» Poradna » Počítačové sítě

Je lepsi mit 2DHCP nebo rozdelit sit na VLANy

 |   |  Microsoft Windows 10 Chrome 66.0.3359.181

Ahoj. Zatim mam vse kamery, server a vse na jedne siti. Chtel bych kamery dat na jinou sit. mam PoE MNGMNT 5port switch na nem budou 4 kamery, hl router je mikrotik. je lepsi udelat VLANy, nebo mam jeden port mikrotiku vyhradit a dat mu zvlast DHCP druhe pro kamery. Jen podotku kamery jsou uplne obyc s EBAYe za 300,-https://www.ebay.com/itm/Waterproof-IP66-HD-72... a jako system mi na PC serveriku bezi ZoneMinder. Timpadem ten serverik bude muset mit pristup na obe podsite. Navic mi na tom serveru bezi OpenVPN server, na kamery do site pres WEB pristup byt teoreticky nemusi. Takze vaham. Prave ze mngmnt Switch mam jen jeden. Dalsi switche na patre mam tplinky s OpenWRT, takze tam by se VLANy taky teoreticky daly zprovoznit. Laboroval jsem s tim, ale zatim jen chvili a bezuspesne. Jak byste to relili vy?

Odpovědi na otázku

 |   |  Microsoft Windows 7 Chrome 65.0.3325.183

Takže řešíš otázku zda ty dvě sítě oddělit fyzicky nebo jen virtuálně pomocí vlan?No jestli je to tak a máš možnost toho fyzického oddělení, tím že jim natáhneš samostatné kabely, tak bych preferoval tento způsob. Je to jednodušší varianta než se patlat s vlan.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android AppleMAC-Safari 5.0

Na stranu druhou ale serverik, který by tedy byl v jine sítí musí mít na ty kamery přístup. Ten se stara o kamerovy system jako nwr. Na serveru běží i samba a další věci. Takze musi byt v první sítí.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 60.0

Nevím, co je nwr, znám jen NVR, což bude asi ta správná zkratka.Ale nevidím jediný problém v tom, aby NVR nebo samba běžely v jiné síti. Od toho máme přece routing

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
 | Linux Firefox 60.0

Viz Nargon a Bzuci. Sam to takhle na Mikrotiku mam, aktualne tam mam myslim ctyri nebo pet DHCP serveru. Nektere jsou navazane na bridge, jine na konkretni fyzicky interface.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 60.0

To jako fakt, nebo si děláš legraci? Já považuji za faul už 2 DHCP servery v jedné síti.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 60.0

Failover na DHCP se vždycky hodí Myslím, že Jirka Vejrazka dva DHCP servery v jedné podsíti fakt namysli neměl. A že má na mikrotiku vícero DHCP serverů najednou, to je úplně normální, přesně tak se to totiž v konfiguraci tváří.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Firefox 60.0

Ano, v jedné síti jsou dva nebo víc nezávislých DHCP serverů problém (ale druhý a další můžou být relay primárního).Router může být připojený do víc sítí a v několika poskytovat DHCP, nebo z nich předávat broadcast pakety (se žádostí o přidělení IP) na centrální DHCP (předávání broadcastu se musí na routeru povolit a DHCP server musí mít pooly pro všechny obsluhované sítě).

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 60.0

Problém to být nemusí, už jsem se potkal se sítěmi, kde druhý DHCP server měl nastavený delay 5 nebo 10s (v RouterOS je možné si to nastavit). A jinak se to používá k různým druhům síťových útoků, není nad to přesměrovat síťový provoz wifi pomocí vlastního rychlejšího DHCP serveru přes sebe a spoofovat login na Facebook. Akorát dneska už se všechno šifruje end to end, tak to není taková legrace.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android AppleMAC-Safari 5.0

Pro me neni problem to udelat ani tak ani tak. Ja jen co je podle vas lepsi reseni.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 60.0

Druhý kabel. Je to vidět na první pohled Pokud se chcete učit, a u kamer za 300Kč spolehlivost asi netřeba řešit, jakkoli komplikované řešení je dobrý nápad. Až si dohrajete, a budete to chtít funkční, "očistíte" to podle potřeby

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android AppleMAC-Safari 5.0

Bzuci co myslis druhy kabel? Ja mam celou sit na cat5e vsech 8 zil zapojenych ke kazdemu zarizeni. Takze plnohodnotny. Vlany chcu proto, ze je to vyzva. Router mikrotik, ap na wrt a switch 5port dlink. Takze ruznoroda zapojeni. Vlany na stejnych zariteni neni problem. Nebo myslis ze do pater pripojit 2 kable misto jednoho kde bych nastavil trunk a posilal tim tagovane vlany?

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 60.0

Ne, myslím druhý kabel pro jinou podsíť. Ale jen si hrajte, tím se nic nezkazí, nebojte se toho, a pusťte se do VLAN

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android AppleMAC-Safari 5.0

Vlan mi nedela problemy, ale se stejnymi zarizenimi, vsechny switche linksys, a tak. Ale jak rikam hl zarizeni, ktere se o vlany bude starat je mtik, a wrt a switch s tim zprovozbit bude zajimave.

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
 | Linux Firefox 60.0

Na tom nic zajimaveho nebude, VLAN ID je standardizovana zalezitost hlavicky Ethernetoveho ramce, takze pokud nastavis spravne VLAN ID na vsech zarizenich tak neni duvod, aby to nefungovalo.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android AppleMAC-Safari 5.0

Jj to jo, ale na ruznych zarizenich se to jmenuje a nastavuje jinak. Zkousel ste mikrotik pripojit s wrt? Me se to podarilo na eth porty, kazdy potr mi dodaval jinou ip podle toho, kde jsem to pripojil, ale u virtualnich wifi, uz jsem zkoncil. Nevim jak tam priradit wifine ruzne vlany. U eth portu vpohode. A jak rikam, prakticky to neni problem udelat. Jak prvni, tak druhou verzi. Je pravda ze i ten 5port switch nemusi byt managment. Premyslim kdyz uz jej mam tak jak jej vyuzit

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 60.0

VLAN na OpenWRT je vopruz jaxfiň. Já to nerozdejchal. Ale dá se to, jen je třeba pochopit, jak to k těm portům přistupuje. Na wiki je to krásně vysvětlené.Problém je, že při špatné konfiguraci se z toho routeru taky můžeš nakrásně úplně odříznout, protože si zařízneš komunikaci do CPU.Většinou jsou routery udělané tak, že máš jeden ethernet na CPU, a k němu připojený switch, ze kterého vedou všechny fyzické výstupy:CPU - SWITCH =Takže kromě výstupů na switchi taky musíš dobře nastavit port na CPU a port na Switchi, co vede do CPU. A za to vlastně nemůže ani tak OpenWRT, s jakýmkoli jiným OS budeš mít stejný problém. Ale stejně to raději řeším mikrotikem

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android AppleMAC-Safari 5.0

No já udělal 4 vlany v záložce switch. Na cpu dal všechny taged a untaget jsem dal postupně po jednom portu. Tak to funguje úplně normalne, ja ale potrebuju virtuální wifi udělat na různých vlanach. Jednou jsem ji to taky dodělal, ale uz z práce jsem znalý, ne hrabat do jednoho portu, na kterém to konfiguruju.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android AppleMAC-Safari 5.0

Jeste vsechy kamery jsou pripojene do tohi 5port switche na pude, pripojeni je jeden port s mtiku primo do toho switche pro kamery. Tak ste to myskel? Pokud jo, tak to mam ted. A myslim, ze si muzem tykat ne? Necitim se stary aby mi nekdo vykal, ikdyz to povazuju za slusnost...

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
 | Linux Firefox 60.0

Pokud jsou do switche na pude pripojene jenom ty kamery, tak VLAN nic zajimaveno neprinese (krome zkusenosti) - proste staci ten interface Mikrotiku, ze ktereho vede kabel na pudu, vyhodit z bridge, dat mu vlastni DHCP server. Pak volitelne nastavit firewall, aby ty kamery nemohly do "hlavni" site s vyjimkou toho NVR serveru.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 60.0

Jojo, tak jsem to myslel.Rád lidem vykám, tykání je svým způsobem výsada, byť na internetech to chodí trochu jinak. Tak holt jo, budeme si tykat Bacha na to, že VLAN samy o sobě bezpečnost nepřináší. A s mikrotikem je to trochu ošidné přijít na to, kdy taguje a kdy netaguje. Ale jakmile na to člověk přijde, už je to docela intuitiviní. Řeší se to třeba zde:https://ispforum.cz/viewtopic.php

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android AppleMAC-Safari 5.0

Jj ja to naučené mám, jako základy nastavení a tak, no problemo. Spise mi jde o teorii, co je lepší řešení. A řešení problémů s tím spojených.

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
 | Linux Firefox 60.0

To jako fakt. A silne zalezi na tom, co povazujes za "jednu sit"

Souhlasím  |  Nesouhlasím  |  Odpovědět
 | Microsoft Windows 7 Firefox 60.0

ja mam 3 vlany a 3 dhcp servery. a tiez 3 wifi siete. (wifi pre lepsi dosah mam 2x AP) To vsetko doma. oddelene vlan.1) domaca siet - tam su vsetky zariadenia na kabel+sukromna wifi.2) wifi pre hosti - len pripojenie na internet, nevidia moje zariadenia v sieti + nejake to rychlostne obmedzenie.3) izolovana siet - par ethernet zasuviek+wifi tam mi bezi domaca automatizacia.siete sa medzi sebou nevidia, jedine je tam routing z 3 na 2 pre jeden port, aby bolo mozne sa dostat na web rozhranie na ovladanie.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Macintosh OS X AppleMAC-Safari 5.0

A preco to neriesis pomocou DHCP pool?

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android AppleMAC-Safari 5.0

Tak to mam, kdyz pripojuji vice kancelari, a bytu v bytovce. Tak to udekam i takto. Ikdyz chtel bych prave navazat i na toto. Routery jako ap tplink s wrt bych chtel oddelit a mit vice virtuálních wifi, pro navstavy a dceru at mi neleze na server. Tu by se hodilo prave vlany.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 60.0

VLANy nepomůžou k zákazu přístupu na server. Od toho je firewall.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 59.0.3071.112

Aha, vidím tvůj problém. V první řadě si musíš uvědomit že fyzicky oddělené sítě a VLANy jsou z principu fungování úplně to stejné. Tedy v každém případě budeš mít 2 DHCP servery (jeden pro každou síť), dva různé rozsahy IP adres, a pokud má být z jedné sítě přístup do té druhé tak to bude chtít "router" který je bude propojovat a routovat mezi nimi, pravděpodobně i s nastaveným firewallem, aby do té druhé sítě byl přístup jen na něco. Eventuálně druhá varianta, zařízení dosažitelné z obou sítí bude mít dvě síťové rozhraní, jedno pro každou síť.Jediný rozdíl je v tom že VLAN umožňuje táhnout dvě "oddělené" sítě v jednom fyzickém kabelu, což je nutné správně nastavit na obou stranách toho fyzického kabelu. Ale jinak jsou obě varianty z pohledu nastavení sítě totožné.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Firefox 52.0

Ještě je třeba upřesnit, že 2 a více sítí v jednom kabelu se normálně označuje jako tVLAN (tagged VLAN), zatímco ty oddělené v každém kabelu zvlášť jako VLAN popř. na switchi jako Port based VLAN. Pro prvky v tVLAN patří určitá pravidla, ne všechny označené jako IEEE802.1Q je splňují. Navíc, i když je splňují, tak ve velmi omezené míře, např. je 1 tVLAN (Ubiquiti AP), nebo 8 tVLAN (levné malé administrovatelné switche HP, Netgear, routery Cisco SMB. Laciné 100MB/s switche je např. nepřenesou, i když by teoreticky měly.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 IE 11.0

No a existuje jeden jediný důvod, proč normální domácí síť s C-maskou, tedy s 255 adresami pro čtyři kamery vůbec dělit ? A proč je honit přes DHCP, když jim ty IP můžu nastavit napevno a vůbec to neřešit (zvlášť když stejně musí mít pořád stejnou IP,aby byly vidět z webu nebo NVR, tedy DHCP akorát prodlouží start, že se zeptají na IP a DHCP jim přidělí tu pořád stejnou IP - má to nějaký smysl ?)

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 60.0

A pokud mají ty kamery svoje MAC adresy, tak bych použila směrování rovnou na ně.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 60.0

Ano, IPv4 adres je obecně nedostatek a na 4 zařízení mi stačí vyhradit síť pro 8 adres (vč. adresy sítě a broadcastu). O lokálních adresách se tazatel nezmiňuje.A s DHCP to bude o dost snažší. Pokud tazatel bude chtít cokoli změnit na konfiguraci sítě, stačí přenastavit DHCP server. Slušné DHCP odpovídá v rámci zlomku sekundy, ve zpomalení tedy problém nebude.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android AppleMAC-Safari 5.0

Na co resit rychlost pridelovani, kdyz kamery jsou zapojene pořád. Jinak je otazka zdali 4 kamery dat do jine site. Ale vite co. Chtěl bych se do toho nejak vice dostat. Pro me neni problém udelat na urcitem portu jiny dhcp, ten port pichnout do switche a je to udelat routu aby se serverik v jine siti na to pripojil. Ale taky pomoci vlanu by se dalo. No nic udelam to pomocí vlany, priucim se. Pak zprovoznim vlany i na openwrt ap.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 60.0

VLANy slouží k administrativnímu rozdělení sítí. Jestli v tom hledáte nějakou bezpečnost, jen VLAN vám nestačí. Vektory útoků na VLAN už jsem tu popisoval několikrát Osobně, pokud je to možné, a není třeba těch VLAN dělat víc (třeba pro větší organizaci), volím raději variantu druhého kabelu. Je to spolehlivější a jasnější pro správu. Kompromisní a nejhorší varianta je rozdělit UTP na dvě linky po dvou párech, to je prosím prasárna a nejhorší na tom je, že to funguje...

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Firefox 60.0

Doma bych se na složité rozdělování sítí vykašlal, mělo by to smysl kvůli bezpečnosti ve větší síti. Pokud chceš kamery oddělit bez velké námaky, nastav staticky kamerám a serveru (jako sekundární) IP adresy v jiné síti, než doma používáš. Server se s kamerami spojí, ostatní počítače ne.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android AppleMAC-Safari 5.0

Ja ti vlastne ani nevim, proc to resim, asi proto ze chcu. Funkcne je to momentalne vpohode. Asi je to vyzva, jak jsem psal vyse.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 60.0

Tak, jak to popisujete, by to neoddělilo nic. Na L2 se zařízení spojí tak jako tak, a o vše ostatní se postará router. Zařízení se přes IP normálně spojí, akorát holt přes router. To by tam musel udělat ještě firewall.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Firefox 60.0

Router nebude o druhém rozsahu adres vědět, takže do něj nic nepošle. Routovat by mohl server, ale muselo by se mu to dovolit a nastavit hodně routování : na routeru nebo stanicích přidat statickou routu pro druhý rozsah via server a na kamery výchozí brána=server.Speciální aplikace (znám pro switche) které hledají podle MAC adres a komunikují po L2 by kamery našly, pak si stačí změnit IP podle kamer, ale to už předpokládá cílenou snahu o průnik. Jenže při fyzickém přístupu ke switchům a kabeláži pomůže leda 802.1x, protože stačí přidat před kameru další switch a jsem tam, ať admin oddělil sítě fyzicky nebo do vlan.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 60.0

Jo tak, jakože ten rozsah bude bez brány v routeru, respektive router nebude mít žádnou adresu z toho rozsahu. Ok, to mě nenapadlo, beru zpět :) Akorát pak server bude muset být na obou adresách, to na Windows neumím Switch s touhle schopností nebude stát dost málo na to, aby se dal použít s kameramy za 300Kč. Ale jak píšete, nebude to nejspíš v tomto případě třeba.

Souhlasím  |  Nesouhlasím  |  Odpovědět

Související témata: Mike, CCTV


Určitě si přečtěte

Antivir zdarma: 8 bezplatných řešení, která zatočí s havětí v počítači

Antivir zdarma: 8 bezplatných řešení, která zatočí s havětí v počítači

** Součástí Windows 10 je integrovaný antivirový program. Stačí to? ** Představíme vám sedm aplikací na boj proti virům a malwaru ** Všechny jsou k dispozici zdarma a některé ani nemusíte instalovat

Karel Kilián | 30

Co všechno se spouští se startem Windows a proč by vás to mělo zajímat

Co všechno se spouští se startem Windows a proč by vás to mělo zajímat

** Společně s operačním systémem se spouští řada aplikací a služeb ** Mohou mít negativní dopad na celkovou dobu startu Windows ** Jak získat kontrolu nad automaticky spouštěnými programy?

Karel Kilián | 57

Vyzkoušeli jsme chytrou čínskou zásuvku Sonoff S26 za tři stovky. Nevyhořeli jsme

Vyzkoušeli jsme chytrou čínskou zásuvku Sonoff S26 za tři stovky. Nevyhořeli jsme

** Je sice z Aliexpressu, ale funguje ** Můžete ji ovládat hlasem přes Amazon Echo nebo Google Home ** Za tři stovky zautomatizuje menší 230V spotřebič

Jakub Čížek | 108

10 novinek Androidu 10, které vás budou bavit

10 novinek Androidu 10, které vás budou bavit

Jan Láska, Vladislav Kluska | 28

13 praktických tipů a triků pro Mapy.cz, které možná neznáte

13 praktických tipů a triků pro Mapy.cz, které možná neznáte

** Mapy.cz neslouží jen k zobrazení podkladů a plánování tras ** Nabízejí celou řadu dalších praktických funkcí a možností ** Vybrali jsme třináct tipů a triků, o kterých možná (ne)víte

Karel Kilián | 31

20 tipů a triků pro Gmail: Užitečné maličkosti, které zefektivní práci s e-maily

20 tipů a triků pro Gmail: Užitečné maličkosti, které zefektivní práci s e-maily

** V Gmailu je řada užitečných funkcí, které možná všechny neznáte ** Odeslání mailu můžete například pozdržet či naplánovat na později ** Nad Gmailem můžete mít s několika triky daleko lepší kontrolu

Karel Kilián | 25

Nejlepší notebooky do 10 000 korun: Co koupit a čemu se raději vyhnout

Nejlepší notebooky do 10 000 korun: Co koupit a čemu se raději vyhnout

** Do deseti tisíc korun lze dnes koupit slušné notebooky ** V nabídce ale i tak převládají zastaralé a pomalé modely ** Poradíme, jak dobře vybrat i s omezeným rozpočtem

David Polesný | 100


Aktuální číslo časopisu Computer

Megatest 20 procesorů

Srovnání 15 True Wireless sluchátek

Vyplatí se tisknout fotografie doma?

Vybíráme nejlepší základní desky