Acces point do 150€

[Festro1991]

Aruba 22 áno je osekana ale ja beriem AP-čko ako posúvač signálu, keď zoberieš do ruky Arubu a tuná spomínané Uni to máš ako hračkarske kladivo vs normálne. Ako píšem dva roky trvalej prevádzky v domácom prostredí kde okrem PC mám všetko na wifi ani raz to nespadlo nebolo treba restartovanie, signál to má tiež dobrý, používal som ich aj pre VR Ovulus Quest 2-Pico 4 žiadne priradené AP pre VR a na pohodu to behalo aj keď boli pripojené aj iné zariadenia.

Ale hrubá stena veľa železa tam zomrie všetko podľa mňa, ja mám dve 22-ky mám signál pred domom za domom som spokojný.

[mp3turbo]

>> a co je dolezite, uplne skvelo funguje roaming medzi AP. Do tej miery, ze chodis medzi AP, mas videocall a vsetko ide.

fiha, v mikrotiku si pred 10 rokmi nastavil rovnake SSID a sifrovania, ked si uplne velky heker tak si povedal ze vyhodit vsetkych klientov ktori maju signal slabsi nez cojaviem -81dBm alebo kolko ta napadne a... nevypadne jediny paket pri pingani ked prechadzas medzi vysielacmi. Maju to takto nastavene na niektorych zakladnych skolach takze stovky "klientov". Nepotrebujes ziadne meshe, ziadne nadradene podradene zariadenia, ziadnu hierarchiu, ziadnu podporu roamingu u klientov [!].

Len ze si nahodou neriesite veci ktore ja som uz aj zabudol ze sa volakedy riesili. Fiha, a uz zase zniem ako agent.

[Papulaa]

@mp3turbo tak router neskutocne pomohol a signal v celom dome sa paradne rozsiril

Teraz rozmyslam nad vymenou svojho routra Momentalne ficim na Archer c6 a je to take nemastne neslane 5g signal mi vypadava a prepina na 2g a to neni velky dom len 130m2 Ale co mi fakt zacina vadit , ze Home asistant a pripojene zariadenia na wifi vypadavaju a pomaha len restart Moze to byt sposobene slabou kapacitou routra ? Aky router pre mna ma zmysel henten mikrotik co si radil alebo moze byt nieco lacnejsie s wifi 6 ?

[mp3turbo]

ked musis restartovat router, to nie je kvoli slabemu signalu.

ked musis restartovat zariadenia, to by nemalo byt kvoli slabemu signalu - ak sa zariadenie odpoji (vysavac, klimatizacia, alexa, neviem co je "home asistant"), malo by sa samo v pohode pripojit naspat. To nie je ziadna kriticka situacia ktora si vyzaduje restart. Samozrejme ze nechces aby sa zariadenia odpajali, to uz je o sile, kvalite signalu atd.

Ja teraz musim mat v ruke TP-Link Archer AX53 zariadenia. Ma to dve radia, 2.4GHz daleko viac nahovno ako 5GHz (zrejme ma len nejaku integrovanu antenku, externe anteny sa asi pouzivaju len pre 5GHz), nevie to nic. Nedokaze ani samostatne siete pre 2.4GHz a 5GHz, je to vsetko nacapane na jednu hromadu. Ziadna moznost normalneho sikovneho riadenia pristupu, ziadne oddelenie (ako mam vediet ktore zariadenia su ucitelia a ktore ziaci ? ako mam oddelit ucitelov od ziakov a vobec, vsetky zariadenia od vsetkych ?), cokolvek sa tyka security musi byt najvacsi nepriatel toho vyrobcu. Nema to napajanie cez ethernet, ako taky ch...ren budem tahat dvojlinky popri ethernetovom kabli co sa mi uz dekadu nestalo.

To som este zvedavy aku to bude mat stabilitu ked na to zavesim 55-60 decák (dve triedy na zakladnej skole).
V porovnani s Mikrotikom si toto zariadenie nezoberem ani keby mi k nemu dali dvacku (za Mikrotik musim zaplatit stovku).
Pripadam si akoby som sadol z vesmirnej lode do Trabantu ale to ber len ako moj duševný výlev co si musim ulavit po tyzdni nervov.

Nejake zariadenia na to pripojis, nejako to data prenasa. Uloha splnena. Doma sa na security moc nehras, ved nech si je vsetko na jednej hromade.

https://datacomp.sk/tp-link-archer-ax53_d433663.html alebo hladame heurekou

[SKiLEX]

Neverim ze ten tplink nedokaze oddelit 2.4ghz od 5ghz. Musis len zakazat smart connect.

Ziakov od ucitelov oddelis zaskrtnutim guest network.


Co sa tyka dosahu a stability wifi... Nemozem velmi odporucat routre postavene na qualcomme.


Asusy su fajn ked do nich strcis WRT merlin firmware. Vtedy to ma akceptovatelne funkcie aj zabezpecenie.

[mp3turbo]

>> Neverim ze ten tplink nedokaze oddelit 2.4ghz od 5ghz. Musis len zakazat smart connect.

smart connect robi len to, ze mas jedno nastavenie pre vsetky siete.

Nevie. Je to proste zbridgovane a hotovo, nemas tam nikde ziadnu kolonku ake siete nadefinovat na 2.4GHz radio a ake na 5GHz radio (wajrlessky mozes nastavit rozlicne, ine SSID, ine sifrovanie, ine hesla, mozes ich individualne vypnut, ale nemozes ich oddelit na urovni IPciek, VLANiek, nie su tam viacere DHCP servery, nie su tam viacere IP range).

A ked si zapnes v Advanced/System mod "Access point extension", nejak tak sa to vola, tak mas zbridgovane uplne vsetko : WAN interface, so vsetkymi styrmi LANkami so vsetkymi wajrlesskami.




>> Ziakov od ucitelov oddelis zaskrtnutim guest network.

ked to budem mat znovu v paprciach buduci tyzden, zistim ci vedia spolu komunikovat na Layer3.

WRT je fajn, taky nelegalny neautorizovany tretinovy Mikrotik bez garantovaneho buduceho vyvoja proste sa natiska otazka - preco by sme to robili. Navyse musi bezat na zariadeniach ktore su vacsinou drahsie nez Mikrotiky.

[4040]

Ak to vypneš,ako spomínal SKiLEX,tak sa zobrazí ponuka pre 2,4GHz a 5GHz samostatne.

[mp3turbo]

to ale neriesi ze vsetci klienti na 2.4GHz aj 5GHz sieti maju IP adresy z toho isteho rozsahu a vidia sa navzajom. O taketo oddelenie mi ide.

Nacapat vsetko na jednu hromadu je take velmi bezpecne. Napriklad ked decka doma na ich notebookoch stiahnu a spustia volaco co si ja neprilis zelam... tak ta vec ma pred sebou vsetky zariadenia. A moze spekulovat.

U mna nie. Kazdy ma svoju vlastnu siet. Dcerin notebook nevidi jej telefon, krpateho telefon nevidi moj telefon, kazdy ma absolutne samostatnu siet. Tie telefony a notebooky nemaju co spolu komunikovat, zaverecna, su bezpecne oddelene. Na vnutornej sieti absolutne nic nemozu - mozu sa z nej dostat von na internet.
Uz mi to zrejme ZOPARKRAT zachranilo kožuch - uz som dospel do stadia ze decka nemaju accounty s admin pravami

[SKiLEX]

Ako vravim, da sa to oddelit cez guest network. Neviem kolko ich zvladne tplink, ale asus zvyknu 3 pre kazdu frekvenciu.

Podla mna navesat na taketo routre 70 zariadeni je samovrazda. Ked do toho zaratas tvoj cas tak to bude najdrahsi router na svete


Celkom by ma zaujimalo ako ti zachranilo kozuch to ze ma kazde zariadenie vlastnu siet... Ako potom prenasas data medzi jednotlivymi PC, notebookmi a telefonmi?

Ja mam este cez VPNku prepojene do jednej siete aj 2 nehnutelnosti, preto sa pytam.

[mp3turbo]

>> Podla mna navesat na taketo routre 70 zariadeni je samovrazda. Ked do toho zaratas tvoj cas tak to bude najdrahsi router na svete

to uz su teraz Ano, z tych par tuctov zariadeni mam vietor - netusim ako sa to male hovienko bude spravat. Je to "ax", snad nieco vydrzia, a upozornoval som na to od zaciatku. edit : samozrejme ze zalimitovat pocet prihlasenych zariadeni na Mikrotiku je jeden jediny parameter, zaverecna. Samozrejme ze mikrotik vie vykopnut zariadenia ktore maju signal slabsi ako nastavena hranica, takze slaby vzdialeny klient nebude doje-kazievať priepustnost silnym blizkym zariadeniam blablabla.




>> Celkom by ma zaujimalo ako ti zachranilo kozuch to ze ma kazde zariadenie vlastnu siet...
>> Ako potom prenasas data medzi jednotlivymi PC, notebookmi a telefonmi?

neprenasam, nie je dovod. Teda prenasam dvakrat za rok, cez USBcko. Z telefonu kopirujem rodine jedine fotky, ziadne dalsie udaje si nespominam, a robim to cez USB kabel priamym pripojenim (nie po sieti).

Kozuch mi to zachranilo tak, ze ked sa krpaty zaviril pretoze stiahol najlepsie doplnky pre Assetto Corza, tak sa virusy/malware nedostali do inych masin lebo ich zastavil firewall. Nemusel som trpnut nad tym ci mam taky alebo onaky OS (win10, win11), ake maju chyby pretoze castokrat rozlicne takze sikovny malware dokaze z win11 exploitovat znamy problem win10 lebo to ma v sebe zabudovane, ako su opatchovane, ako su nastavene, blablabla. Este to bola aj taka svina ze sa snazila prihlasit na mikrotik SSHckom ; mam limitovane source adresy a source interfejsy ktore sa nanho mozu prihlasovat takze to dopadlo len IDSkom a zaznamami v logoch.

Daleko vacsia bezstarostnost nez keby som to mal vsetko nacapane na jednej hromade bez akehokolvek oddelenia. Tie zariadenia u mna doma proste nevedia komunikovat napriamo.

[mp3turbo]

no skusal som toten onen Guest link na TP-Linku ax53.

Podla ocakavania klienti vyfasovali IPcku z tej istej siete ako non-guest masiny tympadom stale nevidim rozdelenych ucitelov a ziakov na sieti : ako ich rozpoznam ? ako im mozem nastavovat rozlicne vlastnosti, firewally, management rychlosti, blablabla hocico ? Na Mikrotiku spravim zopar virtualnych SSIDciek, ziaci dostanu vlastnu VLAN (192.168.251.x), ucitelia inu vlastnu VLAN (192.168.252.x) cez vlastne "radio" na ktore sa ziaci nevedia prihlasit a hned to mam jednoduchsie. Nemam ako splnit poziadavku "daj pristup ziakom XYZ triedy pristup na internet tretiu hodinu. Ziadnu prestavku nedaj pristup ziadnym ziakom", nemam sancu spravit rozhranie ucitelom "tu si klikni a namiesto cervenej bodky daj zelenu bodku pre tvoju triedu na konkretnu hodinu, ak chces aby tvoje decka mali pristup na internet".

Navyse, dalo sa komunikovat s tou masinou na guest "sieti" : ked vypnem "Allow guests to see each other" tak sa nevidia len masiny ktore idu cez ten konkretny TP-Link. To samozrejme nestaci.

Ked necham robit NAT na TPLinkoch tak som zhasol s akymkolvek manazovanim siete, pristupu atd, proste uvidim 15 adries co sa vypravaju s Mikrotikom a neuvidim nic za nimi. Ked to prepnem do Access Point modu a vypnem DHCP Server na TPLinkoch, sprava sa to ako bridge (este neviem co vsetko cez to nepreleze, neverim tomu ze to bude 100.00% transparentne) takze vsetky adresy klienti vyfasuju z DHCP na Mikrotiku. Prve male hura. Ale to uz potom vobec nevidim kto si pytal tie adresy, odkial (z ktoreho APcka, z ktorej triedy)...

Proste je to cele nahouno. Co na Mikrotiku spravim lavou rukou bez rozmyslania, tuto stravim pol zivota.
Uz spekulujem ako sa vys...kakat na cele wifi a robit autorizaciu a vsetky funkcie na vyssej urovni. Zatial ma napada Radius, prihlasenim rozlisim ktory user je ucitel, kto je riaditel, kto je ziak a potom s nim zatocim ako je treba. Jo samozrejme ze nieco take "urcite dokazem" na TPLinku... a hlavne som zvedavy ako sa k tejto prihlasovacej veci postavia nadane 65rocne pani ucitelky, ktorym bol problem aj zmenit wifi siet na ktoru sa prihlasuju.

[SKiLEX]

No tieto domace krabicky vobec nerozumeju VLANkam, v ich svete neexistuju. Snad jedine sanca by bola dostat tam tomato firmware. Ale je to qualcomm zariadenie cize ziadne custom fw na to asi nikdy v zivote nebudu.

Vidim ze takuto vec robis prvy krat. Si zvyknuty z profesionalneho IT prostredia kde ludia vedia co robia a nejaka trojciferna suma hore dole nikoho nezabije.

Vidim 2 moznosti:
1. Ubrat poziadavky: ziadne obmedzovanie pristupu podla casu, ziadne obmedzovanie rychlosti, nic. Spravit jednu velku siet s mac whitelistom do ktorej sa pripoja routre v router mode. A na samotnom routri v danej triede nech uz sa deje vola bozia. Nebudes mat prehlad o nicom, ale malo by to fungovat ok a ked vznikne problem tak to bude problem lokalny pod jednym z koncovych routrov, takze to vies hned riesit.

2. Jasne povedat ze halo, takto to fungovat nikdy nebude. Treba nam trebars 1500€ dovtedy sa nikam nepohneme. Peniaze boli a budu. Je to len otazka priorit. Ked im nebude fungovat internet, najdu sa.


A nepodcenuj ake hovada mozu chodit aj na zakladnu skolu. To ze si ziak do ucitelskeho PC v triede nahodi keylogger, zisti tak ucitelske hesla do edupageu a pred koncom roka si kusok prilepsi priemer znamok je este z tych menej skodlivych veci

Alebo ze sa nejakemu ziakovi nechce robit online testy ktore ho cakaju tak ceruzou stlaci reset button. Kludne na routri zamknutom v racku...

[HellAngel]

Bez Vlan je to nezmysel robit. Ziaci nemozu fungovat na rovnakej sieti ako ucitel. A heslo pre ucitelsku siet samozrejme nejake sofistikovane. Ziaci dnes mnohokrat preskocia ucitelov a vedia viac

[mp3turbo]

uprimne si povedzme ze nejake heslo pre SSID wifi neochrani ucitelsku siet : ked si zoberem ze henta skola ma priblizne 90 ludi a z nich je kopec starsich, neprilis velkych kamaratov s linuxovym jadrom atd atd, tak je otazka velmi kratkeho casu dokedy to heslo vybehne von.

executive summary : myslienka postavit ochranu/bezpecnost/aparteid (segregaciu) ucitelov len na prislusnosti k wifi sieti sa mi nepaci.
myslienka postavit uplne sprostu wifi a potom robit nejaku velmi inteligentnu autorizaciu a riadenie pristupu sa mi z donutenia paci cim dalej tym viacej.

Radius, someone ?

[SKiLEX]

Nahlas rozmyslam:

Nesposobi radius viac problemov ako vyriesi?
Je vobec velky problem ak sa tam nebodaj niekto prihlasi? Ved dneska uz vsetko ide cez https. Jedine ze by odsniffoval nejake lokalne heslo na sambu a tak.

Nemaju nahodou v kazdej triede jeden ucitelsky notebook do ktoreho ma pristup uplne kazdy kto ma doprdele dieru?