Dobrý den, v mojí síti (pod 1000 klientů) jsme zatím používali jako klientské jednotky pouze MikroTiky s následující konfigurací: Na wlan1 je vytvořená VLANa (protože management je untagged z historického hlediska), na které je nasazená IPv4 a IPv6 adresa. Na ether1 (prostě LAN) máme pro IPv4 NAT a DHCP, pro IPv6 zde máme /64 s advertise pro ty, kteří mají domácí WiFi jako bridge. Navíc máme DHCP server, který přiděluje /56 pro klientský router, kdyby chtěl.
Jako Firewall po úpravách jsme zachovali ochranu pouze inputu (povoleno z mgmt vlany, mgmt ip adres, jinak drop), forward pravidla pro ochranu domácí sítě zapínáme po konzultaci s klientem (na IPv6). Navíc máme na ethernetu nasazenou management VLANu, která je normálně vyplá a zapíná se pouze při delší nedostupnosti naší watchdog IP adresy. Z této VLANy je povolený přístup na router a MAC winbox, telnet a discovery.
Chtěli jsme nasadit UBNT zařízení a otestovat, ale nejsme si jistí, jestli je něco podobného možné nastavit i zde. Popřípadě jak to řešíte vy?
Děkuji.