Domowa sieć komputerowa

Temat trochę poboczny do samego HA, ale na pewno ma to wpływ na całość. Chodzi mi o samą budowę sieci w domu. WiFi, routery, switche itd. Jak to macie logicznie zrobione. Zabezpieczone przed nieupoważnionym dostępem z zewnątrz. Ja się dopiero do tego przymierzam i badam rynek. Na razie mam tylko to, co daje dostawca (Orange), czyli nic ciekawego. Raczej muszę chyba sam router przestawić na bridge i dalej już zrobić to na normalnym sprzęcie. Tylko nie wiem jeszcze na czym. Szukam inspiracji.

Orange → CSS106-5G-1S → Mikrotik


Urządzenia z HA nie wszystkie dodane

Jeżeli router orange z tych nowszych to nie da się go przestawić w Bridge

To chyba zależy co chcesz osiągnąć.
Każdy ma inne założenia i wymagania.

Ja też poszedłem w mikrotika, kilka ap połączonych w cap, switch TP-Link szafa rack, UPS i wszystko połączenie kablowo lub światłowodem.
Wyjątkiem jest falownik bo ni chciał gadać z mikrotikiem i musiałem dołożyć jakiś tani router z tplinka żeby falownik się łączył z internetem.
Wszystko zależy od potrzeb :slight_smile:

Ja 30 m2 ogarniam jednym Mikrotikiem , pula adresowa jedna ( bo podziałów na VLAN-y) , dostęp zewnątrz poprzez Nabucas-ę lub opcjonalnie zestawiony VPN, inni mają bardziej rozbudowane instalacje.
Przedmówcy już poruszyli kwestię co chcesz osiągnąć , jakie usługi ewentualne wystawić na świat. itp.
Z firmowym "routerem " ( umówmy się że to jest zabawka a nie router) za wiele nie zwojujesz ze względu na ubogość opcji konfiguracyjnych a pozbycie się tego graniczy z cudem.
Niech ktoś wypowie który posiada FunBoxa ( o ile mi wiadomo jest już wersja 5.0).

Jedna mała sugestia odnośnie serwerów DNS aby było bezpieczniej, poczytaj

Trzymam się zasady: od dostawcy najlepiej urządzenie typu modem/terminal GPON/router w trybie bridge, własny router bez Wi-Fi, access pointy (polecam Ubiquiti) podłączone po ethernecie z routerem, może być na “bogato” przez switcha z PoE.

W MT jest już zaimplementowany DNS over HTTPS (DoH) czyli szyfrowany DNS

Cloudflare:
https://1.1.1.1/dns-query
https://1.0.0.1/dns-query
Google:
https://dns.google/dns-query

Screenshot - 17.04.2022 , 21_57_17

Funbox 6 , numerek zależny od szybkości łącza . Jeżeli chodzi o konfigurowalność to jest ona na poziomie routera za 50 pln, większość przydatnych funkcji jest ukryta dla trybu administracyjnego
@Krzyszof_K

Mam Funboxa 3 (bo do 300M/s) a przy wyższych prędkościach dają Funboxa 6. Zmiana to tylko chyba moduł WiFi. Sam panel sterowania jest taki sam, z tego co widziałem. Niewiele oferuje. DNSy są wpisane na stałe i nie idzie zmienić. Niby są po stronie Orange filtrowane przez bazę cert, ale na ile to działa, nie wiem. Najlepsza opcją to chyba po prostu wyłączenie wifi na routerze a pod LAN podpiecie czegoś sensownego, co przejmie całą pracę. W Funboxie można też ustawić DMZ, wiec zawsze jest to jakaś opcja.
@artpc do czego służy u Ciebie CSS106 pomiędzy Orange a Mikrotikiem? Z tego co widzę, to jest tylko przełącznik.
Same DNS chce postawić na Adguardzie. Myślę, że to sensowny dodatek do całości.

Do CSS106 podłączone media TV,NAS itd. Od CSS106 idzie światłowodem do Mikrotika

Spróbuj pogadać aby dali samo ONT ( uprzedzam że to jest ciężki temat dla Orange ) , tyle że jak chcesz TV to konfiguracja będzie po Twojej stronie ( bo to załatwia właśnie Funbox).
Tylko w tym przypadku osiągniesz pełną kontrole na dostępem do Internetu z domu.

Stosując np. OpenWRT można “uzdatnić” niejeden sprzęt klasy SOHO, a przykładowo “bezpieczny DNS” jest obsługiwany zarówno jako DoH, DoT jak i DNScrypt:

Tak swoją drogą używam

Jakkolwiek jeśli chodzi o wydajność, to praktycznie zawsze operatorskie DNSy wygrywają (jak by nie kombinować).

Jest wojna, właściciel firmy (przerejestrowanej kilka lat temu z Rosji na Cypr) zapewnia wprawdzie, że nie ma żadnych powiązań z rosyjskim rządem, jednak 80% jego pracowników mieszka i nadal pracuje z Moskwy…
Akurat AdGuard Home, to projekt open-source (i jest to jeden z najlepszych rosyjskich projektów, jakie w życiu widziałem), ale nie wiem czy ktokolwiek przez ostatnie lata dogłębnie zweryfikował jego kod…

Adguarda można postawić na Mikrotik-u np.
Tj. nie jako soft ale jego funkcjonalność.
Można również wgrać na dowolny router z OPEN-WRT czy DD-WRT pod warunkiem iż we flasch-u będzie tyle miejsca aby się zmieścił.

Opinie, jakie widziałem, to przeważnie są pochlebne. Nawet na Sekuraku było to dobrze opisywane, więc nie wiem. Nie wszyscy z Rosji to ci źli. Bratanek pracuje w duńskim startupie i tam pracuje kilku Rosjan. Co prawda uciekali z Rosji z takich, a nie innych powodów. Inna sprawa, że sporo z nich jest też w Anonymous, wiec jak to mówią, kij ma zawsze dwa końce. Z drugiej strony, zawsze mogę postawić na Pi-hole. Podobne rozwiązanie, jeżeli chodzi o DNS.

@artpc używasz RB2011UiAS-2HnD-IN czyli bardziej jesteś nastawiony na kabel niż na WiFi? Bo to ma tylko 2,4GHz z tego co widzę w opisie? Jak z zasięgiem?

Nie chciałbym, aby nadmiernie tu wjeżdżała polityka, ja wcale nie twierdzę, że oni są z gruntu źli (choć poparcie w Rosji dla “interwencji” jest zaskakująco wysokie), tylko fakty są takie - na pracowników, którzy są na miejscu w Moskwie (czy generalnie na terenie Rosji, ale główny “mordor” jest w Moskwie) mogą być wywierane naciski przez tzw. służby (i tak naprawdę mogło to nastąpić wiele lat temu, bo oprogramowanie mocno powiązane z telekomunikacją jest od dawna traktowane jako jedna z dziedzin strategicznych).


Jeśli ktoś wątpi w tzw. służby, to może powinienem dodać, że pracowałem na Białorusi jakiś czas 3 lata temu wraz z całkiem sporą ekipą z PL i IT (praca w innej “strategicznej dziedzinie”) i przez cały czas mieliśmy “niewidzialny ogon”, a niektóre zdarzenia były wręcz groteskowe.

Na co dzień podłączonych jest 25 urządzeń po WIFI + kilka innych od czasu do czasu, nie zauważyłem jakiś problemów z wifi w mieszkaniu. Moduł wifi na Funbox wyłączony, chociaż tam są dwa osobne moduły WIFI 2,4GhZ i 5GhZ…
Ja korzystam z tego AdGuard https://adguard.com/pl/welcome.html Jeżeli chodzi o ceny są w miarę przystępne, Niedługo zostanie uruchomiona usługa prywatny DNS cokolwiek to znaczy .

Tak siedząc przez święta w necie i przeglądając różne strony, filmy itd., doszedłem do wniosku, że chyba bym poszedł w stronę Unifi. Koncepcja jaka mi się zrodziła to do routera podłączyłbym UniFi Security Gateway USG (3x1000Mbit) a za nim dwa Flex mini, jeden za drugim. Do jednego z nich chciałbym mieć podpięte UAP-AC-LR. I to by mi chyba zdało egzamin. Jedyny problem, jaki widzę, to nigdzie nie ma USG i nie wiem czym go w sensownej cenie zastąpić. Wersje rack mnie nie interesują, bo to jednak mieszkanie. No i raczej to wszystko raczej pasywnie musi chodzić.

1 Like

Rozważaałem udm pro - switch zarządzalny warstwy 3-ciej, oraz AP ubiquiti wifi6 (drogi zestaw), ale jest lipa, UDM pro ma kontroler sieci i inne bajery, ale nie ma adresacji ip, rozmawiałem ze znajomym z it, okazuje się, że muszę wymienić swoje AP tplinka na AP ze standardem ax (wifi6 - jednocześnie obsługują wiele urządzeń na raz a nie przełączają się po kolei), no i dokupiłem jeden router xiaomi ax3600, podłączyłem po kablu jako AP, zwiększyłem moc anten do 500mW i na razie robi się ładnie. Obecnie mam główny router od dostawcy huawei jako bramę, później AX3600 do zarządzania siecią a do niego pozostałe AP w tym nowy ax3600, kolejny już w drodze. Finalnie myślę że jeden AX3600 jako AP zastąpi co najmniej 2 AP tplinka. Wszystkich urządzeń w sieci obecnie mam 130.
na plus AX3600, funkcja smart wifi, jak sygnał urządzenia odbiorczego jest dobry, to przełącza go na 5g, a jak słabnie to na 2,4g. Czyli jest widoczne jedno wifi, a router decyduje do jakiej częstotliwości podłaczyć.

Poważnie chcesz AP long range do mieszkania?

Myślałem o Lite ale one mają wadę "brzęczenia, której LR nie posiadają. Z tego co czytałem to w samym Unifi można regulować moc, wiec oczywistością jest, że dostosowałbym ją do wielkości mi potrzebnej, a nie siał na x metrów poza obszar.

Ja mam w mieszkaniu switch US-8-60W i do niego podpięte i zasilane przez PoE 2 AP’ki U6-Lite.
Na początku też myślałem o wymianie AC-Lite na AP-LR, bo tamten nie zapewniał wszędzie dobrego zasięgu. Ale ostatecznie stanęło na 2szt U6-Lite. Dzięki temu mam już dobry zasięg w całym mieszkaniu. Dodatkowa zaleta to, jak np. jednego AP restartuje czy aktualizuje, to urządzenia nie tracą w tym czasie dostępu do WiFi (przynajmniej większość).
Generalnie dużo zależy od układu mieszkania a jeszcze bardziej, czy za ścianami (tak jak u mnie) nie ma innych, źle skonfigurowanych sieci WiFi ( Moc na maxa, szer, pasma 80MHz i kanały niekoniecznie 1,6, i 11)
Za router, serwer DHCP, serwer VPN, firewall i reverse proxy robi u mnie mały PC z pfSense. Przyznam, że na początku nie było mi łatwo ogarnąć tego pfSense’a, ale teraz nie wymienił bym go na nic innego.

2 Likes

Trochę czytałem. Podobno nie tak łatwy do ustawienia, ale robi robotę. Na czym to konkretnie masz postawione? Bo to chyba musi być komp z dwoma kartami LAN.