Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Przeprojektowanie sieci z Netgate 6100 MAX + DrayTek 2927

    Scheduled Pinned Locked Moved Polish
    1 Posts 1 Posters 20 Views 2 Watching
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C Offline
      crespo
      last edited by

      Cześć,
      Zakupiłem właśnie Netgate 6100 MAX i chciałbym poprosić o pomoc/przemyślenia dotyczące najlepszego sposobu na przeprojektowanie mojej sieci w kierunku większego bezpieczeństwa i kontroli.

      Obecna infrastruktura:

      1. Router: DrayTek Vigor 2927 – obsługuje obecnie zarówno WAN, jak i LAN + DHCP + firewall + podział na 4 VLANy:
        VLAN0 (nietagowany) – sieć administracyjna (router, switch, APki, serwer NAS), bez dostępu do internetu. Dostęp tylko dla jednego adresu ip dla maszyny wirtualnej (Windows) na serwerze Synology.
        a. VLAN20 (tagowany) – sieć firmowa
        b. VLAN30 (tagowany) – sieć domowa
        c. VLAN40 (tagowany) – urządzenia IoT
        d. VPN WireGuard – dostęp z zewnątrz do maszyny wirtualnej (VLAN0)

      2. Switch: DrayTek P2540xs
        Port 1– trunk do routera (VLAN20/30/40 tagowane, VLAN0 nietagowany)
        Porty 2,3,4 – trunk do punktów dostępowych DrayTek (tryb mesh, VLANy jak wyżej)
        Dodatkowo:
        4 kamery Synology – VLAN40
        Serwer biznesowy Synology – VLAN0 (maszyny wirtualne + kamery)
        Serwer domowy Synology – VLAN30

      Cele po dołożeniu Netgate 6100 MAX:
      a. Chcę przenieść routing, firewall, VPN i bezpieczeństwo na Netgate 6100 MAX (pfSense Plus).
      b. DrayTek 2927 ma pełnić jedynie rolę modemu WAN i ewentualnie zapasowego zarządzania.

      W przyszłości chciałbym:
      a. Zrealizować pełny VPN (WireGuard) na telefonach dzieci, aby cały ich ruch przechodził przez moją sieć.
      b. Dla 2–3 komputerów (laptopów) uruchomić VPN z MFA (np. TOTP).
      c. Wdrożyć IDS/IPS, DNS filtering, segmentację VLAN, pfBlockerNG, kontrolę dostępu między VLAN-ami.

      Mam kilka pytań:

      1. Jak najlepiej przeprojektować topologię sieci z uwzględnieniem Netgate 6100 jako głównego urządzenia brzegowego?
      2. Czy warto całkowicie wyłączyć routing po stronie DrayTeka i skonfigurować go tylko jako bridge/WAN passthrough?
      3. Czy zalecacie wyprowadzenie wszystkich VLAN-ów z Netgate (tagowanych przez port trunk) i konfigurację tylko jako DHCP/DNS/VPN/firewall po stronie pfSense?
      4. Jak najlepiej zabezpieczyć VLAN0 (admin) – dostęp tylko lokalny, bez internetu, dostęp z VPN tylko do konkretnej maszyny?

      Jakie są najlepsze praktyki dla:

      1. Logowania przez VPN z MFA?
      2. Blokowania ruchu między VLAN-ami z wyjątkami?
      3. Zbierania logów z pfSense na serwer Synology?

      Z góry dziękuję, mam nadzieję, że w miare zrozumiale napisałem powyższe. Zależby mi na bezpieczeństwie sieci w domu.

      1 Reply Last reply Reply Quote 0
      • First post
        Last post
      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.