router wifi con scheduling

[pank]

ciao a tutti, chiedo aiuto a voi in quanto è circa una settimana che sto cercando info al riguardo ma, al momento nn ne sono venuto a capo
ecco il mio problema: in ufficio abbiamo una linea adsl, collegato al moden alice c'è un swicth hp procurve 1400 24g, dove sono collegati 4 pc e un nas (uso lavorativo) a sua volta dobbiamo collegare un router wifi per accedere con 3 notebook (uso privato dei figli) ad internet. ora il titolare vorrebbe poter delimitare ad orari prestabiliti accesso wifi ad internet.
cercando in rete ho visto che si può fare una cosa del genere con un proxy, o ci sono programmi da installare sui pc. lui vorrebbe che la cosa si potesse fare da router, i pc in ufficio dopo le 20 sono spenti. esiste un router che mi permette di schedulare wifi o gli ip ad orari stabiliti? se si quali?

[nuovoUtente86]

per prima cosa, i pc ad utilizzo privato andrebbero messi in dmz, poi fatto ciò pensare al resto.

[pank]

Quote:

Originariamente inviato da nuovoUtente86

per prima cosa, i pc ad utilizzo privato andrebbero messi in dmz, poi fatto ciò pensare al resto.

dmz?? mi potresti spiegare per favore?

[nuovoUtente86]

il concetto di dmz tende a dividere gli hostsesposti ad utilizzo pubblico da quelli in lan

[pank]

Quote:

Originariamente inviato da nuovoUtente86

il concetto di dmz tende a dividere gli hostsesposti ad utilizzo pubblico da quelli in lan

ok, intervengo da dove?

[nuovoUtente86]

occorre sostituire il router di alice con uno che implementi il dmz, oppure utilizzare un firewall hardware o un pc-muletto su cui utilizzare un firewall linux

[pank]

Quote:

Originariamente inviato da nuovoUtente86

occorre sostituire il router di alice con uno che implementi il dmz, oppure utilizzare un firewall hardware o un pc-muletto su cui utilizzare un firewall linux

di alice abbiamo solo il modem con 2 uscite 1 rete 1 voip. dal c'è un switch hp.
hai qualche router da consigliarmi?
cmq ora faccio una ricerca.

[nuovoUtente86]

impossibile che sia solo modem, in quanto parli di più pc connessi e questo vuol dire che c'è un dispositivo natter.

[pank]

Quote:

Originariamente inviato da nuovoUtente86

impossibile che sia solo modem, in quanto parli di più pc connessi e questo vuol dire che c'è un dispositivo natter.

hp procurve 1400 24g
http://h10010.www1.hp.com/wwpc/it/it...9-3411664.html
noi abbiamo questo http://aiuto.alice.it/informazioni/m...&rel=2306.html dietro ci stanno 2 porte ethernet una dedicata al voip altra è collegata al hp procurve.
nn so se apparato di alice è un router. io a casa ho sempre alice ma un plus wifi con iptv e 3 porte di rete e quando vado sulla configurazione in remoto hanno voci molto diverse.

[nuovoUtente86]

si è un router, ma poco importa perchè non è utile allo scopo. Scegline uno tra la linea dlink, dove il dmz è ben implementato, oppure occorre utilizzare un pc atto allo scopo.

[pank]

Quote:

Originariamente inviato da nuovoUtente86

si è un router, ma poco importa perchè non è utile allo scopo. Scegline uno tra la linea dlink, dove il dmz è ben implementato, oppure occorre utilizzare un pc atto allo scopo.

per cui posso lasciare quello, e prendere un router dlink wifi da collegare dopo hp?

[nuovoUtente86]

Quote:

Originariamente inviato da pank

per cui posso lasciare quello, e prendere un router dlink wifi da collegare dopo hp?

no quello va tolto e sostituito con un router che abbia il dmz, in cui (a livello logico), collocherai un ulteriore router/ap broadband in modo da dare connettività privata ai notebook, isolandoli dalla lan.

[pank]

Quote:

Originariamente inviato da nuovoUtente86

no quello va tolto e sostituito con un router che abbia il dmz, in cui (a livello logico), collocherai un ulteriore router/ap broadband in modo da dare connettività privata ai notebook, isolandoli dalla lan.

allora: vediamo se ho capito, butto alle ortiche il modem alice e prendo un modem\router dlink (e x il voip??), ad una porte ethernet collego hp x i pc dell'ufficio, sempre dal dlink collego un acces point wifi dove collego i notebook? poi controllo gli accessi dal modem o dal access point?

[nuovoUtente86]

Per il voip sei costretto a mantenere anche l' alice gate, al quale collegare un router broadband per il DMZ ed un ulteriore router broadband (non un semplice ap) per dare connettività isolata ai notebook.

[Harry_Callahan]

se i PC in azienda non hanno il wireless e se il problema è limitare l'accesso ai figli in wireless perchè non spegnere il wireless direttamente sul router? basta entrare per spegnere e riaccendere(lo fa l'amminstratore della rete in orari stabiliti)

altrimenti se il wireless serve anche in azienda, basta cambiare l'attuale password del wireless(i figli saranno già a conoscenza dell'attuale password, ecco perchè cambiarla) e comprare un access point puro. stesso discorso sull'AP puro, lo attacchi e stacchi negli orari prestabiliti


attaccare un router WAN "commerciale" all'Alicegate credo sia inutile per motivi di sicurezza in quanto i PC dietro il router WAN posso tranquillamente accedere ai PC nella LAN del gate

poi l'HP curve non è uno switch managed? se si, non si può lavorare su quello per segmentare le LAN?

[nuovoUtente86]

Quote:

attaccare un router WAN "commerciale" all'Alicegate credo sia inutile per motivi di sicurezza in quanto i PC dietro il router WAN posso tranquillamente accedere ai PC nella LAN del gate

Per come molti gli isr gestiscono il NAT, non accederebbero comuque ad eventuali pc sulla subnet del gate, ma un router che implementi correttamente la DMZ serve esattamente a questo: isolare gli host in tale zona dalla lan aziendale.

Quote:

poi l'HP curve non è uno switch managed? se si, non si può lavorare su quello per segmentare le LAN?

switch managed, non è sinonimo di switch layer3: sono concetti completamente differenti. Ovviamente per uno switch layer3 è propedeutica la gestibilità.

[Harry_Callahan]

Quote:

Originariamente inviato da nuovoUtente86

Per come molti gli isr gestiscono il NAT, non accederebbero comuque ad eventuali pc sulla subnet del gate, ma un router che implementi correttamente la DMZ serve esattamente a questo: isolare gli host in tale zona dalla lan aziendale.

esatto, deve essere un router che implementi correttamente la DMZ, di solito i router WAN "commerciali" prendono un IP sull'interfaccia WAN della stessa rete a monte(del gate nel nostro caso) e quindi c'è una rotta verso quella subnet

almeno è così sulla mia rete di casa(router adsl, fritz box in WAN, i PC dietro il fritz raggiungono i PC attaccati al router adsl, ma non viceversa)

Quote:

Originariamente inviato da nuovoUtente86

switch managed, non è sinonimo di switch layer3: sono concetti completamente differenti. Ovviamente per uno switch layer3 è propedeutica la gestibilità.

in un altro post non avevi indicato che puoi creare 2 VLAN su uno switch L2 tirare 2 cavi dal primo router e quindi separare il traffico delle 2 LAN? ricordo male?

[nuovoUtente86]

Quote:

in un altro post non avevi indicato che puoi creare 2 VLAN su uno switch L2 tirare 2 cavi dal primo router e quindi separare il traffico delle 2 LAN? ricordo male?

ci sono vari casi:
Caso 1°:
switch layer2 managed senza supporto alle vlan(ma unmanaged o un hub è la medesima cosa) e un router-on-a-stick (ovvero un dispositivo in grado di fare binding su più subnet, eventualmente un gateway linux). Si crea un unico dominio broadcast, anche se ogni subnet va su internet, sfruttando il medesimo gateway.
Soluzione evidentemente abbastanza sporca.

Caso 2°:
switch layer2 con supporto alle vlan: si può segmentare il broadcast e con lo stesso meccanismo di cui sopra si garantire la connettività.
Soluzione più pulita, ma che come accennavo nel post precedente, richiede in ogni caso l' utilizzo di dispositivi di livello 3 (router o gateway).

Naturalmente un router-on-a-stick può essere sostituito da un router con più interfacce fisiche.

Caso 3°:
switch layer 3, in grado di garantire oltre alla segmentazione broadcast, anche il virtual-routing tra i vari domini.

Ai fini di questo caso specifico, anche utilizzando 2vlan, ci sarebbe un punto di contatto sul gateway, che può essere eliminato solo a livello firewall/dmz

[Harry_Callahan]

Quote:

Originariamente inviato da nuovoUtente86

ci sono vari casi:
Caso 1°:
switch layer2 managed senza supporto alle vlan(ma unmanaged o un hub è la medesima cosa) e un router-on-a-stick (ovvero un dispositivo in grado di fare binding su più subnet, eventualmente un gateway linux). Si crea un unico dominio broadcast, anche se ogni subnet va su internet, sfruttando il medesimo gateway.
Soluzione evidentemente abbastanza sporca.

concordo, avevo letto qualcosa in merito, con il CCNA è necessario conoscere questa configurazione

Quote:

Originariamente inviato da nuovoUtente86

Caso 2°:
switch layer2 con supporto alle vlan: si può segmentare il broadcast e con lo stesso meccanismo di cui sopra si garantire la connettività.
Soluzione più pulita, ma che come accennavo nel post precedente, richiede in ogni caso l' utilizzo di dispositivi di livello 3 (router o gateway).

Naturalmente un router-on-a-stick può essere sostituito da un router con più interfacce fisiche.

più interfacce fisiche oppure porte ETH come hai indicato insieme a slowped qui?:

http://www.hwupgrade.it/forum/showth...highlight=VLAN

Quote:

Originariamente inviato da nuovoUtente86

Caso 3°:
switch layer 3, in grado di garantire oltre alla segmentazione broadcast, anche il virtual-routing tra i vari domini.

non dovrebbe essere il nostro caso


edit: ho visto il tuo edit

allora visto il punto di contatto, mi viene qualche dubbio appunto sul thread

http://www.hwupgrade.it/forum/showth...highlight=VLAN

[nuovoUtente86]

Quote:

Originariamente inviato da Harry_Callahan

concordo, avevo letto qualcosa in merito, con il CCNA è necessario conoscere questa configurazione

questa è la classica configurazione pre-vlan e da ambiente domestico, dove i costi di uno switch unmanaged e di un muletto linux sono irrisori rispetto ad uno switch managed, ed il dominio di broadcast non è tale da creare cali prestazionali.
Nel CCNA è presente un intero modulo(il 3°) dedicato alle vlan, e se qualcuno realizzasse qualcosa del genere, sarebbe da strappargli la certificazione.

Quote:

più interfacce fisiche oppure porte ETH come hai indicato insieme a slowped qui?:

http://www.hwupgrade.it/forum/showth...highlight=VLAN

penso che tu ti riferisca all' 802.11q, ovvero il trunking che è indispensabile (o meglio la teoria dice ciò, ma nella pratica non è proprio cosi)in presenza di uplink verso altri switch oppure di un router-on-a-stick.

Quote:

allora visto il punto di contatto, mi viene qualche dubbio appunto sul thread

http://www.hwupgrade.it/forum/showth...highlight=VLAN

che dubbio?