Scelta Accesspoint e disposizione

D3de · 2022-12-13T14:41:04+00:00

Ciao a tutti, con l'arrivo delle feste vorrei colmare i buchi wifi presenti nella mia abitazione. Abito in un'abitazione singola divisa in 3 piani: una taver...

D3de

MaxBarbero Sì ci stavo pensando, ma spendere tutti quei soldi per una dream machine ad uso casalingo mi sembra anche troppo. Il dream router è già più appetibile ma comunque la parte wireless sarebbe sprecata in quanto gestita dagli accesspoint e sarebbe in un piccolo rack.
Non c’è un solo router unifi senza parte wireless?
Poi mi chiedevo, se implementassi questa “vlan aggiuntiva” dovrei sostituire gli switch unmanaged con degli switch managed?

MaxBarbero

D3de Non c’è un solo router unifi senza parte wireless?

Che io sappia ci sono le UDM PRO/SE etc senza wifi ma che costano di più. La scelta più economica è il dream router

D3de Poi mi chiedevo, se implementassi questa “vlan aggiuntiva” dovrei sostituire gli switch unmanaged con degli switch managed?

Se la usi solo per gli access point no, si arrangiano loro, se vuoi anche delle porte cablate per altri dispositivi a meno che questi non gestiscano il tagging allora devi cambiare gli switch

[cancellato]

D3de Sul fritz dovrebbe esserci la possibilità di estendere la rete guest anche su una porta lan (mi pare la 4)
La cosa che potresti fare per spendere pochi soldi ed avere quello che cerchi sarebbe quella di acquistare uno switch managed da N porte. tipo questo
Sulle 3 porte alle quali collegherai gli AP taggare la VLAN guest e quella della tua lan (a seconda della congiurazione potrebbe essere che la VLAN della tua lan non serva taggarla, dipende un po' come configuri controller e AP)
Su una porta Lasciare Untagged la VLAN della tua lan --> collegare una porta LAN del fritz 1-3
Su un'altra porta Lasciare Untagged la VLAN guest --> collegare la porta LAN 4 del fritz (una volta attivata la funzione per avere la rete guest su LAN)
Con le porte restanti valuta tu come ti serviranno:
Se metti untagged VLAN guest la porta sarà nella vlan guest
Se metti untagged VLAN lan la porta sarà nella vlan della tua lan privata.

MaxBarbero

[cancellato] ma non è che fa solo device isolation? Io non riesco a capire se crea una vlan a parte dallo screen

D3de

[cancellato] Ma con questa configurazione dovrei arrivare con due cavi fisicamente sullo switch interessato dall'ap? Purtroppo quando è stata fatta la casa si pensava solo al telefono fisso e come potete ben immaginare in quella zona riesco ad arrivare solo con un cavo causa corrugato del telefono stretto.

Comunque il controller unifi permette di creare delle reti con la propria classe, allego foto:

Immagino non usabile per la rete guest.

[cancellato]

MaxBarbero
Il fritz non ha impostazioni per gestire le VLAN. Semplicemente con la rete guest puoi assegnare un intervallo di ip diverso dalla tua rete locale ed è come fosse una rete totalmente separata dalla principale.
Le vlan poi sarai tu a crearle tramite lo switch per poter separare il traffico sui vari AP in base all'ssid impostato.
Ovviamente la configurazione che ti ho consigliato non serve altro che ad avere due reti separate come se avessi due router diversi in modo da isolare il traffico dei guest dalla tua lan privata.

[cancellato]

[cancellato] con la rete guest puoi assegnare un intervallo di ip diverso dalla tua rete locale ed è come fosse una rete totalmente separata dalla principale.

Le separa anche a layer 2? O semplicemente è un modo per assegnare a layer 3 una subnet diversa ma poi sotto sotto sono unite in bridge comunque?

MaxBarbero

[cancellato] ok, mi è un po' più chiaro. In pratica prende le interfacce WAN/LAN/GUEST e ci applica un certo routing.
Nel modo che hai scritto però gli AP staranno solo su una delle reti visto che non esistono le vlan. Come fai a far arrivare la lan e la guest all'AP? Se metto un AP sulla Guest immagino di non poter fare routing sulla LAN, altrimenti sarebbe un controsenso.

[cancellato]

MaxBarbero Immagino che non abbia ben chiaro l'utilizzo e il funzionamento della vlan.
Con la configurazione che ti ho detto io avresti tutti e 3 gli accesspoint che trasmettono l'ssid della tua lan + l'ssid della guest. Le due reti sarebbero separate e invisibili tra loro. Ovviamente dopo aver opportunamente configurato il tutto.
Il fatto che il fritz non abbia la possibilità di creare nativamente della VLAN non toglie la possibilità di crearle andando ad aggiungere uno switch managed in mezzo.

[cancellato] Questo non te lo so dire. Bisognerebbe chiederlo ad AVM come gestisce la cosa.

MaxBarbero

[cancellato] Il fatto che il fritz non abbia la possibilità di creare nativamente della VLAN non toglie la possibilità di crearle andando ad aggiungere uno switch managed in mezzo.

Ho riletto un po di volte il post ed ora ho capito cosa intendi, non riuscivo a cogliere il tutto forse non riuscivo a visualizzarlo senza un disegno o ero io addormentato oggi 😂

[cancellato]

D3de Se non ho capito male lo switch lo hai in un posto distante dal fritz. Corretto??
Se è così dovresti prendere un secondo switch da mettere vicino al fritz e cambiare leggermente le due configurazioni.

Switch vicino al fritz:

1 porta trunk con taggate le due vlan --> collegato all'altro switch
1 porta con untagged lan --> lan fritz 1-3
1 porta con untagged guest --> lan 4 fritz
Le restanti porte in base a quello che ti serve. Presumo tutte untagged lan

Switch collegato agli ap:

3 porte con untagged lan + tagged guest
1 porta trunk con taggate le due vlan --> collegato all'altro switch
Le restanti porte in base a quello che ti serve. Presumo tutte untagged lan

Per il controller se sei in questa schermata qui per le impostazioni di rete ho visto che serve un USG per impostarle. Il solo controller non può fare nulla.

D3de

[cancellato] Ho uno switch da 16 porte unmanaged sull'armadio con il fritz e nella zona dell'ap arrivando con un solo caso ho dovuto ripristinare delle porte con un'altro switch sempre unmanaged da 8 porte che avanzavo.

[cancellato]

D3de Ok allora la configurazione che ti ho dato sopra è quella corretta.
In maniera molto barbarica potresti pensare di non usare lo switch verso gli AP ma usarlo solo vicino al fritz per riuscire a taggare le due vlan e poi mettere su tutte le porte la lan untagged e la guest tagged.
Impostare poi gli ap e controller in modo che abbiano ssid guest come tagged mentre ssid principale come untagged.
Non è il massimo ma funziona 🤣

[cancellato]

[cancellato] mettere su tutte le porte la lan untagged e la guest tagged.

Implica che ci siano switch managed dappertutto, ma come consiglio personale a me non piace questa soluzione -- nel momento in cui si inizia a parlare di reti multiple e VLAN ospiti, io preferisco avere agli AP e in trunking tra switch solo ed esclusivamente reti tagged, sia per una maggiore "pulizia", sia per evitare che un domani per sbaglio alla stessa porta vada connesso un PC e si prenda magari la rete sbagliata.
Le porte "leaf" di access solo untagged (salvo non ci siano telefoni da scrivania in cascata e allora serve la VLAN voce), le porte di trunk tra switch o switch-AP, solo tagged. E mai usare la VLAN 1.

Oltretutto, gli switch "dumb" che non supportano la gestione VLAN, nella stragrande maggioranza dei casi guardano solo ed esclusivamente i campi MAC del frame, se ne fregano del VLAN id, quindi andare a propagare seppur come tagged a tutte le porte una rete che non c'entra niente, significa cercarsi dei guai. L'esigua minoranza (o perché fanno controlli sul formato della trama, o perché all'interno hanno switch chip che supporterebbero la gestione di VLAN e funzionalità avanzate ma non vengono programmati per farlo -- tanto ormai costano due lire e te li tirano dietro, almeno finché restiamo a gigabit, non capisco veramente perché ci siano ancora switch stupidi che non supportano nemmeno una basilare webgui di gestione) invece te li scarta, bloccando la propagazione di VLAN tagged.

[cancellato]

[cancellato] sono pienamente d’accordo con quello che hai detto. Infatti non lo attuerei mai su una mia configurazione, anche se in molti la utilizzano. 😑

bortolotti80

[cancellato] io preferisco avere ad AP e in trunking tra switch solo ed esclusivamente reti tagged, sia per una maggiore "pulizia"

In pratica tagghi tutto il traffico ?
Ma se ci colleghi un PC windows per sbaglio e trova solo pacchetti taggati?
Non è meglio lasciare non taggato il traffico di una lan e taggare le altre vlan?

Anche se collego un Ap che supporta VLAN

[cancellato]

bortolotti80 In pratica tagghi tutto il traffico ?

Tra apparati, sì. Verso le porte di accesso ovviamente no.
L'AP è un apparato di rete quindi esattamente come un trunk tra switch e switch ci va solo traffico tagged.

bortolotti80 Ma se ci colleghi un PC windows per sbaglio e trova solo pacchetti taggati?

Li ignora. Ma in quelle porte un PC non ci deve stare, il senso è proprio quello.

bortolotti80

[cancellato]
Ma è consigliato?

Perché io avevo sempre fatto nel seguente modo: https://help.ui.com/hc/en-us/articles/204962144-UniFi-VLAN-Traffic-Tagging

Come nell'esempio, la network di default management è untagged mentre le altre reti sono tagged, ovviamente invio le tagged solo a dispositivi in grado di leggerle e riconoscerle, non verso switch unmanaged o dispositivi che devono solo accedere a una rete

[cancellato]

bortolotti80 Management non è una rete usata dai client 😉 e personalmente è il motivo per il quale non la vorrei mai vedere untagged, il rischio che qualcosa ci finisca attaccato per sbaglio è ancora più grande.

Poi come ogni cosa non c'è "la" verità, purché funzioni esistono diverse configurazioni possibili, ognuna con i suoi estimatori e altrettanti detrattori, un vendor consiglia X, il concorrente Y... Per dire, personalmente mi piace poco anche tirare N VLAN a giro preferendo che gli AP "chiudano" un tunnel al controller, ma ovviamente si parla di altri ambiti rispetto a questo contesto, stiamo allargandoci pour parler, in ambito domestico quel che ci può arrivare più vicino è la soluzione mikrotik con i CAP e CAPsMAN, con tutta un'altra serie di limitazioni e problemi.

EDIT: avevo risposto prima di leggere l'articolo: qui c'è un errore di fondo, dettato probabilmente dall'ambito smallbiz cui ubnt si rivolge... È sbagliatissimo pensare di mettere la management dei dispositivi nella rete principale dei client... Sbagliato da un punto di vista di sicurezza (perché un virus o altro in un client può divertirsi ad attaccare la gestione degli apparati), ma anche per la gestione e QoS della rete: in scenari complessi ed estesi, la rete di management ha sempre la massima priorità nella gestione del traffico, proprio per riuscire a contattare i dispositivi anche in caso di problemi, loop di rete o flood di traffico di client "impazziti".

bortolotti80

[cancellato] Management non è una rete usata dai client 😉 e personalmente è il motivo per il quale non la vorrei mai vedere untagged

Beh si ha senso mantenerla separata con un tag lan se fosse solo di management dei dispositivi, magari in ambito aziendale

Perciò ho capito bene, non lasci nemmeno una rete untagged verso un Ap ad esempio

Secondo me non dovrebbe essere un problema che finisca attaccato qualcosa alla rete, dipende anche a come è implementata la sicurezza se c'è DHCP, se c'è autenticazione, oltre al fatto che i dispositivi sono protetti da password e 2FA, se ho un attacco malevole fisico sulla rete LAN, la sola separazione di reti tramite id non credo sia la soluzione

Non è sbagliato considerare le VLAN come un layer di sicurezza?
Io le ho sempre trattate come un'estensione della rete fisica, per permettere solamente il passaggio di più reti in un cavo

Ad esempio per autenticare client su reti sia wifi che fisiche in alcune aziende ho visto implementato questo: https://wikipedia.org/wiki/IEEE_802.1x

Non ricordo però se nascondessero l'accesso agli AP, ricordo che riuscivo a visualizzare le statistiche di ogni AP Cisco una volta autenticato alla rete, ma non so se fosse voluto

[cancellato] la rete di management ha sempre la massima priorità nella gestione del traffico, proprio per riuscire a contattare i dispositivi anche in caso di problemi, loop di rete o flood di traffico di client "impazziti".

Ha senso, concordo 😊

[cancellato] qui c'è un errore di fondo, dettato probabilmente dall'ambito smallbiz cui ubnt si rivolge...

Probabile, in molti articoli si considera la rete "base" di default (es 192.168.1.1) come rete generale di management, una rete per tutti gli utilizzi 😅

[cancellato]

bortolotti80 non lasci nemmeno una rete untagged verso un Ap ad esempio

No, dove possibile no 😉 così come non c'è nei trunk tra switch.

bortolotti80 Non è sbagliato considerare le VLAN come un layer di sicurezza?

Le VLAN sono segregazioni di reti, chiaramente il livello di sicurezza raggiunto dipende dai dispositivi che sono attraversati e da chi li configura.

bortolotti80 Non ricordo però se nascondessero l'accesso agli AP, ricordo che riuscivo a visualizzare le statistiche di ogni AP Cisco una volta autenticato alla rete, ma non so se fosse voluto

È sicuramente una cattiva configurazione degli ambienti; Dot1x permette di riconoscere il dispositivo e/o l'utente alla fine del cavo, ma poi passata l'autenticazione sei connesso alla VLAN scelta (statica o dinamicamente assegnata che sia), se da questa rete puoi raggiungere la management dei dispositivi è un cattivo segnale, almeno per le postazioni generiche e non dei sistemisti di gestione.

bortolotti80 la sicurezza se c'è DHCP, se c'è autenticazione, oltre al fatto che i dispositivi sono protetti da password e 2FA, se ho un attacco malevole fisico sulla rete LAN, la sola separazione di reti tramite id non credo sia la soluzione

Una volta che sei in rete sei in rete, DHCP non da sicurezza alcuna, sia perché nulla vieta di assegnarti un indirizzo a mano, sia perché anche se non hai un indirizzo hai visibilità e "diritto di parola" a layer 2... Puoi ad esempio fare ARP spoofing, o flood di pacchetti verso una destinazione, o clonare un MAC address di un dispositivo valido con l'intento di confondere gli switch. 😉

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile