Aiuto Configurazione Omada SDN - Vlan

[cancellato] Nel pomeriggio mi ci metto e inizio da zero collegando solo router, switch e controller su pc windows e ti aggiorno

[cancellato]
Alla fine ci ho provato in tutti i modi, anche con la mossa della disperazione di sentire tim e il suo supporto. Dal forum sono stati molto gentili, ma dato le mie limitate conoscenze, ho dovuto desistere.
Ho preso un gateway omada e amen.
Ora però ho anche scoperto che ho una grandi lacune o meglio una gran confusione su come organizzare il tutto.
Parto dalla prima domanda, così a catena tutte le altre verranno invalidate
Se ho un NAS connesso alla porta 3 dello switch, che fa passare tutte le vlan, ha indirizzo ip 192.168.0.18 sulla LAN (quella che vorrei tenere solo per me untagged), posso renderlo disponibile alla vlan dipendenti (192.168.20.1/24) e a quella privata (192.168.10.1/24) impendendo però alla vlan dipendenti di vedere tv, nvidia shield, telecamere ecc che sono sulla privata?
Ovviamente ad ora dalla subnet dipendenti e da quella privata non posso vedere il NAS (192.168.0.18).
Ciò che chiedo è possibile o è contro il principio stesso di funzionamento delle vlan come sto iniziando a sospettare?
Grazie mille sempre

bortolotti80 Esatto, il principio è di accettare il traffico in ingresso dal Gateway verso il router del ISP, mentre la direzione inversa dei pacchetti non ha problemi a livello di firewall

Tra l'altro ora mi trovo anche nella situazione di dover capire come usare il mio modem come adattatore ata e usare le sue porte dsl.
Ho resettato il tim hub+
Disattivato dhcp e assegnato ip nella LAN di omada 192.168.0.201
Configurato solo i parametri voip
aperto la porta 5060 dal gateway di omada
Ovviamente i numeri, che con il tim hub attaccato all'ont funzionano perfettamente, risultano non registrati.
Ti posto qualche screen per vedere se ho ben capito cosa c'è da fare per registrarli.
Considera che i parametri del voip sono tutti corretti, perché come ti dicevo i due numeri si registrano correttamente quando a fare da modem/router è il tim hub+

bortolotti80 Dovresti riuscire in qualche modo, una soluzione che io avevo con un NAS era la doppia porta ethernet, poteva andare a 2Gbps su singola rete oppure 1Gbps su due reti separate

Altrimenti dovresti poter far comunicare tra loro le VLAN, consentendo però solo il traffico da e verso il nas : https://community.tp-link.com/en/business/forum/topic/269656

Ecco, ce l'avevo sotto il naso.
Quindi devo assegnare un profilo alle due porte ethernet dello switch che andranno al nas, una la taggo privata e l'altra dipendenti. Così i due dipendenti vedranno il nas dai loro pc che dirotterò sulla subnet dipendenti.
Io invece potrò continuarlo a vedere sulla LAN principale al suo indirizzo 192.168.0.18, oltre che su 192.168.10.x e 192.168.20.x? Il mio pc è anche il controller quindi immagino di doverlo tenere sulla LAN untagged.

bortolotti80 Sembrerebbe giusto, come diceva @kmorwath potresti per sicurezza limitare il source IP, ma come test dovrebbe andare, a meno che gli servano altre porte

Limitarlo a quale ip, quello del gateway omada 192.168.0.1?

bortolotti80 Qui c'è un esempio pratico circa minuto 23.00, è un canale che seguo non dovrebbe fare errori e dovrebbe essere preciso, spiega come utilizzare le ACL

Con il router omada c'è comunque bisogno del controller?

Si, viene disabilitata la modalità standalone del router quando lo adotti in omada.
Invece per la stampante come potrei fare?
Le acl mi permettono di bloccare l'accesso a guest su tutte le reti, dipendenti su tutte le reti e private su lan, e fin qui ci sono. Ma come risolvo in questi scenari:

• se in ufficio ho un pc/controller su lan (untagged), uno su "dipendenti" (vlan 20) e la stampante in wifi sull'access point che trasmette tutte le reti, come faccio a farli comunicare con la stampante e tra di loro.

• come posso trasmettere file sul desktop del pc del mio dipendente se io sono su lan o private e lui su dipendenti?

Col NAS ho parzialmente risolto. Una porta su private, una su dipendenti e le prove vanno a buon fine, anche se dovrei capire poi come accedervi da LAN cioè untagged principale.

So che la miglior soluzione sarebbe isolare ufficio, privato e guest e avere dispositivi adibiti solo a quegli scopi, ma essendo casa e attività mi chiedevo se fosse possibile quello che chiedo, scusandomi se sono stupidaggini.

giosdm se in ufficio ho un pc/controller su lan (untagged), uno su "dipendenti" (vlan 20) e la stampante in wifi sull'access point che trasmette tutte le reti, come faccio a farli comunicare con la stampante e tra di loro.

come posso trasmettere file sul desktop del pc del mio dipendente se io sono su lan o private e lui su dipendenti?

Qui ho parzialmente risolto collegandomi alla rete wifi dell'ufficio con il pc connesso allo switch, quindi vedo sia una che l'altra. Un po' un accrocchio, ma quando ho bisogno della stampante o del pc in ufficio mi basta restare connesso a entrambi, o nel caso di un altro dispositivo, basta switchare la rete wifi e amen.

[cancellato] Il fatto che su una porta passino più VLAN quindi non comporta automaticamente che un dispositivo collegato a quella porta possa comunicare su tutte le subnet associate alle VLAN, se non configurato per ogni VLAN e subnet. Se il dispositivo lo supporta è possibile creare tante interfacce di rete "virtuali" quante sono le VLAN su quella porta, e per ognuna assegnare quindi un indirizzo IP.

Questa cosa è fattibile in mac o windows? Posso effettivamente avere un solo cavo ethernet ed essere connesso a due subnet ?

[cancellato] Se il NAS ti permette di farlo puoi quindi creare tante interfacce quante sono le VLAN attestate, e configurare gli IP per ogni subnet. In questo modo ad esempio dipendenti vedranno il NAS come connesso alla loro rete, e non c'è bisogno di fare routing tra la subnet dei dipendenti e quella del NAS, routing che senza un firewall (o ACL sullo switch) gli darebbe accesso anche ad altri dispositivi sulla subnet del NAS.

Il nas ha due porte ethernet adesso entrambe collegate. Una sulla porta 14 dello switch assegnata alla subnet dipendenti e una che va sulla lan untagged (questo mi serve necessariamente per la vpn). La vpn wireguard viene generata dal nas qnap, dunque le due interfacce fisiche fanno capo a un'interfaccia virtuale.
Ora non avendo una terza ethernet non so come mettere il NAS anche sulla privata.
Ti posto uno screen perché potrei aver detto una sfilza di imprecisioni.

[cancellato] Nel tuo caso il NAS immagino prenda l'IP solo sulla VLAN untagged (la 1, associata alla subnet 192.168.0.0/24) perché le altre non sono configurate (sul NAS), e saranno ignorate dalla sua interfaccia di rete.

Si, infatti ho dovuto creare un'altra interfaccia di rete virtuale che prendesse l'ip dal dhcp private taggando la porta14

C'è un metodo meno macchinoso per far sì che il nas sia visto dalle tre subnet che mi interessano. Credo proprio di si, ma non mi viene in mente.

[cancellato] Se isoli le reti è perché non vuoi che comunichino fra di loro I servizi "comuni" si possono mettere su una subnet apposita che è raggiungibile da tutte le altre reti. Queste cose però si fanno meglio con un firewall che permette di limitare gli accessi, ad esempio le stampanti sono sì raggiungibili da tutti ma solo per dire sulla porta 9100 di JetDirect. Idem per un NAS che si può rendere accessibile solo via SMB, tranne che per la subnet degli amministratori che possono accedere anche all'interfaccia d amministrazione.

Suppongo che il gateway omada funga anche da firewall, ma andiamo con calma. Poi bloccherò tutte le porte, gli url e i servizi per le reti interessate iniziando a imprecare anche contro quello.