Doua WAN-uri, doua LAN-uri...iar MikroTik?

Acum vreo 3 ani am renuntat la un setup cu Mikrotik, care m-a scos din toate saritele posibile, chiar si dupa ce intr-un final a fost setat remote de un guru al networking-ului de pe acest forum. Pretentiile nu erau din cale-afara la vremea respectiva...PPPoE, IPv6, gigabit, router si AP separate, cam atat. Vorbim de RB750gr3 si ceva AP tot de la astia, cu 2.4 si 5 Ghz.

Cand a venit vorba sa fie nevoie de dual wan si avand in vedere ca orice mai voiam eu sa fac prin router-ul ala se finaliza cu "restore backup file" multumita lipsei de cunostinte avansate, dar si tutorialelor multe din ele cretine care se gaseau la vremea respectiva, am vandut jucariile respective cu prima ocazie si am trecut pe TP-Link. Simplu, eficient, decent, pe alocuri cam chel. A mers pana a dat Electrica cu el de pamant. Acum vreo doua saptamani, l-am inlocuit cu un W20E, tot de la TP-Link...canci IPv6 (in 2023!), canci LAN-uri separate, da' la 200 de lei ce sa ceri. Azi, pe la vreo 7 dimineata s-a decis si asta sa crape. Cred ca de plictiseala, ca traficul pe el era spre zero la ora aia. A fost nevoie de vreo patru reset-uri cu pixu' ca sa-i mai pot accesa interfata. Acum merge de mers, dar concluzia e ca urmeaza returul. Yay...

Si dupa aceasta mica introducere...ajungem la problema: ce ma-sa pe gheata pun in loc? Exista alta varianta in afara de MikroTik cu al sau minunat RouterOS care poate face ce am eu nevoie mai jos?

Am nevoie de dual WAN (1x PPPoE + 1x dinamic/static) neaparat, doua LAN-uri separate sau chiar trei (am o gramada de chestii smart pe care nu le-as mai vrea in LAN-ul cu pc-uri, telefoane si alte alea, iar daca as putea avea si un LAN sau WLAN sau ceva separat pentru guest ar fi de-a dreptul demential), doua AP-uri (unu' de interior, dual band si unu' de exterior care poate fi si numai cu 2.4), niste IPv6  si cam atat plus stabilitate. Vreau ca LAN-urile sa poata accesa ambele interfete WAN (ca daca pica aia principala sa iasa prin backup), LAN-urile sa nu comunice intre ele, iar la capitolu' gestionare AP-uri, mesh, roaming si alte tampenii chiar nu am pretentii, pentru ca doar as complica lucrurile si mai mult.

LE: stiu ca topicul va fi citit si de cel care m-a ajutat sa setez MikroTik-urile de care vorbeam la inceput. Chiar daca nu precizez cine, ce si cum...maestre, inca n-am uitat ajutorul oferit in creierii noptii! Once again, ai usa deschisa oricand pe domeniile pe care activez eu, in case you need it.

Edited by dygey, 05 March 2023 - 17:04.

Ce vrei tu nu e chiar asa simplu. Doua intrebari:
1. La ce iti trebuie IPV6 acasa? Sunt curios doar.
2. De ce nu pui doua routere si gata?
Un PfSense ar trebui sa rezolve cam toate problemele tale, montat pe o chestie de genu asta: https://www.fujitsu....s/esprimo-c720/

Edited by danX, 05 March 2023 - 17:30.

Edgerouter.
Mult mai friendly user.
Si e chiar f banala configuratia ceruta folosind edgerouter.
E wizard la prima setare inclusiv cu dual wan/multiple lan.
Dar iti trebuie un switch ce stie vlan-uri daca vrei sa profiti la maxim se throughput-ul celor 2 conexiuni wan.

danX, on 05 martie 2023 - 17:17, said:

1: trebuie sa am si eu o pasarica pe creier. De ce nu, daca exista, chiar de mai bine de 10 ani?
2: m-am gandit si eu la asta, da' ce te faci cu conexiunea de backup, care e 4G? Nu pot s-o tin
always-on, chiar si numai pentru o "bucatica" a retelei. Ori toata sandramaua pe principal, ori
pe backup si mai chill asa cu traficu' cand e.
3: PfSense, cand mie mi-a dat de m-a julit RouterOS? Doar din auzite si stiu ca asta poate mult
mai mult decat trotineta lituaniana. Sa-mi prind si mai rau urechile? Ca sa nu mai zic si de restu'
de bonusuri care vin la pachet cu el.

ogo, on 05 martie 2023 - 17:43, said:

Sar'na sefu', long time no see. Multam' de sfat, auzisem eu ceva ca ar fi mai prietenos, da' nu eram
sigur. Nu cred sa am nevoie de switch-uri, 5 porturi cat are el cred ca imi ajung. Doua pentru WAN,
iar restul LAN-uri separate, eventual sa pun pe porturile LAN ale router-ului cate un switch chior unde
o fi necesar.

Ai vreun sfat si pentru AP-uri? Eu cercetam niste ZyXel-uri.

LE: asa, de fun, la RB951G-2HnD ma chioram pana acu'.

Edited by dygey, 05 March 2023 - 18:24.

dygey, on 05 martie 2023 - 18:20, said:

nimeni normal la cap nu se complica cu IPV6.
Daca tot pui EdgeRouter e pacat sa nu pui AP-uri tot de la ei. Foarte faine sunt si usor de manage-uit.

Eh, ala e mai mult de fun asa. Pana si eu, cu toate ne-cunostintele mele in materie reusisem
la un moment dat sa-l fac sa mearga pe 750-ul ala, dupa un tutorial gasit pe interneti. Ma rog,
asta e mai putin important fiind doar un moft.

Legat de AP-uri, te referi la UAP-uri, nu?

dygey, on 05 martie 2023 - 19:03, said:

Alege Unifi dupa buget si nevoi

Legat de WiFi:

Daca vrei sa ramai in ecosistemul ubiquiti, poti lua AP-uri de la ei.
Totusi vad ca ai mentionat mai sus si Zyxel. Sincer sa fiu, am instalat recent niste NWA-uri 4x4:4, smecherii AP-urile, si sunt beton. Merg calumea. Deci eu iti pot recomanda cu incredere Zyxel.

Edgerouter dacă, ca începător ,nu vrei să faci prea multe .
Din păcate și eu îmi prind urechile după ce trec de setup-ul gui inițial .
Dacă însă vrei ceva cu interfață ok și o grămadă de chestii utile mura-n gură , recomand asus .
Are dual wan , are vpn inclusiv wireguard ,are o tonă de statistici și altele .
Și  e făcut de Taiwan , adică cel puțin nu te spionează chinezii .
Vezi că și aici există routere asus ieftine și beton .
Eu am luat recent pentru un client 2 buc asus tuf ax3000 v2 , e beton pentru că au super procesor (quad core la 1,7 ghz)
Sunt variante mai scumpe cu procesoare mult mai nașpa .

Iar wifi 6 este bestial și ca viteză și ca penetrare.
În plus ,recomand folosirea unui ups pe astfel de echipamente .
Înainte îmi picau picau diverse chestii într-o locație cu multe echipamente ( harduri , switch-uri ,routere etc).
Din momentul în care am pus ups ,au dispărut toate problemele

Edited by kye77, 05 March 2023 - 23:11.

danX, on 05 martie 2023 - 21:50, said:

multumesc!

decat sa innebunesc, aleg sa dau banu'. oricum, daca ar fi sa socotesc, tot p-acolo ies, ca si la Mikrotik au AP-urile niste scoruri de te ia capu'.

Ruben56, on 05 martie 2023 - 22:34, said:

chiar ma uitam la un NWA50AX, pentru interior. p-ala de exterior nu-l mai gasesc momentan, dar si ala parea o bijuterie.

kye77, on 05 martie 2023 - 23:01, said:

multumesc!

pretentiile mele sunt destul de mici, adica nu vreau cine stie ce nebunii. sa mearga de sa uit ca exista, sa faca ceea ce am eu la momentul actual nevoie si cam atat. e dragutel inclusiv asus-ul ala, daca ar fi stiut si dual-wan era si mai bine.

cat despre UPS...el saracu' exista in peisaj, numai ca de vreo saptamana era scos din schema pentru ca modificam niste chestii, adaugam un AVR cu triac pentru toata casa, schimbam chestii prin tabloul electric, etc. si fix atunci i-a apucat. bine, ar fi troznit UPS-ul, nu router-ul si ce mai era. acum am monitorizare tensiune in locatie, la dublu chiar.

Edited by dygey, 06 March 2023 - 01:26.

danX, on 05 martie 2023 - 18:41, said:

Pai de ce nu? ipv6 e  ~35/40% din total trafic la nivel mondial.
Toti marii MAMAA (ex FAANG): Meta (ex. Facebook), Amazon, Apple, Microsoft, Alphabet (ex Google) folosesc ipv6 la greu...
iar orice sistem de operare mai nou de 2010 va prefera ipv6 vs ipv4 inclusiv tot ce inseama web browser...

ogo, on 06 martie 2023 - 09:38, said:

asa, si acasa ai nevoie de IPv6 pentru ....

Pt tot ce stie ipv6: google/facebook/apple/netflix/cloudflare/microsoft/etc/etc inclusiv aplicatiile lor (mobile sau nu)
Dar mai ales din simplu fapt ca respecta end-to-end connectivity vs ipv4 care in 99% din situatii e NAT...sa nu mai zic de o rutare mai eficienta, multicast direct fata de ipv4 broadcast, fiecare device are adresa lui publica, etc/etc.

Și eu tot ca @ogo zic.
Edge + un switch care știe vlan și ai rezolvat problema.
Edge are wizard-ul care îți rezolvă problema și apoi mai trebuie doar să configurezi switch-ul și eventual WLAN-ul (AP).

ogo, on 06 martie 2023 - 12:08, said:

Pai asta iti doresti, fiecare device sa aibe adresa lui publica? Hal de securitate. Orice zero day vuln e breach automat.

De cand pana cand NAT-ul e o forma de securitate?????
Da, bine-inteles, toata lumea isi doreste asta iar daca vrei mai multe detalii citeste despre end-to-end principle / end-to-end connectivity in networking...
Cred totusi ca nu intelegi ca indiferent daca ai un ip public sau nu (NAT) totul trece prin gateway-ul/firewall-ul tau...

ogo, on 07 martie 2023 - 09:21, said:

Pai a zis cineva ca e?
Dar hai sa luam un exemplu simplu: rulezi Plex intr-o retea IPV6, ip public, apare o vulnerabilitate noua si inca ne-patch-uita, ce opreste un eventual atac? Mai ales la un router home, fara chestii fancy.

NAT-ul nu e o forma de securitate in sine, dar produce ca si side-effect drop de packete daca nu e configurat sau e configurat prost. Exemplu practic: nu ai port forward pe un IP intern => packet drop in gateway.

danX, on 07 martie 2023 - 19:43, said:

Nimic. Esti la mila hackerului Hai ca pe un Windows mai ai firewall-ul default, dar daca povestim de un Plex, sa nu uitam ca LastPass a fost breached recent fix printr-un Plex neactualizat

Parerea mea personala e ca treaba cu IPv4 si IPv6 e ca si treaba cu Windows XP vs Windows 7 sau Windows 7 si Windows 10. Marea masa nu facea upgrade pana nu erai fortat sa faci (hai ca de la XP la 7 a mai trecut lumea ca era o diferenta notabila, dar 7 inca exista si azi, in era W10 si W11, for some reason). IPv4 si NAT-ul va mai fi inca o lunga perioada cu noi si va fi the default way to reach the internet in rezidential inca multi ani

L.E.: Chiar daca ai si un firewall configurat, inclusiv unul stateful, nu inseamna ca esti bulletproof.

Edited by Ruben56, 07 March 2023 - 23:18.