Jak skonfigurować 2 podsieci w LAN z różnymi adresacjami IP?

Witam, mam następujący problem, mam DSL-a który jest wpięty do routera i router podłączony do Switcha na cały Lan. Tam jest przydzielona adresacja typu 192.168.1.1, 255.255.255.0, 192.168.1.1. Na tej adresacji mam kilkanaście komputerów w pracy, chciałbym część komputerów wydzielić na 2 podsieć znaczy zrobić inna adresację tak żeby komputery jednej sieci nie widziały komputerów 2 sieci. Jak to mogę zrobić? I jaką adresację muszę przypisać?

Mam drugi switch do wykorzystania – jak pod niego podepnę kabel z routera i jakiś komputer to widzi mi dhcp i przydziela adresację z puli adresów 192.168.1.1. Sieci to nie jest moja dobra strona dlatego z góry dzięki za pomoc.

Jaki to router?

Musisz zastosować router z NAT ("domowy" router - TP-Link WR340, etc) - do komputerów schowanych za nim nie będzie dostępu od zewnątrz, w drugą stronę dostęp będzie(więc i do Internetu)

Switch nie rozwiązuje tego problemu.

I musisz zmienić na nim podsieć tak, by się nie pokrywała z poprzednią(polega to na zmianie LAN IP na 192.168.2.1 dla przykładu).

Albo router z obsługą VLAN (trunk).

Mam router RV042 Linksys - hmm średnio rozumiem nie wiem czy moj router ma taką możliwość ...Jak wpiąłem sobie kabel z routera do tego drugiego switcha i tam również podpiąłem jakiś komputer i przypisałem mu adresację 192.168.2.1, 255.255.255.0, 192.168.2.1 to nie mam neta

Dodano po 30 [minuty]:

Pietrus 99 czy mój router ma taką funkcję o, której piszesz? będe mógł z poziomu tego routera przypisać druga adresację? ,która z opcji za to odpowiada ?

RV042 nie ma, z tego co wiem, możliwości zrobienia VLANów. W dodatku switch (switche) też musiałyby mieć taką możliwość. Ma dwa wejścia WAN, ale nie da się wydzielić fizycznie oddzielnych sieci LAN. Nie znam tego routera, bo może jeden WAN dałoby się przerobić na dodatkowy LAN.
Jeszcze pytanie, na ile "poważnie" te sieci muszą być odseparowane. Czy dla laików, którzy nie pokonają np. różnych adresów sieci, czy to ma być naprawdę bezpieczne - wtedy musi być np. firewall między sieciami. VLAN też nie jest zbyt bezpieczny, jeśli włamywacz ma trochę wiedzy.

mesjasz888 napisał:

przypisałem mu adresację 192.168.2.1, 255.255.255.0, 192.168.2.1 to nie mam neta

Zrób może tak:
Router: 192.168.1.1, 255.255.254.0 (zmiana maski)
Sieć (komputer) 1: 192.168.1.1, 255.255.255.0 brama 192.168.1.1 (czyli jak dotychczas)
Sieć (komputer) 2: 192.168.0.1, 255.255.255.0 brama 192.168.1.1

Powstają dwie podsieci 192.168.0.0 i 192.168.1.0 nie widzące się nawzajem, natomiast brama jest wspólna i będzie widzieć obie sieci.
Ale to nie jest oczywiście bezpieczne - użytkownik zmieni adres albo maskę i wejdzie do drugiej sieci. Dlatego pytam wyżej, jaki stopień bezpieczeństwa ma być.

Miała by to być sieć w takiej jednostce jak urząd gminy po prostu chciałbym dla komputerów które są głównie w dziale finansów oddzielić od reszty pracowników z innych działów. Dlatego chciałbym zrobić 2 podsieci. Bardziej zależy mi na tym, żeby pracownicy nie mieli dostępu przez sieć do tych komputerów ale żeby i w jednej i drugiej podsieci był internet.
Jak mój router nie ma takiej możliwości to być może kupiłbym coś typu TP-Link WR340 tylko jak patrzę sobie w spis funkcji to zastanawiam się, która funkcja odpowiada za to żeby można było zrobić dodatkowe vlany. Może kupiłbym jakiś lepszy model.

Dodano po 9 [minuty]:

jprzedworski napisał:

Zrób może tak:
Router: 192.168.1.1, 255.255.254.0 (zmiana maski)

Nie mam tu takiej opcji w routerze, żeby wpisać powyższą konfigurację mogę tylko z suwaka wybrać to co poniżej....

255.255.255.0
255.255.255.128
255.255.255.192
255.255.255.224
255.255.255.240
255.255.255.248
255.255.255.252

OK. To ustaw 255.255.255.0. Musisz wtedy te podsieci zrobić inaczej. Na komputerach maski 255.255.255.128 i wtedy masz dwie podsieci dzielone trochę inaczej:
Pierwsza 192.168.1.0-127 druga 192.168.1.128-255
Przy czym 192.168.1.0 i 192.168.1.128 to adresy sieci a 192.168.1.127 i 192.168.1.255 to adresy broadcast więc nie dla komputerów.

VLAN wymaga również odpowiednich switchy. Ten router, o który pytasz, ma VLAN pass trough, czyli jest przezroczysty dla tagowanych pakietów. Sam VLAN nie utworzy. Nie znam całego rynku, trudno mi coś doradzić.

jprzedworski - tak się nie robi, zresztą to nie będzie działać. Brama nie powinna leżeć poza podsiecią.

Tak jak napisałem - należy dokupić następne urządzenie. Na tym urządzeniu nie zdziałasz nic, bo każdy może sobie zmienić podsieć i uzyskać dostęp do tamtych komputerów.

Patrząc na konfigurację, którą próbowałeś wdrożyć sądzę, że powinieneś troszkę poczytać co to jest maska podsieci, brama, etc - bo trochę po omacku to robisz.

Najprostszym sposobem będzie to tak jak już pisał piterus99 kup dodatkowy router i zrób drugą podsieć z innym IP. np. 172.16.0.1. Wtedy bez kombinacji VLAN i dla Ciebie będzie prościej tym zarządzać. Jeśli komuś coś będzie trzeba to ustawisz sekcję Forward i DMZ lub wprowadzisz trasy statyczne.

piterus99 napisał:

jprzedworski - tak się nie robi, zresztą to nie będzie działać. Brama nie powinna leżeć poza podsiecią.

Z jednym się zgodzę: tak się w zasadzie nie robi, bo, jak zresztą wspomniałem, bezpieczeństwo jest tu bardzo problematyczne. A czy nie będzie działać, to bym mocno dyskutował. Sprawdziłem, działa.
Ideałem byłoby kupienie routera, który ma kilka (co najmniej dwa) niezależne porty LAN z oddzielną adresacją i routingiem, a nawet firewallem między nimi. Może jestem monotematyczny, bo pracuję od paru lat na jednym sprzęcie, ale przychodzi mi do głowy SonicWALL TZ-100 albo TZ 200. Te na pewno będą działać jak należy. Z TP-Linka może TL-ER5120 - nie używałem.
Drugi router, połączony szeregowo z pierwszym, załatwi sprawę połowicznie. To będzie układ: internet -> router 1 -> LAN1 -> router2 -> LAN2.
LAN1 nie będzie widzieć LAN2, ale w drugą stronę już tak dobrze nie będzie.

Z tego co zrozumiałem to najlepiej rozbić to na 2 routery.
Więc wystarczy, że do modemu DSL-a wystarczy podpiąć switcha i do niego podpiąć 2 routery i odpowiednio skonfigurować przypisując inne adresacje?

To by było najlepsze, ale .. Żeby tak zrobić, musisz mieć od dostawcy internetu dwa adresy w sieci WAN na te routery, a masz prawdopodobnie tylko jeden? Myślałem o kaskadowym połączeniu - tak jak napisałem powyżej.
Z routerów (UTM) wieloportowych pomyślałem jeszcze o Draytek VigorPro 5510. Też by chyba był dobry, a jest dość łatwy w konfiguracji. Kosztuje ok 3500, ale moim zdaniem w firmie nie należy dziadować i sztukować sprzętem przeznaczonym głównie do domu. TZ100 jest tańszy, ale chyba trudniejszy w konfiguracji.

Generalnie to DSL- jest od TP więc mam zarezerwowany jeszcze drugi nr ip - więc mogę go przypisać na drugim routerze tylko w ogóle mam wątpliwości czy nawet jak wprowadze na drugim routerze tą druga adresacje WAN przydzieloną od TP to czy to zadziała - czy tp ze swojej strony jeszcze nie musi coś zrobić żeby ten adres zadziałał...
Co do UTM-a to myślałem raczej o dużo tańszym rozwiązaniu tego problemu .... jakiś czas temu myślalem nad kupnem UTM-a ale firmy Netasq - nie wiem czy on ma taką mozliwość

Wiecie może czy jak już kupię ten drugi router i przypisze drugi adres ip zarezerwowany od Tp SA czy on będzie działał? mi się wydaje, że nie ...

To zależy, w którym miejscu sieci to zrobisz.


Przepraszam, że tak a nie inaczej, ale nie mam żadnych narzędzi do tego, a i czasu zbyt wiele też.

Żeby wdrożyć pierwszą konfigurację musisz mieć 8-mio adresową podsieć, która zawiera 5 adresów użytkowych(+adres sieci, adres modemu, broadcast). Drugą konfigurację możesz wdrożyć zawsze(nic powyżej R1 nie ruszasz, dokładasz tylko R2).

Jaką masz maskę podsieci w dokumentach TP? 255.255.255.252 czy 255.255.255.248?

mesjasz888 napisał:

jakiś czas temu myślalem nad kupnem UTM-a ale firmy Netasq

Pewnie by pasował, ale jest jeszcze droższy. Model U70 to ok 7000 zł. Niższy model na pewno się nie nada, bo ma tylko dwa porty: WAN i LAN (pojedynczy).

Router Linksys'a RV041 widze że ma taką funkcjonalność jak "Multiple Subnet Setting" która to funkcja wg mnie rozwiązuje opisany wyżej problem poprzez utworzenie dodatkowych podsieci logicznych w ramach jednej fizycznie sieci.

Czy nie dobrze myślę?

Tolo74 napisał:

Router Linksys'a RV041 widze że ma taką funkcjonalność jak "Multiple Subnet Setting"

Przepraszam za długi brak odpowiedzi , ale nie miałem dostępu do internetu jakiś czas.
Faktycznie ! Tolo jest taka opcja w moim routerze i mogę tam dodać coś takiego i właśnie to zrobiłem jak tylko znajdę chwile po świętach spróbuję to wdrożyć w życie i dam znać jaki jest efekt =D Miałem jeszcze wcześniej inne propozycje powyżej, ale na chwilę obecną to wydaje się najprostsze i bez kosztów.
udało mi się jeszcze gdzieś coś wyczytać, że są takie kombinowane mikroteki - coś w rodzaju płyty głównej z prockiem i to się wsadza w pudełko, wygląda to wtedy jak router - ma to wtedy kilkanaście portów i można tam konfigurować jak dusza zapragnie - koszt około 600zł. Jest to taki składak jakby tylko nie wiem czy to nie będzie za trudne w konfiguracji... tu mam linka
http://www.wirelesslan.com.pl/urzadz.php?producent=37
Nie wiem czy ktoś z was miał do czynienia z takim urządzeniem

Pozostań przy Linksysie RV42 narazie.
Nie martw się profesjonalnymi zabezpieczeniami, bo to przerost formy nad treścią.
Ty będziesz zachodził w głowe jak w pełni zabezpieczyć sieć, apracownicy i tak sobie karteczki z hasłami wieszają (związane m.in. z częsta koniecznością ich zmiany) albo siadaja nie przy swoich kompach albo nie na swoje loginy.
Docelowo mógłbym polecić postawienie drugiego routera (też RV042 bo uważam że są super sprzetem w tej kategorii cenowej) lub ewentualnie np Netasq U70, albo jakiegoś Zywall'a ale są mniej intuicyjne no i stosunkowo droższe.

Co do mikrotików -nie powiem nic bo nie mam na ich temat wiedzy, ale subiektywnie nie podobają mi sie na pierwszy rzut oka.

W sumie Tolo masz rację z tymi karteczkami i loginami

Mam pewien problem bo zrobiłem na routerze w ten sposób, że po wejściu w opcję Multiple Subnet Setting wprowadziłem inną adresację czyli np. 192.168.2.5 następnie do tego routera podłączyłem drugiego switcha i do tego switcha podpiąłem jeden komputer internet chodzi na tej adresacji i jest ok jednak jak zmienie adresację i wprowadze np. 192.168.1.1 to ten komputer znajdzie się już w tamtej podsieci gdzie mam wszystkie komputery

Chciałbym zrobić tak, że nawet jak ktoś sobie wprowadzi inną adresację to nie będzie miał dostępu do tej podsieci gdzie są wszystkie komputery a tymczasem przez router komputer widzi i tak tamte kompy

Można jakoś tak ustawić żeby ten komputer nie miał dostępu do 1 podsieci z komputerami nawet jak zmieni sobie sam adresację?

Wiesz, musiałbym mieć to urządzenie przed sobą i toche postudiować.

Tymczasem podam Ci innerozwiązanie, jak masz dwa adresy IP publiczne (co w dzisiejszych czasach na firme czy urzad nie stanowi problemu np TPSa daje do DSLa 4/512 chyba 5 adresów) to dokup drugi router tego samego typu i masz po problemie (tylko trzeba potem wpisac w routery skonfiguropwac), tj wyłączyć DHCP lub uzupełnić tablice Mac adresow w ten sposób aby każdej karcie sieciowej był prypisany odpowiedni adres (być może w Multiple Subnet jest tez taka funkcjonalnośc)

Myślalem, że może da się to jakoś obejść bez dodatkowych kosztów, ale wygląda na to, że będę musiał zainwestować w drugi router tak będzie chyba najlepiej - dzięki za info.

2 sieci, polecam tu znacznie poróżnić adresowanie - dla wygody, odseparować fizycznie obie sieci, zastosować dodatkowy router w przypadku chęci dost. do Internetu, lub ten obecny ALE UWAGA - z dobrze skonfigurowanym Firewallem, który będzie blokował ruch pakietów pomiędzy tymi dwoma lokalnymi sieciami, np.:
sieć 1. 192.168.0.*/255.255.255.0
sieć 2. 10.0.0.*/255.255.255.0

Zasada nr 1 - Jeśli chcesz mieć pewność, że sieci nie będą się widzieć, połączenia nie mogą być fizycznie podpięte do tego samego switcha lub routera, bo zawsze ktoś wpadnie na pomysł by ustawić sobie adres bramki lub przypisać dodatkowy adres IP swojej karcie sieciowej...

Zasada nr 2 - W jednej sieci fizycznej nie powinny działać 2 lub więcej serwerów DHCP, stosuj adresy IP statyczne.

Zasada nr 3 - Dostęp do Internetu nie powinien odbywać się poprzez sieć lub router z sieci od której chcemy się odseparować.

Zasada nr 4 - Jeśli nie masz pewności czy dobrze to skonfigurowałeś ustaw na Firewallach obok routerów blokady. Cały ruch z odseparowanej sieci kieruj gdzieś indziej, ale nie do sieci której nie chcesz...

Tylko jak odseparować 2 sieci jak mam obecnie Modem DSL, do którego podłączyłem router i do routera mam switcha i wszystkie kompy w tej sieci, więc czy jak podłącze to w taki sposób jak wcześniej pokazał pietru99 na rysunku 2 to obie sieci będą się widzieć? mam na myśli to czy jak za routerem jest switch i do tego switcha podepne kolejny router i w nim wprowadzę ta druga adresację to czy te sieci będą się widziały czy nie ?

Chciałbym mieć internet w obu podsieciach i nie wiem jak najlepiej rozbić DSL-a na 2 routery

Mam jeszcze pytanie bo znalazłem jakiś router tyle że od neostrady nie wiem czy będzie mi on działał pod DSL?

Nowy router cisco RV042 ver3 posiada możliwośc tworzenia VLANów dla każdego z czterech interfejsów osobno.

Przypomnę w skrócie najelpze rozwiązanie.
Jak masz modem z TPSA spianasz go z dwoma routerami (porty WAN) przez switcha (Byle jaki np 4 portowy fastethernetowy).

Do każdego z roterów wepniesz odpowiedni segmen wewnętrznej sieci które będą odseparowane fizycznie i bankowo nikt nie będzie miał dostepu (chyba że złączy ktoś celowo przez WiFi).