Mikrotik - "pevna" siet pre hosti
Mam mikrotik, potrebujem vytvorit siet pre hosti, ale nie Wifi, ale jeden port ethernet. Nemozem pouzit priamo port z mikrotiku, lebo medzi hostovskym zariadenim a mikrotikom je este switch (aj ked vie vlany rad by som sa im vyhol, aspon zatial).
Hostovske zariadenie je v podstate napevno, viac menej nemenne. Ide o to, aby sa nedostal do mojej siete. Na svoje zariadenia mam dhcp na bridgi.
Dhcp nevytvorim kedze mam len jeden bridge, a druhy aj ked by som vytvoril, tak mu neviem priradit port, lebo vsetky uz su v bridgi na ktorom je moje dhcp, a jeden port nemozem priradit dvom.
Staci, ak mu priradim IP uplne mimo mojho rozsahu podla MAC a osetrim to vo firewalle? Alebo iny napad?
Snad je to ako tak zrozumitelne napisane.
Pokud máš mezi hostem a routerem switch, tak se obávám, že použít VLAN je jediné správné řešení. Proč se chceš vyhnout jejich použití?
Co brání tomu hostovi nastavit si IP adresu ze stejného rozsahu jako je zbytek sítě? A jelikož to bude komunikace ve stejném segmentu, navíc přes switch, tak to nikdy ani firewallu na mikrotiku nedosáhne.
1. musel by som to poriadne nastudovat
2. mam tam zyxel GS-1200, takze by to slo, ale musim mat riesenie, ktore ked vypadne, tak oprava musi byt rychla, v tomto pripade tam nemozem dat akykolvek switch, a cena tych co zvladaju VLAN (asi okrem tohto) nieje moc ludova
ad 1: Učit se! Učit se! Učit se!
ad 2: Do cca 1000 Kč najdeš třeba na alze TP-Link a Netgear, takže tvůj argument neberu jako validní.
Holt ti nezbyde než z mikrotiku natáhnout přímo kabel k hostovi a vyhnout se switchi.
Ale je. Můžeš tam strčit klidně mikrotik RB941 za 500,- protože každý MKT umí vlany...
Ale fuj, vždyť to má jen 100 Mbps porty…
chtěl levné dočasné řešení. Navíc drtivá většina domácích užovek stejně víc nepotřebuje. Ale klidně si může připlatit na RB260GS, sice tam je jen SwitchOS, ale na VLANy to stačí.
Nejlepší řešení: VLAN - je to jednoduché a přímočaré a hlavně naprosto nezávislé na tom koncovém bodu. V podstatě si jen nastavíš trunkporty na MKT a switchi a jeden vyhradíš té separátní VLANě. Další konfigurace je už poměrně jednoduchá (v podstatě jen druhý DHCP server, přidat druhou VLAN do LAN interface list, nastavit zákaz routování mezi VLANama)
Pokud chceš jít cestou "jen" jiné sítě: tak to mu už můžeš IP nastavit rovnou napevno a sebrat admin práva (to je ovšem podmínka nutná). Ale stejně nezabráníš tomu, aby někdo to zařízení odpojil a připojil si tam své.
Este doplnim, aby neprislo k dezinformaciam. Do inej siete potrebujem pripojit "cudzi" mikrotik, ktory vytvara VPNku medzi pracovnym ntb a sietou zamestnavatela pre rodinneho prislusnika. Zatial je ten mkt pripojeny "len tak" v rodinnej sieti, dhcp mu prideli IP z mojho rozsahu. Ak by to slo cestou VLAN, potreboval by som nastavenie VLAN podla MAC (nie portu), nakolko ntb a mikrotik sa obcas stahuje do inej miestnosti (iny port).
Už to komplikuješ. Vázání VLAN na MAC je blbost - jednak by to musel umět tvůj switch, což nejspíš neumí, zadruhé jsme u stejného problému - co zabrání správci Mikrotiku nastavit na WAN portu jinou MAC adresu?
Toto se řeší pomocí 802.1x a certifikáty (což zase tvůj switch neumí).
Jistým řešením je domluvit se se správcem toho firemního Mikrotiku, aby veškerý provoz na WAN odcházel jako tagovaný nějakou VLANou, a na tvém domácím switchi nastavit všechny porty jako trunkové s tím, že netagovaný provoz bude padat do tvé domácí sítě, tagovaný do separátních VLAN. Pak to bude fungovat tak, jak jsi popsal (tj. domácí zařízení má přístup do domácí sitě, Mikrotik jen do své VLAN).
Ale zase jsme u stejného problému - jak zaručit, aby správce toho cizího Mikotiku neprovedl takové změny aby se dostal do tvojí sítě?
Otázka k zamyšlení: Jaký by měl mít admin toho Mikrotiku motiv, aby se ti hrabal v domácí síti?
Tak ono se to dá udělat opačně, že? Domácí LAN tagovat vše (nebo aspoň ty porty, kam se může připojit cizí zařízení) a naopak hostovskou síť dát netagovanou. Jenže to zase přepokládá, že admin toho cizího MKT je ňouma, který si neumí odposlechnout, co mu na WAN port lítá za vlany... takže reálná bezpečnost opět nula.
Jinak obecně: paranoia je pro síťaře nejlepší kamarádka.
Tvé řešení má nevýhodu v tom, že musíš na všech domácích zařízeních nakonfigurovat tagování jejich provozu. Což asi ne každé zařízení dovede.
Souhlasím s tím, že reálně ani jeden případ bezpečnost nezvýší.
Nemyslel som to zrovna tak, co sa tyka tej paranoje
, ale trosku prekonfigurovavam domace zariadenie, moje mali staticke IP, hostia dostali IP z dhcp, ale jeden rozsah . . . tak som si zacal vytvarat hostovsku wifi, a toto ma len tak napadlo, ze ci by sa to dalo vyriesit, ale po kabli a este aj so switchom v ceste nejakym pokial mozno jednoduchym domacim sposobom. To nebola paranoja co sa tyka vpn zeby sa nejaky IT snazil rypat v mojej domacej sieti 
Na inom mkt to mam nastavene, lenze tam mam jeden ethernet port spolu s hostovskou wifi v jednom bridgi pre hosti a ak pride host pripojim ho do toho vyhradeneho portu, ak bude vobec potrebovat ethernet port . . .
otazka k zamysleni . . . . odpoved vyssie . . .
v jiné místnosti se k tomu MKT přece můžeš připojit bezdrátově, nemusíš stěhovat i ten cizí MKT...
Nemozem, spravuje ho IT zamestnavatela, a je tam vydefinovana len VPN, wifi zakazane
Tak stačí snad v práci říct, že by bylo potřeba zprovoznit wifi, je to otázka pár kliknutí na dálku...
S tym sa mi nikto babrat nebude
Maju takto rozhodenych niekolko mkt, predpokladam nejaku jednotnu konfiguraciu . . . nikto nespravi viac ako musi . . .
Pokud to chceš opravdu nějak vyřešit, tak si myslím, že je správné to neřešit vůbec a prostě požádat zaměstnavatele o zajištění konektivity do jeho zařízení, tedy požádat třeba o 4G/5G modem a datový tarif. Nikdo tě nemůže nutit k tomu, používat své soukromé prostředky pro výkon práce pro zaměstnavatele. A minimálně v ČR pracovní zákoník jasně říká, že zaměstnavatel je povinen poskytnout adekvátní pracovní prostředky pro výkon práce.