Problema con i bridge,vlan e firewall

A tutto Wireless!

Problema con i bridge,vlan e firewall

Messaggiodi hkniko2015 » 24 settembre 2015, 17:05

Buonasera a tutti,

mi servirebbe un vostro consiglio esperto in merito alla configurazione della rete tra 3 siti.
Questi 3 siti (A,B,C) sono collegati ad una settoriale da 60 e tutti gli apparati sono in AC, nello specifico:
- A e B powerbeam AC da 500, in Station e network in bridge, collegati alla rete dov'è presente il gateway sia per il punto A che per il punto B.
- Punto C sempre una PB da 500 in station ma con network in Router, questo per permettere il forward delle porte per la videosorveglianza del mio garage.

Come dicevo inizialmente questi 3 siti puntano alla settoriale AC da 60° (spettacolare).
Il link funzionano alla grande, ma insorge un piccolo grande problema, ovvero che sia nel punto A che ne punto B ci sono varie classi di rete identiche (192.168.1.x) e molti ip vanno in conflitto e vorrei far sì che le reti sia di A che di B siano completamente separate ma mi diano la possibilità di raggiungere l'IP e la porta forwardata dal punto C. :S :S :S

Ho provato a mettere in router sia A che B, ma ovviamente non raggiungo l'IP del punto C.
ho provato anche ad impostare il Firewall sia su A che su B, impostando il drop di ogni ip ed ogni pacchetto icmp, su ogni interfaccia (wlan0, lan0), ma niente da fare, mi rileva conflitti di indirizzi IP :hurted: :hurted:

Cosa mi consigliate di fare? :o

PS: ho anche inscatolato 2 switch poe ts-8-pro, potrebbero servire a qualcosa? :timido:

Grazie in anticipo! :eheh:
hkniko2015
User
 
Messaggi: 13
Iscritto il: 24 settembre 2015, 16:32

Re: Problema con i bridge,vlan e firewall

Messaggiodi redfive » 24 settembre 2015, 18:03

Ciao e benvenuto !! Purtroppo, lasciare gli indirizzi di rete 'di default' (192.168.0.0 o 192.168.1.0) è un errore da non fare mai, ma che si ripresenta sempre :)
Comunque, se A e B sono in bridge, la rete è la stessa, e se inoltre condividono anche il default-gateway... basta cambiare gli ip agli hosts in B.
In C, se serve in router mode, 'lan side', usa un indirizzo diverso, tipo 192.168.10.0, mentre per la wan 'puoi' usare sempre 192.168.1.x .
ciao
redfive
NetworkSpecialist
 
Messaggi: 817
Iscritto il: 6 agosto 2011, 23:55
Località: italy

Re: Problema con i bridge,vlan e firewall

Messaggiodi hkniko2015 » 24 settembre 2015, 18:11

Ciao Red!

grazie per la risposta! Ora è già cosi, infatti tutte le antenne hanno i loro IP su classi diverse e sono raggiungibili. Il mio problema è che A e B devono essere completamente separati ma devono poter raggiungere l'ip di C. E' fattibile come cosa?
Anche per cambiare tutti gli IP interni (ci sono tantissime sottoreti) è impossibile :nonono:

grazie ancora e buona serata! :wink:
hkniko2015
User
 
Messaggi: 13
Iscritto il: 24 settembre 2015, 16:32

Re: Problema con i bridge,vlan e firewall

Messaggiodi redfive » 24 settembre 2015, 18:21

Ci sono quindi dei routers a valle delle PB ? Hai inoltre dei firewalls ? Le varie sottoreti sono contigue ? Se spieghi un pò piu' dettagliatamente come è sviluppata la topologia, qualcosa 'credo' si possa fare .... (in realtà si può fare di tutto, tenendo a mente ... business needs/budget :eheh: )
ciao
redfive
NetworkSpecialist
 
Messaggi: 817
Iscritto il: 6 agosto 2011, 23:55
Località: italy

Re: Problema con i bridge,vlan e firewall

Messaggiodi hkniko2015 » 24 settembre 2015, 18:43

:eheh: :eheh: :eheh: :eheh:

allora su A e B ci sono dei routers (mikrotik, non miei ma di un wisp), non ho firewall attivi da nessuna parte(ma forse su quelle mikrotik il gestore gestirà dei mangle o cmq regole per proteggersi).

Nel dettaglio:

Rete sito A:
Router Mikrotik (WISP)
192.168.1.254/24
DHCP SERVER ATTIVO
Sottoreti :
-192.168.2.1/24
-192.168.3.1/24
-192.168.27.1/24
-192.168.168.1/24
-172.22.20/24
-172.22.28/24

PowerBeam UBNT 10.0.0.253/24 STA in bridge

e credo altre che ora non ho in mente.

Rete sito B:
la rete è quasi identica!
PowerBeam UBNT 10.0.0.252/24 STA in bridge


Rete sito C:
PowerBeam UBNT 10.0.0.251/24 STA in router mode
LAN: 192.168.2.1/24 - DHCP attivo - e qualche porta aperta per le videocamere.

come ho scritto inizialmente ho degli switch ubnt ts-8-pro che gestiscono le Vlan e mi pare che mio zio abbia anche delle mikrotik in disuso( controllando su internet il modello è RB951 ), quindi potrei utilizzarle se con le ubnt non ce la faccio.

Spero sia abbastanza chiaro :eheh:

grazie ancora :)
hkniko2015
User
 
Messaggi: 13
Iscritto il: 24 settembre 2015, 16:32

Re: Problema con i bridge,vlan e firewall

Messaggiodi redfive » 24 settembre 2015, 21:21

Il sito C sembra non abbia una propria connessione ad internet, (quale delle 3 è settata come AP ?) ma, comunque, avendo la wan con un ip di tipo 10.x.x.x, può comunicare solo con le altre 2 PB, che hanno un ip facente parte della stessa rete, ma oltre non possono andare.
In realtà, quando settati come bridge, i dispositivi sono di livello 2, quindi forwardano frames, ed il layer 3 serve solo per il management (ed altri servizi, tipo NTP), quindi, cosi' come è ora, è un pò ... disordinato.
Comunque, se l'obbiettivo è far vedere ad A e B qualche servizio in C, la soluzione piu' veloce è quella di usare le PB in router, assumendo che quella in A sia l'AP, mentre B e c STA,
A Router AP, wan (lanX) un ip di una sottorete che vuoi, una a caso, tipo 192.168.2.253/24, lan (wlanX) 10.0.0.1/29, defult gateway
B Router STA, wan (wlanX) 10.0.0.2/29), lan un ip di una sottorete che vuoi, una a caso, tipo 192.168.2.253/24, default gateway192.168.2.1
C Router STA, wan (wlanX) 10.0.0.3/29), lan un ip di una sottorete che vuoi, una a casoc he non sia già utilizzato negli altri siti, tipo 192.168.10.1/24.
Sul default gateway di A, una statica, 192.168.10.0/24 via 192.168.2.253
Sul default gateway di B, una statica, 192.168.10.0/24 via 192.168.2.253
Su PB A una statica, 192.168.10.0/24 via 10.0.0.3
Su PB B una statica, 192.168.10.0/24 via 10.0.0.3
Su PB C, default gateway 10.0.0.1.
I pacchetti in 'uscita' dalla PB A e diretti a PB C, non verranno nattati, ma C, avendo come def-gw A, risponderà sempre a lui per le reti sconosciute, mentre i pacchetti in 'uscita' dalla PB B e diretti a PB C, essendo nattati con 10.0.0.2, quando PB C dovrà rispondere, risponderà a tale indirizzo.
Castronerie grosse non dovrebbero essercene, a naso .... ed ipotizzando comunque che tu abbia accessso ai routers di sito A e B, (a proposito, mai lasciare gestire un dispositivo di rete a terzi, piuttosto un router a valle che fà ciò che mi serve e che posso fargli fare... :) ), se invece non hai accesso....... bisogna studiare qualcos'altro....
ciao
redfive
NetworkSpecialist
 
Messaggi: 817
Iscritto il: 6 agosto 2011, 23:55
Località: italy

Re: Problema con i bridge,vlan e firewall

Messaggiodi hkniko2015 » 24 settembre 2015, 23:59

Ciao Red,

ma sei un mostro! complimenti ! :oo:

cmq hai ragione non sono stato abbastanza preciso, infatti non ti ho nominato nessun AP. L'ap esiste ed è un AP sotto il quale non è collegato nulla, fa un semplice bridge tra le STA che si collegano ad essa via Wlan.
Vorrei precisare che a me non interessa avere internet su C, ma solo dividere le reti A e B raggiungere C da entrambe i siti.

Quello che mi hai descritto è tutto molto chiaro e domani proverò un po a giocarci, ma volevo avere una precisazione, tu per "una statica" intendi una rotta statica? Se si, come posso scriverla (è la mia prima volta su ubnt)?

Poi vorrei farti una domanda che vada a semplificare tutto il discorso ( ne approfitto visto che un genio cosi non mi capita tutti i giorni :fifi: ), se io volessi che A e B facessero il loro routing senza sporcare il resto delle reti in bridge(quindi che le sottoclassi di A non si propagassero al di fuori di A) ed allo stesso tempo tramite le loro PB riescano a contattare C (o altri siti messi con network in router) come si potrebbe fare in maniera semplice? (ovviamente la scheda di rete del PC del sito A e quella del sito PC avranno una metrica 10.0.0.x/24 per riuscire ad accederci ).

Grazie mille! :) :) :) :)
hkniko2015
User
 
Messaggi: 13
Iscritto il: 24 settembre 2015, 16:32

Re: Problema con i bridge,vlan e firewall

Messaggiodi hkniko2015 » 26 settembre 2015, 11:27

PROBLEMA RISOLTO! credo e spero! :king: :king:

Premesso che sono con AirOS 7, sull'AP hanno implementato nella sezione wireless la funzionalità avantaza Client Isolation dove appunto permette di isolare tutti i client ad essa connessa per evitare conflitti IP e roba simile... infatti ora stando sul sito B ho provato ad attivare la funzionalità all'AP e non vedo ne la STA del sito A ne tanto meno la sua rete interna!! :okok: :okok: :okok: :ninja: :ninja: :ninja:


ubnt the best! :sig:

Grazie mille ancora :eheh:
hkniko2015
User
 
Messaggi: 13
Iscritto il: 24 settembre 2015, 16:32

Re: Problema con i bridge,vlan e firewall

Messaggiodi hkniko2015 » 28 settembre 2015, 10:19

EDIT:

non ho risolto... purtroppo la funzione client isolation isola anche il sito C in modalità Router... quindi non funziona :nonono: :nonono:

:surprice: :zip:
hkniko2015
User
 
Messaggi: 13
Iscritto il: 24 settembre 2015, 16:32

Re: Problema con i bridge,vlan e firewall

Messaggiodi redfive » 28 settembre 2015, 12:30

Il client isolation c'è sempre stato, ma serve ad isolare il client wifi .... ora, non sò in che modo stavi provando (cambiando l'ip del client ? aggiungendo un secondary ip address alla scheda per raggiungere la rete 10.x.x.x ? ) modi per farlo funzionare alla 'basta che funzioni' (per essere...gentili) c'e ne sono vari, ma non te li consiglio ne suggerisco :) :) ......
Hai accesso ai router mikrotik ? Se si, puoi creare una vlan dedicata, con le statiche che ti servono e regole firewall per gestire il traffico....
ciao
redfive
NetworkSpecialist
 
Messaggi: 817
Iscritto il: 6 agosto 2011, 23:55
Località: italy

Prossimo

Torna a Wireless Network

Chi c’è in linea

Visitano il forum: Nessuno