4 votes

fußballball avatar

Séparation du réseau domestique | Lignes directrices et exemple

Demandé el 9 de Août, 2018
Quand la question a-t-elle été
1821 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Tout d'abord, merci d'avoir pu poser ma question ici. Je suis excité de bientôt emménager dans mes premiers quatres murs et j'ai eu l'impression que c'était le bon moment pour aborder la sécurité et l'isolation du réseau. Comme toujours, il est probablement préférable et plus facile de le faire correctement dès le début.

Ressources que j'ai consultées jusqu'à présent :

Il y a d'autres ressources, par exemple un cours en ligne, que j'ai consultées, mais elles n'ont donné aucun résultat rapidement résumable.

Configuration et Problème :

Je vais avoir plusieurs appareils IoT dans mon appartement - des ampoules Philips Hue, un Raspberry Pi [probablement connecté en Ethernet], des prises intelligentes, un Amazon Fire TV Stick, etc. [tous seront connectés sans fil], ainsi que deux ordinateurs portables [également sans fil], et à un moment donné peut-être un serveur domestique pour stocker des images, des films, ou des données volumineuses [en Ethernet si possible] qui sont analysées.

Ce que j'aimerais faire, c'est mettre les ordinateurs portables sur leur propre VLAN séparé, les appareils IoT sur un autre, le serveur sur un autre encore, et probablement le Raspberry Pi sur un quatrième - il sera utilisé pour router le trafic. Je veux le faire, surtout pour les appareils IoT, par souci de sécurité. Par conséquent, je devrai configurer correctement mon pare-feu - toute ressource à ce sujet est grandement appréciée.

Ce que je recherche avec cette question

Je recherche deux choses :
- J'aimerais avoir un routeur, un commutateur et un modem (ainsi qu'un point d'accès sans fil) dans un seul appareil - le routeur que j'utiliserai. Existe-t-il un appareil (à un prix raisonnable) capable de configurer des VLAN, également de manière sans fil ? La plupart des routeurs modernes supportent-ils cela de manière générale ?
- Comment puis-je savoir, à partir des spécifications du produit, si un appareil est capable de le faire ou non ? Quels standards doivent être supportés ? 802.1Q ?

Question(s) Additionnelle(s)

  • Autant que je sache, la plupart des appareils IoT communiquent localement - est-ce vrai ? En d'autres termes, si je veux éteindre une prise intelligente, dois-je être sur le même réseau (j'essaierai moi-même, mais je n'ai pas encore ces appareils...)
  • Le pare-feu aura des règles simples : par exemple, le VLAN IotDevice n'est pas autorisé à initier des connexions sortantes. Cependant, ce serait parfait si certains VLAN pouvaient le faire. Par exemple, le VLAN privateLaptop devrait pouvoir se connecter au VLAN storageServer et au VLAN raspberryPi. Dans ce contexte, est-il conseillé de simplement abandonner l'idée des VLAN et de réfléchir à des règles de pare-feu à implémenter ? Ou les VLAN, associés à des règles de pare-feu, sont-ils une meilleure idée ?

Je suis prêt à installer un micrologiciel personnalisé sur le routeur, si cela m'aide à atteindre ces objectifs. Toute autre ressource que je peux utiliser pour me renseigner davantage sur ce sujet est également grandement appréciée.

Merci !

P.S.: Voici à quoi je pense que le réseau ressemblera : J'ai ajouté une image de comment j'imagine ma configuration, pour une meilleure compréhension au cas où quelque chose serait flou

Demandé el 9 de Août, 2018 par fußballball

Réponse

Trop de publicités?

5voto

Bob avatar
Bob Points 58080

Je vais décrire vos options de matériel général pour une telle configuration à domicile. Entrer dans la configuration détaillée est mieux laissé pour des questions plus spécifiques ou même pour une discussion, surtout que cela variera en fonction du matériel que vous choisissez.

Quelques notes sur la vitesse

Je passe aussi un peu outre le débit global du réseau. Vous devriez généralement atteindre la vitesse totale du commutateur dans un VLAN. Entre les VLAN, vous serez limité par votre routeur (en fonction du processeur du routeur et de la décharge matérielle). Vers internet, vous serez à nouveau limité par votre routeur (processeur et décharge, y compris le NAT cette fois-ci). Avec des routeurs de moins de 100 $, il n'est pas rare de voir une limite d'environ 100 à 300 Mbps à travers le NAT vers internet. Vous aurez besoin d'un matériel plus puissant si vous avez une connexion internet plus rapide.

Types de produits

  • Les VLAN sont assez courants parmi le matériel de réseau d'entreprise. Bien qu'ils viennent généralement sous forme d'appareils séparés, pas tout en un seul boîtier, ils feront généralement ce que vous voulez. Votre meilleur pari n'est pas seulement de regarder les tableaux de spécifications, mais aussi de jeter un œil au manuel pour les options de configuration disponibles.
  • Les micrologiciels personnalisés pour le matériel grand public prennent également souvent en charge les VLAN, mais peuvent manquer, généralement en fonction du matériel que vous réécrit. Il y a bien sûr l'avertissement habituel de pas de support et de potentiel d'instabilité avec les micrologiciels personnalisés. Vous devrez faire pas mal de recherche, de lecture des notes de dev et des sujets sur les forums, pour trouver le matériel approprié à réécrire.
    • Le routage purement logiciel fonctionne habituellement, bien que la configuration puisse être difficile, en fonction du micrologiciel que vous réécrivez.
    • Le commutateur peut fonctionner ou non, en fonction du matériel. Certains routeurs grand public exposent chaque port individuellement au logiciel (vous voyez donc eth0 à eth4 dans le logiciel), vous permettant d'appliquer des étiquettes VLAN basées sur les ports. D'autres utiliseront un commutateur matériel (vous pourriez donc voir eth0 pour le port WAN et un eth1 agrégé pour tous les ports LAN), ce qui signifie que vous ne pouvez pas distinguer entre les ports dans le micrologiciel personnalisé, et vous aurez besoin d'un commutateur (géré) séparé pour appliquer les étiquettes avant qu'il n'atteigne le routeur.
    • La fonctionnalité sans fil varie également en fonction du matériel, et va de instable à stable mais sans support d'AP virtuelle à stable avec support d'AP virtuelle (et de balises VLAN).
    • Toute fonctionnalité de modem intégrée peut ne pas fonctionner. Ceci est en supposant que vous n'avez pas de modem séparé.
  • Vous pouvez pratiquement oublier que les routeurs grand public prennent en charge les VLAN dans le micrologiciel d'origine. Ceux qui le font rendront votre vie difficile et ne supporteront probablement pas la configuration avancée que vous envisagez (le meilleur que j'aie vu est sur les dispositifs Billion qui vous permettent parfois de "grouper" les ports en VLAN).
  • Une option (beaucoup plus impliquée) est de construire votre propre boîtier. Il est possible d'acheter un mini-serveur x86 ou ARM (similaire à un NUC) avec plusieurs NIC que vous pouvez ensuite charger avec un OS de routeur (par exemple, pfSense; vous pourriez même le faire avec un simple Linux) et configurer. Vous pourriez également installer plusieurs NIC dans un PC ATX standard, ajouter des cartes WLAN, etc. C'est l'option la plus flexible, mais cela nécessite beaucoup de travail et de recherche - et ne sera pas bon marché non plus. Ce billet de blog Coding Horror est un bon point de départ.

Je vais passer en revue quelques cas par ordre de complexité croissante.

Réseau câblé avec des appareils réseau séparés

C'est assez simple, en ce qui concerne le réseau VLAN.

Vous avez besoin de :

  • Un routeur. Un vrai routeur, pas juste une passerelle grand public. Vous devez vous tourner vers du matériel d'entreprise ou personnalisé. Il doit prendre en charge les VLAN, le routage entre les VLAN et une passerelle NAT vers l'internet ouvert.
  • Un commutateur géré, qui vous permettra d'attribuer un VLAN (etiquette) aux ports. Bien que vous ayez besoin de la prise en charge de 802.1Q, vous devez également avoir une interface de gestion! Soyez prudent avec les "commutateurs intelligents" - la plupart fonctionneront, mais par exemple, la gamme de commutateurs Easy Smart de TP-Link n'a pas d'interface web et nécessite un programme Windows pour les contrôler.

C'est assez simple. Vous étiquetez les trames lorsqu'elles entrent dans le commutateur, ce qui empêche les VLAN de communiquer directement entre eux. Vous pouvez ensuite router entre les VLAN (comme s'ils étaient des réseaux entièrement séparés - votre routeur les montrera probablement comme des interfaces (virtuelles) séparées). Vous pouvez, en fonction de votre routeur, configurer des règles de pare-feu pour autoriser uniquement certains VLAN à accéder à internet et permettre à un seul VLAN d'initier des connexions à un autre (c'est-à-dire dans un sens).

En passant, n'oubliez pas d'empêcher les VLAN d'accéder à l'interface de gestion de votre équipement réseau!

Réseau sans fil avec des appareils réseau séparés

Que faut-il ajouter à un réseau câblé pour le rendre sans fil? Des points d'accès sans fil! Malheureusement, ceci est un peu une exigence obscure pour une utilisation domestique, vous devrez donc vous en tenir à du matériel d'entreprise - ou parcourir les manuels et les posts de forums. Un micrologiciel personnalisé pourrait également fonctionner ici.

Il y a aussi la solution du pauvre consistant à avoir des AP physiquement séparés qui se connectent simplement à différents ports sur le commutateur, et laissent le commutateur gérer l'étiquetage.

Avec un AP qui prend en charge l'étiquetage VLAN, la méthode la plus simple est d'étiqueter par réseau (SSID). La possibilité d'avoir plusieurs réseaux sans fil sur un seul AP est parfois appelée points d'accès virtuels.

Réseau câblé dans un seul appareil réseau

Il existe des routeurs d'entreprise avec plusieurs ports qui peuvent agir comme un pseudo-commutateur (via le pontage). Un micrologiciel personnalisé peut également fonctionner, avec l'avertissement mentionné ci-dessus (votre matériel doit exposer les ports comme des NIC indépendants à le logiciel). Si vous avez de nombreux appareils câblés, vous devrez peut-être également ajouter un commutateur géré supplémentaire.

Réseau sans fil dans un seul appareil

Je ne connais aucun routeur d'entreprise qui intègre également un point d'accès, vous êtes donc coincé avec du matériel grand public. Une telle configuration pourrait être possible avec un micrologiciel personnalisé. Trouver du matériel qui fonctionne avec un micrologiciel personnalisé pour chaque fonction en même temps peut être difficile.

Une recommandation rapide

Je vous suggère de regarder la gamme Unifi Ubiquiti multi-appareils pour quelque chose de relativement simple à configurer et fiable. Ce n'est évidemment pas l'option la moins chère. Cependant, cela vous permet de gérer les multiples appareils depuis un seul endroit central.

En cas d'échec, vous pouvez envisager une configuration manuelle multi-appareils. Par exemple, j'utilise (comme un compromis fiable/économique) un routeur Ubiquiti ER-X (non-Unifi), un commutateur géré TP-Link ("Smart Switch", pas "Easy Smart Switch") et des AP Unifi, tous gérés indépendamment. Moins cher, mais un peu plus complexe.

La solution la moins chère est de prendre du matériel grand public et de le réécrire avec un micrologiciel personnalisé. dd-wrt et OpenWrt sont toutes deux des options, et cela vous permet de réaliser votre objectif en un seul appareil, mais c'est aussi la méthode la plus compliquée et probablement la plus sujette aux échecs. Encore une fois, gardez à l'esprit l'exigence de NIC indépendants et la possibilité d'un commutateur supplémentaire si vous manquez de ports.

Répondu el 9 de Août, 2018 par Bob (58080 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X