Tim 10g - DHCP & VLANs

Paueron

Ciao a tutti,

Sono recentemente passato alla linea Tim 10g utilizzando un router Sagecom. Ho diversi dispositivi connessi in casa, tra cui dispositivi IoT, server Proxmox, PC e TV. Attualmente ho configurato una rete molto ampia /16 per organizzare i dispositivi, ma non li isola.

Sto pensando di implementare delle VLAN per ottenere un migliore isolamento, senza tuttavia voler modificare o eseguire il root del mio router Tim. Preferirei una soluzione più rapida e sicura, quindi sto valutando l'opzione di utilizzare un mini PC collegato in cascata al router.

La mia domanda è: cosa dovrei installare su questo mini PC? Ho considerato opzioni come PfSense, OPNsense, Kea DHCP, ISC DHCPd, gravity.beryju.io, e altre ancora. È fondamentale per me che la soluzione sia relativamente semplice, che sia compatibile con il deploy su Proxmox o su un mini PC, che abbia un'interfaccia web per la gestione e che permetta la creazione delle VLAN oltre a funzionare come server DHCP.

Grazie in anticipo per il vostro aiuto e consigli!

Qul0

Paueron Banana pi R4 con openwrt al posto del sagecomm + prendi uno switch managed con SPF+ e sei a posto

gianry

Qul0

non capisco perchè dovrebbe prendere uno switch managed con SFP+

Non credo che gli serva la 10 gigabit su ogni dispositivo cablato (intuisco che è una abitazione).

Paueron Se faccio il deploy di OpenWRT su un MiniPC e lo metto collegato via ETH al router va bene? lo si può usare come DHCP server?

credo proprio di si

Paueron Sto pensando di implementare delle VLAN per ottenere un migliore isolamento, senza tuttavia voler modificare o eseguire il root del mio router Tim. Preferirei una soluzione più rapida e sicura, quindi sto valutando l'opzione di utilizzare un mini PC collegato in cascata al router.

in tutta onesta non vedo necessario, come da moda recente, di usare vlan in casa. Certo che ognuno la pensi diversamente ma credo sia una perdita di tempo.

[cancellato]

Paueron Sto pensando di implementare delle VLAN per ottenere un migliore isolamento,

Quanti dispositivi devi collegare? Sono collegati via cavo o WiFI? Perché per usare le VLAN hai bisogno di dispositivi capaci di gestirle, quali switch che permettano di assegnare le VLAN alle porte, e access point che permettano di associare VLAN e SSID.

Paueron Kea DHCP, ISC DHCPd

Questi sono solo server DHCP che possono essere configurati per assegnare subnet separate a dispositivi su VLAN diverse, ma non lo fanno da soli. pfSense/OPNSense e OpenWRT hanno la capacità di gestire VLAN (e di fare routing fra le subnet associate, cosa che di solito è necessaria) e integrano anche i server DHCP e DNS necessari, ma di nuovo serve il supporto anche a valle.

Paueron

Qul0 Banana pi R4 con openwrt al posto del sagecomm

praticamente tu dici di usare modem libero circa, però Tim lo permette solamente se il Sagecom viene usato come ONT...
Però

Io vorrei usare il Sagecom Tim come AP WiFi
Questa soluzione sarebbe implementabile come solamente DHCP server?
Come faccio a dire al Router Sagecom che le richieste DHCP deve mandarle al OpenWRT? o fa da solo?
Lo switch ci stavo pensando, però vorrei prenderlo da 10g...
Se prendo uno switch un-managed OpenWrt su di esso può fare da server DHCP anche a chi è connesso via ETH?

Qul0

Paueron Non conosco il router sagecomm come software, quello che posso dirti è quello di chiedere il modem libero a Tim, farti montare ONT, e mettere solo la Banana Pi. Sono obbligati a fornirti l'ONT.

Volendo potresti anche pensare di mettere la WAN SPF+ della BPI-R4 direttamente in fibra con il modulo, però dicono che scalda parecchio quindi conviene tenere l'ONT a parte.

Paueron

Si ma con la 10g Tim ti fa usare da quanto ho capito il Router Sagecom come ONT, non ne ha di esterni compatibili con modem libero.

Se faccio il deploy di OpenWRT su un MiniPC e lo metto collegato via ETH al router va bene? lo si può usare come DHCP server?

Qul0

gianry non capisco perchè dovrebbe prendere uno switch managed con SFP+

La board che ho citato ha 2 SFP+, una WAN la seconda LAN, in questo modo ha 10G verso lo switch. Lo switch managed ti serve per taggare le eventuali VLAN, se riesce. trovarne uno PoE può anche prendere un AP e gestirsi diverse SSID per le VLAN che gli servono.

Provate a leggere questo thread, qui si parla di ONT 10G fornito da TIM https://forum.fibra.click/d/37480-tim-10-gigabit-e-ont-esterno/4

[cancellato] Quanti dispositivi devi collegare? Sono collegati via cavo o WiFI? Perché per usare le VLAN hai bisogno di dispositivi capaci di gestirle, quali switch che permettano di assegnare le VLAN alle porte, e access point che permettano di associare VLAN e SSID.

Il motivo per cui dicevo che gli serve uno switch managed

Paueron

gianry non capisco perchè dovrebbe prendere uno switch managed con SFP+

Non credo che gli serva la 10 gigabit su ogni dispositivo cablato (intuisco che è una abitazione).

si è un'abitazione, ma se mettessi uno switch da solamente 1 gigabit e gli collego un pò di tv, pc,.. non crerdo andranno tanto e avranno molta banda a testa.

gianry credo proprio di si

Ah ok perfetto, allora mi sa che proverò così

gianry in tutta onesta non vedo necessario, come da moda recente, di usare vlan in casa. Certo che ognuno la pensi diversamente ma credo sia una perdita di tempo.

pensavo di implementarla in quanto in casa ho dei servizi che richiedono porte aperte sul router, es vpn e server web... quindi per dare un pò più di sicurezza alla rete.

[cancellato] Quanti dispositivi devi collegare? Sono collegati via cavo o WiFI? Perché per usare le VLAN hai bisogno di dispositivi capaci di gestirle, quali switch che permettano di assegnare le VLAN alle porte, e access point che permettano di associare VLAN e SSID.

non saprei contarli sinceramente, ma comunque tanti... soprattutto di VM su Proxmox.
Un pò di dispositivi tramite WiFi, es quelli IoT
E tantissimi tramite eth.
Tramite OpenWRT penso che potrei comunque metterli in una vlan nonostante siano tutti nella stessa rete WiFi o tutti collegati allo stesso IP, tramite MAC e IP

[cancellato] Questi sono solo server DHCP che possono essere configurati per assegnare subnet separate a dispositivi su VLAN diverse, ma non lo fanno da soli. pfSense/OPNSense e OpenWRT hanno la capacità di gestire VLAN (e di fare routing fra le subnet associate, cosa che di solito è necessaria) e integrano anche i server DHCP e DNS necessari, ma di nuovo serve il supporto anche a valle.

Anche questa soluzione però mi sa che la valuterò, anche se non separa...
il problem maggiore di questi 2 è che non hanno interfaccia grafica o WebUI mi sa...

[cancellato]

Paueron si è un'abitazione, ma se mettessi uno switch da solamente 1 gigabit e gli collego un pò di tv, pc,.. non crerdo andranno tanto e avranno molta banda a testa.

Ci funzionano intere aziende, con gli switch a 1G... la banda utilizzata in media è più bassa, tranne usi particolari (es. montaggio video da file in SAN). Poi se vuoi usare switch a velocità maggiorni non è certo vietato, certo, se hai una linea a 10G almeno il backbone della LAN può aver senso averlo già a 10G.

Paueron Tramite OpenWRT penso che potrei comunque metterli in una vlan nonostante siano tutti nella stessa rete WiFi

Per il WiFi tutti i dispositivi WiFi finirebbero nella stessa VLAN, se l'access point non è in grado di assegnarli a VLAN diverse tramite associazioen SSID - VLAN.

Paueron o tutti collegati allo stesso IP, tramite MAC e IP

Temo che tu non abbia ben chiaro come funzionano le VLAN. Le VLAN sono una modifica dei pacchetti Ethernet - viene aggiunto un ulteriore campo che contiene l'ID della VLAN (e la priorità per il QoS), direttamente dal dispositivo o dalla porta di rete al quale è conneso allo swicth, o nel caso di un AP dall'SSID al quale è connesso.

I dispositivi di rete VLAN-aware che processano i pacchetti guardano questo campo e verificano su quali porte quel traffico è autorizzato a passare. È questo meccanismo che garantisce l'isolamento delle VLAN. I dispositivi connessi ad uno switch se devono parlarsi tra di loro da un router a monte manco ci passano, a meno che appunto non gli sia impedito di parlarsi tramite la gestione sullo switch delle VLAN che glielo impedisce. Non è che tutto passa dal router "centrale" e si tagga tutto lì... a meno che non ti fai un router con tante porte quanti i dispositivi, e avresti ancora il problema del WiFi.

Paueron il problem maggiore di questi 2 è che non hanno interfaccia grafica o WebUI mi sa...

OpenWRT ha una interfaccia web separata, anche se non so se possa fare tutto. pfSense e OPNSense hanno una GUI web per l'amministrazione.

gianry in tutta onesta non vedo necessario, come da moda recente, di usare vlan in casa.

Dipende da che reti hai a casa, e cosa ci fai. Con le reti domestiche che diventano sempre più complesse ed usate anche per funzioni critiche/importanti, e non solo più per vedere video di gattini, ha molto senso isolare reti con diversi livelli di sicurezza. Ad esempio la domotica che controlla le funzioni della casa deve essere accessibile dal PC del ragazzino che scarica la prima cosa che gli capita? La rete dove lavori per lo smartworking connessa alla rete aziendale via VPN deve essere la stessa con la quale magari acceedi a siti, ehm, "sconsigliati"? La rete "guest" che molti all-in-one implementano è una forma di "VLAN dei poveri".

Paueron

[cancellato] Ci funzionano intere aziende, con gli switch a 1G... la banda utilizzata in media è più bassa, tranne usi particolari (es. montaggio video da file in SAN). Poi se vuoi usare switch a velocità maggiorni non è certo vietato, certo, se hai una linea a 10G almeno il backbone della LAN può aver senso averlo già a 10G.

Eh proprio quello il problema... il trasferimento di file ad 1G non risulterebbe il massimo con quel che ci devo fare...
Gli Switch 10G già son cari così figuriamoci Managed.. sarà un progetto sicuramente a medio lungo termine...

[cancellato] Per il WiFi tutti i dispositivi WiFi finirebbero nella stessa VLAN, se l'access point non è in grado di assegnarli a VLAN diverse tramite associazioen SSID - VLAN.

Ahh ok, non mi era molto chiaro questo, diciamo però che i dispositivi "critici" sono tutti via eth e quindi anche se tutti i dispositivi WiFi finissero in una sola VLAN potrebbe andare bene... forse il problema maggiore sarebbe l'IoT messo nella stessa VLAN di tutto.

[cancellato] Temo che tu non abbia ben chiaro come funzionano le VLAN. Le VLAN sono una modifica dei pacchetti Ethernet - viene aggiunto un ulteriore campo che contiene l'ID della VLAN (e la priorità per il QoS), direttamente dal dispositivo o dalla porta di rete al quale è conneso allo swicth, o nel caso di un AP dall'SSID al quale è connesso.

I dispositivi di rete VLAN-aware che processano i pacchetti guardano questo campo e verificano su quali porte quel traffico è autorizzato a passare. È questo meccanismo che garantisce l'isolamento delle VLAN. I dispositivi connessi ad uno switch se devono parlarsi tra di loro da un router a monte manco ci passano, a meno che appunto non gli sia impedito di parlarsi tramite la gestione sullo switch delle VLAN che glielo impedisce. Non è che tutto passa dal router "centrale" e si tagga tutto lì... a meno che non ti fai un router con tante porte quanti i dispositivi, e avresti ancora il problema del WiFi.

Grazie mille della spiegazione, parte ce l'avevo già chiara, ma qualcosa di nuovo si impara sempre.

[cancellato] OpenWRT ha una interfaccia web separata, anche se non so se possa fare tutto. pfSense e OPNSense hanno una GUI web per l'amministrazione.

Ah ok, ma quindi come interfaccia Web e amministrazione e funzoini sono molto diversi OpenWRT vs pfsense/opnsense?
Quale consiglieresti?

[cancellato] Dipende da che reti hai a casa, e cosa ci fai. Con le reti domestiche che diventano sempre più complesse ed usate anche per funzioni critiche/importanti, e non solo più per vedere video di gattini, ha molto senso isolare reti con diversi livelli di sicurezza. Ad esempio la domotica che controlla le funzioni della casa deve essere accessibile dal PC del ragazzino che scarica la prima cosa che gli capita? La rete dove lavori per lo smartworking connessa alla rete aziendale via VPN deve essere la stessa con la quale magari acceedi a siti, ehm, "sconsigliati"? La rete "guest" che molti all-in-one implementano è una forma di "VLAN dei poveri".

eh infatti proprio per questo che volevo creare qualche VLAN ma sembra il tutto sempre più complicato.. e sto mettendo davvero in dubbio che fare... ci penserò su bene e mi informerò ancor meglio

[cancellato]

Paueron Gli Switch 10G già son cari così figuriamoci Managed.

Per le VLAN bastano switch smart managed Layer 2 - qualcosa a prezzi non eccessivi puoi anche trovarlo, però se vuoi i 10G fino ai dispositivi tutt'ora un po' devi spendere, dipende anche da quante porte ti servono. Se ti accontenti del solo uplink a 10G risparmi - ma dipende dai tuoi casi d'uso.

Paueron sono molto diversi OpenWRT vs pfsense/opnsense?

Abbastanza. Io non sono un fan di OpenWRT, preferisco pfSense, ma è una mia opinione. OPNSense assomiglia molto a pfSense (sono entrambi basati su FreeBSD), anche se ha una interfaccia un poco diversa. Spesso è un poco più avanti in termini di funzionalità, ma la documentazione lascia un po' a desiderare.

Qul0

Paueron Eh proprio quello il problema... il trasferimento di file ad 1G non risulterebbe il massimo con quel che ci devo fare...
Gli Switch 10G già son cari così figuriamoci Managed.. sarà un progetto sicuramente a medio lungo termine...

Il progetto che sto attuando io in casa mia, risparmi però segmentando la rete. Banalmente prendi uno switch 10G managed ma magari 8 porte per collegarci proprio quello che ti serve avere a 10G, come stretto necessario, tipo NAS, i pc principali con cui lavori etc. Poi io personalmente prenderò anche un managed 1G però PoE++ per avere budget power per altri switch in cascata e per AP e eventuali board con PoE. E poi un managed da 2,5, o anche da 1G per il resto, tipo Apple TV, console, PC su cui non mi server la 10G etc

Paueron Ahh ok, non mi era molto chiaro questo, diciamo però che i dispositivi "critici" sono tutti via eth e quindi anche se tutti i dispositivi WiFi finissero in una sola VLAN potrebbe andare bene... forse il problema maggiore sarebbe l'IoT messo nella stessa VLAN di tutto.

Una delle cose più importanti in casa è appunto suddividere il traffico IoT dal traffico generato dagli user.

Paueron Ah ok, ma quindi come interfaccia Web e amministrazione e funzoini sono molto diversi OpenWRT vs pfsense/opnsense?

SI openwrt Ha LuCi, molto basilare come grafica, OPNsense ha una grafica più costruita, il fatto è che opnsense è solo x86 e le cup x86 non sono molto indicate per fare routing, e consumano.

[cancellato]

Paueron ma sembra il tutto sempre più complicato..

Complicato no, costoso a 10G sì... io uso un pfSense + switch managed + AP con SSID multipli e VLAN, ma è tutto a 1Gb/s.

Qul0 e cup x86 non sono molto indicate per fare routing

Neanche gli ARM, nessuno dei due è un ASIC per accelerare in HW le funzioni di rete. Allora dovresti comprarti un router pro dedicato. Vero che le architetture Intel possono consumare un po' di più di ARM - a seconda anche della CPU che si sceglie.

Qul0 Freebsd ad esempio ha problemi con il PPPoE in single core

Informazioni obsolete. In realtà basta fare le opportune impostazioni per cambiare il modo nel quale sono smistati i pacchetti in base agli hash fatti in HW dalla schede di rete, e usare tutti core.

Qul0 Senza contare poi la gestione del traffico VLAN che anche quella, in base a quanto traffico hai, mangia CPU

Solo il traffico che arriva al router... se lo switch smista il traffico che può smistare localmente il router nemmeno lo vede. In teoria al router dovrebbe arrivare solo il traffico che va instradata fra VLAN diverse (o da/per interne), quello intra-VLAN dovrebbe essere gestito dallo switch.

Paueron o OpenWRT mai vista come interfaccia

Non è la UI di amministrazione principale, al contrario di pfSense/OPNSense.

Paueron

[cancellato] Per le VLAN bastano switch smart managed Layer 2 - qualcosa a prezzi non eccessivi puoi anche trovarlo, però se vuoi i 10G fino ai dispositivi tutt'ora un po' devi spendere, dipende anche da quante porte ti servono. Se ti accontenti del solo uplink a 10G risparmi - ma dipende dai tuoi casi d'uso.

Si mi metterò alla ricerca di un pò di prodotti

[cancellato] Abbastanza. Io non sono un fan di OpenWRT, preferisco pfSense, ma è una mia opinione. OPNSense assomiglia molto a pfSense (sono entrambi basati su FreeBSD), anche se ha una interfaccia un poco diversa. Spesso è un poco più avanti in termini di funzionalità, ma la documentazione lascia un po' a desiderare.

Io OpenWRT mai vista come interfaccia, PfSense e OPNsense ho abbastanza esperienza. adesso vedrò anche quello e farò qualche prova

Qul0 Il progetto che sto attuando io in casa mia, risparmi però segmentando la rete. Banalmente prendi uno switch 10G managed ma magari 8 porte per collegarci proprio quello che ti serve avere a 10G, come stretto necessario, tipo NAS, i pc principali con cui lavori etc. Poi io personalmente prenderò anche un managed 1G però PoE++ per avere budget power per altri switch in cascata e per AP e eventuali board con PoE. E poi un managed da 2,5, o anche da 1G per il resto, tipo Apple TV, console, PC su cui non mi server la 10G etc

sisi quello ovvio, non è che collego console, tv ecc a 10g sarebbe inutile... le collego a 1g che basta e avanza.
Per la 10g penso mi serviranno almeno 8 porte, forse meglio 12 magari che poi splitto di nuovo con altri switch da 1g quando arrivo nelle stanze "non critiche".
Vedrò un pò di prodotti poi

Qul0 Una delle cose più importanti in casa è appunto suddividere il traffico IoT dal traffico generato dagli user.

No soprattutto il traffico User dal traffico server web e vm critiche

Qul0 SI openwrt Ha LuCi, molto basilare come grafica, OPNsense ha una grafica più costruita, il fatto è che opnsense è solo x86 e le cup x86 non sono molto indicate per fare routing, e consumano.

Massì consumerà qualche € in più all'anno di energia... non è quello che fa la differenza nel mio caso

Qul0

Paueron Massì consumerà qualche € in più all'anno di energia... non è quello che fa la differenza nel mio caso

Beh non è solo quello, ci sono altre cose che devi considerare, freebsd ad esempio ha problemi con il PPPoE in single core, ci sono molti che non riescono ad arrivare ai 2,5G, quindi devi anche spendere su una cpu che abbia delle prestazioni single core elevate. Senza contare poi la gestione del traffico VLAN che anche quella, in base a quanto traffico hai, mangia CPU

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile