BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Configuración de red con 2 gateways y dos redes WiFi

Azoor

Les pongo en antecedentes,

Tengo una red con:

  • 2 Switch D-Link DGS-1210 de 24 puertos cada uno y conectados entre sí. Son gestionables.
  • 2 Gateways por las que salir a internet.
  • Rango de ips de la red de datos: 192.168.1.0/255
  • Ips de las gateways: 192.168.1.100 y 192.168.1.200

Uno de los gateways es una adsl normal y el otro es un router de telefónica que nos conecta mediante una macrolan a otras sedes y por el que también es posible salir a internet.

Ahora mi intención es añadir un punto wifi unifi ubiquiti el cual debería tener dos redes wifi, una para invitados y otra para los empleados y nunca deberían llegar a verse entre ellas.

  • La red wifi de invitados debería salir a internet sin poder acceder a la red de datos.
  • La red wifi de empleados debería poder tanto salir a internet como llegar a la red de datos.

Imaginemos que a la red wifi de empleados le asigno un rango de ips: 192.168.1.XXX, con ello conseguiría poder salir a internet y también estaría dentro de la red de datos, pero que debería hacer con la red wifi de invitados? Si le asignase un rango 192.168.2.XXX ¿sería suficiente para aislarla de la red de datos de forma segura?, no lo tengo la verdad, además no vería las gateways por estar en otra subred, ¿no?

Para acabar de rizar el rizo, la red de datos (192.168.1.XXX) debe poder salir por cualquiera de las dos gateways.

Os agradecería un poco de orientación para poder solucionar este dilema.

Muchas gracias por adelantado.

Actualmente no hay configurada ninguna VLan en los switch.

Y ahora es cuando llegan todas las dudas, ¿cómo lo podría hacer? O mejor dicho ¿cómo lo haríais?

BocaDePez
BocaDePez
-1

¿Y la nómina/factura sólo la piensas cobrar tú, o la repartes con quien te solucione la papeleta?.

🗨️ 2
Azoor

Muchas gracias por tu infinita "empatía" con los que buscan ayuda...

Igual eso hace que cobres más en tu nomina.

🗨️ 1
BocaDePez
BocaDePez

"Igual eso hace que cobres más en tu nomina."

Lo meridiano es que darte la solución mascada no aumenta nuestra bolsa de monedas, sólo la tuya.

Una vez más, Tolerancia CERO al intrusismo.

BocaDePez
BocaDePez

Una pista vlan.

🗨️ 1
Azoor

Hola, si en mente tenía trabajar con Vlans, pero no tenía claro como aplicarlo y de ahí todas mis dudas.

Muchas gracias.

Spyd
1

Si no quieres complicarte la vida, en el SSID de invitados activa el "AP isolation" o similar, que es la función para que el cliente conectado sólo tenga salida a la puerta de enlace, y que no pueda conectar con nada más de la red local.

Si tienes planes para otras cosas, como por ejemplo que sí puedan acceder a cierto servidor local, etc, tendrás que crear una VLAN específica, asignar esa VLAN a la wifi de invitados, y configurar el servicio de DHCP para que a los miembros de la VLAN de invitados tengan otro rango de IPs (aunque esto no es estrictamente necesario, pero es recomendable). Y por último que los servidores que si sean visibles tengan asignadas IPs en cada rango (con su VLAN configurada también).

Respecto a salir a Internet por dos router, no se cómo lo tienes montado, pero si tienes físicamente dos routers, tendrías que comprar un router neutro con capacidad de balanceo de carga, configurar los routers actuales como módems / bridges (o usar DMZ) desconectarlos de la red y conectarlos a los puertos WAN del nuevo router, y usar sólo este para la red local, y activar el balanceo de carga como mejor te parezca. Además eso significa tener que gestionar sólo un router, ya que los router de operadora dejarán de tener opciones que tengan que cambiarse o monitorizarse.

🗨️ 7
Azoor

Hola Spyd,

Para empezar te agradezco mucho tu ayuda.

La idea es complicarme lo menos posible con este tema. He estado mirando lo de activar el "AP isolatión" y no lo he visto en la configuración del SSID. Lo miraré a fondo por si se me ha pasado y si no está disponible optaré por lo que comentas de las Vlan. Lo había pensado (como he comentado en mi anterior respuesta a otro forero), pero por no dominar el tema me surgen muchas dudas.

- Por ejemplo, si creo una vlan específica para la wifi de invitados, ¿también debería crear una para la wifi de empleados?

- Imaginemos que creo dos vlan en el punto wifi, una para la wifi de empleados con rango 192.168.1.XXX para que en el switch pueda ver el resto de la red (servidores,pcs,puertas de enlace, etc) y una segunda vlan para para invitados con otro rango 192.168.101.XXX.

Esas dos vlan estarian segmentadas/aisladas en el punto wifi, pero ¿y en los switchs? ¿siguen estando aisladas y sigue siendo seguro? o ¿habría que crear también vlan en los switchs?

- Por otro lado si la vlan de invitados tiene el rango de ips 192.168.101.XXX no vería ninguna de las dos puertas de enlace que están en la subred 192.168.1.XXX por lo que ahí ya me acabo de perder del todo.

En cuanto a lo que comentas del router neutro va a ser complicado, dato que en el router del proveedor de telefonía (el que nos une en la macro-lan con otras sedes), no nos permite acceder a la configuración.

Te agradezco mucho tu tiempo y paciencia conmigo y perdona mi ignorancia.

Saludos.

🗨️ 6
Spyd
1

"AP isolation" se puede decir de muchas formas. Por ejemplo, en el router que tengo en casa se llama "Clients Isolation", en la gama profesional de TP-Link se llama "Guest network" o "Red de invitados"

image.png

Cuando trabajas en un entorno de VLAN, si no se especifica nada, la VLAN es la 1. Así que los equipos que no estén configurados pertenecen a la VLAN 1. Puedes crear una VLAN nueva, por ejemplo la 100 que sea la de invitados, tendrás que configurar los switches para que los puertos correspondientes estén etiquetados (tagged) con la VLAN 100, y, lo más importante, que el SSID de la wifi de invitados sea miembro de 100 pero no miembro de 1.

De todas formas es de seguridad básica activar el AP isolation en las wifis públicas, porque no sólo tienes que proteger tu red local de posibles ataques externos, sino que también es buena política proteger a los usuarios de la wifi pública de ataques que se produzcan desde dentro de la misma wifi. Y como has insistido que no te quieres complicar la vida, encuentra la opción, que seguro que está.

Si los routers que tienes son complicados de usar, llama al servicio técnico del fabricante del router y seguramente se solucionarán el problema. Hasta yo una vez tuve que tirar de servicio técnico la primera vez que configuré un switch L3 y no sabía como configurar el gateway para que el switch pudiera salir a Internet...

No es necesario que un switch tenga creadas las VLAN, si el switch es compatible, lo único que necesitas es crear las reglas que quieras para crear conexiones etiquetadas o no etiquetadas (untagged). Obviamente si creas las VLAN será más fácil de configurar.

Las VLAN afectan a toda la red compatible. Eso significa que todos los equipos de red compatibles pueden (y deben) estar configurados para gestionar las VLAN. Los dispositivos que no son compatibles (como por ejemplo un switch básico), los controlas configurando el puerto del switch al que está conectado como untagged y ese switch sólamente verá la VLAN a la que pertenece, pero no puede "transmitir" los paquetes del resto de VLANs.

Por el tema de la visibilidad del gateway, no hay problema, cuando creas el nuevo rango de IPs, el router también pertenece a ese rango; en tu ejemplo tu router tendría las IPs 192.168.1.1 y 192.168.101.1

Lo único que necesitas del router del proveedor de telefonía es que te configuren una IP con DMZ por DHCP. Simplemente eliges un puerto WAN del router de balanceo de carga, te apuntas la MAC de ese puerto, y les dices, "oye, a esta MAC le poneis la IP x.x.x.x y le configuráis el DMZ" y listo.

🗨️ 5
Azoor

Hola Spyd,

Disculpa por no haberte contestado antes.

Con toda la información que me has dado, has aclarado las dudas que tenía y te lo agradezco muchísimo. Ha sido toda una masterclass. Intentaré aplicar todo lo que me has enseñado ;)

Como tú dices para todo hay una primera vez y hay que recurrir a quien sabe más y puede y desea ayudar.

No te conozco, pero por haberme ayudado de forma altruista demuestras la clase de persona que eres y de paso rescatas el motivo principal que motivó en su día la creación de foros en general, que no es otro que compartir información y conocimiento para ayudar a los demás.

A pesar de que haya quién o se ha olvidado o nunca ha llegado a saber cual era la función de un foro, hay que desearles que el día que ellos necesiten ayuda, encuentren a alguien como tú, al que no le importe ayudar sin esperar nada más a cambio que la satisfacción de haber ayudado u orientado a los demás.

Admiro a la gente que comparte sus conocimientos, porque de ésta manera crecen personalmente y hacen que los demás también mejoren y eso es señal de inteligencia, empatía y liderazgo.

Lo dicho Spyd, mil gracias y buen fin de semana.

Saludos.

🗨️ 4
vukits
🗨️ 3
Azoor
🗨️ 2
vukits
1
🗨️ 1
Azoor