NETGEAR MANAGED VLAN

Sscorpion · 18 giu 2023

GdiunG Si va benissimo, l'importante è che su ogni porta ci sia una sola VLAN untagged (che corrisponde al PVID di quella porta). Poi sulla stessa porta possono esserci più di una VLAN tagged, che saranno però utilizzabili solo se il dispositivo collegato a quella porta supporta le VLAN. Un dispositivo che non supporta le VLAN vedrà solo quella impostata come untagged e assegnata come PVID.

scorpion Nella schermata VLAN Membership dovresti togliere la VLAN 1 dalle porte da #2 a #5.

In questo messaggio dicevo di togliere la VLAN 1 dalle porte che volevi dedicare alle VLAN 2 e 3, in quanto dallo screenshot era configurata come untagged su tutte le porte dello switch, incluse quelle che vorresti usare per le altre VLAN.

--

Per semplicità nel tuo caso puoi vederla in questo modo:

La porta collegata al router deve includere tutte le VLAN che vuoi utilizzare, ma solo una di esse può essere impostata come untagged e PVID: nel tuo caso può essere la 1 di default. Questa porta si comporterà da TRUNK (trasporterà tutte le VLAN dal router allo switch).
Ogni porta alla quale collegherai dei dispositivi deve essere assegnata solo alla VLAN che desideri usare su quel dispositivo. Tale VLAN deve essere impostata come untagged e PVID di quella porta. Il dispositivo che collegherai alla porta vedrà solo ciò che è nella sua stessa VLAN, senza essere a conoscenza del fatto che esistano delle VLAN o che lo switch stia instradando il relativo traffico in una di esse.
Nel router devi creare le varie VLAN (sulla porta alla quale è connesso lo switch) e delle regole per indicare al router come deve comportarsi con il traffico proveniente da ciascuna VLAN. Oltre a questo, in base alle necessità, puoi configurare molte altre cose (creare diversi server DHCP per ogni rete, regole NAT, ecc.)

Sto ovviamente semplificando molto il discorso, se qualcosa non ti è chiaro chiedi pure.

GGdiunG · 19 giu 2023

scorpion Nel router devi creare le varie VLAN (sulla porta alla quale è connesso lo switch) e delle regole per indicare al router come deve comportarsi con il traffico proveniente da ciascuna VLAN. Oltre a questo, in base alle necessità, puoi configurare molte altre cose (creare diversi server DHCP per ogni rete, regole NAT, ecc.)

Io volevo fare una cosa:ho visto che i fritzbox hanno la possibilità di fare accesso ospite via lan 4
(Non si puo accedere alla pagina sua)

Volevo fare vlan 4(accesso ospite via lan)--->switch managed

Il problema è che il fritzbox non sembra gestire le vlan

Io penso che l accesso ospite via lan 4 sia comunque una specie di vlan

Non ho bisogno di fare regole
A me interessa che questi dispositivi siano isolati e non possono accedere alla pagina del router e che quelli in vlan 2 non possano vedere il router/ap di vlan 3 e/o i dispositivi connessi a lui
In vlan 3 ho messo 2 porte anche se ne basta 1 per vedere se si vedono tra di loro

Edit:adesso mando screenshot di cosa ho cambiato

vlan configuration:

vlan membership vlan id 1:

vlan membership vlan id 2:

vlan membership vlan id 3:

port pvid:

Sscorpion · 19 giu 2023

GdiunG Non conosco come i Fritzbox gestiscano le VLAN ma se non le supportano e richiedono di utilizzare una porta dedicata per la seconda rete (LAN 4) puoi comunque farlo ma invece di avere una porta TRUNK (con le varie vlan tagged) dovrai collegare 2 cavi separati dal router allo switch:

porta 1-3 del router -> porta 1 dello switch (solo vlan 1 untagged)
porta 4 del router -> porta 2 dello switch (solo vlan 2 untagged)

Per quanto riguarda le altre porte potrai configurarle come vlan 1 oppure 2 (sempre untagged) in base a quali dispositivi vuoi che facciano parte della prima o la seconda rete.

In questo caso potrai avere in totale al massimo 2 VLAN (non 3 come nella configurazione precedente) e non potrai settare alcuna porta come tagged perché non avresti alcun dispositivo in grado di usarle.

GGdiunG · 19 giu 2023

scorpion

io attualemente ho il router del mio operatore

a quel router ci sta in cascata un router/ap (wax 202)

se io mi connetto via cavo al wax 202 e digito l'ip del router primario, me lo trova
ho provato a fare come @[cancellato] aveva detto qualche mese in un altra mia discussione ma posso comunque accederci (sia al pc connesso al "router"(netgear lo vende come ap,ma ha una modalità router) via cavo sia col telefono connesso al wifi .

io vorrei evitare che i dispositi iot possano accedere alla pagina del router primario(il mio attuale router primario dell'operatore è lo zyxel dx 3301t0)

tra l'altro nemmeno l'ap/"router" wax 202 ha la possibilità di vlan

Sscorpion · 19 giu 2023

GdiunG Per impedire l'accesso al router dalla rete W-Fi devi creare una seconda rete Wi-Fi (SSID) impostata come Guest (ospite) che abbia solo accesso a internet e non al resto. Come farlo cambia in base al router/ap che stai utilizzando.

Lato ethernet invece se il router che utilizzi non supporta nativamente le VLAN ma permette di creare una rete guest separata l'unica strada percorribile è quella che dicevo sopra (2 cavi separati e switch che usa solo VLAN untagged, una per porta). In pratica sarebbe come dividere lo switch fisico in 2 switch virtuali separati (oppure usare direttamente 2 switch fisici separati).

GdiunG se io mi connetto via cavo al wax 202 e digito l'ip del router primario, me lo trova

Questo succede perché le porte del WAX 202 si comportano come un semplice switch quindi fanno tutte parte della rete principale e visto che il dispositivo non supporta le VLAN non hai modo di isolarle.

GGdiunG · 19 giu 2023

scorpion
ok ma se un cavo viene da accesso ospite(no pagina router principale) e l'altro da lan normale non c'è il rischio che si possa accedere alla pagina del router principale(che adesso è lo zyxel,ma che cambierei con il fritzbox/altro router con una funzione simile che collego alla presa telefonica

scorpion porta dedicata per la seconda rete

non so sinceramente se è una seconda rete,loro indicano che ha l'accesso ospite

Sscorpion · 19 giu 2023

GdiunG ok ma se un cavo viene da accesso ospite(no pagina router principale) e l'altro da lan normale non c'è il rischio che si possa accedere alla pagina del router principale

Se quella funzionalità del router (che non conosco) è pensata per tenere separata la rete principale (porte 1-3) da quella ospite (porta 4) non c'è alcun problema, ma per esserne sicuri bisogna controllare la documentazione del produttore.

Configurando lo switch come dicevo (una sola VLAN untagged per ogni porta) è come se avessi 2 switch fisicamente separati: uno per la rete principale (collegato a una delle porte 1-3 del router) e l'altro per la rete guest (collegato alla porta 4). Se colleghi un dispositivo a una porta dello switch assegnata alla VLAN 2 (ospite) esso potrà comunicare solo con la porta 4 (rete ospite) del router e gli altri dispositivi sulla stessa VLAN.

GGdiunG · 19 giu 2023

scorpion ok ma dopo allo switch ci collegherei l'ap router
io attualmente se vado nel browser e digito l'ip del router primario lo vedo comunque
io vorrei fare cosi anche per i dispositivi iot non cablati

oppure mi conviene fare
lan accesso ospiti--->switch unmanaged---->iot cablati ecc.
sempre da quello unmanaged lo collego a quello managed e poi da li ap
se faccio cosi i dispositivi cablati cosa vedono nella rete locale?
lato configurazione porte del managed tutto identico

quelli connessi allo switch stupido non devono vedere l'ap( e magari pure lo switch managed ma non so se si possa fare in qualche modo

io per testare se si vedono metto nel browser l'indirizzo ip locale dell'ap e dello switch e uso fing.
va bene oppure ci sta di meglio?

Sscorpion · 19 giu 2023

GdiunG Se vuoi che le porte dell'ap non abbiano accesso all'interfaccia di gestione del router l'unica soluzione nel tuo caso sarebbe quella di collegare l'ap alla rete guest (ma perderesti l'accesso alla rete principale da tutti i dispositivi wi-fi) oppure usare 2 ap separati, uno per la rete principale e l'altro per la guest (ma non mi sembra una soluzione ottimale).

Se i dispositivi che vuoi utilizzare non sono in grado di gestire le VLAN non c'è molto altro che tu possa fare.

GdiunG oppure mi conviene fare
lan accesso ospiti--->switch unmanaged---->iot cablati ecc.

Ok, ma poi non capisco cosa intendi con:

GdiunG sempre da quello unmanaged lo collego a quello managed e poi da li ap
se faccio cosi i dispositivi cablati cosa vedono nella rete locale?
lato configurazione porte del managed tutto identico

Purtroppo non è facile risponderti senza uno schema completo di cosa vuoi ottenere.

GGdiunG · 19 giu 2023

scorpion
scusa

adesso ho fatto uno schema

ditemi se non capite

lan ospiti= lan 4

pc 1 e pc 2 possono vedersi tra loro e andare su internet

non possono vedere l'ap (se possibile neppure lo switch managed)

nell altra vlan,dopo aver fatto il test dei 2 pc,ci collego uno dei due pc per vedere se vede il router(dovrebbe) e per vedere se vede il pc dell'altra vlan(non dovrebbe vederlo)

dai 2 telefoni uso fing per vedere e dovrebbero vedersi tra di loro e dovrebbero vedere pure l'ap
i pc nell'altra vlan non so,un pc nella stessa vlan idem

come altro posso testare?

ovviamente tutti devono poter andare su internet

@[cancellato] cito anche te che mi avevi aiutato

scorpion ma perderesti l'accesso alla rete principale da tutti i dispositivi wi-fi

Per me va bene

Sscorpion · 20 giu 2023

GdiunG adesso ho fatto uno schema

Dallo schema vedo che tutti i dispositivi in questione sono sotto la rete ospiti: se il router prevede il blocco dell'accesso all'interfaccia di configurazione teoricamente nessuno di quei dispositivi dovrebbe averne accesso. Alcuni router hanno anche una funzione chiamata "device isolation" (o qualcosa del genere) che serve a impedire che ogni dispositivo riesca a vedere gli altri collegati alla stessa rete, se il tuo router ce l'ha potresti usarla per permettere il solo accesso a internet.

Se quella funzione non è presente finché i dispositivi sono collegati tutti alla rete ospiti non credo sia possibile impedire che si vedano tra loro (ma dovrebbero comunque essere isolati rispetto alla rete principale).

Se hai questa esigenza io personalmente userei router, switch e AP tutti in grado di gestire le VLAN, così da poter creare delle VLAN dedicate all'utilizzo (rete principale, rete ospiti, rete IoT). Per ognuna di quelle reti poi potresti configurare delle regole di routing/nat/firewall e un SSID Wi-Fi dedicato nell'AP. In questo modo avresti totale controllo sia sui dispositivi cablati che su quelli connessi via Wi-Fi.

walt · 20 giu 2023

scorpion Alcuni router hanno anche una funzione chiamata "device isolation"

Sui FRITZ!Box mi risulta disponibile soltanto lato Wi-Fi:

scorpion dovrebbero comunque essere isolati rispetto alla rete principale

Non ho mai usata la funzione ma la descrizione lo lascia supporre:

GGdiunG · 20 giu 2023

walt la schermata di lan 4 si dovrebbe trovare in rete locale, questa qui è il normale accesso ospite che hanno anche altri router

walt · 20 giu 2023

GdiunG è inutile specificare che sono intervenuto a ragion veduta, in quanto possessore di FRITZ!Box (uno di proprietà ed uno in comodato)

Sscorpion · 20 giu 2023

walt Sui FRITZ!Box mi risulta disponibile soltanto lato Wi-Fi

Si hai ragione, ho dimenticato di scrivere che mi riferivo proprio ai client Wi-Fi, hai fatto bene a specificarlo.

Su quelli cablati non vedo come possa essere implementata una cosa del genere (se i dispositivi sono nella stessa subnet/vlan) perché, a differenza di quelli connessi via Wi-Fi, essi possono comunicare tra loro direttamente senza passare dal router/ap e quindi un eventuale sistema di quel tipo non funzionerebbe.

GGdiunG · 20 giu 2023

scorpion

Ho fatto un test mettendo vlan 4(accesso ospite)--->switch unmanaged e poi i 2 pc
Dal programma fing vedo l 'ip "finto" del fritzbox e i 2 pc
Adesso provo a mettere lo switch managed collegato al fritzbox nella porta 1
Poi metto un pc nella vlan 2 e l altro in vlan 3

Edit:ho provato, non sembrano vedersi ma internet non sembra andare

Edit:Se metto un pc collegato direttamente al router va, se lo metto nella porta 2 e 3 non va,idem in vlan 3

È giusta la configurazione?cosa ho sbagliato che internet non va ai 2 pc se li collego allo switch managed?

Se può servire quando ho configurato lo switch ieri,lo avevo collegato al router tramite la sua porta 3 ,non penso che sia un problema

Se può c entrare,dal router secondario a cui è connesso lo switch non posso fare vlan quindi non ho fatto nulla (anche perché il router primario contavo di usare il fritzbox

Sscorpion · 20 giu 2023

GdiunG Adesso provo a mettere lo switch managed collegato al fritzbox nella porta 1
Poi metto un pc nella vlan 2 e l altro in vlan 3

Se hai collegato un solo cavo dal router (dalla LAN 4 - ospiti) a una porta dello switch managed associata a una VLAN (mettiamo la VLAN 1) è normale che

GdiunG non sembrano vedersi ma internet non sembra andare

e che

GdiunG Se metto un pc collegato direttamente al router va, se lo metto nella porta 2 e 3 non va,idem in vlan 3

perché le porte associate alle VLAN 2 e 3 a tutti gli effetti non sono connesse a nulla. Visto che il router non supporta le VLAN per connettere quelle reti a internet ti serve che a una delle porte dello switch associate a quelle VLAN sia collegato un secondo cavo proveniente dal router (se per esempio la LAN principale del router è connessa alla VLAN 1 dello switch puoi collegare la LAN 4 ospiti del router alla VLAN 2 oppure 3 dello switch). Come ti dicevo in uno dei messaggi precedenti nel tuo caso sei limitato a 2 reti in totale, visto che il router permette di crearne solo 2 (LAN principale e ospiti).

GdiunG Se può servire quando ho configurato lo switch ieri,lo avevo collegato al router tramite la sua porta 3 ,non penso che sia un problema

No, quello non fa differenza.

[cancellato] · 20 giu 2023

GdiunG Edit:ho provato, non sembrano vedersi ma internet non sembra andare

Se connetti uno switch managed alla porta 4 impostata come guest dovresti usare tutte porte untagged/access su una VLAN (es. 4). In questo caso tutto il traffico dei dispositivi con porte su quella VLAN andranno su quella porta del router e da lì dovrebbero andare su internet.

Poi puoi connettere un'altra porta dello switch ad una porta differente del Fritz - questi possono usare o porte untagged/access su una VLAN diversa, o direttamente la VLAN1. Puoi fare una cosa del genere (ho chiamato VLAN 2 la VLAN principale e VLAN 4 la VLAN che deve solo accedere a Internet).

Alte impostazioni con un Fritz che non supporta le VLAN non ne puoi fare. E ricorda che le porte devono essere tutte untagged/access, se crei delle porte tagged/trunk il Fritz non riconoscerà il traffico.

GdiunG Poi metto un pc nella vlan 2 e l altro in vlan 3

Con un Fritz non puoi usare altre VLAN se vuoi farli andare su Internet, a meno che lo switch non faccia VLAN routing, ma a quel punto le VLAN sono meno isolate senza ACL sullo switch stesso.

In genere i dispositivi sulla stessa VLAN si vedono fra di loro. Se lo switch ha l'opzione port isolation si può evitare anche questo, definendo quale porta possono vedere gli altri dispositivi (in questo caso, sarebbe probabilmente la porta del router)

GGdiunG · 20 giu 2023

scorpion ho provato a fare come hai detto
se collego
lan ospite a porta 1 dello switch e poi altra porta a porta 2 ,con il pc connesso a porta 3(stessa vlan) va su internet
il problema è che si può accedere alla pagina sua
se inverto i cavi che partono dal router invece non va nulla(in verità su fing a volte rileva un dispositivo sconosciuto(che penso sia lo switch

[cancellato]
quindi lato switch posso avere solo 2 vlan,giusto?

se faccio porta 1,2,3 =vlan 1 e porta 4,5,6 vlan2?

faccio lan 4 router----> porta 1 switch(vlan 1) e poi collego i 2 pc a porta 2 e 3 per vedere se internet va

[cancellato] Poi puoi connettere un'altra porta dello switch ad una porta differente del Fritz - questi possono usare o porte untagged/access su una VLAN diversa, o direttamente la VLAN1. Puoi fare una cosa del genere (ho chiamato VLAN 2 la VLAN principale e VLAN 4 la VLAN che deve solo accedere a Internet).

vorrei che pure vlan 2 possa connettersi solo ad internet,si può fare?

es:se faccio porta 4-->switch unmanaged --> 1 cavo per vlan dello switch managed

scorpion se il tuo router ce l'ha potresti usarla per permettere il solo accesso a internet.

l'ap ha questa funzione,il problema è che rende inaccessibile solo la sua pagina,la pagina del router primario si vede ancora

[cancellato] · 20 giu 2023

GdiunG quindi lato switch posso avere solo 2 vlan,giusto?

Connesse al Fritz e ruotate su internet sì. Puoi farti altre VLAN, ma i dispositivi lì saranno isolati in queste VLAN e non potranno uscire su internet.

GdiunG se faccio porta 1,2,3 =vlan 1 e porta 4,5,6 vlan2?

Evita la default VLAN 1 - di solito si lascia per scopi di management e simili, essendo appunto quella di defautl.

I farei appunto la VLAN "4" collegata alla porta 4 (così c'è un certo grado di associazione logica) per i dispositivi "guest" - e poi una VLAN x (con 1 < x < 4096) per l'altra. Poi tutte porte "untagged" associate alla VLAN che serve.

GdiunG vorrei che pure vlan 2 possa connettersi solo ad internet,si può fare?

Solo se lo switch supporta port isolation.

GdiunG es:se faccio porta 4-->switch unmanaged --> 1 cavo per vlan dello switch managed

Se vuoi che tutti dispositivi che finiscano sulla porta 4 sì. Occhio però che così rischi loop fra gli switch se quello managed non è ben configurato - e se c'è supporto per spanning tree una porta potrebbe spegnersi automaticamente.

Se hai bisogno di dispositivi che devono andare su intenet ma non vedersi fra di loro la soluzione migliore è che siano tutti nella stessa VLAN con port isolation. A meno che non ci sia bisogno di fare regole diverse di routing o firewall, ma non è il tuo caso visto che il Fritz non può farlo.