Rețea pentru acasă

Cumpărat WRT120N.
Am prins ofertă la Emag, aveau o bucată "second hand" - reducere de la 214 RON la 160 RON. Cică "ambalaj deteriorat" şi "zgârieturi fine". Am zis că şi aşa nu mă interesează cutia, şi dacă e zgâriat, iacă îl ascund într-un colţ şi gata.
Ce-am primit:
- ambalajul n-are nici pe dracu, a fost doar desfăcut, probabil pentru prezentare sau să-i facă poze.
- cu toată bunăvoinţa, n-am găsit urmă de zgârieturi. Era într-adevăr un "smudge" pe partea lucioasă, dar am dat cu o cârpă pe el şi s-a dus.
Buun, deci de arătat arată perfect.
Ieri noapte, când am ajuns acasă, m-am gândit să-l testez mai întâi ca router, în special eram interesat de eprformanţa la download metropolitan, aşa că l-am configurat ca atare. De menţionat că softul propriu de configurare, oricât de "eye-candy" ar fi, e praf, mai ales dacă nu e vorba de luat IP de la ISP prin DHCP. După ce l-am lăsat de mi-a venit acru să se configureze singur, am intrat (la oha) pe http://192.168.0.1 cu u+p admin/admin şi voila! eram în meniul de configurare.
Am purces la configurarea manuală, cu tot cu partea de wireless, unele chestii de pe-acolo habar n-am ce fac (o să pun întrebări mai jos...), dar în general cam asta a ieşit, deocamdată:
- Am conectat 2 PC-uri wired şi un netbook wireless.
- Partea de wireless e securizată cu parolă şi în plus cu filtrare pe MAC Address (prefer să adaug de mână un MAC Address dacă e nevoie pentru alt Wireless...chiar aşa, că-mi amintii, să adaug şi Blackberry-ul... gata, done)
- Am încercat un download mare metropolitan, să văd cât duce. Asta era singura chestiune eliminatorie în examen. M-am bucurat să constat că media a fost undeva pe la 7.5 MB/s, ceea ce este mulţumitor. Mai puţin decât acei 9-11 MB pe care îi prind uneori, dar cu timpul voi putea să verific dacă într-adevăr e o mică diferenţă de viteză şi mai ales dacă e deranjantă. Deocamdată nu e deloc deranjantă :smile:
Acu', întrebările:

1. Wi-Fi Protected Setup: bun, rău, OK din punct de vedere al securităţii? Sau mă complic degeaba şi e mai bine să merg pe partea manuală?
2. Encryption: TKIP sau AES. Să las doar AES? Nu cred că are mare importanţă, atâta vreme cât filtrarea se face via MAC Address, dar noah...
3. SPI Firewall: să-l las pornit? Fiecare calculator din reţea are firewall, şi nu mă deranjează anonymous requests, adică ping-uri din afară sau ceva de genul. Dacă închiderea firewall-ului din router creşte performanţa, atunci prefer să-l închid.
4. Ca administrare, l-am setat să accepte administrare doar de pe un singur calculator, wired, nimic via wireless, nimic remote. E OK aşa sau sunt paranoic?

Mulţam în avans pentru răspunsuri :smile:
LE: Firmware upgrade nu merită.
 
Pentru wireless folosește WPA2 (Personal, nu Enterprise) dacă are, cu EAS sau TKIP, și parolă setată manual pe un string random. Vezi dacă observi vreo creștere de performanță trecând de la EAS la TKIP, sau mai puține resetări/întreruperi; EAS cere mai multă putere de calcul. Filtrarea pe MAC e degeaba, poate fi sniffuit și clonat. Protected Setup ajută dacă în mod frecvent asociezi echipamente noi la Access Point, altfel nu-i văd utilitatea.

SPI firewall l-aș lăsa pornit, cu excepția cazului în care știi sigur că trebuie să-l oprești (gen, incompatibilitate cu Windows Vista). Nu cred că vei obține un spor de performanță semnificativ prin dezactivarea lui.

Pentru administrare e ok dacă nu te complici și permiți accesul de oriunde din wired LAN, că interfețele fizice sigur le poți controla. Pe wireless nu m-aș risca decât dacă aș avea o parolă beton și routerul ar ști să facă logging/avertizare și blocarea unui client ce încearcă login în mod repetat (brute force), iar de pe WAN poți activa când ești plecat mai mult timp de acasă și poate ai nevoie să intri de la distanță pe vreun sistem.
 
Este deja AES sau TKIP. Parola este setată manual, nu pe un string random, dar destul de lung anyway. Nu există resetări/întreruperi până acum, device-ul pare rock-stable; sper să şi rămână aşa.
Deci aşa cu filtrarea pe MAC... oricum, e vreo problemă dacă rămâne ON anyway? Că mi-e cam lene să fac iar setări pe-acolo. Am înţeles, să nu mă bazez numai pe ea, e OK.
O să scot Protected Setup, l-am încercat aşa, de test. oricum, o dată ce leg şi laptop-ul, nu se vor mai face schimbări în topologia reţelei, deci o să fie ceva de genul "set-and-forget".
SPI Firewall va rămâne ON, în concluzie. Eu mă gândeam că noah, la un download mare (şi rapid; după cum ziceam, am pe metropolitan 100 Mbit/s) o să se cam chinuie să analizeze fiecare pachet, şi poate dezactivarea aduce un spor de performanţă.
 
Ca să-mi montez camera IP trebuie să o leg la server printr-un cablu de vreo 30m. E vreo problemă cu lungimea asta? Din câte ştiu eu nu ar trebui să fie mai ales la lungimi de cablu < de 100m, dar întreb.
 
Eu am vechituri non-N si un Linksys cu N la care nu folosesc deloc N, ca nici o placa de retea din laptopuri nu stie. Dar intreb si eu: a intalnit cineva placi de retea wireless Atheros 500x (6 sau 7) care sa functioneze cu WPA sau WPA2? Am asa ceva intr-un Fujitsu Siemens nu foarte vechi si vede retelele, se conecteaza dar nu isi ia adresa IP. Cu securitatea dezactivata din router merge impecabil. OS este XP SP3 la zi, routerele sunt Linksys (vreo 3 bucati diferite), driver am gasit pe site la Acer de prin 2007 (Fujitsu-Siemens nu are, la ei pe site acest model are doar WLAN Intel), orice alt computer (inclusiv un alt model de Fujitsu Siemens) se conecteaza fara probleme la routere, la fel si aproape orice telefon (mai putin al meu, ca e prea vechi si nu stie WPA2).
 
Dar intreb si eu: a intalnit cineva placi de retea wireless Atheros 500x (6 sau 7) care sa functioneze cu WPA sau WPA2?

Acu ceva timp am avut eu un Fujitsu-Siemens + Atheros 5xxx (nu stiu exact modelul) care mergea fara probleme pe WiFi cu WPA/WPA2 cu un router Edimax. Incearca niste drivere direct de pe site-ul Ateros

LNT, vezi ca sunt cateva alternative mai ieftine de la Dlink, DIR-600 respectiv DIR-615.
* P.S. La Dlink combinatia WPA2+AES te limiteaza la 72Mbps.
 
Ala nu e site-ul Atheros; Atheros a fost cumparat de Qualcomm si nu ofera nici un fel de driveri.
 
Acum am vazut si eu ca e "unofficial", dar de fiecare data am luat de acolo drivere pentru placi cu chipset Atheros.
 
Are Frecventa de functionare: 2.4-2.4835GHz
Altele au până la 5GHz. Are vreun avantaj la puterea semnalului treaba asta?
 
Dupa un upgrade de firmware merge decent... acum ca ai pomenit de routeru asta, am cautat postu unde-i laudam pe cei de la D-link pentru viteza cu care au raspuns la solicitarea mea si am observat ca a trecut imediat un an de atunci! Incredibil cum zboara timpul.
 
Last edited by a moderator:
Decent? La banii aștia doar decent?
M-am răzgândit, vreau N și Gigabit. :biggrin: Mută cineva posturile în topicul corect pls.
Am găsit câteva modele dar m-a nedumerit chestia cu dual band, single band, dual band simultan sau nu. Pff, vreau un router gigabit cu raza bună pe wireless și care să meargă cel puțin bine pe wired. Oare cer prea mult de la 100E cât am de cheltuit?
 
Deocamdată am rămas pe Asus RT-N56U, ceva mai scump decât suma iniţială, dar ăsta pare cel mai bun pe wireless decât alte variante asemănătoare. M-am documentat şi cu dual band, frecţie pentru vremea actuală, deci asta n-a mai contat ci doar partea de acoperire wireless. Mai aştept totuşi să văd ce mai apare, ce mai găsesc. :biggrin:
 
Vreau sa fac o chestie pentru reteaua de acasa: certificate pentru domeniul intern. Nu cred ca se poate, dar totusi intreb.
Descrierea problemei: la vreo 2 dispozitive de retea care vor HTTPS din diverse motive, gen firmware idiot de la Lexmark pentru multifunctional, fara HTTPS nu merg o parte din optiuni, imi trebuie certificate pentru ele fara sa le fac acceptate fara warnings de fiecare calculator si telefon din casa, mult prea multe ca sa le numar.
Problema e ca nu am un domeniu, asa ca as face unul fake, intern, gen xyz.com (abc.com exista). Bun, cu asa ceva nu pot lua certificate de la Letsencrypt. Nu am nici un domeniu Windows in care sa bag toate dispozitivele si nici nu fac unul, ca telefoanele oricum nu o sa mearga cu asa ceva, NAS-un e FreeBSD si ar merge dar pana la urma e cam aiurea si nu are rost sa il fac.

Am vreo solutie pentru asta? Tot ce vreau e sa pot folosi Lexmark-ul care vrea neaparat certificat si nu ii plac self-signed.
 
Păi ți-ar trebui un DNS server intern, pe care să pui toate chestiile din rețea cu nume propriu, și un certificat semnat de "cineva serios" (acceptat ca root cert) pentru acel nume de domeniu (și pentru fiecare subdomeniu). Let's encrypt e singurul pe care-l știu care oferă certificate free, dar problema lor e că numele trebuie să fie accesibile de ei (cel puțin când îți dau certificatul, pe urmă nu cred că mai contează). Ce mai e important e că momentan nu oferă wildcard (planificat pentru la anul), adică trebuie să iei câte un certificat pentru fiecare device/nume. Deci îți trebuie:
- nume de domeniu, care va fi folosit intern
- un hosting temporar (până iei certificatele) + creat subdomenii pentru fiecare nume pe care vrei să-l folosești în rețea; va trebui folosit la reînnoire, deci nu scapi ușor
- un DNS server în rețeaua locală, pe care să-l folosească toate device-urile legate intern
- iei certificate de la let's encrypt
- pui certificatele pe device-urile din rețeaua internă

Acu' ai putea numi imprimanta lexmark.xf.ro, da' tot îți trebuie dns :smile:.

Eu am probleme și mai "adânci": clienți care accesează un server doar prin IP-ul lui (IP de rețea internă/vpn), și mai nou browserele fac urât că bagă parole fără să fie https... Și n-am acces la DNS-urile lor ca să fac chestia de mai sus. Pe asta chiar nu știu cum s-o rezolv (sunt și complet afoni, acceptarea de certificat self-signed poate fi prea mult).
 
Am domeniu, am chiar doua, dar sper sa nu ajung vreodata sa-mi trebuiasca certificat pentru o imprimanta. Naiba, ce urmeaza? Certificat pentru frigider?!
 
Azi am primit mail de la gugl că, din octombrie, Chrome va da avertisment la orice câmp text dintr-o pagină accesată fără https. Wheee hai cu ssl-urile la toate domeniile, că nici search-ul nu scapă.

Acuma, tu poți genera ce certificat vrei, ca să nu urle browserul va trebui să fie semnat de un CA cu lanț valabil până la un Root CA cu certificatul deja definit în calculatoare. Dar pentru o rețea internă n-are sens să cumperi certificate publice pentru asta. În practică se definește un Root CA nou, al cărui certificat se adaugă în fiecare calculator intern, și prin care se semnează restul certificatelor. Nu-s sigur dacă e absolută nevoie de un server dns în schema asta, cât timp imprimanta îți trimjte un certificat și pc-ul tău are deja tot lanțul de certificate până la un root trusted.
 
Back
Top