Router ADSL e creazione VLAN

[mario.za]

Buongiono a tutti,

avrei la necessita di permettere la navigazione Internet solo ad alcune postazioni distribuite ad hoc, per fare questo pensavo di sfruttare il cablaggio strutturato e devices attualmente in uso.

Avrei pensato all'utilizzo delle VLAN per isolare il traffico Internet da quello aziendale intranet, l'idea è questa:

VlanId 0 Default
VlanId 100 intranet A
VlanId 200 intranet B
VlanId 300 Internet C

Attualmente le vlan 100 e 200 sono già configurate e in utilizzo su tutti gli switch tramite il trunking delle dorsali.

Ho creato la vlan 300 e creato il trunking verso gli switch che dovranno trasportare il segnale Internet.

Ora viene il problema, il router della telecom ADSL business (se cosi si può chiamare) non permette la creazione di ulteriori Vlan ma dialoga solo su VlanId 0, cosa che vorrei evitare ad ogni modo.

Quello che vi chiedo e se ci sono soluzioni alternative a costo zero o se potete consigliarmi un prodotto che mi permetta di ottenere quanto scritto sopra, ossia la creazione di vlan specifiche.

Anticipatamente Grazie a chiunque voglia darmi un suo contributo.

[OUTATIME]

Io eviterei di giocare con le vlan e configurerei il dhcp per dare un gateway farlocco o non darlo proprio.

[mario.za]

Quote:

Originariamente inviato da OUTATIME

Io eviterei di giocare con le vlan e configurerei il dhcp per dare un gateway farlocco o non darlo proprio.

Parliamo politiche aziendali di sicurezza imposte dall'alto, quello che ci "chiedono" è di creare lan distinte e separate una per Internet e le altre per intranet, possibilmente spendendo il meno. Quindi la soluzione più ovvia che mi è venuta in mente è l'utilizzo delle VLAN.

[x_term]

Ma scusa, se le altre VLAN non hanno la necessità dell'accesso ad Internet... semplicemente tieni la VLAN con accesso sulla 0 e separa solo le altre. Altrimenti devi cambiare router, prendi una cosa tipo un DrayTek.

[mario.za]

Quote:

Originariamente inviato da x_term

Ma scusa, se le altre VLAN non hanno la necessità dell'accesso ad Internet... semplicemente tieni la VLAN con accesso sulla 0 e separa solo le altre. Altrimenti devi cambiare router, prendi una cosa tipo un DrayTek.

Grazie per il suggeriemento, avevo individuato lo steso prodotto, nello specifico Vigor2762 che supporta fino a 8 Vlan, ma non avendo mai avuto esperienze simili chiedevo lumi.

Nuovamente Grazie.

[Kaya]

Perdonami ma viene un po da sorridere sul fatto che parli di "policy di sicurezza aziendali" e poi hai come router quello base che ti fornisce telecom. Non hai un firewall di mezzo?

[mario.za]

Quote:

Originariamente inviato da Kaya

Perdonami ma viene un po da sorridere sul fatto che parli di "policy di sicurezza aziendali" e poi hai come router quello base che ti fornisce telecom. Non hai un firewall di mezzo?

Non credo che stai rispondendo al mio quesito, ma a mio parere è solo un osservazione senza sbocco. Ad ogni modo per completezza ti rispondo.........

Ovviamente al momento non c'è ancora nessuna navigazione Internet il tutto è in fase di progettazione, ho chiesto lumi solo su come utilizzare al meglio l'infrastruttura attuale e relative VLAN per non essere troppo dispersivo e rischiare di non avere pareri mirati, proprio per questo chiedevo consigli solo in merito al modem/router adeguato.

Firewall, DMZ, PROXY sono stati presi in considerazione e se avremo dubbi su come procedere chiederò qui sul forum.

Mi sono accorto solo oggi che la DrayTek è di Torino, la città in cui lavoro, credo che li contatterò per una consultazione tecnica più mirata cosi da farmi ofrrire il prodotto più indicato alle nostre esigenze ed eventualmente un supporto per lo sviluppo del progetto.

[Kaya]

Quote:

Originariamente inviato da mario.za

Non credo che stai rispondendo al mio quesito, ma a mio parere è solo un osservazione senza sbocco.

Eh e invece... invece!
Tu vuoi limitare il traffico internet (e intranet) usando le VLAN..e guarda un po, il firewall può fare proprio questo.
Fai arrivare le VLAN che tin interessano al firewall, poi imposti le tue regole per far o non far passare il traffico da/tra VLAN. (che poi il router gestisca solo la VLAN 0 o va in access/untagged è relativo)

Per il firewall ci sono tante soluzioni: ricorda sempre che devi progettare con la tecnologia, non con la marca.

[Kaya]

Quote:

Originariamente inviato da mario.za

Mi sono accorto solo oggi che la DrayTek è di Torino, la città in cui lavoro, credo che li contatterò per una consultazione tecnica più mirata cosi da farmi ofrrire il prodotto più indicato alle nostre esigenze ed eventualmente un supporto per lo sviluppo del progetto.

E giusto un piccolissimo appunto per fare mr precisino.
Draytek è una multinazionale di Taywan.
In italia c'è un importatore che ha la sede a Torino che si chiama Spider Electronics.
(solo per dovere di precisazione, dopo che siano competenti in materia assolutamente nulla da dire poichè non li conosco)

[mario.za]

Quote:

Originariamente inviato da Kaya

Eh e invece... invece!
Tu vuoi limitare il traffico internet (e intranet) usando le VLAN..e guarda un po, il firewall può fare proprio questo.
Fai arrivare le VLAN che tin interessano al firewall, poi imposti le tue regole per far o non far passare il traffico da/tra VLAN. (che poi il router gestisca solo la VLAN 0 o va in access/untagged è relativo)

Per il firewall ci sono tante soluzioni: ricorda sempre che devi progettare con la tecnologia, non con la marca.

Quindi se ho capito bene, mi consigli di concentrarmi solo ed esclusivamente sul firewall tralasciando il modem che potrebbe essere anche dei più disparati (ossia quello che telecom offrirà).

Se optassimo su una via di mezzo ossia modem con firewall integrato, avresti prodotti da suggerirmi oltre al citato draytek ?

[Kaya]

Io mi consiglierei sulla progettazione, l'implementazione la vedi dopo.
Mi spiego con un esempio
Se ho da progettare una rete che abbia sia traffico dati che traffico VOIP, mi concentro ragionano che dovremo mettere uno switch, che faccia POE su alcune porte e sia da gigabit e con supporto VLAN.
Fatto questo vado alla ricerca del prodotto commerciale che offre tali soluzioni (e che magari conosco).

Non so nemmeno che tipo di linea andrai a mettere, e parli di "modello di firewall": hai fibra? ponte radio? linea 4g? insomma le variabili sono tanti .

Comunque non saprei cosa dirti, io personalmente opterei per il modem scrauso di telecom in bridge e poi una appliance PFSense con almeno TOT porte (dove con TOT sta a te determinarlo sulla base del progetto), però ci sono anche soluzioni base come il FritBox, oppure i SonicWall o i Fortigate, ma anche Cisco & co.

Ovviamente poi punto a soluzioni che magari conosco, salvo non mi servano specifiche funzionalità che solo quel prodotto ha.

[mario.za]

Prima di ogni cosa grazie per l'iteressamento e per i suggeriementi dati fino ad ora, hai ragione non ho dato alcun dettaglio su cui rispondere in modo approfondito e chiedo venia.

La linea Internet sarà FTTC telecom bussiness 30Mb BMG 256k, utilizzata da un massimo di 10 utenze, solo ed esclusivamente per la navigazione "libera", no voip e nessul'atro tipo di servizio annesso.

per le 5 utenze nello stabile dove arriverà FTTC il problema non sussite, potrei sfruttare i patch panel esitenti e al massimo aggiungere uno switch dedicato per portare la linea senza intaccare la rete aziendale.

Il problema grosso è poter portare le altre 2+3 utenze in altri due stabili che distano 200mt dal centro stella.

Stendere dorsali dedicate per soli 5 utenze è impensabile, piuttosto non se ne farà nulla.

Un altro grosso vincolo è quello di non poter frapporre apparati o software diversi da quelli già esiteti sulla rete aziendale tra sede principale e le filiali.

Ecco perchè il mio primo pensiero si era focalizzato sul segmentare le subnet tramite VLAN, sfruttando solo il cablaggio e gli switch esistenti senza interporre alcun tipo di apparato/software tra le sedi.

In fine in realtà esite già un firewall, in cascata al router che interconette le altre sedi, che svolge compiti ben specifici e per svariati motivi non è possibile modificare.

[Kaya]

Quote:

Originariamente inviato da mario.za

per le 5 utenze nello stabile dove arriverà FTTC il problema non sussite, potrei sfruttare i patch panel esitenti e al massimo aggiungere uno switch dedicato per portare la linea senza intaccare la rete aziendale.

Il problema grosso è poter portare le altre 2+3 utenze in altri due stabili che distano 200mt dal centro stella.

E perchè non pensare a un ponte radio?

Quote:

Originariamente inviato da mario.za

Un altro grosso vincolo è quello di non poter frapporre apparati o software diversi da quelli già esiteti sulla rete aziendale tra sede principale e le filiali.

Ecco perchè il mio primo pensiero si era focalizzato sul segmentare le subnet tramite VLAN, sfruttando solo il cablaggio e gli switch esistenti senza interporre alcun tipo di apparato/software tra le sedi.

In fine in realtà esite già un firewall, in cascata al router che interconette le altre sedi, che svolge compiti ben specifici e per svariati motivi non è possibile modificare.

Io credo comunque che tu stia usando uno strumento pensato per un uso per un utilizzo comunque diverso.

Se vuoi semplicemente segare le connessioni verso internet, vai di proxy e fine di ogni pensiero.
Perchè
se non puoi toccare il firewall
se non puoi mettere switch in mezzo (?)
se non puoi interconnettere...ecc ecc. di cosa stiamo parlando?