Separare la rete LAN

[soldier.93]

Salve a tutti,
da poco sono passato alla fibra ottica FTTH di Vodafone, la quale mi ha installato la nuova presa in casa e mi ha consegnato la Vodafone Power Station.
Vorrei "separare" la rete dato che ho un PC che uso solo per lavoro e vorrei fare in modo che tutti i PC miei personali, compresa la stampante di rete e altre risorse di rete siano su un'altra rete, mentre il PC che uso per lavoro sia su una rete separata che non comunica con l'altra.
Come posso fare?
Ho visto che si dovrebbe creare una VLAN, come posso farlo? Devo comprare uno switch managble per fare questa cosa e comprare anche un access point da mettere su questa VLAN?

Grazie a tutti anticipatamente del supporto.

[OUTATIME]

Con lo switch managed da solo non te ne fai niente.
Basta che prendi un router che faccia nat, come un fritzbox 4040, alla porta wan colleghi la vodafone station e dalla parte lan colleghi i dispositivi che vuoi separare, tenendo presente che dalla lan del fritz è visibile la lan della vodafone station, e non viceversa.

[soldier.93]

Per separare completamente le reti per far in modo che non siano visibili tra di loro devo usare un firewall?

[OUTATIME]

Quote:

Originariamente inviato da soldier.93

Per separare completamente le reti per far in modo che non siano visibili tra di loro devo usare un firewall?

Oppure due router
Diciamo che se non hai esperienza di firewall con due router fai molto prima.

[Kaya]

No, ti ci vuole un firewall per forza.
Un router fa routing tra due reti, quindi fa passare tutto.
Quando blocchi secondo certi criteri, si parla di firewall.

[soldier.93]

Intanto grazie a tutti per le risposte

Si non ho esperienza di firewall ma mi piacerebbe cimentarmi.. dovrei quindi comunque comprare un router da collegare al firewall, giusto?
Ho un vecchio PC, posso impiegarlo come firewall magari installandoci il fortinet?

[OUTATIME]

Quote:

Originariamente inviato da Kaya

No, ti ci vuole un firewall per forza.
Un router fa routing tra due reti, quindi fa passare tutto.
Quando blocchi secondo certi criteri, si parla di firewall.

Se mette un router per entrambe le sottoreti, non passa nulla.

[Kaya]

Se hai un pc da riutilizzare il mio suggerimento è quello di fare delle "prove di laboratorio".
Quindi il primo step è aggiungerci schede di rete (in modo da avere almeno 3 interfacce : WAN, LAN1 (casa), LAN2 (ufficio).
Io ti consiglio pfsense, ci sono ottime guide e mi sono sempre trovato bene.
Ovviamente ti servirà anche degli switch da mettere poi a valle del firewall e anche access point (ovviamente la vodafone station andrà disattivata di ogni funzionalità aggiuntiva).

Se invece vuoi stare sul semplice e non è tua intenzione studiare cose nuove, compra un router e collegalo al router principale, e sotto quello ci metti la parte "Riservata" : potrai andare da quella rete verso l'altra, ma non il contrario

[soldier.93]

che requisiti hardware ci vogliono per questo firewall?
ho un vecchio Pentium 4 con 2 giga di RAm e un'altro pentium dual core 775 con 4 gb di ram.. cosa posso fare?

[dirac_sea]

Quote:

Originariamente inviato da soldier.93

che requisiti hardware ci vogliono per questo firewall?
ho un vecchio Pentium 4 con 2 giga di RAm e un'altro pentium dual core 775 con 4 gb di ram.. cosa posso fare?

IMHO non conviene tenere in funzione uno dei pc che hai menzionato per farci un firewall... 100 e passa Watt di consumo solo per quello...
Prova a vedere se una soluzione come il Gl.inet 300 Mango (dai consumi irrisori) può fare al caso tuo. Realizzi una rete domestica separata, cablata o Wi-Fi che sia, e applichi le regole che vuoi nel firewall incluso. Il tutto ad un costo di 22 € , in vendita nel negozio online da cui HWUpgrade prende le marchette
Ah, io tale dispositivo lo ho e posso solo tesserne le lodi...

[soldier.93]

Quote:

Originariamente inviato da dirac_sea

IMHO non conviene tenere in funzione uno dei pc che hai menzionato per farci un firewall... 100 e passa Watt di consumo solo per quello...
Prova a vedere se una soluzione come il Gl.inet 300 Mango (dai consumi irrisori) può fare al caso tuo. Realizzi una rete domestica separata, cablata o Wi-Fi che sia, e applichi le regole che vuoi nel firewall incluso. Il tutto ad un costo di 22 € , in vendita nel negozio online da cui HWUpgrade prende le marchette
Ah, io tale dispositivo lo ho e posso solo tesserne le lodi...

Effettivamente tenere acceso un PC h24 consumerebbe e non poco.
Carino questo dispositivo, ma potrebbe fare da firewall? ci si può installare sopra il firewall?

[Kaya]

Si ma quell'affare ha solo due porte di rete..
Concordo sui consumi, ma stavamo parlando di imparare cose nuove....

Io ho comprato per lavoro dei prodotti embedded con 3 schede di rete e pfsense.. se googli trovi qualcosa (ma si parla di 200euro di prodotto..)

[dirac_sea]

Quote:

Originariamente inviato da soldier.93

Effettivamente tenere acceso un PC h24 consumerebbe e non poco.
Carino questo dispositivo, ma potrebbe fare da firewall? ci si può installare sopra il firewall?

Il firewall è già installato di serie: https://docs.gl-inet.com/en/3/setup/...uter/firewall/

Quote:

Originariamente inviato da Kaya

Si ma quell'affare ha solo due porte di rete..
Concordo sui consumi, ma stavamo parlando di imparare cose nuove....

Io ho comprato per lavoro dei prodotti embedded con 3 schede di rete e pfsense.. se googli trovi qualcosa (ma si parla di 200euro di prodotto..)

Si, ma il suo problema è di separare solo un pc dalla rete in cui sono gli altri client... dunque quello scatolino giallo soddisfa l'esigenza. Se poi si collega in Wi-Fi, cade anche il limite dell'unica porta LAN.

[soldier.93]

Quote:

Originariamente inviato da dirac_sea

Il firewall è già installato di serie: https://docs.gl-inet.com/en/3/setup/...uter/firewall/



Si, ma il suo problema è di separare solo un pc dalla rete in cui sono gli altri client... dunque quello scatolino giallo soddisfa l'esigenza. Se poi si collega in Wi-Fi, cade anche il limite dell'unica porta LAN.

Si lo "scatolino giallo" sembra che faccia al mio caso.. Nulla toglie che userò un pc per fare delle prove magari anche pfsense non c'è problema.. mi piace imparare cose nuove...

solo una domanda anche se può sembrare banale: il firewall della vodafone station andrà disattivato poi?

[dirac_sea]

Quote:

Originariamente inviato da soldier.93

Si lo "scatolino giallo" sembra che faccia al mio caso.. Nulla toglie che userò un pc per fare delle prove magari anche pfsense non c'è problema.. mi piace imparare cose nuove...

Certamente, sperimentare qualcosa di nuovo è sempre positivo

Quote:

Originariamente inviato da soldier.93

solo una domanda anche se può sembrare banale: il firewall della vodafone station andrà disattivato poi?

No, non va disattivato, primo perché perderesti la difesa dei pc client sulla rete della Voda Station, secondo perché il 300 Mango è nato per funzionare su reti di norma già provviste di un proprio firewall (es. le reti di hotel, aeroporti, internet caffè).

[soldier.93]

Quote:

Originariamente inviato da dirac_sea

Certamente, sperimentare qualcosa di nuovo è sempre positivo


No, non va disattivato, primo perché perderesti la difesa dei pc client sulla rete della Voda Station, secondo perché il 300 Mango è nato per funzionare su reti di norma già provviste di un proprio firewall (es. le reti di hotel, aeroporti, internet caffè).

Ah ok perfetto ora ho capito.
Quindi il firewall del mango serve diciamo solo a separare la rete e magari a impostare qualche regola di routing e/o di comunicazione, ma non protegge da attacchi esterni perchè per quello c'è il fw sulla Voda Station..

Quasi dimenticavo: vorrei successivamente installare anche un FreeNAS, accessibile anche dall'esterno, e ho letto che il Mango fa anche da VPN, posso usarlo anche per quello? Come posso poi fare per rendere l'accesso alla mia rete sicuro dall'esterno? (sicuramente poi aprirò un altro thread per questa cosa, non voglio andare offtopic)

[maxik]

Ma la Vodafone Station ha l'opzione per una rete ospite. Non si potrebbe utilizzare quella impostando un altra subnet o range IP?

[soldier.93]

Quote:

Originariamente inviato da maxik

Ma la Vodafone Station ha l'opzione per una rete ospite. Non si potrebbe utilizzare quella impostando un altra subnet o range IP?

E' vero che ha la rete ospite ma se non sbaglio effettuando una prova tempo fa riuscivo a pingare gli host della rete "principale" quindi le due reti comunicano.

[maxik]

Ma erano su range differenti?
192.168.1.2
192.168.X.1

[dirac_sea]

Quote:

Originariamente inviato da soldier.93

Ah ok perfetto ora ho capito.
Quindi il firewall del mango serve diciamo solo a separare la rete e magari a impostare qualche regola di routing e/o di comunicazione, ma non protegge da attacchi esterni perchè per quello c'è il fw sulla Voda Station..

Il firewall del Mango protegge la rete privata separata che viene creata (192.168.8.xxx di default) esattamente come fa il firewall della Voda Station. Se ti imbattessi in un serpentello che riuscisse ad intrufolarsi nella rete della Voda Station, non potrebbe di primo acchito accedere al client collegato al Mango, si troverebbe di fronte ad un altro firewall...

Quote:

Originariamente inviato da soldier.93

Quasi dimenticavo: vorrei successivamente installare anche un FreeNAS, accessibile anche dall'esterno, e ho letto che il Mango fa anche da VPN, posso usarlo anche per quello? Come posso poi fare per rendere l'accesso alla mia rete sicuro dall'esterno? (sicuramente poi aprirò un altro thread per questa cosa, non voglio andare offtopic)

Se realizzi una VPN, hai già reso sicuro l'accesso alla rete dall'esterno
Occhio che la VPN che il Mango rende disponibile non è molto veloce. Scordarsi lo streaming via VPN ad esempio. Ma per un accesso di poche pretese (quindi non professionale) può bastare.