Megint egy wifi routert otthonra topic

Hálózati eszközök

Olyan otthoni wifi routert keresek, ami tudja ezeket, és azon belül a lehető legegyszerűbb:
- atomstabil N-es wifi jó térerővel (AC és 5GHz előny)
- 2 gigabites LAN port (habár nem lesz sokat használva)
- olyan advanced stateful tűzfal (ld. iptables), amivel a rádugott eszközök forgalmát kifelé és egymás között is lehet szűrni (tehát pl. a wifin lógó tv ne tudjon a szintén wifin lógó telefonnal beszélgetni)
- olyan VPN szerver, amihez egy Windows és Android tud kapcsolódni, és akkor is megy, ha a kliens és szerver is NAT mögött van, minél kevesebb igénnyel lehessen telepíteni a klienst (IKEv2 nagyon bevált korábban, Windows alapból tudja, Androidra van egyszerű kliens), és ehhez persze valamiféle dyndns megoldás (tákolás nem gond)
- ha van rajta parancssor, amin fordulnak és futnak hordozható kódok, az előny

Ezt egyszer már megcsináltam kb. 50 ezerből mini pc-vel, Debiannal. Viszont nincs kedvem tovább adminisztrálni, illetve elpukkant benne az alaplapi hálókártya és a hardver fenntartása sem gazdaságos már. Ezért gondolkodok új, out-of-the-box megoldásban, sok garival.

Mindig is érdekelt a Mikrotik, úgyhogy fel lehet fogni úgy is, hogy melyik a legkisebb modell, ami ezt tudja? Biztos vagyok benne, hogy minden gyártónak van olyan routere, ami megfelel az igényeimnek, csak attól tartok, hogy ez sok esetben a termékpaletta olyan felső szegmensébe esik, ami drágább, mintha megint magamnak építenék. De ne legyen igazam.

  • 7214 megtekintés

( freeoli v | 2016. 08. 01., h – 07:17 )

A fentieknek egy *wrt kompatibilis router felelne meg akar a tp-link-től, de nem tudom, hogy mennyire mennek dual active wifi-vel.

Ha már eleve volt kedved pc-vel megoldani, maradnék egy cél distroval, av proxyval, gigabit switchel, megfelelő ap-val.

Nekem ilyenem van:
TL-WDR4300 + OpenWRT.

A fentieket mind tudja megy rajta a 2.4 + 5Ghz wifi egyszerre is akár, és mindegyiken lehet több profilt létrehozni (SSID) akár bridgelve, akár külön hálózati szegmensként kezleve.

gyári firmware-es megoldásoktól én messze távolmaradnék a helyedben, mert szinte mind gagyi, nincs bennük VPN szerver, és backdoor-ral vannak ellátva.

(a mikrotik kimaradt az életemből, arról nem tudok nyilatkozni)

--
zrubi.hu

Volt kedvem építeni, de már nincs :). És nem is szeretnék 3 dobozt, csak 1-et. Pont a tplinket nem szeretem, korábbi tapasztalatok szerint a hasonló routerek eléggé alul vannak méretezve. OpenWRT-vel még nem volt dolgom, DD-WRT-vel már igen, és nekem ezek kicsit favágó megoldásnak tűnnek. Az pont nem baj, ha egy Mikrotik eszköz kevésbé testre szabható, hanem előny, amennyiben egyébként kielégíti az igényeket.

--

Szia!

Mi volt a (rossz) tapasztalatod Mikrotik eszközökkel? Milyenekkel?

A wifi-rész _megfelelő_ beállításához azért több szokott kelleni egy "next-next-finish"-nél; az, hogy szétkonfigolható, nem lehetőség, hanem követelmény :)
Nekem is meggyűlt a bajom több esetben a SOHO eszközök wifi-jével (főleg, amikor több kis eszköz kell egy épület lefedéséhez...), de megoldható problémáknak minősültek :)

Egyszerűen megbízhatatlan volt a kapcsolat. És nem hiszem, hogy konfig kérdése, mert két azonos típus, egyformán konfolva, és az egyikkel semmi gond, a másikkal szívás.
A kültéri cuccaikkal soha semmi bajom nem volt.
Mondjuk, mostanában nem tudom, milyenek, mert épp a tapasztalataim miatt 4-5 éve nem vettem wifis soho cuccot tőlük.

Ez szinte minden ilyen "szappantartónál" így van, csak egyetlen igazi ethernet portja van. sajnos.

Innentől az internetet (WAN port) és a belső hálót effektiv csak az adott VLAN implementáció választja el egymástól. A benne lévő tűzfal tehát csak a VLAN-ok között route-olt forgalmat szűri.

Aki esetleg tud olyat, ahol ez nem így van, érdeklődve várom az adott hardverről az infókat/linkeket - Persze az ára sem mindegy ;)

--
zrubi.hu

VLAN-okat eddig nem használtam, de szívesen kipróbálom. Ha a rádugott eszközöket VLAN-ba lehet kényszeríteni, akkor ez is teljesen jó. VIszont így lehet, hogy a teljesítmény szenved, ha maga az eszköz nem a teljes sávszél route-olására van méretezve, hanem switchelésre van optimalizálva?

--

Pl. a Mikrotikok. Egészen konkrétan pl. a 450G-ben és a 850Gx2-ben az 1-es port külön chip. De a többinél is VLAN-os varázslások nélkül minden port külön kezelhető, csak switch groupot nem tudsz egynél többet csinálni per switch processzor. Ha mindenáron külön akarod kezelni a WAN portot, akkor egy csomó „szappantartójukban” van SFP foglalat, lehet bele tenni RJ45-ös aljzatot.

Az általad említett alaplapokon valóban külön lehet kezelni az egyik portot:
http://i.mt.lv/routerboard/files/RB850Gx2-150709133216.png
http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#Switch_All_Po…

Mondjuk ez ugye már nem a "szappantartó" kategória ;)
csak a lap kerül annyiba mint ez az egész:
http://routerboard.com/RB2011UiAS-IN

Ez pl az én terminológiám szerint már a "felső kategóriás szappantartó" :D
de az SFP mondjuk pl ennél sincs külön:
http://i.mt.lv/routerboard/files/RB2011UiAS-160620170256.png

Ami ezesetben külön van az a Gbit és a 100Mbit-es portok.
Tehát ebben külön lehetne választani a WAN portot, úgy hogy azt az egyik 100-asba dugot, a többi 100-ast meg szigorúan nem használod. Az 1000-es meg lehet a LAN.

Szerintem.

BTW:
ami eddig távoltartott a mikrotiktól az az, hogy nem open source.
És a licencelése is fura számomra.

De a hardver maga érdekes lehet, amennyiben nem akadályozzák minden áron a más szoftverrel való együttműködését.

--
zrubi.hu

Mármint azt, hogy szeretném tudni, hogy a dobozon lévő lyukak a valóságban milyen viszonyban vannak egymással??

Vagy azt, hogy szerintem az internetet és a "védett" hálózatot balgaság egy ki tudja milyen VLAN implementációval elválasztani, majd a VLAN-ok között "tűzfalazni" ugyan abban a dobozban?

BTW 10+ éve az IT security területen dolgozom.
Lehet, hogy ez a paranioa szakmai ártalom ;)

--
zrubi.hu

Sziasztok!

A RouterOS-ben a switch chip ki-bekapcsolható, mert ethernet/sfp-portonként konfigurálható, hogy melyik legyen, sőt legyen-e egyáltalán "master port":
* Ha nincs "master port" beállítva, akkor nem switch-el, hanem a cpu intézi a kommunikációt -> tűzfalazható, VLAN-olható, stb.
* Ha van master port, akkor az konfigurálható szét (a cpu kezeli a tűzfalazást, routing-ot, bridge-elést, stb. a master porton), és a többi, switch-elt port ennek a konfigurcióját használja, a portok között ilyenkor nincs tűzfalazás, stb.

De a többi portnak nincs kapcsolata a fent említett csoporttal, hacsak nem engedélyezed (merthogy nem azt konfigurálod egy RouterOS-ben, hogy hogyan kapcsolod szét a portokat, hanem azt kell, hogy hogyan kapcsolod össze, ha egyáltalán...!).

Szóval én is előszeretettel használom :) (RB2011, RB951G, meg még néhány régebbi eszköz, AC-s verziók még nincsenek)

( dash | 2016. 08. 01., h – 13:15 )

Az atomstabil wifi-hez annyit, hogy nézd meg hogy az illető soft MAC device -e, vagy sem. Azt nézd, hogy a hostapd mennyire tekeri a CPU-t (ha nem soft MAC, az authentikációhoz akkor is kell).

Állítólag a SOHO MikroTik cuccok wifije egészen más minőségű, akár egy tucat klienst is elvisznek gond nélkül. Csak az árát sokallom (amennyibe nekem kerülne felmenni 5GHz + ac kombóra).

--------------------------------------------------------------------
http://www.kmooc.uni-obuda.hu/
http://www.memooc.hu/
http://www.hbone.hu/hu/hirek/hbone_workshop
http://videotorium.hu/hu/channels/details/814,BME_Villamosmernoki_es_In…