Sziasztok!
Szeretnék kialakítani egy ethernet+wifi hálózatot a következőképpen:
Szeretnék egyrészt területenkénti elkülönítést a vezetékes hálózaton: lennének helységek, melyekből csak internetezni lehetne. Lennének helységek, melyekből az internet mellett el lehetne érni a helyi szervereket, valamint a nyomtatókat. Ezen felül lenne a wifi hálózat, ahonnan a vendégek csak az Internethez férnének hozzá, az azonosított eszközök viszont a helyi hálózathoz (szerverek, nyomtatók) is hozzáférnének.
Arra gondoltam, hogy ezt vegyesen port- és MAC alapú vlanokkal oldanám meg: az egyes helységekben port alapú vlant használnék, ezen helységek gépeinek a MAC címét nem rögzíteném egyenként, csak azokat a mobil eszközöket, amelyekkel szeretném elérni wifiről is a belső hálózatot.
Lenne egy B verzió is: azokkal a mobil eszközökkel, melyek wifiről elérhetik a belső hálózatot is, lehessen bárhonnan elérni a szervereket, nyomtatókat, azokból a termekből is, ahonnan a többi gép csak az Internetet éri el. Ha ez nem valósul meg, nem nagy gond.
A kérdésem az, hogy van-e tapasztalatotok MAC alapú vlanokkal, ez az elgondolás működőképes-e, másrészt, hogy ezzel oldjam-e meg, vagy más módszert ajánlotok?
Hozzászólások
Opcionálisan: Guest vlan
Illetve talán auth a wifin, user alapú hozzáféréssel, hogy mit érjen el és mit ne
Kicsit kusza a leírás.
Arra gondolsz, hogy az ethernet az port based VLAN-okból épülne fel, a wireless network pedig MAC alapon sorolná be a forgalmat VLAN-okba?
Igen, erre gondolok.
Ez hülyeség. A MAC hamisítható, nem használható hitelesítésre.
(A hálózati nyomtatóknál eltudom képzelni, hogy ez lesz az egyetlen megoldás.)
Hány eszközről van szó? Milyen gyakran várható eszközcsere? MAC alapon gondolkodva ez nagyon nem mindegy.
A wifi részt inkább úgy csinálnám, hogy kapna a nép a egy GUEST SSID-t, a belső hálót elérők pedig egy CORPORATE SSID-t, akár rejtetten is, és ha van lehetőség, ott nem PSK, hanem cert alapú azonosítás zajlana.
30-50 eszközről lenne szó. Nem cserélődne gyakran, tehát még beleférne, ha nem is kényelmes.
Ha nem akarom a B verziót, akkor jó lehet így is.
Mikrotik router esetén van egy érdekes trükk:
- ARP kérés hatására nem regisztrál az interfészen a router ARP táblájába
- DHCP szervernél egy pipa, hogy töltse a router ARP tábláját
Eredménye: feldugsz egy eszközt és
- ha a DHCP szerver által osztott IP-t használja, akkor minden oké (=router ARP táblájába bekerül)
- ha adsz neki statikus IP címet, azzal az IP-vel nem fog tudni a routerrel beszélni
Innentől a többi static+dynamic pool és IP filter szabályok a route-olt hálózaton.
Köszönöm!
"lennének helységek,"
Országos méretekben gondolkodsz... Merjünk nagyot álmodni.
"Normális ember már nem kommentel sehol." (c) Poli
VLAN + WLAN + WPA2/3 Enterprise + 802.1X Érdemes elindulni innen: https://www.privacywonk.net/2010/10/security-how-to-wpa2-enterprise-on-… és átnézni a PKI-s ügyeket https://smallstep.com/blog/everything-pki A történetnek egyébként valamilyen enterprise WiFi rendszerrel állnék neki. A nép kapna egy captive portálos login-t és egy erősen korlátozott WLAN-t. A céges gépek cert alalpú WLAN-t, a céges mobilok és a céges IoT 1-1 DPSK alapú WLAN-t és még aminek szükséges egyéb WLAN.
Köszönöm, meg fogom nézni!