Vlan

[thunderbug1]

Vlan

שלום,
ברשותי נתב-מודם TP-Link VR200 במצב נתב בלבד המחובר למודם הוט.
יצרתי בנתב Vlan נפרד עבור ה- DVR כמו שאפשר לראות מצילומי המסך, מה שיצר שרת DHCP נוסף.
כרגע אין לי גישה ל-DVR מה-Vlan הראשי. הייתי רוצה לאפשר צפייה במצלמות - כלומר לאפשר גישה מה-Vlan הראשי ל-Vlan של המצלמות אך לא להיפך.
אני מניחה שאפשר ליצור ניתוב דרך אופציית Advanced Routing אבל לא ממש הבנתי מה לעשות.
ממשק הנתב להדגמה: https://www.tp-link.com/resources/simulator/Archer-VR200_V1_Emulator/index.htm

אשמח לעזרה.

 

[rafid1]

דבר והיפוכו

פקודת PING לאחת המצלמות מהרשת השניה - עובדת?
המטרה ביצירת שתי רשתות IP נפרדות ע"י VLAN - היא יצירת הפרדה. כעת את רוצה לעקוף את הפרדה שיצרת. לא נראה לי שיש מצב...

השאלה היא - מה מטרת ההפרדה הזאת מלכתכילה? אולי תוותרי עליה, ואז הבעיה פתורה באופן טבעי...
פתרון אחר/עקום יכול להיות - הקמת גישה למצלמות ע"י/מ שרת מרוחק (באינטרנט) , וגישה את אותו שרת מהרשת השניה.

 

[SysAdmin1]

הסיפור הוא די פשוט, והוא שלצורך התקשורת בין VLANS שונים...

הסיפור הוא די פשוט, והוא שלצורך התקשורת בין VLANS שונים נדרש שיהיה בינהם ניתוב תקין וגם כללים מתאימים ב FIREWALL שמאפשרים את התקשורת זו. במוצר שיש לך, עם התוכנה המקורית שמגיעה מהמפעל לא ניתן לא רק לשלוט כלל על הניתובים אלה, אלה גם לא לקבוע את הכללים הנדרשים ב FIREWALL של המכשיר. הפתרון הפשוט הוא להשתמש בנתב שתומך בתוכנה OPENWRT שבה ניתן בקלות להגדיר את כל הדברים הנדרשים. הנתב כזה, מהזולים הוא C7 של TPLINK למשל. אבל, אם מדובר על זה שיש לך מכשיר NVR ולא DVR, אז גם יש לך מצלמות IP שמתחברות עליו. ואם זה המקרה, אז לצורך זה, צריך גם מתג מנוהל שתומך גם ב POE להספקת מתח למצלמות.

 

[thunderbug1]

-->

תודה על התשובות,
כרגע יש לי DVR עם מצלמות אנלוגיות שבקרוב אחליף ל- NVR עם מצלמות POE. ה- NVR מכיל POE מובנה כך שיספק גם חשמל.
מטרת ההפרדה היא לצורך אבטחה - עם חס וחלילה יפרצו למצלמות/NVR, לא תהיה להם גישה לשאר המכשירים ברשת. ממה שהבנתי יש אפשרות ליצור ניתוב/כללים שיתנו גישה מה-VLAN הראשי ל-VLAN המצלמות אך לא להיפך וקיוויתי שדרך תפריט Advanced Routing יהיה אפשר לעשות זאת אבל ממה שנאמר פה זה אפשרי רק דרך OpenWRT.
כשיצרתי את Vlan המצלמות וסימנתי Enable Group Isolation כמובן לא יכולתי לגשת ל-DVR מהרשת הראשית אבל גם לא מבחוץ דרך האינטרנט הסלולרי ו-NoIp. אולי ה-DVR כלל לא מקבל חיבור לאינטרנט. כשביטלתי את הבידוד אז כמובן יכולתי להתחבר גם ברשת הפנימית וגם חיצונית אבל במצב זה אין בידוד אז פורץ יוכל לחדור לכל הרשת ולא משנה איזה Vlan.
לגבי מצלמות ה-IP עצמן, חשבתי אולי פשוט לחסום להן גישה ישירה לאינטרנט דרך Parent Control בנתב אולי כך שרק ל-NVR תהיה גישה לאינטרנט אבל כמובן עדיין לא ניסיתי אז לא יודעת אם יעבוד.

 

[SysAdmin1]

מספר הבהרות והסברים...

ב OpenWRT או בכל FireWall פשוט אחר ניתן באמת להגדיר כללים שמאפשרים מה VLAN של רשת LAN לגשת ל VLAN של רשת המצלמות, אבל שלא תהיה גישה הפוכה וכמובן שבתוכנות של נתבים ביתיים פשוטים זה לא אפשרי. בנוסף לזה, לחבר מצלמות IP ישירות ל NVR זה רעיון גרוע במיוחד ויש לזה מספר סיבות. המתגים POE שבאים מובנים ב NVRs בדרך כלל לא מנוהלים ולא מאפשרים לא דיאגנוסטיקה ולא יצירה של VLANs , גם בדרך כלל מומלץ את ה NVR למקם במקום מוגן ובמקרה זה עדיף שמגיע עליו כבל רשת בודד. דבר נוסף, בשביל שלא ניתן יהיה לפרוץ למערכת של מצלמות אבטחה משתמשים בשרת VPN שנמצא ברשת ביתית ודרכו מקבלים גישה למצלמות אבטחה. שרת VPN כזה יכול להיות מוגדר גם על מערכת של OpenWRT למשל. הבעיה של מצלמות אבטחה לא מוגנות, היא לא רק בזה שדרכן מתחברים לשאר הרשת הביתית, אלה גם בדברים רבים אחרים. מהבעיה שיכולים למחוק הגדרות שלהן, דרך זה שיכולים למחוק את ההקלטות שלהן ועד למצב שיכולים למשוך את ההקלטות ולפרסם אותן באינטרנט. כל זה כמובן ניתן למנוע בקלות על ידי שימוש בחיבר VPN לרשת ביתית.

 

[thunderbug1]

VPN

אכן חשבתי גם על אפשרות VPN ואולי בסופו של דבר אלך על זה אבל בעיה אחת היא שאם ארצה להתחבר למצלמות מהמחשב עם VPN, אני לא אוכל לגלוש ולעשות דברים אחרים בחיבור אינטרנט רגיל בו זמנית. אחשוב גם על OpenWRT על נתב C7 בשביל Vlans ויצירת כללים. חבל שלא ניתן לעשות זאת בממשק המקורי של טיפילינק שמאוד נוח.
לא ידעתי שמתגי POE מובנים ב-NVR לא ממש מנוהלים, כנראה היה עדיף סוויץ' POE מנוהל במקום. תודה על האינפורמציה.

 

[SysAdmin1]

חיבור VPN, זה דבר מאוד גמיש וניתן להגדיר אותו כך למשל, ש...

חיבור VPN, זה דבר מאוד גמיש וניתן להגדיר אותו כך למשל, שבמחשב שמחובר לשרת VPN הביתי שלך מרחוק, דרך אותו חיבור VPN יגיעה רק לתת רשת של המצלמות או לרשת הביתית מרחוק וכל התקשורת לאינטרנט בזמן זה תהייה דרך חיבור רגיל, שלא דרך VPN. אופצייה נוספת, היא להגדיר את חיבור VPN כך, שאותו המחשב או פלאפון שיהיה מחובר ל VPN מרחוק יגיעה דרכו לא רק למצלמות והרשת הביתית שלך, אלה גם לאינטרנט דרך חיבור הביתי שלך. כך ניתן לאבטח את החיבור אינטרנט שלך, שאת נמצאת ברשתות ציבוריות מפוקפקות או, אם את נמצאת בחו''ל ורוצה לצאת לאינטרנט דרך כתובת ביתית שלך, למשל לשירותים שזמינים רק מישראל.

 

[thunderbug1]

בהחלט מעניין, לא חשבתי שזה אפשרי בכלל. האם זה תקף גם למשל ל-

בהחלט מעניין, לא חשבתי שזה אפשרי בכלל. האם זה תקף גם למשל ל- OpenVPN שמוגדר כשרת בנתב והאם זה משהו שמגדירים חד פעמית? נכון שמצד אחד זה דבר טוב גם לגלוש באינטרנט דרכו אבל מצד שני עד כמה איטי זה לעומת גלישה רגילה.

הסתכלתי ב-C7 ואני רואה את האופציה שדיברת עליה, פשוט וקל

 

[SysAdmin1]

לא רק שזה תקף לגבי OpenVPN, אלה גם ש OpenVPN זה פרוטוקול...

לא רק שזה תקף לגבי OpenVPN, אלה גם ש OpenVPN זה פרוטוקול VPN הכי גמיש, גם במובן רחב יותר וגם בהקשר זה. ב OpenVPN ניתן לבצע הגדרות כאלה גם ברמה כללית של השרת, שתקפה כברירת מחדל לגבי כל הלקוחות שמתחברים, וגם ברמה פרטנית של לקוח בודד שניתן לאפיין ולהגדיר ניתובים מיוחדים בשבילו. כן ניתן ליצור פרופיל ללקוח מסויים שהוא יתחבר רק למצלמות ולא לרשת ביתית, או שהוא ינותב דרך חיבור אינטרנט ביתי בזמן שהוא משתמש בחיבור VPN, וכל זה בזמן שלקוחות אחרים של אותו השרת OPENVPN יקבלו פרופיל אחר שמתאים לצרכים שלהם. כל זה כמובן נדרש להגדיר פעם אחד בצד השרת ( הנתב ) ואם רוצים לבצע שינוי כלשה, ניתן תמיד לבצע את זה בהמשך.
בקשר לשאלה של, כמה זה איטי לגלוש דרך שרת VPN, אז התשובה, היא שהמגבלה היא הנקודה הצרה ביותר במערכת. למשל, אם מדובר על קו תשתית של הוט, ששם מהירות ה UPLOAD , היא כ 5M, אז רוחב פס המתקבל בערוץ VPN יהיה אותם 5M. אבל שימוש ב VPN לצורך גישה לאינטרנט הוא פתרון במקומות שזה נדרש. למשל על ידי שימוש כזה ניתן להשתמש באינטרנט בצורה מאובטחת בחיבור ציבורי או לעקוף חסימות של רשת כלשהיא שדרכה מחוברים או להתחבר לשירותים מחו''ל שלא זמינים מכתובות שהן לא ישראליות וכו'. כל אלה הם השימושים שלי למשל.

בקשר למימוש של שרת OpenVPN בתוכנה שאיתה C7 מגיעה מהיצרן. אז כפי שכבר יכולת להיווכח, כל התוכנות אלה נראות בעלות ממשק פשוט, רק שלא ניתן בממשק זה להגדיר את האפשרויות הנדרשות. בידיוק כפי שקרה עם נושא של VLANs . אופצייה אחת, היא להגדיר את כל מה שנדרש במערכת OpenWRT שתרוץ בנתב מתאים,למשל ב C7, אבל במערכת זו לדברים אלה לא מדובר על שימוש בממשק גרפי, אלה שחלק גדול של ההגדרות מתבצע כעריכה של קובץ תצורה או דרך ממשק CLI , למשל דרך חיבור SSH.
אופצייה נוספת, אם רוצים ממשק גרפי נוח ביותר בעל אפשרויות מתקדמות רבות וגמישות, אז ניתן להשתמש במערכת של PFSense שתרוץ על גבי מחשב קטן ייעודי בעל שני כרטיסי רשת שתשמש כנתב, כשרת VPN, כ FIREWALL וכו' לרשת ביתית. מערכת זו תומכת גם בניהול של VLANs ואני משתמש בה גם בבית וגם בארגונים שונים. כמובן שמחיר של מחשב שנדרש לצורך זה הוא גבוהה יותר מהמחיר של נתב ביתי כמו C7, אבל גם מה שמקבלים תמורת זה, זה דבר אחר לגמרי מבחינת אפשרויות וביצועים. צירפתי צילום מסך של הגדרות שרת VPN בחלקו הרלוונטי של מערכת זו וגם קישור להסבר על ההגדרות של הרלוונטיות של מערכת זו:
https://www.netgate.com/docs/pfsense/vpn/openvpn/openvpn-remote-access-server.html

 

[thunderbug1]

הרבה אפשרויות שימושיות עד לרמת התאמה לכל יוזר. אני מבינה ששר

הרבה אפשרויות שימושיות עד לרמת התאמה לכל יוזר. אני מבינה ששרת ה-VPN בקושחה המקורית של TP-Link די בסיסי ולא מקנה את כל האפשרויות הנ"ל אבל יפה שיש את האופצייה למי שלא רוצה להתעסק אם קושחות צד ג'. אגב, כפי שזה נראה בהדגמה, רק גרסא V4 כוללת שרת VPN מובנה, V1-3 לא - אלא אם כן הוסיפו בעדכון.הממשק של Tp-link יותר נוח אבל לא שוללת התקנת OpenWRT בסופו של דבר להוציא יותר מהנתב. על PFSense שמעתי הרבה דברים מצויינים כפי שאתה מציין חלק מהאפשרויות אבל לא פרקטי בשבילי כרגע לייעד מחשב לכך.
האם יש התנגשות בשימוש ב- TeamViewer? כלומר אם ארצה להתחבר מרחוק ל-TeamViewer במחשב ביתי, אין מניעה ע"י ה-VPN?

 

[SysAdmin1]

לא רק ששרת VPN בקושחה מקורית לא נותן הרבה אפשרויות, אלה גם..

לא רק ששרת VPN בקושחה מקורית לא נותן הרבה אפשרויות, אלה שגם את האפשרויות האלה שהוא נותן לא ניתן להשתמש בהם ברוב המקרים. בידיוק כמו שראית אז הכבר בהקשר של VLANS בקושחה המקורית. האופצייה כאילו קיימת, אבל חסרים בה רוב ההגדרות ואפשרויות הנדרשות לשימוש בה. בידיוק כך גם בכל הקשר אחר של קושחה מקורית. כמובן גם בהקשר של כללי FIREWALL, שפשוט לא קיימים בה כי כאלה שזמינים להגדרה למשתמש. גם הנושא של הניתוב. ובעצם כל דבר חלק מההגדרות שמגיעים עליו מתברר שהוא לא שלם.
בקשר לשימוש ב TeamViewer. השימשוש בו דרך חיבור VPN הוא שימוש רגיל, כמובן במסגרת הרוחב פס הזמין, כי יישום זה תלוי שרת שנמצא באינטרנט.
ובקשר ל PFSense. בדרך כלל לא משתמשים במחשב PC רגיל, אלה במחשב קטן שמתאים לזה וגם די זול. דוגמה למחשב פשוט וזול סיני כזה, האיזור של 300$:
https://www.aliexpress.com/item/XCY...e27645f&transAbTest=ae803_2&priceBeautifyAB=0

 

[thunderbug1]

אני גם לא מבינה את ההגיון במתן אופציה בקושחה המקורית אבל בלי

אני גם לא מבינה את ההגיון במתן אופציה בקושחה המקורית אבל בלי יכולת הגדרה. באמת שחשבתי בהתחלה שלשם כך קיים Advanced Routing אבל לאץ
מחשב המיני נראה לא רע בשביל PFSense, אולי בעתיד אשתדרג לכיוון הזה. תמיד חייב שיהיה 2 חיבורי LAN בשביל PFSense?
לגבי OpenWRT - כך נראה הממשק והאפשרויות? http://dede67.bplaced.net/OpenWrtFreifunk/OpenWrtSim/OpenWrt - DHCP and DNS - LuCI.xhtml
כי זה ממש לא נראה נוח לתפעול ואני מניחה שמשתמשים בפקודות ו- cmd הרבה. לא עדיף דווקא DD-WRT?
מה שהתכוונתי עם Teamviewer זה אם למשל אני רוצה להתחבר ממחשב של חבר שאין לו הרשאה ל-VPN שלי, פשוט חיבור אינטרנט רגיל, האם Teamviewer יתחבר לTeamviewer ברשת שלי בלי בעיות או שבלי VPN לא ניתן? אני מאמינה שלא צריכה להיות בעיה.

 

[SysAdmin1]

ההיגיון הוא בזה שאף אחד לא ישקיע בפיתוח של תוכנה מתקדמת

ההיגיון הוא בזה שאף אחד לא ישקיע בפיתוח של תוכנה מתקדמת במוצר שנמכר בכמה עשרות דולרים.
בקשר לממש ניהול וובי של OpenWRT , אז הסימולטור שצירפת כולל ממשק מלפני יותר מעשור והיום הוא כבר נראה שונה. אבל חלק גדול מהתכונות המתקדמות ב OpenWRT נדרש לבצע דרך CLI , כפי שכבר כתבתי את זה לפני זה.
בקשר לחומרה ל PFSense, אז כל נתב חייב לכלול מספר ממשקי רשת. ולצורך זה נדרש או מספר ממשקי רשת פיזיים או שימוש ב VLANs על גבי ממשק פיזי אחד. במקרה כזה ניתן להשתמש במחשב בעל כרטיס רשת פיזי אחד ובמתג שתומך ב VLAN Trunk וליצור מספר ממשקי רשת וירטואליים נפרדים, שכל אחד מהם ישמש לחיבור מתאים. צירפתי תרשים של חיבור כזה.

 

[thunderbug1]

>>>

זה מה שמבאס ב- OpenWRT, שצריך לעשות את רוב הדברים דרך פקודות ולא ממשק.
אני אומרת שאם חברה מחליטה להוסיף פונקציה מסויימת, שתדאג לעשות את זה מתפקד באופן מלא ולא חצי אפוי או שלא תוסיף בכלל וזהו, אבל זה המצב. מעניין לדעת אם גם ב-VPN בקושחה המקורית של הנתב המומלץ Asus RT-AC86U חיפפו או השקיעו - סה"כ זה נתב יקר יותר.
בסוויץ של Tp-link TL-SG108E שקניתי הוא יודע ליצור Vlans אבל לא יכול לתווך ביניהם ממה שהבנתי אז לא יעזור לי. אצטרך לחשוב באיזה דרך ללכת כדי להגן על הרשת והמצלמות.

 

[SysAdmin1]

המתג המדובר, זה עוד דוגמה מובהקת למוצרים חצי אפויים וגם הוא

המתג המדובר, זה עוד דוגמה מובהקת למוצרים חצי אפויים וגם הוא מצד אחד מוגדר כמתג שלא מנוהל ומצד שני קיים בשבילו כלי שמיתיימר לנהל אותו, רק עם מגבלות בלתי אפשריות. בגדול בכל המקרים שבהם מוכרים ללקוח מוצר זול, לקוח מהר מאוד אחרי זה מבין שהוא רכש מסמר בלי ראש, כזה שתקוע לו סתם וגם כזה שלא ניתן לחלץ אותו. דרך אגב, גם אותו מוצר של ASUS, הוא מאותה המשפחה בידיוק. זו גם הסיבה שבגללה קיימות קבוצות של מפתחים שמנסים להשלים את תוכנה החסרה, כמו פיתוח של OpenWRT למשל. ובגלל שתוכנה זו, זה משהוא שמתפתח תוך כדי תנוע קיימיות לה יותר אפשרויות ממה שקיים בממשק ניהול וובי וגם יוצאים מנקודת הנחה שמי שכבר משתמש בתוכנה זו, הוא כבר מראש יודע להתמודד עם עבודה של הגדרת ציוד דרך ממשק פקודה או דרך עריכה של קבצי תצורה. גפ בגלל שאני מבין, ששימוש בכל האפשרויות הקיימות ב OpenWRT זה לא מתאים לכל אחד, זו גם הסיבה שהצעתי להשתמש ב PFSense, שהוא יותר קל לניהול, נותן ביצועים טובים יותר בגלל שמבוסס על חומרה חזקה יותר, אבל בגלל זה גם נדרש מראש לרכוש חומרה לא בעשרות דולרים, אלה במאות דולרים. כך שעל כל דבר משלמים במשהוא, אם זה בכסף, אם זה בזמן לימוד, אם זה בנוחיות התפעול או, אם זה בדברים אחרים. בכל מקרה מוצאים כאלה קנייניים ולא כאלה שכוללים תוכנה חינמית מתומחרים לא במאות דולרים, אלה באלפים רבים של דולרים, כך ששימוש בתוכנות כמו PFSense חוסכות יותר מ 90% ממחיר המוצר כזה.

 

[thunderbug1]

דווקא באסוס ציפיתי שישקיעו יותר אבל אני מבינה שזה לא המצב ול

דווקא באסוס ציפיתי שישקיעו יותר אבל אני מבינה שזה לא המצב ולמה הרבה מעדיפים פשוט להתקין OpenWRT או DD-WRT ודומיו. כך או כך בין אם בוחרים בקושחות אלו או PFSense זו השקעה של כסף או זמן, כל אחד בהתאם ליכולות שלו אני מניחה.

 

[SysAdmin1]

יש הבדל בין להשקיע זמן במכשיר שעלותו היא כמה עשרות דולרים או

יש הבדל בין להשקיע זמן במכשיר שעלותו היא כמה עשרות דולרים בודדים ולהתקין עליו את OpenWRT ( דרך אגב ב DD-WRT לא ניתן לבצע את רוב הדברים הנדרשים המתקדמים האלה ) או להשקיע כמה מאות דולרים בודדים על מחשב סיני שיריץ את PFSense ולבין להשקיע אלפי דולרים רבים ואחרי זה גם את הזמן בשביל להתמודד עם מערכות קנייניות והתמיכה שלהם, שגם במקרה של מוצרים מתקדמים כאלה הניהול שלהם רק עוד יותר מורכב. בכל מקרה כל הדברים האלה מתאימים לאנשים שיש להם כבר ידע התחלתי בהכרת המחשב או לכאלה שמוכנים ויודעים ללמוד לבד או מהמאמרים באינטרנט.

 

[thunderbug1]

ברור אבל בכל זאת מבחינת השקעה כספית לא לכל אחד יש את היכולת

ברור אבל בכל זאת מבחינת השקעה כספית לא לכל אחד יש את היכולת להוציא כך או כך כסף מה שיכול להגביל את האפשרויות שלהם. בהחלט צריך ידע בסיסי, מסכימה בהחלט וגם עניין של העדפה. אני אחשוב איך להתקדם, OpenWRT פחות קורץ לי מאשר PFSense.
תודה רבה על כל העזרה וההסברים!
&nbsp