Condividere stampante in Vlan con pfsense



  • Ciao,
    Vorrei realizzare questo progetto:
    alt text

    Ho già installato su un pc pfsense che funziona alla perfezione con la configurazione di rete che ho al momento. Vorrei ora cambiare un po' la mia rete casalinga anche per sperimentare un po' con le VLAN. Come switch ho pensato di comprare qualcosa di economico come questo netgear:

    https://www.amazon.it/Netgear-GS108E-300PES-Switch-Managed-Gigabit/dp/B00MYYTP3S

    O un Mikrotik, sono ancora indeciso.
    Le premesse sono che le VLAN non dovrebbe essere in grado di comunicare tra loro(tranne al limite il mio pc principale della rete vlan10 per entrare negli apparati da configurare); LA Vlan10 sarebbe la mia trusted VLAN
    tutti i dispositivi della rete di tutte le VLAN devono poter accedere ad internet e alla stampante.
    Ciò che chiamo Switch/AP sono in pratica dei vecchi router-modem/AP a cui ho disabilitato il DHCP e il NAT.
    Domande

    1. Vedete qualcosa nel mio progetto sopra che non vi convince, nel senso che potrebbe portare a dei malfunzionamenti o problemi legati alla sicurezza
    2. Come configuro la porta dello switch a cui è collegata la stampante?
      Grazie

  • LAYER 8

    1 no, mi sembra ragionevole
    2 a tuo piacimento puoi metterla in vlan30 o metterla in una vlan40, se sul dhcp gli riservi un indirizzo ip in modo che resti statico ti basta fare una regola sulle vlan che devono accedere alla stampare che consenta l'accesso solo a quello 🤷



  • @kiokoman
    Ciao Kiokoman, in verità stavo aspettando un tuo intervento :-)
    Allora, giusto per essere sicuri di aver capito.
    1)Posso creare un'altra Vlan (40) dedicata solo alla stampante e poi dal firewall giostrarmela come mi pare con i vari permessi e accessi.
    2) La assegno alla già esistente VLAN30 ma con un indirizzo statico (si possono assegnare gli indirzzi statici anche dal DHCP delle VLAN in pfsense o dallo switch?).
    "ti basta fare una regola sulle vlan che devono accedere alla stampante che consenta l'accesso solo a quello ", immagino che ci voglia più a dire che a fare questo passaggio", però mi sfugge qualcosa. Si può fare una regola che valga solo per un ip statico appartenente a una determinata VLAN in pfsense? Come? Hai uno screenshot esplicativo?

    Infine, per curiosità, e anche perché ancora sto studiando le dinamiche del computer networking in generale, cosa succede se lascio la porta a cui è collegata la stampante senza alcuni tipo di assegnazione e configurazione?
    Grazie


  • LAYER 8

    1 si, anche in questo caso conviene ip assegnato staticamente
    2 conviene da pfsense, tra l'altro non conosco quello switch e non so e abbia un dhcp suo ma comunque conviene da pfsense

    Immagine.jpg

    se attacchi senza configurare nulla nello switch finirebbe nella vlan1 untagged con ip 192.168.4.x/24



  • Ok grazie. Devo allora solo fare le prove appena disponibile lo switch, quello del link o un Mikrotik, ancora non so.



  • come switch io prenderei un cisco, su ebay se ne trovano molti... per il wifi io prenderei un solo AP e ogni SSID corrisponde una VLAN diversa... inoltre imposterei il tuo router adsl in modalità bridge in modo tale da avere l'ip pubblico sul pfsense cosi in un futuro puoi impostare le VPN



  • @keen magari quando avrò preso confidenza con tutte le problematiche del networking e approfondito le mie conoscenze potrei pure passare ad apparati e soluzioni più professionali.

    Il fatto è che come suggerisci tu dovrei prendere uno switch Cisco che gestisca le VLAN più un AP che sia in grado di fare lo stesso, quindi dovrei già comprare due apparati, senza parlare del fatto che il router dell'ISP non può essere messo in bridge. Troppa roba e andremo a finire sicuramente fuori budget.
    Mi serve più qualcosa con cui sperimentare, fare errori e possibilmente imparare.
    Per lo scopo avevo pensato o a questo switch netgear:

    https://www.amazon.it/Netgear-GS108E-300PES-Switch-Managed-Gigabit/dp/B00MYYTP3S

    o a questo Mikrotik, sicuramente più ostico ma che può fare sicuramente di più e avrei anche l'AP su cui configurare più di un SSID per ogni VLAN:

    https://www.amazon.it/MikroTik-rb951g-2hnd-accesso-1000-Mbit-Internal/dp/B00DBT6SIA/ref=pd_sbs_147_t_1/257-2141770-7359928?_encoding=UTF8&pd_rd_i=B00DBT6SIA&pd_rd_r=993d0f53-223b-4a58-a684-61c37aa490ad&pd_rd_w=eDuGU&pd_rd_wg=fnzrV&pf_rd_p=5b7cecc6-3c99-46e5-b3e1-0370a7bd6b14&pf_rd_r=0Q5ZCRG3EHW7NXB5XNZM&psc=1&refRID=0Q5ZCRG3EHW7NXB5XNZM

    Grazie dell'intervento e dei consigli.


  • LAYER 8

    vai di netgear. personalmente i microshit non mi sono mai piaciuti. oltre al fatto che il wifi e' solo 2,4
    prenderai di meglio quando sarà ora
    tra l'altro è un router wireless e non uno switch, non so se si riescano a configurare e gestire le vlan su quel coso, non è comunque quello che ti serve


Log in to reply