Kaksi VLANia modeemista (Mikrotik ATL toimimaan yhteen Unifin kanssa)

  • Keskustelun aloittaja Keskustelun aloittaja JKAVS
  • Aloitettu Aloitettu
JKAVS

JKAVS

Liittynyt
22.10.2016
Viestejä
1 240
Aion asentaa Mikrotik ATL -5G-modeemin, Unifi Cloud Gateway Ultran ja Unifi Switch 8 Lite Poen. ATL:ssä on vain yksi ethernet-portti, joten siihen täytyy asettaa kaksi VLANia, joista toinen on hallintaa varten ja toisessa kulkee netti (kuvassa VLAN B). Mikrotikillä on siitä ohje videolla:
Tämän sisällön näkemiseksi tarvitsemme suostumuksesi kolmannen osapuolen evästeiden hyväksymiseen.
Lisätietoja löydät evästesivultamme.

Linkki: https://youtu.be/IZFAeLbujso?si=8DlcDjHjJKhEmGSA


Modeemi kytkettäisiin kytkimeen, josta liitettäisiin kaksi kaapelia reitittimeen. Toista pitkin kulkisi netti-VLAN reitittimen WAN-porttiin, ja toista pitkin kulkisi LAN-liikenne. Siis kuvan mukaisesti.

Googlauksen perusteella tämä olisi oikea tapa toimia, mutta onko tässä jotain erityistä huomioon otettavaa? Tietoturva vähän huolettaa, kun kytketään siltaavassa tilassa oleva modeemi suoraan sisäverkossa olevaan kytkimeen. Kytkimen väärillä asetuksilla saisi varmaan aikaan melkoisen tietoturva-aukon.

Mikrotik-suunnitelma.png
 
Tuo kyseinen malli sisältää RouterOS v7 joka sisältää myös reittimen ominaisuudet joten riippuen tarpeistasi tarvitset perään kytkimen ja/tai wlan tukiaseman. Vlan sit jos tarvit IoT laitteille oman verkon.
 
Mustis1 sanoi:
Tuo kyseinen malli sisältää RouterOS v7 joka sisältää myös reittimen ominaisuudet joten riippuen tarpeistasi tarvitset perään kytkimen ja/tai wlan tukiaseman. Vlan sit jos tarvit IoT laitteille oman verkon.
Napsauta laajentaaksesi...
Verkko on jo rakennettu Unifin laitteilla, niin en ala kaikkea rakentamaan uudestaan Mikrotikillä. Nykysysteemissä on Mikrotik SXT, Unifi Security Gateway ja lukuisia kytkimiä ja tukiasemia kahdessa eri rakennuksessa. Nyt on tarkoitus vain vaihtaa SXT ja Security Gateway uudempiin laitteisiin, mutta säilyttää loput samana.

SXT:llä toteutus olikin helpompi, kun siinä on kaksi ethernet-porttia.
 
Mustis1 sanoi:
kytketään siltaavassa tilassa oleva modeemi suoraan sisäverkossa olevaan kytkimeen
Napsauta laajentaaksesi...
Itselle tuli mieleeni kytkeä siltaavassa tilassa oleva modeemi suoraan reitittimen WAN-porttiin ja kytkin sitten kytkin reitittimen LAN-porttiin.

Edit: Vai menetäänkö tällä tavoin modeemin hallittavuus sisäverkosta?
 
BennyH sanoi:
Itselle tuli mieleeni kytkeä siltaavassa tilassa oleva modeemi suoraan reitittimen WAN-porttiin ja kytkin sitten kytkin reitittimen LAN-porttiin.

Edit: Vai menetäänkö tällä tavoin modeemin hallittavuus sisäverkosta?
Napsauta laajentaaksesi...
Käsittääksen silloin ei modeemin hallinta enää onnistu.
 
JKAVS sanoi:
Aion asentaa Mikrotik ATL -5G-modeemin, Unifi Cloud Gateway Ultran ja Unifi Switch 8 Lite Poen. ATL:ssä on vain yksi ethernet-portti, joten siihen täytyy asettaa kaksi VLANia, joista toinen on hallintaa varten ja toisessa kulkee netti (kuvassa VLAN B). Mikrotikillä on siitä ohje videolla:
Tämän sisällön näkemiseksi tarvitsemme suostumuksesi kolmannen osapuolen evästeiden hyväksymiseen.
Lisätietoja löydät evästesivultamme.

Linkki: https://youtu.be/IZFAeLbujso?si=8DlcDjHjJKhEmGSA


Modeemi kytkettäisiin kytkimeen, josta liitettäisiin kaksi kaapelia reitittimeen. Toista pitkin kulkisi netti-VLAN reitittimen WAN-porttiin, ja toista pitkin kulkisi LAN-liikenne. Siis kuvan mukaisesti.

Googlauksen perusteella tämä olisi oikea tapa toimia, mutta onko tässä jotain erityistä huomioon otettavaa? Tietoturva vähän huolettaa, kun kytketään siltaavassa tilassa oleva modeemi suoraan sisäverkossa olevaan kytkimeen. Kytkimen väärillä asetuksilla saisi varmaan aikaan melkoisen tietoturva-aukon.

Mikrotik-suunnitelma.png
Napsauta laajentaaksesi...


Kyllähän tuo noin toimii.

Itse kylläkin pyhittäisin tuon kytkimen pelkästään tuohon käyttöön enkä kytkisi siihen mitään muuta. Tietoturvamielessä näin ei ainakaan käy mitään, jos vaikka tulee "vahingossa" joku softamuutos jne.

Flex Mini 2.5G kytkimessä on täysi VLAN tuki ja maksaa vain hieman yli 50€ - jos siis tarvitset nykyisen kytkimen muita portteja ja tarvitset toisen kytkimen. Switch Flex Mini 2.5G - Ubiquiti Store

Sisäverkosta pääset hallintaan sopivalla "policy-based route" säännöllä.
 
Itse pitäisin 5G-modeemin reitittävänä ja laittaisin vaan DMZ:lla liikenteen palomuurille, koska mobiiliverkossa ei ole DHCP:tä niin oikeaa siltatilaa ei käytännössä ole olemassa. Sikäli on outoa, että hallintaan pääsy estyy siltatilassa, koska sen modeemin kautta liikenne joka tapauksessa kiertää, mutta voi toki olla mikrotikin ominaisuus.
 
Ehdin vasta nyt kokeilla tuota käytännössä, ja eihän se toiminut.

ATL:n asetukset tein kuten videossa tehdään LHG:lle.
Unifiin tein vastaavat VLANit, ja valitsin "isolate network" internet-vlanin asetuksissa.
Kytkin ATL:n kytkimeen, ja kyseisen portin asetuksista native vlan none ja tagged vlaniin valitsin internet-vlanin ja hallinta-vlanin.
Toiseen kytkimen porttiin laitoin native vlaniksi internet-vlanin ja tagged vlaniin block all. Tästä portista vedin kaapelin Cloud Gatewayn WAN-porttiin.

Lopputulos on se, että netti toimii, mutta Mikrotikin hallintaan ei pääse käsiksi.

Aiemmassa viestissä sanottiin näin:
JzC sanoi:
Sisäverkosta pääset hallintaan sopivalla "policy-based route" säännöllä.
Napsauta laajentaaksesi...
Luin Unifin ohjeita aiheesta, mutten keksinyt miten sitä sovellettaisiin tähän.
 
JKAVS sanoi:
Aiemmassa viestissä sanottiin näin:

Luin Unifin ohjeita aiheesta, mutten keksinyt miten sitä sovellettaisiin tähän.
Napsauta laajentaaksesi...

Tuolla voit reitittää vaikka natiivi VLAN:sta liikenteen sinne Internet-VLAN:n tiettyyn IP-osoitteseen.

Oma esimerkki. WAN2 on ZTE MC7010 ulkoantenni. WAN2 portti ei ole aktiivinen koska WAN1 on käytössä eli ZTE:n halllintaan ei pääse. Tuolla policy-based reitillä hallintaan pääseen käsiksi aina.

IMG_0064.png
 
JzC sanoi:
Tuolla voit reitittää vaikka natiivi VLAN:sta liikenteen sinne Internet-VLAN:n tiettyyn IP-osoitteseen.

Oma esimerkki. WAN2 on ZTE MC7010 ulkoantenni. WAN2 portti ei ole aktiivinen koska WAN1 on käytössä eli ZTE:n halllintaan ei pääse. Tuolla policy-based reitillä hallintaan pääseen käsiksi aina.
Napsauta laajentaaksesi...
Tein vastaavan säännön niin että interface on WAN1, ja koska en tiedä mikä Mikrotikin IP on, laitoin destinationiin "any". Sitten Mikrotikin Winbox-hallintaohjelma löysi ATL:n ja siihen sai yhdistettyä. IP-osoitteena näkyi osoite alueella, jolta DHCP:n pitäisikin jakaa osoitteita hallinta-vlaniin.
Mietin että any ei varmaan ole paras asetus, joten muutin destinationiin sen osoitealueen, jolta DHCP jakaa osoitteita.

Sitten kokeilin laittaa säännön paussille kun Winbox on yhteydessä ATL:lään. Ei tapahtunut mitään. Lopulta poistin koko säännön ja edelleen yhteys toimii. Jotenkin kun yhteyden sai ensimmäisen kerran tehtyä alkoi se toimia muutenkin?

Toinen outous on se, ettei Unifi näytä Mikrotikin hallintaa lainkaan. DHCP:n Mikrotikille antamaa IP:tä ei näy missään.
 
Kirjaudu tai rekisteröidy kirjoittaaksesi tänne.

Uutiset

Uutisia lyhyesti

Uusimmat viestit

Statistiikka

Viestiketjuista
295 017
Viestejä
5 042 351
Jäsenet
80 803
Uusin jäsen
Juko

Hinta.fi

Back
Ylös Bottom