Подскажите как правильно организовать до



  • Подскажите как правильно организовать домашнюю мини сеть.
    Доброго всем вечера и с праздниками !
    В общем история такова.
    Уже почти 3 года работает данная система. Скинулись соседями на железо (что то уже было), сделали мини-сервер на основе слабенького ПК и подключили максимальный тариф от Ростелекома.
    Получается 4 квартиры, платим копейки и всем вроде бы довольны, но периодически в нашу сеть кто то прорывается все таки и начинает на халяву торчать, приходится менять пароли на роутерах и т.д.
    Как все сделано:
    На ПФсенс поднят DHCP сервер, все юзеры со всеми их устройствами прописаны в постоянных "пользователях", т.е. по MAC адресу выдается айпишник и стоит запрет в DHCP не подключать неизвестных. В 2 квартирах стоят роутеры с вай фай, там DHCP отключен и кабель включен в лан порт, роутер как бы превращается в свитч с вайфаем, работает только пароль на вафлю, а дальше рулит ПФсенс.
    Но все таки получается если прописать настройки сетевой карты вручную, то устройство без проблем попадет в сеть и будет работать.
    Посоветуйте пожалуйста как более рационально сделать такую мини сеть ? Может реализовать через PPoE ?
    Спасибо.
    P.S. Знания на уровне самых базовых, прошу совета.




  • Если роутеры поддерживают WPA2-Enterprise, то перевести мобильных клиентов на него (в pfSense есть пакет FreeRADIUS). Взломать такой WIFI будет сложнее.



  • т.е. оставить все как есть ? не вводить никаких PPoE и т.д.
    И еще подскажите пожалуйста где можно увидеть всех клиентов которые были или сейчас подключены к pfSense ? Сейчас смотрю через DHCP Leases, но там статистика только DHCP сервера, а если кто то напрямую пропишет сетевые параметры, там этого не увидеть. Спасибо.



  • Все IP\Хосты, реально потребляющие трафик видны в  Status-Traffic Graph.
    Также видны и более подробно в Diagnostics-States

    Обширную статистику дает пакет ntopng.

    Также почитайте про Static ARP в настройках DHCP:
    his option persists even if DHCP server is disabled. Only the machines listed below will be able to communicate with the firewall on this interface.



  • Делаем так

    Services/DHCP Server/LAN

    General Options

    ˅ Enable DHCP server on LAN interface
    ˅  Deny unknown clients

    Other Options

    ˅ Enable Static ARP entries (как писал pigbrother)

    В  DHCP Static Mappings for this Interface для каждого клиента отмечаем

    ˅ Create an ARP Table Static Entry for this MAC & IP Address pair

    Ну и для полного счастья в Firewall/ Rules/ LAN
    удаляем дефолтное правило

    IPv4 *  LAN net  *  *  *  *  none    Default allow LAN to any rule

    И создаем свои для каждого клиента типа такого

    IPv4 TCP/UDP  192.168.1.3  *  *  *  *  none    Dir-300

    и так далее смотря сколько клиентов и какие у них IP в DHCP Static Mappings



  • 2 35house
    Доброе.
    Ваше стремление изучить пф - более чем похвально, но для дом. использования - все же избыточно (имхо).
    Приобретите тот же Asus RT-N12VP , Tenda N60 (два диапазона + гигабитн. порты) или др. модели, указанные здесь http://tomato.groov.pl/?page_id=69.
    Установите прошивку по ссылке выше и пользуйтесь. Тишина, малое энергопотребление и богатые возможности  - шейпер, вланы, fw, openvpn, MultiWAN etc - http://tomato.groov.pl/?page_id=31

    С пф (и не только) прекрасно можно работать и в том же ВиртБоксе.

    P.s. И да. Исходя из вашей схемы я бы откл. на роутерах во всех квартирах dhcp (или сделал их обычными точками доступа, если они это умеют). Кабели от свитчей подкл в ЛАН порт.
    Это для того, чтобы не запутаться с адресацией в вашей сети - таким образом у всех уст-в во всех квартирах будет одна сеть.



  • @werter:

    P.s. И да. Исходя из вашей схемы я бы откл. на роутерах во всех квартирах dhcp (или сделал их обычными точками доступа, если они это умеют). Кабели от свитчей подкл в ЛАН порт.
    Это для того, чтобы не запутаться с адресацией в вашей сети - таким образом у всех уст-в во всех квартирах будет одна сеть.

    werter

    Вы бы сначала внимательно прочитали пост TC  ;D а потом советуйте , у ТС все и без совета правильно сделано и откл DHCP ::)
    Сеть у него и так одна  ;D

    @35house:

    На ПФсенс поднят DHCP сервер, все юзеры со всеми их устройствами прописаны в постоянных "пользователях", т.е. по MAC адресу выдается айпишник и стоит запрет в DHCP не подключать неизвестных. В 2 квартирах стоят роутеры с вай фай, там DHCP отключен и кабель включен в лан порт, роутер как бы превращается в свитч с вайфаем, работает только пароль на вафлю, а дальше рулит ПФсенс.

    У меня подобное работает с настройками как я описал выше , и ни каких левых клиентов в сети нет и не может быть по определению ;D ;D



  • @oleg1969:

    Вы бы сначала внимательно прочитали пост TC  ;D а потом советуйте , у ТС все и без совета правильно сделано и откл DHCP ::)
    Сеть у него и так одна  ;D

    О. Прошу пардону  ::) Увлекся.



  • Этот так называемый "сервер" собирали как говорится из г**на и палок ))) В общем затрат не было никаких практически, вытащить на себе 15 клиентов, из которых 2 телека со смарт ТВ и интернет ТВ приставку + куча компов с торрентами, смогут роутеры только верхнего ценового сегмента, т.е. с нынешним курсом это 6 - 10 т.руб, все таки жалко. А тут просто шикарная штука, конфиг ПК
    CPU Type Pentium(R) Dual-Core CPU E5700 @ 3.00GHz
    2 CPUs: 1 package(s) x 2 core(s)
    1 Gb RAM
    HDD 250 Gb от какого то ноута
    на кулере процессора и кулере БП впачны резисторы ограничивающие частоту вращения, т.е. слышен шелест только когда к нему подходишь, раз в пол года вожу на шиномонтаж продувать, все равно свой ПК вожу с такой же периодичностью. В общем все счастливы и довольны, т.к. у нас в закрытом городе есть только Ростелеком с минимальным тарифом в 500 руб.
    Мы платим по 150 в мес. (5 чел) и самое главное, за счет того, что скорость тарифа 100 мбит, а пфсенс с таким железом умеет обрабатывать этот канал мгновенно, вообще никто не испытывает проблем, и в танки рубятся и фильмы смотрят и торренты таскают. Основная суть в том, что:
    Надо открыть сайт который весит например 10Мб, пользователь его открывает мгновенно и потом сидит читает минут 5 и т.д. В общем мгновенная отработка траффика имеет очень важное значение, в случае кучи клиентов, а дешевые роутеры оч. сильно все тормозят. Конечно в рамках одной квартиры и 3-4 клиентов пойдет и роутер за 1000 руб. но в нашем случае, я считаю использование данной платформы весьма оправданным.

    В общем огромнейшее спасибо всем. Чуть позже попробую поиграть еще с шейпером.



  • вытащить на себе 15 клиентов, из которых 2 телека со смарт ТВ и интернет ТВ приставку + куча компов с торрентами, смогут роутеры только верхнего ценового сегмента, т.е. с нынешним курсом это 6 - 10 т.руб, все таки жалко. А тут просто шикарная штука, конфиг ПК

    а дешевые роутеры оч. сильно все тормозят

    Мил человек. Вы сильно ошибаетесь насчет недорогих устройств. Дело в том, что SOC на rt-n12 b1\c1\vp\hp, rt-n10p, rt-n11p и др. умеет т.н. HW NAT (и даже на wi-fi). Т.е. нагрузка по обработке сет. трафика ложится не на CPU роутера.



  • @werter:

    Вы сильно ошибаетесь насчет недорогих устройств. Дело в том, что SOC на rt-n12 b1\c1\vp\hp, rt-n10p, rt-n11p и др. умеет т.н. HW NAT (и даже на wi-fi). Т.е. нагрузка по обработке сет. трафика ложится не на CPU роутера.

    Вы попробуйте для начала на дешевом роутере запустить 7-10 ПС с торрентами , и он (роутер) начнет тихо умирать (тормозить конкретно)

    P.S

    И никакой шеейпер в левых прошивках(роутера) не поможет – а только еще сильнее усугубит  тормоза



  • 2 oleg1969
    7-10 не пробовал, то 3 тянуло вполне на далеко не самом мощном rt-n12.

    И да , я почему-то уверен что вы лично не пользовались альтернативными прошивками и не в курсе что это такое вообще. Иначе не называли бы их "левыми".
    Короче, "не читал, но осуждаю". Разверните (если есть на чем) и потестите. И только после - критикуйте.

    И никакой шеейпер в левых прошивках(роутера) не поможет – а только еще сильнее усугубит  тормоза

    P.s. Из личной практики :
    Гимназия на 3 этажа (оч. длинные корридоры - метров под 70). Более 150 пользователей. Wi-Fi сеть из трех asus rt-n12 (на др. денег не дали - бюджет-с) + такой себе псевдороуминг (непересекающиеся 1, 6 ,11 каналы). На роутерах вкл. лимитер + шейпер (торренты запрещены, ес-но). ВК, ОК (видео на них) и т.д. - без проблем и всем хватало.

    P.p.s. И не верьте продаванам, впаривающим домашним пол-лям железки под 10к руб. "чтобы не тормозило". Правильная прошивка творит чудеса. Железо-то позволяет.



  • @werter:

    2 oleg1969
    7-10 не пробовал, то 3 тянуло вполне на далеко не самом мощном rt-n12.

    И да , я почему-то уверен что вы лично не пользовались альтернативными прошивками и не в курсе что это такое вообще. Иначе не называли бы их "левыми".
    Короче, "не читал, но осуждаю". Разверните (если есть на чем) и потестите. И только после - критикуйте.

    Перепробовал все и вся (левые прошивки)

    Для освежения Вашей памяти – WIVE PTNL между прочим я Вам посоветовал или подзабыли



  • Перепробовал все и вся (левые прошивки)

    Для освежения Вашей памяти – WIVE PTNL между прочим я Вам посоветовал или подзабыли

    1. Линк на топик, где посоветовали - в студию.
    2. С wive-ng знаком, начиная с dir-300 b1-b4 и вер. 1.х, т.е. задолго до нашего "знакомства" здесь на форуме. Даже с создателем этого чуда sfstudio на ixbt переписывался немного. Он из Омска. И разрабатывал он ее изначально для acorp-ов.

    Заканчивайте заливать. Особенно, если 1969 в вашем нике - это год рождения.

    P.s. И WIVE-NG-RTNL, если уж на то пошло.





  • +1
    После перепрошивки старенький ДИР-300 рев. B1-B3 - просто прелесть

    И ? Не вижу в этом

    Для освежения Вашей памяти – WIVE PTNL между прочим я Вам посоветовал или подзабыли

    +1 означает одобрение\согласие с написанным ранее. Не более того. И даже больше - мною были указаны и др. ревизии дир-300 - b2, b3.

    Еще раз перечитайте мой предыдущий пост.

    P.s. Пишите в ЛС. Благодетель.



  • @werter:

    +1
    После перепрошивки старенький ДИР-300 рев. B1-B3 - просто прелесть

    И ? Не вижу в этом

    Для освежения Вашей памяти – WIVE PTNL между прочим я Вам посоветовал или подзабыли

    +1 означает одобрение\согласие с написанным ранее. Не более того. И даже больше - мною были указаны и др. ревизии дир-300 - b2, b3.

    Еще раз перечитайте мой предыдущий пост.  ;D

    P.s. Пишите в ЛС. Благодетель.

    Без обид

    Мне по барабану ваши оправдания , можете не оправдыватся :D

    4000 постов не значит что в них много полезного (в основном вода)  ;D

    Это просто их набивание – правда не понятно зачем ::)

    Ну и человеку как всегда свойственно Величие :P

    На ЛС ?? Мне просто жалко время тратить ,без толку

    По этому еше раз Без обид  ;)



  • Мне по барабану ваши оправдания , можете не оправдыватся

    Вы лжец и демагог, oleg1969. А если вам еще и 48 (!) лет - то великовозрастный лжец. Перед внуками не стыдно ?

    Мои посты, в к-ых я упоминаю wive-ng задолго до вашего сообщения :

    September 20, 2015, 08:49:13 am
    https://forum.pfsense.org/index.php?topic=99707.msg555551#msg555551

    July 28, 2013, 09:13:57 am
    https://forum.pfsense.org/index.php?topic=64887.msg352104#msg352104

    July 09, 2013, 08:04:30 am
    https://forum.pfsense.org/index.php?topic=64120.msg348098#msg348098

    March 21, 2012, 01:47:43 am
    https://forum.pfsense.org/index.php?topic=47446.msg249348#msg249348



  • А может это паранойя?
    А ежели к вам в квартиры приходят гости/родственники и начинают пользоваться вашими вайфаями
    сети же у них запоминаются в смртфонах, планшетах…?
    Если физического доступа извне к свичам нет, видимо как-то взламывают вайфай...
    А не проще отказаться от DHCP, назначить компам/ноутбукам/роутерам статические айпишники,
    сделать в pfSense группу "посвящённых" (алиасом) с этими айпишниками, которым всё разрещено, остальным
    адресам обрезать всё?
    И, таки, да, почему роутеры включены как свичи, наверное разумнее в каждой квартире иметь свою
    собственную сеть а не общественную, это и безопаснее, да и шпиёна будет проще выявить!


Log in to reply