Router cu VPN, porturi 2.5GbE, WiFi6 (pentru acasa)

Salut,
Deschid un topic separat, intrucat cerintele mele sunt un pic specifice, iar nelamuriri am destul de multe. Si nu cred c-o sa reusesc sa le "astern" prea concis

Sa incepem cu contextul: intr-un apartament tipic, as avea un NAS (QNAP, daca are vreo importanta) si vreo doua PC-uri cablate, si-o serie de chestii (laptop, telefon, Kindle...) conectate prin WiFi. Providerul la Internet este Telekom, printr-un router HUAWEI, si "duce" ~1Gb - suficient pentru nevoile mele.
NAS-ul va fi probabil un QNAP TS-473A/673A, cu 2 porturi 2.5GbE; NAS-ul actual (entry level) ar putea ramane ca backup. Inca nu am nici acest NAS, nici PC cu 2.5GbE (dar o sa vina).
Nu mi-am batut capul pana acum cu retelistica, prefer ca lucrurile sa fie cat mai simple; totusi pot butona un pic la nevoie.

Ce mi-as dori:
1. Router cu server VPN, si racire pasiva. Si firewall, nu strica.
In principal pentru acces remote la NAS. La cum circula ransomware-urile nici vorba de deschis porturi, si nici n-as (mai) folosi QNAPCloud/Link.
M-am gandit la OpenVPN, sunt destule routere care suporta, dar sunt deschis la sugestii. Important e sa fie sigur, si relativ usor de configurat; + suport (update-uri) pe masura.
Accesul remote ar fi de pe laptop-uri si dispozitive Android.
Vor fi si unul-doua porturi deschise, desigur, nu catre NAS.
2. Minim 2 porturi 2.5GbE - LAN.
Doresc o conexiune mai rapida intre NAS si PC; in rest, ma descurc cu 1GbE.
3. Minim 4 porturi LAN (+ 1 port WAN), dupa cum numar dispozitivele ce ar trebui cablate.
As prefera sa nu tin si-un switch in priza. Nu cred ca o sa adaug mai multe dispozitive pe fir; pentru restul, ma bazez pe:
4. WiFi decent, va fi folosit constant.
Ma gandesc la WiFi6, pentru future proofing (peste nu mult timp voi avea si dispozitive compatibile); dar probabil WiFi5 care sa mearga bine mi-ar fi suficient. Important e sa bata intr-un apartament de bloc, si sa fie stabil.
Probabil imi doresc chestii gen MU-MIMO si alte acronime care nu prea stiu ce fac

Aici intervin dilemele mele... nu prea gasesc un router care sa indeplineasca toate aceste cerinte.
Ar fi QNAP QHora-301w, si asta ar fi cam limita superioara pe care-as fi dispus sa o dau (1000-1200 ron). Are doua porturi 10GbE RJ45 (plus 4x 1GbE), deci se pare ca ar bifa toate punctele. Update-uri de OS vad ca tot apar.

O alternativa ar fi sa renunt la cerinta celor doua porturi 2.5GbE, si fie sa adaug un switch 2.5GbE, fie sa conectez direct NAS-ul la PC (dar ultima optiune ar complica nitel lucrurile, iar PC-ul ar avea nevoie de o a doua conexiune la retea/Internet - caci AFAIK NAS-ul nu poate functiona ca un switch).
Caz in care... nu-mi este foarte clar ce-as putea sa aleg.
- Mikrotik? Mi s-a recomandat, e.g. HAP ac3, la sub jumatate din pretul unui QHora, inteleg insa ca au ceva probleme cu WiFi-ul (iar de WiFi6 nici nu poate fi vorba).
- router mai mainstream? In cazul asta, cam ce variante as avea?

Ce ma face sa nu dau automat banii pe QHora - tinand cont si de pret - e ca, ma gandesc, poate nu anul asta dar de urmatorul ar trebui ca tot mai multi producatori sa bage porturi 2.5+GbE pe routerele lor mai accesibile. Oricum inca nu am NAS-ul cel nou (da, trebuie sa-l platesc si p-ala...).
Absolut important insa e sa-mi securizez reteaua + acces remote.

Multumesc pentru orice sugestii si bate-n cap date constructiv

Edited by TS030, 02 March 2022 - 15:40.

Slabe sanse sa gasesti asa un dispozitiv minune si la acel pret.
Nici acel qhora-301w nu are mai mult de doua porturi > 1Gbps.
Sa aiba si wireless pe langa toate....
Pentru reteaua interna (NAS-uri, PC, etc) recomand sa incepi cu un switch cu porturi multi-gigabit si te legi cu el la acel ONT(?) Huawei pe care-l ai deja de la provider, daca ai acces pe el banuiesc ca are ai acces si la firewall, iar servere de VPN poti tine si pe NAS-uri.
Dupa .. mai vezi in ce investesti.
MikroTik hAP ac3 nu are loc in problema de mai sus, pe wireless nu-l recomand nicicum iar ca performante pe cablu poti gasi ceva mai bun (RB5009?).

 Znevna, on 02 martie 2022 - 17:06, said:

Vad ca nu se recomanda asta, date fiind vulnerabilitatile descoperite constant in OS-ul NAS-ului, inclusiv pe QVPN. De aceea as merge pe VPN pe router.

Da, QHora are doar doua porturi >1Gb, ceea ce mi-ar ajunge la fix, in principiu. Nu prea-mi place ideea ca "ajunge la fix"; dar e cel mai aproape de "dispozitivul minune" pe care mi-l doresc.
RB5009 nu are Wifi, pare altceva. Nu m-as duce in zona aia. Oricum, Mikrotik mi se par mai complicat de configurat.

Sa merg atunci pe un router cu server VPN (si WiFi) mai ieftin, plus switch 2.5GbE?

Pai, un switch fara management, cu 5 porturi de 2.5Gbps e ~500 lei. https://www.evomag.r...it-3824314.html
Cu 5 porturi de 10Gbps e ~1200 lei. https://www.evomag.r...ri-3825962.html
De mai multe porturi nu pare sa ai nevoie, iar daca nu crezi ca vei trece pe 5/10Gbps in viitorul apropiat, poti lua cel cu porturi de 2.5Gbps.
Sau poti sa cauti si pe la alti producatori, m-am uitat de curiozitate ce solutii are TP-Link momentan.
Iar ca router si wireless mai vezi eu sunt fan al router-ului sa fie router si pentru wireless sa am ceva dedicat (un access point).
Nu prea as vrea sa-mi trag toate cablurile in locul unde ar trebui sa-mi pun router-ul (cu wireless) pentru a avea acoperire decenta, asa cu router si access point separat, ai un colt "tehnic" unde vii cu toata reteaua si te duci cu un singur cablu pana la access point.
Acum depinde si de preferintele fiecaruia.

Poate gaseste ceva Fortinet 30e refurbished pe care are FW, VPN. Cam greu cu configurarea dar poate se descurca. Cred ca e cel mai ieftin router care ii acopera aproape toate cerintele. Pt wi-fi isi ia un routr wi-fi de care vrea si ii face o politica sa nu poata accesa decat anumite IP-uri.

Eu am oricum totul grupat (mai putin routerul/ONT Telekom), si pe laptop tot cam acolo as lucra.
Un router WiFi6 TP-Link cu suport OpenVPN m-ar duce pe la 300-400 lei, poate chiar sub. Nu am mari pretentii de viteza la accesul prin VPN.
Iar ca sa adaug si un access point... nu merita, doar daca n-ar fi buna acoperirea. Dar, Huawei-ul ala de toata jena poate...

Daca e ONT (iti intra fibra in el) oricum nu scapi de acel Huawei, doar sa-l pui in bridge si sa mai pui un router dupa el, plus acel switch.
Daca esti multumit de ONT pe partea de wireless (ce model e?) poti sa iei doar un switch, si ramai in continuare doar cu acel ONT + switch.
Sa lasi qnap-ul pe internet nu-i chiar de speriat, doar sa renunti total la serviciile lor de cloud ar fi recomandat.
VPN pe qnap iar nu vad ce ar putea fi de speriat, pe al meu am vazut ca aparuse suport pentru wireguard in qvpn, dar cred ca se poate folosi wireguard si fara qvpn, folosind niste pachete din entware, dar asta-i ceva mai avansat.

Am inteles ca pot sa setez al doilea router ca DMZ, asta ca sa evit double NAT. De setat Huawei-ul ca bridge, nu pot sa o fac eu (poate cei de la Telekom).
ONT-ul e un HG8247H. Surprinzator de decent pentru vremea lui, dar evident ca nu suporta ce vreau eu.

Recent, in ianuarie s-a aflat de o vulnerabilitate fix pe serviciul QVPN... cum ziceam, as evita. Desi am avut o perioada NAS-ul expus catre Internet (e drept, updatat constant, si doar cateva servicii/porturi).
https://www.qnap.com...isory/qsa-21-61
Insista prea mult baietii cu ransomware-urile lor, si-as prefera sa n-am batai de cap.