2 Lan, 2 Router, 2 Access Point, 2 DHCP.....Problema

[Loco1]

Ciao a tutti vi espongo il mio problema: L'esigenza iniziale era avere accesso dall'appartamento A al NVR e di conseguenza alle telecamere IP nell'appartamento B...
Abbiamo messo su una configurazione come da immagine...
Ora qui nasce il problema...Tutto funziona, si vede l'NVR e le telecamere, ma...
La rete avendo due DCHP mi da problemi sull'assegnazione degli ip ed i client dell'appartamento B a volte prendono la connessione internet dell'appartamento A...

Entrambi le reti sono su classe 192.168.0.X - 255.255.255.0.
I router, l'nvr (telecamere) e gli access pont hanno ip fisso differente. I 2 router con DCHP attivo assegnano ip in range differenti. Gli Access point sono configurati in bridge mode.

Esigenza primaria avere accesso dall'appartamento A alle telecamere/nvr dell'appartamento B....bloccare/limitare l'accesso all'appartamento A dall' Appartamento B.

Spero di essere stato chiaro

[Dumah Brazorf]

Che router sono?
L'unica idea che mi viene al momento per evitare altri acquisti è filtrare tramite mac e negare l'accesso agli indirizzi mac della roba solitamente collegata alla rete b.

[Loco1]

Quote:

Originariamente inviato da Dumah Brazorf

Che router sono?
L'unica idea che mi viene al momento per evitare altri acquisti è filtrare tramite mac e negare l'accesso agli indirizzi mac della roba solitamente collegata alla rete b.

I router/modem sono due Netgear appartamento A il DGND4000 e nell'appartamento B il DGN2200.
Filtrare MAC ci pensavo anch'io...ma limiterebbe la "libertà" nell'appartamento A...

[Dumah Brazorf]

In che senso? Se ci sono apparecchi che vengono usati in entrambi gli appartamenti hai ragione.
Di solito si può fare la regola come black-list (nega l'accesso a questi) o white-list (consensi l'accesso solo a questi)

[Loco1]

Quote:

Originariamente inviato da Dumah Brazorf

In che senso? Se ci sono apparecchi che vengono usati in entrambi gli appartamenti hai ragione.
Di solito si può fare la regola come black-list (nega l'accesso a questi) o white-list (consensi l'accesso solo a questi)

Ogni appartamento ha una vita di rete a se stante....console...streaming...telefoni cellulari in wifi...laptop etc etc....diciamo che solo la rete a dovrebbe poter accedere alla rete b..e non viceversa...volendo essere più pignoli l'ideale sarebbe poter accedere solo all'nvr per poter vedere le telecamere....sto cercando il discorso dei filtri mac nel DNGD4000 ma non trovo nulla a riguardo...

[Dumah Brazorf]

E gli ap che collegano gli appartamenti che marca modello?

[Loco1]

Quote:

Originariamente inviato da Dumah Brazorf

E gli ap che collegano gli appartamenti che marca modello?

Edimax EW-7303APn v2 settati in Bridge mode...

Ti scrivo le 3 modalità operative che mi trovo sull'AP...


Bridge: In this mode, all ethernet ports and wireless interface are bridged together and NAT function is disabled. All the WAN related function and firewall are not supported.

Gateway: In this mode, the device is supposed to connect to internet via ADSL/Cable Modem. The NAT is enabled and PCs in LAN ports share the same IP to ISP through WAN port. The connection type can be setup in WAN page by using PPPOE, DHCP client, PPTP client , L2TP client or static IP.

Wireless ISP: In this mode, all ethernet ports are bridged together and the wireless client will connect to ISP access point. The NAT is enabled and PCs in ethernet ports share the same IP to ISP through wireless LAN. You must set the wireless to client mode first and connect to the ISP AP in Site-Survey page.

[pigi2pigi]

Io metterei un piccolo firewall in mezzo e da li filtrerei tutto e farei passare solo quello che voglio, avrei risolto i problemi col dhcp e di accesso

[Dumah Brazorf]

A farla lurida si potrebbe impostare l'edimax della rete A come gateway disabilitando il dhcp, impostando ip wan statico nella rete A (quindi usare la porta WAN del cpe) e ip lan nella rete b mentre l'edimax della rete b come client sempre dhcp disabilitato. Nell'edimax A poi si imposta una regola di port forward verso l'ip e porta del dvr. Per vedere le telecamere dalla rete A si punta l'ip wan dell'edimax A e relativa porta.

[Loco1]

Ok ragazzi grazie ad entrambi....rispondo prima a pigi...un "piccolo firewall" ci avevo pensato anch'io...consiglio su qualcosa di buon rapporto qualità prezzo? Tieni conto che c'è possibilità che in futuro ci siano più di un access point/reti da filtrare...

Per Duman: anche io immaginavo ci fosse una possibilità smanettando con gli AP, ma tieni conto che è la prima volta che mi trovo a settarli in una situazione di questo tipo.
Un paio di dubbi prima che inizio a smanettare: quando dici "impostando ip wan statico nella rete A (quindi usare la porta WAN del cpe) e ip lan nella rete b.."
ip wan statico l'imposto sul AP rete A vero? poi per "porta WAN del cpe" ti riferisci al router/modem o al router che in cascata mi da il wifi in casa? perchè se ti riferisci al secondo, la porta wan è impegnata dal cavo che proviene dal router/modem. Per informazione ti dico anche che entrambi gli AP Edimax hanno due porte ethernet una LAN ed una WAN dove connetto i cavi?
Altro dubbio...ma settando l'AP in modalità "gateway" mica la rete è "visibile" a tutti?

Ogni modo grazie della dritta...

[pigi2pigi]

Come filrewall io pensavo a una cosa semplice uno di quelli con due porte da 40-60€ ce ne sono anche di più grossi ma cedo la parola a chi conosce i modelli, io uso ancora un vecchio zywall 2 e fa quello che deve

Per trasformare un router/ap da bridge a router l'unica difficoltà è che le due reti sarebbe meglio se su subnet differenti e non so se la cosa ti è fattibile.

[alfonsor]

ti avevo risposto dall'altra parte, ti riporto la risposta qui

quello che devi provare è questo esattamente:

--
le due reti sono differenti, per dire quella del 4000 è 192.168.0.0 quella dell'altro appartamento è 192.168.2.0

gli ap che connettono le due reti sono tutti e due in 192.168.2.0
lo ap dalla parte del 4000 è connesso al 4000 alla porta diciamo numero 3 (l'ultima in basso)

brctl delif group1 eth3
ethswctl -c pbvlanmap -p 3 -v 0x100
ip ru add from all to 192.168.2.0/24 lookup main
ip ro add 192.168.2.0/24 dev eth3
iptables -t nat -A POSTROUTING -o eth3 -j MASQUERADE
---

la cosa funziona esattamente come riportata per due reti connesse via cavo; però tu non le hai connesse via cavo, ma via access point; per cui la devi provare

ad occhio non vedo nessun problema che i due access point connessi tra loro possano portare, ma devi provare

quando hai verificato che funziona, devi inserire quei comandi sopra in un file che venga chiamato al boot da amod nel 4000

[Loco1]

Si alfonsor, ti ringrazio, avevo visto, ma stavo riflettendo su di un paio di cose prima di mettere mano al DGND4000...
Se non avessi la possibilità di cambiare classe (192.168.2.0) all'altra rete?
L'NVR e quindi le telecamere si trovano sull'altra rete...cambiando classe rispetto alla mia (192.168.0.0) non avrei problemi a trovarlo/vederlo?
L' Access Point della mia rete è connesso al 4000 (via cavo) tramite un router in modalità bridge che mi serve per il wifi in casa...dal 4000 parte un cavo ethernet fino alla porta wan del secondo router...problemi?
La tua soluzione è applicabile anche nel caso avessi più access point e più reti remote da connettere?

Grazie sempre della disponibilità


Per quanto riguarda il discorso firewall...sto approfondendo un paio di soluzioni....un Raspberry Pi 2 + una porta aggiuntiva ethernet usb con una distro linux adatta (ipfire?) oppure caricarci su il firmware OpenWrt che da quello che leggo ha un buon firewall.....oppure una Router Board della Mikrokit.....sembra che il Router OS faccia miracoli....accetto consigli

[alfonsor]

Quote:

Originariamente inviato da Loco1

Si alfonsor, ti ringrazio, avevo visto, ma stavo riflettendo su di un paio di cose prima di mettere mano al DGND4000...

quelle modifiche sono linea da scrivere in telnet; una volta che hai fatto il reboot tutto funziona come prima

Quote:

Se non avessi la possibilità di cambiare classe (192.168.2.0) all'altra rete?

le due reti devono essere differenti

Quote:

L'NVR e quindi le telecamere si trovano sull'altra rete...cambiando classe rispetto alla mia (192.168.0.0) non avrei problemi a trovarlo/vederlo?

scritte quelle linea, da qualsiasi computer connesso alla rete del primo appartamento potrai connetterti a qualsiasi cosa nella rete del secondo appartamento

Quote:

L' Access Point della mia rete è connesso al 4000 (via cavo) tramite un router in modalità bridge che mi serve per il wifi in casa...dal 4000 parte un cavo ethernet fino alla porta wan del secondo router...problemi?

non è possibile; gli access point devono stare in una rete o nell'altra; cioé sono cosi che servono solo come strada per le due reti; possono essere usati come ap per la rete dell'altro appartamento; non possono essere usati uno per una rete ed un altro per l'altra rete; altrimenti devi comperare un router che faccia da access point con un sistema evoluto ed agire su quello con regole di routing e di forwarding

Quote:

La tua soluzione è applicabile anche nel caso avessi più access point e più reti remote da connettere?

la soluzione sopra è banale; la porta eth3 non sta più nella lan, ma sta in un'altra rete che è la rete del secondo appartamento; lo ip masquerade serve a fare in modo che chi è nel primo appartamento si possa connettere al secondo; tutto quello che arriva fino alla eth3 del 4000 nel primo appartamento sta nella rete del secondo, compresi i due ap; un coso connesso allo ap nel primo appartamento, potrà sempre andare su internet, ma con la adsl del secondo appartamento; se hai bisogno di un access point nel primo appartamento, o usi lo ap del 4000 o devi comperare un altro ap da usare solo nel primo appartamento

Quote:

Per quanto riguarda il discorso firewall...sto approfondendo un paio di soluzioni....un Raspberry Pi 2 + una porta aggiuntiva ethernet usb con una distro linux adatta (ipfire?) oppure caricarci su il firmware OpenWrt che da quello che leggo ha un buon firewall.....oppure una Router Board della Mikrokit.....sembra che il Router OS faccia miracoli....accetto consigli

sul discorso firewall non capisco come possa funzionare; se non c'è un filo tra le due reti che passa per il firewall, avrai bisogno di un firewall con access point; insomma non è proprio una cosa comune; un raspberry è assolutamente sconsigliato per fare il routing per svariate ragioni, prima delle quali che la usb e la eth sono sullo stesso bus e fanno casini

[Dumah Brazorf]

Quote:

Originariamente inviato da Loco1

Per Duman: anche io immaginavo ci fosse una possibilità smanettando con gli AP, ma tieni conto che è la prima volta che mi trovo a settarli in una situazione di questo tipo.

Fai il backup dell'attuale configurazione prima di modificare così in caso di rogne metti tutto a posto con due click.

Quote:

Un paio di dubbi prima che inizio a smanettare [...]

Il cpe è appunto l'edimax, quando vuoi vedere le telecamere chiami l'ip della porta wan dell'edimax che hai nella rete A.
Riguardo le porte fisiche, sicuramente l'edimax A dovrà essere collegato per la porta WAN mentre l'edimax B probabilmente funzionerà con entrambe ma per pignoleria direi la LAN.

Quote:

Altro dubbio...ma settando l'AP in modalità "gateway" mica la rete è "visibile" a tutti?

Senza accorgimenti sì però:
- metti una password bella lunga lettereacasominuscolemaiuscole-numeri-caratterispeciali e cifratura WPA2-PSK con AES
- disattivi il broadcast dell'SSID
- se possibile potresti impostare un filtro MAC così che solo il MAC dell'edimax B possa collegarsi.