Více NATů v routeru

[hapi]

nejeden? tady u nás je to většina.

[iTomB]

A to aktivne funguijest jako ISP? By me zajimalo v jakem svete. U nas naopak 99% klientu automaticky chce a potrebuje wifi router protoze k tomu pripojuji mobily, tablety, notebooky bez eth... Máme i nejeden případ, kde v domácnosti není připojeno přes kabel vůbec nic.

Neplet si pojmy a dojmy, psali jsme o FW, nikoliv o samotne WiFi. Ja jsem psal, ze mam bytovky na L2 a u klientu wifi v bridge. Kdyz chce klient resit vic, tak at si to prenastavi sam ... Ale musi to umet.

[iTomB]

budova má dvě bytový jednotky. Nemůže se tahat solo přípojka pro druhou jednotku tak se to napojí do stávající a napojí se tam hap lite. No a teď jak hap lite nastavit aby při průchodu ním byly identifikování a nastaveni do extra subnetu. Chápu že router má něco jako wan a atd.. ale lidi jsou hovada a oni přijdou na to že když to zapojí kamkoliv tak to nějak půjde proto je hap lite v bridge a zapojovat si ho můžou z který strany chtěji ale jde o to aby se vědělo že dotaz vzešel skrz tohohle hapa.

Pokud tam nemuzes dat switch s option 82, tak to resim obdobne jako ty. Jen naroutuju rozsah a dam tam switch treba RB260GS a na nem VLANy .. RB co je na strese, resi jen VLANy, IP a DHCP. Je to ale routovane.

[Myghael]

...
Jenom NAT ti té bezpečnosti moc neudělá, firewall je i na IPv4 NUTNOST!

jo ale víš jak to je. Ani já to nedělám. Jak to řešeji ubnt jednotky?

UBNT tam ten firewall v základu má, pravda jen v tom režimu "established, related, drop", ale dá se nastavit port forwarding. MikroTik to není, ale ty nejzákladnější funkce to má, pokud byly problémy v tomto směru, tak jen od zákazníků typu "ekspert" co si kdovíproč vydupal jednotku v bridgi aby mohl provozovat svůj router - pokud jim jiný "ekspert" neporadil Turris Omnia (který je v základu nastavený docela dobře a není až tak "blb-friendly") tak to téměř vždy dopadlo viry a DDoS ze zavirovaného routeru.

Díky tomu, že to tam prostě je a není potřeba kvůli tomu skoro NIC dělat (jen zaklikat to v tom opravdu jednoduchém rozhraní, bavíme-li se o základním módu - u nás máme základní default cfg kam se pak na místě dopisuje jen jméno klienta a SSID/PSK + případně IP adresa), tak na UBNT ten firewall je opravdu téměř všude v pohodě.

MikroTiky jsou trošku horší no, občas se stane že technik při první zádrhelu prostě všechna pravidla z firewallu vymaže a pokud to pomohlo, tak už tam žádná nedá, ale od toho máme 24/7 dohled, který přes den tyhle konfigurace řeší na dálku, zatímco technik/technici (podle charakteru a obtížnosti instalace) vypisují papíry - opět díky základnímu default cfg tam toho moc k nastavení není. Jen je pravda, že narozdíl od UBNT je třeba ten konfig mít extra pro každý typ zařízení a testovat/upravovat ho s každou novou verzí RouterOS. Kupodivu je to rychlejší než to řešit co kde kdo zapomněl, a to i když kvůli tomu máme na firmě zvlášť postavené testovací AP i s testovacími klienty (výborně se to hodí i při školení nových techniků nebo pro testy nových zařízení).

[hapi]

ted sem koukal na ubnt jednotku a je tam jenom "FORWARD DROP 0/0 0/0 state INVALID"