NETGEAR MANAGED VLAN

Sscorpion · 19 giu 2023

GdiunG Se vuoi che le porte dell'ap non abbiano accesso all'interfaccia di gestione del router l'unica soluzione nel tuo caso sarebbe quella di collegare l'ap alla rete guest (ma perderesti l'accesso alla rete principale da tutti i dispositivi wi-fi) oppure usare 2 ap separati, uno per la rete principale e l'altro per la guest (ma non mi sembra una soluzione ottimale).

Se i dispositivi che vuoi utilizzare non sono in grado di gestire le VLAN non c'è molto altro che tu possa fare.

GdiunG oppure mi conviene fare
lan accesso ospiti--->switch unmanaged---->iot cablati ecc.

Ok, ma poi non capisco cosa intendi con:

GdiunG sempre da quello unmanaged lo collego a quello managed e poi da li ap
se faccio cosi i dispositivi cablati cosa vedono nella rete locale?
lato configurazione porte del managed tutto identico

Purtroppo non è facile risponderti senza uno schema completo di cosa vuoi ottenere.

GGdiunG · 19 giu 2023

scorpion
scusa

adesso ho fatto uno schema

ditemi se non capite

lan ospiti= lan 4

pc 1 e pc 2 possono vedersi tra loro e andare su internet

non possono vedere l'ap (se possibile neppure lo switch managed)

nell altra vlan,dopo aver fatto il test dei 2 pc,ci collego uno dei due pc per vedere se vede il router(dovrebbe) e per vedere se vede il pc dell'altra vlan(non dovrebbe vederlo)

dai 2 telefoni uso fing per vedere e dovrebbero vedersi tra di loro e dovrebbero vedere pure l'ap
i pc nell'altra vlan non so,un pc nella stessa vlan idem

come altro posso testare?

ovviamente tutti devono poter andare su internet

@[cancellato] cito anche te che mi avevi aiutato

scorpion ma perderesti l'accesso alla rete principale da tutti i dispositivi wi-fi

Per me va bene

Sscorpion · 20 giu 2023

GdiunG adesso ho fatto uno schema

Dallo schema vedo che tutti i dispositivi in questione sono sotto la rete ospiti: se il router prevede il blocco dell'accesso all'interfaccia di configurazione teoricamente nessuno di quei dispositivi dovrebbe averne accesso. Alcuni router hanno anche una funzione chiamata "device isolation" (o qualcosa del genere) che serve a impedire che ogni dispositivo riesca a vedere gli altri collegati alla stessa rete, se il tuo router ce l'ha potresti usarla per permettere il solo accesso a internet.

Se quella funzione non è presente finché i dispositivi sono collegati tutti alla rete ospiti non credo sia possibile impedire che si vedano tra loro (ma dovrebbero comunque essere isolati rispetto alla rete principale).

Se hai questa esigenza io personalmente userei router, switch e AP tutti in grado di gestire le VLAN, così da poter creare delle VLAN dedicate all'utilizzo (rete principale, rete ospiti, rete IoT). Per ognuna di quelle reti poi potresti configurare delle regole di routing/nat/firewall e un SSID Wi-Fi dedicato nell'AP. In questo modo avresti totale controllo sia sui dispositivi cablati che su quelli connessi via Wi-Fi.

walt · 20 giu 2023

scorpion Alcuni router hanno anche una funzione chiamata "device isolation"

Sui FRITZ!Box mi risulta disponibile soltanto lato Wi-Fi:

scorpion dovrebbero comunque essere isolati rispetto alla rete principale

Non ho mai usata la funzione ma la descrizione lo lascia supporre:

GGdiunG · 20 giu 2023

walt la schermata di lan 4 si dovrebbe trovare in rete locale, questa qui è il normale accesso ospite che hanno anche altri router

walt · 20 giu 2023

GdiunG è inutile specificare che sono intervenuto a ragion veduta, in quanto possessore di FRITZ!Box (uno di proprietà ed uno in comodato)

Sscorpion · 20 giu 2023

walt Sui FRITZ!Box mi risulta disponibile soltanto lato Wi-Fi

Si hai ragione, ho dimenticato di scrivere che mi riferivo proprio ai client Wi-Fi, hai fatto bene a specificarlo.

Su quelli cablati non vedo come possa essere implementata una cosa del genere (se i dispositivi sono nella stessa subnet/vlan) perché, a differenza di quelli connessi via Wi-Fi, essi possono comunicare tra loro direttamente senza passare dal router/ap e quindi un eventuale sistema di quel tipo non funzionerebbe.

GGdiunG · 20 giu 2023

scorpion

Ho fatto un test mettendo vlan 4(accesso ospite)--->switch unmanaged e poi i 2 pc
Dal programma fing vedo l 'ip "finto" del fritzbox e i 2 pc
Adesso provo a mettere lo switch managed collegato al fritzbox nella porta 1
Poi metto un pc nella vlan 2 e l altro in vlan 3

Edit:ho provato, non sembrano vedersi ma internet non sembra andare

Edit:Se metto un pc collegato direttamente al router va, se lo metto nella porta 2 e 3 non va,idem in vlan 3

È giusta la configurazione?cosa ho sbagliato che internet non va ai 2 pc se li collego allo switch managed?

Se può servire quando ho configurato lo switch ieri,lo avevo collegato al router tramite la sua porta 3 ,non penso che sia un problema

Se può c entrare,dal router secondario a cui è connesso lo switch non posso fare vlan quindi non ho fatto nulla (anche perché il router primario contavo di usare il fritzbox

Sscorpion · 20 giu 2023

GdiunG Adesso provo a mettere lo switch managed collegato al fritzbox nella porta 1
Poi metto un pc nella vlan 2 e l altro in vlan 3

Se hai collegato un solo cavo dal router (dalla LAN 4 - ospiti) a una porta dello switch managed associata a una VLAN (mettiamo la VLAN 1) è normale che

GdiunG non sembrano vedersi ma internet non sembra andare

e che

GdiunG Se metto un pc collegato direttamente al router va, se lo metto nella porta 2 e 3 non va,idem in vlan 3

perché le porte associate alle VLAN 2 e 3 a tutti gli effetti non sono connesse a nulla. Visto che il router non supporta le VLAN per connettere quelle reti a internet ti serve che a una delle porte dello switch associate a quelle VLAN sia collegato un secondo cavo proveniente dal router (se per esempio la LAN principale del router è connessa alla VLAN 1 dello switch puoi collegare la LAN 4 ospiti del router alla VLAN 2 oppure 3 dello switch). Come ti dicevo in uno dei messaggi precedenti nel tuo caso sei limitato a 2 reti in totale, visto che il router permette di crearne solo 2 (LAN principale e ospiti).

GdiunG Se può servire quando ho configurato lo switch ieri,lo avevo collegato al router tramite la sua porta 3 ,non penso che sia un problema

No, quello non fa differenza.

[cancellato] · 20 giu 2023

GdiunG Edit:ho provato, non sembrano vedersi ma internet non sembra andare

Se connetti uno switch managed alla porta 4 impostata come guest dovresti usare tutte porte untagged/access su una VLAN (es. 4). In questo caso tutto il traffico dei dispositivi con porte su quella VLAN andranno su quella porta del router e da lì dovrebbero andare su internet.

Poi puoi connettere un'altra porta dello switch ad una porta differente del Fritz - questi possono usare o porte untagged/access su una VLAN diversa, o direttamente la VLAN1. Puoi fare una cosa del genere (ho chiamato VLAN 2 la VLAN principale e VLAN 4 la VLAN che deve solo accedere a Internet).

Alte impostazioni con un Fritz che non supporta le VLAN non ne puoi fare. E ricorda che le porte devono essere tutte untagged/access, se crei delle porte tagged/trunk il Fritz non riconoscerà il traffico.

GdiunG Poi metto un pc nella vlan 2 e l altro in vlan 3

Con un Fritz non puoi usare altre VLAN se vuoi farli andare su Internet, a meno che lo switch non faccia VLAN routing, ma a quel punto le VLAN sono meno isolate senza ACL sullo switch stesso.

In genere i dispositivi sulla stessa VLAN si vedono fra di loro. Se lo switch ha l'opzione port isolation si può evitare anche questo, definendo quale porta possono vedere gli altri dispositivi (in questo caso, sarebbe probabilmente la porta del router)

GGdiunG · 20 giu 2023

scorpion ho provato a fare come hai detto
se collego
lan ospite a porta 1 dello switch e poi altra porta a porta 2 ,con il pc connesso a porta 3(stessa vlan) va su internet
il problema è che si può accedere alla pagina sua
se inverto i cavi che partono dal router invece non va nulla(in verità su fing a volte rileva un dispositivo sconosciuto(che penso sia lo switch

[cancellato]
quindi lato switch posso avere solo 2 vlan,giusto?

se faccio porta 1,2,3 =vlan 1 e porta 4,5,6 vlan2?

faccio lan 4 router----> porta 1 switch(vlan 1) e poi collego i 2 pc a porta 2 e 3 per vedere se internet va

[cancellato] Poi puoi connettere un'altra porta dello switch ad una porta differente del Fritz - questi possono usare o porte untagged/access su una VLAN diversa, o direttamente la VLAN1. Puoi fare una cosa del genere (ho chiamato VLAN 2 la VLAN principale e VLAN 4 la VLAN che deve solo accedere a Internet).

vorrei che pure vlan 2 possa connettersi solo ad internet,si può fare?

es:se faccio porta 4-->switch unmanaged --> 1 cavo per vlan dello switch managed

scorpion se il tuo router ce l'ha potresti usarla per permettere il solo accesso a internet.

l'ap ha questa funzione,il problema è che rende inaccessibile solo la sua pagina,la pagina del router primario si vede ancora

[cancellato] · 20 giu 2023

GdiunG quindi lato switch posso avere solo 2 vlan,giusto?

Connesse al Fritz e ruotate su internet sì. Puoi farti altre VLAN, ma i dispositivi lì saranno isolati in queste VLAN e non potranno uscire su internet.

GdiunG se faccio porta 1,2,3 =vlan 1 e porta 4,5,6 vlan2?

Evita la default VLAN 1 - di solito si lascia per scopi di management e simili, essendo appunto quella di defautl.

I farei appunto la VLAN "4" collegata alla porta 4 (così c'è un certo grado di associazione logica) per i dispositivi "guest" - e poi una VLAN x (con 1 < x < 4096) per l'altra. Poi tutte porte "untagged" associate alla VLAN che serve.

GdiunG vorrei che pure vlan 2 possa connettersi solo ad internet,si può fare?

Solo se lo switch supporta port isolation.

GdiunG es:se faccio porta 4-->switch unmanaged --> 1 cavo per vlan dello switch managed

Se vuoi che tutti dispositivi che finiscano sulla porta 4 sì. Occhio però che così rischi loop fra gli switch se quello managed non è ben configurato - e se c'è supporto per spanning tree una porta potrebbe spegnersi automaticamente.

Se hai bisogno di dispositivi che devono andare su intenet ma non vedersi fra di loro la soluzione migliore è che siano tutti nella stessa VLAN con port isolation. A meno che non ci sia bisogno di fare regole diverse di routing o firewall, ma non è il tuo caso visto che il Fritz non può farlo.