VPN e LAN locale

[Dobrobuz]

Buongiorno,
premetto che non sono un esperto di reti.

Attualmente la mia rete domestica è costituita da:
- modem/router fritz box 7530
- switch 8 porte TP-link
- switch 8 porte Zyxel web managed
- 1 NAS multimediale (2 porte LAN)
- 1 NAS backup Synology (2 porte LAN)
- vari dispositivi wireless e cablati (TV,PC, smartphone)

Il NAS-Backup vorrei utilizzarlo per fare una copia di alcuni dati del NAS multimediale ed eseguire il salvataggio dei dati presenti su un mini PC di un parente che dovrebbe usare una VPN.

Vorrei quindi, aprire un canale VPN in modo da accedere dall'esterno al solo NAS backup.
In particolare però vorrei che tramite la VPN venisse "visto" solo il NAS-backup e inibite tutte le altre risorse (il massimo sarebbe in base al tipo di utente connesso in VPN).
Il fritzbox ha una sua VPN, ma si appoggia ad un suo servizio esterno, inoltre chiedendo al servizio clienti non è in grado di inibire la visibilità delle risorse di rete locali.

Leggendo un po' in giro ci sarebbe la possibilità di utilizzare le VLAN per suddividere logicamente la rete di casa in più zone: home, ufficio, IOT, nas-backup purtroppo solo lo switch Zyxel gestisce le VLAN, quindi dovrei aggiornare/acquistare qualche dispositivo aggiuntivo.

Avete qualche consiglio su come disegnare la rete e/o come procedere con le varie configurazioni?

Grazie in anticipo

[rejavi]

@Dobrobuz l'ideale e' avere un router che gestisce le vlan a monte in modo da gestire anche l'eventuale routing tra le vlan (per gestire e configurare i device iot per esempio) a cui poi collegare i vari switch managed (o easy managed/web managed dipende dalla marca), questo nel tuo caso vuol dire che il tuo 7530 poi farebbe solo da modem e quindi dovresti anche comprare access point wifi5/6 in base a esigenze, e se c'e' di mezzo anche il voip altra rogna (dipende dal provider). il router in questione dovrebbe fare anche sqm/qos un po' avanzato senno i backup via vpn fatti da remoto ti mandano a quel paese le latenze dalla tua connessione a casa, quindi decisamente qualcosa con openwrt o derivati per non svenarsi su prodotti aziendali da migliaia di euro (che poi neanche fanno sto gran che di qos). in soldoni un raspberry pi 4 con sd, alimentatore, case passivo per dissipare ti costa circa 100euro, una seconda schehda di rete usb 3.0 ti costa circa 15euro (tp-link) ci installi openwrt e risolvi per la parte router, switch easy managed tp-link 8 porte costano circa 30euro, a questo devi aggiungere access point in base a esigenze.. va bene che poi avresti una rete gestita a dovere ma praticamente ti costa meno tempo/fatica/soldi comprare un nas per il tuo parente da mettere a casa sua, qualcosa che offra gia' di suo un accesso remoto sicuro e lo gestisci tu

[Dobrobuz]

Ciao Rejavi, grazie per la risposta.

Quote:

Originariamente inviato da rejavi

@Dobrobuz l'ideale e' avere un router che gestisce le vlan a monte in modo da gestire anche l'eventuale routing tra le vlan (per gestire e configurare i device iot per esempio) a cui poi collegare i vari switch managed (o easy managed/web managed dipende dalla marca), questo nel tuo caso vuol dire che il tuo 7530 poi farebbe solo da modem e quindi dovresti anche comprare access point wifi5/6 in base a esigenze, e se c'e' di mezzo anche il voip altra rogna (dipende dal provider).il router in questione dovrebbe fare anche sqm/qos un po' avanzato senno i backup via vpn fatti da remoto ti mandano a quel paese le latenze dalla tua connessione a casa, quindi decisamente qualcosa con openwrt o derivati per non svenarsi su prodotti aziendali da migliaia di euro (che poi neanche fanno sto gran che di qos).

Per quanto riguarda la parte telefonica attualmente ho il telefono collegato alle porte dedicate del Fritzbox, ci sarebbero problemi a lasciarlo così?

Quote:

Originariamente inviato da rejavi

in soldoni un raspberry pi 4 con sd, alimentatore, case passivo per dissipare ti costa circa 100euro, una seconda schehda di rete usb 3.0 ti costa circa 15euro (tp-link) ci installi openwrt e risolvi per la parte router, switch easy managed tp-link 8 porte costano circa 30euro, a questo devi aggiungere access point in base a esigenze..

Se trovassi un router con porte Ethernet e WiFi non sarebbe sufficiente? Avevo visto un router della Mikrotic che con 65€ aveva le porte Gigabit e il Wifi. Spero che il concetto di VLAN venga propagato anche tramite WiFi o bisogna avere access point separati?

Quote:

Originariamente inviato da rejavi

va bene che poi avresti una rete gestita a dovere ma praticamente ti costa meno tempo/fatica/soldi comprare un nas per il tuo parente da mettere a casa sua, qualcosa che offra gia' di suo un accesso remoto sicuro e lo gestisci tu

Su questo sicuramente non c'è dubbio, ma speravo di cavarmela con poche decine di euro e imparare qualcosa di nuovo.

Grazie

[rejavi]

Quote:

Originariamente inviato da Dobrobuz

Per quanto riguarda la parte telefonica attualmente ho il telefono collegato alle porte dedicate del Fritzbox, ci sarebbero problemi a lasciarlo così?

no, l'eventuale router che ti gestirebbe la rete lo metti in cascata al fritz che poi farebbe solo la fonia, poi dipende dal provider.. per esempio con tim, che permette connessioni multiple, puoi fare pppoe passthrough ed evitare doppio nat.

Quote:

Se trovassi un router con porte Ethernet e WiFi non sarebbe sufficiente? Avevo visto un router della Mikrotic che con 65€ aveva le porte Gigabit e il Wifi. Spero che il concetto di VLAN venga propagato anche tramite WiFi o bisogna avere access point separati?

il wifi non ne sa nulla di vlan, l'interfaccia wireless viene messa in bridge con una porta ethernet (singola o facente pare di uno switch) per essere isolata. come avviene dipende poi dal produttore, quindi tutto dipende dal software. cmq si, per esempio, un device ethernet+wifi con openwrt puo' gestire sia vlan cablate che "wireless", se invece colleghi un access point a valle di una vlan questo sara' isolato come qualsiasi altro device.

Quote:

Su questo sicuramente non c'è dubbio, ma speravo di cavarmela con poche decine di euro e imparare qualcosa di nuovo.

tutto dipende da di che banda stiamo parlano.. fare routing di una adsl 20mega e' un conto, fare routing di una ftth gigabit e' un alto.. se poi ci aggiungi una vpn, del traffic shaping e/o altro diventa tutto piu impegantivo per il device, i cicli cpu prima o poi si esauriscono il conto "a spanne" che ti ho scritto nel mio primo post copre anche il routing gigabit ma se si parla di meno banda ci sono parecchi device, anche nel mercato dell'usato, da prendere in cosiderazione. ricorda che puoi anche non spendere 1euro ed usare virtualbox o wsl per installare openwrt e fare tutte le prove del caso ed imparare a costo 0.

[OUTATIME]

Senza scomodare le VLAN, basta un raspberry che faccia da server VPN con NAT, e routing solo verso il NAS.
Collegato il mini-PC alla VPN, ha il routing solo verso il NAS.