upgrade router

Marius '95

troubleShooter
Router-ul actual este un Asus RT-N18U (ARMv7, 800 MHz, 256 MB RAM). Ce ma deranjeaza la el:
- n-are destula memorie pentru tot ce vreau sa rulez pe el,
- niste programe nu vor sa se cross-compileze,
- kernelul 2.6 n-are driveri pentru stick DVB-C,
- as putea avea HDD pe USB, dar e lent si cabluri +++, ca trebuie hub si alimentare separata.

Ieri m-am trezit in brate cu un calc mini-ITX defect. Sursa arsa. In rest pare functional. Specs:
- MB Intel D945GCLF2 cu chipset 945GC si CPU Atom (dual-core, nu stiu de care),
- 2 SATA, 1 PATA, USB, serial, 1x LAN, 1x PCI normal (nu e low profile), 2 GB DDR2,
- nu scrie nicaieri ca ar sti/putea RAID,
- carcasa are 1 slot de 3.5 si 1 slot de 5.25.

Ideea ar fi sa mai dau vreo 100+ lei pe o sursa, sa-i pun inca o placa de retea si sa-l fac router. Internetul este RDS prin PPPoE.

In plus fata de router, as mai avea:
- Hiawatha + PHP + Firebird => web site mutat aici, in loc sa tin serverul mare pornit tot timpul
- TOR mai capabil (sper)
- torente => hard => SMB => retea => RPi => TV
- stick DVB-C => tvheadend => rec HDD

Ce nu pot avea:
- toata arhiva de pe server (4+ TB de filme, muzica, programe, driveri, documente work-related, poze cu iola, etc.). Deci serverul trebuie sa ramana, doar ca nu mai e nevoie sa-l tin pornit tot timpul.
- wireless. MB n-are decat un singur slot PCI si acolo va fi reteaua WAN, deci router-ul trebuie sa ramana ca access point in LAN.

Pareri? Opinii?

Partea a II-a: OpenWRT vs. pfSense vs. Gentoo. Exclus orice altceva, chiar si Windows XP.
- pfSense cica ar fi un BSD. Deci cred ca multe programe din ce am nevoie nu exista sau nu se instaleaza. Cred ca asta este descalificat din start.
- Gentoo se instaleaza f. frumos pe hard si sunt disponibile o gramada de programe care se compileaza special dupa nevoile mele. Dar n-are interfata web de administrare (sau n-am auzit eu de ea), ceea ce la un router e destul de important.
- OpenWRT are interfata web, dar programele vin pre-compilate cu toate porcariile incluse, ori (mai des) nu-s disponibile si trebuie sa mi le compilez singur => big fucking mess sa compilezi ceva pe un router.

Pareri? Opinii?
 
LE:
Un dezavantaj suplimentar este ca as avea INCA un device in casa/retea/priza, pe langa router, switch, server, Raspberry Pi si o gramada de telefoane, laptopuri si smart-<chestii>. Iar acest device va lua o parte din chestiile de pe server, care fragmenteaza inca si mai mult informatia de stocat. Mi-e greu si acum, cand am informatia impartita doar intre laptop, desktop si server. Mentinerea ordinii, sincronizarii, backup-urilor, etc. va fi un absolut chin cu inca un PC in uz.
 
Routerul e „paznicul” întregii tale rețele. Ar trebui să facă doar routing, și să facă asta repede și bine. Dacă routerul tău e un all-in-one cu n alte servicii și routerul e compromis prin ceva vulnerabilitate, păi tu ai ținut toate oole în același coș și s-a ales praful de ele. Fix la router e inteligent să compartimentezi funcțiile, și routerul să rămână un echipament separat cu strictul necesar pe el: routing și VPN, eventual IP management (DHCP) dacă vrei neapărat să reduci dependența funcționării rețelei la un singur aparat în loc de două. Bine ar fi să poată face routare de pachete la viteză gigabit + PPPoE ca să nu-l simți. Atom-ul ăla nu-s convins că e în stare.

Altfel, DHCP poate fi pus în pi-hole care poate fi o mașină virtuală, ca și serverul de fișiere, serverul web și clientul de torrente. Switch-ul și access point-ul pot fi echipamente separate, montate acolo unde e cel mai convenabil pentru fiecare dintre ele, și atunci te poți chiar uita după vreun AP mai răsărit.
 
Nu cred ca e cea mai fericita idee sa ai storage pe router. Desigur, parere personala.
Apoi consumul energetic e mai mare, de unde si disipatie termica mai mare care vine impreuna cu zgomot. Tu stii unde il pui.
 
Da, vezi ce zice ipman. Seriile alea de plăci Intel nu erau prea fericite. Dacă placa de bază nu e cu chipset mobile, consumă vreo 40W. La stilul că unele aveau ventilator, dar nu era pe CPU, era pe chipset, că ăla consuma de 3 ori cât Atom-ul. Apoi surse care să fie eficiente la 40W sunt puține, așa că îti mai papă și aia 10W în cazul fericit (în care mai găsești una de max 100W fără condensatori din mileniul trecut). Da, dacă vrei să le folosești pe ambele (PC+router) ai zice că faci o afacere.

În rest mai mult te chinui - poți pune un OS de router da' renunți la utilizarea ușoară a unui Linux cinstit; pe de altă parte, cu un linux cinstit mult succes la securizare și setări. Și asta ți-o zic din perspectiva unuia care e deja în zona de masochism pe partea de routare cu Mikrotik, care la fiecare versiune minoră de OS schimbă implementarea de IPsec și trebuie să descopere cum se face săptămâna asta VPN-ul să meargă (că documentația oficială presupune că știi deja rețelistică de parcă ai fost de față când s-au inventat toate protocoalele).
 
Last edited:
Mi s-a cam luat de Mikrotik!

Planuiesc sa le arunc pe toate, pentru ca sunt intr-o permamenta curba de invatare, care chiar ca nu-mi foloseste la nimic, ci doar asa imi satisface mie piticii ca mai fac si altceva. Nu mai spun ca pe partea de wifi imi vine sa le sfarm cu toporul, n-am ajuns niciodata la o functionalitate macar egala cu cea din vremurile bune ale LinksysWRT54GL, in ciuda tuturor eforturilor mele de a pozitiona AP urile cat mai optim si a le seta cat mai departe de orice interferente.

Ma uit acum la Unifi si m-ar fi tentat Unifi Dream Machine, insa nu are dual WAN, iar asta e un must have.

In principiu nu vreau nimic doesebit, vreau dual WAN, vreau sa aiba resurse hardware care sa-mi duca 3-4-5 retele separate (VLAN), interfata cat de cat prietenoasa [aici ar fi un plus pentru sistemul unifi OS (desi si asta e parca intr-un beta nesfarsit )], VPN, PoE, un port SPF daca se poate, toate astea in 1500- 2000 de lei maxim!

Cu cat mai putin, cu atat mai bine, pentru ca imi trebuie evident si un switch now, plus ca as schimba AP urile cu unele noi, din acelasi ecosistem (cred ca 3 ar fi deajuns). Daca-mi iau si 3 camere de supraveghere, cred ca ma duc in 7000 de lei toata afacerea (router + switch + 3 AP+ 3 camere)

Pentru router, optiunea mai potrivita pentru mine ar fi Unifi Dream machine Pro, care vad ca e in stoc la PC garaje cu vreo 3-400 lei mai scump decat ar trebui sa fie. Desi ca sa fac sa mearga unele chestii, nu scap nici aici de CLI.

Pareri, alte optiuni, sfaturi?

 
De ce vrei dual WAN și 3-4-5 rețele separate? Nu dau sfaturi, doar întreb :biggrin:
 
Am 2 ISP, pentru asta am nevoie de dual wan.Backup și load balancing.
3-4-5 rețele? De exemplu, s-au cam adunat IoTs unele mai chinezești decât altele, parcă nu le-aș tine în același LAN in care am NAS ul.
 
Folosești în prezent dual-WAN? Am cercetat și eu scenariul ăsta recent și am dat peste pagina asta unde zice așa:
If you use interface-specific PAT pools, multiple connections from the same host might load-balance to different interfaces and use different mapped IP addresses. Internet services that use multiple concurrent connections may not work correctly in this case.
Sau, altfel spus, cu două conexiuni active, sunt șanse ca pachetele de la același IP intern să fie trimise către același IP destinație via ambele uplink-uri. Și nu mă refer la pachetele care aparțin de aceeași conexiune (deci nu per packet load balancing), ci conexiuni diferite (deci porturi sursă diferite), dar care fac parte din aceeași sesiune. Știm că atunci când accesăm un site, în fundal browser-ul deschide mai multe conexiuni în paralel. În mod normal, asta nu ar trebui să fie o problemă, dar mă gândesc la site-uri unde trebuie să te autentifici pentru a putea accesa varii resurse. Teoretic, nici aici nu ar trebui să avem probleme dacă conexiunea de login vine de pe un IP, iar apoi următoarea conexiune care downloadează o poză vine de pe alt IP (de aia avem cookies), dar în realitate nu știu cum se-ntâmplă lucrurile în fundal și mă gândesc câ warning-ul ăla a fost pus acolo cu un motiv. De aia întreb că-s curios dacă are cineva un setup d-ăsta cu două WAN-uri active unde NAT-ul e făcut pe același device.

Legat de securizarea Linux-ului cinstit (la mine e un Debian stable), io nu țin minte să-l fi bibilit exagerat de mult, dar nici n-am IPsec. :smile: Politica de firewall e implementată cu iptables (reguli de mână salvate cu iptables-save când se schimbă ceva): tot outgoing-ul e permis; incoming doar SSH, openvpn și wireguard sunt accesibile din internet plus încă vreo două port forwarding-uri către device-uri interne. În rest, update-uri periodice la OS.
 
Agregarea adevărată a 2+ conexiuni am văzut-o implementată prin MPLS. Alt animal, alte costuri.

Altfel, degeaba ai 2 conexiuni dacă tu faci trafic spre același 1 server destinație, și routerul tău determină că cea mai rapidă conexiune este prin link-ul 2 și, în plus, refuză să trimită trafic spre acel server ȘI prin link-ul 1 (poate pentru a preveni fix situația aia din avertisment). Deci la un moment dat orice conexiune client (la tine în rețea) - server (undeva în internet) folosește doar una dintre conexiunile tale la internet, cu cât e viteza maximă posibilă prin ea. Doar când e vorba de TOT traficul de la toate sistemele tale spre toate destinațiile posibile, alea sunt împărțite între cele 2+ conexiuni la internet și vezi că vitezele sunt oarecum însumate.

În continuare nu înțeleg de ce în discuția despre un router cu dual WAN și fibră optică și VLAN-uri și alte chestii, deci cerințe (mult) peste un prosumer și prin urmare echipamente specializate în funcția de ROUTARE, este băgat subiectul WiFi care este treaba altor echipamente. Router + switch de 4 porturi + AP WiFi + poate printer/stick USB sharing este combinația tipică pentru un consumer gadget, să fie o singură cutie cu toate înăuntru pentru un noob care e în stare să creadă că monitorul e „computerul” iar cutia aia mare de lângă e „modemul”. Cum era vorba aia, „a jack of all trades is a master of none”.
 
Ar fi bine dacă echipamentul te-ar lăsa să alegi modalitatea de load balancing. La ASA (unde mă interesa pe mine) nu e cazul. Din descrierea problemei, distribuirea conexiunilor se face nu doar pe bază de IP-uri sursă și destinație, ci și pe bază de porturi sursă și destinație, caz în care un client poate comunica cu un server via ambele uplink-uri (inițiind mai multe conexiuni).

Dual WAN, fibră, vlan-uri și wireless mi se pare tocmai combinația specifică prosumer-ului și exact lor li se adresează Mikrotik și UBNT. Nu văd de ce ar trebui separate funcțiile astea în 3-4 device-uri distincte cât timp chiar și cele mai de bază chip-uri pot să facă switching/routing/vlan-tagging la viteze de ordinul gbps fără dificultăți, iar pentru wireless mai ai nevoie doar de încă un chip și niște antene. Acuma că software-ul e buggy, asta e altă discuție, dar altfel nu văd nici un motiv pentru care ăsta nu e un device potrivit pentru un prosumer (am practic 0 experiență cu Mikrotik, deci nu știu cât de bine-și face treaba).
 
Ah, RB4011... Făcut pentru nevoi de prosumer, nu pentru abilități de administrare de prosumer. De-aia e plin Reddit-ul /r/mikrotik de întrebări despre modelul ăsta, și nu mă bag - dacă vor ei să fie masochiști cu un producător tradițional de echipamente pentru ISP și carrier, n-au decât :biggrin:

Dual WAN cu load balancing e poate pentru un SMB care depinde masiv de internet și ar fi foarte costisitor pentru business când o unică conexiune ar pica. Pentru acasă? Pfffff. Tre' să fie mare dependența dacă vrei high availability și VITEZĂ VITEZĂ VITEZĂ VITEZĂ, că altfel nu ai nici datacenter în sufragerie și nici nu ești mirror local TPB. Cu un DSL de 25Mbps nevasta poate face video streaming full HD pe netflix în timp ce tu faci o videoconferință la serviciu și puradeii butonează pe youtube pe tablete. Deci despre ce vorbim.
 
La SMB nu isi bate nimeni capul cu asa ceva. Ai o legatura principala si un backup, cateva secunde intrerupere pentru trecerea pe backup inseamna nimic.
MPLS e alt animal care nu se aplica pentru acces la internet, deci cade.
Si ultima chestie: voi nu luati in considerare problemele care au aparut din cauza dublu NAT sau CGNAT care cu siguranta nu sunt bine rezolvate de atata vreme.
 
La Mikrotik OS-ul e absolut identic între modele de routere diferite (cu mici steluțe legate de nivelul de OS, dar care e volumetric de obicei, gen 200 vs 500 de conexiuni pppoe în paralel, și mici diferențe de suport pachete opționale, ex: the dude nu merge fără memorie multă). Așa că abilitățile de administrare trebuie să fie identice, indiferent de hardware (până și majoritatea switch-urilor au același OS, poți face orice funcție de routare dintr-un switch). Faptul că lumea are probleme cu un anumit hardware înseamnă doar că e mai atractiv pentru cei care nu știu în ce se bagă.

Am și eu un RB4011, e excelent, l-am configurat în câteva minute migrând setările de pe vechiul router (export config -> editat nume interfețe, că astea variază în funcție de arhitectură -> import config). Acu' cât am stat să configurez vechiul router... asta e altceva :smile:.
 
Între timp m-am fâsăit si cu Unifi, cand am aflat ca musai iti trebuie conexiune la internet si cont la ei (Unifi cloud account; Ubiquiti single sign on ) ca să le adminstrezi. Iar daca ai multiple sites (nu e cazul meu inca ) trebuie contul si situl, altfel nu!

Pentru acasă? Pfffff. Tre' să fie mare dependența dacă vrei high availability și VITEZĂ VITEZĂ VITEZĂ VITEZĂ, că altfel nu ai nici datacenter în sufragerie și nici nu ești mirror local TPB. Cu un DSL de 25Mbps nevasta poate face video streaming full HD pe netflix în timp ce tu faci o videoconferință la serviciu și puradeii butonează pe youtube pe tablete. Deci despre ce vorbim.

Băi stiti ceva? Daca nu am conexiunea aia, nu pun mancare pe masa, asa ca mai scutiti-ma, fix despre asta vorbim! Poate fac videochat de acasa si nu enterprise pffff.
 
  • Haha
Reactions: Neo
Băi stiti ceva? Daca nu am conexiunea aia, nu pun mancare pe masa, asa ca mai scutiti-ma, fix despre asta vorbim! Poate fac videochat de acasa si nu enterprise pffff.
Calm. In ziua de azi oricine munceste WfH are problema asta.
Mie imi ajunge o legatura principala (care e 4G) si backup pe un telefon pe care fac hotspot pe alta retea 4G. Ca sa se intample ceva sa nu mearga treaba ar trebui sa fie un eveniment exceptional si trecerea de la una la alta este sub minut, deci irelevant din punct de vedere al angajatorului.
 
Băi stiti ceva? Daca nu am conexiunea aia, nu pun mancare pe masa, asa ca mai scutiti-ma, fix despre asta vorbim! Poate fac videochat de acasa si nu enterprise pffff.
Calm down, Hortense.

Întrebarea cu VLANs are un răspuns foarte ok, mi se pare de bun simț și acum pot și eu în sfârșit să conectez PSPurile la net (nu știam de așa ceva :biggrin:).

Cu dual ISP - te înțeleg foarte bine. Tu nu lua prea serios tot ce zice puterfixer pentru că el dă sfaturi prin prisma expertului IT corporate care optimizează la sânge și are middle name "min-max". Asta nu înseamnă că nu are dreptatea lui, dar tu alegi ce implementezi din sfat. Platformele serioase au început în schimb să fie cu subscriptions la chestiile importante - asta cu cer cont și rahaturi ar trebui să te îndepărteze instant de acea companie/soluție. Ai putea să te orientezi pe soluții corporate vechi gen CISCO stuff pe care să le adaptezi la tine în arhitectură și să-ți faci soluția ta custom. Da, ai nevoie de cunoștințe și doar tu poți analiza și lua o decizie la timp vs knowledge vs benefits.

Să ai spor! >:biggrin:<
 
UBNT e un etern beta - sunt deja 2 versiuni de firmware mai noi decât ce am pe AP-uri și le ignor cu desăvârșire fiindcă curg plângerile oamenilor despre ele.

Dar pentru autentificare... dunno. În controller-ul de pe Raspi intru cu cont local:

1613393827734.png


Ca să fac un site nou, n-a trebuit decât să-i dau un nume nou la site în controller, nimic altceva.

Iar alte integrări pentru SSO sunt dezactivate:

1613394118273.png


Poate e avantaj de a avea propriul controller în loc de Cloud Key?

La Cisco nu mă bag, au dat semnal clar că noul model de business (cel puțin pe unele echipamente noi) e cu licențiere tip abonament, iar echipamentele TREBUIE să aibă acces la internet ca să verifice periodic dacă licența e valabilă. Cine vinde un switch din ăsta second hand, vinde o fierătanie pe care un alt cumpărător nu o poate folosi fără să-și cumpere propriul abonament de licențiere. Frumos, parfumat, mirobolant.
 
Back
Top