Domácí síť, kombinace LAN a wi-fi

[aldebaran]

Zdravím,

pokud by někdo měl čas a náladu mohl by pomoci radou při úpravě, či doladění domácí sítě?

Situace je následující: mám po domě rozvedenou SK nestíněnými UTP kabely CAT 5E. Kabel je v každé místnosti ukončen datovou zásuvkou 1x RJ45 CAT 5E.
Internet je od místního poskytovatele. Z antény na střeše je svod UTP kabelem do rozvodné skříňky, která je společná pro data a STA. Ve skřínce je napaječ pro anténu a 8x switch ,rovněž s napaječem. Do switche jsou připojeny kabely k jednotlivým datovým zásuvkám.

V síti LAN jsou připojeny: PC, notebook sloužící v podstatě jako stolní PC (nepřenáší se), print server, android TV box, řídící jednotka domácí automatizace a Wi-fi router , který slouží jen jako AP.

Přes Wi-Fi se připojují: jiný notebook, tablet, mobilní telefon .

Jednotlivá zařízení byla připojována postupně v průběhu let, podle aktuální potřeby. Problém vidím např. v tom, že stáří switche je cca 12 let, print server má cca 10 let a router cca 5let , takže už to spolu asi moc "neladí". Začínám se tedy zabývat tím, že by se to celé mělo "dolatit a sladit", aby vše správně fungovalo,podle současných standartů a možností.
Například z PC vidím všechny prvky sítě LAN, ale z tabletu nebo mobilu ne, což je jeden z problémů, protože bych chtěl přes tablet ovládat jednotku domácí automatizace (zatím to jde jenom z PC).

Něco už jsem stačil z netu nastudovat a měl bych pro začátek pár dotazů:

1. Měla by síť začínat routerem?
2. Je nutné, nebo lepší, aby byly použité aktivní prvky od stejného výrobce?
3. Je lepší použít na šíření Wi-Fi signálu Wi-Fi router, nebo je lepší (jednodušší) použít prostý AP?
4. Můžete doporučit nějakou literaturu, nebo webovky, kde by se daly najít další informace (mám na mysli něco pro laiky )

Díky předem za případné odpovědi.

[piCZus]

Pokud to funguje, tak to nech tak, zbytečně hledáš "mouchy".
Různí výrobci používají stejné střeva a ty můžou být bez problému kompatibilní. Samozřejmě výměna 100Mbps za 1Gbps by byla O.K.

Jestli neznáš topologii od svého poskytovatele, tak základem je, že na jeho zařízení běží DHCP server, od kterého dostáváš IP adresy pro všechny své zařízení. Ideální by bylo, aby i tvůj wifi router fungoval jako switch, tzn. nepřekládal adresy (nepoužíval tzv. NAT), protože možná už jeden NAT běží na té "anténě" od poskytovatele a druhý by byl zcela zbytečný.

Nějaké grátis publikace najdeš na nic.cz https://knihy.nic.cz .

[pocitujlasku]

ja by som ako prve dal router. Vela poskytovatelov kasle na bezpecnost (hlavne ti dedinski wifi) a ked sa niekto trocha rozumie sietam, tak sa ti moze dostat bez problemov do pocitaca. Sam vidim u seba na routri, ze mam stale nejake pokusy o pripojenie a skusanie hesla, a to nemam verejnu ip. Proste strikne oddelit moju siet od vonkajsieho sveta.
co sa tyka wifi, ja mam vsetko len ako switch a celu spravu robim na hlavnom routri. Mam 2 AP (na kazdom poschodi jedno), na kazdom mam 3 siete (domaca, pre hosti a smart veci), taktiez tie wifi spravujem z hlavneho routra. DHCP, hesla, pridelene IP, firewall...
prvky od jedneho vyrobcu nemusia byt, ale je to vyhoda, pretoze kazdy vyrobca ma nejaku tu vychytavku.

[piCZus]

Všechno je topologii, o které jsem psal a nejde generalizovat jedno řešení. Pokud ISP ke svým klientům používá oddělené VLANy a na svém koncovém zařízení NATuje (tzv. anténa na střeše je většinou router), tak bych tam nedával další router s NATem, ale je to každého věc, ať si NATuje klidně i 3x.

[aldebaran]

Díky za příspěvky.
Tak už mi to začíná dávat smysl. Dnes jsem byl u známého, tak jsem se ze zvědavosti kouknul , jak to má řešené on, protože mu nedávno též instalovali nové připojení. Takže z klienta (už vím ,že se tomu nemá říkat anténa ) vede kabel přes napaječ do routeru. ALE je zapojen do jednoho ze žlutých portů, tedy do LAN. Takže pokud jsem správně pochopil příspěvek od piCZuse, tak ten router tam neplní funkci routeru, ale switche (je do něj ještě připojeno PC a řídící jednotka vytápění) v kombinaci s AP. Čili funkci routeru plní klient na střeše. Pokud by ten router pracoval i jako router byl by kabel ze střechy zapojen do modrého portu WAN. A proto mám i já doma zapojen kabel ze střechy do switche (v době kdy se to dělalo nebyla ještě domácí WI-Fi tak rozšířená, takže ani Wi-Fi routery) a funkci routeru plní klient na střeše, tak jak to v prvním příspěvku popsal piCZus.
Ovšem ten klient pracuje "ve službách poskytovatele připojení" a on si ho může spravovat na dálku, jak je mu libo. Pochopil jsem to správně??

Já bych si představoval řešení velmi podobné tomu co popsal pocitujlasku.
Co jsem se zatím dočetl, tak téměř všude uvádějí shodně něco ve smyslu:
Začít routerem, který má v prvé řadě oddělit veřejnou síť od té mojí. Skrze nastavení routeru pak řídit zabezpečení před nežádoucím přístupem z venku i provoz vnitřní sítě, různá práva přístupu (např. oddělená síť pro hosty apod.) Potom switch ideálně s PoE pro napájení AP a do něj napojit vše ostatní. Zkrátka tak, jak to popsal pocitujlasku.
Jdu nastudovat to NATování, to ještě moc nechápu.

[piCZus]

Budoucnost není v NATování IPv4, ale v protokolu IPv6. Možná ho už tvůj poskytovatel používá a ani o tom nevíš, takže se na NAT vykašli a své úsilí raději nasměruj někam užitečněji, když se zajímáš o bezpečnost, třeba k firewallům.

[pocitujlasku]

ano, ak to ide do LAN portu, tak to funguje ako switch a ked sa provider pripoji do tej "anteny", tak sa v pohode dostane do celej tvojej siete.
NAT je jednoducho povedane nieco ako dioda. Smerom von pusti vsetko, zvonku dovnutra len to, co mu povolis.
Co si vsimam, tak nat v "antene" uz ma malo providerov, vacsina to ma ako bridge - cize jeho siet konci v tvojom routri na WAN porte. Je to lepsie z pohladu rychlosti.
Pre beznu domacnost staci default nastavenie routra (zakazat administraciu z portu wan, a na lan zapnut dhcp).

[piCZus]

Koupím jednoúčelovou krabičku, na které postavím dogma, jak je NAT bezpečný. Přes NAT projde používaný operační systém, typ prohlížeče atd., takže jaká bezpečnost.
Když už, tak bych nasadil L7 proxy pomocí HTTP proxy, které by maskovalo o dost lépe (ale ne dokonale), navíc by tohle řešení hodně odlehčilo provozu, protože slabší CPU v krabičkách se u NATu dost zapotí, kdy se plní conntrack tabulka, která může i přetéct atd.
Jenže jsme zpět na začátku, kde HTTP proxy jednoúčelové krabičky neumí.

[pocitujlasku]

piCZus: on chce oddelit siete, a nie riesit to, co prechadza v http hlavickach.
Podla teba by si mal rovno dat samotny server, ktory pouzivaju napr. v bankach a aj to by asi nestacilo.
Pre domacnosti je NAT postacujuci, aj tak sa staci prihlasit na google, alebo facebook a vedia o tebe vsetko.

[piCZus]

Ale jo, čím víc NATů, tím lepší oddělení a větší bezpečí. Je vidět, že jsi IPv6 ještě nepolíbený.

[p32]

Moc to prožíváš.

[piCZus]

Ono se to pomalu překlápí do IPv6. Byl jsem nastavovat WiFi na tomhle krámu od T-Mobilu (v Cetin síti), který už umí delegovat prefix z WAN portu a v LAN jej přiděluje pomocí Router Advertisement + DHCPv6.
Pokud je na druhé straně také IPv6, tak bez překladů adres je odezva nižší. Po nějaké době mi hlásili, že i Playstation funguje bez problému, protože před tím museli mít přesměrované porty a dost často starý router restartovali.

[pocitujlasku]

pri IPv6 maju zariadenia verejnu adresu. Nemas pocit, ze je to tak trocha vacsie bezpecnostne riziko, ako ked to ide cez NAT?

[piCZus]

Ty můžeš použít NAT66, kde i u IPv6 existují ULA adresy, ale problém bude, že NAT66 jednoúčelové krabičky neumí.

[kratz]

Mam pocit, ze tu z toho delate velkou vedu. Pro potreby domaci site staci na vstupu L3 prvek s IP4 NATem, IP filtrem a DHCP pro interni IP blok (10.0.0.0/16 treba, to jen tak nevyplaca) pres nejakej Mikrotik/UBNT shit, za tim dal bych to vsechno resil jen L2 - tj. wifi AP jen jako L2 bridge s nejakou dostatecne silnou autentizaci (WPA2). Opet napr. nejaky Mikrotik/UBNT 2x2 MIMO (pokud to jeho zarizeni davaji). V ramci jednoho bridgovanyho L2 segmentu pak uvidi vsechno.
PoE na ten WiFi bridge pripadne i vstupni L3 se da poslat X ruznyma zpusobama. Zalezi co koupis a jak to bude zapojeny.