Разделение проводной и беспроводной сетей

Тема в разделе "Вопросы начинающих", создана пользователем unt0njs, 6 дек 2016.

  1. unt0njs

    unt0njs Новый участник

    Здравствуйте! Есть маршрутизатор RB2011, требуется построить сеть таким образом, чтобы:
    1. LAN "не видел" WAN и вообще с ним не контактировал.
    2. К LAN`у можно было подключаться по L2TP/IPsec VPN .
    3. Защитить сервер (НР), на котором находится сервер ТС3 и т.д.
    Прошу совета, т.к. не знаю, как все правильно сделать :)
    Пытался поднять ВПН по руководствам в интернетах, айфон подключается, но не видит локалки и сайты под ВПНом не грузит. Про файерволл вообще молчу. Буду очень благодарен за помощь.
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Рисуйтте схему с адресами. Я из вашего текста нифига не понял.
     
  3. Илья Князев

    Илья Князев Администратор Команда форума

    Так у вас как минимум 2 варианта решения. Или разбить все по подсетям и рубить в forward файрволла или все засунуть в бридж, включить Use-IP-Firewall и опять таки рубить в цепочке forward файрволла.
     
  4. unt0njs

    unt0njs Новый участник

    Мдэ, а я выкидывал wlan1 из бриджа и на этом мои эксперименты заканчивались. А что с VPN? И как правильно расшарить TS3 сервер?
     
  5. Илья Князев

    Илья Князев Администратор Команда форума

    А что с VPN? Точно такая же сеть как и остальные. Firewall в помощь.
    Сервер я бы выкинул в отдельный сегмент.
     
  6. unt0njs

    unt0njs Новый участник

    В DMZ?
     
  7. Илья Князев

    Илья Князев Администратор Команда форума

    Скорее в ServerLAN
     
  8. Илья Князев

    Илья Князев Администратор Команда форума

    Хорошей идеей при наличии достаточно мощного роутера является вынесение серваков в отдельную подсеть.
    Как минимум дает две воззможности
    1. Зафайрволлить трафик на роутере.
    2. Включить в серверном сегменте MTU=9000 для Jumbo Frame

    DMZ это подсеть с "промежуточным" уровнем секьюрности.
     
  9. unt0njs

    unt0njs Новый участник

    ServerLAN - подсеть с более высоким уровнем секьюрности, чем DMZ? Сможет ли 2011-ый ее потянуть?
     
  10. Илья Князев

    Илья Князев Администратор Команда форума

    Эмм. Что вы понимаете под DMZ? Просто расшифровку не предлагать )
     
  11. unt0njs

    unt0njs Новый участник

    Ну, вроде это такая часть сети, в которой располагаются потенциально уязвимые ресурсы, чтобы в случае атаки на них не нарушилась работоспособность основной сети )
     
  12. Илья Князев

    Илья Князев Администратор Команда форума

    Ну почти. Это выделенная сеть к которой ограничен доступ из Интернет, и для которой ограничен доступ в локальную сеть.
     
  13. unt0njs

    unt0njs Новый участник

    И еще. На сервере 2 гигабитных интерфейса. Может ли это как-то облегчить задачу? Например, чтобы один смотрел в WAN, а другой в LAN.
     
  14. Илья Князев

    Илья Князев Администратор Команда форума

    Вам виднее)))
     
  15. unt0njs

    unt0njs Новый участник

    А что насчет разделения WLAN и LAN?
     
  16. Илья Князев

    Илья Князев Администратор Команда форума

    Повторюсь что от задачи.