Dobrý den,
podědil jsem po bývalém kolegovi síť na jedné škole, kterou se budu pokoušet co nejdříve předělat. Samozřejmě rozpočet je problém, takže jsem to dostal na starost já.
Momentálně je tam jako hlavní router nějaký starý Mikrotik vlastně bez jakéhokoliv firewallu, z něj vede kabel do HP IOn 1930 48G 4SFP+ (na něm není taky nic nastaveno) a z něj různě po škole různé nekvalitní kabely do dalších HP, Mikrotik a TP-link switchů všude možně.
Problém je v tom, že jak je to jako jedna velká L2 síť, tak je to ohromné bezpečnostní riziko.
WiFi tam jsou navíc tak, že ve třídách jsou Mikrotiky Hap ac-2 na katedře (špatně nastavené, že vysílají jen 2G4 a 5G ne, z nějakého důvodu je síť 5GHz úplně bez SSID, to ještě nevím proč) a na chodbách několik Ubiquity UniFi taky jen 2G4, všechno na náhodné kanály a bonding 40 MHz, takže to vůbec nefunguje, rychlost je přes dobu výuky kolem 0.5Mbps a to tam moc žáků díky nefunkčnosti není.
Většinu věcí jsem schopen snad jednoduše opravit (snažím se postupně vzdělávat, bohužel skoro od nuly), nicméně mám některé dotazy na lidi, kteří rozumí Mikrotiku a ubiquity.
1) Jakým způsobem nejlépe nastavit Mikrotik WiFi pro cca 30-35 zařízení ve třídě (většina umí 5G)? Dočetl jsem se o nových ovladačích, ale zase ty neumí dynamicky přiřadit VLAN přes RADIUS (ten bych poté chtěl, aby měl každý své údaje, prý je to lepší pro správu), tak co teď?
2) Dá se na Mikrotik switch nastavit Private VLAN (Tak tomu říkají v Cisco návodech) jen pro jednu konkrétní VLAN? Příklad - port k AP bude mít vlan 10,20,999. 10 učitelé, 20 žáci a 999 management. Pro žáky bych potřeboval povolit provoz jen do uplinku a né na další AP na jiných portech, pro ostatní VLAN ale ne, tam chci L2 provoz všude.
3) Dá se nějak rozumně na UniFi a Mikrotiku zprovoznit DHCP spoofing + ARP-spoofing protection a to samé pro IPv6? Aby AP povolilo jen provoz z IP danou DHCP? Ty switche to předpokládám nedají, ale takto bych mohl povolit L2 provoz, což se hodí.
4) Jakým ideálním způsobem nastavit vysílací výkon? Všude individuálně tak, aby se dosáhlo nějaké konkrétní síly signálu? Uvnitř je špatný mobilní signál a potřeboval bych zprovoznit roaming kvůli volání přes WiFi, teď je všude maximální výkon s nastavením united states (30 dBm, to ani u nás není povoleno, nevím proč je to takto) a zařízení pří chůzi pořád vypadávají, protože asi nedosáhnou zpět na vysílač. Byl jsem v hotelu, kde měli nějaké Mikrotiky a šel jsem přes celou budovu a hovor na whatsappu mi nevypadl ani jednou, takže to nějak jít musí.
5) Jak je to s data retention? Je to vůbec legální v této situaci? Nejraději bych se tomu vyhnul kompletně.
6) Učím se a snažím zavádět IPv6, budu mít s tímto vybavením potíže? Od místního poskytovatele máme přidělen prefix /56. Prý je rychlost omezeně separátně pro každý protokol zvlášť, tak toho chci využít a mít vyšší maximální rychlost.
Všem moc děkuji za rady, bohužel finance nejsou a tudíž musím pár let pracovat s tím, co mám.
