Povolení a blokace IP adres v LAN
Zdravím, jakým způsobem vyřešit blokaci IP adres v domácí síti? Mělo by to splňovat tyto podmínky:
1) Zařízení které se připojí do sítě nedostane od DHCP IPadresu pokud není uvedeno ve WhiteListu
2) IP adresa je blokována pro případ že by si loupežník nastavil pevnou IP a tak se připojil do sítě
Jak to nejlépe vyřešit? Existuje nějaký inteligentní Switch? Budu vybavovat Rackovou skříň a budu potřebovat asi 24 portů, v síti bude cca 50-100 zařízení.
Díky.
# Prvne bych tuto funkci|nastavení hledal v tvém "Ruteru", filtrování IP|MAC (Wireless MAC filter) adress kde povolené IP treba vyloucís, povolís..
* Zálezí od ruteru a jeho mozností, jako treba USE Filter..
"domácí síť" o takové velikosti je spíše firemní síť. A v tom případě bys měl implementovat firemní nástroje pro kontrolu sítě jako jsou VLANy, Radius, DHCP relay a DHCP snooping.
K tomu budeš potřebovat Smart L2 switch, jako např. HPE1920 (dobrý poměr výkon/cena).
Takže teoreticky něco takového by požadavky splňovalo: https://www.alza.cz/hp-1920-48g-d2650864.htm?catid =18853681
Ono by bolo dobre keby si skor napisal, na co to potrebujes.
Bod 1 je pomerne jasny, to sa da spravit na kazdom slusnom zariadeni.
Bod 2 je kontrverzny, ak si utocnik ukradne okrem ip aj mac, je pre router nerozoznatelny a toto vies spravit iba locknutim mac adries na konkretny port switchu, ale v tom pripade ti na 50-100 zariadeni nebude stacit jeden switch.
Alternativa k HP od tw je trosku lacnejsi Zyxel GS1920, vybavou su identicke (24+4SFP).
proto se používá Radius
To zase evokuje nutnost dalsieho servera.
žádná legrace není zadarmo.
Ona taky síťka o 100PC už není z nejmenších.
Netřeba. Dnesk jsem potkal jeden z větších QNAPů (cena kolem 20k) a je možné na něm pustit docker kontajnery. Radius v Dockeru a žádný další server netřeba.
A ten QNAP mi tam akoze niekto venuje;o)?
To si mozem hodit na siert nejaky microserver a spravit to na hocijakom linuxe radsej a bude ma to stat menej
Tak jde o to, že v sítí o 100 PC už nejspíš nějaké zařízení (server) bude.
Tie informacie su dost rozporuplne, podla popisu ide o domacu siet a zrazu tam ma byt 50-100 zariadeni.
Mne ten popis skor pripominal zadanie cinziakoveho ISP, ktory chce na jednu dslku pripojit 20 kamosov.
Alebo inak...50-100 ludi neznamena, ze budeme prepokladat, ze tam nejaky server bude;o).
Tak, ono se to má skoro tak jak píšeš. Jedná se o rodinný dům nadšeného přeháněče. Když už síť tak pořádná a čím víc kabelů a drahého zařízení tím budu šťastnější. :D Jedná se tedy o domácí síť která bude vybudována s firemní kvalitou a kvantitou. :)
Tak potom si to daj spravit aj niekomu kto sa tomu rozumie. Dufam, ze v racku bude aspon ako taky cable manazment, ze tam das patchpanel, ze si ku vsetkemu vyhotovis dokumentaciu.
Nemam vacsie nervy ako ked niekam pridem a hodinu sa tam plazim a skusam, kde ktory kabel ide a o co slo tomu predo mnou co to tu zapajal.
Btw ak su tie kamery neni lacne analogy, ale IP odporucam do racku nejaky PoE switch, aspon nemusis riesit napajaci zdroj ku kazdej kamere zvlast.
Rack si daj radsej vacsi, nikdy nevies co budes pridavat a nejake to ucko navyse ta nezabije...takze min 12U z mojej strany. A ak premyslas niekedy nad rackovym servermi zvol radsej aj prislusnu hlbku, aj ked rodinny dom by som riesil kludne mensimi desktopmi (microservre od HP a pod).
V klidu, zas tak levý nejsem, co se týče síťařiny tak jsem se už cosi patch panelů nacvakal a moje moto zní "aby to mělo nějakou štábní kultůru". Osobně taky nemám rád bordel v kabelech. Na škole (elektromechanik pro stroje a zařízení) když jsme dělali rozvaděče nás školili hlavně na estetiku a moje rozvaděče + ještě dvou ze třídy byli nejkrásnější. ;)
Kamera je zatím jedna šmejdka z číny ale ve finále chci většinu napájet po POE, Raspberry PI také. Rodinné zmenšené řešení mě moc nezajímá, dělám IT technika v jedné firmě a potřebuji pro osobní zlepšení v síťařinách aby to bylo co nejreálnější. Dell PowerEdge 2950 III už hučí v polici. Rozvaděč mám v plánu klasický veliký (nevím kolik má Uček). Místo na něj mám a rozvody kabeláže po patrech půjdou nevyužitým komínem (na baráku jich máme 8 takže no problém, jen ho na střeše zašpuntovat).
Tak pokud PoE, tak verzi HPE1920 s PoE...
Já mám doma taky síť, kterou mi lecke závidí. Jen ty switche nemám tak veliké. 8-16 portů, L2+, management. Nějaké D-Link, něco TP-Link, nejstarší (hodně) 8 portů repotec. Routry Ubiquiti Edge router (jeden VyOS router, což je v podstatě to samé, jen bez offloadu a výrazně méně výkonné), jako pojítka Ubiquiti M-AC (pro přístup k providerům M jen s Nkovou wifi), jako přístupové body Unifi. Funguje pěkně. Vytvořený adresní plán pro sítě podle účelu a lokality.
Zajímavé :P bylo by možno podrobnější info o zapojení a nastavení ? :P
Podla mna pri stavbe domacej siete sa musis rozhodnut najprv na ktoru stranu sa vydas, pretoze rozumne moznosti su 2.
Bud vsadis na UBNT alebo MT.
Mne osobne UBNT pride trosku hrackarske, mali za posledne roky 2x velku dietu v zariadeniach, celkovo mi pridu trosku drahsi ako MT. Ale je to mozno tym, ze na MT mam psotavenu vacsinu sietie, zacal som s nim skor ako s UBNT a pride mi, ze MT mi poskytuje viac moznosti ako UBNT cokolvek manazovat.
Navyse UBNT obcas podvadzaju zakaznikov, co sice mozno robi kazdy, ale ja si spominam zrovna na pripad edge vs unifi switche.
Ale ono je to takto...nech sa rozhodnes pre MT alebo UBNT chybu nespravis, skor si nastuduj dopredu, ktore zariadenia ti viac vyhovuju ovladanim, moznostami a podla toho sa rozhodni.
Switche ne, ty jsou od Ubiquiti dost drahé a umí málo. Sice se dají spravovat z jedné konzole (v případě unifi), stejně jaké router a access wifi, ale oboje je proti verzi Edge dost ořezané a je obtížnější konfigurace vůči non-ubiquiti zařízení.
Jejich Edge router je ale to nejvýkonnější, co jsem v dané kategorii našel (díky offloadu) a konfigurační struktura je velmi podobná Juniper JunOSu, takže mi nedělá vůbec problémy. Také jsem začínal s mikrotiky, ale postupněj e všude nahrazuju. Mikrotik se konfiguruje díky plnotučnému grafickému managementu snáz (dá se to všechno naklikat). Na druhou stranu absence věcí typu IKEv2, neúplné funkce v IPv6 oblasti a jiné, troufnu si říct, dlouhodobě ingnorované nice-to-have požadavky od uživatelů to strhávají dolů.
No a pak je tu wifi část. Mikrotik je a vždycky byl hlavně routrem. I jejich nejschopnější boxované WiFi je vlastně sektorová anténa a pro přísně směrové spoje musí člověk přihodit anténu, což je v případě MIMO či AC hodně drahá záležitost. Ubiquti k tomu mají plně integrované řešení, které prostě funguje. Nehrozí, že by někde vyskočil pigtail z karty nebo nalomený koax výrazně zvyšoval ztráty na VF části. To jsou problémy, které se mi vždycky špatně hledaly a jsem za plně integrovaná řešení velmi rád. Co se týče access WiFi, tak pohodlnost správy a nasazení UniFi nemá v této cenové kategorii konkurenci. V tomhle Mikrotik hodně zaspal. Ano, AP stojí víc, než běžný WiFi router, i několikanásobně, ale je to zařízení, které se dá v klidu pověsit na pohledovou stěnu, aniž by ji hyzdil les trčících antén a svazek přívodních kabelů.
Takže to jsou moje důvodu pro použití Ubiquiti zařízení.
Suhlasim s tebou, UBNT robi dizajnovo velmi pekne veci, MT to s dizajnom proste nevie, takze ak ide niekomu o dizajn tak jednoznacne UBNT.
Naopak nesuhlasim s tymi vyhlaseniami o sektorkach MT, pri klientoch dosahujem vyborne vysledky s RBLHG-5nD a nechytaju sa nanho ani drahsie UBNT aj ked...priznam sa, ze vsetky moje smerove spoje mam spravene na UBNT;o). Vlastne jeden nie, ten mam na MT.
Vykon routrov nemozem porovnavat, pretoze s edge routrami som doteraz este nepracoval a je pravda, ze ak nieco MT vycitam obcas je vykon, respektive, ze nerobia v niektorych zariadeniach vykonov vyssie verzie.
Ale to uz zachadzame do rieseni pre ISP skor, pre domacu siet je to myslim 50:50.
Abych nalil čistého vína, nemám "venkovní - dálkový" klientský přístup - tedy PtMP (mimo unifi, ta je ale pro koncová zařízení). Používám výhradně PtP spoje a tam mi Mikrotik nemá co nabídnout.
U dist mikrotiků se mi ale stalo to, že mi vyhořely kondenzátory v napájecí kaskádě (po třech, čtyřech letech), s ubiquiti se mi to ještě nestalo.
Vidis mne tak maximalne odisli kondiky na doskach, stacilo vymenit a dosaky fungovali dalej, este som menil dosky kvoli vadnym sektorom, aj to len pre istotu hned ako sa zjavili.
Naopak na bulletoch M5 mi na jednej sajte pravidelne odchadzaju ethernety...za 5 rokov sa tam vystriedalo uz asi 6 bulletov, ale kedze mi to robi len na jednom bude beriem, ze chyba bude asi niekde v instalacii.
Musím uznat že ten UBNT mě velmi zaujal. Má někdo zkušenosti s jejich Firewallem ?? "Enterprise Gateway Router" ??
pošli odkaz
já používám edgerouter-lite
ubiquiti-usg-pro-4-205426
A ještě se chci zeptat na ten jejich UniFi Controller.... Jestli jsem to pochopil tak to je tak že switch jako takový nemá webové rozhraní a vše je spravováno aplikací z PC je to tak ? :)
Ano, všechny prvky UniFi jsou spravované přes Unifi Controller. Může to být instalace na serveru (není dobré, když je to na regulerním PC, asi by mu nedělaly dobře změny adresy) a nebo se dá koupit jednoúčelový "serveřník" https://www.i4wifi.cz/UniFi/UniFi-Controller-Hybri d-Cloud.html
Tak to se mi velmi líbí....
Takové zabezpečení chci hlavně z "hravých" důvodů. Po xx letech to vypadá že budeme mít internet s rychlostí vyšší než 4mb (O2 kvalita v krajském městě) a s tím bych chtěl začít pracovat na domácí síti. Momentálně "od pantáty vedou dráty do APčka nade vraty", to by se mělo změnit. Plán je takový:
1) Modem od O2 bude plnit pouze funkci modemu (ony ty jejich zyxely rády hoři a přehřívají se)
2) Za modemem bude Firewall (od zyxelu, jiný za přijatelné peníze jsem nenašel)
3) Následně bude nějaký switch který by měl pokrýt pokud možno co nejvíce věcí z prvotního dotazu (filtrování/blokace IP)
4) Za switchem bude následně zbytek (cca až 10PC, server Dell 2950 III na WinS 2016, a několik IPkamer + RaspberryPI pro inteligentní domácnost + AP)
Tedy vše se vleze do jednoho Racku. Jde mi tedy i o maximální bezpečnost, vzhledem k tomu že na serveru budou na diskovém poli v RAIDu veškeré zálohy všeho.
ad 2) Doporučuju spíše Mikrotik. Zyxel není špatný, ale osobně bych jej už nedoporučil.
ad 3) to si představuješ dost naivně. Switch sám o sobě nic blokovat nebude.
ad 4) vše zásadní co požaduješ, se dá vyřešit pomocí VLAN, tj. oddělíš bezpečnou část sítě od té méně bezpečné a na routeru odroutuješ (proto ti spíše navrhuju ten Mikrotik)
3. switch moze locknut mac adresu na port, pripadne moze ako si povedal pouzit vlany, takze switch moze blokovat niektore veci. Navyse neviem, ci ten tvoj HP nema dokonca layer3 funkcie.
To HP co jsem psal právě má už i L3 funkce. Portů má sice víc než budu potřebovat ale port navíc je lepší než když chybí. Kvalita mi nevadí protože to jak doteď fungoval náš internet byla katastrofa. Na serveru by ve finále měl fungovat krom domácích záloh i nějaký WEB server.
Bolo by dobre si ujasnit, co od toho chces presne....ja mam taky pocit, ze budes chciet od toho switchu viac ako bude schopny zvladnut.
L3 funkcie neznamenaju, ze to vie nejake harakiri, furt je to len switch.
Ak chces robit na sieti carymary fuk tak zober ako hlavnu branu MT. Taka CRS236 je 24p switch, ktora vsak vie byt plnohodnotnym routrom, takze z neho mozes kludne spravit branu do netu.
Má pár L3 funkcí, ale pouze základy. Proto ho taky doporučuju, za lacino dostaneš fak dobrý kus HW.