przebudowuję u siebie w domu sieć i tak się zastanawiam czy nie przekombinowuję z dodatkowym ruterem na wejściu. Ale jakoś mam poczucie (mając publiczne IP), że to dobre jednak rozwiązanie.
ISP światłowód 1Gbps/100MBps Ruter firewall: Mikrotik HEX RB750GR3 Sieć LAN: Mikrotik 2011UiAS-2HnD (stary poczciwy, ale już 7 lat u mnie służy) AP CAP: Mikrotik RBcAPGi-5acD2n + RB952Ui-5ac2nD (robi też za switch gdzie wpinam urządzenia IoT) Na osobnym serwerku mam Pi hole DNS + apki do zarządzania domem (część moich apek chodzi na K8s).
Trochę martwi mnie, czy rutery te obsłużą wchodzący 1 Gbps i czy posiadanie takiego łącza ma sens. Podobno nowy routerOS ma sporo poprawek do HEXa i zaczął się wyrabiać. Jeszcze nie miałem okazji tego przetestować.
Na pewno planuję VPN postawić. Myślałem na drugim ruterze Mikrotik 2011UiAS-2HnD. Tylko znów boję się, że to obciąży procki i nie przerobi tego Gbps.
A może ten router HEX na początku nie ma sensu? Jakieś podpowiedz, zmiany, sugestie? Myślałem część urządzeń podpiąć pod Mikrotik HEX RB750GR3, ale - znów, czy to nie obciąży go zbytnio - to wiążę się otwarciem ruchu do sieci lokalnej, a tego chciałem uniknąć i blokować na Fw.
Trochę za bardzo kombinujesz. O ile @Bad_Wolf: mówi o podwójnym natowaniu, to fakt, nie jest to fajne i jest to upierdliwe w używaniu i diagnozowaniu, to za wiele złego nie ma w tym rozwiązaniu. No dobra, obciąża dodatkowo CPU. Ale staraj się go uniknąć. Jak ja to widzę: Jako router, w ramach którego będzie: - brama domyślna - klient ppp (?) - nat
@Bad_Wolf: Ale za bardzo nie widzę problemów w podwójnym NATowaniu. A jednak jest to dodatkowy krok (czy mocno utrudniający?) dla potencjalnych hakerów. Nawet jak ktoś wejdzie na Fw (Mikrotik HEX), to na kolejnym LANowym mogę dać regułę, żeby nie wpuszczał ruchu z interfejsu WAN (drop all from WAN not DSTNATed).
@mirekwirek: Właśnie zastanawia mnie po co stawiać dodatkowy router pomiędzy modemem a routerem głównym, jaki tak naprawdę masz benefit? RouterOS sam w sobie ma bardzo rozbudowany system zapory, więc tak naprawdę większym sensem byłoby zastąpienie tych dwóch routerów jednym, mocniejszym.
Do tego można pomyśleć czy potrzebny ci jest jakikolwiek hotspot przy głównym routerze czy nie, biorąc pod uwagę że i tak MirkoTiki mają słaby zasięg WiFi, więc może bardziej opłacalne
A co do ruchu z zewnątrz do sieci lokalnej: unikaj chamskiego otwierania wszystkich portów jak leci - nie potrzebujesz SSH mieć wystawionego na świat, prawda? PRAWDA? Jeśli jakakolwiek usługa może mieć dostęp jedynie przez VPN, wrzucaj to do VPN. Wówczas jedynym portem, jaki będziesz mieć otwarty, to port dla tunelu i elo. A co w tunelu puścisz, to Twoja już spokojna i rozczochrana. Ułatwia to zarządzanie firewallem potem i ewentualne debugowanko.
@mirekwirek: @supra107: Jeśli chcesz zrobić taką fortecę, to zamiast pierwszego MT w------l jakiegoś dedykowanego firewalla, nie wiem, pfsense czy inny opensense, ale licz się z dropem wydajności
@adii_22: Czyli Mikrotik HEX - Fv, DHCP, NAT, VPN Mikrotik 2011 - tak na prawdę w roli switcha, wyłączam WiFi, ale może z niego zrobić CAP Managera (już tak jest) Reszta Mikrotików jak jako CAP AP + switch
Tak mam rozumieć? Mnie martwi zabezpieczenie sieci LAN przed potencjalnymi atakami, stąd (m. in. podwójny NAT, choć nic złego w tym nie widzę) Mikrotik HEX miałby się głównie tym zająć.
może bardziej opłacalne będzie zainwestowanie więcej w bardziej potężniejszy router bez WiFi,
@supra107: A coś z Mikrotików polecasz? Osobiście boję się, że ciężko będzie znaleźć sprzęt co pociągnie zarządzanie CAP, Fv, NAT, VPN i do tego nie wysiądzie przy łączu 1 Gbps.
@mirekwirek: wiesz, podwójny nat traktujemy raczej jak coś upierdliwego, coś w rodzaju złych nawyków, ale jeśli to ogarniasz, to kim jesteśmy żeby mówić ci jak masz żyć? ( ͡º͜ʖ͡º) Mam jednego MT w sieci w roli switcha i sprawdza się doskonale, a wynika on z konstrukcji mieszkania i farta. Miałem zbędnego MT a do pokoju tylko jeden LAN xD No i w sumie dość
@mirekwirek: @adii_22: podwojne natowanie nie ma jakiegokolwiek sensu i nie wprowadza bezpieczenstwa zwlaszcza w domu co jest absurdem, swoja droga pierwszy nat tez nie wprowadza bezpieczenstwa, je masz na firewallu, nat to translacja adresow a nie firewall i sa dziury w sofcie ktore pozwalaja sie przebic pomimo tego, ze niby odrzucane sa polaczenie nieprzychodzace.
@mirekwirek: ja podejdę do tego stricte technicznie i wydajnościowo. Cap AC (RBcAPGi-5acD2n) powinien być twoim głównym routerem bo jest najwydajniejszy (jak ktoś nie wieży niech sprawdzi tabelki na stronie MT), na jednym porcie robisz wan na drugim lan i do switcha (majlepiej z poe). hex'a można użyć jako firewall (dodatkowo jakiś failover i VPN). 2011 i RB952Ui-5ac2nD powinny być switchami i AP-kami. TL;DR: zamień miejscami cap ac i 2011UiAS-2HnD (
@eFFF256: Właśnie problemy wydajnościowe mnie martwią. HEX ma być pożyczony. Stąd uznałem, że jednak trzeba robić zakupy. Wybór padł na RB4011 ale... nie ma tego nigdzie. Dostawy na koniec stycznia, początek lutego. Tyle czasu bym nerwowo nie wytrzymał, więc wybór padł na HAP AX3. Powinien dać radę.
Finalnie: - HAP AX3 robi za główny ruter, + NAT, DHCP, CAP Manager i Wireguard (ciut nie jestem przekonany jako VPN) - HEX stanie
@mirekwirek: nie przejmował bym się wydajnością pihole jako serwera DNS. Nie do końca wiem ile hostów w sieci będziesz miał, ale jeśli nie postawiłeś tego na ziemniaku to nie przejmował bym się. To tylko DNS i nie przerzuca ruchu a jedynie rozwiązuje nazwy domenowe na IP. W sieci domowej wątpię abyś wygenerował taka ilość zapytań na DNS. U mnie pihole przy 10 urządzeniach (regularnie) w sieci i kilku listach nie
przebudowuję u siebie w domu sieć i tak się zastanawiam czy nie przekombinowuję z dodatkowym ruterem na wejściu. Ale jakoś mam poczucie (mając publiczne IP), że to dobre jednak rozwiązanie.
ISP światłowód 1Gbps/100MBps
Ruter firewall: Mikrotik HEX RB750GR3
Sieć LAN: Mikrotik 2011UiAS-2HnD (stary poczciwy, ale już 7 lat u mnie służy)
AP CAP: Mikrotik RBcAPGi-5acD2n + RB952Ui-5ac2nD (robi też za switch gdzie wpinam urządzenia IoT)
Na osobnym serwerku mam Pi hole DNS + apki do zarządzania domem (część moich apek chodzi na K8s).
Trochę martwi mnie, czy rutery te obsłużą wchodzący 1 Gbps i czy posiadanie takiego łącza ma sens. Podobno nowy routerOS ma sporo poprawek do HEXa i zaczął się wyrabiać. Jeszcze nie miałem okazji tego przetestować.
Na pewno planuję VPN postawić. Myślałem na drugim ruterze Mikrotik 2011UiAS-2HnD. Tylko znów boję się, że to obciąży procki i nie przerobi tego Gbps.
A może ten router HEX na początku nie ma sensu? Jakieś podpowiedz, zmiany, sugestie?
Myślałem część urządzeń podpiąć pod Mikrotik HEX RB750GR3, ale
- znów, czy to nie obciąży go zbytnio
- to wiążę się otwarciem ruchu do sieci lokalnej, a tego chciałem uniknąć i blokować na Fw.
#mikrotik #siecikomputerowe #komputery #sieci #internet
źródło: comment_167317933302E0vBnPTNldGXFpwAn76M.jpg
PobierzPoczytaj o podwójnym natowaniu.
Jak ja to widzę:
Jako router, w ramach którego będzie:
- brama domyślna - klient ppp (?)
- nat
@Bad_Wolf: Ale za bardzo nie widzę problemów w podwójnym NATowaniu. A jednak jest to dodatkowy krok (czy mocno utrudniający?) dla potencjalnych hakerów. Nawet jak ktoś wejdzie na Fw (Mikrotik HEX), to na kolejnym LANowym mogę dać regułę, żeby nie wpuszczał ruchu z interfejsu WAN (drop all from WAN not DSTNATed).
Do tego można pomyśleć czy potrzebny ci jest jakikolwiek hotspot przy głównym routerze czy nie, biorąc pod uwagę że i tak MirkoTiki mają słaby zasięg WiFi, więc może bardziej opłacalne
Jeśli jakakolwiek usługa może mieć dostęp jedynie przez VPN, wrzucaj to do VPN. Wówczas jedynym portem, jaki będziesz mieć otwarty, to port dla tunelu i elo. A co w tunelu puścisz, to Twoja już spokojna i rozczochrana. Ułatwia to zarządzanie firewallem potem i ewentualne debugowanko.
Mikrotik HEX - Fv, DHCP, NAT, VPN
Mikrotik 2011 - tak na prawdę w roli switcha, wyłączam WiFi, ale może z niego zrobić CAP Managera (już tak jest)
Reszta Mikrotików jak jako CAP AP + switch
Tak mam rozumieć?
Mnie martwi zabezpieczenie sieci LAN przed potencjalnymi atakami, stąd (m. in. podwójny NAT, choć nic złego w tym nie widzę) Mikrotik HEX miałby się głównie tym zająć.
@supra107: A coś z Mikrotików polecasz?
Osobiście boję się, że ciężko będzie znaleźć sprzęt co pociągnie zarządzanie CAP, Fv, NAT, VPN i do tego nie wysiądzie przy łączu 1 Gbps.
Mam jednego MT w sieci w roli switcha i sprawdza się doskonale, a wynika on z konstrukcji mieszkania i farta. Miałem zbędnego MT a do pokoju tylko jeden LAN xD
No i w sumie dość
A cały wjazd do sieci planuję tylko właśnie przez VPN. WIREGUARDA Mikrotika? Jak to potem z dostępem z PC/Mobile?
TL;DR: zamień miejscami cap ac i 2011UiAS-2HnD (
Finalnie:
- HAP AX3 robi za główny ruter, + NAT, DHCP, CAP Manager i Wireguard (ciut nie jestem przekonany jako VPN)
- HEX stanie
źródło: comment_1673339093iB5wxwEIeYTxk1Gvb1j8cP.jpg
PobierzU mnie pihole przy 10 urządzeniach (regularnie) w sieci i kilku listach nie
@adii_22: Problem, że ta maszyna ma co robić:
- domoticz
- Minikube i kilka apek do mojego IoT