Ciao a tutti,
stavo cercando di creare una doppia rete wireless a casa mia: una utilizzata da me con accesso anche alla LAN, e la seconda con solo accesso internet per ospiti.
E' un tema che è stato più volte dibattuto sul forum per cui so che si può fare aggiungendo delle regole a livello di firewall.
Credo di aver “capito” il giro da fare (non sono un esperto di reti, per cui vado un po' a tentoni) ma mi sono fermato sulla realizzazione pratica.

Come router ho un Tp-Link WR1043ND con dd-wrt
e come Access Point ho un HP V-M200 (non uso quello interno del Tp-Link perché volevo poterlo accendere con un radiocomando).

L'HP permette di creare fino a 4 SSID e, avendo una sola interfaccia ethernet, manda tutto sulla lan usando VLAN tagged.
E proprio qui mi sono fermato, perché pensavo di poter definire due VLAN anche sul router ma purtroppo il dd-wrt su WR1043 ha un bug che non gli consente di gestire le Vlan tagged (riferimento qui (http://www.dd-wrt.com/phpBB2/viewtopic.php?p=559249&sid=7d63a37f146ee55f389e91fa6a4e0279)).

Stavo allora valutando una seconda strada.
Per altre necessità le poche porte lan del router iniziano a starmi strette, dovrò quindi comperare uno switch.
Mi domando: se comperassi uno switch managed potrebbe essermi utile anche per risolvere il problema delle Vlan?

Stavo cioè immaginando uno scenario di questo tipo:

[A] collego l'AP solo allo Switch che distingue le Vlan tagged e le separa in uscita su due porte untagged


le due porte untagged dello switch le collego a due porte lan del router


a quel punto il router potrebbe applicare le regole di firewalling sulle due sottoreti e superare il problema che ha con le Vlan.


Però non so se possa funzionare.... forse ho fatto qualche salto di troppo ? :help:
Il dubbio soprattutto è questo: nel passaggio che sopra ho evidenziato come [A], le due porte in uscita viaggerebbero su due sottoreti diversi ? (ho capito bene?) Se così fosse come farei sul router a gestire due sottoreti a livello di medesima lan? Dovrei definire delle nuove interfacce virtuali e lavorare di bridging? Ho capito bene ?


Grazie in anticipo!!

p.s. non fucilatemi se ho detto stron@@te: so' niubbo con le reti.... :)

ti serve uno switch layer 3 per fare intervlan routing, oppure cambi il router

Grazie, ora ho letto un po' in giro e in effetti la soluzione sarebbe proprio lo sw L3.
Però vedo che costano un botto e oltretutto consumano anche molto, almeno rispetto a un L2.
Quindi penso che mi converrà più la soluzione del cambio router.

A questo punto mi cerco uno sw L2 (e vedo che c'è ampia scelta anche senza eccedere nei costi) e un router meglio "attrezzato" rispetto al mio attuale.
Sarà penso proprio questa la parte più difficile: trovare un buon router che gestisca vlan tagged con scheda gigabit... sto guardando dei DrayTek che mi sembrano molto interessanti.... ad es. il Vigor 2830.
Qualcuno lo conosce o l'ha mai usato ?

Grazie ancora !

Ciao anubbio,

la soluzione che proponi tu è corretta, a patto che il dd-wrt ti veda le 4 porte del routerino come 4 interfacce indipendenti (ovvero come fossero 4 schede di rete) e non come 4 switched port (ovvero una scheda con uno switch da 4 porte). A quel punto vai, con 2 cavi, dallo switch L2 al router e su IpTables ti gestisci tutte le regole di routing.

Tuttavia, per quello che ti può costare uno Switch L2 managed o, peggio, un L3, non ti conviene prendere direttamente un secondo access-point da collegare alla seconda interfaccia del router? (AP1 -> casa, AP2 -> Ospiti)

Ciao LoneRunner,
purtroppo dd-wrt su WR1043 non supporta le vlan: link (http://www.dd-wrt.com/phpBB2/viewtopic.php?p=543147)

La soluzione dei 2 AP separati l'avevo pensata, ma in realtà ho anche il problema che le porte del router iniziano a essere pochine, per cui devo comunque mettere in preventivo l'acquisto di uno sw.
Ho visto i prezzi dei L3 e non hanno senso per uso domestico, però gli L2 sono senz'altro abbordabili e quindi potrei farci un pensierino.
In realtà se lo prendessi solo per avere più porte basterebbe un non managed, ma prima o poi (più poi che prima :) ) vorrò mettere 2 o 3 telecamere per videosorveglianza, e a quel punto penso che le vlan sarebbero molto utili.
In quest'ottica comperare ora un L2 managed non la vedo una cosa fatta male....

Certo, devo cambiare anche il router per poter gestire le vlan, ma comunque anche qui si tratta di una spesa abbordabile. Devo solo trovare un modello adatto e che non mi diventi "stretto" dopo 2 settimane :)

(mi sto accorgendo - infatti - che in queste cose l'appetito vien mangiando: compri un apparato pensando che ti possa durare almeno qualche anno, e subito dopo ti accorgi che manca una certa funzioncina che invece vuoi :muro: )

Va beh, intanto ti ringrazio perché mi hai confermato la correttezza della soluzione immaginata.

Ciao

Anzi che dd-wrt prova a mettere su openwrt.
Lui fa esattamente quello che chiedi senza cambiare nulla.
Il problema è però la configurazione, ma se cerchi un po' sulla rete trovi tutto quello che ti serve, anche delle configurazioni già fatte.
IL bello/brutto di opnewrt, è che quasi tutto lo si configura da file e quindi può risultare un po' ostico! Ma come ho detto trovi delle configurazioni per vlan già fatte!

Guarda, non mi parlare di OpenWrt.... :muro:

Premessa: un anno fa avevo preso una RouterStation Pro (bel pezzo da 90!) e avevo comperato la licenza per dd-wrt (infatti la RsPro viene considerata hw di livello sueriore e quindi i simpaticoni di dd ti fanno pagare la licenza).
Dopo qualche mese per un guasto hw ho dovuto cambiare la scheda (per fortuna sostituita in garanzia) ma la licenza non l'ho più voluta ricomprare (per principio: mi sembra una scelta commerciale molto discutibile legare la licenza all'hw).

Un mese fa ho riesumato la RsPro proprio per cercare di configurare 3 Vlan come servivano a me. Risultato: ogni volta sbagliavo configurazione!! errore mio: ma del resto questa è proprio una cosa nella quale qualche prova devi pur farla, no ? ......ed ogni volta la RsPro non ripartiva nemmeno più! non rispondeva al ping.... quindi non mi rimaneva altro che ri-flashare OpenWrt.

Ora: non so se hai mai provato a flashare una RsPro...... devi provarci una ventina di volte prima di beccare il "momento" giusto per iniziare l'upload con tftp...... morale della favola: l'ho dovuto fare 3 volte mettendoci 3 giorni! alla fine ho rimesso OpenWrt "pulito" e tengo la scheda come muletto nel caso dovesse rompersi il router che uso oggi.

Intendiamoci: OpenWrt è un ottimo pacchetto, so che è usatissimo.... ma se devo buttare via giorni per farlo funzionare (lavoro e di tempo libero non ne ho molto), allora dico che preferisco comperarmi un prodotto finito e solo da configurare.
Naturalmente so che anche con quello posso rischiare di "fare casino", ma su un prodotto commerciale (come i DrayTek che stavo puntando) ci sono sempre e comunque modalità di reset che fanno ripartire il router subito senza dover reinstallare il fw.
Alla fine se faccio il conto del tempo che ho buttato (3 giorni), mi ci ero già comperato un router decisamente completo :D

Naturalmente la mia disavventura è accaduta con la RsPro, se provassi con il 1043 potrebbe essere diverso, ma se leggi i vari post che mi hai suggerito, troverai che il buon esito della configurazione dipende dal fare le operazione in un preciso ordine (molto bella la guida su rpc). Morale: se sbagli una virgola devi rifare tutto da capo: nooooooooooooooooOOO!!!! :doh:

Prima di cambiare router (e visto che lo switch managed lo devi comunque acquistare) io proverei come ti è stato detto:
la soluzione che proponi tu è corretta, a patto che il dd-wrt ti veda le 4 porte del routerino come 4 interfacce indipendenti (ovvero come fossero 4 schede di rete) e non come 4 switched port (ovvero una scheda con uno switch da 4 porte). A quel punto vai, con 2 cavi, dallo switch L2 al router e su IpTables ti gestisci tutte le regole di routing.
Secondo me è perfettamente gestibile con DDWRT e puoi creagli anche due DHCP server distinti.

Inoltre se ti bastano poche porte (oppure gli metti altri switch normali in cascata) puoi considerare il MicroTik RB250GS, è uno switch managed in tutto e per tutto ma con sole 5 porte, però costa anche 30 Euro.. ;)

EDIT: Altra soluzione potrebbe essere un managed ma 100M invece che gigabit (per il WiFi e le videocamere basta..)

Eh purtroppo la prima soluzione suggerita non potrebbe funzionare: tra dd-wrt e wr1043 c'è un problema (driver usato se non erro) che non permette di definire vlan tagged. Nel mio primo post avevo messo il link ad un riferimento del forum dd (circa a metà) che lo diceva.

Uno sw a 100 Mbps non mi basta perché quando faccio i backup tra desktop e nas trasferisco ogni volta decine di GB (sono un appassionato di foto e ogni foto in raw pesa circa 20 MB). Con una rete fast-e ci metterei una vita.... :doh:

Il RB250GS è spettacoloare !! Grazie per l'input !
Conoscevo MikroTik: l'avevo valutata quando poi decisi di prendere la RsPro. All'epoca però non ricodo ci fosse questo scatolotto (o forse non ne ero interessato io).
Molto bello davvero comunque: per 30 euro è tanto se trovi uno sw stupido con altre marche, altro che managed....

La cosa che non mi convince (per le mie esigenze) è che è "solo" L2, mentre per evitare di far arrivare tutto sul router mi sarebbe piaciuto un L3. Stavo guardando per es. l'HP 1910-24G (lascia stare il numero di porte che per ora a me non servirebbero). Non è un vero L3 ma permette di definire rotte statiche tra Vlan, e per me credo proprio sarebbe sufficiente.

Il costo non è esagerato: l'unica cosa che mi frena è che consuma 32 W, che sembrano pochi ma.... tienilo acceso 24/7..... :cool: oltretutto lo metterei in un posto con scarsa circolazione d'aria e quindi il calore temo si farebbe sentire.

Comunque davvero carino il MikroTik per quel che costa, magari ci faccio un pensierino....

Il consiglio che ti ha dato l'utente (e che io ribadisco) non implica l'uso di VLAN tagged sul router.. Le VLAN vengono "taggate" dallo switch managed in modo da inviarle correttamente all'access point, mentre in uscita dal router useresti due interfacce fisiche differenti (su VLAN diverse ma untagged) che terminano in due porte differenti dello switch managed. Non so se conosci le tipologie di VLAN, ma c'è una bella differenza tra tagged e untagged..

Cosa c'entrano i backup con il WiFi? Il resto della tua rete funzionerà gigabit con uno switch normale e traffico untagged, mentre la parte che richiede le Vlan (wifi e video) userà la 100M tagged che dovrebbe bastare.

Per il consumo purtroppo sarai penalizzato sempre se scegli prodotti aziendali..

Domanda
Puoi dare IP statici alle risorse collegate all'AP 1 (Casa) e lasciare in DHCP solo le risorse che si collegheranno all'AP 2 Clienti?

@malatodihardware
...non implica l'uso di VLAN tagged sul router.
Sì hai ragione, mi sono confuso io ora nel risponderti (per me sono comunque concetti "nuovi", abbi pazienza....).
Ora leggendo altri post su dd-wrt mi sembra di capire che sul wr1043 non supporti nemmeno le Vlan untagged:
vedi qui (http://www.dd-wrt.com/phpBB2/viewtopic.php?p=502400) (in fondo alla pagina, anche se il post è vecchio)
e anche qui (http://www.dd-wrt.com/phpBB2/viewtopic.php?p=445795&sid=d48897759da36ccdf8a8def04af0d54c)

Cosa c'entrano i backup con il WiFi?
Avevo capito mi stessi suggerendo uno sw managed da 100, e alla fine avrei attaccato tutto allo sw: AP + nas + .... Non intendevi questo ? e quindi la rete sarebbe poi stata a 100....


@Il Bruco
Non sarebbe l'ideale ma potrei. A cosa stavi pensando ?

Basta uno Switch semplice

Configurazione:

Router
IP 192.168.1.1
Subnetmask 255.255.0.0
Range DHCP da 192.168.2.100 a 192.168.2.254


AP1 (Casa)
IP 192.168.1.2
Subenetmask 255.255.255.0
Gateway 192.168.1.1 (se richiesto)
DNS 192.168.1.1 (se richiesto)
DHCP disabilitato
Le altre risorse (Casa) WiFi e LAN vanno configurate con valori statici come l'AP1 cambiando l'IP da 192.168.1.3 a 192.168.1.254

AP2 (Clienti)
IP 192.168.2.1
Subenetmask 255.255.255.0
Gateway 192.168.1.1 (se richiesto)
DNS 192.168.1.1 (se richiesto)
DHCP disabilitato
Le altre risorse (Casa) WiFi e LAN vanno configurate o in acquisizione automatica o con valori statici come l'AP2 cambiando l'IP da 192.168.1.2 a 192.168.2.99

In questa maniera hai 2 reti separate

P.S. Devi poi giocare sui permessi, se vuoi che i Clienti non possano, mettendo valori statici, possano inserirsi sulla rete di Casa.

Ciao,
lasciami dividere in due parti la risposta:

Parte PRATICA
Purtroppo non posso farlo perché l'AP HP ha una sola porta ethernet, quindi non posso assegnarle due IP.
E vorrei proprio utilizzare quello invece dell'AP interno alla WR1043 per avere la possibilità di accenderlo con un radiocomando lasciand sempre attivo il router.




Parte TEORICA
La proposta di soluzione che mi hai indicato è comunque molto interessante per l'aspetto teorico, perché si basa su un concetto che ho sempre fatto fatica a capire (l'ho detto: non sono un professionista delle reti, quindi abbiate pazienza .... :) ).
Vedo che tutto si basa sull'idea di assegnare al router una subnet che consenta al router di lavorare con una rete più "ampia" (passami il termine) di quelle dei due AP.
Io sta cosa davvero non l'ho mai capita (ricordo bene che mi ci ero già interrogato quando ho letto un libro sulle reti - taaaanto tempo fa).
Il mio dubbio è: per l'AP2 hai detto di impostare un default gateway che è in una rete diversa da quella alla quale appartiene l'IP dell'AP2 :
AP2 (Clienti)
IP 192.168.2.1
Subenetmask 255.255.255.0
Gateway 192.168.1.1 (se richiesto)


Ma come fa a funzionare sta cosa? Per quel che so io il gateway è l'indirizzo al quale l'host (in questo caso AP2) indirizza tutti i pacchetti che riconosce NON ESSERE della sua stessa sottorete (e questo lo fa guardando la subnet mask).
In questo caso - appunto - AP2 dovrebbe capire che 192.168.1.x è una rete diversa dalla sua e quindi mandare i pacchietti al gateway.
Ma come fa a spedire al gateway se l'indirizzo del gateway stesso è su una rete che lui non conosce ? :muro:

Premetto: prima di fare questa domanda da niubbo (come mio nick :D ) ho cercato tutto il pomeriggio su internet: ho in effetti trovato altri casi che suggerivano soluzioni simili (ovviamente per problemi diversi) ma nessuno che abbia spiegato bene come fa a funzionare il tutto......


Fine della parte teorica: mi sembra di essere tornato sui banchi di scuola..... :mad:

Grazie per la pazienza !
Ciao

Risposta alla parte pratica
All'AP non devi assegnare 2 IP ma uno solo, vedi sotto il motivo.

Risposta alla parte teorica in parole povere
L'AP in modalità pura non è altro che un apparecchio che tramuta un segnale proveniente dalla LAN e lo tramuta in WiFi.

Per cui, con DHCP disabilitato, anche se non gli assegni un IP appartenente alla sottorete a cui viene collegato, lavora in trasparenza senza intervenire sulla gestione degli IP e relativo Gateway, che vengono gestiti dal Router Host.
Ti ho consigliato di assegnare a 2 AP un IP per fare in modo di essere raggiunti dalle risorse collegate alla reti Casa e Clienti, per poterlI in seguito riconfigurare
La rete lavorerà sugli IP, Gateway, DNS e DHCP gestiti dal Router HOST
Con gli IP statici gestisci la rete Casa e con il Range del DHCP gestisci la rete Clienti.