Krásné pondělí všem,
přicházím s trochu atypickým dotazem možná - čeká mě nutný redesign sítě a upřímně nevím, jakým směrem se správně vydat. Bude to asi trošku delší, za což se omlouvám. Budu hrozně moc rád, pokud si někdo načte chvíli čas a přečte si to.
Prvně - celá stávající "síť" vznikala postupně tím, že to mám jako koníček. Z původně pootevíraných portech na veřejkách (po domluvě s lokálním ISP) se záhy stalo propojení sítí blízké rodiny pomocí L2TP tunelů (jednak pro vzdálenou správu, druhak např. zálohování NASů mezi sebou atd.).
Pak jsem začal připojoval (v podstatě hlavně kvůli vzdálenému managementu) sítě známých, které jsem předělával do "funkčního stavu" (z typického BFU stavu do něčeho funkčního --> rozmístit APčka, vyhodit 3 repatery za sebou atd.)
Postupně to ale organicky narostlo do rozměrů, kdy už mi stávající koncept přestává stačit a já bych to rád navrhl znovu a lépe. Budu vděčný za jakýkoli nápad nebo nasměrování jakým směrem se ubírat, nebo na co myslet.
Jak to teď vypadá:
Jako hlavní uzel mi funguje MikroTik (budu přecházet z RB1200AHx2 na CCR1036).
Mám zaterminovaných zhruba 20 vzdálených lokalit. Topologie je (dle AI) Hub & Spoke. Většina těch vzdálených sítí je ke mně připojená přes L2TP/IPSec VPN, pár míst (včetně jedné malé rodinné firmy) mám napojených napřímo přes 5GHz/60GHz PTP spoje. Každá lokalita má svou přípojku do internetu (nejsem ISP, ani žádná firma, co by se tím to živila).
Snažím se to celou dobu stavět tak, aby každá vzdálená síť fungovala "klasicky" jako samostatný celek. Když centrum té hvězdy (RB12000/CCR) lehne, tak aby ve vzdálených sítích vše fungovalo (samozřejmě až na provoz, který se směruje přes tu hvězdu, např zálohování ze sítě A do B, které jsou obě připojeny do té hvězdy atd.)
Vzhledem k tomu, že chci mít ty vzdálené sítě mezi sebou různě prostupné (na základě Firewallu v centru té hvězdy), musím mít v každé té vzdálené síti unikátní adresní prostory. V současnosti to je tak, že si na každou lokalitu "rezervuji" 5 Subnetů 192.168.X.0/24 (MGMT, LAN, IPC, IoT, Guest). Některé vzdálené sítě mají rezervováno subnetů 10 (např. malá rodinná firma)
HW na kterém to běží je v podstatě výlučně MikroTik, bo s ním se se v podstatě začal o síťařinu zajímat a "vyrostl jsem s tím". Routování řeším staticky - na vzdálených routerech směruji 192.168.0.0/16 na to RB1200/CCR, kde už pak sedím kompletní routovací tabulka. Asi si myslím, že mě tento způsob nějak neomezuje a nemám pocit, že bych musel nasadit OSPF nebo RIP (nepotřebuji aby ve vzdálených routerech byly záznamy o kompletně všech existujících sítích)
Co je špatně a je potřeba vyřešit
Možná za chvíli dojdou adresy?:
Mám pocit, že s aktuálním tempem a s tím, co mne v budoucnu čeká, mi dost pravděpodobně může dojít ten pool 192.168.0.0/16 s rezervací 5ti /24 pro každou vzdálenou síť.
Zabezpečení té "centrály":
Moje "centrála" je v podstatě původně moje domácí síť. Má v tuto chvíli strukturu VLAN: LAN, IPC, IoT, Guest. Všechny tyto VLANy jsou terminované na tom samém routeru jako ty L2TP tunely od klientů. Mezi pobočkami je defaultně drop, ale mám tam dost výjimek (křížové zálohy NASů k sobě, nahrávání kamer, portforwarding z mé veřejky na např. VPN ve vzdálené síti atd).
Největší zádrhel vidím v mojí "LAN". Aktuálně se v ní skrývá úplně všechno: management mých lokálních síťových prvků, servery (NAS, PVE cluster, iSCSI propoje, NetXMS pro monitoring celé sítě, SQLka atd.) a do toho normální koncoví uživatelé (moje rodina, telefony, notebooky) a i mé PC/NTB ze kterých celý ten můj výmysl managuji.
Na vzdálených routerech mám uděláno něco ve stylu:
/ip firewall filter add action=accept chain=input comment="Acept input from VPN" in-interface=iface-l2tp.vpn
To samé pro input. Zkrátka spoléhám se na centrální FW na té hvězdě pro zjednodušení. A tam mám podobné pravidlo, že cokoli jde z vlany LAN je forward accept. Tj. z mé LAN se dá dostat úplně všude.
S čím bych od vás potřeboval poradit:
Adresace vzdálených lokalit: Jak byste v desítkovém rozsahu logicky rozsekali IP adresy pro cca 20-30 lokalit (každá s 5-10 VLANami) s prostorem pro nějakou další expanzi? Jakým směrem byste uvažovali/přemýšleli?
Restrukturalizace mojí "centrály": Jak byste mi doporučili ten můj hlavní uzel rozsekat? Vím, že je to extrémně třeba a už to sám cítím. Ale nevím, jakou přijmout koncepci.
Potřebuji odseknout zvlášť MGMT z LAN a udělat nějakou serverovou backbone patrně. Páteřní spoje mám doma už v multigigabitu (10G/5G/2.5G) - zejména mezi servery a pár koncových stanic.Přičemž přístup na NAS asi nechci kvůli rychlosti (je připojen 10G SFP+ DACem) routovat, ale spíše switchovat, abych zbytečně nezabil ten router.
Oddělit servery do další separátní VLANy, kde budou mezi sebou komunikovat (SQL, iSCSI atd.; případně to sloučit s MGMT vlanou?)? A přes jaké rozhraní pak nechat přistupovat klienty? Routovat to do té serverové VLANy?
A hlavně potřebuji nějak vymyslet aby bylo nějak flexibilní a bezpečná ta správa těch všech dalších vzdálených sítí. Povolit forward do těch sítí např. pouze jenom z nějakého dalšího VPN Poolu na mikrotiku? A i když budu v LAN, tak si vytočit tu VPNku? Nebo k tomu přistupovat nějak jinak?
Jsem v tomto v podstatě samouk a ten stávající koncept jsem nějak vyrobil, když mi bylo asi 13/14 let. Vím, že to není ideální a je třeba s tím něco udělat. Avšak vždycky, když nad tím začnu přemýšlet, tak mám pocit, že jsem v pasti, protože nevím, jakým směrem se nejlépe vydat a začnu z toho mít "deprese" 🤣🫣. Proto žádám o radu zde
Byl bych opravdu vděčný za každé nakopnutí, radu z praxe, nebo i konstruktivní kritiku, pokud nad tím přemýšlím úplně špatně.
Předem obrovské díky za váš čas a ochotu!
PS: Někdo sbírá známky, angličáky a já jsem takový "pošuk", že mám koníčka tady v tomto 🙃
