Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Oprogramowanie / Software → Niezaufane urządzenia w LAN jak skonfigurować?
Strony 1
Zaloguj się lub zarejestruj by napisać odpowiedź
Na rynku dostępne jest coraz więcej sprzętu IoT. Prawie każdy sprzęt można podłączyć do internetu
Pytanie jak to skonfigurować poprawnie zakładając że nie ufamy dostawcy danego sprzętu?
W przypadku wifi wystarczy sieć gości (?).
Co w przypadku urządzeń kablowych. Czy wystarczy wydzielić vlan na switchu i skonfigurować firewall ?
Ja jestem zdania że nie należy temu ufać. W szczególności nie chcę żeby pierwsze lepsze urządzenie od razu komunikowało się z internetem, nawet jeżeli chodzi tylko o statystki.
Dodatkowa sieć wifi lub vlan bez dostępu do urządzeń/internetu. A jeżeli potrzebuje dostęp (np. w celach aktualizacji) to możesz otwierać ręcznie czy automatycznie to np. w sobotę na dwie godziny i niech się zaktualizuje.
Zgadzam się, minimalizuje dostęp tylko do koniecznych urządzeń.
Jak do sieci wifi dla gości wg twojego poradnika mógłbym dopiąć wybrany port lan ze switcha ?
Są też urządzenia które nie muszą mieć dostępu do internetu ale chciałbym móc nimi sterować. Przełączanie się na drugie wifi jest bardzo niewygodne. Teraz tak robię.
Można coś z tym zrobić?
Wyciągnij port ze switcha i przypisz interfejs do bridge guest.
A z jakiegoś zaufanego urządzenia możesz dać dostep do sieci gościnnej. Zwykła regułka na firewallu.
Czyli pozwolić na forward ze zwykłej sieci do gościnnej i dodać regułę w routingu?
Nie jestem w tym zbyt biegły dlatego tak dopytuje. To wystarczy żeby było bezpiecznie?
Ale nie wszystkiego tylko określonego hosta/hostów.
Takie coś daje ci dostęp z jednej sieci do drugiej oczywiście musisz dostosować to do siebie.
W moim przypadku jest to cała sieć ale możesz wybrać tylko jeden IP.
W sumie najważniejsze jaki masz ruter czy da się tam wydzielić vlany na switchu.
iptables -I FORWARD -i br-lan -o eth1.3 -p tcp -s 192.168.1.0/24 --dport 8093 -d 172.16.1.2 -j ACCEPT
iptables -I FORWARD -i eth1.3 -o br-lan -p tcp --sport 8093 -s 172.16.1.2 -d 192.168.1.0/24 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPTRoutery mam wr1043 , archer c7, mr3420 i switcha procurve
Chyba na wszystkich dam rade to ustawić ?
nie kojarzę sprzętu bez obsługi vlanów, wiem że takie są , ale wszystko co mi się trafiało pod openwrt to miało do tej pory
Pewnie jeszcze dopytam o szczegóły, jak już się zabiorę do tej konfiguracji
Dzięki
Narazie mam skonfigurowaną sieć zwykła i guesta na jednym routerze
Chciałbym do tego dołożyć drugi, żeby rozszerzyć zasięg wifi.
Drugi będzie spięty z pierwszym kablem żeby nie zabierać pasma.
Chciałbym żeby sieć guesta była tu i tu i w obu routerach wydzielone jakieś porty ze switcha do guesta
Jak to najlepiej skonfigurować?
Jeżeli masz switch do wydziel na nim porty do sieci dodatkowej i tyle, pod nie podłącz AP.
możesz szerzej opisać ?
mam na drugim routerze robić druga podsieć czy da się to wszystko na jednej zrobić ( + guest) z dhcp tylko na pierwszym routerze
Już dawno opisałem: https://eko.one.pl/?p=openwrt-vlan#siew … ednymkablu
I tak i tak musisz na ap zrobić dwa SSID i dwie sieci. I teraz o ciebie zależy czy kazda sieć bedzie miała oddzielny port na switchu połączysz kilkoma kablami AP z głównym routerem czy zrobisz tak jak w poradniku - dwa SSID, dwie sieci, na vlanach i po drugiej stronie albo router rozbiera te vlany albo switch.
Można też zastosować inną filozofię. Urządzenia które łączą się nie wiadomo z czym można pozbawić takiej możliwości przez zmianę oprogramowania. Większość urządzeń opartych o espxxxx działa na Tasmota.
Strony 1
Zaloguj się lub zarejestruj by napisać odpowiedź
eko.one.pl → Oprogramowanie / Software → Niezaufane urządzenia w LAN jak skonfigurować?
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc