Dividere la rete in sottoreti

[fild7]

Buonasera a tutti,
volevo chiedere se con l'ha che ho attualmente in uso se posso separare alcune periferiche che ho in rete dalle altre.. oppure creare 2 reti separate.

Vi indico cosa ho:
Router:
Vodafone Power Station con Fibra collegata a:
- switch 48 porte gigabit non gestito (con collegata domotica, periferiche varie, nas, access point etc etc)
- switch 16 porte Poe non gestito (a cui sono collegate 8 telecamere IP e l'NVR della sorveglianza)

Il router è il classico 192.168.1.1 e tutte le periferiche sono 192.168.1.xxx

Io vorrei isolare quantomeno la parte video sorveglianza dal resto, poi se possibile dedicare una sottorete ad alcune periferiche collegate allo switch da 48 porte

Spero di essere stato chiaro, nel caso chiedetemi info aggiuntive

Grazie mille

[Dumah Brazorf]

Perchè?

[fild7]

Perché spesso la videosorveglianza mi da errori al momento del login dicendo di aver avuto troppi tentativi di accesso in poco tempo e va in protezione.. volevo provare a isolarla un pò.
Ho IP fisso dimenticavo

[x_term]

Non c'entra nulla la rete interna allora, tu hai qualche porta aperta verso l'universo infinito, vero? Chiudi tutto e usa una VPN.

[fild7]

Si ho diverse porte aperte sia per accedere alla Domotica sia per accedere alla video sorveglianza da remoto..
Se le chiudo non posso più avere il controllo dall’esterno.. sicuramente c’è una soluzione ma dovreste aiutarmi..

[OUTATIME]

Quote:

Originariamente inviato da fild7

Si ho diverse porte aperte sia per accedere alla Domotica sia per accedere alla video sorveglianza da remoto..
Se le chiudo non posso più avere il controllo dall’esterno.. sicuramente c’è una soluzione ma dovreste aiutarmi..

Descrivi com'è fatto il sistema di vidosorveglianza...
Hai un DVR a cui accedi per vedere tutte le cam e digiti il classico indirizzo http://........ ? Se è così molto probabilmente ti basta cambiare la porta del DVR dal default ad una porta diversa, tipo la 56080 o un numero simile a tua scelta.

[kilthedog91]

Io ci provo, magari non ci ho capito un H della tua problematica ma al lavoro ho acquistato un router senza modem integrato (chiamato "hotspot" della Eminent di anni fa. Ora c'è tipo Eminent EM4700 Router ). Il router hotspot ha una porta ethernet che funge da WAN. Con un cavo LAN ho collegato l'hotspot al router Infostrada.

Al lavoro quindi ho:
- 192.168.1.X (router) con le postazioni dell'ufficio, hardware dell'ufficio.
- 192.168.2.X (hotspot) per la rete wifi ospiti.

Certo, ci sono router che gestiscono le reti ospiti ma comunque sono "limitati" con numero massimo di utenze ecc ecc. Così invece dovrei tranquillamente bypassare questi limiti.

L'hotspot viene comunque visto come 192.168.1.2 dal router, informazione sicuramente utile se volessi fare il port-forwarding per il DVR.

[sabi289]

Ti serve un router che permetta di gestire più di una LAN (VLAN). Ce ne sono tantissimi.. Dopodichè configuri una WAN con indirizzo statico e la colleghi al router Vodafone, e poi configuri 2 LAN (2 VLAN in realtà) e le associ alle porte LAN 1 e LAN 2 del router (o come ti pare). A questo punto colleghi una porta LAN allo switch 48 porte e l'altra allo switch delle telecamere, e sei a posto... Hai anche il vantaggio che le telecamere stanno su un segmento di rete tutto loro quindi non possono generare conflitti e/o congestioni alla tua rete di casa.

Non dimenticare infine di disattivare il firewall e ogni altro sistema sulla power station e di attivare una DMZ verso l'indirizzo del router nuovo che comprerai, in modo che sia lui poi a gestire il traffico e il NAT.

[fild7]

Quote:

Originariamente inviato da OUTATIME

Descrivi com'è fatto il sistema di vidosorveglianza...
Hai un DVR a cui accedi per vedere tutte le cam e digiti il classico indirizzo http://........ ? Se è così molto probabilmente ti basta cambiare la porta del DVR dal default ad una porta diversa, tipo la 56080 o un numero simile a tua scelta.

E' un semplice NVR che ha un suo ip come le singole telecamere ip.. dall'esterno mi ci posso collegare sia da browser (mettendo l'ip fisso di vodafoneorta nvr) che da App con i settaggi già memorizzati.
La porta in questione è già "particolare", non è la classica 80 per capirsi..

[fild7]

Quote:

Originariamente inviato da sabi289

Ti serve un router che permetta di gestire più di una LAN (VLAN). Ce ne sono tantissimi..

Intanto grazie... ma non è che è questa funzione che ha già il router vodafone?

Quote:

Dopodichè configuri una WAN con indirizzo statico e la colleghi al router Vodafone, e poi configuri 2 LAN (2 VLAN in realtà) e le associ alle porte LAN 1 e LAN 2 del router (o come ti pare). A questo punto colleghi una porta LAN allo switch 48 porte e l'altra allo switch delle telecamere, e sei a posto...

L'idea è quella anche se avrei bisogno di qualche tecnicismo in più... non credo di aver capito benissimo

Quote:

Hai anche il vantaggio che le telecamere stanno su un segmento di rete tutto loro quindi non possono generare conflitti e/o congestioni alla tua rete di casa.

Ecco questo potrebbe farmi molto comodo..

Quote:

Non dimenticare infine di disattivare il firewall e ogni altro sistema sulla power station e di attivare una DMZ verso l'indirizzo del router nuovo che comprerai, in modo che sia lui poi a gestire il traffico e il NAT.

Perchè? il Firewall, il port forwarding ecc dovrei farlo sul router aggiuntivo quindi?

[x_term]

Io, personalmente, ritengo che tutto questo non ti risolverà il problema dei tentativi di accesso dall'esterno, se è veramente questo che intendi risolvere, perché tanto la porta la devi aprire in ogni caso, VLAN o meno.
Mettere porte non standard serve fino ad un certo punto, poi arriva il port scanner che trova quella nuova e ricominci daccapo. Chiudi la porta diretta e usa una VPN, magari cambiando router con uno che la gestisce.

Inviato dal mio HD1913 utilizzando Tapatalk

[fild7]

Quote:

Originariamente inviato da x_term

Io, personalmente, ritengo che tutto questo non ti risolverà il problema dei tentativi di accesso dall'esterno, se è veramente questo che intendi risolvere, perché tanto la porta la devi aprire in ogni caso, VLAN o meno.
Mettere porte non standard serve fino ad un certo punto, poi arriva il port scanner che trova quella nuova e ricominci daccapo. Chiudi la porta diretta e usa una VPN, magari cambiando router con uno che la gestisce.

Inviato dal mio HD1913 utilizzando Tapatalk

La VPS la gestisce la VPN ma non l'ho mai fatto e non so da dove cominciare...

Intanto come tipo mi chiede di scegliere tra:
IPSec
client L2TP
server L2TP
client PPTP
server PPTP

[sabi289]

La VPN renderebbe la visione e l'accesso all'NVR alquanto ostica rispetto all'accesso diretto mediante NAT.


Comunque... sì la Vodafone Station permette di creare 2 sottoreti ma non di assegnare ognuna di esse ad una porta fisica tra le 4 porte di cui è dotata ... in pratica gestisce sì 2 segmenti (di default la 192.168.1.0 e la 192.168.5.0) ma tra di esse si "vedono" (grazie a un routing che fa in automatico la station)... in pratica non ci sarebbe poi una distinzione fisica tra le 2 ma dovresti settare tu manualmente tutte le telecamere e l'NVR con indirizzi di classe 192.168.5.X e tutti gli altri dispositivi su 192.168.1.X perchè se non ricordo male il DHCP assegna in via prioritaria sulla classe della sottorete principale, quindi devi essere tu ad indirizzare determinati dispositivi sull'altra classe..

[sabi289]

Potresti provare questo seno...

[fild7]

Quote:

Originariamente inviato da sabi289

La VPN renderebbe la visione e l'accesso all'NVR alquanto ostica rispetto all'accesso diretto mediante NAT.

ecco questo sarebbe un problema anche per la domotica (oltre alla gestione mia, spesso si collega l'azienda che me l'ha fatta per manutenzione e aggiornamenti vari)

Quote:

Comunque... sì la Vodafone Station permette di creare 2 sottoreti ma non di assegnare ognuna di esse ad una porta fisica tra le 4 porte di cui è dotata ... in pratica gestisce sì 2 segmenti (di default la 192.168.1.0 e la 192.168.5.0) ma tra di esse si "vedono" (grazie a un routing che fa in automatico la station)... in pratica non ci sarebbe poi una distinzione fisica tra le 2 ma dovresti settare tu manualmente tutte le telecamere e l'NVR con indirizzi di classe 192.168.5.X e tutti gli altri dispositivi su 192.168.1.X perchè se non ricordo male il DHCP assegna in via prioritaria sulla classe della sottorete principale, quindi devi essere tu ad indirizzare determinati dispositivi sull'altra classe..

Questo non sarebbe un problema, tanto sia l'NVR che le telecamere hanno tutti un ip statico messo da me.. per cui basta che cambio terzo numero della terzina da 1 a X e avrei fatto giusto?

[sabi289]

Quote:

Originariamente inviato da fild7

basta che cambio terzo numero della terzina da 1 a X e avrei fatto giusto?

Si, e questo potresti farlo anche già ora senza problemi... Basta cambiare l'1 con il 5 sia sull'inidirizzo IP che sul gateway (e anche sul DNS se tu hai impostato il gateway come server DNS, senò metti i classici 1.1.1.1 o 8.8.8.8).

[OUTATIME]

Se hai già la porta diversa dalla 80, chiaramente ti hanno preso di mira.
A questo punto risolvi solo con una VPN, come ti è stato suggerito, o con un reverse proxy con autenticazione. Ma questa seconda soluzione è tecnicamente un po' complicata per te, temo.
Segmentare in VLAN non risolve il tuo problema.

[Kaya]

Scusa ma per fare "prima" perchè non esponi l'nvr verso l'esterno con una porta non standard?
Sicuramente avrai nattato la 80 esterna con la 80 interna.
Esponi una porta a random (tipo la 2244 per dire) e internamente lasci alla 80 e vedi se qualcosa migliora.

[fild7]

Quote:

Originariamente inviato da sabi289

Si, e questo potresti farlo anche già ora senza problemi... Basta cambiare l'1 con il 5 sia sull'inidirizzo IP che sul gateway (e anche sul DNS se tu hai impostato il gateway come server DNS, senò metti i classici 1.1.1.1 o 8.8.8.8).

Fatto, vediamo con qualche giorno come va..

[fild7]

Quote:

Originariamente inviato da Kaya

Scusa ma per fare "prima" perchè non esponi l'nvr verso l'esterno con una porta non standard?
Sicuramente avrai nattato la 80 esterna con la 80 interna.
Esponi una porta a random (tipo la 2244 per dire) e internamente lasci alla 80 e vedi se qualcosa migliora.

già fatto