Mám nyní nakonfigurován 4 porty pro jednu VLANu a jeden pro druhou. Je ale možné přiřazovat do VLANy jako to jde třeba na cisco…ne podle toho do jakého portu zařízení připojím, ale spíše dle toho jakou má mac adresu? Mám 12 vlastních zařízení připojených k turrisu. Na turrisu by tedy byl seznam mac adres těchto zařízení a při připojení by se zařadili do VLAN1. Ostatní by se zařadili do VLAN2. No, jenže jak na to?
Jestli tomu rozumím správně, chcete mít jeden (nebo více) portů přiřazen v několika různých VLANech… nestačilo by pak prostě pomocí DHCP (na základě MAC) přiřazovat IP adresy a podle toho, z jaké by byly podsítě, s takovou VLAN bude zařízení komunikovat.
Ale úplně mi uniká smysl takového počínání, mít několik VLAN na jednom portu, pokud si prostě nastavím na koncovém zařízení IP natvrdo podle té VLAN, do které “budu chtít patřit”, tak vaše rozdělení do VLAN obejdu.
Potřebuji, aby cizí neznámá zařízení dostala vždy IP z VLAN2, která má jen přístup na internet. To bych musel tedy všechny porty dát do VLAN2, ale obávám se, že když nastavím na tvrdo IP (IP z VLAN1) pro své zařízení, tak když budou zapojeny do portu, který je definován jako VLAN2, že nebudou komunikovat vůbec.
Smysl počínání? Tak např. nedávno kamarád mého synátora přitáhnul Playstation a zapojili ho do sítě. Takže proto chci to dynamické přidávání do určité VLAN.
Nejsem odborník, ale na to by měly stačit různé interface…
No tomu rozumím, také mám doma několik sítí a několik WiFi … tedy několik VLAN, každá patří do jiného bridge společně s jednou WiFi… ale nepotkávají se na fyzickém portu, také zásuvky v bytě některé patří do domácí sítě a některé do sítě pro hosty, jsou tedy fyzicky oddělené a pokud by si někdo nastavil IP ručně, nepomůže mu to. Možná je to overkill, ale když už ty zásuvky v bytě jsou … jinak by ale pravděpodobně stačila ta síť pro hosty sdílená jen pomocí WiFi, kabel netřeba, i ta PS3/4 má WiFi, moc nevím, jaké přenosné zařízení, které nemá WiFi, by si k nám domů někdo přinesl.
Vy chcete tyto různé VLANy mít na jednom portu, tím o tu bezpečnost přijdete, protože sice kamarádově PS nastavíte pomocí DHCP IP adresu z jedné sítě, ale on si přeci IP může ručně změnit a pokud bude připojený na stejném portu (kabelu), bude najednou mít přístup do té druhé sítě.
Jinak, asi by se to dalo řešit tak (pro Vás jednoduše naklikáním přes GUI, není to ale čisté, dva DHCP servery), že na jedné síti (interface na VLAN1) budete mít v DHCP nastavené přidělování adres staticky podle MAC a žádný free pool, na druhé síti (interface na VLAN2) naopak dynamicky přidělovaný IP pool, při troše štěstí se DHCP nebudou přetahovat, ale jak říkám, celá bezpečnost tím jde do háje a dvě sítě jsou v případě, že se potkávají na jednom fyzickém portu, úplně (z hlediska bezpečnosti) zbytečné - tedy pokud například za tím routerem nenásleduje (managed) switch, který tyto dvě sítě na jednom kabelu fyzicky rozdělí do různých zásuvek (ale jde i o to rozdělit zátěž a nemít všechen provoz jen na jednom portu, mimo jiné). Ale mít dvě nebo více sítí dostupných na jedné uživatelské zásuvce je, IMHO, kontraproduktivní.
EDIT: teď jsem to vyzkoušel a kupodivu to funguje, jeden port patří do dvou VLAN v různých sítích, nastavit statické a dynamické přidělování, zařízení, která jsou uvedena ve statickém poolu podle MAC dostanou statickou IP z jedné sítě, všechna ostatní dynamicky z IP poolu druhé sítě. Není to ale čisté řešení, dva DHCP servery z dostupných dvou sítí “se předhánějí”, který IP přidělí. Technicky čisté řešení je použít jeden DHCP server (lhostejno ve které síti) a ten bude přidělovat, ze svého pohledu, dva různé segmenty sítě 192.168.0.0/16 (např. 192.168.1.0/24 a 192.168.2.0/24), první staticky IP podle MAC, druhý dynamicky, přitom půjde, z pohledu routeru, o dvě různé sítě.
Zkoušel jsem v DNSMASQ, pokud používáte jiný DHCP server, musíte vyzkoušet. Ale pořád si myslím, že to principiálně (z ohledu na bezpečnost kterou tím chcete řešit) není správný přístup.
1 Like
S tou bezpečností…
VLAN1 - domácí síť s přístupem na internet
VLAN2 - jen přístup na internet
Současný stav - port nakonfigurován do VLAN1. Host přijde, zapojí své (pro mě cizí) zařízení a je v mé domácí síti.
Výhled - port nakonfigurován pro obě VLAN. Mě známá zařízení jsou dle MAC adresy zařazeny do VLAN1, cizí se zařadí do VLAN2.
Ano, samozřejmě pokud si zjistí jaké IP má moje domácí síť a nakonfiguruje si ethernet ručně, tak je ve VLAN1, ale z hlediska bezpečnosti je současný stav horší.
PS: Wifi pro hosty samozřejmě mám, ale chci dořešit i ten kabel.
Jinak dynamicky zařazované porty do konkrétních VLAN se běžně používá. Na Ciskách v práci to tak máme, obejít to nejde, pokud si zadáte IP na tvrdo nepřipojí vás to do žádné VLANY. Respektive jen do vlany pro natažení image OS. Ale předpokládám, že takto sofistikované to openWRT mít nebude 
Dynamické ověřování pronájmu dvojice DHCP/MAC se dá také zprovoznit. To, co popisujete se i na těch Ciscách dá snadno obejít, zkuste si následující postup: stačí znát MAC adresu a aktuálně přiřazenou IP adresu nějakého zařízení které právě v té síti komunikuje a poté co se toto zařízení odpojí si dvojici MAC/IP nastavte stejně na svém zařízení/interface, připojte kabel do stejného portu (konektoru) kde předtím bylo druhé zařízení a voilà, do vypršení pronájmu IP adresy jste v segmentu sítě, kde bylo předtím druhé zařízení … proto tento přístup není vhodný jako prvek zabezpečení, ale používá se jako prvek organizační, například ve vnitřní síti firem, jak jste zmínil. Pokud chcete zajistit bezpečnost, je nutné mít vždy fyzicky oddělené porty jednotlivých sítí, když bude mít někdo přístup k fyzickému portu, který patří do VLANy vaší domácí sítě, vždy je riziko, že může něco napáchat/odposlouchávat — nebo mu to minimálně maximálně usnadníte
Pokud Vám to opravdu ale takto stačí, lze to na Turrisu nastavit a funguje to, viz můj předchozí post, EDIT sekce.