Consigli configurazione rete con 2 lan distine

MMarco · 26 dic 2021

Ciao, avrei bisogno di un consiglio su come strutturare una futura rete lan in un edificio. In pratica in questo edificio sono presenti due appartamenti confinanti (ognuno sviluppato su più piani) e si vorrebbe usare una connessione unica fttc per entrambi, ma avere due reti LAN non comunicanti tra di loro.
Dato che i due locali tecnici delle abitazioni (da cui partono i cavi LAN che raggiungono le stanze e gli access point poe) sono già collegati da un cavo LAN, mi chiedevo quale potesse essere la configurazione ottimale.

Per il momento avevo pensato di mettere dove arriva il doppino telefonico il modem dell'operatore e collegare a quest'ultimo un router alla porta wan (es. Mikrotik Hex o Edgerouter X). Dal router partiranno due cavi lan, uno rimane lì e l'altro raggiunge l'altro locale tecnico. Infine questi due cavi LAN collegheranno due switch (managed o unmanaged?) su cui collegare i vari access point e punti presa nelle stanze.

Non so se mi sono spiegato bene, ma volevo capire se fosse una cosa fattibile oppure ci fossero soluzioni migliori. Grazie

GiovanniCriscione · 26 dic 2021

i Mikrotik li configuri per usarli da firewall?

mark129 · 26 dic 2021

Marco Non so se mi sono spiegato bene, ma volevo capire se fosse una cosa fattibile oppure ci fossero soluzioni migliori. Grazie

In linea generale può andare bene, ma a seconda dell'apparato dell'operatore e dell'operatore stesso potresti trovarti in doppio NAT.
Non è chiaro il dettaglio se il VoIP in genere abbinato alle FTTC sia presente ed a disposizione di chi.

MMarco · 26 dic 2021

GiovanniCriscione Pensavo a 1 Router Mikrotik principalmente per creare le due Lan separate. Ho scritto Mikrotik Hex ma sono aperto ad altre possibilità perché per il momento sto cercando di capire come muovermi. Non ho particolari esigenze sulla sicurezza, è comunque una rete domestica. L'obbiettivo finale sarebbe avere le due reti lan separate (ciascuna con due/tre access point e relativo controller, delle prese in qualche stanza e probabilmente un NAS).

simonebortolin · 26 dic 2021

Marco Mikrotik Hex

Magari un RB5009.... l'hex serve per fare esperimentini vari

Marco collegheranno due switch (managed o unmanaged?)

meglio managed

In qualsiasi caso la domanda è quale è il modem che hai per la fttc?

[cancellato] · 26 dic 2021

Marco

Il mio consiglio è di creare minimo due VLAN diverse, con le loro subnet separate. Il Mikrotik va configurato in modo da ruotare il traffico fra le subnet e internet, ma non fra le subnet. Se le reti sono fisicamente separate subito dopo il Mikrotik potresti anche non avere bisogno della VLAN, solo subnet separate su porte fisiche diverse del Mikrotik, con le necessarie regole di routing e firewall, e non c'è necessità di switch managed (a meno che servano per altro). Se invece ci sono tratti fisicamente in comune ci vogliono dispositivi managed, le VLAN per tenere il traffico separato. Le VLAN sono anche utili per creare reti separate per guest, per telecamere, IoT, ecc.

Tieni presente che a livello di contratto di solito non è ammesso l'utilizzo da parte di "terzi" se non occasionalmente, e l'intestatario del contratto rimane legalmente responsabile dell'uso fatto della linea.

[cancellato] · 26 dic 2021

simonebortolin l'hex serve per fare esperimentini vari

È una FTTC, quanto traffico vuoi che faccia (soprattutto visto che non si vuole visibilità east-west tra le due reti)?

Semmai hAP AC2 che ha potenza ben superiore e costa circa come l'hEX. RB5009 è totalmente ultra sovradimensionato.

Resta il fatto che "contrattualmente" come detto da [cancellato] sta cosa non si potrebbe fare.

mark129 · 26 dic 2021

[cancellato] Semmai hAP AC2 che ha potenza ben superiore e costa circa come l'hEX. RB5009 è totalmente ultra sovradimensionato.

A quel punto perché andarsi ad impicciare con Mikrotik, direi... l'Edgerouter c'ha pure il wizard per WAN+2LAN...

MMarco · 26 dic 2021

mark129 Non è chiaro il dettaglio se il VoIP in genere abbinato alle FTTC sia presente ed a disposizione di chi.

Non è fondamentale e nel caso potrebbe servire solamente l'abitazione principale dove è presente il modem

simonebortolin In qualsiasi caso la domanda è quale è il modem che hai per la fttc?

Se si farà il trasloco di linea windtre e faranno tenere lo stesso modem dovrebbe essere un D-link DVA 5592

[cancellato] Tieni presente che a livello di contratto di solito non è ammesso l'utilizzo da parte di "terzi" se non occasionalmente, e l'intestatario del contratto rimane legalmente responsabile dell'uso fatto della linea.

Immagino ci sia qualche condizione da rispettare nel contratto, ma anche se l'intero edificio è intestato a una sola persona?
Comunque non ci sarebbero tratti in comune

mark129 A quel punto perché andarsi ad impicciare con Mikrotik, direi... l'Edgerouter c'ha pure il wizard per WAN+2LAN...

Esatto, avevo considerato anche quello, che sicuramente è anche più semplice da impostare. Ma Ubiquiti sembra stia abbandonando quella gamma di router

simonebortolin · 26 dic 2021

Marco Se si farà il trasloco di linea windtre e faranno tenere lo stesso modem dovrebbe essere un D-link DVA 5592

Non hai problemi per doppio nat? Vero? Che a me gusta 0, però de gustibus

[cancellato] Semmai hAP AC2 che ha potenza ben superiore e costa circa come l'hEX. RB5009 è totalmente ultra sovradimensionato.

In effetti...

Marco Ma Ubiquiti sembra stia abbandonando quella gamma di router

Esatto, ma pure sulla gamma unifi si può configurare più lan...

[cancellato] · 26 dic 2021

Marco Immagino ci sia qualche condizione da rispettare nel contratto

In genere è una clausola dei contratti.

Marco ma anche se l'intero edificio è intestato a una sola persona?

A chi è intestato l'edificio è irrilevante - un unità immobiliare può essere in affitto, comodato d'uso, ecc. ecc. È di solito improbabile che se ne accorgano (a meno che non si facciano attività tali da attirare l'attenzione), ma lo faccio sempre notare per la serie "uomo avvisato mezzo salvato", anche perché non ho la minima idea di che tipo di condivisione si tratti. Figli che condividono la connessione con gli anziani genitori che ne fanno un uso magari tutto sommato limitato, e che non comporta rischi particolari, è diverso che condividere con affittuari che potrebbero anche fare attività illegali nelle quali poi si rischia di trovarsi trascinati, e anche se si riesce ad uscirne rischiano sempre di essere rogne.

Tra l'altro chi gestisce il modem/router internet ha inevitabilmente accesso al traffico di entrambe le reti. Attenzione anche a cosa significa in termini di possibili violazioni della privacy e relative responsabilità.

simonebortolin Non hai problemi per doppio nat?

Il doppio NAT è inevitabile se e solo se 1) il router in cascata non può disabilitare il NAT 2) Non è possibile configurare il routing sul router principale. O se il router principale non si può mettere in bridge.

Il DVA 5592 permette di configurare la tabella di routing. e immagino che il Mikrotik non imponga il NAT. Mi pare anche che si possa configurare come bridge. In entrambi i casi è facile fare una configurazione dove natta un solo dispositivo.

simonebortolin · 26 dic 2021

[cancellato] Il DVA 5592 permette di configurare la tabella di routing.

Ne sei certo? Se è così non servierebbe neanche un router in cascata

[cancellato] · 26 dic 2021

[cancellato] Il DVA 5592 permette di configurare la tabella di routing.

Di router consumer che faccia NAT su segmenti non direttamente attestati sulla propria LAN non ne ho mai visti, figuriamoci un dlink.

mark129 · 26 dic 2021

Marco Ma Ubiquiti sembra stia abbandonando quella gamma di router

Sembra? Da cosa (è una domanda non retorica)?

MMarco · 26 dic 2021

[cancellato] Mi sembra di aver visto che il D-link dva 5592 si possa impostare in modalità bridge. In questo modo collegando un altro router si avrebbero problemi di Nat doppio?

mark129 Sembra? Da cosa (è una domanda non retorica)?

Non vorrei sbagliarmi ma sono praticamente messi come EOL, quindi non più in produzione. Si trova a fatica l' edgerouter X sfp, la versione senza sfp non più. Però chiedo a voi quali apparati valutare proprio perché non me ne intendo molto.

mark129 · 26 dic 2021

Marco In questo modo collegando un altro router si avrebbero problemi di Nat doppio?

No.
In alternativa potresti al limite procurarti un modem (tipo Zyxel, Draytek, Allnet...).

Marco Non vorrei sbagliarmi ma sono praticamente messi come EOL, quindi non più in produzione.

No, non sono EOL (non lo sono ufficialmente di sicuro, e non mi risulta altrimenti per vie non ufficiali), solo sono backordered in tutto il mondo da almeno 6 mesi (problema di approvvigionamento mercato semiconduttori).

https://www.ui.com/uisp/wired-technologies

https://www.ui.com/edgemax/edgerouter-x/

[cancellato] · 26 dic 2021

[cancellato] Di router consumer che faccia NAT su segmenti non direttamente attestati sulla propria LAN

Mah, non credo che stia a guardare se l'IP sorgente che natta è quello della sua subnet o no. Anche perché allora avrebbe poco senso far gestire all'utente la tabella di routing. Poi chi scrive i firmware è in grado di mettere i limiti più stupidi...

simonebortolin Ne sei certo? Se è così non servierebbe neanche un router in cascata

https://eu.dlink.com/it/it/-/media/product-pages/dva/5592/files/dva_5592_a1_manual_v2_ita.pdf, pag- 53. Mi sembra abbastanza configurabile. Quando poi permetta di separare efficacemente due subnet rispetto ad un Mikrotik non lo so.

simonebortolin · 26 dic 2021

Marco Mi sembra di aver visto che il D-link dva 5592 si possa impostare in modalità bridge. In questo modo collegando un altro router si avrebbero problemi di Nat doppio?

No così si risolve questo problema!

Marco Non vorrei sbagliarmi ma sono praticamente messi come EOL, quindi non più in produzione. Si trova a fatica l' edgerouter X sfp, la versione senza sfp non più. Però chiedo a voi quali apparati valutare proprio perché non me ne intendo molto.

Non sono in EOL, ma non è più in sviluppo, è stata rimpiazzata in toto da Unifi e la nuova gamma Uisp.

mark129 Non vengono rilasciati nuovi prodotti, e la lineup è stata sostitutia dalla gamma Uisp

[cancellato] https://eu.dlink.com/it/it/-/media/product-pages/dva/5592/files/dva_5592_a1_manual_v2_ita.pdf, pag- 53. Mi sembra abbastanza configurabile.

Quindi tu affermi da uno screenshot a qualità più infima di una scacchiera che è possibile fare una roba del genere.

In effetti anche quì parla di intervlan routing https://eu.dlink.com/it/it/support/faq/routers/wireless-routers/dsr-series/es_dsr_como-rutear-dos-subnets

Però io da quello screenshot di qualità infima penso che sia più per dividere il traffico tra la WAN Dati ed una per esempio per IPTV, che se non erro è una funzionalità tipica dei dlink.

[cancellato] Quando poi permetta di separare efficacemente due subnet rispetto ad un Mikrotik non lo so.

Questo ho i miei dubbi pure io, ma se fosse vero, ed il firmware w3 non è troppo castrato potrebbe comunque fare una terza subnet senza doppio nat.

[cancellato] Mah, non credo che stia a guardare se l'IP sorgente che natta è quello della sua subnet o no.

Più che altro l'implementazione cambia parecchio se l'IP sorgente che natta è quello della sua subnet o no, se è della stessa subnet basta salvare il progressivo dell'host, altrimenti ti salvi tutto l'IP.

[cancellato] · 26 dic 2021

simonebortolin Quindi tu affermi da uno screenshot a qualità più infima di una scacchiera che è possibile fare una roba del genere.

Suvvia, una tabella di routing statica è abbastanza banale ed è possibile gestirla anche in molti dispositivi non particolarmente sofisticati. Quelli che non permettono di farlo di solito è solo perché non lo fa fare l'interfaccia, non perché il software sotto non lo possa fare.

simonebortolin e è della stessa subnet basta salvare il progressivo dell'host, altrimenti ti salvi tutto l'IP.

Dipende come è implementata la tabella di NAT, l'architettura del processore e della memoria - potresti non guadagnarci nulla a usare solo parte dell'indirizzo. Anzi.

[cancellato] · 26 dic 2021

[cancellato] non credo che stia a guardare se l'IP sorgente che natta è quello della sua subnet o no.

E invece sì, almeno su quelli ben più vecchi che mi sono passati per le mani... probabilmente il software sotto va a configurare una regola di iptables MASQUERADE con sorgente il suo segmento di LAN.

[cancellato] allora avrebbe poco senso far gestire all'utente la tabella di routing.

No, che c'entra? Le regole di routing servono per esempio per girare una data destinazione ad un altro router nel segmento, esempio per una VPN Lan2Lan terminata in un apparato standalone.

[cancellato] Poi chi scrive i firmware è in grado di mettere i limiti più stupidi...

E qui siamo d'accordo. Soprattutto su D-Link.