Router advice needed

Neo

The Good Doctor
Așa. Am nevoie de un router care să îndeplinească următoarele cerințe:
- GBit LAN;
- wifi b/g/n; brownie points for ac (cam necesar);
- VPN server;
- să ducă >20-30 clienți fără probleme, cu MAC filtering on.

Momentan utilizez un DIR-655 care era ok numai că s-a hotărât brusc să strâmbe din nas când i-am activat funcția de MAC filtering. Efectiv refuză să aloce IPuri aleator device-urilor din lista respectivă. După un reboot își revine, doar ca să o ia de la capăt după un interval de timp care este de asemenea aleator.

Mă uitam la ceva Linksys/Cisco, de asemenea nu sunt hotărât dacă are rost să mă complic cu ceva gen DD-WRT.

Mulțumesc.
 
Last edited:
Evită Linksys-urile actuale, sunt niște plăcinte. Asus N56/AC56 sau chiar 66?
 
N-aș vrea Asus sincer, sunt cam biased (la fel cum nu mi-aș cumpăra tastatură Corsair). Ce Belkin ar fi recomandat?
 
merci IceCub, arata fain. Am updatat OP, Trebuie si VPN server. Printer sharing nu este necesar, am print server separat :)
 
MAC filtering e așa, o protecție anti noobi, cam cum e și ascunderea SSID-ului. Cine chiar vrea să intre, poate. Dacă securitatea e mai importantă de atât, neapărat WPA2 și de preferat nu cu TKIP ci cu autentificare (un server radius minimal, că mă gândesc că n-ai făcut domeniu). Cu DD-WRT ai putea inclusiv să ai o rețea privată mai restrictivă și una guest, cu altă parolă, care să aibă doar acces internet.
 
Nu stiu daca exista WPA cu AES si cat de populara e implementarea in routere non-enterprise, dar AES e practic imposibil de spart (da, se poate dar ia peste 2^60 incercari pentru cel mai puternic atac posibil). Daca reuseste cineva sa sparga AES inseama ca e o problema de implementare (ca de pilda functia din OpenSSL) si nu de cifru.
TKIP e de evitat.
 
WPA2 suportă TKIP (criptare bazată pe RC4) doar pentru backward compatibility, în rest se folosește AES (by default, mai ales la wifi n). Enterprise e partea de autentificare, cu RADIUS în loc de preshared key + EAP and stuff. Cele mai dese atacuri vin pe partea de WPS, pentru că acolo se folosește un PIN numeric.
 
Scuze, eram un pic zapacit; in ultima vreme am bagat la greu cu criptarile, dar oboseala m-a ajuns: ma gandeam la WEP cu AES care nu stiu sa existe pe routere din clasa consumer, poate ceva enterprise. Sper ca asta lamureste ciorba de mai sus.
 
E posibil sa fie nevoie de DD-WRT. Cei 20-30 de clienti sunt cumva pe WiFi?

Clienții sunt cam 50-50 wi-fi și wired (am două switchuri GBit cu 5 porturi fiecare și unul este plin iar al doilea este la 3/5 ocupate).

MAC filtering e așa, o protecție anti noobi, cam cum e și ascunderea SSID-ului. Cine chiar vrea să intre, poate. Dacă securitatea e mai importantă de atât, neapărat WPA2 și de preferat nu cu TKIP ci cu autentificare (un server radius minimal, că mă gândesc că n-ai făcut domeniu). Cu DD-WRT ai putea inclusiv să ai o rețea privată mai restrictivă și una guest, cu altă parolă, care să aibă doar acces internet.
Știu că se poate face MAC spoofing, întrebarea mea sinceră este cum află cineva MACul deviceurilor care le ai prin casă ca să facă respectivul spoofing? :) Iar la câte routere am prin jur (minim 10), nu stă nimeni să caute că SSIDul meu ascuns :)

Momentan folosesc WPA2 cu AES pentru că TKIP îmi omoară wireless n. Am dezactivat WIP shit și alte tâmpenii.

Mă interesează ca routerul să facă ce-i necesar out of the box, pentru că sincer sunt sătul până-n gât de flashing and shit, deși mă mai ocup recreațional cu așa ceva am renunțat la custom ROM chiar și la telefonul Android (deși este unlocked și rulează Xposed Framework cu Gravity Box și kernel custom). Ce este iar sigur este că numărul deviceurilor poate merge doar în sus în momentul de față (încă nu mi-am luat NAS și alte nebunii), Chromecast-ul mi-a ajuns, mai încă o tabletă și pentru pereche, telefoanele nu mai spun.

Ce m-am lămurit până acum (corectați-mă dacă greșesc):
- ar trebui ceva cu procesor/RAM mai țapene;
- ar trebui ceva Belkin (nu, nu cumpăr Asus :D);
- DD-WRT este cul și mișto, dar din păcate nu mă ajută;
- WPA2 cu AES is the way to go (already using); opțional pentru "nubi" ascuns SSIDul și MAC filtering (pe care le folosesc deja și la routerul actual, dar funcția din urmă îl pune pe ulei).

Ce-i de dorit la el:
good:
- wi-fi b/g/n și ac foarte dezirabil;
- GBit LAN;
- VPN server;
- 20-30 clienți minim (chiar, ce naiba au limite la chestia asta anumite routere?!).
opțional
- dual WAN (foarte posibil să fie necesar la o nouă locație în viitorul nu foarte îndepărtat.
 
Neo, deja impui niste cerinte care depasesc cam orice router.
MAC-ul device-urilor conectate la ruter se poate afla usor cu Aircrack-ng, desi asta nu prea conteaza daca ai reteaua protejata cu WPA2.
Multe routere au o limita la cate device-uri WiFi suporta simultan (la TpLink, limita e 15 de exemplu), pentru mai multe device-uri trebuie DD-WRT.
Server VPN: DD-WRT
Dual WAN: mai complicat, in special daca vrei si standardul AC - deja vorbim de un device Enterprise, iar astia nu prea sa grabesc sa integreze ultimele tehnologii.

Deja bati inspre un pc cu PfSense sau un router Microtik.
 
În cel mai rău caz ajung la OSX Server oO

Dual WAN este opțional, oricum.

Nu pricep de ce există limita la devices conectate via Wi-Fi, mai ales că se pot conecta mai multe în cazul DD-WRT (deci nu este o limitare hardware).

M-am gândit la ceva Enterprise și nu m-ar deranja (decât poate prin prisma prețului, presupun că-s oarecum scumpe). Nu mi se pare că ce-am înșirat acolo este chiar ultimul răget în materie de tehnologie, poate în afară de wi-fi ac, de care mă pot lipsi oarecum ușor (Macbook-ul oricum este conectat via GBit-TB adapter când este acasă iar couch browsing fac de pe tabletă).

Bottom line este că sunt sătul să tot plătesc routere "de jucărie" odată la 1-2 ani când pot lua un device care să mă țină ceva mai mult. Carcasa de la PC de exemplu are deja 7 ani și tot nu plănuiesc s-o schimb (poate doar când o să fac pasul să mut tot ce-i PC/NAS/consolă într-un dulăpior). Nu mă grăbesc cu achiziția, momentan am dezactivat MAC filtering și routerul nu mai gâfâie, dar tot mai dă rateuri ocazional.
 
Păi modelele nu sunt făcute după capabilitățile tehnice ale procesorului din router, ci după scenariile de utilizare ale userului țintit. Home user? N-are ce să facă cu VPN și peste 32 de clienți WiFi. Nu un user obișnuit, în orice caz. Dacă ar include asemenea facilități în routerele SoHo, doar fiindcă se poate, și-ar da cu stângu-n dreptu' la business-ul cu routere enterprise, la care modelul de business e mult mai bănos - se vinde separat hardware-ul de licențele de OS + licențele de useri conectați la VPN + licențele de management și toate alea.
 
Ce vrei să spui de fapt este că în cazul business stuff ai o granularitate mai mare a chestiilor :) Nu prea înțeleg eu care-i treaba cu licențe de OS sau licențe de useri conectați la VPN aplicate la un router?
 
Nu e de granularitate, în multe cazuri e pur și simplu pentru că te prind la colț și pot să ți-o tragă. Stilul preșulețe și cup holders de $500 la mașini.
 
Eram politicos, dar da, cam ăsta pare a fi cazul :)

În cel mai rău caz, NASul va îndeplini și rolul de server, cuplat cu dual GBit LAN și switchuri o.O
 
Cred ca DD-WRT va rezolva si problema Dual WAN. Nu garantez in clipa aceasta pentru ca nu am asa ceva in fata, dar tin minte ca m-am jucat cu interfetele dupa bunul plac la el pana am folosit WAN-ul ca LAN. In final ai un Linux in el, deci il invarti cum vrei. Din pacate investesti in timp daca nu doresti sa investesti in aparat din start.
Pot sa intreb totusi mai clar ce idee ai in minte cand doresti Dual WAN?
P.S. Pentru chestiile mai enterprise, tot ia nevoie sa-ti bati capul cu configuratul, deci DD-WRT sau solutie Ent. iti va consuma la fel de mult timp si energie sa le inveti.
 
Back
Top