VLAN e Cisco Business 250

kalipotino · 13 mar 2022

Ciao a tutti, se vi dico che sono disperato direi che non racconta al 100% la mia rabbia 'E da una settimana, forse anche di più, che cerco di configurare una VLAN per l'access point così rimane separata con un ip diverso. Riesco a fare diciamo tutto ma la VLAN non ha accesso a internet.

Come configurazione ho un TIM Hub DGA4132 --> CBS-250 --> Dispositivi tra cui anche l'access point RE455 della TP-Link.

I passi che ho seguito sono questi, creare la VLAN (chiamiamola 10), assegnare la porta 1 dove è collegato il modem come trunk e ho messo come tag la VLAN 10. Poi ho messo come access port la porta 8 alla VLAN 10 dove praticamente è collegato l'access point.
Dopodiché vado sull'interfaccia IPv4 per aggiungere alla VLAN 10 un ip statico 10.0.10.1 con network mask 255.255.255.0.
Ovviamente vorrei che lo switch assegnasse in automatico gli ip ai dispositivi, non sono riuscito a fare nemmeno quello ma manualmente funziona allora vuol dire che la parte della VLAN l'ho configurata bene.
Ho seguito tante guide online pure quelle della Cisco ma senza risultato.

Lo switch non è un pieno Layer 3 ma Layer 2 che può fare anche del routing, ho bisogno forse di un router che mi permette di configurare delle VLAN oppure il problema sono io che ho configurato tutto malissimo? Potrebbe essere anche il mio switch che alla fine non permette questo tipo di routing.

Grazie in anticipo!

mark129 · 13 mar 2022

kalipotino ho bisogno forse di un router che mi permette di configurare delle VLAN

I think this (e fare masquerade per tutte le interfacce).

kalipotino · 13 mar 2022

mark129 cosa posso comprare di valido che mi permette di fare questa configurazione? Me lo compro subito
Oppure sarebbe meglio comprare uno switch di pieno Layer 3?

mark129 · 13 mar 2022

kalipotino cosa posso comprare di valido che mi permette di fare questa configurazione?

Openwrt o linux vanno benissimo (per il router). Forse pure un Draytek ( @[cancellato] ? ).

kalipotino Oppure sarebbe meglio comprare uno switch di pieno Layer 3?

No, non è (per me) la strada da seguire.

[cancellato] · 14 mar 2022

kalipotino TIM Hub DGA4132

Che cor ca'... che supporta le VLAN al modo che vuoi usarlo tu.

kalipotino Ovviamente vorrei che lo switch assegnasse in automatico gli ip ai dispositivi,

Lo switch fa lo switch, non il DHcP server; semmai ha funzionalità DHCP snooping pensate per inoltrare le richieste ad un server cosiddetto "helper" posto in un altro segmento L2 (quindi ruotato, normale traffico IP unicast), ma questo richiede switch L3.

kalipotino Layer 2 che può fare anche del routing

Routing != NAT, e il router TIM puro consumer che gli hai messo davanti col cavolo che ti fa il source NAT su indirizzi che non siano quello della sua rete LAN.

Stai chiedendo troppo ad un apparato pensato per un uso "stupido", a voler fare quel che vuoi fare ti serve un firewall/router almeno SOHO, in grado di ragionare con VLAN multiple.
La scelta è tua, da un pfsense, ad un mikrotik, a un Ubiquiti stile UDM o EdgeRouter, fino a roba più "cicciotta" come firewall "enterprise" stile FortiGATE o Checkpoint (Sophos se vuoi farti tanto del male, la frusta a nove code fatta con i cavi ethernet non è inclusa nella scatola),.. chi più ne ha più ne metta.
Ma non roba consumer e soprattutto NON I FRITZBOX (prima che arrivi qualcuno a tirare la solita marchetta).

kalipotino · 14 mar 2022

[cancellato] non puoi capire come mi sento ora, pensavo di aver sbagliato configurazione invece serve semplicemente un router come si deve
Ero sicuro che avresti scritto niente fritzbox!
Ho guardato poco fa gli edgerouter ma sono introvabili pure direttamente sullo store della Ubiquiti, guardo magari qualche mikrotik, una volta che ho un router decente basta impostare le stesse vlan sul router per poter comunicare con le vlan che ho aggiunto allo switch o serve un'altra configurazione?

[cancellato] · 14 mar 2022

kalipotino una volta che ho un router decente basta impostare le stesse vlan sul router per poter comunicare con le vlan che ho aggiunto allo switch o serve un'altra configurazione?

Va definita la porta sullo switch come trunk, per veicolare le VLAN di interesse; nel router vanno configurate le VLAN sulla porta stessa, e per ognuna di esse va creato l'indirizzo IP (che sarà il gateway per gli host in quella subnet) ed eventualmente il server DHCP per assegnarti gli indirizzi dinamici.
Fatto questo dovrebbe (a seconda delle policy firewall che imposti) passare il traffico ruotato da VLAN a VLAN, per uscire in internet va configurato adeguatamente il source nat/masquerading.

Nulla di impossibile, fatto una volta dirai "eh beh? Tutto qui?", ma la prima volta giustamente qualche testata sullo spigolo è inevitabile.

mark129 · 14 mar 2022

[cancellato] Che cor ca'... che supporta le VLAN al modo che vuoi usarlo tu.

Non l'ho mai fatto quindi prendilo come un pensiero in libera uscita: sul TIM Hub si potrebbe pensare di flashare direttamente OpenWRT (almeno per i primi esperimenti). La cosa presuppone comunque un router di backup disponibile in casa, perché i brick sono sempre dietro l'angolo (al di là delle guide, basta un blackout nel momento sbagliato...).

[cancellato] La scelta è tua, da un pfsense, ad un mikrotik, a un Ubiquiti stile UDM o EdgeRouter, fino a roba più "cicciotta" come firewall "enterprise" stile FortiGATE o Checkpoint (Sophos se vuoi farti tanto del male, la frusta a nove code fatta con i cavi ethernet non è inclusa nella scatola),.. chi più ne ha più ne metta.

A parte il consiglio personalissimo di lasciar perdere Unifi (UDM), perché di complicazioni non c'è bisogno, come mai non ti leggo spesso consigliare Linux, o in particolare VyOS (che pure credevo ti piacesse), come base per un router? Per la mancanza di GUI?

kalipotino Ho guardato poco fa gli edgerouter ma sono introvabili pure direttamente sullo store della Ubiquiti

Gli edgerouter di questi giorni devi per forza prenderli usati, a trovarli, e comunque per una FTTH, a meno di trovare un ER-8 o simile, sono un po' tirati, per quanto il NAT accelerato consenta loro di spuntare il gigabit in casa.

kalipotino guardo magari qualche mikrotik

Se devi impiccarti con i bug dei mikrotik (non è una critica o uno screditamento, è una realtà fattuale, eccellenti prodotti per il costo ma non esenti da pecche), prenditi direttamente un hw ben carrozzato, non dico un CCR, ma un 5009 potrebbe essere un buon investimento, con alcuni caveat: in particolare, non sono un esperto di ROS (penso che @[cancellato] lo sia, come pure altri, da maggiore81 a LSan83 se hai voglia di taggarli), ma a memoria dhcpdv6 e vlan tagging mi sembra avessero qualche cosa di cui tenere conto, onde per cui, prima di triggerare su "buy", prenditi il tempo di verificare la fattibilità concreta del tuo setup.

kalipotino · 14 mar 2022

mark129 Gli edgerouter di questi giorni devi per forza prenderli usati, a trovarli, e comunque per una FTTH, a meno di trovare un ER-8 o simile, sono un po' tirati, per quanto il NAT accelerato consenta loro di spuntare il gigabit in casa.

intanto ti ringrazio per tutte le risposte, io ho visto sul sito della Ubiquiti l'Edgerouter 10X che sarebbe l'unico disponibile, potrebbe non reggere la gigabit e crearmi dei problemi? Oppure crearmi altri probelmi col mio setup?
https://eu.store.ui.com/collections/operator-isp-infrastructure/products/edgerouter-10x

mark129 invece nel mondo dei mikrotik ci sono tantissime cose e non saprei cosa scegliere, anche perché onestamente non vorrei spendere 300-400€ per un router perché in questo momento è una spesa eccessiva per me.
Poi se mi dite che per forza devo comprare una cosa costosa perché è valida per quello che voglio fare allora me lo compro appena riesco.

[cancellato] non so perché ma non mi è arrivata la notifica della tua risposta, allora è come pensavo, dovrebbe essere simile alla procedura che ho eseguito al Cisco più la configurazione per far parlare loro due.
Ringrazio ancora, come dicevo anche a @mark129 ora devo valutare quale sarebbe un prodotto valido senza lasciare un rene

[cancellato] · 14 mar 2022

mark129 come mai non ti leggo spesso consigliare Linux, o in particolare VyOS (che pure credevo ti piacesse), come base per un router? Per la mancanza di GUI?

VyOS è buono se come utente si ha un minimo di padronanza di una CLI "Juniper-style" (ecco, ora mi becco le profanità da metà operatori che giurano e spergiurano sulla guerra delle religioni delle console comandi), ma purtroppo è un po' di nicchia come progetto, e se un utente non sa da dove iniziare è più difficile trovare documentazione/esempi/video/quelchevuoi che vadano oltre la wiki ufficiale, che comunque è ben fatta ma non ti guida passo passo, devi sapere prima cosa ti serve per fare quel che vuoi fare.
Per dire, pur non piacendomi particolarmente, pfsense in questo è imbattibile, trovi video anche per la qualunque.

Ciò detto, schifo non fa eh!

mark129 sul TIM Hub si potrebbe pensare di flashare direttamente OpenWRT (almeno per i primi esperimenti).

Anche...

kalipotino nel mondo dei mikrotik ci sono tantissime cose e non saprei cosa scegliere

Evita se puoi il loro wireless, funziona se lo imposti a dovere ma sono purtroppo molto indietro come feature rispetto alla concorrenza ormai; per gestire una gigabit smanettando tra code e VLAN non andrei sotto un RB4011 o RB5009 (tanto costano essenzialmente uguale), probabilmente anche un hAP ac3 ce la fa ma rischia di essere tirato se non usi solo le feature basebasebase e ha uno switch chip molto limitato.

mark129 · 14 mar 2022

kalipotino potrebbe non reggere la gigabit e crearmi dei problemi?

Come CPU è identico a ER-X e ER-X SP, e circa pari ai vecchi ERL e ERP-5, quindi valgono gli stessi limiti: l'hw non è fatto per un routing gigabit wirespeed (è dato per circa 1mpps), nondimeno per un uso casalingo (niente protocolli di routing, poche vlan, filtraggio base, etc.) si può dire che ancora "je la fa".
Come hw più prestante devi vedere i vari ER-4/6/8/12 (dai un'occhiata sul warehouse di Amazon).

kalipotino onestamente non vorrei spendere 300-400€

Il 5009, se andasse bene per i tuoi utilizzi (già detto sopra), mi pare di averlo visto tra i 150 ed i 200 in giro (nuovo).

[cancellato] · 14 mar 2022

kalipotino assegnare la porta 1 dove è collegato il modem come trunk

Il problema è che una porta trunk fa passare i frame Ethernet taggati. Quindi il dispositivo connesso deve essere in grado di gestire i frame con i tag VLAN - altrimenti non capisce cosa sono e non funziona.

kalipotino Lo switch non è un pieno Layer 3 ma Layer 2 che può fare anche del routing,

Se può fare intervlan routing puoi fare passare i pacchetti da una VLAN all'altra e quindi fra dispositivi che usano solo porte in modalità access, es:

 Modem/router <--- VLAN A -->  Switch  <-- VLAN B --> Access Point
                                  | <-- VLAN C --> LAN cablata

Tutte le porte possono essere in modalità access, però ovviamente così nessun dispositivo tranne lo switch sa su che VLAN sono i vari dispositivi e o metti ACL sullo switch o le VLAN si parlano tra loro tranquillamente, rendendole un po' inutili dal punto di vista della sicurezza. E il modem/router deve poter impostare le rotte per le varie subnet verso lo switch.

kalipotino Ovviamente vorrei che lo switch assegnasse in automatico gli ip ai dispositivi,

Ci sono switch che hanno anche un server DHCP - ma sinceramente non l'ho mai trovato utile. Probabilmente hanno senso in certe installazioni dove non c'è un server DHCP separato. In genere si relay verso il server DHCP designato. Però quando si usano VLAN e subnet separate serve anche un server DHCP che possa assegnare indirizzi da pool separati per le varie subnet.

mark129 in particolare VyOS

VyOS ha un modello di distribuzione rispetto a pfSense o OPNSense che è molto meno friendly. La versione stabile LTS non è disponibile senza pagare, essere un conributor o farsi la build da soli. Altrimenti sono a disposizione solo le snapshot mensili o le nightly builds, e non c'è un meccanismo di update in-place. Sinceramente, io queste ultime non le userei come router internet.

mark129 Forse pure un Draytek

Sì, può aggiungere DrayTek alla alternative. Ci vogliono i modelli con supporto alle VLAN, ovviamente.

kalipotino · 14 mar 2022

[cancellato]

mark129

[cancellato]

ringrazio per tutti chiarimenti, sono stati veramente utili, ho capito che serve un router per poter gestire le rotte di quello che ho configurato allo switch, detto ciò ho controllato un po' adesso e il Mikrotik 4011 e 5009 non sono disponibili, ho controllato anche altri negozi online ma niente, stessa cosa anche per gli Edgerouter dal 4 in su.

Direi che ho trovato il momento giusto per acquistare un router decente!
Continuerò a controllare in questi giorni perché tanto non c'è fretta però vorrei far partire questo setup appena riesco. Pensavo che con uno switch avrei risolto e invece no, cioè da quello che ho capito se non c'è bisogno di avere accesso su internet funziona perfettamente ma nel mio caso non basta solo quello.

[cancellato] · 14 mar 2022

kalipotino

Se sul TIM Hub DGA4132 puoi impostare rotte statiche e puoi fare routing sullo switch puoi fare la configurazione che ti ho illustrato sopra finché non riesci a comprare un router decente con supporto alle VLAN. Quello che manca è il controllo del traffico fra le VLAN/Subnet e internet, che si può al massimo fare con le ACL sullo switch ma che di solito non sono il massimo della praticità.

kalipotino · 14 mar 2022

[cancellato] In realtà il Tim Hub se non sbaglio mi fa impostare delle rotte statiche ma non accetta ip/subnet diverse rispetto a quelle configurate su esso.
Con le ACL posso far passare praticamente l'accesso a internet tra una VLAN e l'altra?
Forse non saprei come farlo io ma provo a vedere.

[cancellato] · 14 mar 2022

kalipotino mi fa impostare delle rotte statiche ma non accetta ip/subnet diverse rispetto a quelle configurate su esso.

Il che sembra rendere inutili le rotte statiche

kalipotino Con le ACL posso far passare praticamente l'accesso a internet tra una VLAN e l'altra?

Con le ACL puoi bloccare un determinato tipo di traffico in base a determinate regole, ma sono più limitate rispetto a quelle di uno firewall stateful, e più complesse da impostare.

[cancellato] · 14 mar 2022

[cancellato] non c'è un meccanismo di update in-place.

Mi risulta di sì, ogni versione è uno squashfs o simile e al boot puoi scegliere che versione avviare.

kalipotino il Mikrotik 4011 e 5009 non sono disponibili

Ovviamente sono entrati in campo gli speculatori e i prezzi si sono alzati... EuroDK ce l'ha a 160€ ma in consegna a maggio.

[cancellato] · 14 mar 2022

[cancellato]

L'update non è "in-place" - nel senso che non aggiorna l'installazione esistente - devi aggiungere un'immagine e poi bootare da quella. Devi poi andarti a cancellare quelle non più usate per non esaurire lo spazio su disco. Assomigila un po' a come aggiorni un dispositivo di rete dove carichi l'immagine del nuovo firmware e poi booti da quello nuovo.

È un po' diverso ad esempio da pfSense che ti avverte via GUI se c'è un aggiornamento e poi fa tutto da solo "in-place", aggiornando quanto necessario.

kalipotino · 14 mar 2022

[cancellato] Ovviamente sono entrati in campo gli speculatori e i prezzi si sono alzati... EuroDK ce l'ha a 160€ ma in consegna a maggio.

eh sì ho visto, proprio zero disponibilità immediata, esiste qualche altro prodotto che potrebbe andare nel mio caso? Così almeno mi metto a cercare

[cancellato] · 14 mar 2022

[cancellato] Ok, in questo senso sì, ma almeno ti da garanzie di consistenza e replicabilità, cosa che con pfsense te la scordi... se si incatasta un update devi piallare tutto e reinstallare da zero (sperando che il backup della configurazione funzioni -- e che uno si sia ricordato di configurare il backup).

kalipotino O qualche minipc usato su cui carichi openwrt/pfsense/vyos o non saprei... se qualcun altro ha idee migliori delle mie ben accette.