08.04.2015, 15:26 | ACEMajky | Upraveno: 2015-04-08 15:28:12

Ahoj, opet bych mel dotaz na sitare, jen takova myslenka.

Na urade budu delat free Wifi sit za pomoci Unifi AP:
[ Link ]
Predstava je takova (stavajici situace + napojeni)

Na urad mi vede O2 VDSL 40Mbps (Huawei EchoLife HG622u modem [ Link ] ). Na nem mam nastaveni NAT pro urcity porty a internet vede do mikrotik routeru. Jelikoz Wifi budou pouze kvuli internetu pro navstevniky uradu, chci do Wifi Ap privest net primo z tohoto routeru.
Mam se obavat bezpecnosti? Ve switchi pro wifiny bude napojene jeste PC s Win XP Pro (po prechodu na Win7 a Win 8 mi zbyly licence na WinXP Pro) a toto PC bude slouzit jen pro konfiguraci a monitorovani Unifi AP (jeste omrknu, co to potrebuje, ale tusim jen javu, tak zvazim nejaky free OS - treba od google). Doporucejete Wifi od O2 VDSL modemu nejak oddelit (treba do PC dat 2 sitovky a pustit pouze Web - port 80), nebo se neni ceho bat, kdyz za O2 routerem mam jeste mikrotik router (za nim je sit uradu, servery, ...), cili pokud se nekdo pripoji na Unifi AP, tak se to bude tvarit stejne, jako kdyby pristupoval do internetu z pohodli domova (utocil).

Diky, snad sem to popsal srozumitelne, kdyztak namaluju schema

 08.04.2015, 16:36 | CHUROS

Pokud mas za tim huawei Mikrotika s rozumne nastavenym FW tak proc ne, jde to.

Osobne to vetsinou delam tak ze VDSL nastavim jediny port do bridge a vse ostatni vypnu, pripojim do mikrotika a na nem pomoci VLAN delim privatni sit a AP pro verejnost. Mam tak moznost orezat sirku pasma dle potreby, logovat co se tam deje atd. Nemusim pak na sve verejne IP resit mazani z blacklistu apod :-)

A pokud pouzivas uz MK, tak bych tam netahal Unifi, ale dal tam MIKROTIK cAP-2n AP/Hotspot.

 08.04.2015, 16:48 | ACEMajky

Diky za tip, no unifi uz jsou na ceste a mam s nima zkusenost ze zamestnani (na urade brigadnicim)...

Das nejaky tip, zdali by na mikrotiku slo smerovat na jeden port jen internet (jak budu mit chvili klidu, pohledam na netu) - pocitam ze jen port 80 bude malo.

Chtel sem ot mnozit z jednoho volneho LAN portu na VDSL modemu, jelikoz mam obavu, abych na mikrotiku neco blbe nenastavil, nebo nenastavil malo a neudelal si tunel do "site uradu", proto to reseni napojeni pred mikrotik

 08.04.2015, 17:46 | cezetko | Upraveno: 2015-04-08 17:53:08

Unifi mají Hostovskou síť, tam odfiltruješ různé rozsahy sítě. PC na monitoring a konfiguraci nepotřebuješ. Je tam virtuální kontroler, který jednou zkonfiguruješ a on se ti o další postará. Konektivitu můžeš nastavit a rozdělit na mikrotiku, který pro jistotu naroutuješ tak, že připojené unifi AP půjdou routou rovnou na WAN a na další vnitřní sítě už neuvidí. Tak budeš mít zabezpečeno 2x a to pro běžné klienty stačí.

Jinak k těm wifi mikrotik/unifi. Sice se to zdá nelogické použít unifi na mikrotik, ale z vlastních zkušeností vím, že mikrotik wifi jsou pěkný srajdy oproti unifi. Ten cAP bych použil jen v případě nutnosti CAPsMANa a to myslím tady nehrozí.

Celkově bych to nastavil asi tak: VDSL do bridge, PPOE na mikrotik pro lepší kontrolu spojení a vytáčení. Nějaký segment sítě bych nechal pro potřeby úřady, do kterého bych případně NAToval atd. Jiný segment bych naroutoval přímo ven a na něj navěsil talířky. Na talířkách bych ještě nastavil, aby neviděli do rozsahů, které jsi použil.

 08.04.2015, 19:40 | ACEMajky

Tak hostovskou sit na Unifi musim jeste omrknout. PC mi sbira data, ktery AP je jak vytizen, ketry klient ho nejvice vytezuje a tak - statistiku. Bez toho sem zadnou statistiku nemel - pokud sem pripojil PC jednou za cas, tak byl graf prazdnej, bez dat, pokud mam PC s jejich utilitou pustene, tak data mam..

 08.04.2015, 20:31 | cezetko

Ty stats máš pravdu, teď jsem to doma cvičně zkusil. Já ty data nikdy nepotřebuji, u tebe je to tedy trochu něco jiného.

 08.04.2015, 20:44 | ACEMajky

Ja si myslel, ze maji nejakou pamet v sobe a budou umet rekneme za posledni tyden (nebo mesic) ty data poskytnout, ale ani tuk. Na monitoring musi bezet residentni aplikace na PC porad

 09.04.2015, 15:34 | CHUROS

Cezetko: Unifi/MK bude asi vecny boj, ale ja mam zkusenosti presne opacne. NanoStation jsme ze site vyhazeli od klientu po necelem roce.

I kdyz znam sit s cca 800 uzivateli ve 120 lokalitach celou resenou na Unifi enterprise a je to zajimavy. Spis si myslim, ze je dobre technologie moc nekombinovat.

 09.04.2015, 16:24 | Ravo

záleží co komu jak sedne... MK teď na MUMu ukázal novinky, které by mohly snad už konečně UniFi nahradit...nicméně doma mi jako srdce sítě šlape CRSko (routing/switching) a na wifi mám UAPčka...takový běžný rodinný dům :)