Doppia classe di indirizzi sullo stesso switch

[karllee81]

Ciao a tutti,
cercherò di essere breve e spero possiate darmi una mano.

Nell'azienda dove lavoro c'è la seguente gerarchia di rete (in maiuscolo i nodi):

INTERNET: (6 IP fissi, di cui occupati)
|_server web
|_centralino
|_ROUTER WIRELESS (che fa da access point)
|_FIREWALL
---|_SWITCH (ufficio 1)
------|_server dc
------|_client [1-20]
------|_ACCESS POINT WIRELESS 1
------|_FIBRA OTTICA (porta la rete in un'altra sede)
---------|_SWITCH (ufficio 2)
------------|_client [1-20]
------------|_ACCESS POINT WIRELESS 2
------------|_ACCESS POINT WIRELESS 3

La rete interna ha una classe di indirizzi tipica con range (192.168.1.[1-254]) valido sia per l'ufficio 1 che per l'ufficio 2, il cui rilascio è gestito dal DHCP del server-dc.

Entrambi gli access point garantiscono sia l'accesso internet che l'accesso alle cartelle di rete.

Il router wireless che è messo fuori rete, usa uno degli ip fissi della connessione internet e, configurato come DHCP distribuisce un range di indirizzi sulla stessa classe (95.38.1.[2-30]). Esso funziona come rete wireless per gli ospiti.

Quello che vorrei fare è una rete wireless ospiti anche nell'ufficio 2, con classe ip differente, ovvero che permetta la connettività internet ma inibisca l'accesso alla rete. E' successo infatti in passato che gente connessa in wireless, pur non avendo credenziali di dominio, abbia diffuso un virus.

Le mie prove:

Ho settato l'IP del ROUTER WIRELESS come 95.38.1.1, ho disabilitato il DHCP ed ho collegato una delle sue uscite LAN alla rete.

Ho settato l'IP dell'ACCESS POINT WIRELESS 3 come 95.38.1.2 ed ho attivato il suo DHCP per distribuire gli indirizzi 95.38.1.[3-20].

Problema, di notte il server-dc si riavvia ed al mattino ci sono dei malfunzionamenti sulla lan della VM che ha preso un indirizzo dal DHCP dell'ACCESS POINT WIRELESS 3 invece che dal domain controller.

Ho quindi dovuto rimettere tutto come prima e staccare l'ACCESS POINT WIRELESS 3 perché ridondante.

Avete qualche idea o suggerimento di come potrei fare a risolvere il problema?

Grazie!

[karllee81]

Aggiungo un piccolo schema grafico affinchè possa essere d'aiuto. Lo trovate all'indirizzo:

http://www.campania30.it/images/Rete.jpg

In pratica quello che vorrei fare, con quello che ho, sono due reti guest per internet.
Una si riesce a fare in ufficio 1, collegando il router wireless direttamente allo switch con l'antenna (che fornisce 6 ip e fa da gateway) e impostandolo come dhcp in modo da fornire un range ad esempio x.x.x.[3-30] (stessa classe di indirizzi dell'antenna).

La rete wireless guest ci serve però particolarmente nell'ufficio 2 mediante l'access point 3.

Avevo provato a fare un "collegamento ip" tra il router (evidenziato in arancione), disattivando il dhcp nel router e attivandolo nell'access point 3 (dandogli ip x.x.x.2 e fornendo come gateway il router ovvero x.x.x.77), credendo che il range di indirizzi (x.x.x.[3-20]) venisse distribuito solamente a chi si connetteva via wireless. Però c'è il problema che poi anche a chi si collega ad uno dei due switch lan, può essere assegnato un ip fuori dal range della rete interna (che è del tipo 192.168.1.[100-200], gestita dal server-dc).

In sostanza vorrei trovare un qualche modo per cui, chi si connette all'access point 3 non veda la rete interna, perciò avevo pensato alle due classi distinte di indirizzi ip.

[franzauker2.0]

Bhè dipende essenzialmente se volete qualcosa di affidabile (= gli ospiti non possono far nulla, neppure cambiando la configurazione) oppure no (=gli ospiti sono abbastanza affidabili).

Il tuo problema nasce dalla richiesta di convivenza di due server DHCP, ma ti ricordo che esso è individuato mediante il pacchetto DHCPDISCOVER che è lanciato in broadcast (255.255.255.255), cui vengono risposti con uno o più DHCPOFFER.
Se il server è uno ovviamente ce ne sarà uno solo, ma se son due o più saranno di conseguenza due o più.
A quel punto il client rimanda un broadcast con DHCPREQUEST coi parametri che ritiene giusti, sicchè gli altri server dhcp si rendano conto di quale è stato il dhcp prescelto dal client, a questo punto arriva il DHCPACK

Hai quindi
discover =>
offer <=
request =>
ack <=

Poi c'è un eventuale relayer che "routa" le richieste.

Nel tuo caso ci vorrebbe o una gestione del server dhcp (nel senso di un server dhcp "vero", non qualche accesspoint solcazzo) o un superbrutale firewall-baracchino che blocchi tutto il traffico dhcp (67&68), e già che ci siamo anche tutto quello che non è internet) tra la rete ospiti e il resto del mondo.

[superbubba]

Per quanto riguarda l'SSID per i guest, se i tuoi AP gestiscono l'SSID multiplo potresti allora crearne uno apposta. Quindi riversare il traffico dagli AP agli switch attraverso un trunk 802.1Q.

La distribuzione degli indirizzi IP andrebbe centralizzata su di un DHCP server e le richieste convogliate verso quest'ultimo dagli switch (che presumo siano L3) con il metodo di DHCP relay, VLAN per VLAN. Il DHCP server, anche se non vede direttamente le VLAN, conosce a priori la classe di indirizzi da assegnare ai client grazie proprio all'indirizzo del relay. Sul DHCP server vanno creati tanti pool quante sono le subnet che abbisognano del DHCP.

Una volta implementato uno schema del genere non c'è alcun bisogno di filtrare le DHCPDISCOVER ma bensì impostare precise access list (sugli switch L3 direi io) che permettano esclusivamente il traffico dalla rete guest ad internet e viceversa.

Questa è solo un'idea di base, la soluzione è migliorabile soprattutto dal punto di vista della sicurezza ma molto dipende dalle proprie conoscenze di rete e dagli apparati a disposizione.

[karllee81]

Grazie ad entrambi per gli ottimi suggerimenti!
Appena implementerò un metodo vi farò sapere come sarà andata.