Cześć,
Zakupiłem właśnie Netgate 6100 MAX i chciałbym poprosić o pomoc/przemyślenia dotyczące najlepszego sposobu na przeprojektowanie mojej sieci w kierunku większego bezpieczeństwa i kontroli.
Obecna infrastruktura:
Router: DrayTek Vigor 2927 – obsługuje obecnie zarówno WAN, jak i LAN + DHCP + firewall + podział na 4 VLANy:
VLAN0 (nietagowany) – sieć administracyjna (router, switch, APki, serwer NAS), bez dostępu do internetu. Dostęp tylko dla jednego adresu ip dla maszyny wirtualnej (Windows) na serwerze Synology.
a. VLAN20 (tagowany) – sieć firmowa
b. VLAN30 (tagowany) – sieć domowa
c. VLAN40 (tagowany) – urządzenia IoT
d. VPN WireGuard – dostęp z zewnątrz do maszyny wirtualnej (VLAN0)
Switch: DrayTek P2540xs
Port 1– trunk do routera (VLAN20/30/40 tagowane, VLAN0 nietagowany)
Porty 2,3,4 – trunk do punktów dostępowych DrayTek (tryb mesh, VLANy jak wyżej)
Dodatkowo:
4 kamery Synology – VLAN40
Serwer biznesowy Synology – VLAN0 (maszyny wirtualne + kamery)
Serwer domowy Synology – VLAN30
Cele po dołożeniu Netgate 6100 MAX:
a. Chcę przenieść routing, firewall, VPN i bezpieczeństwo na Netgate 6100 MAX (pfSense Plus).
b. DrayTek 2927 ma pełnić jedynie rolę modemu WAN i ewentualnie zapasowego zarządzania.
W przyszłości chciałbym:
a. Zrealizować pełny VPN (WireGuard) na telefonach dzieci, aby cały ich ruch przechodził przez moją sieć.
b. Dla 2–3 komputerów (laptopów) uruchomić VPN z MFA (np. TOTP).
c. Wdrożyć IDS/IPS, DNS filtering, segmentację VLAN, pfBlockerNG, kontrolę dostępu między VLAN-ami.
Mam kilka pytań:
Jak najlepiej przeprojektować topologię sieci z uwzględnieniem Netgate 6100 jako głównego urządzenia brzegowego?
Czy warto całkowicie wyłączyć routing po stronie DrayTeka i skonfigurować go tylko jako bridge/WAN passthrough?
Czy zalecacie wyprowadzenie wszystkich VLAN-ów z Netgate (tagowanych przez port trunk) i konfigurację tylko jako DHCP/DNS/VPN/firewall po stronie pfSense?
Jak najlepiej zabezpieczyć VLAN0 (admin) – dostęp tylko lokalny, bez internetu, dostęp z VPN tylko do konkretnej maszyny?
Jakie są najlepsze praktyki dla:
Logowania przez VPN z MFA?
Blokowania ruchu między VLAN-ami z wyjątkami?
Zbierania logów z pfSense na serwer Synology?
Z góry dziękuję, mam nadzieję, że w miare zrozumiale napisałem powyższe. Zależby mi na bezpieczeństwie sieci w domu.
