MikroTik - RB3011UiAS - 6.48 - postavení menší sítě

ben · 2021-01-18T07:23:13+00:00

Ahoj, včera jsem celý den řešil stavění sítě s MK a vůbec se mi to nepovedlo rozchodit. Je čas posílit zabezpečení mé malé firmy, ale jsem amatér, tak se o...

ben

Druhá FOTKA -> https://ibb.co/yNQW5X6

standula

Tohle je asi zakázková práce ? Možná by nebylo od věci doplnit štítky jako "poptávka práce" a do příspěvku dávat fakturační údaje ?

nosek_tomas2004

ben Je to nějak proveditelné na tom "šmejdu" - RB 3011? 😀

Určitě jde, ale 3011 má problém s flapováním portů.

Opravdu, jak píše rsaf - základ je postavit to vše do VLAN. NA MK si pak uděláš X VLAN na eth9, nebo LAN bridgi. Na ty VLAN interfacy pustíš DHCP servery (každý s daným) poolem. Ještě si budeš muset tedy vždy přidat IP adresu na MK z každého poolu na každý VLAN iface (což už asi na obrázku máš, ale není vidět na jaký interface). Pak už jenom poladíš firewall.

Ale opět plný souhlas s standula sidi. Pokud se chceš naučit s Tikem, tak si kup ze dvě 750tky a zkus si s tím doma na stole různě hrát (tak jsem začínal i já 😉).
Opravdu není dobrý nápad se učit při "zvyšování" bezpečnosti a ještě k tomu na firmě. 😉

svestka

Pán to řeší i na root.cz a možná i jinde. Myslím že tam mu někdo odpoví, byť ve smyslu ... na tohle si někoho objednej.

rsaf

Co síť to VLAN, VLANy pak musí být správně nastaveny na všech switchích v síti, všechny switche je musí podporovat. To je základ a bez toho nemá cenu se do takovéto, troufnu si říct přehnané, bezpečnosti pouštět.
Já (pro malé firmy) většinou dělám:
LAN - všechna PC, servery, tiskárny, i wifi klienti (pouze PC která potřebují přístup k prostředkům sítě)
Guest - veřejná wifi/lan (v zasedačce...), připojují se sem i mobily zaměstnanců... které prostě nepotřebují přístup do LAN
Nevidím smysl v rozdělení LAN/wifi když pak stejně wifi klienty musím ke všemu pustit. Nevidím smysl v oddělení serverů/tiskáren do samostatné vlan, tento traffic se pak akorát zbytečně honí přes router (kterému to dokáže pěkně zatopit...)
Kamery do samostatné vlan jsou samozřejmostí, občas dělám nějakou IoT vlan.
RB3011 je... šmejd ;-)
SSTP je dobrý VPNka, ale šifrování se provádí na CPU, pokud z toho potřebuješ dostat nějaké větší rychlosti, nezbývá než použít IPsec

Jinak souhlasím se standulou - realizace na klíč na základě objednávky, 800kč/hod.

ben

rsaf Stačilo by mi vytvořit POOL pro návštěvníky, který bude mít defaultní DHCP a kdokoliv přijde a nebude zarezervovaný, tak zůstane v tomto poolu návštěva. Zamezit, aby si někdo mohl vynutit IP v druhém z rezervace. Je to nějak proveditelné na tom "šmejdu" - RB 3011? 😀

Rád bych se s MK naučil pracovat sám. Nemám problém někoho pronajmout, ale tato možnost je až na posledním místě pokud se mi toto nepodaří rozjet.

Děkuji za rady.

sidi

ben Pokud chceš zabezpečit firmu a zároveň nevíš co děláš, tak by to chtělo s někým domluvit, že se staví, sedne si k tomu s tebou. Uděláte základní config, základ zabezpečení a ukáže ti co dál. Nějak to "zpytlíkovat" můžeš doma, ale ne na firmě.

Ve chvíli, kdy máš problém s nastavením DHCP serveru, tak je cesta k nějakému zabezpečení sítě ještě hoooodně dlouhá.

honzam

Ano a hlavně ve verzi 6.48. Čili rb3011 a 6.48 nejde dohromady. Dej tam starší verzi a nebo počkej na opravu. Řeší se to na MK foru

vti

Dá se na VLANy v pohodě použít kombinace RB750Gr3 a CSS326-24G-2S+RM, kde běží jen SwOS (obecně řada CSS) nebo je lepší/nutné přejít na CRS326-24G-2S+RM a jet přes Router OS (obecně CRS řada)? Děkuji.

nosek_tomas2004

vti Podle mě (co switchů se týče) je lepší přejít mimo MikroTik 😀 .

vti

@nosek_tomas2004 Pro maličkou firmu co například, aby to nebyl switch za desítku...? A spolupracovalo to s Mikrotik routerem samozřejmě. :-D (myslím VLANy, každý říká, že je ideální mít vše od jedné značky)

jcltm

vti Co se týče L2 switchů, doporučil bych se UBNT. V řadě EdgeSwitch jsou modely i bez PoE (s 24p např. https://www.i4wifi.cz/cs/210635-switch-ubnt-edgeswitch-es-24-lite ), ceny jsou myslím v pohodě. Pokud bys měl UniFi AP, tak je fajn vzít i UniFi switch (stejný HW jako Edgeswitche), ať je to pod jednou střechou. Switchům od Mikrotiku se vyhni velkým obloukem, DLink, teplý linky atd. taky nestojí za nic. Mít vše od jedné značky ideální není, protože nikdo neumí nejlíp všechno. Mikrotik neumí switche a wifi má nic moc, UBNT zase neumí gatewaye. VLANy jsou samozřejmě standardizovaná záležitost, takže rozhodně nemusí být všechno od jednoho výrobce.

nosek_tomas2004

vti Já mám doma (i v pár firmách) toto a nevím o žádných problémech. Mám na tom VLANy a s MikroTikem a vším ostatním no-problem (a ani nechápu, proč by měl být, je to standart). Tuším dělají i nějakou levnější verzi, ale nevím, čím se liší.

Ale nemá to teda SFP+. 10G switche mám doma taky (bohužel) od MikroTiku (crs305-1g-4s+in) - šlo se pochopitelně po ceně. Naštěstí v tom "koutu" sítě kde je, nemusím (zatím) řešit žádné VLANy. Akorát ten SwOS jsem jaksi nedal 😀. Radši jsem to přepnul do RoS a běží mi to prakticky jako "hloupý switch" s 10G rychlostí....

standula

vti
HPE 5120 udělá výbornou službu....

hapi

vti nebo klidně tplinky a prakticky jakýkoliv za pár korun co má v popisu "easy smart".

s_a_m

hapi clovece si nejsem jistej neni tam nejaky omezeni vlan radsi asi jetstream

nosek_tomas2004

s_a_m Já mám jednu takovou "mrchu" (= tl-sg108pe) doma a je to (mimo POE) celkem k ničemu. Největší "průser" je, že neumí (nebo nejde nastavit) MGMT VLAN - takže si Managment toho switche lítá do které VLANy se mu zachce ☹️ .

Kdysi jsem se na to tady i ptal, ale dostal jsem "zjeba" 😀.
Takže za mě - cokoli má přízvisko "easy smart", toho se "štítím".
JetStreamy na moje "obyčejné" použití bohatě stačí a celkem mi i vyhovují .

jcltm

Nevím jakou výhodu mají tyhle teplý linky oproti UBNT, cenově vychází snad ještě dráž, s tím že je to "pure china".