Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login
    Introducing Netgate Nexus: Multi-Instance Management at Your Fingertips.

    Przeprojektowanie sieci z Netgate 6100 MAX + DrayTek 2927

    Scheduled Pinned Locked Moved Polish
    2 Posts 2 Posters 957 Views 3 Watching
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C Offline
      crespo
      last edited by

      Cześć,
      Zakupiłem właśnie Netgate 6100 MAX i chciałbym poprosić o pomoc/przemyślenia dotyczące najlepszego sposobu na przeprojektowanie mojej sieci w kierunku większego bezpieczeństwa i kontroli.

      Obecna infrastruktura:

      1. Router: DrayTek Vigor 2927 – obsługuje obecnie zarówno WAN, jak i LAN + DHCP + firewall + podział na 4 VLANy:
        VLAN0 (nietagowany) – sieć administracyjna (router, switch, APki, serwer NAS), bez dostępu do internetu. Dostęp tylko dla jednego adresu ip dla maszyny wirtualnej (Windows) na serwerze Synology.
        a. VLAN20 (tagowany) – sieć firmowa
        b. VLAN30 (tagowany) – sieć domowa
        c. VLAN40 (tagowany) – urządzenia IoT
        d. VPN WireGuard – dostęp z zewnątrz do maszyny wirtualnej (VLAN0)

      2. Switch: DrayTek P2540xs
        Port 1– trunk do routera (VLAN20/30/40 tagowane, VLAN0 nietagowany)
        Porty 2,3,4 – trunk do punktów dostępowych DrayTek (tryb mesh, VLANy jak wyżej)
        Dodatkowo:
        4 kamery Synology – VLAN40
        Serwer biznesowy Synology – VLAN0 (maszyny wirtualne + kamery)
        Serwer domowy Synology – VLAN30

      Cele po dołożeniu Netgate 6100 MAX:
      a. Chcę przenieść routing, firewall, VPN i bezpieczeństwo na Netgate 6100 MAX (pfSense Plus).
      b. DrayTek 2927 ma pełnić jedynie rolę modemu WAN i ewentualnie zapasowego zarządzania.

      W przyszłości chciałbym:
      a. Zrealizować pełny VPN (WireGuard) na telefonach dzieci, aby cały ich ruch przechodził przez moją sieć.
      b. Dla 2–3 komputerów (laptopów) uruchomić VPN z MFA (np. TOTP).
      c. Wdrożyć IDS/IPS, DNS filtering, segmentację VLAN, pfBlockerNG, kontrolę dostępu między VLAN-ami.

      Mam kilka pytań:

      1. Jak najlepiej przeprojektować topologię sieci z uwzględnieniem Netgate 6100 jako głównego urządzenia brzegowego?
      2. Czy warto całkowicie wyłączyć routing po stronie DrayTeka i skonfigurować go tylko jako bridge/WAN passthrough?
      3. Czy zalecacie wyprowadzenie wszystkich VLAN-ów z Netgate (tagowanych przez port trunk) i konfigurację tylko jako DHCP/DNS/VPN/firewall po stronie pfSense?
      4. Jak najlepiej zabezpieczyć VLAN0 (admin) – dostęp tylko lokalny, bez internetu, dostęp z VPN tylko do konkretnej maszyny?

      Jakie są najlepsze praktyki dla:

      1. Logowania przez VPN z MFA?
      2. Blokowania ruchu między VLAN-ami z wyjątkami?
      3. Zbierania logów z pfSense na serwer Synology?

      Z góry dziękuję, mam nadzieję, że w miare zrozumiale napisałem powyższe. Zależby mi na bezpieczeństwie sieci w domu.

      P 1 Reply Last reply Reply Quote 0
      • P Offline
        Przemyslaw85 @crespo
        last edited by Przemyslaw85

        @crespo Trochę późno zauważyłem wątek.

        1. Twoje założenia są ok ale wydzieliłbym dla Hostów głównych (serwery jako hosty nie VM które pełnią rolę witalizatora, switche, ap-ki, itp) do osobnego vlanu w celu podniesienia bezpieczęństwa. A dostęp do poszczególnych w zależności od potrzeb gdzie mają mieć dostęp.
        2. Jeśli potrzebujesz dodatkowej zapory po drodze możesz zostawić Drayteka przed PF. To zawsze dodatkowy mur do obejścia. A na PF ustawisz sobie Sucurite lub Snorta jako IPD/IDS.
        3. Osobiście wszystkie vlany oprawiam po portach zaufanych na PFsense. Na osobnych można w celu rozłożenia obciążenia. Ale sam procek w tym pudełku co masz może okazać się nie wystarczający przy dużym obciążeniu. U siebie mam aktualnie 18 vLanów na 6 fizycznych portach sieciowych. Ruch jest tak rozłożony po nich by nie wysycić któregokolwiek.
        4. Na podstawie reguł i konkretnych portów. Możesz też w sieci zaufanej włączyć opcję "Static ARP" co oznacza że router będzie widoczny jedynie dla zdefiniowanych urządzeń (Static IP). Dla pozostałych będzie niewidoczny. W efekcie tylko konkretne MAC/IP się z nim połączy i tylko te konkretne będą mogły się połączyć a drugą siecią.

        My pfSense box w HA:
        Master: HP DL360G8 1x E5-2670, 64GB ECC RAM, 6x NIC (18x VLan) + (2x Wan)
        Slave: HP DL360G5, 2x E5410, 64GB ECC RAM, 5x NIC (18x VLan) + (2x Wan)

        1 Reply Last reply Reply Quote 0
        • First post
          Last post
        Copyright 2026 Rubicon Communications LLC (Netgate). All rights reserved.