Preporuka za malo napredniju kućnu mrežu.

[markecSMB]

Pozdrav.

Trenutno kućnu i poslovnu mrežu (oboje je jedno) imam preko A1 1/0.1 kabelskog kineskog smeća od modem/router/firewall/AP SMBC.
Tom smeću ne mogu natjerat fowardiranje portova da radi.

Poslovni sam korisnik, al ne plaćam IP adresu, al po potrebi sam voljan to i platit al bi rađe izbjegao ako ne moram (25€/mj)

Ono što želim.
1) Imat robusan firewall
2) OPEN VPN server (imam Nord VPN klijent, al ako mogu vrtio bi svoj VPN za siguran pristup svojoj mreži iz vana, često radim van hrvatske i imam problem da sam s mobitelom i radniom stanicom na mrežama koje su na CGNAT
3) Želim imat vanjski pristup svojoj mreži s radne stanice i mobitela i svih uređaja kojima ja dam pristup preko VPN, a pristup mogu davat i ukidat kako želim
4)Želim imati WAKE ON LAN (ne radi na dreammachine), nema smisla da mi gori server i radna stanica ako mi ne trebaju
5) Po mogućnosti želim da to ne troši puno struje

Dakle prvo neki router, pa switch (obavezno managed zbog VLAN), pa.

Idealno bi bilo da ima sve u jednom uređaju, al ne nalazim baš. Bitno mi je da je mreža stabilna, pa bi izbjegavao nešto tipa https://www.tp-link.com/us/home-netw.../archer-be800/ Koji bi imao dovoljno toga što mi treba za sad.
Gledao sam i ovo https://shop.netgate.com/products/6100-base-pfsense
i https://shop.opnsense.com/dec2700-se...e-2024-update/
Slika topologije u prilogu

[mann]

Ja sve to sto ti zelis + jos dosta toga imam rjeseno na ubiquiti-u. E sada jedino sto nije na ubiquitiu direktno je WOL koji mi ide preko synology-a. Ja se VPN-am u VPN subnet (koji je odvojen od LAN) i zato nemogu slati WOL broadcast over VPN-a. Nego se preko VPN-a zakacin na SYNO IP, pa sa SYNO koji je u LAN-u saljem broadcast.

Meni je ubiquiti strasan za ovakve prosumer stvari.

Sad koliko je robustan firewall moglo bi se pricati ali je pristojan. Pogledaj ubiquiti zone base firewall (LINK) koji izlazi na public availability u narednih mjesec dva. Vec je u Early Access.

[jp_rv]

šta znači "robustan firewall"?



robustan s koje strane? samim time šta imaš router koji nema otvorene portove, je dovoljan "firewall" za ogromnu većinu korisnika. a sad, ako ti otvoriš portove za vpn i onda ovdje želiš nešto dodatno zaštiti - zahtijeva malo truda.

međutim ako otvoriš port na neki PC, onda ti treba i lokalni firewall na toj mašini koji će radit per application exception rule.



neznam, ja svoju mrežu smatram relativno kompleksnom i velikom sa preko 100 uređaja u njoj, xy otvorenih portova za razne servise, a to mi drži sve openwrt routerčić.

[Colop]

Citiraj:

Autor mann

Meni je ubiquiti strasan za ovakve prosumer stvari.

Sad koliko je robustan firewall moglo bi se pricati ali je pristojan. Pogledaj ubiquiti zone base firewall (LINK) koji izlazi na public availability u narednih mjesec dva. Vec je u Early Access.

Kako oni stoje sa upgrejdanjem definicijq i naplatom? Većina riješenja spomenutih u prvom postu ima dodatni trošak u vidu godišnje pretplate od 200 eura naviše.
Sophos je 500 eura godišnje

Poslano sa mog REA-NX9 koristeći Tapatalk

[Nikky]

Prva dva koraka (mada indirektno navedena u željenoj skici iz uvodnog posta):
- obzirom da je u pitanju A1 coax, mora ostati neki od njihovih routera
- koji god da je, na njemu se gasi WiFi, traži da mu Internet konekciju prebace u Bridge mode
- zahtijevaš / tražiš da te maknu sa CGNAT - a

Kao rezultat ovog poviše, uređaj kojeg nabaviš i staviš "iza" njihovog routera, mora na svom WAN portu, DHCP Client, dobiti (promjenjivu) javnu IP adresu.

Plaćanje stalne IP adrese svakako gledaj izbjeći (a nema ni potrebe), em je suvišan trošak, em je gnjavaža kada ti ta IP adresa završi na listu koju razni majmuni napadaju .... pa dok se to riješi / promjeni ....

Šta se hw za router tiče, ako ti je "drago" ubiquiti okruženje možeš ići tim putem,
ako imaš znanja i mogućnost nabavke hw iz DE / EU zašto bi platio masno precijenjen taj stari hw od Netgate, Sophos - a ?
To sve pojede za doručak pristojan "server" pc, noviji i3 / Xeon, ram po želji, sa min. 2x ili bolje 4x 2.5 GB mrežne (poželjno Intel 226) + PFSense ili OpenWRT na njemu.
Ovo poviše "server" jeli baš mora biti 19" rack server ili možda može neki drugi format.

To be continued

[mann]

Citiraj:

Autor Colop

Kako oni stoje sa upgrejdanjem definicijq i naplatom? Većina riješenja spomenutih u prvom postu ima dodatni trošak u vidu godišnje pretplate od 200 eura naviše.
Sophos je 500 eura godišnje

Poslano sa mog REA-NX9 koristeći Tapatalk

Placaju se proofpoint definicije no to je IPS (intrusion prevention). Ako gledamo firewall, firewall je free. IPS je isto free ali ima i taj napredni proofpoint IPS koji je nesto ala antivirus za napade pa ga treba imat updateanoga. No tu pricamo o stvarno naprednim funkcijama IOC (compromise indicators) i slicnih stvari koje su vrlo upitne u home / prosumer okruzenjima. Za smb ja bih dao tih 100 (ovisno o gatewayu idu od 100 na vise) eur godisnje.

EDIT: Cijene za IPS CyberSecure Proofpoint definicije su u rangu od 80-90 dolara godisnje na gore ovisno o klasi uredjaja.

[markecSMB]

Ostaje modem, ide u bridge.
Nisam na CGNAT
Server već imam, sad je i7 8700k 8 SATA portova, 2 slota 16 PCIE stazica slobodnih gen 3, tu ide intel sfp+ 10gigabit karta
To je server, za sada....nema ECC al za sada bude dobar, kasnije ću ga zamjenit s AM5 platformom s ECC koja je sad radna stanica
WAKE over lan mi je bitan baš zato jer i7 8700k troši (mada je u idle na zidu 50tak W idle, s gtx 1080ti)

Server sad ne mijenjam, baš zato što namjeravam imat moćne servere WAKE on LAN mi je jako jako bitan.
Želim si pristupit mreži, WAKE on lan s mobitela i laptopa, i onda se pali sve što želim.

Lova nije problem, ide na firmu, sad je kraj godine i moram trošit, ne znači da želim bacat lovu. Apsolutno mi nije problem naručivat iz vana.

Imam averziju od ubiquity jer je imao data breach (https://www.britive.com/resource/blo...ecurity-breach ).

Nikakve synology i slične NAS ne želim instaliravat, jer mogu dobit isto za manje love.

i7 8700k ima 8 sata slotova 2 m2 i 2 slobodna 16 stazica 3.0 (jedna ide za SFP+ karticu) https://www.asrock.com/mb/Intel/Fata...20Gaming%20K6/
Al ako se da na ubiquity riješit da ja upalim server preko mobitela išao bi na to

Baci preporuku na server, na kojeg bi se instalirao pfsense il slično.
ty
Hvala svima na odgovorima .

Novac generalno nije problem, kraj godine je i moram trošit da smanjujem dobit.

Trenutni favorit mi je https://www.voleatech.de/en/product/netgate-6100/

Za sad konfiguraciju mi ne treba switch, samo AP

[medo]

Ako hoćeš pošteni firewall zaboravi na (near) free riješenja.

Imam FortiGate. Uređaj je 300-350€ ovisno koju cijenu dobiješ. Pretplata je 1500€ / 5god minus eventualni rabat. To je 25€ mjesečno.

Za to dobiješ definicije za antivirus, IPS, botnet, C&C, DNS filter, app control (layer 7 sigovi) i ostalo koje se updejtaju nekoliko puta na dan. Često dođu unutar sat-dva-tri.

A ima i dedicirani network/content procesor koji sve to radi u hardwareu pa mu je propusnost po dva reda veličine veća od UBNTa i sličnih pogotovo u SSL inspectionu bez kojega skoro kao da i nemaš firewall.

[markecSMB]

Citiraj:

Autor medo

Ako hoćeš pošteni firewall zaboravi na (near) free riješenja.

Imam FortiGate. Uređaj je 300-350€ ovisno koju cijenu dobiješ. Pretplata je 1500€ / 5god minus eventualni rabat. To je 25€ mjesečno.

Za to dobiješ definicije za antivirus, IPS, botnet, C&C, DNS filter, app control (layer 7 sigovi) i ostalo koje se updejtaju nekoliko puta na dan. Često dođu unutar sat-dva-tri.

A ima i dedicirani network/content procesor koji sve to radi u hardwareu pa mu je propusnost po dva reda veličine veća od UBNTa i sličnih pogotovo u SSL inspectionu bez kojega skoro kao da i nemaš firewall.

Ma ne. Dakle, želim siguran, dakle razumno siguran pristup svojoj mreži iz vana.
Želim vrtit VPN server (na gejtveju/ruteru), i želim palit uređaje u mreži iz vana.

JA uglavnom radim van hrvatske, i za posao mi je neki put potrebno koristit neke stvari od doma+zavrtim server za igrat igre s malim koji ne živi na lokaciji+plex i backup. Nema tu sad milijkun klijenata, al želim da bude brzo, stabilno.


Ak taj GW krepa, nema mreže za niš, zato sam više za neka ne uradi sam rješenja. Male stvari držim na google drive (pretplata, 200GB)

[medo]

Zato daš još 350€ i staviš dva komada u cluster. Rade kao jedan uređaj. Tako se i administriraju.

Čak i kada radiš firmware update oni se rebootaju jedan po jedan bez puknutog tunela, bez pada TCP sessiona, bez pada voice kanala.

I ne moraš ništa kemijati ni gubiti vrijeme. Sve je napravljeno da radi.

Ako želiš sigurno, vjeruj mi, samo takav config se može smatrati razumno sigurnim pogotovo kada vidiš u logu koliko toga odbije i otkuda.

[mann]

Što se wol-a tiče postoji trik sa static arp-om. Dakle uz taj config i recimo aplikaciju na mobitelu kao pingtools wol bi morao raditi.

Nemogu potvrditi jer ja imam always on klijent (synology) koji mi je u lanu i on mi je wol relay.

Sent from my SM-S926B using Tapatalk

[Cuky]

Ja bih ti predlozio neki jaci mikrotik ruter, da moze tjerat 1gbit uz qos.

Na njemu slozis vpn (wireguard server aka back to home) i skripte za wol za te pc-je sto trebas (jednostavno je).

Spajas se iza cega hoces na njega, cak iza cgnat-a (iako je tada limitirana propusnost), kroz mikrotik aplikaciju na mobu se logiras u ruter i vrlo jednostavno okidas wol skripte. Izi pizi.

+ sto imas dovoljno opcija za konfigurirat firewall.

Svaka cast fortinetu i svemu, ali mislim da to nije za kucno okruzenje.

To je vise za enterprise gdje ces imat admina koji ce redovito cackat po tome (pratit logove i sl.) za sto sumnjam da imas vremena.


Btw, a1 su idioti kad je u pitanju kablovski internet i bridge mod. Bar jednom godisnje im dodje da sami od sebe odjebu ruter iz bridge moda i vrate ga u routing mod.

Bar su takva moja iskustva na par lokacija.

Bitnije ti je samo da te ne drze na cgnat-u jer na taj nacin ne moras koristit relay servere za vpn tako da nemas ogranicenja na brzinu.

Edit:
Sto se tice pristupa preko moba na vpn doma to radis sa njihovom back to home aplikacijom, stvarno jednostavno.

A sto se tice pc-a, instaliras wireguard na komp, importas s mikrotika profil i to je to.

[Psycho]

preporuka za tp link omada SD cloud opremu, firewall - opnsense sa IDS pluginom i to je to.

nevezano za cgnat, koristi tailscale ili zerotier. ne zato jer nemas javnu adresu, nego jednostavno je bolja opcija od javne adrese i raznih reverse proxy opcija kao security deterent da ti neko izvana ne pokusava sniffati po routeru/firewallu

[markecSMB]

Hvala svima na savjetima!

Sve ima svoje prednosti i mane. Mada je meni nekako najbolje rješenje za moje potrebe onaj pfsense 6100, al to je već stari HW što mi malo ide na jetru. I puno traži.
Tak da ću ić na MIKROTIK što je napisao Cuky. A taj mikrotik, može i ko switch poslužit kasnije u mreži, kad il izbace malo noviji s novijom arhitekturom netgate il nađem neku dobru ploču s ECC i atomom il nekim ULV i5 novije generacije (za koju nađem da radi na netu ko primjer, jer nemam vremena se bakčat s eksperimentiranjem).

Na žalost jedino kaj imam, odnosno najbolje kaj imam je A1 kabel....a baš mi idu na jetru, a to kinesko govno koju uvaljuju ima neloš atom 2000 ko procesor, al očigledno je.


Još jednom hvala svima, i slobodno napišite još neki savjet, mislim da ovo kaj ja hoću je korisno imat svima....ja sam toliko škrt (za strujom) da ne bi ni NAS pustio da radi cijelo vrijeme (možda bi raspbery PI....imam jedan 3b od kojeg bi mogo složit WAKE on LAN paljenje i reset).
Ty

[medo]

Citiraj:

Autor Cuky

Svaka cast fortinetu i svemu, ali mislim da to nije za kucno okruzenje.

To je vise za enterprise gdje ces imat admina koji ce redovito cackat po tome (pratit logove i sl.) za sto sumnjam da imas vremena.

Upravo je suprotno. FortiGate je set and forget. Ažurira se sam a postojeći ruleovi rade posao. Po pitanju filtriranja prometa je svjetlosnim godinama ispred MikroTika s kojim imam 20 godina iskustva.

MikroTik je obični iptables i ništa više.

Slažem se da je FortiGate možda overkill ali Fortija je mnogima lakše konfati nego MikroTika i mjesečno košta manje od rate za malo bolji mobitel.

To je vjerojatno jedini enterprise firewall dostupan običnim smrtnicima. Tu ima moj duboki respect (bivši mrežaš). Ostali imaju puno manje performanse za iste novce.

BTW: upravo gledam kako mi IPS blokira neke gadarije koje se provlače kroz oglase na tomshardware.com Da Deep SSL inspection nije dekriptirao promet i da IPS to nije detektirao to bi prošlo do PC-ja…. Tik to ne može.

[Cuky]

Ne kazem da moze, ali za neku jednostavniju mrezu ni nema potrebe.

Zbog tog razloga i postoje profi rjesenja ala fortinet koji ce odradit fw dio.

[markecSMB]

Uglavnom dugo sam razmišljao kako da riješim problem s WOL.
Dakle na siguran način da budim server s interneta.

I sjetio sam se da imam RP3B, i nakon što sam pogledao ovaj video
https://youtu.be/k02P5nghmfs di sam umro od smijeha rekoh idem probat to napravit.

I instalirao sam
https://www.home-assistant.io/, na PI3B kao podesio WOL, WOL radi.

Dakle prvi problem, imat uređaj koji troši ful malo struje a bit će server koji će palit ozbiljne potrošaće je riješen!

I opet mi padne na pamet, a kaj kad ti server zablokira.... i sad se čujem s starim frendom koji na PI5 ima cijelu kuću automatiziranu i opet se sjetim zanimljive ideje.


On koristi na HOME ASSISTANT ovo https://www.amazon.de/-/en/4-Channel...s%2C107&sr=8-4
I sad zašto kad taj server zablokira, ne imat kontrolu da upalim (fizički spojen na PIN na matičnu), gasim i resetiram server ak se iz nekog razloga ne želi probudit.
Postoje verzije i sa zeegbee protokolom. I definitivno ću si to složit, da kad zablokira da ga resetiram.

Za remote access koristim cloud DNS od proizvođača softwarea https://www.nabucasa.com/ koji ima free trail 31 dan, i imam pristup HOME assitantu preko clouda.


I opet na prvi korak posta, sad mi je OK i dream machine, jer sam riješio problem s buđenjem, UI je puno jednostavniji od MIKTOTIK, i ima brdo opcija...il pfsense

Dakle pouzdani VPN SERVER, FIREWALL, GATEWAY/ROUTER
+ molim preporuku za WIFI AP, nekako bi onda mogao preć na sve od UBIQUITY...

[Dule]

Citiraj:

Autor markecSMB

I opet mi padne na pamet, a kaj kad ti server zablokira....

Ja sam kupio ovo u Kauflanda za 17€

https://www.bauhaus.hr/smart-home-ut...ica/p/28172929

Ima aplikaciju i pališ/gasiš utičnicu preko interneta kroz aplikaciju, spojena je na Wifi... i onda kroz nju napajam RPi.

Inače za ovakve stvari (WoL i slično) je Pi Zero 2W super, troši manje od 3W struje u idle...

[Colop]

Citiraj:

Autor markecSMB

+ molim preporuku za WIFI AP, nekako bi onda mogao preć na sve od UBIQUITY...

A evo, preporuka. Imamo ih u uredu, imamo ih kući, nikad problema.



https://www.amazon.de/dp/B0BYL7G7SZ?...refix=unifi+ap


Nemogu vjerovati kako su skočile cijene, ja sam tri komada kupio prije mjesec dana,83 eura komad sam platio.

[Nikky]

Može i tako ..... ali ako već imaš RP3B u funkciji, zašto ga nebi samo proširio sa ovakvim relay modulom:
https://www.amazon.de/-/en/RPi-Relay...dp/B07TXB4DRQ/
https://botland.store/raspberry-pi-g...422371753.html
https://www.waveshare.com/wiki/RPi_Relay_Board
samo još malo dodatnog kodiranja ....

Za žuntu:
- ne zaboravi da je za reset dovoljno 1 - 2 sec. pa da odmah isprogramiraš da nakon tog vremena odmah deaktivira pojedini relej,
cijela priča je da relej ne ostane dugo u On stanju
- sami RP3B dodatnom skriptom može raditi provjeru dostupnosti Interneta, routera ... sa tim da treba biti pažljiv sa pinganjem (od broja do koliko često a da nije prečesto)
- treba testom utvrditi kako se RP3B + Relay modul ponaša prilikom paljenja ili oscilacija napajanja da ne bude da bez razloga resetira ....

[markecSMB]

Citiraj:

Autor Nikky

Može i tako ..... ali ako već imaš RP3B u funkciji, zašto ga nebi samo proširio sa ovakvim relay modulom:
https://www.amazon.de/-/en/RPi-Relay...dp/B07TXB4DRQ/
https://botland.store/raspberry-pi-g...422371753.html
https://www.waveshare.com/wiki/RPi_Relay_Board
samo još malo dodatnog kodiranja ....

Za žuntu:
- ne zaboravi da je za reset dovoljno 1 - 2 sec. pa da odmah isprogramiraš da nakon tog vremena odmah deaktivira pojedini relej,
cijela priča je da relej ne ostane dugo u On stanju
- sami RP3B dodatnom skriptom može raditi provjeru dostupnosti Interneta, routera ... sa tim da treba biti pažljiv sa pinganjem (od broja do koliko često a da nije prečesto)
- treba testom utvrditi kako se RP3B + Relay modul ponaša prilikom paljenja ili oscilacija napajanja da ne bude da bez razloga resetira ....

Ovo tu kaj navodiš su glupi relejni dodaci. To je ono 15 godina out.

Dakle sad je in ZIGBEE i wifi relejne pločice. Možeš ih imati brdo kontrolirano s jednog RP.

Naveo sam ZIGBEE, koji je bolji jer manje troši, al ima i wifi tipa ovo
https://www.amazon.de/-/en/4-Channel...s%2C107&sr=8-4


Dakle ak neko nije skužio, ne budem ja isključivao struju, nego se spojio paralelno s tipkalima za paljenje, gašenje i reset na matičnu ploču.

Imaju gotova rješenja tipa https://www.amazon.de/-/en/Computer-...s%2C124&sr=8-4

Al mi apsolutno ne pada na pamet imat neko kinesko wifi govno u svojoj mreži iz sigurnosnih razloga. IOT će bit zigbee, i nema pristup mojoj mreži, a ja imam pristup RP koji kontrolira IOT stvari.


Jednostavno mi je blesavo da mi server gori cijelo vrijeme (mada je u idlu 50W), a ne pada mi na pamet imat neke atome i ULV kad mi podizanje servera za Ark koji igram s sinom treba 5-10 minuta na i78700k.

[Nikky]

Ja sam pročitao šta si napisao, hoćeš po potrebi reset .... tko je spominjao isključivanje struje ... malo pažljivije čitati ...

Eh, daš mu prijedlog (jednog od mogućih) rješenja a on te fino "pohvali"

Sam si našao taj modul / rješenje ... uživaj.

[markecSMB]

Citiraj:

Autor Nikky

Ja sam pročitao šta si napisao, hoćeš po potrebi reset .... tko je spominjao isključivanje struje ... malo pažljivije čitati ...

Eh, daš mu prijedlog (jednog od mogućih) rješenja a on te fino "pohvali"

Sam si našao taj modul / rješenje ... uživaj.

Ne se odmah vrijeđat, zahvalan sam na komentaru

Do jučer se nisam uopće susretao s tim IOT, prije 20 godina sam koristio arduino i slične module, al ovo sad što se da napravit je čudo.

Možeš ima stotine primjena, pogotovo danas kad ima brdo toga na youtube lako je povezati i isprogramirati.

Evo sad neke osnovne stvari koje nism ni znao, a povezao sam. Printer, vidim koliko mi ima % boje. TV (samsung 90c OLED), koji je spojen na komp, al ima tako mali daljenski da ga ne mogu nikad nać, ugasim ga preko ovog.


Ono što sam čitao za IOT, je da ti WIFI moduli troše i iznad 1W, pa sad ak imaš sva svjetla štekere i brdo toga, nabere se. Još jedan od razloga za preferirat ZB protokol. A i sigurnosni rizik su farme tih malih štekerčića i gluposti na WIFI se koriste za DDoS napade.

Recimo taj frend on ima to sve na posebnom VLAN (koristi wifi), ja bi to čak maknuo sve s wifi, RP na posebni VLAN i VPN za pristup njemu.

Sve žarulje, sve štekere, sve sklopke, sve kućanske aparate od sad kupujem samo ako su IOT, i fino pristup serveru na kojem se to vrti i kontrolu i nadzor.

[medo]

Citiraj:

Autor markecSMB

Al mi apsolutno ne pada na pamet imat neko kinesko wifi govno u svojoj mreži iz sigurnosnih razloga. IOT će bit zigbee, i nema pristup mojoj mreži, a ja imam pristup RP koji kontrolira IOT stvari.

To je razlog zašto imam APCovu switched letvu spojenu ethernetom u mrežu. Solira u svojem VLANu i nema izlaz na net niti u ostale lokalne LANove. Samo NAT preko firewalla.