OT: VLANs bylo Re: mikrotik - jak oddelit pevne site?

Pátek Leden 14 14:09:42 CET 2022

V tom případě moje rada zní, doma nic nenastavujte, do firmy si zaplaťte
síťaře, který se na to podívá, navrhne řešení a případně i nastaví. Stačí se
poptat třeba na root.cz, určitě se někdo najde. Bez hlubší znalosti sítě se
nedá radit a bez zkušenosti s VLANama to pravděpodobně nebude dobře
nastavený.
Ono to vypadá jednoduše a ve své podstatě to jednoduchý je, ale samotný
VLANy jsou naprosto k ničemu, když pro ně není nastavená celá síť.

PS: Pokud si tam pozvete opravdu profíka, připravte se, že první rada bude,
ať vyhodíte TPLinky, Dlinky a podobný zvěrstva.

-----Original Message-----
From: Hw-list <hw-list-bounces na list.hw.cz> On Behalf Of Martin Hanek
Sent: Friday, January 14, 2022 1:51 PM
To: hw-list na list.hw.cz
Subject: Re: OT: VLANs bylo Re: mikrotik - jak oddelit pevne site?

Doma mam router s OpenWRT, NAS server Synology, kameru nahravajici na NAS,
teplomer co posila do Internetu, pocitace pres LAN, a na WiFi tiskarnu,
mobily a tablety.
WiFi pro navstevy umi sam router. Kamere jsem nastavil spatnou branu, aby se
nikam nedostala. Ale asi by to umela obejit. Leda ji blokovat odchozi
spojeni do WAN na routeru.
Kdyz dam kameru do VLAN, tak bych musel resit jeji pristup na NAS (mozna se
pripojuje NAS na ni, to ted nevim). Takze bych si asi moc nepomohl.

A co treba v male firme?
WiFi pro hosty umi UniFi SDN controller s AccessPointy, kde je kompletne
blokovany pristup do lokalni site.
Napriklad kamery a tiskarny do VLAN by sly. Staci jedna VLAN nebo dve?
Jenze ty tiskarny treba skenuji a ukladaji pres SMB na firemni server nebo
posilaji mailem. Kdyz je dam do VLAN, tak to musim zase nejak nastavit nebo
ne?

Z toho co jste napsal nejsem moc moudry, budu muset nastudovat terminologii.

Martin Hanek

Dne 14.01.2022 v 13:32 Tomáš Koželuh napsal(a):
> Doma raději čím míň VLAN tím lepší. Ale třeba kamery je lepší oddělit, 
> případně wifi pro návštěvy nebo děti a podobně. S VLANama pak přestává 
> platit, že člověk ví, co konkrétní port ve switchi dělá, je potřeba to 
> ověřovat. A zároveň bez znalostí bývá problém to dobře nastavit a tady 
> už se blbě radí, protože výrobce může mít různé chování v základním 
> nastavení a nebo i různě pojmenované věci. Např. Cisco a spousta 
> dalších trunk/access a HPE tagged/untagged, někdo používá PVID někdo 
> ne, různá práce s hybridními porty a podobně.
> Obecně tedy, "hlavní šlauch" má všechny VLANy a ty jsou tagované (port 
> bývá označován jako trunk nebo tagged), stejným způsobem jde poslat 
> dál do dalšího switche (druhý trunk port vedoucí do dalšího switche). 
> Rozvod jednotlivých VLAN na jednotlivých portech je netagovaný (port 
> bývá označován jako access nebo untagged), sem se píchne koncové 
> zařízení. A teď bacha na režim hybrid, některý switche do něho přepnou 
> automaticky a PVID nechají netagovanou a zbytek tagovaný. Takže se 
> může stát, že na tagovaných portech je netagovaná třeba hlavní VLAN. 
> Pak je potřeba ručně přepnout do režimu trunk nebo PVID přenastavit na 
> nějakou nepoužívanou VLAN, která vede odnikud nikam. Takto se typicky 
> chovají třeba bývalý 3Com (HPE řada 1910,1920 a tuším i 1950, 5120 a
5130).
> Taky je potřeba si ověřit, že switche nepouští dál žádnou jinou VLAN 
> než tu nastavenou, některý to ve výchozím stavu dělají.
> A určitě je spousta dalších doporučení, na který jsem zapomněl a můžou 
> významně ovlivnit činnost sítě.
>
>
> -----Original Message-----
> From: Hw-list <hw-list-bounces na list.hw.cz> On Behalf Of Martin Hanek
> Sent: Friday, January 14, 2022 12:35 PM
> To: hw-list na list.hw.cz
> Subject: OT: VLANs bylo Re: mikrotik - jak oddelit pevne site?
>
> Me by zajimalo asi obecne, chtel bych dat kamery do VLAN.
> Router je pfSense:
> https://docs.netgate.com/pfsense/en/latest/vlan/index.html
> a switche od TP-Linku (jsou 3 kusy), kde v nastaveni vidim:
> - MTU VLAN
> - Port Based VLAN
> - 802.1Q VLAN
> - 802.1Q PVID Setting
>
> Koukam, ze na tom pfSense je jeden volny port. Co by bylo lepsi:
> a) udelat tento port pouze pro VLAN a k nemu pripojit jeden switch, na 
> kterem bude vse ve vlan
> b) udelat VLAN na standardnim LAN portu v routeru a nastavit i ty 
> switche
>
> V bode a) vidim problem, ze to nekdo prepoji do bezneho switche a 
> zarzeni bude v bezne LAN. Druhy bod bude asi slozitejsi.
> Jak moc ma smysl delat tech VLAN hodne, treba extra pro kamery, extra 
> pro tiskarny atd.? Plati cim vice tim lepe?
> Diky.
>
> Martin Hanek
>
> Dne 14.01.2022 v 12:01 Tomáš Koželuh napsal(a):
>> Pokud byste potřeboval, můžu popsat detailněji soukromě nebo veřejně, 
>> pokud by ještě někdo další stál o návod.