Výběr HW pro domácí síť

jkonecny

Ahoj,
řeším výběr HW pro domácí síť do novostavby RD. Částečně vycházím z podobného dotazu Výber HW - Domácí Síť.

Co bude v síti:

14x ethernetových zásuvek (většina z počátku nevyužitých)
4x kamery napájené přes PoE (např. Reolink RLC-510A)
NAS Synology DiskStation DS920+ - zpracování a ukládání obrazu z kamer, možná Unifi Controller v Dockeru. NAS bych rád připojil přes LACP.
4x PLC (I/O) pro řízení inteligentní domácnosti (Unipi Patron L527, Papouch Quido ETH 100/3, 2x Papouch Quido ETH 4/32 OC)
2x AP (U6-Lite nebo U6-Pro), do budoucna venkovní AP (PoE napájení)
Wifi klienti - mobily, notebooky,...zatím 5 - 10x.

Původně jsem chtěl mít vše pod jednou administrací (UDM-Pro + USW-24-POE + AP), ale možnosti UDM-Pro jsou dost omezené, první na co jsem narazil je OpenVPN/Wireguard s 2FA. Takže router bych nahradil miniPC z Ali a na něm pfSense.

Jiný router znamená vyřešit Unifi Controller. Asi nejschůdnější mi přijde mít controller na Synology v Dockeru. Šel by dát i do pfSense, ale zase je tam dost práce s případnými upgrade. Cloud Key bez disku je aktuálně nedostupný a verze s diskem pro mě nemá význam. Disk by šel využít pro kamery, ale pouze od UI (když nepočítám proxy).

Se switchem jsem opět narazil na omezení UI systému. Chtěl jsem všechny porty mirrorovat na jeden span port kvůli IPFIX/IDS monitoringu (1Gbps span port by sice byl úzké hrdlo, ale pro začátek by to mělo stačit). USW to ovšem neumí, resp. někdo to přes telnet nastavit dokázal, ale není jisté, že to bude fungovat a jak dlouho.

Alternativou by mohl být switch od Mikrotiku, Cisca apod.
MikroTik CRS328-24P-4S+RM
Cisco Business CBS250-24PP-4G-EU - mirroring max 4 ->1
Ale zase je docela problém s dostupností a už bych měl 3 systémy pro administraci.

Můžete mi prosím poradit, jakou byste volili kombinaci router + switch + AP v tomto případě?

jcltm

jkonecny Switchům od Mikrotiku se vyhni velkým obloukem. Když budeš mít AP od Unifi, nebál bych se Unifi switche, ať to máš všechno pod jednou správou. Na mirroring bych se v případě RD vykašlal, to si radši pohraj s pfSense. AP doporučuju spíš U6-Pro, protože má AX i na 2,4GHz (U6-Lite tam má jenom pravěké 802.11n). Jestli budeš mít pár kamer, šel bych klidně do Unifi Protect. Když vezmeš CloudKey s diskem, nemusíš kupovat licence do Synology. Pro RD na pár kamer je Protect podle mě velmi vhodný, kamery jsou zpracováním na daleko lepší úrovni než běžně používaná čína a nestojí ani majlant (malá G3 Flex nějaké 2k). K tomu perfektní aplikace do mobilu. pfSense je výborná volba, teď lze sehnat do 5k boxy s N5105 a 2.5Gbps Intel NIC.

jkonecny

jcltm Díky. Taky bych radši vzal U6-Pro, jenom se mi musí podařit je sehnat. Sleduju EU store, snad se objeví.

Mirorringu bych se nerad vzdával, ale možná mi nic jiného nezbude.

Problém Unifi Protect je cena:
4x G4 bullet = 22 800 Kč
4x Reolink RLC-510A + 2x Synology licence = 10 000 Kč
4x G3 flex + Cloud Key Plus = 14 900 Kč (výhoda dedikovaného controlleru, ale raději bych G3 bullet a ta je zase cenou jinde)

G3 je s cenama trochu níž, to by dávalo smysl, jenom zase ta dostupnost. Pokud UI neukončilo jejich výrobu na úkor řady G4, tak se možná někde objeví.

okoun

jcltm proč se má switchům od mk vyhybat obloukem? konkrétně?

jcltm

jkonecny Na EU store jsou každou chvíli (před týdnem byly) skladem G3 Flex za cca 2000, což myslím celkem jde. Dají se i tomu po 300 vzít venkovní kryty (bílé nebo černé), pak je to opravdu perfektní kamera.
Doporučuju nejít všechno na korunu, zrovna tady má myslím smysl trochu připlatit. Za kvalitu a dotažený SW to podle mě stojí.

gemb

Co sa tyka za mna tak AP od tplinku, seria eap. Napr teraz som si nasadil namiesto unifi ac pro eap620hd. Cena bola 95e bez dph, ap je uz ax aj na 2,4ghz, jedine co nema je 160mhz kanal...co sa tyka kamier tak za mna zasa hikvision. Siroka ponuka zariadeni s vlastnym systemom, kamery color vu, teda farebne aj v noci pricom 4mpx verzie su fakt cenovo dostupne, nvr s poe alebo bez poe. Ziadne dokupovanie licenci a blbosti. Pripadne 8mpx kamery kde tie colorvu vychadzaju na cca 200e bez dph...takze pre.mna je zasa ubnt kamera mimo...ale kazdy ma to svoje co preferuje.

Puski

okoun osobně mi funguji. Ale v módu RouterOS. Takže bridge porty, bez i s VLAN filteringem. Zatím mě to nohy nepodrazilo. Čemu bych se ale určitě vyhnul je SwOS, to je opravdu tragédie 🙂 nevim jestli už si s tím trochu nepohrali, ale zkoušet se mi to znovu nechce. Prekousnu to jedině na RB260GSP, ale to jsou malé instalace relativně.

jcltm

okoun Asi nečteš moc forum, ne? Když někdo řeší problém se switchem, vždy to je MK. Vláken je tu o tom hromada...

m4rk3J

okoun Mně stačilo tehdá tohle (přechod 1 Gbps -> 100 Mbps) a konektem to fakt nebylo:

Dal jsem mezi to nějaké to HPEčko (k Tiku bylo připojeno Gigabitem, k tomu kompu 100 Mbps) a jelo to cca 93/93 Mbps :-)))

jezdec

m4rk3J

Mozna bys mohl zminit co to bylo za switch.

Tohle je klasicka nekompatibilita v prechodu mezi 1Gbit -> 100Mbit, tohle jsem zazil mnohokrat. Obecne je dobre mit v siti vsechno gigabit.

Switche rady CRS326/328/317 jsou naprosto bez problemu

okoun

já vím že byly problémy dříve ale dneska je to v pohodě a pokud něco jde špatně většinou to bude rukama....

m4rk3J

To by mě tedy zajímalo, co mám tak špatně na jednom bridgi, ve kterém jsou všechny eth porty a má vypnutý STP...
Pokud jedu všude gigabit, tak s tím doma problém nemám, ale gigabit na kilo to prostě nedává. ROS klidně i nejnovější v7.

Dělá to i hEX Gr3 s povoleným switchingem, který jsem musel dočasně používat jako náhradní SW. A 951G-2HnD vlastně taky.

A nejsem jediný, dříve jsem to googlil a řešilo se to i tady: https://telekomunikace.cz/d/25528-crs328-24p-4srm-problem-1g-100m

theitman

UDM je jen nesmyslně předražené klikátko pro tuhle aplikaci,
Já bych se takhle od boku vydal trochu jinou cestou
Switch: Aruba InstantOn (PoE i ne PoE pokud chceš 10G SFP), příp. HPe 1820 24G POE+ nebo Unifi switch pokud stačí 1G SFP, nebo TP-LINK T1700G-28TQ
Router: dle konektivity RB750GR3-->RB4011-->CCR (a taky zda hodláš síť s tím nasem routovat nebo naházet do jednoho subnetu)
popravdě nevím jestli se PfSense ještě udržuje, naposled jsem to držel v ruce potom co to převzala komunita, já bych v domácnosti šel zlatou střední cestou Mikrotiku, raději než nějakého GUI klikátka a umí to to stejné co PfSense
Unifi Controller potřebuješ k čemu? Pro základní provoz ho nepotřebuješ, bez USG toho stejně moc neumí, maximálně hotspot, a pokud ho chceš můžeš ho dát mimo docker třeba na RaspberryPi kde můžeš klidně připojit i UBNT Kamery

Proč Mirrorovat všechny porty switche když můžeš data sbírat na routeru? a proč chceš v domácí síti nasazovat IPFIX/IPS/IDS?
AP vol dle požadavků a plánovaného rozmístění...

jkonecny

Díky moc všem za zajímavé tipy. Je vidět, že každému sedí něco jiného a každý výrobce nabízí kvalitní i slabší produkty/řady.

Aruba InstantOn 24P switch s PoE už je cenově dost vysoko. Asi si zatím vystačím s 1G porty. Optiku k domu nemáme a nejspíš v brzké době ani nebude, takže pro připojení do internetu bych 10G nevyužil. Aktuální konektivita bude asi O2 5G, protože tady nic lepšího bohužel nemáme nebo o tom nevím.

10G propoj mezi routerem a switchem by mohl přijít vhod při komunikaci s NASem, pokud by router routoval VLANy (USW-24-PoE inter vlan routing neumí).
Ale pokud NAS připojím přes LACP, tak bych i router a switch mohl propojit dvěma linkami s LACP a snad by tím nemělo vzniknout úzké hrdlo.

Síť určitě rozdělím do VLAN, ale jestli bude NAS ve vlastní VLAN ("DMZ") nebo bude společně se stanicemi, o tom jsem zatím nepřemýšlel.

Nové verze pfSense CE vychází, ale jak moc je udržovaný zatím neposoudím. Líbí se mi na něm velká rozšiřitelnost.

Potřeba Unifi Controlleru asi souvisí hlavně s tím, co bych vlastně spravoval. Pro správu AP by controller stačil na ntb, pro správu switche, AP a kamer už radši Cloud Key. Řešením s RPi jsem se chtěl vyhnout, sice jedno doma mám a teoreticky skoro každá chybějící funkcionalita se dá posadit na RPi, ale je to další kus HW, další SW/OS na starost. Záznamy z kamer bych na disk připojený k RPi taky raději neukládal.

Co se týče monitoringu, je to trochu profesní věc, mirror bych posílal na Flowmon sondu a z ní IPFIX na kolektor. Přes router nepůjde zdaleka všechna komunikace. Navíc pfSense, Mikrotik, Cisco,...sice umí exportovat IPFIX, ale už do něj nedoplní moc L7 informací. Ale asi to nakonec dopadne tak, že udělám mirror pouze na uplinku a bude to lepší, než nic.

Určitě se dá bez monitoringu v domácí síti obejít, ale zase člověk zjistí, jak jsou jednotlivé linky vytížené (ok, to zvládne i SNMP), kdo a jakou komunikací je vytěžuje, jsou vidět problémy na síti, podezřelá komunikace, je vidět kam se která "chytrá" krabička zkouší připojit atd. Všechno s dostatečnou historií, takže i zpětně se dá dohledat co a proč se dělo.

Aktuálně se nejvíc kloním k pfSense routeru, Unifi switch + kamery + AP + Cloud Key Plus.

jcltm

jkonecny pfSense routeru, Unifi switch + kamery + AP + Cloud Key Plus

Přesně takto to mám v několika náročnějších domácnostech i menších firmách, naprostá spokojenost, jak z hlediska uživatelů tak z mého pohledu správce 😉

pgb

pfsence se pod netgatem vyvíjí dost aktivně (část jejich produkce stojí na pfsence + jejich boxy) ... toho bych se fakt nebál. Co se týká boxu pro něj, tak to už záleží na výběru každého.

jcltm

pgb Do náročnějších domácnosti nebo menších firem bych teď bral x86 bednu z Ali, ideálně N5105 a Intelí 2.5Gbps síťovky. Je za necelých 5k, což je myslím dobrá cena. Spotřeba nějakých 6-7 W.
Do větších firem/škol beru 1U Supermicro s dvěma SFP+, ideální na inter VLAN routing.

jkonecny

Vidím to tak, že miniPC pro pfSense stojí 5k. Pokud časem zjistím, že nevyhovuje HW, tak koupím jiný. Pokud by nevyhovoval pfSense, tak vyměním router třeba právě za Mikrotik (dle aktuálních potřeb).
Původní miniPC půjde když tak použít jako multimediální krabička třeba k TV.

Trochu mi pořád vrtá hlavou ten switch, možná by bylo rozumné vzít nějaký L3 switch s pár 10G porty. Ale už je to 10k vs. 20k.
Aruba Instant On 1930 24G 4SFP+ - 23k a není L3
USW-Pro-24-PoE by připadal v úvahu - L3, 20k

Zmiňované HP 1820 24G POE+ a TP-LINK TL1700TQ už vypadá, že se nevyrábí.

pgb

jcltm ve mě ty boxy z Ali nějak nebudí důvěru (chápu že možná zbytečně, ale nějak mi chybí prostě distributor který by to tady za mě hezky proclel, dal nějakou záruku a slušnou fakturu). Bohužel supermicro pak už je dost drahý na pidi instalace. APU2 je zase v porovnání s Ali dědeček, nicméně moji důvěru má.

jcltm

pgb No brát APU na pfSense mi přijde jako nesmysl, je to pravěký a pomalý bulldozer - neprojde tím ani ten gigabit.
Ty boxy z Ali jsou opravdu v pohodě - spotřebu to má jak obyč. wifi router, BIOS je v tom referenční od Intelu, tj. má odemčeno úplně všechny nastavení. Mám dojem, že pro to někdo dělá i nějaký opensource BIOS, ale nezkoumal jsem. Za ty peníze není co řešit. Proclení dneska není problém, DPH zaplatíš už rovnou Ali a celnicí to projde bez potíží.
Dnes je nejlepší volba toto:
https://www.aliexpress.com/item/1005003110339518.html
Pokud chceš takový box víc ofiko, pak https://eu.protectli.com/ - nově posílají i z Německa, dřív byl problém kvůli drahé poště z USA.

theitman

Aruba Instant On 1930 24G PoE nestojí 23k kde jsi na tom byl? stojí 10k 200W verze a 13K 370W verze
HPE 1820 24G PoE+ stojí 7k a kupoval jsem ho loni v létě, ono je to spíše tím, že switche obecně nejsou dostupné v maloobchodech
Ten TP-Link jsem kupoval před dvěma lety za 5k (pak stál cca 9k) a na to že stál 5k funguje luxusně akorát jsem ti psal označení z hlavy a samozřejmě blbě. Správně je to T1700G-28TQ,ale máš pravdu podle webu tplinku je EoL což je podle mě škoda, protože ten switch umí i stohovat a náhradu jsem nějak neobjevil....

jkonecny

Viděl jsem to tady https://www.mironet.cz/aruba-instant-on-1930-24g-4sfp-195w-switch-24x-gigabit-rj45-portu-4x-10gigabit-sfp-porty-poe-195w+dp441732/
Pokud by šel sehnat za 10k, tak to by byla zajímavější volba.

Jasně, dohledal jsem model T1700G-28TQ, ale bohužel EoL.

EDIT: Je fakt, že czc nebo bohemka ho nabízí za 10k, ale nedostupný. Zajímavá cenová politka.
https://www.tsbohemia.cz/aruba-ion-1930-24g-4sfp-195w-jl683a-_d361295.html

Další stránka »