Staviame domacu siet

O internete a sieťach, problémoch, nastaveniach...
Používateľov profilový obrázok
heker
Redeemer
Redeemer
Príspevky: 13177
Registrovaný: 30 máj 2006, 20:27

Re: Staviame domacu siet

Príspevok od používateľa heker »

Mne to pride zbytocne zlozite. Mas 3 zariadenia a napokon wifi bude robit to posledne. Je potreba, aby IoT malo vlastnu siet? Neviem co tam mas, mozno daky Zigbee alebo co, no kludne by som to pripojil do domacej siete. A je vobec potrebne mat wifi pre hosti? Kolko hosti chodi k tebe a potrebuje sa pripojit na wifi, a ked aj pridu, tak im nemozes natukat heslo do mobilu? Beriem ohlad na bezpecnost, ale z mojho pohladu to co opisujes, tak je sice bezpecne, ale pre domace pouzite zbytocne a krkolomne.
STomko
Guru wannabe
Guru wannabe
Príspevky: 2107
Registrovaný: 28 feb 2007, 16:27
Bydlisko: BA

Re: Staviame domacu siet

Príspevok od používateľa STomko »

Tak wifi pre hosti ma prakticky vyznam. Okrem toho ze sa ti nedostanu do tvojej siete, ich mozes nejakym sposobom jednoducho filtrovat (napr. pouzivaju pihole ako dns), a kludne im mozes menit heslo pravidelne (a zavesit ho ako nejaky qr kod na dashboard, ak mas taku moznost). Keby si to heslo menil na domacej sieti (pripadne iot), tak by si musel nastavit nove heslo na kazdom zariadeni.
Overkill? Mozno. Preco? Lebo moze :-D
aacid
Hardcore addict
Hardcore addict
Príspevky: 6913
Registrovaný: 22 nov 2006, 21:55
Bydlisko: BA

Re: Staviame domacu siet

Príspevok od používateľa aacid »

tak tak.
heker suhlasim, je to overkill ale tak trochu to beriem ako hobby, chcem sa to naucit.

vypada ze problem som vyriesil, nebolo to nic s unifi, mal som zle nastaveny switch. teraz som sa uz posunul dalej, mam 3 ssid a podla toho kam sa prihlasim taku vlan dostanem.
teraz sa snazim vytvorit pravidla pre firewall aby som realne aj mohol komunikovat s tymi iot zariadeniami z privatnej siete.
aktualne neviem chromecastovat ani spotify connect.

z pohladu bezpecnosti (mozno paranoidnej) ma to oddelovanie vyznam, hlavne u tych iot veci, vsetko to ma webove rozhrania, ktovie ako je to napisane a ako bezpecne, uprimne ja nejakemu "tahoma somfy hub" zariadeniu co mi ma bezat 24/7 v mojej sieti moc neverim. najlepsie ze sa este aj vedia same updatovat, takze nikdy nevies co to prave robi.
tiez nevies co ti kto dotiahne. telefony su povazovane za celkom bezpecne zariadenia ale oni chrania hlavne seba, ci tam niekomu nebude bezat nejaka random appka ktoru si kedysi stiahol, dal jej ktovie ake povolenia a teraz pinguje zariadenia v sieti tvojej...
STomko
Guru wannabe
Guru wannabe
Príspevky: 2107
Registrovaný: 28 feb 2007, 16:27
Bydlisko: BA

Re: Staviame domacu siet

Príspevok od používateľa STomko »

Na ten chromecast a spotify connect musis povolit multicast, ak to nemas v 1 sieti.
https://docs.opnsense.org/manual/how-to ... t-dns.html
Používateľov profilový obrázok
heker
Redeemer
Redeemer
Príspevky: 13177
Registrovaný: 30 máj 2006, 20:27

Re: Staviame domacu siet

Príspevok od používateľa heker »

Ved nech si telefon kamarata pinguje mije zariadenia, ked je u mna na navsteve. Co tym ziska? Odozvu z pingu? Dakujem, nech sa paci, ziadny problem.

Ale vratim sa k sieti. Preco si z tohto krkolomneho riesenia nespravit len 2 zariadenia alebo dokonca len jedno? Co tak miesto pc+routra pouzit jedno MikroTik zariadenie, ktore patri medzi spicku v ramci sietovych produktov a tym padom by si vyhodil jedno zariadenie, zjednodusil siet, pouzit profi riesenie a posunul level zabezpecenia o uroven vyssie. Suhlasis so mnou STomko?

Ako mne je jedno, ze ako to mas spravene, je to tvoja siet, ty platis ucet za elektrinu, ty si to spravujes, je to cele o tebe. Toto beriem ako diskusiu s cielom zlepsit tvoju siet, mozno poradit ludom do buducna, najst optimalnejsie riesenie domacej siete. Sam mam doma siet, kde z optiky ide prevodnik a kabel do WAN portu routra. Odtial kable ku pocitacom a NAS. Zaznamnik kamier je cez wifi AP, pretoze pri prerabke sa nenatiahli nove kable (robilo sa to pred kamerami a nemyslel som na to). Opticky kabel visi zo strechy a cez ram okna ide k routru. Dnes sa na to pozeram inak a pri stavne/prerabke by som natahal chranicky pre optiku, pre sietove kable, spravil pred zateplenim aspon predpripravu na kamery (aspon potahat kable z rohov stien niekde do technickej miestnosti).

Pozri si napriklad Mikrotik L009UiGS-2HaxD-IN.
STomko
Guru wannabe
Guru wannabe
Príspevky: 2107
Registrovaný: 28 feb 2007, 16:27
Bydlisko: BA

Re: Staviame domacu siet

Príspevok od používateľa STomko »

Samozrejme ze sa vsetko da spravit na X sposobov. Mikrotik je fajn, sam ich niekolko pouzivam. Ten konkretny co si sem linkol by bol u mna problem kvoli POE. A celkovo nedostatku portov. Cize minimalne kombinacia router + switch.
Sam som mal nutkanie vyskusat opensense, len som locknuty na ubiquiti. Mam UDM Pro co je kombinacia routra + NVR. No a neide to pouzit len tak ako NVR. Cize ak by som chcel ist do Opensense (samozrejme, pozeral som nejake rackove zariadenia), jednak by som vysolil kopec penazi za to, dalej switch (ano, mohol by som pouzit aj ten co mam), a este by som potreboval nahradit NVR, co pri unifi je hadam len cloud key, a to jednak stoji dalsi kopec penazi, a este som obmedzeny diskom. Takze som sa na to vykaslal. Unifi nie je zle, vzdy vravim ze je to taky apple medzi network zariadeniami, vsetko pekne dokopy funguje. Avsak niekedy im chybaju take bazalne veci, a cas kym nieco opravia alebo prinesu nove featury (aj to este niekedy na etapy, ako wireguard) sa rata na roky. Preto som mal to nutkanie zmenit to.

A ano, spotreba elektriny je dost podstatna, vzhladom na to ze je to nieco co ti bezi 24/7/365 a je rozdiel ci to zerie 10W alebo 60W
aacid
Hardcore addict
Hardcore addict
Príspevky: 6913
Registrovaný: 22 nov 2006, 21:55
Bydlisko: BA

Re: Staviame domacu siet

Príspevok od používateľa aacid »

k pingovaniu, tym som nemyslel len ping ako ping ale ze uz je proste v sieti a moze tam robit co ho napadne. bezpecnost je hlavne o vrstveni, bezi mi tu server s hromadou servisov, zopar raspberry pi, ta somfy brana, klimatizacie ci vysavac... verim tym zariadeniam a sluzbam? verim ze na ziadnej z nich nebude nejaka diera cez ktoru by mohol prejst nejaky inteligentnejsi skript beziaci na infikovanom zariadeni ktore som si pustil do siete?
takto viem ze ktokolvek sa u nas pripoji na internet tak neuvidi vobec nic, ani keby sa snazil.

ako som uz pisal, je to skor o tom ze sa chcem naucit nieco viac o sietach a ako ich spravovat. cim viac viem o kyber bezpecnosti tym som paranoidnejsi. je to dobre cvicenie aj do prace, my posledne roky mame bezpecnost na prvom mieste a je to o tom neustale premyslat nad moznymi slabymi miestami.

odhliadnuc od toho, doteraz som fungoval presne tak, jeden router a po byte v zastrckach extendery (lebo som chcel mesh). pokrytie nebolo aj tak nic extra ani stabilita. nebol to najlepsi router na svete ale ani najhorsi. chcel som proste nieco lepsie. mozno mikrotik router by mi pokryl viac bytu ale aj tak by to asi nebolo ono, na horne poschodie cez tu podlahu neprejde skoro nic. (ked bol zapojeny iba jeden unifi AP tak odsiahol az hore ale rychlost uz bola slaba)
8 portov by mi tiez nestacilo, takze aj switch by som musel kupovat, hlavne teda ak by som chcel dalsie AP ktore ide cez PoE.
Používateľov profilový obrázok
heker
Redeemer
Redeemer
Príspevky: 13177
Registrovaný: 30 máj 2006, 20:27

Re: Staviame domacu siet

Príspevok od používateľa heker »

Neber to tak, ze Mikrotik je zazrak co sa tyka pokrytia. Skor si myslim, ze Ubqt je na tom lepsie. Problem je, ze v EU platia limity s to je 20 dBm vykon. Obcas sa najdu 21 a 23 dBm zariadenia, pripadne sa to riesi upravenym firmware v podobe OpenWRT, ale je to proste limitovane.

Ale teda ok, ak sa chces ucit, hrat sa s tym a nezalezi ti na spotrebe, tak preco nie?! Kazda skusenost je dobra a mozno o 2 roky zistis, ze to chces cele vymenit.
aacid
Hardcore addict
Hardcore addict
Príspevky: 6913
Registrovaný: 22 nov 2006, 21:55
Bydlisko: BA

Re: Staviame domacu siet

Príspevok od používateľa aacid »

nj, o tom obmedzeni som pocul ze ked sa ti to podari obist tak si vies celkom slusne pokrytie zvacsit. len ja neviem kolko roxorov musi byt v tej podlahe lebo kym som nemal tie extendery tak som nechytal wifi ani priamo nad routrom (len podlaha bola medzi, nic ine).
spotrebu som nejak neriesil, realne tych 50W hore dole je kolko? 100 eur rocne? ako nie je to nezanedbatelne ale casto vyhadzujem viac penazi za vacsie blbosti :D

uz som sa zase prekusal dalej. vacsina veci v sieti uz funguje, dost som sa natrapil so serverom, najprv furt dostaval inu IPcku ako by som cakal az kym som neprisiel na to co je PVID a ako to funguje. potom som bojoval s firewallom priamo na servri (rozmyslal som ci ho nemozem proste vypnut ked mam teraz vlastne hw firewall). neviem co sa stalo ale firewalld proste blokoval vsetky porty ktore som mal cez docker exposnute. na starej sieti to problem nebol... kazdopadne som vyriesil aj to a uz su sluzby dostupne aj z vonka (tie ktore chcem aby boli).
teraz bojujem s pihole, isiel som podla navodu a nejak aj tak stale nic nerobi... neviem ci ho radsej nepreinstalujem kompletne...
Používateľov profilový obrázok
Cesar
Addict
Addict
Príspevky: 3723
Registrovaný: 04 máj 2006, 21:33

Re: Staviame domacu siet

Príspevok od používateľa Cesar »

Tak keď máš čas a pevné nervy, tak si daj Mikrotik. Základné veci sa tam dajú celkom jednoducho nastaviť cez quickset. Nudiť sa s tým nebudeš.

Keby si mal aj aj nejaký hap ax3, čo je veľmi výkonný a stojí okolo 130 eur a nastavíš všetko tak ako by sa to malo tak budeš mať wifi slabšie ako s nejakým 20 eurovým tp-linkom. :)

Keď sa s tým pohráš tak zase môžeš mať aj o dosť silnejšie wifi ako s takým tp-linkom, ale zase veľké zázraky nečakaj, keď máš viac poschodí tak treba nejak dostať kábel na druhé podlažie a dať tam druhý ako ap. Ako plus by som mohol uviesť, že môžeš mať centrálne riadené wifi, ako wifi controller, a môžeš mať celkom funkčný roaming, že nemusíš stále manuálne prepínať a podobné nepríjemnosti okolo toho.
aacid
Hardcore addict
Hardcore addict
Príspevky: 6913
Registrovaný: 22 nov 2006, 21:55
Bydlisko: BA

Re: Staviame domacu siet

Príspevok od používateľa aacid »

ved to vsetko mam. akurat teda miesto mikrotiku mam opnsense a APcka mam unify.

teraz som uz celkom spokojny. dolny AP som uz aj dal pekne na stenu kde ho chcem mat akurat ten horny este riesim. controller mam tiez (miesto toho aby som kupoval nejaku 200 eurovu unifi krabicku tak som si rozbehol controller u seba).

este som stale nerozbehal pihole by mi bezal ako primarne dns (asi ho radsej preinstalujem cele, nejak sa mi nezda) a inak som asi hotovy. uz riesim skor len take blbosti ako v ktorej sieti ma korekne umiestneny server ktory ma aj z vonka byt pristupny a podobne.
Používateľov profilový obrázok
Cesar
Addict
Addict
Príspevky: 3723
Registrovaný: 04 máj 2006, 21:33

Re: Staviame domacu siet

Príspevok od používateľa Cesar »

Bude ti non-stop bežať počítač, ako wifi controller? Tiež trochu výhoda, že každý mikrotik má aj možnosť fungovať aj ako wifi controller.
STomko
Guru wannabe
Guru wannabe
Príspevky: 2107
Registrovaný: 28 feb 2007, 16:27
Bydlisko: BA

Re: Staviame domacu siet

Príspevok od používateľa STomko »

Controller je potrebny len na nastavenie, pripadne zmenu. Nemusi bezat nonstop.
aacid
Hardcore addict
Hardcore addict
Príspevky: 6913
Registrovaný: 22 nov 2006, 21:55
Bydlisko: BA

Re: Staviame domacu siet

Príspevok od používateľa aacid »

jj, nie je potrebny, ale tak bezi mi stale, je tam celkom dost zaujimavych veci. napriklad som vdaka nemu zistil ze google nest v mojej pracovni na dolnom poschodi sa radsej pripoji na wifi na hornom poschodi aj napriek tomu ze AP dole podstatne blizsie ale medzi nimi je nosna stena tak tam asi nechyta signal dobry. takze casom mozno dokupim este jedno AP do pracovne.

aktualne som to rozbehol priamo na routri (kedze vlastne len freebsd) ale cital som ze tma su trochu problemy pri updatovani tak to mozno casom presuniem na server do dockeru.
Napísať odpoveď