"Domácí" router + wifi AP

[HonzaCZ]

Klidně, rád si rozšířím obzory. Dokonce klidně řeknu, že se mi to líbí, když se mi to bude líbit.

BTW hodil by se mi min. 1× SFP+ a min. 16× 1G ethernet, bez větráku, bez topení.


Akorát pořád nechápu, jak souvisí subjektivní pocit z ovládání s tím, že někde něco nefunguje. Zatím jsem neslyšel jedinej relevantní příklad, co nefunguje.

Ani jednou jsem nerozporoval, že něco se někomu ovládá líp a dokonce jsem hned v úvodu této poslední debaty psal, že ROS někomu může připadat jiný, protože prostě je jiný a taky jsem psal, že bych ho v podstatě Běžnýmu Frantovi Uživatelovi ani nedoporučil.

Takže já fakt nechápu o čem mě chceš pořád přesvědčovat.

Ale pleteš dohromady 2 věci:
1) Svůj subjektivní pocit - o tom nikoho přesvědčovat nemusíš, odpovídá tomu, co jsem psal - není to pro každého, já ti věřím, že se ti to neovládá dobře a neberu ti to, i když argumentuješ jednou pfsense, pak zase Jalovcem... klidně můžeš mít zkušenosti, že všechny ostatní zařízení na celym světě se ovládají dobře a všechny stejně a jedinej ROS je jinej a pro tebe na hovno, ale to pořád neznamená, že někomu zrovna ten nemůže vyhovovat.
2) V záchvatu toho, jak hrozně je to na hovno pořád píšeš, jak tam něco nefunguje, jak tam něco chybí, ale neřekl jsi jedinou relevantní věc. Jedině snad ten commit systém, to by se hodilo. I když to je pořád spíš ovládání, než funkce.

[spm]

To SRX je čistě pasivný... ale má to těch portů asi jenom 7 a je to hlavně zamýšlený jako router, tak si ani nejsem jistej, jestli to šlo donutit, aby je to switchovalo

Nefunguje ve smyslu že to blbě nastavíš, protože to prostě neni úplně přímočarý... a daj se tam nastavit kraviny...

Abych se teda rýpnul i do něčeho jiného, tak nastavování VLAN na spoustě managovatelných SOHO switchích je taky obvykle nahovno. Prostě když vezmeš nějaký "entrprajs" switch, ať už je to Cisco, HPE (asi teda kromě prokurvy, to je taky výrobní omyl), jalovec, huawei nebo další čínské kopie, tak nastavování u všech vypadá tak, že se o portu řekne, že je access nebo trunk a nastaví se na to příslušné vlany. A liší se to maximálně tím, že někde PVID musí být v allowed listu, někde ne. U těch domácích kokotin má výrobce pokaždé pocit, že to vymyslí nějak lépe, takže se tam dá ke každé vlaně nastavit jestli je tagged nebo untagged, nejlépe jako to má ten můj zyxel je tam pak ještě nějaký membership seznam a dá se tam vyklikat miliarda kombinací, které vůbec nedávají smysl... a mnohdy nefungujou Když prostě nikdo nic jiného než access nebo trunk nepotřebuje (a jestli jo, tak to dělá blbě )

[HonzaCZ]

Tak za mě je lepší, když tě to nechá nastavit kraviny, i když nevíš, co děláš, než aby tě to nějak uměle omezovalo a omezilo to i třeba kombinaci, která dává smysl, ale toho, co vymýšlí omezení, tak zrovna taková kombinace nenapadla. Když to řeknu zjednodušeně. Prostě to odpovídá tomu, že se všechno nastavuje dost přímo, bez abstrakčních vrstev, který by dohlížely na smysl takových nastavení. Ale to už jsem taky zmiňoval. A za mě to pořád spíš spadá do ovládání, protože když to nastavíš dobře, tak to funguje dobře.

Je to prostě o přístupu. Mám radši, když mi nikdo neříká, co můžu a co nemůžu. Chci taggovat VLANy přes CPU? Tak budu taggovat přes CPU. Já vím, že to v závislosti na trafficu a výkonu CPU bude pravděpodobně o dost pomalejší. A když to někdo neví, tak je to jeho problém.

Co se týče těch VLAN, tak vím, že to není úplně best practice, ale co hybrid port? Asi se snaží o to, aby šel nastavit ten?

[spm]

Ono zrovna u těch sítí mi dlouhodobě přijde, že je lepší to dělat spíš standardně a normálně. Pokud je potřeba dělat nějaké hrozné divnosti, tak je spíš blbej ten návrh Navíc ve chvíli, kdy ta síť je větší a nedejbože se o ní stará ještě i někdo jinej, tak je skoro lepší, když ta kreativita je omezená

Hybrid port ty entrprajs switche umí taky, ale nikdy jsem to ještě nepoužil Krom toho většina těch switchů ještě umí voice VLAN. To je takovej praštěnej mód, kdy se ten port standardně chová jako access do nějaké vlany, ale příchozí pakety na port, pokud spadají do nějakého definovaného rozsahu MAC adres, to otaguje tou nastavenou voice vlanou. Důvod je ten, že v kancelářích jeden čas byly (a někde asi pořád i jsou) moderní stolní voipové telefony. Ten telefon má obvykle dva porty a chová se jako switch. Takže typické zapojení je, že ze switche jde kabel do telefonu a z telefonu šel do počítače. Na switchi se nastaví rozsah MAC adres podle výrobce telefonu, který zrovna používám a fakticky pak v tomhle jednoduchém setupu docílím toho, že ten telefon komunikuje v jiné síti, kde třeba nemusí být ani internet a je tam ten SIP server. Nicméně tohle u nás jsou taky spíš už pozůstatky; skoro všichni maj notebooky, takže jsou stejně připojený na WiFi, protože to funguje prakticky stejně jak 1Gbps ethernet a ty telefony krom takových míst jako recepce a helpdesk už taky nikdo nepoužívá.

[Makovica]

WTF je "hybrid" mod portu ? Neviem, ci som sa s takym termitom uz stretol. To je netagovany access (nejaka nativna vlan) + trunk v jednom ?

[spm]

Tady je nejaka diskuze k tomu v pripade comwaru: https://community.hpe.com/t5/comware-ba ... -p/2364669

V podstate to umoznuje to idiotsky nastavovani nekolika tagged a untagged vlan, jako je to na vetsine soho switchu. Coz je normalne k nicemu, ale patrne se tam pak da nejakyma pravidlama ten vlan tag dolepovat.

Odesláno z mého SM-F926B pomocí Tapatalk

[Makovica]

Hned podla druheho prispevku https://community.cisco.com/t5/switchin ... ue#M423297 je to zrejme to, co som si tipol.

[spm]

Ono na jednu netagovanou VLAN nepotřebuješ tenhle nesmysl. Na to pořád stačí trunk port a nastavit mu PVID. To i docela používám, typicky třeba na WiFi APčka, které obvykle když se vybalí z krabice a zapnou a nemají žádnou konfiguraci, tak je potřeba je dostat do mng sítě. Takže u APček mám jako PVID management síť pro AP a jednotlivá SSID pak AP posílá tagovaně.

[HonzaCZ]

Hybrid port je prostě to, že přes něj běhají tagované i netagované packety. Nic složitějšího bych v tom nehledal.

[spm]

Ona se nabízí ta otázka k čemu to je. Protože pokud ty netagovaný packety chceš mít v jedný VLAN, tak použiješ PVID a hybrid port nepotřebuješ. A pokud ti tam běhaj z více sítí, tak se nabízí otázka k čemu je to dobrý Pač jediný jakžtakž smysluplný využití je, že to pak stejně podle nějakejch kritérií otaguješ. Nebo že tam sedí nějakej sniffer nebo nějakej takovej speciální případ, pro kterej může mít smysl nacpat tam více sítí bez tagů.

[HonzaCZ]

Tak Makovica se ptal co to je, ne k čemu to je.

[Metuzalem]

V rámci virtuálna jsem zjistil, že v Proxmoxu se nějak moc nepředpokládá využití wifi. Sice existují návody, jak připojit wifi v samotném Proxmoxu tak, že ho může proxmox používat jako připojení k síti (koneckonců je to Debian), ale už jsem nebjevil nic, co by napovídalo tomu, že proxmox umí dodat svým VMs a LXCs fyzické zařízení wifi jako virtuální zařízení - network device. Jediné, co by možná šlo, zpřístupnit fyzické zařízení pomocí passthrough, ale to je na dlouhé výzkumy a tvůrci Proxmoxu se vyjadřují v tom smyslu, že wifi na server nepatří...

Je můj dojem správný?

Což ovšem blokuje moje učení se, protože takové ty úplné základy drátových sítí jsem jakž-takž dokázal napodobnit podle nějakých těch videí, takže umím nastavit triviální LAN síť, nakonfigurovat a spustit pro ni DHCP server (vše v nějakých základních podobách se spoustou nastavení ponechaných v defaultu a přístupem "nevšímám si toho"), takže se dvě testovací VMs vidí mezi sebou a obě vidí ven, připravuju se teoreticky na konfiguraci první VLAN, to vše dělám souběžně v OPNsense a RouterOS. Peru se dost s firewallem. Ale nenasimuluju si vůbec konfiguraci wifi sítí, kde bych to potřeboval nejvíc - kvůli guest network a do budoucna kvůli meshi, a taky si myslím, že bez wifi bych nesměl domů

Jinak se můj optimismus ohledně krabičky za necelá 4 tisíce se čtyřmi 2,5 Gb porty mírně posunul, protože taková krabička nemá žádný servis ani vzdálenou jistotu kvality při běhu 24x7, a já zase nemám v úmyslu takovou krabičku kupovat každý rok a pořád na ni instalovat to samé. Čímž pádem asi přestanu OPNsense testovat, protože na nějakém spolehlivém železe by to určitě chodilo (třeba můj HP server se dvěma síťovkami), ale zase by to žralo ty 4 tisíce ročně v elektrice

Dneska ráno jsem měl duševní krizi a už jsem skoro objednával Asus, ale krizi jsem překonal a ještě chvilku tomu dám. Nemám kam spěchat, v podstatě jsem se svým wifi routerem od Eri spokojený a že není wifi v patře mi neva. Ale o prázdninách přijedou vnoučata nadýl, tak možná změním názor... A bude po výzkumu

[strider]

@strider A podělíš se s náma o něco konkrétního?

ne-domaci pouziti... L1 issues pri propojeni do transmission zarizeni (coz chapu, infinera je dost specificky 'koncak' vyzadujici striktne dobry chipset na SFP), a pak naprosto zakladni nekompatibilita v BGP kdyz se odmital vubec zvednout neighborship. Ale to jsou veci co 90% lidi nikdy nepotka a ani potkat nema..

jinak @spm - juniper SRX je predevsim firewall znasilnenej jako router.. to taky neni uplne spravny zarizeni na to co od toho chces, ale jako ok ;x A obecne juniper switche spis nedoporucuju, to je konfiguracni a kompatibilni peklo. Zato MX routery tezce doporucuju, to je zazracka krabicka, akorat draha.

[strider]

voice vlan - to je 15 let prekonana vec. ted uz i moderni voice se strka do cloudu jako appka a na sdwanu pres app recognition pres porty se tomu nastavujou priority, takze separatni vlana ve ktere by byl jinak nastaveny qos uz je taky dneska passe, to se ani neucte..

[mnov]

@strider Člověče Ty máš doma asi nějaké SDDC.