Separazione rete lan

[emmeci85]

ciao a tutti,
vi elenco prima di tutto la mia configurazione:
- Router ADSL Zyxel VMG3925 B10
- Switch unmanagment Zyxel 16 porte 10/100/1000
- Switch POE managment Zyxel GS1200-8HPv2 8 porte 10/100/100

Dal router (avendo disponibile 4 porte LAN) son partito con due cavi di rete ciascuno verso uno switch.
Sul switch unmanagment ho collegato tutta la rete locale (PC, ACCESS POINT, Tv..ecc.), mentre sul router POE sono collegate 4 telecamere IP autonome (cioè hanno a bordo una sd e registrano in automatico singolarmente, quindi normalmente non generano flusso dati via ethernet).

Attualmente per la visione da remoto ho impostato un NAT sul router verso la porta 80 di ciascuna telecamera.

Ora mi era venuto in mente, per migliorare la sicurezza, di separare le due reti in modo che lo switch POE a cui sono collegate le telecamere non potesse accedere direttamente alla rete locale (l'altro switch), mantenendo però la possibilità di vederle da remoto (attraverso NAT sul router).

Come posso fare? pensavo di configurare gli IP della telecamete con una classe diversa e creare una Vlan da configurare sul router...sbaglio?
Se riuscissi a farlo perderei però la possibilità dalla rete locale di vedere direttamente le telecamere, oppure il puntamento lo posso comunque fare attraverso ip pubblico o DNS (con il nat impostato correttamente sul router)?

PS. attualmente tutti i dispositivi sono sulla stessa classe IP e maschera 255.255.255.0

Spero di essere stato abbastanza chiaro....grazie!

[Kaya]

Ovviamente se separi su due VLAN non potrai più accedere dal NAS alle telecamere.
Inoltre ho qualche serio dubbio che il tuo router possa gestire correttamente l'instradamento VLAN.

[emmeci85]

ciao,
non ho nessun NAS. Ogni Telecamera è autonoma ha una Sd propria, la rete serve solo per puntarle da remoto nel caso si voglia vedere live o le registrazioni.
Si il router permette di fare Vlan.

[Kaya]

Scusa avevo letto male.
Ho dato una scorsa al volo al manuale del router ed effettivamente si, sembra che supporti la modalità delle VLAN.
Per vedere le telecamere dall'interno non ho idea se funzioni puntando l'indirizzo pubblico del router, ma al 90% per esperienza direi di no.

[emmeci85]

Quote:

Originariamente inviato da Kaya

Per vedere le telecamere dall'interno non ho idea se funzioni puntando l'indirizzo pubblico del router, ma al 90% per esperienza direi di no.

in effetti questo è proprio il mio dubbio! farò delle prove....
grazie per l'aiuto!

[x_term]

Quote:

Originariamente inviato da emmeci85

in effetti questo è proprio il mio dubbio! farò delle prove....
grazie per l'aiuto!

Pur essendo VLAN diverse, il Zyxel dovrebbe come default consentire la comunicazione tra di esse tramite routing, semplicemente il traffico intra-VLAN andrebbe al Zyxel che poi lo gira sull'altra VLAN, quindi in locale non c'è differenza. Se vuoi isolarle totalmente ci dovrebbe essere una regola di firewall che blocca il traffico da una all'altra.

[emmeci85]

Quote:

Originariamente inviato da x_term

Pur essendo VLAN diverse, il Zyxel dovrebbe come default consentire la comunicazione tra di esse tramite routing, semplicemente il traffico intra-VLAN andrebbe al Zyxel che poi lo gira sull'altra VLAN, quindi in locale non c'è differenza. Se vuoi isolarle totalmente ci dovrebbe essere una regola di firewall che blocca il traffico da una all'altra.

grazie x_term! se così sarebbe perfetto! nel fine settimana farò una prova...

[Kaya]

Quote:

Originariamente inviato da x_term

Pur essendo VLAN diverse, il Zyxel dovrebbe come default consentire la comunicazione tra di esse tramite routing, semplicemente il traffico intra-VLAN andrebbe al Zyxel che poi lo gira sull'altra VLAN, quindi in locale non c'è differenza. Se vuoi isolarle totalmente ci dovrebbe essere una regola di firewall che blocca il traffico da una all'altra.

Mi "balla" un occhio.
Perchè se così fosse vero, vorrebbe dire che il concetto base di VLAN non funzionerebbe e sarebbe inutile.. tanto varrebbe semplicemente cambiare la classe ip delle telecamere.
Questa funziona che permette il "cambio" di VLAN si chiama "inter VLAN routing"

[emmeci85]

Quote:

Originariamente inviato da Kaya

Mi "balla" un occhio.
Perchè se così fosse vero, vorrebbe dire che il concetto base di VLAN non funzionerebbe e sarebbe inutile.. tanto varrebbe semplicemente cambiare la classe ip delle telecamere.
Questa funziona che permette il "cambio" di VLAN si chiama "inter VLAN routing"

probabilmente la comunicazione tra le due Vlan è legata a regole nel router, e comunque, un altro vantaggio rimane sempre che il traffico di broadcast è confinato alla singola VLAN

[x_term]

Quote:

Originariamente inviato da Kaya

Mi "balla" un occhio.

Perchè se così fosse vero, vorrebbe dire che il concetto base di VLAN non funzionerebbe e sarebbe inutile..

Le VLAN sono un concetto di livello 2, ma come metti in comunicazione due domini Ethernet diversi? Con un router su entrambe le reti. Ripeto, se uno imposta il firewall blocca la comunicazione tra le 2, ma si può anche filtrare ecc. e tra l’altro esistono anche gli switch con funzionalità di livello 3 che fanno routing tra VLAN...
Invece cambiando la subnet ma stando sulla stessa VLAN se c’è un broadcast storm sulla rete impalli tutto, non solo una delle due subnet. Inoltre non potresti regolare con firewall la comunicazione, perché sono entrambe sullo stesso mezzo fisico.


Sent from my iPhone using Tapatalk