VLAN e Condivisione multifunzione



  • Salve a tutti. Gestisco la rete aziendale per due aziende che condividono la struttura di rete. Mi è stato chiesto di condividere la multifunzione aziendale con una terza azienda, sempre nello stesso ufficio, dove però non posso mettere mani visto che non gestisco io.
    La rete è composta da un firewall pFSense con 6 NIC (2WAN, 1 per le VLAN, 3 liberi), due smartswitch Netgear a 24 porte l'uno, due access point ubiquiti unifi, tanti client, due server.
    Momentaneamente distribuito la rete così:
    VLAN1 - ID 1: Gestione -> access point, server, mfp, switch;
    VLAN2 - ID 10: VoIP -> PBX e telefoni
    VLAN3 - ID 20: Client Azienda 1
    VLAN4 - ID 30: Client Azienda 2
    VLAN5 - ID 40: Azienda 3
    VLAN6 - ID 50: WIFI Ospiti

    Per quanto riguarda la terza azienda hanno solamente il modem/router Technicolor di Telecom per la VDSL2 e 3 client connessi tutti in WIFI.

    Per le prime due aziende funziona tutto perfettamente, riescono ad accedere al server e al PBX, come anche a tutte le funzioni della MFP, mentre non riesco a mettere in connessione la terza azienda con la multifunzione… presumo sia un qualche problema di gateway... premesso che non posso (e non voglio) mettere mani (oltre lo stretto necessario) negli apparati della terza azienda, come posso procedere?

    Grazie a tutti per le risposte!



  • up



  • Non si capisce bene se questa azienda3 sia collegata in LAN (con centro stella pfSense?) oppure le è collegata con 'modem/router Technicolor di Telecom per la VDSL2'? Quindi una VPN?



  • Se non ho capito male Azienda 3 ha i client che si collegano con wi-fi al router telecom e stanno fisicamente nello stesso ufficio di Azienda 1 e 2.
    Ma com'è collegata la LAN Azienda 3 alle altre? router telecom <-> pfSense?



  • Infatti. La domanda era proprio questa.



  • @infonet15:

    Se non ho capito male Azienda 3 ha i client che si collegano con wi-fi al router telecom e stanno fisicamente nello stesso ufficio di Azienda 1 e 2.
    Ma com'è collegata la LAN Azienda 3 alle altre? router telecom <-> pfSense?

    Buongiorno a tutti e scusatemi il ritardo nella risposta.

    Si, esattamente: i client di Azienda 3 si collegano alla rete WIFI del router di Telecom, stanno nello stesso ufficio di Azienda 1 e 2 e tutte e tre devono condividere la stessa multifunzione.
    La LAN di Azienda 3 pensavo di collegarla direttamente al pfSense dal router Telecom.



  • Ma questo modem/router Telecom (TIM ormai) fa solo da router vero e proprio oppure ha un'interfaccia ADSL? La connettività da chi è fornita in questo momento ad azienda3? Non capisco perché hai già una vlan5 per azienda3. Che iterazione ha pfSense con modem/router di TIM al momento? Nessuna credo. Fra l'altro utilizzi le vlan, ma non penso che il router TIM le gestisca.
    Comunque se il tuo scopo è solo quello di collegare la LAN dell'azienda3 verso l'IP della stampante che si trova in un'altra vlan, devi taggare i pacchetti della lan3 dallo switch, soluzione più pulita, oppure usando un'interfaccia libera di pfSense e nelle regole devi gestire il passaggio verso l'IP della stampante.



  • @delfi5:

    Ma questo modem/router Telecom (TIM ormai) fa solo da router vero e proprio oppure ha un'interfaccia ADSL? La connettività da chi è fornita in questo momento ad azienda3? Non capisco perché hai già una vlan5 per azienda3. Che iterazione ha pfSense con modem/router di TIM al momento? Nessuna credo. Fra l'altro utilizzi le vlan, ma non penso che il router TIM le gestisca.
    Comunque se il tuo scopo è solo quello di collegare la LAN dell'azienda3 verso l'IP della stampante che si trova in un'altra vlan, devi taggare i pacchetti della lan3 dallo switch, soluzione più pulita, oppure usando un'interfaccia libera di pfSense e nelle regole devi gestire il passaggio verso l'IP della stampante.

    La connettività ad Azienda3 è fornita da TIM/Telecom con il suo router attraverso un interfaccia VDSL2 (fibra ottica fino all'armadio di strada). La VLAN è creata ma ovviamente non è utilizzata e ti confermo che per ora non c'è nessuna iterazione tra il router di azienda3 e il pfsense. Momentaneamente gli ho creato un SSID nel nostro WIFI su un'altra VLAN e quando devono stampare si connettono a quello ma non è la soluzione piu efficace o pulita.
    Facendo un riepilogo sintetico:
    La multifunzione è collegata alla VLAN1 del pfSense.
    Azienda 1 e 2 sono collegate a due VLAN (20 e 30) del pfSense.
    Azienda 3 deve accedere alla multifunzione attraverso il proprio router di Telecom.

    Tra i vari tentativi ho provato a taggare la porta nello switch dove c'è collegato il router di Azienda3 nella VLAN1 (quella dove c'è la fotocopiatrice) ma i client non riescono ad accedere lo stesso.



  • Dunque i due segmenti di rete sono fisicamente non collegati tra di loro giusto? Se si, devi adottare una strategia tipo VPN, a meno che tu non voglia mettere la mutlifunzione in DMZ sul pfsense esistente e quindi raggiungibile dall'esterno attraverso il tuo ip pubblico nelle aziende 1 e 2.



  • @darkosx:

    Dunque i due segmenti di rete sono fisicamente non collegati tra di loro giusto? Se si, devi adottare una strategia tipo VPN, a meno che tu non voglia mettere la mutlifunzione in DMZ sul pfsense esistente e quindi raggiungibile dall'esterno attraverso il tuo ip pubblico nelle aziende 1 e 2.

    Ciao,
    I due segmenti non sono fisicamente collegati ma potrebbero esserlo, ovviamente però non devono comunicare l'uno con l'altro se non per utilizzare la multifunzione. Quella della VPN o della DMZ potrebbe essere una soluzione alternativa interessante e neanche troppo difficile da implementare…



  • Secondo me la soluzione dmz "potrebbe" essere una valida alternativa anche se, sul lato sicurezza il chè lascia a desiderare. Cerca di implementare una vpn anche con OpenVpn e via ;)



  • Scusate, non avevo ricevuto le notifiche di risposta.

    Anche secondo me la soluzione VPN è più sicura, terrei la DMZ come seconda scelta.

    Facci sapere come risolvi, la casistica è interessante ;)



  • Scusate, ma perchè utilizzare OpenVPN o DMZ?

    E' sufficiente:

    • Configurare la porta dello switch dove già arrivano le altre VLAN per accettare anche la VLAN 5 (ID 40)
    • Configurare una porta dello switch untagged sulla VLAN 5 (ID 40)
    • Collegare questa porta al router di Telecom
    • Configurare la relativa interfaccia con un IP nella classe fornita dal router di Telecom
    • Configurare pfSense in moto da nattare le richieste in arrivo sul suo IP della VLAN 5 verso la multifunzione
    • A questo punto sui client la multifunzione va configurata con l'IP del pfSense sulla VLAN 5

Log in to reply