En kunne trolig bruk hva som helst av ruter som første ruter. Eneste forutsetning er at den klarer trafikken. Oppdeling i to LAN øker sikkerheten marginalt når portene går inn på to etterfølgende rutere.
Jeg tror jeg er uenig:S uenig siden skiller lan1 og lan2 (via vlan). Samtidig som den deler på wan.
Lan1 går da til router1 og lan2 til router2.
Hvis det har en hensikt å gi de bakre routerne hvert sitt vlan på fremre router, er de bakre routerne så usikre at de ikke bør brukes i det hele tatt. Greit nok at det i teorien, hvis man holder seg strikt til begrepene, er nødvendig - hvis man tenker at en router er kun en router. Men jeg kjenner ikke til en eneste routermodell som ikke også er brannmur. Det er brannmuren som gir den sikkerheten man ønsker (selv om denne sikkerheten også kan gis på routingnivå ved at utleierouter OG fremre router mangler route til husets subnet)
Man setter vel opp i fremre router at Lan1 (router/AP1) ikke skal ha tilgang til lan2 (router2/AP2) og vica versa. Kun ha tilgang til internett i felles wan port. Brannveggprotokoller i edgerouteren.
Selve angrepene utenfra må da stoppes i fremre router WAN. Også må jeg vel konfigurere litt for «interne angrep fra lan2. I og med at jeg har kontroll over fremre router så må lan2 egentlig bare finne seg i at jeg nok kan snoke hos dem om jeg vil. Er vel bakdelen med å leie. (Kan få eget bredbånd om de vil bare ikke fiber)
@Børhaug: har tittet på de unify AP. Frister veldig men ser litt negativ omtale av lite dersom høy belastning og pro koster litt mye men er jo snart jul:D
@zyp: da skal ikke denne ha noe problem hos meg mtp hastighet:)
Merker at begrepene og slikt går litt over hodet på meg men lærer ihvertfall ikke noe om keg ikke prøver
Edgerouter fungere veldig rett frem. Ingen behov for ytterligere regler i brannmuren i edrouteren.
Kjøper du en Unifi AP (sjekk Finn) så kan du sende ut ulike nett fra samme sak med ulikt passord. De vil da kunne ha ulikt VLAN og routingen som hindrer trafikk å hoppe over håndteres av edgerouter. Holder ikke en AP, setter du bare opp to. Forskjellen mellom slike AP og Google mesh etc er at AP må ha kabel/signal fra router direkte. Men du slipper at Google ser alt du gjør;).
Liten oppdatering: har fått edgerouteren i his og etter litt plunder og heft for å komme meg inn på den (krevde statisk ip på pc) så har jeg fått kjørt wizard til å sette opp 2 seperate LAN med felles WAN. Edgerouteren Lite har kun tre porter så er jo som den er tiltenkt dette:)
De gamle asus routerene er satt opp som AP også en wizard på asus så regner vel med at all firewall og routing er disabled. Har ikke sjekket.
Cmd tracert 8.8.8.8 og fikk kun opp en privat ip så da har jeg vel ikke double nat lenger.
Kan fortsatt pinge LAN2 fra LAN1 så nå er det vel tid for å sette opp litt brannmurregler på edgerouteren.
Er på tynn is så innspill på det jeg har gjort foreløpig mottas med takk.
da har jeg prøvd og jeg klarer ikke lenger å pinge fra eth2 (LAN2 192.168.2.1/24) til eth0 (LAN1 192.168.1.1/24). Ei heller klarer jeg å se noen enheter via nettberk og delingssenteret. Da er vel nettet mitt tålig sikret fra angrep fra router2 (LAN2)? superhackere klarer vel alt men er primært menigmann jeg sikrer meg mot.
skrev show firewall i CLI og det ga meg dette: IPv4 Firewall "GUEST_IN":
Active on (eth2,IN)
rule action proto packets bytes ---- ------ ----- ------- ----- 1 drop all 0 0 condition - match-set LAN_NETWORKS dst LOG enabled
i Den guiden Borhaug linker til stusser jeg dog litt på punkt 3 der man skal legge inn ip range. Hvorfor går denne bare til 192.168.1.1/16 når man har 24?
Fordi punkt to lager en gruppe som skal inneholde alle de private IP-områdene, altså henholdsvis 192.168.0.0/16, 172.16.0.0/12 og 10.0.0.0/8.
Denne gruppen brukes så i en drop-regel på punkt fem. Den sier at all trafikk fra gjestenettet til private IP-områder skal forkastes. Med andre ord får gjestenettet kun lov til å kontakte offentlige IP-adresser, og blir derfor blokkert fra å kontakte samtlige andre interne nettverk uten at du trenger å nevne hvert enkelt spesifikt.
Fordi punkt to lager en gruppe som skal inneholde alle de private IP-områdene, altså henholdsvis 192.168.0.0/16, 172.16.0.0/12 og 10.0.0.0/8.
Denne gruppen brukes så i en drop-regel på punkt fem. Den sier at all trafikk fra gjestenettet til private IP-områder skal forkastes. Med andre ord får gjestenettet kun lov til å kontakte offentlige IP-adresser, og blir derfor blokkert fra å kontakte samtlige andre interne nettverk uten at du trenger å nevne hvert enkelt spesifikt.
Det var hvorfor mitt nettverk ender på /24 mens hruppen man legger til kun ender på /16 jeg lurte på. Men du har helt rett og det som forvirret meg er det med binære tall. Er litt annen logikk/matematikk enn jeg er vant til. Tok meg tiden til å lese https://whatis.techtarget.com/definition/RFC-1918 Og det ser ut som at gruppene jeg har lagt til dekker alle adresser på de 3subnettene som er definert.
Brannmurreglene var forståelige. Det jeg lurte på er om adressene havnet inn under disse. Noe de gjør.
Så da er alt løst for min del. Jeg kan varmt anbefale edgerouterene som løsning på problemet med to seperate lan. Krever dog at man er villig til å sette seg inn litt i nettverk og sånt. Er ikke noe plug n play løsning men overkommelig.
Hvis det har en hensikt å gi de bakre routerne hvert sitt vlan på fremre router, er de bakre routerne så usikre at de ikke bør brukes i det hele tatt. Greit nok at det i teorien, hvis man holder seg strikt til begrepene, er nødvendig - hvis man tenker at en router er kun en router. Men jeg kjenner ikke til en eneste routermodell som ikke også er brannmur. Det er brannmuren som gir den sikkerheten man ønsker (selv om denne sikkerheten også kan gis på routingnivå ved at utleierouter OG fremre router mangler route til husets subnet)
Selve angrepene utenfra må da stoppes i fremre router WAN. Også må jeg vel konfigurere litt for «interne angrep fra lan2. I og med at jeg har kontroll over fremre router så må lan2 egentlig bare finne seg i at jeg nok kan snoke hos dem om jeg vil. Er vel bakdelen med å leie. (Kan få eget bredbånd om de vil bare ikke fiber)
@Børhaug: har tittet på de unify AP. Frister veldig men ser litt negativ omtale av lite dersom høy belastning og pro koster litt mye men er jo snart jul:D
@zyp: da skal ikke denne ha noe problem hos meg mtp hastighet:)
Merker at begrepene og slikt går litt over hodet på meg men lærer ihvertfall ikke noe om keg ikke prøver
Kjøper du en Unifi AP (sjekk Finn) så kan du sende ut ulike nett fra samme sak med ulikt passord. De vil da kunne ha ulikt VLAN og routingen som hindrer trafikk å hoppe over håndteres av edgerouter. Holder ikke en AP, setter du bare opp to. Forskjellen mellom slike AP og Google mesh etc er at AP må ha kabel/signal fra router direkte. Men du slipper at Google ser alt du gjør;).
De gamle asus routerene er satt opp som AP også en wizard på asus så regner vel med at all firewall og routing er disabled. Har ikke sjekket.
Cmd tracert 8.8.8.8 og fikk kun opp en privat ip så da har jeg vel ikke double nat lenger.
Kan fortsatt pinge LAN2 fra LAN1 så nå er det vel tid for å sette opp litt brannmurregler på edgerouteren.
Er på tynn is så innspill på det jeg har gjort foreløpig mottas med takk.
(Sugler på unibiquti sine APer nå...)
https://help.ubnt.com/hc/en-us/articles/218889067-EdgeRouter-How-to-Create-a-Guest-LAN-Firewall-Rule
Merk at Ubiquiti Unifi serien er litt mer brukervennlig når det kommer til dette.
da har jeg prøvd og jeg klarer ikke lenger å pinge fra eth2 (LAN2 192.168.2.1/24) til eth0 (LAN1 192.168.1.1/24). Ei heller klarer jeg å se noen enheter via nettberk og delingssenteret. Da er vel nettet mitt tålig sikret fra angrep fra router2 (LAN2)? superhackere klarer vel alt men er primært menigmann jeg sikrer meg mot.
skrev show firewall i CLI og det ga meg dette:
IPv4 Firewall "GUEST_IN":
Active on (eth2,IN)
rule action proto packets bytes
---- ------ ----- ------- -----
1 drop all 0 0
condition - match-set LAN_NETWORKS dst LOG enabled
10000 accept all 0 0
--------------------------------------------------------------------------------
IPv4 Firewall "GUEST_LOCAL":
Active on (eth2,LOCAL)
rule action proto packets bytes
---- ------ ----- ------- -----
1 accept tcp_udp 0 0
condition - tcp dpt:domain
2 accept udp 0 0
:
________________________________________________________
Gir det noe mening?
i Den guiden Borhaug linker til stusser jeg dog litt på punkt 3 der man skal legge inn ip range. Hvorfor går denne bare til 192.168.1.1/16 når man har 24?
Denne gruppen brukes så i en drop-regel på punkt fem. Den sier at all trafikk fra gjestenettet til private IP-områder skal forkastes. Med andre ord får gjestenettet kun lov til å kontakte offentlige IP-adresser, og blir derfor blokkert fra å kontakte samtlige andre interne nettverk uten at du trenger å nevne hvert enkelt spesifikt.
Det var hvorfor mitt nettverk ender på /24 mens hruppen man legger til kun ender på /16 jeg lurte på. Men du har helt rett og det som forvirret meg er det med binære tall. Er litt annen logikk/matematikk enn jeg er vant til. Tok meg tiden til å lese https://whatis.techtarget.com/definition/RFC-1918
Og det ser ut som at gruppene jeg har lagt til dekker alle adresser på de 3subnettene som er definert.
Brannmurreglene var forståelige. Det jeg lurte på er om adressene havnet inn under disse. Noe de gjør.
Så da er alt løst for min del. Jeg kan varmt anbefale edgerouterene som løsning på problemet med to seperate lan. Krever dog at man er villig til å sette seg inn litt i nettverk og sånt. Er ikke noe plug n play løsning men overkommelig.
Takker for hjelpen til alle!