Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Mikrotik EoIP
37 views
Skip to first unread message
Marcin Debowski
Apr 14, 2021, 11:32:15 PM4/14/21
to
Mam sieć opartą na Mikrotiku, konkretnie na hAP mini. Ta sieć jest
dedykowana dla różnych urządzeń typu IoT, smart-srart, google home, i
inne xiaomi, nad którymi nie do końca ma się kontrolę. Siec ta jest
odizolowana innym routerem Mikrotiku od reszty sieci LAN, który to
Mikrotik robi też za bramę WAN dla tego hAP i dla LAN.
Część z tych IoT jest w innych niż hAP pomieszczeniach, a ściany są
niestety grube. W tych innych pomieszczeniach jest za to LAN. I teraz
kombinuję jak zrobić jakiś tunel z hAP przez sieć LAN do np. kolejnego
hAP2, ale tak, aby i hAP i hAP2 nie miały dostępu do LAN. Czy
Mikrotikowy EoIP, który normalnie stosuje się aby zrobić np. tunel przez
sieci publiczne, się do tego nada?
Nie potrafię ocenić czy to jest bezpieczne, a przy tunelu przez sieć
publiczną nie ma to zwykle znaczenia.
--
Marcin
dedykowana dla różnych urządzeń typu IoT, smart-srart, google home, i
inne xiaomi, nad którymi nie do końca ma się kontrolę. Siec ta jest
odizolowana innym routerem Mikrotiku od reszty sieci LAN, który to
Mikrotik robi też za bramę WAN dla tego hAP i dla LAN.
Część z tych IoT jest w innych niż hAP pomieszczeniach, a ściany są
niestety grube. W tych innych pomieszczeniach jest za to LAN. I teraz
kombinuję jak zrobić jakiś tunel z hAP przez sieć LAN do np. kolejnego
hAP2, ale tak, aby i hAP i hAP2 nie miały dostępu do LAN. Czy
Mikrotikowy EoIP, który normalnie stosuje się aby zrobić np. tunel przez
sieci publiczne, się do tego nada?
Nie potrafię ocenić czy to jest bezpieczne, a przy tunelu przez sieć
publiczną nie ma to zwykle znaczenia.
--
Marcin
Marcin Debowski
Apr 14, 2021, 11:46:07 PM4/14/21
to
bezpieczne, bo hAP2 musi być w LAN a hAP musi mieć do jego IP dostęp
(obecnie nie ma). Trzeba by to więc zrobić tak, że hAP (MAC/IP) jest
wpuszczany do LAN i może się łączyć wyłącznie z hAP2, na którym trzebaby
zrobić tez min. dwie sieci, jedną z LAN a drugą, bez routing do LAN dla
IoT.
--
Marcin
Piotr Lechowicz
Apr 15, 2021, 4:57:06 PM4/15/21
to
W dniu 2021-04-15 o 05:45, Marcin Debowski pisze:
Zejdź o poziom niżej i zrób to na VLANach.
Będzie i bezpiecznie i elegancko.
Oczywiście jeżeli masz switche zarządzalne chociaż w minimalnym stopniu...
Będzie i bezpiecznie i elegancko.
Oczywiście jeżeli masz switche zarządzalne chociaż w minimalnym stopniu...
Marcin Debowski
Apr 15, 2021, 8:45:18 PM4/15/21
to
(głównie cenowo), że mam sieć optyczną i skrętkę z konwersją na
switchach... ale sorry, bo nie znam się zupełnie na vlanach, mogę miec
np. 3 różne vlan'y na jednym fizycznym porcie switch'a?
--
Marcin
Marcin Debowski
Apr 16, 2021, 12:31:54 AM4/16/21
to
dwoma krańcowymi gdzie są zdefiniowane vlany, też muszą być
zarządzalne z vlanami?
--
Marcin
Pawel Muszynski
Apr 20, 2021, 7:41:25 AM4/20/21
to
W dniu 16.04.2021 o 06:31, Marcin Debowski pisze:
Do tego właśnie służą VLANy - switch do każdego pakietu przez niego
przechodzącego dodaje / usuwa numerek VLAN. Dzięki temu switch po
drugiej stronie kabla wie, co z pakietem zrobić - pcha go tylko na te
porty, gdzie ten VLAN jest zdefiniowany. Jeśli port docelowy jest typu
access, to ma 1 VLAN i switch przy wypuszczaniu pakietów usuwa nr VLAN,
a jeśli jest typu trunk, to może mieć wiele VLANów i switch przy
wysyłaniu pakietu dokleja do niego nr VLANu (to tak w dużym uproszczeniu).
Paweł
przechodzącego dodaje / usuwa numerek VLAN. Dzięki temu switch po
drugiej stronie kabla wie, co z pakietem zrobić - pcha go tylko na te
porty, gdzie ten VLAN jest zdefiniowany. Jeśli port docelowy jest typu
access, to ma 1 VLAN i switch przy wypuszczaniu pakietów usuwa nr VLAN,
a jeśli jest typu trunk, to może mieć wiele VLANów i switch przy
wysyłaniu pakietu dokleja do niego nr VLANu (to tak w dużym uproszczeniu).
>
> Jeszcze jedno, zapewne debilne pytanie, czy wszystkie switche pomiędzy
> dwoma krańcowymi gdzie są zdefiniowane vlany, też muszą być
> zarządzalne z vlanami?
>
Wszystkie muszą być zarządzalne.
> Jeszcze jedno, zapewne debilne pytanie, czy wszystkie switche pomiędzy
> dwoma krańcowymi gdzie są zdefiniowane vlany, też muszą być
> zarządzalne z vlanami?
>
Paweł
Marcin Debowski
Apr 20, 2021, 7:59:15 PM4/20/21
to
On 2021-04-20, Pawel Muszynski <pmuch....@bolinko.wytnijto.org> wrote:
> W dniu 16.04.2021 o 06:31, Marcin Debowski pisze:
> W dniu 16.04.2021 o 06:31, Marcin Debowski pisze:
>>>>>> Nie potrafię ocenić czy to jest bezpieczne, a przy tunelu przez sieć
>>>>>> publiczną nie ma to zwykle znaczenia.
>>>>>
>>>>> Tak jak się teraz zacząłem zastanawiać, to zdecydowanie nie jest to
>>>>> bezpieczne, bo hAP2 musi być w LAN a hAP musi mieć do jego IP dostęp
>>>>> (obecnie nie ma). Trzeba by to więc zrobić tak, że hAP (MAC/IP) jest
>>>>> wpuszczany do LAN i może się łączyć wyłącznie z hAP2, na którym trzebaby
>>>>> zrobić tez min. dwie sieci, jedną z LAN a drugą, bez routing do LAN dla
>>>>> IoT.
>>>>>
>>>>
>>>> Zejdź o poziom niżej i zrób to na VLANach.
>>>> Będzie i bezpiecznie i elegancko.
>>>>
>>>> Oczywiście jeżeli masz switche zarządzalne chociaż w minimalnym stopniu...
>>>
>>> Nie mam, mógłbym rozważyć kupno, choc sprawa o tyle skomplikowana
>>> (głównie cenowo), że mam sieć optyczną i skrętkę z konwersją na
>>> switchach... ale sorry, bo nie znam się zupełnie na vlanach, mogę miec
>>> np. 3 różne vlan'y na jednym fizycznym porcie switch'a?
> Do tego właśnie służą VLANy - switch do każdego pakietu przez niego
> przechodzącego dodaje / usuwa numerek VLAN. Dzięki temu switch po
> drugiej stronie kabla wie, co z pakietem zrobić - pcha go tylko na te
> porty, gdzie ten VLAN jest zdefiniowany. Jeśli port docelowy jest typu
> access, to ma 1 VLAN i switch przy wypuszczaniu pakietów usuwa nr VLAN,
> a jeśli jest typu trunk, to może mieć wiele VLANów i switch przy
> wysyłaniu pakietu dokleja do niego nr VLANu (to tak w dużym uproszczeniu).
Dzieki. A jak wygląda sprawa współdzielenie fizycznego interfejsu
>>>>>> publiczną nie ma to zwykle znaczenia.
>>>>>
>>>>> Tak jak się teraz zacząłem zastanawiać, to zdecydowanie nie jest to
>>>>> bezpieczne, bo hAP2 musi być w LAN a hAP musi mieć do jego IP dostęp
>>>>> (obecnie nie ma). Trzeba by to więc zrobić tak, że hAP (MAC/IP) jest
>>>>> wpuszczany do LAN i może się łączyć wyłącznie z hAP2, na którym trzebaby
>>>>> zrobić tez min. dwie sieci, jedną z LAN a drugą, bez routing do LAN dla
>>>>> IoT.
>>>>>
>>>>
>>>> Zejdź o poziom niżej i zrób to na VLANach.
>>>> Będzie i bezpiecznie i elegancko.
>>>>
>>>> Oczywiście jeżeli masz switche zarządzalne chociaż w minimalnym stopniu...
>>>
>>> Nie mam, mógłbym rozważyć kupno, choc sprawa o tyle skomplikowana
>>> (głównie cenowo), że mam sieć optyczną i skrętkę z konwersją na
>>> switchach... ale sorry, bo nie znam się zupełnie na vlanach, mogę miec
>>> np. 3 różne vlan'y na jednym fizycznym porcie switch'a?
> Do tego właśnie służą VLANy - switch do każdego pakietu przez niego
> przechodzącego dodaje / usuwa numerek VLAN. Dzięki temu switch po
> drugiej stronie kabla wie, co z pakietem zrobić - pcha go tylko na te
> porty, gdzie ten VLAN jest zdefiniowany. Jeśli port docelowy jest typu
> access, to ma 1 VLAN i switch przy wypuszczaniu pakietów usuwa nr VLAN,
> a jeśli jest typu trunk, to może mieć wiele VLANów i switch przy
> wysyłaniu pakietu dokleja do niego nr VLANu (to tak w dużym uproszczeniu).
(portu) - czy może tak być, że idą na niego jednocześnie otagowane ramki,
które nadal zachowują nr VLANu i nieotagowane?
>> Jeszcze jedno, zapewne debilne pytanie, czy wszystkie switche pomiędzy
>> dwoma krańcowymi gdzie są zdefiniowane vlany, też muszą być
>> zarządzalne z vlanami?
>>
> Wszystkie muszą być zarządzalne.
--
Marcin
Pawel Muszynski
Apr 22, 2021, 3:20:07 AM4/22/21
to
W dniu 21.04.2021 o 01:58, Marcin Debowski pisze:
Tak - ustawiasz na trunku PVID albo Default VLAN - nazwa zależy od
producenta
>
>>> Jeszcze jedno, zapewne debilne pytanie, czy wszystkie switche pomiędzy
>>> dwoma krańcowymi gdzie są zdefiniowane vlany, też muszą być
>>> zarządzalne z vlanami?
>>>
>> Wszystkie muszą być zarządzalne.
>
> Zamówiłem dodatkowe ustrojstwo i będę się uczył.
>
Powodzenia. Akurat VLANy są bardzo proste i przydatne :-)
Jeszcze informacyjnie - niektóre sterowniki pod Windows (i Linux
standardowo) umożliwiają dodanie VLAN do karty sieciowej - więc możesz
mieć PC podłączone do trunka i mieć na nim kilka sieci tak, jakbyś miał
kilka fizycznych kart sieciowych - w windows dodanie VLANu powoduje
nawet pojawienie się dodatkowej karty sieciowej ;-)
producenta
>
>>> Jeszcze jedno, zapewne debilne pytanie, czy wszystkie switche pomiędzy
>>> dwoma krańcowymi gdzie są zdefiniowane vlany, też muszą być
>>> zarządzalne z vlanami?
>>>
>> Wszystkie muszą być zarządzalne.
>
> Zamówiłem dodatkowe ustrojstwo i będę się uczył.
>
Jeszcze informacyjnie - niektóre sterowniki pod Windows (i Linux
standardowo) umożliwiają dodanie VLAN do karty sieciowej - więc możesz
mieć PC podłączone do trunka i mieć na nim kilka sieci tak, jakbyś miał
kilka fizycznych kart sieciowych - w windows dodanie VLANu powoduje
nawet pojawienie się dodatkowej karty sieciowej ;-)
Marcin Debowski
Jun 17, 2021, 2:42:08 AM6/17/21
to
On 2021-04-22, Pawel Muszynski <pmuch....@bolinko.wytnijto.org> wrote:
> Powodzenia. Akurat VLANy są bardzo proste i przydatne :-)
>
> Jeszcze informacyjnie - niektóre sterowniki pod Windows (i Linux
> standardowo) umożliwiają dodanie VLAN do karty sieciowej - więc możesz
> mieć PC podłączone do trunka i mieć na nim kilka sieci tak, jakbyś miał
> kilka fizycznych kart sieciowych - w windows dodanie VLANu powoduje
> nawet pojawienie się dodatkowej karty sieciowej ;-)
Powolutku grzebię. Niby idzie w dobrym kierunku, ale mam z lekka problemy w
> Powodzenia. Akurat VLANy są bardzo proste i przydatne :-)
>
> Jeszcze informacyjnie - niektóre sterowniki pod Windows (i Linux
> standardowo) umożliwiają dodanie VLAN do karty sieciowej - więc możesz
> mieć PC podłączone do trunka i mieć na nim kilka sieci tak, jakbyś miał
> kilka fizycznych kart sieciowych - w windows dodanie VLANu powoduje
> nawet pojawienie się dodatkowej karty sieciowej ;-)
ogarnięciu terminologicznego burdelu. Nie ułatwie też fakt, że mam w tej
chwili 3 switche, 2ch producentów i dodatkowo router.
Będę podpytywał małymi kroczkami :)
Na routerze (Mikrotik) zdefiniowany jest vlan, id=50. Jest on zdefiniowany na
bridgu. Na tym vlanie chodzi osobny dhcpd. Jeden z IF tego bridga idzie do
switcha Netgear GC110P. Tam, jeden z fizycznych portów jest dla tego "50".
Jak w niego wetknę laptopa to dostaje lease z routera a pula odpowiada tej
dla vlanu. Czyli niby działa. Ruch przychodzący z routera idzie na IF
oznaczony jako trunk z id 1,50.
Problem jest taki, ze z tego IF z vlan 50 na netgearze mogę się łączyć z
każdym urządzeniem na wspomnianym bridgu. I teraz nie wiem, czy to dlatego,
że mam coś skopane w konfiguracji vlan, czy też pakiety idą do routera, ten
je ogołaca z tagów vlan i wpuszcza do bridga.
Jak należy rozumieć vlan z id=1? Czym się to różni od nieotagowanego ruchu?
--
Marcin
0 new messages