vlan, vpn, gruppi di utenti e parecchia confusione

[ra-mta]

Ragazzi avrei bisogno su un solo server e con un solo apparato di separare i servizi per gruppi di utenti.
In pratica gli utenti della contabilità avranno accesso solo al db del gestionale tramite client ed a una cartella per il backup di determinate cartelle .
Gli utenti dello studio tecnico avranno accesso alla stampante di rete e ad altri servizi.
Gli utenti della contabilità accederanno solo da remoto con ip dinamico e vorrei che non si vedessero fra di loro e non vedano le risorse ed i pc del comparto tecnico e viceversa.
Il comparto tecnico accede in maniera promisqua da lan e remoto.
Come connessione remota chiaramente farei una vpn client-server, sarebbe la procedura corretta? Eventualmente una ssl? o cosa mi consigliate? Tenendo presente che i servizi vanno dal gestionale, passando per la videosorveglianza e un webserver (chiaramente sono diversificati per il singolo utente della del tipo di studio).
Sarebbe opportuno separare la rete creando due sottoreti, anzi 3, una per gli utenti guest in wifi che usano solo internet?
Avrei voluto farlo con le vlan e un fw hardware, è fattibile o necessito di due schede di rete e creo due interfacce fisiche?
Insomma consigliatemi

[stex21]

facci un bello schemino così si capisce meglio perché hai messo giù la cosa un po confusa

[Alfonso78]

In attesa di tuoi chiarimenti credo di aver capito che necessiti di una segmentazione della rete con delle vlan.

[ra-mta]

ma no che confusa era una chiarezza da intepretare



In pratica e partendo dalle cose facili:
-un punto per l'accesso a internet tramite wifi per gli ospiti (colore giallo) che non faccia uso di ness'altra risorse della rete (un pò come si usa negli uffici dove vengono clienti che si connettono al wifi ma non hanno accesso alla rete interna)
-una rete per la parte tecnica (colore blu) che ha prevalentemente client connessi via lan al server e di quest'ultimo usa la stampante usb, un servizio di backup e poche altre cose. Se possibile questi client non devono vedersi l'uno con l'altro. Ci sarebbe poi da prevedere che uno di questi client possa connettersi anche da remoto via vpn.
-una rete per la parte amministrativa (colore verde) a cui i client accedano solo da remoto via vpn e usano esclusivamente un servizio di backup di alcune cartelle e accesso al db del gestionale
Infine c'è "sistema" che accede sia da remoto via vpn che da lan e deve poter girare liberamente ovunque

sperando di non aver generato ancora più confusione intanto vi ringrazio

[stex21]

non puoi creare una rete anche per me, non si sa mai che non bastino quelle che ci sono

ci ragiono un attimo e ti rispondo

[ra-mta]

hahahah se vuoi aggiungiamo la vpn-viola e ti connetti a quella
Mi rendo conto che è una situazione un poco astrusa, ma purtroppo le necessità son quelle e il budget non permette di configurare più server ognugno con apparati propri
In linea teorica mi è parso di capire che w. server supporti il trunking e forse anche la scheda di rete che andrei ad utilizzare, quindi tramite un firewall dovrei poter fare le vlan anche senza switch managed, solo che io mi sono fermato a reti molto meno ingarbugliate e quì sono in difficoltà forte, sopratutto perchè non ho un fw su cui fare i test
Ti ringrazio

[stex21]

c'è da giocare sicuramente con le vlan, però devo capire bene come, sopratutto con i client esterni alla rete

ho perso tempo con la partita ( ), ora mi metto sotto a ragionare seriamente

[ra-mta]

grazie stex
L'alternativa semplice sarebbe di usare più schede di rete, immagino che in questo modo sia più semplice la configurazione del fw, però vorrei lasciarla come ultima risorsa

[stex21]

allora vediamo di ricapitolare un attimo quello che ho pensato visto che le tue richieste sono tante

la prima cosa che ti consiglio è quella di fornirti di switch managed perché rende la cosa più semplice, se lo fai con degli switch unmanaged ti complichi solamente la vita

a livello hardware collegi lo/gli switch managed al firewall con un trunk logico in modo da poter far passare le varie vlan che andrai a creare.

per creare la rete ospiti WiFi crei una vlan dedicata sul firewall (es. VLAN100), dopo di che imposti sullo switch una porta su tale vlan e ci colleghi l'access point creando la rete wireless per gli ospiti, che con le dovute impostazioni sul firewall potrà solamente navigare verso internet.


ora passiamo alla parte più difficile

iniziamo dalla rete interna

come prima operazione creiamo sul firewall la vlan2, poi imposti una porta del firewall stesso o di uno switch in trunk e ci attacchi il server, sul quale ovviamente dovrai andare ad impostare la scheda di rete in trunk.

creiamo poi una vlan3 e una vlan4 sul firewall, andiamo poi sullo switch ed impostiamo una porta per una vlan e una per l'altra e qua andremmo ad attaccare i due client dell'ufficio tecnico.
Dovrai poi provvedere ad abilitare ed impostare il routing sul firewall, facendo in modo che la vlan3 possa andare solo verso internet e verso la vlan2, e che la vlan3 possa andare solo verso internet e verso la vlan2.
In questo modo i due client possono collegarsi al server ma non possono vedersi tra di loro

i client remoti (sia amministrazione che uff tecnico), quando si connettono via VPN dovranno essere reindirizzati sulle vlan create ad hoc per loro con il solito discorso del routing così che possano vedere solo il necessario e siano isolati gli uni con gli altri.

Il client universale avrà anche lui una vlan dedicata che però avrà la possibilità di raggiungere qualsiasi flan, quindi a livello di routing dovrai dargli la possibilità di accesso a tutte le reti

spero sia chiaro

curiosità, che firewall usi?

EDIT poi ovviamente sul server dovrai creare le varie permission di accesso alle cartelle degli utenti come se fosse un unica rete, ma quello lo davo già per scontato

[ra-mta]

grazie stex

la procedura che mi hai indicato è simile a quella che pensavo io, solo che speravo-volevo che il fw sostituisse anche lo switch managed ma non credo sia possibile..
L'apparato che avrei voluto usare era un fortinet 30, poi ho visto i prezzi

Così mi sono rimesso a pensare, prendendo spunto dalla tua ultima frase relativa al server e mi è venuta questa idea che semplifica tutto parecchio.
Se uso le interfacce reali al posto delle vlan?
Ad esempio dico: il client amministrazione tramite vpn può contattare il server etcetc forse verrebbero più policy, non saprei..
Che ne dici, lo ritieni possibile o c'è qualche particolare che non ho considerato? Ti giuro son fuso a furia di cercare documentazione..
E se questa soluzione potrebbe essere consoma opterei per un mikrotik visto che il fw farebbe solo routing e vpn in pratica..che ne dici?
Ti ringrazio ancora

[stex21]

dopo averci dormito sopra ho trovato un errore in quello che ho scritto

la porta del server non necessita di essere in trunk perché è il firewall che fa routing e gli fa passare le VLAN (ho ancora qualche dubbio è, nel caso prova entrambe le soluzioni


teoricamente se il firewall ha abbastanza porte puoi usarle come porte swtich assegnandole alle varie flan, però diciamo che faresti lavorare abbastanza il FW e saresti un po castrato a livello di porte, quindi sicuramente meglio lo switch.

Quello che dici tu usare le interfacce reali invece che le vlan non cambia di molto la cosa, il principio è sempre quello delle reti separate ma invece che usare le Vlan che passano su un unica porta devi usare una porta per ogni rete, quindi ti ci vogliono già di base 7 porte fisiche (senza contare le espansioni future)

[Wolfhwk]

Io amo la semplicità e la centralizzazione.

Qui un multilayer switch si fa pregare, es. un cat 3750 usato su ebay.

ps. asta 155$ wut?

[stex21]

Quote:

Originariamente inviato da Wolfhwk

Io amo la semplicità e la centralizzazione.

Qui un multilayer switch si fa pregare, es. un cat 3750 usato su ebay.

ps. asta 155$ wut?

e come sei diretto wolf

con un layer 3 sarebbe tutto più facile, ma vista la realtà bisogna arrangiarsi come si può

[Wolfhwk]

Comunque i cat 3750 usati te li tirano dietro
Io un pensierino ce lo farei, prima di creare quel Frankenstein di rete.

[stex21]

Quote:

Originariamente inviato da Wolfhwk

Comunque i cat 3750 usati te li tirano dietro
Io un pensierino ce lo farei, prima di creare quel Frankenstein di rete.

beh alla fine uno sw layer 3 ti aiuta nel routing delle vlan evitando di farlo fare al firewall, ma poi tutta la pappardella delle vpn e delle relative vlan va fatto lo stesso

[Wolfhwk]

Il multilayer può avere la porta routed o switched, a scelta. Se switched crei una SVI, se routed fai no switchport e gli dai un ip.

Le vpn le farei gestire ad un firewall/router. Per il resto, la flessibilità in racl, port-based acl, vacl e il resto permette un ampio range di personalizzazione.

[stex21]

mi hai smontato la mia teoria in 10 secondi

[Wolfhwk]

No dai. Noi due sappiamo bene che le architetture di rete si possono realizzare efficientemente in tanti modi e in base alle esigenze del momento/future.

La mia è soltanto un' idea.
Io più che altro amo la semplicità, specialmente quando ci sono guasti (o modifiche) e va fatto il troubleshooting veloce e il capo/cliente ti sta con il fiato sul collo.

[ra-mta]

ragazzi intanto grazie per le risposte

Passo a rispondere nel merito della questione

Wolfhwk ha pienamente ragione concettualmente e tecnicamente parlando, il problema è di natura budget Per capirci, già 200€ sono ampiamente fuori, diventa quindi pacifico pensare che prendere fw, switch e ap separati sarebbe un tantinello difficile
C'è da dire che l'espandibilità futura non è un grosso problema, se la rete dovesse crescere vorrebbe dire poter alzare in maniera congrua il budget che ad oggi è a dir poco sottodimensionato e ne sono più che consapevole

Anche per questo stavo pensando di usare le interfacce fisiche e di usare una routeboard mikrotik che nonostante abbia un fw limitante rispetto ad un fortinet o ad un paloalto (ho visto il prezzo del pa2000 e mi è passata la voglia di vivere ) ma rientra ampiamente e integra lo switch giga almeno per 4 porte e 4 a 100..

Per dirla alla stex, bisogna veramente arrangiarsi come possibile, anche perchè l'alternativa da come ho capito è "ma lascia tutto così e amen, tanto poi se ci sono problemi li risolvi al momento"
capirete bene che questa parte poco mi sconfinfera

[Wolfhwk]

Palo Alto in parole povere, sono macchinari da large enterprise/corporate network e ISP.
Fortinet è già più alla mano.

Allora prova a fare qualcosa con le routerboard. Nel budget limitato è la scelta migliore.