Zapojení (zabezpečení) domácí sítě - jak na to?

Ahoj Hoste,

osobně bych to řešil následovně:

1. DSL router: přepnout do bridge
2. router zvolit něco inteligentního, co podporuje VLANy (optimálně Mikrotik, fungovat bude ale i DD-WRT, i když ne tak efektně). Svůj PC (a případně další počítače kterým věříš) strčíš do jedné VLANy, zbytek do další VLANy a na routeru si nastavíš pravidla routingu jak potřebuješ (klidně tak, že ty do druhé VLANy uvidíš, ale opačně to nepůjde)
3. routovací tabulku v MKT i DSL routeru upravíš tak, aby síť 10.0.0.0/24 (tj. síť DSL routeru) byla "vidět" jen v tvé VLAN (tj. na WAN port si pověsíš i IP alias pro síť 10.0.0.0/24)

Kdyby ses rozhodnul pro toto řešení, klidně dej vědět, upřesníme to.

edit: nějak takto:

Ahoj touchwoode, díky za odpověď, na tvoji radu jsem při psaní dotazu spoléhal.
Nicméně tvoje řešení je pro mě moc profesionální, navíc nutnost koupě nového routeru, resp. bych musel přeflashovat firmware (k dispozici mám TP-Link TL-WR1042ND). Asi zkusím nějakou jednodušší variantu, i za cenu nižšího zabezpečení a komfortu.

Nie je to profesionalne riesenie, je to vlastne jedine spravne. Na oddelenie 2 sieti na routri navyse netreba ziadne vlany.
Kup RB941, nastavime ti to na dialku ked bude treba,
CIze ako pisal tw, modem do rezimu bridge za nim vytacna spojenie RB941, staci ma dve siete (napriklad 192.168.0.0/24 a 192.168.1.0/24), kde jedna je tvoja a druha tych ostatnych. Potom spravis jedno pravidlo, kde zakazes forward zo site 1.0/24 do 0.0/24 a tym zamedzis akymkolvek pokusom naburat sa ti do siete.
Takto o robim ja u zakaznikov uz roky a funguje.
Ak chcu wifi, spravis pre nich virtualnu wlan ak im dociahne signal z toho RB941.

jen technická: problém dvousítě bez oddělení vlanami je ten, že stačí, aby přišel nějaký filuta s packet snifferem a "očichal si" síť, ve které uvidí pakety a broadcasty té soukromé sítě. A nic mu nezabrání nastavit si tuto síť ručně a tím se do ní dostat. Ano - za předpokladu, že se jedná o počítačové začátečníky, je takové nebezpečí malé, ale tak jako tak jde o klasický případ security by obscurity, kde se počítá s neznalostí potenciálního útočníka. A to je už jen malý kousek k hrubému podcenění jeho schopností.

edit: ono technicky vzato ani VLAN nejsou úplně neprůstřelné, ale tam je to už i o fyzické security portů switche, případně o hluboké znalosti ethernetu.

Doma mám wifi VLAN takto:

Snad to stačí. Hosté (s IP 192.168.5.*) do domácí 192.168.880/24 nemají přístup.

Wifi (i s domácí LAN) mám defaultně vypnuto, zapínám jen v případě potřeby. A wifi VLAN pro hosty je vyloženě pro případy, když klient s notebú potřebuje u mě na net. Kabelem nikoho k sobě (do 192.168.88.*) nepustím.

Co takto? Vím, není to úplně dokonalé neprůstřelné řešení, ale pro mě nejschůdnější a nejdostupnější.

Modem v rezimu bridge, za ním jeden router, ze ktereho to pujde do obou domu.
Nastavis si 2 rozsahy siti, jeden pro sebe, druhy pro ostatni.
Tvuj rozsah to bude pridelovat na zaklade treba MAC adres. Tim budes uplne oddeleny od ostatnich.
Pokud budes potrebovat WiFi pro sebe, tak jen AP - na to ti staci Mikrotik za 500,-

není to úplně dokonalé neprůstřelné řešení

ale je, ma dve chyby:

1. pokud bude nejakej z uzivatelu cizich PC stahovac a pojede torrent a na ADSL modemu nepujde rozumne nastavit QoS, tak potrebujes dalsi router mezi adsl modem a switch.

2. tve dve PC na sebe neuvidi

---
dalsi reseni je ten druhej kabel mezi barakama kteremu se chces vyhnout a za ADSL modem dva routery jeden pro tve dva pocitace a druhej pro cizi

no a pak uz zbyva jen ty navrhovany VLANy. nic dalsiho uz se vymyslet neda.

Díky za reakci.

1. stahovač (zatím) naštěstí v síti není, kdyžtak bych to vyřešil osobní domluvou. Případně by snad mělo stačit nastavení toho QoS na ADSL modemu. To bych pak musel vyzkoušet, až by ta situace nastala.

2. aby moje dvě PC na sebe viděly, není vyloženě podmínka, i když samozřejmě bych to uvítal.

Předpokládám, že to, že "cizí PC" na sebe budou vidět, nevadí. Nebo je to naopak nutnou podmínkou, aby na sebe viděli?

Ta cizi PC (jak jsem pochopil) jsou byty v najemnim dome. Je jejich vec, jak si to zabezpeci, jestli si tam daji vlastni router apod.
Takze videt na sebe nemusi.

Je jejich vec, jak si to zabezpeci

To je právě tenký led spekulací - nevím, zda jsou nějaké smlouvy s nimi a jak znějí, jestli třeba nečekají aspoň elementární zajištění, "aby k nim nikdo nemohl", což bych třeba já osobně očekával od svého providera (že se sichruju i na mé straně mým routerem je už jiná věc).

Ani videnie chapane ako sluzba zdielania podla Microsoftu nemusi byt prekazkou. Vidiet sa mozu, ovsem pripojit sa je nieco ine. Museli by vediet heslo. Ak by to bolo tak ako pred r.1989 kedy boli vidiet pocitace so zapnutou sluzbou zdielania aj v Chicagu bolo by to horsie.

Je to tak, jak píše Jan Fiala - jedná se o přípojky nájemníků, vidět na sebe nemusí a případné další zabezpečení je na nich. Smlouvy s nimi žádné nemám, jen ústní dohodu.

Tak jste mě teda ukecali (díky všem co poradili), může to být takto? Konfiguraci Mikrotiku bych následně svěřil flegwoodovi.

A router Mikrotik mám objednat tento?
https://www.czc.cz/mikrotik-routerboard-rb941-2nd- tc-hap-lite/178874/produkt

To budes mat tazke, ja som zastanca blokovania forwardu na fw, tw ti tam chcel tlacit vlany silou mocou;o).

Ja bych začal řešením na obrázku nahoře. Druhý router a VLany se tam dají dodělat v případě potřeby kdykoliv, pokud by se ukázalo, že je to opravdu třeba.

Mikrotik objednán, až mi přijde, použiju řešení s tím nastavením dvou rozsahů sítě. Pak dám vědět, jak (jestli) to funguje. Zatím všem díky.