jednoduché schéma nebo to podrobněji popsat? Děkuju.

Tím co nejlepším zabezpečením modemu a routerů máš na mysli co? Kromě dostatečně silného hesla do administrace ještě něco?

Jak to nakreslil "Wikan"
ADSL modem
== router síť 1.
== router síť 2.
Některé routery umožňují ssl šifrovanou webovou komunikaci a zákaz administrace přes WiFi.

Díky za odpověď.

Měl jsem na mysli, aby se nemohli zkoušet dostat do administrace modemu nebo něco podobného. I když to bude samozřejmě zaheslováno.

Ty dva routery máš na mysli umístit kam?

Použití routeru nijak přístup do administrace modemu neomezí.
Myslel jsem to takhle:

MODEM---ROUTER_1---SIT_1
    |---ROUTER_2---SIT_2

Podsítím je potřeba přiřadit jiné adresní rozsahy než síti za modemem, aby to bylo za NATem.

Do administrace routeru se zkouset budou dostat urcite. Ale slusny router umozni administraci jen z urcite adresy nebo MAC adresy. Jine tam nepusti. Takze tohle bych nastavil jako dodatecnou ochranu. Pripadne si muzes zmenit port pro administraci...

Ti uživatelé jsou amatéři, kteří ani netuší, že router nějakou administraci má. Ale nechci na to spoléhat a podceňovat to.

Na to omezení IP adresy nebo MAC adresy se podívám a kdyžtak nastavím. Díky za radu.

To, ze jsou to amateri, neznamena, ze tam neprijde nekoho kamarad s hlubsimi znalostmi. Uz jen treba kvuli tomu, ze jeho kamaradovi nejedou online hry.

Ano, v tom s tebou určitě souhlasím, nechci připojené uživatele podceňovat a spoléhat na jejich neznalost. Radši vsadím na jistotu.

Zabezpečiť chceš konkrétne čo? Aby sa "cizí" nedostali kam? Na Tvoje PC?

No ano, na mé PC by se dostat neměli, nepotřebuji sdílet žádná data, ale to můžu nastavit přímo na PC. I když určitě by bylo lepší to přímo určit zapojením sítě.
Doma mám wifi router, to na obrázku nakreslené není, takže tím by to mělo být vyřešené?

Tím zabezpečením jsem měl na mysli, aby tam nebyla nějaká bezpečnostní díra, přeci jenom, jedná se o cizí lidí připojené v mé síti a nemůžu vědět, co je napadne....

Cudzích nechaj tak ako sú (switch priamo do modemu...) seba oddeľ routrom (v dome na pravo bude pripojený do switchu), ak chceš mať kľud potom Ti treba router aj v dome naľavo... Prípadne jeden router, ale ťahať kábel - tak oddelíš "fyzicky" siete...

proti zbytečným pokusům userů bych to udělal takto:

1.barák                  2.barák

ADSL-MODEM-ROUTER--------switch----wifi-ROUTER_2---SIT_2 pro cizí
 \--1.moje                \--SIT_1--2.moje

ve tvé síti budeš mít pracovní síť nebo homegroup, to je jedno.

Router má své pro i proti.
Pokud budeš mít router, budeš mít možnost si odřídit stahovače, kteří sežerou pásmo ostatním. Ale zase budou po tobě chtít přesměrování portů a další věci.
Pokud nebudeš mít souter (tak, jak jsi to měl doteď), pak je zabezpečení na jednotlivých lidech, ale nemáš možnost řídit provoz v síti.

Ti cizí uživatelé jsou naštěstí obyčejní useři, kteří používají internet k běžnému prohlížení stránek a čtení malů, takže (zatím) nemusím řešit nějaké stahovačew nebo přesměrování portů.

Modem by měl umět QoS, takže na tot router není potřeba.
zyxel-vmg1312-b-d2122159.htm

QOS ti nepomuze v okamziku, kdy ti tam nekdo rozjede torrent. Na to potrebujes router, ktery omezi rychlost treba po prekroceni urciteho objemu nebo omezi pocet soucasnych pripojeni apod.

Aha, já myslel, že QoS funguje na stejném principu u modemu i u routeru. Ale jak jsem psal, zatím jsem nějaké stahovače naštěstí řešit nemusel, takže teď mi jde hlavně o to zabezpečení sítě.

Router vidiet byt moze, to nieje ziadny problem. Podstatne je nastavovat ten router cez zabezpeceny kanal (https, ssh).

Ahoj Hoste,

osobně bych to řešil následovně:

1. DSL router: přepnout do bridge
2. router zvolit něco inteligentního, co podporuje VLANy (optimálně Mikrotik, fungovat bude ale i DD-WRT, i když ne tak efektně). Svůj PC (a případně další počítače kterým věříš) strčíš do jedné VLANy, zbytek do další VLANy a na routeru si nastavíš pravidla routingu jak potřebuješ (klidně tak, že ty do druhé VLANy uvidíš, ale opačně to nepůjde)
3. routovací tabulku v MKT i DSL routeru upravíš tak, aby síť 10.0.0.0/24 (tj. síť DSL routeru) byla "vidět" jen v tvé VLAN (tj. na WAN port si pověsíš i IP alias pro síť 10.0.0.0/24)

Kdyby ses rozhodnul pro toto řešení, klidně dej vědět, upřesníme to.

edit: nějak takto:

Ahoj touchwoode, díky za odpověď, na tvoji radu jsem při psaní dotazu spoléhal.
Nicméně tvoje řešení je pro mě moc profesionální, navíc nutnost koupě nového routeru, resp. bych musel přeflashovat firmware (k dispozici mám TP-Link TL-WR1042ND). Asi zkusím nějakou jednodušší variantu, i za cenu nižšího zabezpečení a komfortu.

kdyby ses chtěl vyblbnout, ty vlany tu s mikrotikem popisoval jafi.

druhou "návštěvní síť" umí i leckteré domácí značky, teddy kromě levného tplinku. ale je možné, že to bývá vyhrazeno wifi, kdežto ty tam máš natažený kabel.

s prvním adsl, stávajícím switchem a druhým wr1042 by to šlo zapojit i tak, jak jsem to namaloval. jen to samo neošetří stav, když se cizák připojí přímo do switche.

Články o MikroTiku sleduju, ale nemám takové ambice strávit celý den konfigurací a čtením dokumentace...

Switch je na půdě v uzamčeném "racku", takže aby se někdo napojil přímo do něho je vyloučené.

Nie je to profesionalne riesenie, je to vlastne jedine spravne. Na oddelenie 2 sieti na routri navyse netreba ziadne vlany.
Kup RB941, nastavime ti to na dialku ked bude treba,
CIze ako pisal tw, modem do rezimu bridge za nim vytacna spojenie RB941, staci ma dve siete (napriklad 192.168.0.0/24 a 192.168.1.0/24), kde jedna je tvoja a druha tych ostatnych. Potom spravis jedno pravidlo, kde zakazes forward zo site 1.0/24 do 0.0/24 a tym zamedzis akymkolvek pokusom naburat sa ti do siete.
Takto o robim ja u zakaznikov uz roky a funguje.
Ak chcu wifi, spravis pre nich virtualnu wlan ak im dociahne signal z toho RB941.

Díky za obsáhlou odpověď, vím, že máš pravdu, přesto jsem nepoučitelný (čti konzervativní) a rád bych se vyhnul nákupu nového routeru a být závislý na někom, aby mi to nastavil.

jen technická: problém dvousítě bez oddělení vlanami je ten, že stačí, aby přišel nějaký filuta s packet snifferem a "očichal si" síť, ve které uvidí pakety a broadcasty té soukromé sítě. A nic mu nezabrání nastavit si tuto síť ručně a tím se do ní dostat. Ano - za předpokladu, že se jedná o počítačové začátečníky, je takové nebezpečí malé, ale tak jako tak jde o klasický případ security by obscurity, kde se počítá s neznalostí potenciálního útočníka. A to je už jen malý kousek k hrubému podcenění jeho schopností.

edit: ono technicky vzato ani VLAN nejsou úplně neprůstřelné, ale tam je to už i o fyzické security portů switche, případně o hluboké znalosti ethernetu.

Doma mám wifi VLAN takto:

Snad to stačí. Hosté (s IP 192.168.5.*) do domácí 192.168.880/24 nemají přístup.

Wifi (i s domácí LAN) mám defaultně vypnuto, zapínám jen v případě potřeby. A wifi VLAN pro hosty je vyloženě pro případy, když klient s notebú potřebuje u mě na net. Kabelem nikoho k sobě (do 192.168.88.*) nepustím.

Co takto? Vím, není to úplně dokonalé neprůstřelné řešení, ale pro mě nejschůdnější a nejdostupnější.

kapku přerouterováno (3x).
zatímco já bych oddělil routerem cizáky, ty úspěšně a beznadějně odděluješ sebe.
ten rb941 za pár stovek je pěkné řešení, ty plánuješ asi 2-3x dražší.

čo kdyby jsi ten router pred moje PC v dome 2 plasnul tak že zo swithu pujde priamo do tvojho PC + do routera a z routera do všech cizích?

Modem v rezimu bridge, za ním jeden router, ze ktereho to pujde do obou domu.
Nastavis si 2 rozsahy siti, jeden pro sebe, druhy pro ostatni.
Tvuj rozsah to bude pridelovat na zaklade treba MAC adres. Tim budes uplne oddeleny od ostatnich.
Pokud budes potrebovat WiFi pro sebe, tak jen AP - na to ti staci Mikrotik za 500,-

není to úplně dokonalé neprůstřelné řešení

ale je, ma dve chyby:

1. pokud bude nejakej z uzivatelu cizich PC stahovac a pojede torrent a na ADSL modemu nepujde rozumne nastavit QoS, tak potrebujes dalsi router mezi adsl modem a switch.

2. tve dve PC na sebe neuvidi

---
dalsi reseni je ten druhej kabel mezi barakama kteremu se chces vyhnout a za ADSL modem dva routery jeden pro tve dva pocitace a druhej pro cizi

no a pak uz zbyva jen ty navrhovany VLANy. nic dalsiho uz se vymyslet neda.

Díky za reakci.

1. stahovač (zatím) naštěstí v síti není, kdyžtak bych to vyřešil osobní domluvou. Případně by snad mělo stačit nastavení toho QoS na ADSL modemu. To bych pak musel vyzkoušet, až by ta situace nastala.

2. aby moje dvě PC na sebe viděly, není vyloženě podmínka, i když samozřejmě bych to uvítal.

Předpokládám, že to, že "cizí PC" na sebe budou vidět, nevadí. Nebo je to naopak nutnou podmínkou, aby na sebe viděli?

Ta cizi PC (jak jsem pochopil) jsou byty v najemnim dome. Je jejich vec, jak si to zabezpeci, jestli si tam daji vlastni router apod.
Takze videt na sebe nemusi.

Je jejich vec, jak si to zabezpeci

To je právě tenký led spekulací - nevím, zda jsou nějaké smlouvy s nimi a jak znějí, jestli třeba nečekají aspoň elementární zajištění, "aby k nim nikdo nemohl", což bych třeba já osobně očekával od svého providera (že se sichruju i na mé straně mým routerem je už jiná věc).

Ani videnie chapane ako sluzba zdielania podla Microsoftu nemusi byt prekazkou. Vidiet sa mozu, ovsem pripojit sa je nieco ine. Museli by vediet heslo. Ak by to bolo tak ako pred r.1989 kedy boli vidiet pocitace so zapnutou sluzbou zdielania aj v Chicagu bolo by to horsie.

Je to tak, jak píše Jan Fiala - jedná se o přípojky nájemníků, vidět na sebe nemusí a případné další zabezpečení je na nich. Smlouvy s nimi žádné nemám, jen ústní dohodu.

Tak jste mě teda ukecali (díky všem co poradili), může to být takto? Konfiguraci Mikrotiku bych následně svěřil flegwoodovi.

A router Mikrotik mám objednat tento?
https://www.czc.cz/mikrotik-routerboard-rb941-2nd- tc-hap-lite/178874/produkt

To budes mat tazke, ja som zastanca blokovania forwardu na fw, tw ti tam chcel tlacit vlany silou mocou;o).

Ja bych začal řešením na obrázku nahoře. Druhý router a VLany se tam dají dodělat v případě potřeby kdykoliv, pokud by se ukázalo, že je to opravdu třeba.

Mikrotik objednán, až mi přijde, použiju řešení s tím nastavením dvou rozsahů sítě. Pak dám vědět, jak (jestli) to funguje. Zatím všem díky.