Firewall και Access Point

[makisg133]

Καλησπέρα σας,

Εχουμε ένα Firewall στην δουλειά το οποίο μας έχει εγκατασταθεί κεντρικά αλλά επειδή ο Διευθυντής θέλει να μπαίνει ασύρματα εκτός απο αυτό βάλαμε μια επιππλέον σύνδεση ADSL η οποία δεν πάει μέσω Firewall και ένα access point να επεκτείνουμε το ασύρματο δίκτυο.

Ενω ρυθμίζω το access point να παίρνει IP από το router της ξεχωριστής ADSL προλαβαίνει το firewall και δίνει δική του IP στις ασύρματε συσκευές που συνδέονται σε αυτό!

Ξέρει κάποιος τον τρόπο (ρύθμιση) η απόδοση των IP να μην γίνεται από το firewall αλλά από το access point?

Να πω οτι και στο ασύρματο δίκτυο του ρούτερ συμβαίνει αυτό και επίσης να σημειώσω οτι και τα δύο δίκτυα είναι συνδεδεμένα καλωδιακά μεταύ τους!

[kostello]

Αυτο το χάλι με τους διευθυντες και τους ιδιοκτητες να θελουν να παρακαμπτουν τις πολιτικες ασφαλειας εχει καταντησει βαρετο. Αν κολλησει εναν ιο θα τρεχεις εσυ μετα και θα σου την πει επειδη εχασε τα αρχεια του ή οτιδήποτε άλλο. Ασε που μετα αν μπει το pc του στο εταιρικο δικτυο μπορει να σου κολλησει ολο το δικτυο και να τρεχεις και να μην φτανεις.

Το προβλημα πιθανον ειναι η συνδεση των δυο δικτυων. για ποιον λογο εχεις συνδεσει την adsl με το firewall αφου θες την adsl ξεχωριστα?

Πρεπει ομως πρωτα να μας πεις αν το AP θελεις να επεκτεινει το εταιρικο σου δικτυο (που περναει μεσα απο το firewall) ή θελεις να επεκτεινει την νεα συνδεση adsl. 

Επεξ/σία 14 Δεκεμβρίου 2018 από kostello

[makisg133]

Την adsl την βάλαμε στο υπάρχον δίκτυο επειδή από αυτή παίρνει και το σταθερό αυτού και ενός δεύτερου υποδιευθυντή. Αλλα εκει εχω βάλει στατικές και το έλυσα ετσι.Τώρα σε επισκέπτες  δεν μπορώ κάθε φορά να τους βάζω στατικες στα κινητά τους....

Θέλω μόνο την νέα σύνδεση να επεκτείνω γιαυτό και το ΑΡ παίρνει κατευθείαν από το νέο ρούτερ.Αλλά μετά το νέο ρούτερ μπαίνει στο δίκτυο και εκει αρχίζει το μπλέξιμο

[kostello]

Θα μπορουσες εξ αρχης να κανεις ενα policy στο firewall που να επιτρεπεις αναλογη προσβαση μονο σε αυτους του δυο υπολογιστες και θα μπορουσες να επεκτεινεις το υπαρχων δικτυο σου κουμπωνοντας ενα AP στο δικτυο (switch) και ρυθμιζοντας το αναλογα για να παιξει. Οι δυο αυτοι χρηστες θα εξακολουθουσαν να εχουν την πολιτικη τους σε ολο τον χωρο. Και ας αφηνες την adsl για το τηλεφωνο μονο, δεν εχει καμια σχεση με το δικτυο σου η τηλεφωνικη γραμμη που δινει.

Αν θες απο την adsl να παιρνουν και επισκεπτες τοτε οκ καλα το εχεις παει.
Πρεπει να τα ξεχωρισεις για να μην μπερδευεσαι. τωρα πλεον ασε την adsl ξεχωριστα. γιατι να την συνδεσεις με το υπαρχων δικτυο? δεν θα πρεπει να συνδεσεις τα δυο δικτυα μεταξυ τους είναι η γνωμη μου. μολις τα ξεχωρισεις (καλωδιακα) θα λυθει το προβλημα σου. το ap και οι clients αυτου, θα παιρνουν ip απο το adsl router και δεν θα περνανε απο το firewall.

[donblunts]

1o Foul: Εκπαίδευσε τους ανωτέρους σου, και γενικά τον κόσμο που υποστηρίζεις. Τον πρώτο λόγο στις μακακίες τον έχουν οι χρήστες.
2ο Foul: Το DSLάκι σου, ΠΡΕΠΕΙ να περνάει μέσα απ'το firewall. Οτιδήποτε εισέρχεται στο δίκτυο σου, πρέπει να φιλτράρεται.

Τώρα... Τι εννοείς οτι βάλατε 2ο dsl; Δεν περνάει μέσα απ'το ρούτερ του παρόχου σου; Είναι διαφορετικό κύκλωμα; Τι ακριβώς;
Συνήθως, όταν ζητάμε 2η γραμμή, είναι για λόγους backup. Πέφτει πάνω στο ρούτερ του παρόχου, και σε περίπτωση downtime της οπτικής, σηκώνεται το dslακι.

Οι διευθύνσεις μοιράζονται απ'τον DHCP server σου, ούτε απ'το firewall, ούτε απ'το AP σου. Εκτός και αν δεν εχεις τέτοιον server.
Ο DHCP μοιράζει, το AP κάνει αναμετάδοση.

Κάτσε ψάξου λίγο καλύτερα μάθε περισσότερες λεπτομέρειες για το δίκτυο σου, και γράψτα.

 

Επεξ/σία 14 Δεκεμβρίου 2018 από donblunts

[kostello]

12 λεπτά πριν, donblunts είπε

1o Foul: Εκπαίδευσε τους ανωτέρους σου, και γενικά τον κόσμο που υποστηρίζεις. Τον πρώτο λόγο στις μακακίες τον έχουν οι χρήστες.
2ο Foul: Το DSLάκι σου, ΠΡΕΠΕΙ να περνάει μέσα απ'το firewall. Οτιδήποτε εισέρχεται στο δίκτυο σου, πρέπει να φιλτράρεται.

Τώρα... Τι εννοείς οτι βάλατε 2ο dsl; Δεν περνάει μέσα απ'το ρούτερ του παρόχου σου; Είναι διαφορετικό κύκλωμα; Τι ακριβώς;
Συνήθως, όταν ζητάμε 2η γραμμή, είναι για λόγους backup. Πέφτει πάνω στο ρούτερ του παρόχου, και σε περίπτωση downtime της οπτικής, σηκώνεται το dslακι.

Οι διευθύνσεις μοιράζονται απ'τον DHCP server σου, ούτε απ'το firewall, ούτε απ'το AP σου. Εκτός και αν δεν εχεις τέτοιον server.
Ο DHCP μοιράζει, το AP κάνει αναμετάδοση.

Κάτσε ψάξου λίγο καλύτερα μάθε περισσότερες λεπτομέρειες για το δίκτυο σου, και γράψτα.

Συμφωνω με τα 2 πρωτα αλλα απο οτι καταλαβα εγω ειπε οτι εβαλε μια adsl για να μπορουν δυο ατομα να εχουν ελευθερη προσβαση και να μην περνανε απο το firewall.  και επειδη διαβασα και κατι για επισκεπτες που θα μπαινουν, τοτε πιστευω πρεπει να ειναι μια ξεχωριστη συνδεση. Ακομα και να περναει απο το firewall γιατι να φορτωνει με traffic το δικτυο και να χαλαει bandwidth για τους άλλους;

Στο μυαλό σου φαντάζεσαι το σωστο δικτυο (οπως τα λες πρεπει να ειναι) αλλα απο τα λεγομενα του φιλου καταλαβαινω οτι δεν ειναι ετσι το setup.

 

[donblunts]

10 λεπτά πριν, kostello είπε

Συμφωνω με τα 2 πρωτα αλλα απο οτι καταλαβα εγω ειπε οτι εβαλε μια adsl για να μπορουν δυο ατομα να εχουν ελευθερη προσβαση και να μην περνανε απο το firewall.  και επειδη διαβασα και κατι για επισκεπτες που θα μπαινουν, τοτε πιστευω πρεπει να ειναι μια ξεχωριστη συνδεση. Ακομα και να περναει απο το firewall γιατι να φορτωνει με traffic το δικτυο και να χαλαει bandwidth για τους άλλους;

Στο μυαλό σου φαντάζεσαι το σωστο δικτυο (οπως τα λες πρεπει να ειναι) αλλα απο τα λεγομενα του φιλου καταλαβαινω οτι δεν ειναι ετσι το setup.

Ας βάλει τότε το AP σε άλλο VLAN.
Αναμένουμε μέχρι νεωτέρας

Επεξ/σία 14 Δεκεμβρίου 2018 από donblunts

[makisg133]

Παιδιά εγω συμφωνώ σε αυτά...το θέμα είναι οτι αν βάλω και τη δεύτερη στο firewall...το bandwith θα μοιράζεται και στον λαουτζίκο...😉

Για την δευτερη ερώτηση συνδέθηκε στο υπάρχων πολυ απλά για να παίρνουν απο αυτήν και καλωδιακά οι σταθεροί τους.Δσν μπορούσα να ρίξω καινούργιο ethernet..

Για να σας προλάβω...ξέρω πολύ καλα οτι μπορώ από το firewall να δρομολογήσω τη δεύτερη να πηγαίνει μόνο σε αυτούς....δεν είναι τεχνικό το θέμα...είναι διοικητικο.

Και επανέρχομαι στην ερώτηση μου...μπορώ με κάποιον τρόπο/ρύθμιση να αποτρέψω το firewall να δίνει πρώτο IP's?

[kostello]

Πας με το ίδιο καλώδιο να συνδεθείς ουσιαστικα σε δυο διαφορετικά δίκτυα με δικές τους ip το καθένα. Αυτό μόνο με vlan μπορει να δουλέψει για να βγεις απο εκει που θες.

αν δεν δινει το firewall πρωτο ip, τοτε πως θα παρουν οι υπολοιποι της εταιρίας? σε ενα δικτυο οταν εχεις 2 dchp servers δεν μπορεις να δωσεις προτεραιότητα στο ποιος θα δωσει πρωτος ip. η συσκευη θα παρει ip απο εκει που θα συνδεθεί πρώτα ή θα παρει ip απο τον dhcp server που θα ανταποκριθει πιο γρηγορα.
Δεν εχω αλλη απαντηση σε αυτο.  Άρα η απάντηση στην ερώτησή σου είναι ότι δεν γίνεται.

το vlan θεωρώ ειναι η καλύτερη σου και πιο απλη λύση. κοψε ενα vlan και ριξε την adsl επανω σε αυτο (με gateway την adsl φυσικα) και συνδεσε το AP επίσης. θα πρεπει να κλεισεις το dhcp του adsl router και να δινεις το ευρος απο το firewall. το adsl router θα το συνδεσεις σε ενα interface του firewall οπου θα το επιλεξεις για το vlan.

στο firewall (αν σου δινει την δυνατοτητα, πχ  mikrotik) κλειδωσε τις mac address των σταθερών που θες να βγαινουν απο το συγκεκριμενο vlan.
Οι ασύρματοι που θα συνδεθουν στο AP θα μπουν στο vlan της adsl πολύ απλά και όμορφα. 

 

[makisg133]

Εντάξει. Το κατάλαβα! Δεν έχω πρόσβαση στο firewall οπότε πρέπει να βρώ εναλλακτικούς τρόπους!

[ΜΑΝΩΛΗΣ1]

Στις 14/12/2018 στις 12:26 ΜΜ, makisg133 είπε

Καλησπέρα σας,

Εχουμε ένα Firewall στην δουλειά το οποίο μας έχει εγκατασταθεί κεντρικά αλλά επειδή ο Διευθυντής θέλει να μπαίνει ασύρματα εκτός απο αυτό βάλαμε μια επιππλέον σύνδεση ADSL η οποία δεν πάει μέσω Firewall και ένα access point να επεκτείνουμε το ασύρματο δίκτυο.

Ενω ρυθμίζω το access point να παίρνει IP από το router της ξεχωριστής ADSL προλαβαίνει το firewall και δίνει δική του IP στις ασύρματε συσκευές που συνδέονται σε αυτό!

Ξέρει κάποιος τον τρόπο (ρύθμιση) η απόδοση των IP να μην γίνεται από το firewall αλλά από το access point?

Να πω οτι και στο ασύρματο δίκτυο του ρούτερ συμβαίνει αυτό και επίσης να σημειώσω οτι και τα δύο δίκτυα είναι συνδεδεμένα καλωδιακά μεταύ τους!

Εγώ νομίζω ότι είναι μέγα λάθος να υπάρχει ανοιχτό ασύρματο δίκτυο σε μια εταιρία και να "βλέπει" το τοπικό δίκτυο της εταιρίας. Μια δεύτερη γραμμή την παίρνεις για αυτούς που θέλουν να έχουν μια σύνδεση με το κινητό τους, για τους πελάτες που έρχονται και θέλουν πχ να δουν κάτι, για να μεταδώσεις ασύρματα κάτι τέλος πάντων.

Στατικές IP παντού, κλείνεις το dhcp στο firewall, και βάζεις MAC Filtering στο access point για να δίνει μόνο σε συγκεκριμένες συσκευές

Εγώ στην δουλειά έχω 3 συνδέσεις Internet

Τις 2 τις έχω κάνει bridge σε ένα Cisco Meraki Firewall για να δίνω στο τοπικό δίκτυο και την άλλη την έχω μόνο για ασύρματο. Μπαίνει το αφεντικό μου από το κινητό του , μπαίνει ο λογιστής που έρχεται μια φορά την βδομάδα, μπαίνει κανάς πελάτης από το κινητό του που θέλει να δει κάτι χωρίς να τρέμει το φυλλοκάρδι μου μην γίνει τίποτα. Γενικά για μια εταιρία δεν είναι τίποτα να δίνει 20-30 ευρώ το μήνα για μια απλή ADSL-VDSL για να έχει ξέχωρα το ασύρματο από το τοπικό της δίκτυο.

Τώρα αν θέλει ο άλλος οπωσδήποτε να μπαίνει ασύρματα κλειδώνεις το dhcp από το router , στατικές σε όσους συνδέονται ασύρματα και mac filtering στο access point για όσους επιμένουν στην ασύρματη σύνδεση.

Επεξ/σία 18 Δεκεμβρίου 2018 από ΜΑΝΩΛΗΣ1

[ΜΑΝΩΛΗΣ1]

Στις 15/12/2018 στις 7:22 ΠΜ, makisg133 είπε

Εντάξει. Το κατάλαβα! Δεν έχω πρόσβαση στο firewall οπότε πρέπει να βρώ εναλλακτικούς τρόπους!

Κάποιος θα πρέπει να έχει πρόσβαση στο firewall. Ποιος σας το έστησε και τι firewall είναι? Μοντέλο και μάρκα . Κανονικά θα πρέπει να έρθει αυτός που σας υποστηρίζει να φτιάξει και τα vlan και όλα. Και επειδή πολλά γίνονται, κόψτε το ασύρματο από το δίκτυο . Πες το και στο αφεντικό σου. Αν θες βοήθεια για το στήσιμο πες μας . Αν μπορείς να κάνεις και μια κάτοψη του δικτύου θα βοηθήσει πολύ για να σου δώσουμε πιο καλές λύσεις

[M@dB0x]

Αυτο που λες και γινεται και εφαρμοζεται σχετικα σε πολλες εταιρειες, αλλα για την προστασια του main δικτυου πρεπει να στηθει σε αλλο subnet το οποιο θα κοβεται η επικοινωνια και απο το firewall. Αυτο συνηθως αν δε γινει με vlan, γινεται με κανονα firewall.

[makisg133]

όπως σας είπα και πριν, εγω καταλαβαίνω τους κινδύνους και τους εχω επισημάνει

...όλοι οι υπάλληλοι είναι κάτω απο το firewall....απλά ο chief (τοπικός διευθυντης σε πανελλαδικής κάλυψης εταιρια) δεν το θέλει για δικούς του λόγους ο οποίοι δεν με απασχολούν...

Απλά ρώτησα αν και πως γίνεται για να του το κάνω. Το οτι δεν είναι σωστό και αν γινει κάτι στο μελλον είναι δικία του η ευθύνη

[kostello]

Οι απαντησεις δοθηκαν.
Τωρα μπαινω σε αλλα χωραφια αλλα θα σε ρωτησω κατι και αν θες απαντας. εισαι ο ΙΤ της εταιρίας? σε ποιον αναφερεσαι? στον διευθυντή αυτόν? ή σε κάποιον άλλον πιο πάνω?
τα ρωταω αυτα γιατι αν γινει κατι και εχεις εσυ αυτη την αρμοδιοτητα, τοτε λυπαμαι αλλα σε απασχολει πολυ, ειναι δικη σου η ευθυνη και εσυ θα βρεις τον μπελα σου. θα πρεπει να ενημερωσεις τον προισταμενο σου οπως και να εχει για το τι σου εχει ζητηθει.
 

Αν δεν ισχυει τιποτα απο τα παραπανω, αγνοησε το ποστ. Παρόλα αυτά, αφου κανεις οτι κανεις, οταν το δωσεις σε λειτουργια, καντο επισημα με γραπτο εμαιλ στον ιδιο επισημαινοντας και γραπτως τυπικα τους κινδυνους. 
Φιλικά...