Consiglio Router ADSL particolare - OpenWRT, Dual LAN

Gaglia83 · 17-03-2011, 15:10

Sto per valutare l'acquisto di un nuovo router/modem ADSL, mi serve con le seguenti caratteristiche:

- prezzo non stratosferico
- dotato di modem ADSL2+
- compatibile 100% con OpenWRT con poco sbatti
- la parte difficile: dotato di due interfacce di rete LAN (o LAN e DMZ) SEPARATE, cioè non il classico "virtual interface"

- opzionale: WiFi, anche non eccezionalmente performante
- opzionale: una connessione USB

Spiego meglio.

Mi serve per la casa dei miei genitori, dove tengo anche un server. Per questo motivo mi serve una soluzione affidabile (che non si pianti una volta al mese costringendomi ad agire di persona per sbloccarlo). Vorrei provare a installarci OpenWRT in modo da poterci installare tutto il necessario per una corretta gestione.

Inoltre, proprio perché ho quel server, ho la necessità di segmentare in maniera sicura le due sottoreti (la LAN della casa e la rete del server), in modo che una sia una DMZ. Ora, come saprete la maggior parte dei router domestici, anche qualora dotata di funzionalità DMZ, non implementa una vera e propria DMZ, bensì agisce come un semplice port forwarding 1:1 sull'host "dichiarato" DMZ. Smanettando un po' con alcuni modelli si possono creare delle interfacce di rete "virtuali" e segmentare la LAN in maniera "logica", questo però ha dei grossi svantaggi. Innanzitutto gli eventuali servizi del router presenti sulla LAN (ad esempio il server DHCP) non funzionano in genere sulle interfacce virtuali, così come non è in genere possibile separare le due sottoreti a livello di regole del firewall. Insomma per farla breve, mi servirebbe un router dotato di due interfacce LAN separate FISICAMENTE e non a livello di switch (con due MAC diversi per intenderci).

Modelli da consigliare? <.<

Gaglia83 · 17-03-2011, 21:03

P.S:: prezzo non stratosferico non significa 50 euro, ma neanche 400

wizard1993 · 18-03-2011, 15:34

ora non vorrei fare lo gnorri, ma prenderti un vecchio pentium 3, mettergli 3 schede di rete e un modem esterno per la spesa complessiva di 50€ (anche meno) non lo ritieni adatto?

Gaglia83 · 18-03-2011, 15:39

Già fatto

ma non la reputo una soluzione affidabile nel lungo termine, dovrei tenerlo in una zona in cui umidità, caldo, polvere e ragnatele sono di casa, consuma parecchio, e non mi pronuncio sulla sua longevità. Stesse a casa mia potrei anche farci un pensierino (sarei disposto anche a spenderci quei 150-200 euro per fare un mini-pc atto allo scopo), qui invece dovrebbe essere una cosa senza troppe pretese ma che mi faccia dormire sonni tranquilli per così dire...

wizard1993 · 18-03-2011, 15:41

personalmente io non conosco nessun modello di router già pronto da consigliarti. Però ti posso dare un consiglio, guarda gli alix della pc engines, ce ne sono alcuni che farebbero al caso tuo
ps: ma perchè pretendi indirizzi mac separati?

Gaglia83 · 18-03-2011, 22:21

Perché è l'unico modo per avere due interfacce separate a livello di firewall.

Ti faccio un esempio, metti che io abbia un pc sulla sottorete 192.168.0.X e uno sulla sottorete 192.168.1.X. Se implemento queste due sottoreti a livello "virtuale", significa che in pratica i due pc sono attaccati allo stesso switch, il quale poi li mette in collegamento con l'interfaccia LAN del router - e quindi il firewall. Questo è quello che accade nel 99,9999% dei router domestici (qualora supportino le virtual interfaces, cosa che non tutti i firmware fanno), dove lo switch in genere è integrato nell'apparato ma sempre di uno switch si tratta.

Ora, se io voglio impedire al primo pc di comunicare col secondo e viceversa (ma voglio che entrambi possano navigare su internet) dovrei inserire un paio di regole nel firewall. Il problema è che con la configurazione di cui sopra tali regole verrebbero bellamente ignorate, perché quando una richiesta arriva allo switch, questo la instrada automaticamente, senza passare per il firewall.

Se anche dividessi per bene le due sottoreti e definissi due gateway diversi, ci sarebbe comunque il problema che il gateway della sottorete 192.168.0.X è comunque raggiungibile dal pc 192.168.1.X (perché sono nella stesse "rete fisica") e quindi il pc, ad esempio sotto il controllo di un malware, potrebbe semplicemente fare un release del suo IP e autoassegnarsi un IP dell'altra sottorete, eludendo tutti i controlli.

Non so se con OpenWRT esistono pacchetti che agiscono lato gateway come una specie di autenticazione tramite MAC (ad esempio: il gateway di una certa sottorete accetta solo i client che hanno un certo MAC, così i pc dell'altra sottorete non possono fare i furbi), ma se anche ci fossero non sarebbero efficaci. Questo perché, dato che i pc stanno tutti nella stessa rete fisica, ciascuno può vedere i pacchetti ARP degli altri (ad esempio quando fanno broadcast per il DHCP), e quindi può fare un MAC spoofing.

Morale della favola, l'unica soluzione è avere due interfacce di rete diverse, che è quello che sto cercando ed è un'opzione incredibilmente difficile da trovare in prodotti consumer

Comunque grazie per la dritta su quella marca di prodotti, ora ci dò un'occhiata

wizard1993 · 18-03-2011, 22:39

mai sentito parlare di protocollo 802.3q e in generale delle vlan?
è un protocollo di livello 2 implementato sugli switch di fascia alta che fa anche quello che chiedi tu e disponibile nel kernel linux

Gaglia83 · 18-03-2011, 23:42

Ah ok, non lo conoscevo, grazie... però questo non risolve il mio problema giusto? Nel senso, non posso comprare un Netgear DG834GT ad esempio, installarci OpenWRT e configurare questo protocollo, perché lo switch non è compatibile vero? Dovrei comunque ricorrere a prodotti di fascia professionale, non saprei nemmeno da dove iniziare, sempre se ho capito bene. Confermi?

wizard1993 · 19-03-2011, 14:44

Quote:

Originariamente inviato da Gaglia83

Ah ok, non lo conoscevo, grazie... però questo non risolve il mio problema giusto? Nel senso, non posso comprare un Netgear DG834GT ad esempio, installarci OpenWRT e configurare questo protocollo, perché lo switch non è compatibile vero? Dovrei comunque ricorrere a prodotti di fascia professionale, non saprei nemmeno da dove iniziare, sempre se ho capito bene. Confermi?

l'802.3q non richiede nulla in hardware, ma viene svolto tutto a livello software dal kernel linux. Se te monti un firmware basato su questo, ammesso che nel kernel ne sia incluso il supporto, troverai senza problemi la soluzione ai tuoi problemi.

Gaglia83 · 19-03-2011, 18:41

Quote:

Originariamente inviato da wizard1993

l'802.3q non richiede nulla in hardware, ma viene svolto tutto a livello software dal kernel linux. Se te monti un firmware basato su questo, ammesso che nel kernel ne sia incluso il supporto, troverai senza problemi la soluzione ai tuoi problemi.

Supponiamo di limitarci a OpenWRT come firmware, che credo sia quello più sviluppato (non ce n'era anche uno basato su debian? Ma immagino sia più pesante vero?)

Allora nella scelta dell'hardware, leggendo questa pagina:

http://wiki.openwrt.org/toh/start

non dovrei assicurarmi di avere attiva questa feature per fare quello che voglio io?

Quote:

# The VLAN column states whether the Ethernet device is capable of hardware VLANs, means whether the switch can be reprogrammed to generate tagged frames on certain ports, supports trunking etc. Tagged software VLANs (through vconfig) are possible in any case.

P.S.: grazie, finora mi sei stato molto d'aiuto, se non altro per schiarirmi le idee

wizard1993 · 19-03-2011, 19:42

diciamo che è la seconda parte. Comunque non è che ti apparecchi che supportino le vlan non ci siano: guarda ad esempio tutti gli asus.
Comunque, io non ho mai configurato le vlan su linux, ma solo su switch di fascia alta (catalyst 2960 per la precisione) sicchè on ti posso dare un aiuto nel dettaglio

Gaglia83 · 20-03-2011, 17:45

Capisco, il fatto è che non volevo spenderci cifre esorbitanti, né troppo tempo per imparare a usare un os da zero... unica cosa ho paura che se prendessi uno di quei router che sono segnati come "no vlan" sul sito di openwrt poi la cosa non viene bene, tipo che i pc di una sottorete poi possono comunque comunicare con gli altri etc. A scanso d'equivoci penso che opterò per un Netgear WNDR3700, che mi pare d'aver capito che è molto buono e supportato 100% da openwrt, ho visto che si trova a prezzi sui 100 euro (magari però aspetto qualche tempo, che si dovrebbe cominciare a trovare la v2 che ha 16 MiB di flash). Non ha il modem adsl però, quindi dovrò tenerci attaccato il mio vecchio DG834, pazienza.

Grazie mille per i consigli!

17-03-2011, 15:10	#1
Gaglia83 Member Iscritto dal: Jan 2008 Messaggi: 97	Consiglio Router ADSL particolare - OpenWRT, Dual LAN Sto per valutare l'acquisto di un nuovo router/modem ADSL, mi serve con le seguenti caratteristiche: - prezzo non stratosferico - dotato di modem ADSL2+ - compatibile 100% con OpenWRT con poco sbatti - la parte difficile: dotato di due interfacce di rete LAN (o LAN e DMZ) SEPARATE, cioè non il classico "virtual interface" - opzionale: WiFi, anche non eccezionalmente performante - opzionale: una connessione USB Spiego meglio. Mi serve per la casa dei miei genitori, dove tengo anche un server. Per questo motivo mi serve una soluzione affidabile (che non si pianti una volta al mese costringendomi ad agire di persona per sbloccarlo). Vorrei provare a installarci OpenWRT in modo da poterci installare tutto il necessario per una corretta gestione. Inoltre, proprio perché ho quel server, ho la necessità di segmentare in maniera sicura le due sottoreti (la LAN della casa e la rete del server), in modo che una sia una DMZ. Ora, come saprete la maggior parte dei router domestici, anche qualora dotata di funzionalità DMZ, non implementa una vera e propria DMZ, bensì agisce come un semplice port forwarding 1:1 sull'host "dichiarato" DMZ. Smanettando un po' con alcuni modelli si possono creare delle interfacce di rete "virtuali" e segmentare la LAN in maniera "logica", questo però ha dei grossi svantaggi. Innanzitutto gli eventuali servizi del router presenti sulla LAN (ad esempio il server DHCP) non funzionano in genere sulle interfacce virtuali, così come non è in genere possibile separare le due sottoreti a livello di regole del firewall. Insomma per farla breve, mi servirebbe un router dotato di due interfacce LAN separate FISICAMENTE e non a livello di switch (con due MAC diversi per intenderci). Modelli da consigliare? <.< __________________ Ciao, sono un virus delle firme dei forum. Sostituisci la tua vecchia firma con questa, cosi' potro' continuare a replicarmi! Ultima modifica di Gaglia83 : 17-03-2011 alle 15:13.

17-03-2011, 21:03	#2
Gaglia83 Member Iscritto dal: Jan 2008 Messaggi: 97	P.S:: prezzo non stratosferico non significa 50 euro, ma neanche 400 __________________ Ciao, sono un virus delle firme dei forum. Sostituisci la tua vecchia firma con questa, cosi' potro' continuare a replicarmi!

18-03-2011, 15:34	#3
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	ora non vorrei fare lo gnorri, ma prenderti un vecchio pentium 3, mettergli 3 schede di rete e un modem esterno per la spesa complessiva di 50€ (anche meno) non lo ritieni adatto? __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

18-03-2011, 15:39	#4
Gaglia83 Member Iscritto dal: Jan 2008 Messaggi: 97	Già fatto ma non la reputo una soluzione affidabile nel lungo termine, dovrei tenerlo in una zona in cui umidità, caldo, polvere e ragnatele sono di casa, consuma parecchio, e non mi pronuncio sulla sua longevità. Stesse a casa mia potrei anche farci un pensierino (sarei disposto anche a spenderci quei 150-200 euro per fare un mini-pc atto allo scopo), qui invece dovrebbe essere una cosa senza troppe pretese ma che mi faccia dormire sonni tranquilli per così dire... __________________ Ciao, sono un virus delle firme dei forum. Sostituisci la tua vecchia firma con questa, cosi' potro' continuare a replicarmi!

18-03-2011, 15:41	#5
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	personalmente io non conosco nessun modello di router già pronto da consigliarti. Però ti posso dare un consiglio, guarda gli alix della pc engines, ce ne sono alcuni che farebbero al caso tuo ps: ma perchè pretendi indirizzi mac separati? __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

18-03-2011, 22:21	#6
Gaglia83 Member Iscritto dal: Jan 2008 Messaggi: 97	Perché è l'unico modo per avere due interfacce separate a livello di firewall. Ti faccio un esempio, metti che io abbia un pc sulla sottorete 192.168.0.X e uno sulla sottorete 192.168.1.X. Se implemento queste due sottoreti a livello "virtuale", significa che in pratica i due pc sono attaccati allo stesso switch, il quale poi li mette in collegamento con l'interfaccia LAN del router - e quindi il firewall. Questo è quello che accade nel 99,9999% dei router domestici (qualora supportino le virtual interfaces, cosa che non tutti i firmware fanno), dove lo switch in genere è integrato nell'apparato ma sempre di uno switch si tratta. Ora, se io voglio impedire al primo pc di comunicare col secondo e viceversa (ma voglio che entrambi possano navigare su internet) dovrei inserire un paio di regole nel firewall. Il problema è che con la configurazione di cui sopra tali regole verrebbero bellamente ignorate, perché quando una richiesta arriva allo switch, questo la instrada automaticamente, senza passare per il firewall. Se anche dividessi per bene le due sottoreti e definissi due gateway diversi, ci sarebbe comunque il problema che il gateway della sottorete 192.168.0.X è comunque raggiungibile dal pc 192.168.1.X (perché sono nella stesse "rete fisica") e quindi il pc, ad esempio sotto il controllo di un malware, potrebbe semplicemente fare un release del suo IP e autoassegnarsi un IP dell'altra sottorete, eludendo tutti i controlli. Non so se con OpenWRT esistono pacchetti che agiscono lato gateway come una specie di autenticazione tramite MAC (ad esempio: il gateway di una certa sottorete accetta solo i client che hanno un certo MAC, così i pc dell'altra sottorete non possono fare i furbi), ma se anche ci fossero non sarebbero efficaci. Questo perché, dato che i pc stanno tutti nella stessa rete fisica, ciascuno può vedere i pacchetti ARP degli altri (ad esempio quando fanno broadcast per il DHCP), e quindi può fare un MAC spoofing. Morale della favola, l'unica soluzione è avere due interfacce di rete diverse, che è quello che sto cercando ed è un'opzione incredibilmente difficile da trovare in prodotti consumer Comunque grazie per la dritta su quella marca di prodotti, ora ci dò un'occhiata __________________ Ciao, sono un virus delle firme dei forum. Sostituisci la tua vecchia firma con questa, cosi' potro' continuare a replicarmi!

18-03-2011, 22:39	#7
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	mai sentito parlare di protocollo 802.3q e in generale delle vlan? è un protocollo di livello 2 implementato sugli switch di fascia alta che fa anche quello che chiedi tu e disponibile nel kernel linux __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

18-03-2011, 23:42	#8
Gaglia83 Member Iscritto dal: Jan 2008 Messaggi: 97	Ah ok, non lo conoscevo, grazie... però questo non risolve il mio problema giusto? Nel senso, non posso comprare un Netgear DG834GT ad esempio, installarci OpenWRT e configurare questo protocollo, perché lo switch non è compatibile vero? Dovrei comunque ricorrere a prodotti di fascia professionale, non saprei nemmeno da dove iniziare, sempre se ho capito bene. Confermi? __________________ Ciao, sono un virus delle firme dei forum. Sostituisci la tua vecchia firma con questa, cosi' potro' continuare a replicarmi!

19-03-2011, 19:42	#11
wizard1993 Senior Member Iscritto dal: Apr 2006 Messaggi: 22462	diciamo che è la seconda parte. Comunque non è che ti apparecchi che supportino le vlan non ci siano: guarda ad esempio tutti gli asus. Comunque, io non ho mai configurato le vlan su linux, ma solo su switch di fascia alta (catalyst 2960 per la precisione) sicchè on ti posso dare un aiuto nel dettaglio __________________ amd a64x2 4400+ sk939;asus a8n-sli; 2x1gb ddr400; x850 crossfire; 2 x western digital abys 320gb\|\| asus g1 Se striscia fulmina, se svolazza l'ammazza

20-03-2011, 17:45	#12
Gaglia83 Member Iscritto dal: Jan 2008 Messaggi: 97	Capisco, il fatto è che non volevo spenderci cifre esorbitanti, né troppo tempo per imparare a usare un os da zero... unica cosa ho paura che se prendessi uno di quei router che sono segnati come "no vlan" sul sito di openwrt poi la cosa non viene bene, tipo che i pc di una sottorete poi possono comunque comunicare con gli altri etc. A scanso d'equivoci penso che opterò per un Netgear WNDR3700, che mi pare d'aver capito che è molto buono e supportato 100% da openwrt, ho visto che si trova a prezzi sui 100 euro (magari però aspetto qualche tempo, che si dovrebbe cominciare a trovare la v2 che ha 16 MiB di flash). Non ha il modem adsl però, quindi dovrò tenerci attaccato il mio vecchio DG834, pazienza. Grazie mille per i consigli! __________________ Ciao, sono un virus delle firme dei forum. Sostituisci la tua vecchia firma con questa, cosi' potro' continuare a replicarmi!

Strumenti
Mostra una versione stampabile Invia questa pagina per email