2 Lan indipendenti.....

[rupia]

Mi ritrovo con 2 gruppi di pc, il primo gruppo è un gruppo di pc "fidato e autorizzato", il secondo sono pc "cattivi"
All'interno della rete c'è un Firewall\Router che assegna IP tramite dhcp.....il problema è che dovrei tenere i due gruppi separati....in modo che non si vedano tra di loro, in pratica creare due lan, Lan1 e Lan2 totalmente indipendenti ma che utilizzino lo stesso gateway, ora in questo modo non và perchè tramite dhcp tutti vedono tutti....e non posso rinunciare al dhcp...idee?

Vi dico che non posso mettere un server o creare un dominio per diverse ragioni in primis il fatto che nella struttura non c'è personale IT.
Veniamo a noi

SOLUZIONE 1
Implemento due router\firewall software ognuno con un suo dhcp collegato con 2 schede di rete, la prima con indirizzo Ip privato allo switch che accoglierà i pc di ciascun gruppo e a cui rilascerà appunto gli ip, la seconda con Ip pubblico allo switch pubblico collegato al Router fornito dall'isp.
In questo modo però ho una duplicazione dell'hardware e in primis del router\firewall, e 2 Ip pubblici, ma posso gestire due classi diverse es. 192.168.1.100\255.255.255.0 e 172.16.0.0\255.255.252.0

SOLUZIONE 2
Sul firewall\router (che è una appliance software dedicata) aggiungo una terza scheda di rete, in questo modo la prima scheda assegna gli ip della classe 192.168.1.100 ai pc collegati sullo switch 1 e la seconda assegna gli ip del range 172.16.0.o ai pc collegati sullo switch 2. In questo modo mantengo un solo Firewall\Router con una separazione delle due Lan, ho sempre 2 switch, ma 1 solo indirizzo IP Pubblico collegato allo switch dove c'è il router dell'Isp.

SOLUZIONE 3

Colegare le due lan sullo stesso switch ma creando 2 Vlan, esempio porte dello switch da 1 a 10 Vlan1 per gruppo A e porte da 2 a 11 a 20 per Vlan2 per gruppo B, attaccherei poi il Firewall\Router su questo switch in modo che il dhcp sia ssegnato a tutti in pc che avranno un'unica classe 192.168.100\255.255.255.0 ma non si vedranno tra di loro.

Che mi dite?

[tech85]

secondo me è buona la terza opzione(sempre se l'hardware te lo permette)


che router hai?

[slowped]

Quote:

Originariamente inviato da tech85

secondo me è buona la terza opzione

Più precisamente, può funzionare a condizione che:

1) lo switch consenta di configurare una porta in Trunk
2) le schede di rete del firewall/router supporti le VLAN.

In caso contrario, la scheda di rete interna del firewall/router potrà stare solo su una delle due VLAN.

Una buona soluzione di compromesso è rappresentata da un mix tra la 2 e la 3. Ossia, aggiungere una scheda di rete al firewall/router in modo che possa essere connesso a entrambe le VLAN.

[rupia]

Il router a monte è un Cisco fornito dall'isp su cui non posso operare, quello che gestisce la rete (dhcp, firewall, antivirus, proxy...) è Winroute con 2 schede di rete una con Ip pubblico l'altra privato.
Per gli switch userò dei Cisco, non ho problemi di scelta.

[slowped]

Allora non dovresti avere grossi problemi con la soluzione 3. Accertati solo che il driver della scheda di rete interna supporti le VLAN.
Non sono sicuro che tu possa fare tutto con un solo scope DHCP, ma ora è tardi, ci penseremo domani

[rupia]

ok
a domani

[slowped]

Quote:

Originariamente inviato da rupia

ok
a domani

Eccoci. Dicevo ieri che non sono sicuro tu possa usare un solo "scope" DHCP. Dipende da come è implementato il server dal Winroute. Nella peggiore delle ipotesi, comunque, dovresti definire due "scope" uno per ogni scheda collegata a ogni VLAN.

[rupia]

Ciao
diciamo piuttosto che non sono sicuro che posso avere 2 scope o meglio che winroute mi faccia settare i due scope assegnadoli oguno indipendentemente alle due schede....a questo punto credo che rivedrò la configurazione, anche perchè i pc guest per navigare dovranno autenticarsi con user\password come in un Internet Point quindi ci sarà sicuramente un'appliance dedicata che farà da proxy prima di passare al gateway, quindi credo che mi converebbe dividire fisiacmente le due Lan con un doppio router firewall

vedi http://img121.imageshack.us/i/2lan.png/

[slowped]

Quote:

Originariamente inviato da rupia

quindi credo che mi converebbe dividire fisiacmente le due Lan con un doppio router firewall

Potrebbe non essere necessario. Alcuni switch Cisco (i 3550, per esempio) lavorano anche sul layer 3 e hanno quindi funzioni di routing tra le VLAN. Se ne hai uno a disposizione puoi lavorare esclusivamente a livello logico con due VLAN.

Che apparati hai a disposizione?

[rupia]

Per gli switch no problem, ma per il router, quello fornito dall'isp per l'hdsl non lo posso configurare, per quelli interni stavo pensando ad una soluzione che crei meno problemi possibili, poichè non ci sarà alcun tecnico presente, un'applicazione come winroute mi richiderebbe un pc\server un Os come Windows (dall'Xp al 2008 R2) con tutti le problematiche (aggiornamento dell'Os, di Kerio, un software antivirus, possibili errori e crash....), quindi pensavo a due router dedicati che gestissero la parte dhcp su ip privato e quella con ip pubblico....che mi suggerisci?

[slowped]

Quote:

Originariamente inviato da rupia

un'applicazione come winroute mi richiderebbe un pc\server un Os come Windows (dall'Xp al 2008 R2) con tutti le problematiche (aggiornamento dell'Os, di Kerio, un software antivirus, possibili errori e crash....),

Dato che sei stato tu a menzionare Winroute, pensavo che quello fosse un dato.

Quote:

Originariamente inviato da rupia

Per gli switch no problem, ma per il router, quello fornito dall'isp per l'hdsl non lo posso configurare,

Non hai bisogno di intervenire sul router dell'isp, puoi tranquillamente operare a valle. Con "per gli switch no problem" che cosa intendi? Che puoi procurartene uno con tutte le caratteristiche del caso? In caso affermativo, vedi oltre.

Quote:

Originariamente inviato da rupia

per quelli interni stavo pensando ad una soluzione che crei meno problemi possibili, poichè non ci sarà alcun tecnico presente, quindi pensavo a due router dedicati che gestissero la parte dhcp su ip privato e quella con ip pubblico....

A mio giudizio non hai bisogno di due router dedicati che alla fine utilizzeresti solo per offrire il servizio dhcp.

Quote:

Originariamente inviato da rupia

che mi suggerisci?

Se avessi a disposizione uno switch Layer3 (che quindi fa routing), in grado di gestire le VLAN e con un server dhcp integrato (per esempio un Cisco Catalyst 3560) io farei cosi:

1) piazzerei il firewall "winroute" immediatamente a valle del router dell'ISP;

2) sullo switch definirei 3 VLAN: una per i PC "buoni" (VLAN1), una per i PC "cattivi" (VLAN2) e l'altra per la connessione all'esterno (VLAN3); assegnerei inoltre un indirizzo IP a ciascuna VLAN;

3) nella VLAN3 ci metterei solo la porta a cui è connesso il firewall, nelle altre due le porte a cui sono connessi i PC appartenenti all'uno o all'altro gruppo;

4) abiliterei il server DHCP dello switch e lo configurerei in modo che assegni indirizzi di due subnet differenti ai client delle VLAN1 e VLAN2 (per esempio 192.168.1.0/24 e 192.168.2.0/24 rispettivamente) i indicando come default gateway l'indirizzo assegnato alla rispettiva VLAN sullo switch;

5) abiliterei il routing solo tra la VLAN1 e la VLAN3; e tra la VLAN2 e la VLAN3.

6) il firewall winroute lo configurerei come "transparent firewall", in questo modo potrei impostare come default gateway della VLAN3 l'indirizzo IP del router dell'ISP.

Non dovrei aver dimenticato niente. Che ne pensi?

[rupia]

Hai ragione per winroute, ma come ti dicevo, ragionando, mancando un referente IT con winroute sarei troppo dipendente dal sistema oeprativo, Windows in una versione dall'Xp al 2008 server, dovrei pianificare aggiornamenti del sistema, del software stesso, installare un antivirus, preoccuoarmi di possibili crash.....insomma tutti gli svantaggi di un'appliance che per girare ha comunque bisogno di Windows...

la soluzione è elegante, ma devo fare i conti anche con dei telefoni voip su Asterisk e non vorrei che i pacchetti inziando a girare troppo....e sicuramente la parte dei "pc cattivi" vedrà l'implemnetazione di un'appliance dedicata in stile Internet Point che permetta l'autenticazione su Internet a pagamento....quindi non credi, anche come dicevo per semplicità (ovvero se qualcosa va storto posso far riavviare anche a personale non esperto uno switch o un router dedicato, piuttosto che un'appliance software, e comunque spegnendo uno switch potrei all'occorrenza isolare il tratto di rete con i "pc cattivi")

[slowped]

Quote:

Originariamente inviato da rupia

Hai ragione per winroute,
.....insomma tutti gli svantaggi di un'appliance che per girare ha comunque bisogno di Windows...

Allora sostituisci winroute con un firewall hardware

Quote:

Originariamente inviato da rupia

la soluzione è elegante, ma devo fare i conti anche con dei telefoni voip su Asterisk e non vorrei che i pacchetti inziando a girare troppo....e sicuramente la parte dei "pc cattivi"

Per la telefonia voip puoi creare una VLAN apposita e giocare poi con il QoS.

Quote:

Originariamente inviato da rupia

quindi non credi, anche come dicevo per semplicità (ovvero se qualcosa va storto posso far riavviare anche a personale non esperto uno switch o un router dedicato, piuttosto che un'appliance software, e comunque spegnendo uno switch potrei all'occorrenza isolare il tratto di rete con i "pc cattivi")

Se sostituisci winroute con un firewall hardware hai la stessa semplicità di gestione. Sullo spegnimento dello switch per isolare i cattivi forse hai ragione, ma se gestisci la loro connettività con un software tipo internet point e gli consenti l'accesso alla rete solo tramite proxy, vedrai che possono fare pochi danni.

[rupia]

Alla fine pensavo di usare una appliance hardware come Endian con le sue 3 schede, la verde per la lan fidata, la rossa con ip pubblico per il gateway, e la blu a cui attaccare i pc "cattivi" , un unico dhcp ma separazione delle 2 Lan e possibilità di gestire l'autenticazione dei pc "cattivi" tramite l'hot spot sulla scheda blu, e una sezione dedicata all'implementazione di un pbx, magari nella versione mercury
http://www.endian.com/it/products/utm-hardware/mercury/

[slowped]

Mi sembra un'ottima soluzione. A questo punto devi solo decidere come separare le due reti, se fisicamente (due switch) oppure logicamente (uno switch con VLAN).

Avrei solo una curiosità che spero tu possa togliermi: ma chi sono i buoni e chi i cattivi?

[rupia]

Userò 2 switch, uno per i Buoni sulla scheda "green" e l'altro per l'Hot spot a cui saranno attaccati i cattivi sulla "scheda blu" di Endian.....i Buoni sono i pc fidati dell'ufficio, i cattivi i clienti della struttura che verranno con i loro portatili zeppi di troian, virus e che vorranno attaccarsi alla rete per navigare aprendo milioni di connessioni p2p.....