Unifi + ToughSwitch e VLAN

[retiedintorni]

Ciao a tutti,
mi trovo davanti a questa situazione.
2 AP-LR con ssd=staff su vlan 10 e ssd=guest su vlan 20. Sono collegati ad un toughswitch da 5 porte.
Firewall che gestisce la rete interna. Router HotSpot ddwrt con la porta wan collegata alla subnet locale.
Il mio dubbio è come collegare il tutto; ho due subnet, quella principale e quella del router hotspot. L'ssd staff deve ricevere l'ip dal dhcp sulla subnet principale mentre l'ssd guest deve vedere solo la subnet del router hotspot.
Faccio gestire il tutto dal toughswitch collegandolo sia alla lan del router hotspot sia alla lan principale o è meglio far fare tutto al firewall creando una doppia lan con la vlan 20?
Grazie

[redfive]

Ci sarà da 'qualche parte' anche una vlan untagged (almeno tra lo switch e gli APs), che è quella di cui fanno parte gli APs , il modo piu' semplice, senza vlan di gestione...
porta 5 del TS, collegata all'AP, vlan 1 U, vlan vlan 20 T.
porta 4, collegata alla lan dell'hotspot, vlan 20 U, vlan1 E.
Porta3, colegata al firewall principale, vlan 1 U, vlan 20 E.
Nel controller, SSID staff unatgged, SSID Guest tagged 20.
Ma si potrebbe fare anche in altri modi, dipende da quanto hai voglia di giocare...
ciao

[retiedintorni]

Grazie mille Redfive, giustissimo. Ero arrivato ad una soluzione simile però con l'aggiunta della vlan 10, che si sarebbe comportata allo stesso modo dell'untagged. E in effetti ha poco senso.
Quali altri modi ci sarebbero? Sbaglio o senza il toughswitch o altro switch che supporti le vlan non vi è soluzione?
Grazie ancora dei consigli

[thema3x]

Red.

Ciao

TheMa3x

[redfive]

Per un installazione 'pulita', sono necessari almeno degli smart switches, managed sarebbe anche meglio, ma basta che supportino le vlans .... (a dire la verità, buttando nel c.... tutte le norme sul network security, funziona anche uno switch da 5€, comincia a forwardare il frame non appena ha ricevuto il dest.mac, e del vlan tag non gliene può fregare di meno....ma facciamo che non ne abbiamo mai parlato.. ).
Per la unatgged, puoi anche usare la 10 al posto della 1, basta che poi crei una/piu' porta/e untagged vlan 10 dove collegare i pc (o uno switch unmanaged) ed il router della rete staff.
Se la wan dell'hotspot è la rete staff, assicurati che non ci sia possibilità, dalla rete guest, di accedere alla rete staff (un tracert/traceroute verso es. 8.8.8.8, o un ping sul router 'staff', dalla rete guest dovrebbero già dirti qualcosa).
Per maggiore sicurezza, puoi abilitare, sul SSID guest, le guest policy (negano l'accesso tutto lo spazio di indirizzamento privato), aggiungendo nelle allowed subnets, l'ip dell'hotspot, con sm /32, tipo 10.1.1.1/32.
ciao

[thema3x]

[ma facciamo che non ne abbiamo mai parlato.. ]

TheMa3x