logo elektroda
logo elektroda
X
logo elektroda
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Jak stworzyć izolowane sieci LAN dla TV, konsoli i drukarki z jednym routerem?

redchili 06 Paź 2019 00:20 846 10
  • #1 18203981
    redchili
    Poziom 9  
    Posty: 28
    Ocena: 3
    Cześć,

    Najpierw zacznę od problemu, który chciałbym rozwiązać.
    Obecnie jest mała sieć:
    1. spięte kablem:
    - drukarka
    - komputery
    - NAS,
    - konsola
    - TV
    2. oraz mobilne urządzenia w WIFI.

    Wszystko działa pod TP-Linkiem TD-W8970.
    Jest wszystko OK, działa.

    Ale chciałbym dodać trochę izolacji dla poszczególnych urządzeń, np. po co TV, konsola ma mieć dostęp do drukarki.

    Czytając wątek:
    https://www.elektroda.pl/rtvforum/topic2704816.html
    kolega rozdzielił sieć przez dodatkowe karty sieciowe, a w innych wątkach czytałem o zrealizowaniu mojego problemu sieciami VLAN.

    Mój cel to stworzenie odrębnych sieci.
    1. komputery z drukarką
    2. TV i konsola
    3. WIFI
    4. komputer, na który mógłbym się wbijać z zewnątrz przez VPN

    Wszystko ma wyjście na świat.

    W jaki sposób mógłbym to zrealizować? Zapewne aktualny sprzęt tego nie ogarnie, więc jaki? Chciałbym ograniczyć ilość sprzętu. Chciałbym ażebym mógł to ogarnąć poprzez wymianę rutera.

    Mógłbym prosić o wskazówki.

    ps. w sieciach nie jestem za dobry, więc proszę o wyrozumiałość

    Pozdrawiam
  • Pomocny post
    #2 18204014
    dt1
    Admin grupy komputery
    Posty: 48198
    Pomógł: 7308
    Ocena: 8270
    Witaj.
    Możesz oczywiście to sobie porozdzielać, tylko... po co? Czy masz jakieś problemy z domownikami, którzy próbują przejąć streaming na TV w locie, albo telewizor próbuje Ci się włamać do drukarki? Bo patrząc na to wszystko - poszatkowanie tego na VLANy w zasadzie nie przyniesie (z mojej perspektywy) żadnych korzyści (poza faktem, że będziesz musiał na sprzęt nieco wydać i się nauczyć, jak to konfigurować). Szczególnie jeśli nie jesteś orłem w tematach sieciowych - nie będzie to jakieś okrutnie łatwe zadanie.

    Wstępnie, do tego co potrzebujesz, powinieneś mieć minimum switcha zarządzanego z obsługą VLAN, router z obsługą VLAN. Jeśli masz łącze ADSL to ciężko mi polecić jakiś przyzwoity router z rozsądnymi możliwościami i względnie przyzwoitej cenie. Natomiast tani zarządzalny 24 portowy switch z obsługą LAN i wystarczający do domu to jakieś 350 złotych. Doliczając cenę strasznie przeciętnego routera domowego już przekraczasz 500 złotych, a za 150 złotych porządnego routera ADSL z obsługą VLAN i VPN raczej chyba nie kupisz. Ostatecznie, jeśli masz portów LAN w routerze co najmniej tyle ile kabli do gniazdek - to możesz się obejść bez switcha i rozdzielić na portach sieci na osobne podsieci fizyczne. Ale to tego też jest potrzebny poprawny router. Jeśli masz jakieś switche poza switchem głównym, np porozrzucane gdzieś na piętrach, to również może to mieć wpływ na konfigurację całości - dużo zależy od aktualnej struktury Twojej sieci.

    Pytanie tylko, czy rzeczywiście jest Ci to do czegokolwiek potrzebne, czy ma być to tylko dla sportu :)
  • #3 18204048
    IC_Current
    Specjalista Sieci, Internet
    Posty: 9146
    Pomógł: 1499
    Ocena: 2513
    Szkoda zabawy w domu. Tym bardziej, że przestaną działać usługi takie jak streamowanie zdjęć z telefonu do TV, albo filmów z NAS do TV. W domu jest sens odrębnej podsieci jedynie, gdy chcesz oddzielić np alarm lub krytyczną automatykę od reszty urządzeń. Natomiast ten TP-Link ma chyba opcję sieci gościnnej i to powinieneś mieć aktywne dla wszystkich "kolegów i znajomych".
    Pomogłem? Kup mi kawę.
  • #4 18204192
    redchili
    Poziom 9  
    Posty: 28
    Ocena: 3
    Dzięki bardzo za odpowiedzi.

    Na pewno nie chcę tego dla sportu robić. I nie chcę wydawać tak dużej gotówki ;(
    Celem było/jest separacja pod kątem bezpieczeństwa. Jeśli trafi się jakiś wirus, trojan żeby mi nie penetrował sieci, a w końcu nie szyfrował dysków np, NAS,

    Chyba, że można to inaczej ogarnąć?
  • #5 18204400
    IC_Current
    Specjalista Sieci, Internet
    Posty: 9146
    Pomógł: 1499
    Ocena: 2513
    Raczej na telewizorze nie ma czego szukać. Dysk NAS i tak zaszyfruje, choćby był w innej podsieci. Przecież udziały montujesz w systemie.
    Takie rzeczy zabezpiecza się tworząc kopię zapasową na innym urządzeniu i z wykorzystaniem innych protokołów połączeniowych niż w normalnej pracy.
    Pomogłem? Kup mi kawę.
  • #6 18204960
    KOCUREK1970
    Specjalista Sieci, Internet
    Posty: 35565
    Pomógł: 3849
    Ocena: 5465
    redchili napisał:
    Jeśli trafi się jakiś wirus, trojan żeby mi nie penetrował sieci, a w końcu nie szyfrował dysków np, NAS,

    redchili napisał:
    nie chcę wydawać tak dużej gotówki ;(

    Dużej, to znaczy jakiej - 1 tys zł, 2 tys zł (bo o takich kwotach mówimy, by się sprzętowo i to słabo zabezpieczyć).
  • #7 18206288
    reaperesblac
    Poziom 9  
    Posty: 8
    Pomógł: 2
    Można coś takiego wykonać dość tanio na mikrotiku ustawiając odpowiednio firewall i blokowanie ruchu na forwardzie tylko pytanie czy jest sens. Wydzielić sobie konkretne adresacje które mają dostęp np. do Drukarki oraz przyblokować wszystkie inne porty poza tymi których się używa na urządzaniu.
  • #8 18206697
    IC_Current
    Specjalista Sieci, Internet
    Posty: 9146
    Pomógł: 1499
    Ocena: 2513
    reaperesblac napisał:
    Można coś takiego wykonać dość tanio na Mikrotiku ustawiając odpowiednio firewall i blokowanie ruchu na forwardzie tylko pytanie czy jest sens. Wydzielić sobie konkretne adresacje które mają dostęp np. do Drukarki oraz przyblokować wszystkie inne porty poza tymi których się używa na urządzaniu.


    Nie da się, bo:
    1. Ruch w sieci Ethernet w jednej domenie rozgłoszeniowej odbywa się za pośrednictwem adresów MAC, a nie IP
    2. Nawet jakbyś zrobił firewall dla adresów MAC, to i tak w sieci Ethernet żaden pakiet nie trafi do routera tylko będą przekazywane przez switch do klienta.
    Jakby więc nie było, potrzebny jest switch zarządzalny, oraz router z obsługą VLAN-ów (choćby ten MT).
    Pomogłem? Kup mi kawę.
  • #9 18207357
    redchili
    Poziom 9  
    Posty: 28
    Ocena: 3
    Jeszcze raz dzięki za info.
    Wychodzi na to, że moje widzimisie jest dość czaso- i kaso- chłonne.
    Może za jakiś czas powstaną rutery do domowych rozwiązać, zarządzane, za rozsądną cenę.

    pozdrawiam
  • #10 18207461
    Heinzek
    Specjalista Sieci, Internet
    Posty: 3732
    Pomógł: 554
    Ocena: 494
    W8970 w konfiguracji ma coś takiego jak Network - Interface Grouping. Sprawdź czy to by nie pomogło bo można porty podzielić.
    Jak masz W8970 v1 to można na niego wgrać openwrt a na nim podzielić sobie switcha na Vlany.
  • #11 18207567
    Janusz_kk
    Poziom 39  
    Posty: 5848
    Pomógł: 226
    Ocena: 1470
    redchili napisał:
    a w końcu nie szyfrował dysków np, NAS,

    Ja w tym celu mam nas-a wyłączonego :) jak nazbieram danych, spakuję je,
    widzę że nic mi nie buszuje po kompie to włączam nas-a i archiwizuję :)

Podsumowanie tematu

✨ Użytkownik poszukuje sposobu na stworzenie izolowanych sieci LAN dla różnych urządzeń w swoim domu, takich jak TV, konsola, drukarka i komputery, korzystając z jednego routera TP-Link TD-W8970. Chce zwiększyć bezpieczeństwo sieci, aby zminimalizować ryzyko ataków, takich jak wirusy czy trojany. W odpowiedziach podkreślono, że separacja urządzeń za pomocą VLAN-ów wymaga odpowiedniego sprzętu, w tym zarządzalnego switcha i routera z obsługą VLAN. Zwrócono uwagę na potencjalne problemy z funkcjonalnością, takie jak utrata możliwości streamowania. Użytkownik rozważa również alternatywne metody zabezpieczeń, takie jak tworzenie kopii zapasowych. Wspomniano o możliwości wgrania OpenWRT na router TP-Link, co mogłoby umożliwić podział portów.
Podsumowanie AI na podstawie dyskusji. Może zawierać błędy.
REKLAMA