Condivisione internet in condominio

[HanaBay]

Ciao a tutti,
è la prima volta che posto qui, innanzitutto complimenti, noto con piacere che questo è veramente un forum molto attivo e ricco di persone competenti!

Ma passiamo al dunque:

recentemente mi è stato chiesto di realizzare un progetto per la condivisione di una linea dedicata (non so ancora quanta banda verrebbe utilizzata) in un condominio di venti appartamenti, naturalmente dopo aver sconsigliato l'implementazione di un sistema del genere (per motivi quali privacy, liti tra condomini, problemi di banda etc..) mi è stato comunque chiesto di portare avanti la cosa.

Quindi la mia domanda è la seguente, sarebbe possibile effettuare il tutto con
uno switch cisco 3560 24 porte (con un firewall a monte ovviamente), creando 20 vlan separate, con ogniuna un proprio indirizzamento ip per far si che in ogni appartamento sia sufficiente che l'utente colleghi il pc alla presa nel muro (o a un'altro switch in cascata) per poter navigare?
E se il 3560 non dovesse andare bene che switch mi consigliereste?

Ciao e grazie per le eventuali risposte!

[k4mik4ze]

Mah...problemi di privacy non ne vedo: le vlan nascono anche, se non proprio per questo scopo.

Per quanto riguarda le liti tra condomini per banda e chissa' che altro....credo ci sia un modo per associare ad una determinata porta un X massimale di banda passante...non so se questa feature ci sia sulla serie 35, ma credo che il dubbio possa essere risolto andando a vedere su www.cisco.com).

Per il problema di gestire di fatto 20DHCP pool [diciamo una ventina di /29?...non ti so aiutar! Non ho molta esperienza purtroppo...e non riesco a trovare un datore di stipendio strettamente nel networking :°°°

[HanaBay]

Per il problema DHCP lo risolverei mettendo in ogni appartamento in gateway 4 porte, magari wireless (configurato a dovere).
Il mio problema è capire se tale switch lo posso configurare in modo da ottenere 20 vlan con le rispettive subnet separate (es. vlan1 192.168.1.x, vlan2 192.168.2.x, vlan3 etc..) facendo in modo che puntino tutte all'indirizzo della porta lan del firewall (che ne so 192.168.0.254), che poi si collega a una linea dedicata...

Comunque grazie per la risposta!!

[Marx]

Mah...problemi di privacy non ne vedo: le vlan nascono anche, se non proprio per questo scopo.

Per quanto riguarda le liti tra condomini per banda e chissa' che altro....credo ci sia un modo per associare ad una determinata porta un X massimale di banda passante...non so se questa feature ci sia sulla serie 35, ma credo che il dubbio possa essere risolto andando a vedere su www.cisco.com).

Dovrebbe usare il QoS in base all'indirizzo IP. Si chiama policing, e puoi classificare il traffico in base alla subnet e poi assegnare a ciscuna di queste la banda che vuoi. Poi applichi il blocco di configurazione in uscita ed in ingresso sull'interfaccia pubblica.

Il problema è che credo sia illegale usare un abbonamento singolo in un condominio. Però è difficile che ti becchino. Altro problema: se uno fa danni su internet chi ne risponde? A chi va intestato il contratto?
Mica cose da micio micio baubau

Per il dhcp
ip dhcp pool net-1
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
!
ip dhcp pool net-2
network 192.168.2.0 255.255.255.0
default-router 192.168.2.254
!
interface vlan1
ip address 192.168.1.254
!
interface vlan2
ip address 192.168.2.254

Poi mi dai una parte del tuo stipendio eh?

[HanaBay]

Ciao!
In effetti hai proprio ragione infatti fare un sistema del genere per me è una caxxata pazzesca e l'ho caldamente sconsigliato... ma si sa, il cliente decide e questa volta si assumerà anche le proprie responsabilità.
Per il contratto di fornitura internet unico non sarebbe un problema dato che i condomini costituirebbero una specie di associazione condominiale.

Comunque grazie molte per la risposta completa anche se a dire il vero non ho ancora capito una cosa (sono un po duro), ovvero come fanno poi le varie vlan ad avere tutte il gateway in comune? Nel senso che da quello che mi hai postato tu il default gw per ogni vlan è quello che termina con ".254", e questo significa che ogni vlan possiede un suo indirizzo come gw, ma come faccio ad indicare a tutte le vlan che l'unico gw internet è per es. 192.168.0.254?
Se sto dicendo delle caxxate linciami pure..

Grazie ancora infinite, vedrò di farti avere la formula della cokakola ;-)

[Marx]

Ciao!
con ".254", e questo significa che ogni vlan possiede un suo indirizzo come gw, ma come faccio ad indicare a tutte le vlan che l'unico gw internet è per es. 192.168.0.254?
Se sto dicendo delle caxxate linciami pure..

Grazie ancora infinite, vedrò di farti avere la formula della cokakola

Lo switch concentra tutte le vlan ciascuna con il suo DG. Per mandare i pacchetti dallo switch ad un DG[dello switch, non degli host] usi
ip route 0.0.0.0 0.0.0.0 IP.ointerfaccia.DG!(ovvero manda tutto verso il DG) <= Si chiama default routing

Poi mi chiederai ... e il traffico che da internet deve tornare ? Coma fa a sapere....

eh...ci vuole nat con overload...che configuri o sullo switch stesso se è direttamente connesso all'internet service provider(ne dubito)...o lo configuri sul router della DLINK che ha il condominio. Se hai il Dlink io userei un altra subnet tra Dlink e router
Anche il DLINK va istruito per dirgli come raggiungere i pc degli inquilini all'interno delle vlan

basta una singola informazione per il routring:
devi dirgli di ruotare tutto il traffico destinato a 192.168.0.0/16 o 10.0.0.0/8 verso l'ip che hai configurato sul 3700(la subnet tra Dlink e cisco).

Internet===DLINK[ip.2]---subnet---[ip.1]Cisco[DGvlan1,2,n]==LAN1.2.3..n

[HanaBay]

Capito!!

Grazie per le tue preziose indicazioni, spero di sdebitarmi qualche volta!!

Ciao

[k4mik4ze]

Il problema è che credo sia illegale usare un abbonamento singolo in un condominio. Però è difficile che ti becchino. Altro problema: se uno fa danni su internet chi ne risponde? A chi va intestato il contratto?
Mica cose da micio micio baubau

Il contratto credo possa essere intestato al condominio (visto e considerato che si fanno contratti con l'amm. di condominio, con la ditta degli ascensori etc). Per il secondo e ben più serio problema credo si possa risolvere con auth e log...in sostanza: procurati un pc non troppo morto, mettici su linux e configuralo come fwall/server tacacs => budget!

Per uno scopo del genere tempo addietro mi consigliarono "Monowall".

[Marx]

Il problema è che credo sia illegale usare un abbonamento singolo in un condominio. Però è difficile che ti becchino. Altro problema: se uno fa danni su internet chi ne risponde? A chi va intestato il contratto?
Mica cose da micio micio baubau

Per il secondo e ben più serio problema credo si possa risolvere con auth e log...in sostanza: procurati un pc non troppo morto, mettici su linux e configuralo come fwall/server tacacs => budget!

Per uno scopo del genere tempo addietro mi consigliarono "Monowall".

Si, non aveno pensato a questo. In effetti come succede per le aziende tutti gli user devono essere identificabili. (di fatto comunque ogni vlan con relativa subnet identifica un utente)
Quindi solo con L'IOS non si riesce ad evitare di montare un altro scatolo con linux dentro? Ad esempio io so che si potrebbe fare proxy authentication...ma per i log non saprei (mettere in span una porta richiederebbe troppo spazio...e ti ritrovi mezzo emule ).
Poi ho il dubbio che la responsabilità sia di chi monta il tutto... è come se diventasse un piccolo ISP.

[k4mik4ze]

No dai, non credo che alla fine la responsabilità vada a scaricarsi su chi monta, ma valle a seguire le leggi

L'auth potresti benissimo farla locale [auth local] e passa la paura
...per i log....mi sa che è piu' difficile.

[Upothesis mode on]
Non esiste alcun modo di aprire uno stream direttamente col router senza usare SNMP e cose del genere ve?
Forse uno scriptino in perl + un router con attacco usbo?
[Upothesis mode off]

[xerse]

Ciao, se a qualcuno interessa ancora, a milano c'è un operatore che lo fa.
Porta anche fibra dove non arriva nulla. Ho visto l'offerta su una nuova costruzione fuori milano.

In sostanza in quel condominio c'è tutta la rete con switch cisco e divisa in vlan per appartamento, ma proprio per il discorso di privacy assegna indirizzi ip pubblici e regola la quantità di banda per singola abitazione.

Poi la casa non la ho comprata ma se volete vi do i riferimenti dell'azienda.

Ciao

[ghira]

A prima vista direi che il policing e' forse troppo drastico. Se c'e' banda
libera, perche' non permettere ai pochi attivi di usarla tutta. Quindi
andrei per classi CBWFQ con "bandwidth" come primo tentativo.

Tutto questo ovviamente in uscita. In entrata non c'e' molto che puoi fare.

[ghisirds]

Ciao a tutti,
ecco a voi una guida dove si può capire come procedere per cablare una rete internet in un condominio.
veryfastpeople.it/blog/internet-condominiale-obbligo-di-adesione/#:~:text=Per%20usufruire%20di%20una%20connessione,come%20quello%20riservato%20ai%20contatori.
Saluti a tutti.

__________________
Ditta e gruppo edile emilia per interventi di prestigio. Visita ora rztech.it