Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Connettere 30 edifici : Mikrotik o Ubiquiti
163 views
Skip to first unread message
Danilo Larizza
Dec 29, 2014, 3:53:36 AM12/29/14
to
Salve a tutti,
e naturalmente ... Auguri a tutti :)
Ho un progetto "quasi didattico" nel paesino dove abito. Devo mettere in
rete delle sedi. Si parte da 5 sedi...che...se il tutto
funziona...potrebbero arrivare a 30.
per la conformità del paese i client (sedi) sarebbero divise in 2 o 3
gruppi che punterebbero con visibilità ottica perfetta le rispetive 2-3
antenne collocate in collina. Distanze massime 1-3km.
Da tempo uso prodotti Ubiquiti (AirMax)...e con delle semplici
Nanostation M5 si fa questo e' altro...
I miei dubbi sono :
1) il tutto deve essere autofinanziato...quindi spesa molto vicina allo
zero...pero' molto efficiente...quindi se c'e' da spendere qualcosa in
piu meglio farlo prima. Quindi..resto su Ubiquiti o Mikrotik ha qualcosa
di interessante? Vedevo gli starter kit con una antenna a 90° e 5 client
a 450 euro....
2) devo gestire la banda delle singole sedi (ed eventualmente
disconnetterne una o piu) .... gli utenti sono quasi inesperti di
internet...e quindi so che video su youtube e altre programmi
"succhiabanda" arriveranno presto. Quindi....per non buttare giu tutta
la rete e gestire le problematiche devo avere una sorta di pannello di
controllo di tutta la rete. Non ho mai usato controller specifici (delle
rispettive marche)...Qualche consiglio?....c'e' qualcosa di OpenSource?
Grazie mille...
Danilo
e naturalmente ... Auguri a tutti :)
Ho un progetto "quasi didattico" nel paesino dove abito. Devo mettere in
rete delle sedi. Si parte da 5 sedi...che...se il tutto
funziona...potrebbero arrivare a 30.
per la conformità del paese i client (sedi) sarebbero divise in 2 o 3
gruppi che punterebbero con visibilità ottica perfetta le rispetive 2-3
antenne collocate in collina. Distanze massime 1-3km.
Da tempo uso prodotti Ubiquiti (AirMax)...e con delle semplici
Nanostation M5 si fa questo e' altro...
I miei dubbi sono :
1) il tutto deve essere autofinanziato...quindi spesa molto vicina allo
zero...pero' molto efficiente...quindi se c'e' da spendere qualcosa in
piu meglio farlo prima. Quindi..resto su Ubiquiti o Mikrotik ha qualcosa
di interessante? Vedevo gli starter kit con una antenna a 90° e 5 client
a 450 euro....
2) devo gestire la banda delle singole sedi (ed eventualmente
disconnetterne una o piu) .... gli utenti sono quasi inesperti di
internet...e quindi so che video su youtube e altre programmi
"succhiabanda" arriveranno presto. Quindi....per non buttare giu tutta
la rete e gestire le problematiche devo avere una sorta di pannello di
controllo di tutta la rete. Non ho mai usato controller specifici (delle
rispettive marche)...Qualche consiglio?....c'e' qualcosa di OpenSource?
Grazie mille...
Danilo
meddix on WINSETTETE
Dec 29, 2014, 2:41:45 PM12/29/14
to
Il 29/12/2014 09:53, Danilo Larizza ha scritto:
> .Qualche consiglio?....c'e' qualcosa di OpenSource?
scelta quasi obbligata: tutto mikrotik e The dude http://tinyurl.com/mswvr9h
> .Qualche consiglio?....c'e' qualcosa di OpenSource?
Danilo Larizza
Dec 30, 2014, 2:14:47 AM12/30/14
to
Non conoscevo questo The dude....sembra simpatico :)
Vedevo pure le routerboard....anche le piccoline RB750GL...magari con
queste gli limito la banda e faccio un po di firewalling.
chennedite?? :)
grazie ancora
Vedevo pure le routerboard....anche le piccoline RB750GL...magari con
queste gli limito la banda e faccio un po di firewalling.
chennedite?? :)
grazie ancora
meddix on WINSETTETE
Dec 30, 2014, 3:22:18 AM12/30/14
to
Il 30/12/2014 08:14, Danilo Larizza ha scritto:
> Vedevo pure le routerboard....anche le piccoline RB750GL...magari con
> queste gli limito la banda e faccio un po di firewalling.
> chennedite?? :)
chedipendedallastrutturadellarete :)
> Vedevo pure le routerboard....anche le piccoline RB750GL...magari con
> queste gli limito la banda e faccio un po di firewalling.
> chennedite?? :)
ObiWan
Dec 30, 2014, 3:34:00 AM12/30/14
to
It was Tue, 30 Dec 2014 09:22:18 +0100 when
tra l'altro per firewalling, filtraggi vari e controllo di banda WAN
sarebbe opportuno centralizzare il tutto in modo da avere un unico
punto di controllo; ad esempio potresti valutare l'uso di alcuni box
con sopra pFSense https://www.pfsense.org/ configurati in CARP in modo
da avere fault tolerance che fungano da gateway comune per tutti i
clients (ossia per tutti gli AP)
sarebbe opportuno centralizzare il tutto in modo da avere un unico
punto di controllo; ad esempio potresti valutare l'uso di alcuni box
con sopra pFSense https://www.pfsense.org/ configurati in CARP in modo
da avere fault tolerance che fungano da gateway comune per tutti i
clients (ossia per tutti gli AP)
Danilo Larizza
Dec 30, 2014, 4:37:54 AM12/30/14
to
Per adesso siamo a livello di progetto...
immaginate un punto di partenza con una linea adsl e un server...da li
si parte con la prima antenna che distribuisce la connettività a 3
antenne poste in alto.
dal paese poi ci sono antennine direttive che puntano su una delle 3
antenne.
Dovranno avere connetività web...per ora :)
Quindi a parte una grande Wlan...c'e' da mettere un paio di controlli
per limitare i danni nel momento in cui uno dei computer inizi a
saturare la banda con qualche programma o qualche malware.
Con RouterOS delle routerboard ho visto che si puo' limitare la banda
per Ip con i Queque. Penso che 30 postazioni si gestiscano anche con
qualcosa di piccolo.
Ripeto e' un progetto quasi didattico....si parla di dare connettività a
qualche associazione e un paio di asili...zero soldi...molto ingegno :)
immaginate un punto di partenza con una linea adsl e un server...da li
si parte con la prima antenna che distribuisce la connettività a 3
antenne poste in alto.
dal paese poi ci sono antennine direttive che puntano su una delle 3
antenne.
Dovranno avere connetività web...per ora :)
Quindi a parte una grande Wlan...c'e' da mettere un paio di controlli
per limitare i danni nel momento in cui uno dei computer inizi a
saturare la banda con qualche programma o qualche malware.
Con RouterOS delle routerboard ho visto che si puo' limitare la banda
per Ip con i Queque. Penso che 30 postazioni si gestiscano anche con
qualcosa di piccolo.
Ripeto e' un progetto quasi didattico....si parla di dare connettività a
qualche associazione e un paio di asili...zero soldi...molto ingegno :)
Claiudio
Dec 31, 2014, 9:57:43 AM12/31/14
to
Il 30/12/2014 10:37, Danilo Larizza ha scritto:
> Per adesso siamo a livello di progetto...
> immaginate un punto di partenza con una linea adsl e un server...da li
> si parte con la prima antenna che distribuisce la connettività a 3
> antenne poste in alto.
> dal paese poi ci sono antennine direttive che puntano su una delle 3
> antenne.
> Dovranno avere connetività web...per ora :)
>
> Quindi a parte una grande Wlan...c'e' da mettere un paio di controlli
> per limitare i danni nel momento in cui uno dei computer inizi a
> saturare la banda con qualche programma o qualche malware.
>
> Con RouterOS delle routerboard ho visto che si puo' limitare la banda
> per Ip con i Queque. Penso che 30 postazioni si gestiscano anche con
> qualcosa di piccolo.
>
> Ripeto e' un progetto quasi didattico....si parla di dare connettività a
> qualche associazione e un paio di asili...zero soldi...molto ingegno :)
Scusa, ma che link ad Internet avete disponibile? Se si trattano di 5
> Per adesso siamo a livello di progetto...
> immaginate un punto di partenza con una linea adsl e un server...da li
> si parte con la prima antenna che distribuisce la connettività a 3
> antenne poste in alto.
> dal paese poi ci sono antennine direttive che puntano su una delle 3
> antenne.
> Dovranno avere connetività web...per ora :)
>
> Quindi a parte una grande Wlan...c'e' da mettere un paio di controlli
> per limitare i danni nel momento in cui uno dei computer inizi a
> saturare la banda con qualche programma o qualche malware.
>
> Con RouterOS delle routerboard ho visto che si puo' limitare la banda
> per Ip con i Queque. Penso che 30 postazioni si gestiscano anche con
> qualcosa di piccolo.
>
> Ripeto e' un progetto quasi didattico....si parla di dare connettività a
> qualche associazione e un paio di asili...zero soldi...molto ingegno :)
"clienti" leggeri, una ADSL a 7 Mbps va ancora bene; se stai pensando a
30 "clienti", con l'ansia pure che si mettano a usare streaming o p2p,
ci vuole poco a saturare quella linea. Non dico che sicuramente è un
vostro progetto per condividere "a sbafo" una connessione ad Internet (e
pagarne solo una), ma ammetto che è stata la prima cosa che mi è venuta
in mente.
Io, per mia simpatia personale, utilizzerei per la parte radio Ubiquiti
e per la parte "cablata" Mikrotik. Comprendo le tue necessità di
"risparmio" e quindi è meglio che ti concentri ad usare solo Mikrotik.
Per il controllo della banda, da fare sul router più a monte, ti
consiglierei di guardarti le queue tree e le code di tipo "PCQ", per
poter impostare una coda "madre" con impostata la capacità del
collegamento ad Internet e poi delle sottocode che, bene o male,
suddividono equamente i flussi dei vari utenti.
Per vedere in maniera agevole quanta banda stanno utilizzando i tuoi
"utenti" in un determinato momento, oltre a configurare i "Link" su The
Dude, potresti impiegare delle connessioni tipo pppoe, l2tp o vlan che
partono dalle antenne e terminano sul suddetto router principale e
quindi guardarti cosa passa sulle singole interfacce.
Per un vero filtraggio dei contenuti e dei protocolli, puoi trovare su
Internet qualcosa per il firewall L7, ma io non ci ho mai dato un'occhiata.
GIulia
Dec 31, 2014, 8:21:23 PM12/31/14
to
> Per un vero filtraggio dei contenuti e dei protocolli, puoi trovare su Internet qualcosa per il firewall L7, ma io non ci ho mai dato un'occhiata.
Ci sono grossi problemi normativi nel L7(il fatto che spacchetti una macchina e non una persona non conta),
e visto che e' una connessione usata da terzi eviterei..
Giulia
Danilo Larizza
Jan 1, 2015, 8:48:01 AM1/1/15
to
Il progetto e' tutt'altro che impostato allo sbafamento :)
Si tratta di condividere una connessione a internet (un'adsl 20 maga o
similare) e un server con un software dentro.
I "clienti" sono un paio di asili/centri di aggregazione giovanile...e
altri enti similari che non hanno la possibilità di permettersi una
connessione.
Il computer utilizzati al loro interno dovranno "in teoria" solo
controllare la posta, fare qualche ricerca didattica, e usare questo
software (pagina web) presente su questo server.
Le mie paure di p2p e similari...e' data dall'esperienza...in ogni
ufficio c'e' sempre il furbetto che si crede hacker che installa subito
emule, torrent e cose simili.
Vorrei evitarmi di andare a girare tutta la rete computer per computer
per capire chi e' il furbetto e chi sta saturando tutta la banda.
Io limiterei a 256-512kb/s la banda per ip/antenna "client" e male che
vada il danno e' limitato.
Se trovo l'intrusio che "succhia troppo" so dove andare...e in caso di
emergenza posso sconnetterlo fino a risoluzione del problema.
Guardando RouterOS di un piccolo routerband...vedo che con i Queque
posso limitare per ip e vedere pure il traffico del singolo ip...quindi
mi sa che fa proprio al caso mio.
Al massimo posso chiudere tutte le porte e lasciare aperta solo web e posta.
Quindi diciamo antenne a parte....a monte devo scegliere solo un "centro
di controllo" che porebbe essere una Routerboard...o una distribuzione
di linux (pfsense o similare) a costo zero su pc di recupero.
Ho sempre parlato di didattica perchè ancora si ragiona su carta...e' un
progetto che partirà in piccolo (5 punti) ma se funziona potrebbe
espandersi. Quindi non vorrei ricomprare tutto se da 5
client...arriviamo a 20-30 (link permettendo).
Grazie mille per i preziosi consigli e auguri :)
Il 31/12/14 15:57, Claiudio ha scritto:
Si tratta di condividere una connessione a internet (un'adsl 20 maga o
similare) e un server con un software dentro.
I "clienti" sono un paio di asili/centri di aggregazione giovanile...e
altri enti similari che non hanno la possibilità di permettersi una
connessione.
Il computer utilizzati al loro interno dovranno "in teoria" solo
controllare la posta, fare qualche ricerca didattica, e usare questo
software (pagina web) presente su questo server.
Le mie paure di p2p e similari...e' data dall'esperienza...in ogni
ufficio c'e' sempre il furbetto che si crede hacker che installa subito
emule, torrent e cose simili.
Vorrei evitarmi di andare a girare tutta la rete computer per computer
per capire chi e' il furbetto e chi sta saturando tutta la banda.
Io limiterei a 256-512kb/s la banda per ip/antenna "client" e male che
vada il danno e' limitato.
Se trovo l'intrusio che "succhia troppo" so dove andare...e in caso di
emergenza posso sconnetterlo fino a risoluzione del problema.
Guardando RouterOS di un piccolo routerband...vedo che con i Queque
posso limitare per ip e vedere pure il traffico del singolo ip...quindi
mi sa che fa proprio al caso mio.
Al massimo posso chiudere tutte le porte e lasciare aperta solo web e posta.
Quindi diciamo antenne a parte....a monte devo scegliere solo un "centro
di controllo" che porebbe essere una Routerboard...o una distribuzione
di linux (pfsense o similare) a costo zero su pc di recupero.
Ho sempre parlato di didattica perchè ancora si ragiona su carta...e' un
progetto che partirà in piccolo (5 punti) ma se funziona potrebbe
espandersi. Quindi non vorrei ricomprare tutto se da 5
client...arriviamo a 20-30 (link permettendo).
Grazie mille per i preziosi consigli e auguri :)
Il 31/12/14 15:57, Claiudio ha scritto:
meddix on WINSETTETE
Jan 1, 2015, 12:21:12 PM1/1/15
to
Il 01/01/2015 14:47, Danilo Larizza ha scritto:
> che si crede hacker che installa subito emule, torrent e cose simili.
un hacker NON installa emule, un lamer SI
> che si crede hacker che installa subito emule, torrent e cose simili.
Claiudio
Jan 2, 2015, 8:27:49 AM1/2/15
to
Il 01/01/2015 02:21, GIulia ha scritto:
>> Per un vero filtraggio dei contenuti e dei protocolli, puoi trovare su
>> Internet qualcosa per il firewall L7, ma io non ci ho mai dato
>> un'occhiata.
>
> Ci sono grossi problemi normativi nel L7(il fatto che spacchetti una
> macchina e non una persona non conta),
Scusa, non avrei capito il significato di "spacchettare una macchina o
>> Per un vero filtraggio dei contenuti e dei protocolli, puoi trovare su
>> Internet qualcosa per il firewall L7, ma io non ci ho mai dato
>> un'occhiata.
>
> Ci sono grossi problemi normativi nel L7(il fatto che spacchetti una
> macchina e non una persona non conta),
una persoa".
> e visto che e' una connessione usata da terzi eviterei..
firewall L3 o L4, sempre che non si vada a ricercare pattern "troppo
specifici".
Claiudio
Jan 2, 2015, 8:52:26 AM1/2/15
to
Il 01/01/2015 14:47, Danilo Larizza ha scritto:
> Vorrei evitarmi di andare a girare tutta la rete computer per computer
> per capire chi e' il furbetto e chi sta saturando tutta la banda.
Per mia inclinazione personale, tenderei a fare in modo che se in uno
> per capire chi e' il furbetto e chi sta saturando tutta la banda.
degli edifici c'è qualcuno che "abusa", farei in modo che ne soffra chi
gli sta accanto.
Quindi impostare un limite "basso" (1-2 Mbps) per ciascuna antenna,
avere _sempre_ la possibilità di avere dei grafici di ciascuna
connessione sottomano, e, se qualcuno chiama per dire che la connessione
è lenta, avere la certezza così di rispondergli "guarda che hai qualcuno
lì da te che è da 3 ore ininterrotte che scarica a X Mbit".
> Guardando RouterOS di un piccolo routerband...vedo che con i Queque
> posso limitare per ip e vedere pure il traffico del singolo ip...quindi
> mi sa che fa proprio al caso mio.
i grafici delle queue. C'è sempre il rischio di sbagliare delle
impostazioni e "perdersi" parte del traffico. Io stesso ho fatto questo
errore, più di un paio di volte, in cui le queue segnavano 20-30 kbit/s
e invece passavano 3-4 Mbit/s.
A mio parere, per puri scopi di monitoraggio, meglio creare delle
interfacce virtuali al cui interno passa il traffico di un solo edificio
per volta (c'è l'imbarazzo della scelta: pppoe, vlan, l2tp, ipip, eoip).
30 "clienti"? 30 interfacce differenti.
> Al massimo posso chiudere tutte le porte e lasciare aperta solo web e
> posta.
GIulia
Jan 2, 2015, 9:13:34 AM1/2/15
to
> Scusa, non avrei capito il significato di "spacchettare una macchina o una persoa".
Significa "INTERCETTARE",
limitati ad ip e porta e lascia perdere il contenuto , sono comunicazioni di terzi non
puoi "intercettarle".
Giulia
Claiudio
Jan 2, 2015, 10:43:24 AM1/2/15
to
banda sulle loro dorsali (penso per esempio a proxy per youtube e altre
formedi streaming), che presumo richiedano l'intervento di router con
capacità L7, non sono ammessi?
Di per se allora quando qualche provider limita il p2p in base agli
orari della giornata sta rischiando grosso, ben di più che non il creare
il disservizio ad un utente pagante.
GIulia
Jan 2, 2015, 8:27:29 PM1/2/15
to
> Dunque i proxy che alcuni provider installano per ridurre il consumo di banda sulle loro dorsali (penso per esempio a proxy per youtube e altre formedi
> streaming), che presumo richiedano l'intervento di router con capacità L7, non sono ammessi?
Ho dei dubbi che esistano e siano mai esistiti questi "proxy" su un ISP puro, e comunque e' da un pezzo che youtube e molti altri usano https(cio' non autorizza
> streaming), che presumo richiedano l'intervento di router con capacità L7, non sono ammessi?
a tentare di intercettare).
> Di per se allora quando qualche provider limita il p2p in base agli orari della giornata sta rischiando grosso, ben di più che non il creare il disservizio ad
> un utente pagante.
sufficienti come informazioni per capire che tipo di attivita' sta facendo un cliente,senza entrare nel merito della comunicazione.
Giulia
Claiudio
Jan 3, 2015, 6:59:11 AM1/3/15
to
Il 03/01/2015 02:27, GIulia ha scritto:
>> Dunque i proxy che alcuni provider installano per ridurre il consumo
>> di banda sulle loro dorsali (penso per esempio a proxy per youtube e
>> altre formedi
>> streaming), che presumo richiedano l'intervento di router con capacità
>> L7, non sono ammessi?
>
> Ho dei dubbi che esistano e siano mai esistiti questi "proxy" su un ISP
> puro, e comunque e' da un pezzo che youtube e molti altri usano
> https(cio' non autorizza a tentare di intercettare).
Al MUM 2014 di Venezia c'era uno che vendeva questi sistemi di caching,
>> Dunque i proxy che alcuni provider installano per ridurre il consumo
>> di banda sulle loro dorsali (penso per esempio a proxy per youtube e
>> altre formedi
>> streaming), che presumo richiedano l'intervento di router con capacità
>> L7, non sono ammessi?
>
> Ho dei dubbi che esistano e siano mai esistiti questi "proxy" su un ISP
> puro, e comunque e' da un pezzo che youtube e molti altri usano
> https(cio' non autorizza a tentare di intercettare).
appunto per ridurre il consumo di banda.
Può essere che fossero delle cazzobubbole al limite della truffa, e alla
fine non me ne sono interessato.
>> Di per se allora quando qualche provider limita il p2p in base agli
>> orari della giornata sta rischiando grosso, ben di più che non il
>> creare il disservizio ad
>> un utente pagante.
> Premesso che ormai tutti i p2p hanno qualche forma di
> obfuscation/cifratura quindi niente L7, indirizzi-ip porte e
> protocolli(UDP/TCP), connessioni aperte, sono
> sufficienti come informazioni per capire che tipo di attivita' sta
> facendo un cliente,senza entrare nel merito della comunicazione.
http://wiki.mikrotik.com/wiki/Drop_IM_Using_L7
http://www.zeroshell.net/forum/viewtopic.php?p=5160&sid=795f559661a344f95be5699d1c3ee0ad
http://l7-filter.sourceforge.net/protocols
GIulia
Jan 4, 2015, 8:45:25 AM1/4/15
to
> Al MUM 2014 di Venezia c'era uno che vendeva questi sistemi di caching, appunto per ridurre il consumo di banda.
Uso aziendale.
> Skype è crittato, eppure le regole per il suo matching le si trovano
>
> http://wiki.mikrotik.com/wiki/Drop_IM_Using_L7
Forse c'e' ancora una parte in chiaro per compatibilita', se fosse crittato vedresti solo gli header tls o ssl
e basta , nulla potresti arguire del contenuto.
Giulia
Claiudio
Jan 4, 2015, 10:43:18 AM1/4/15
to
Il 04/01/2015 14:45, GIulia ha scritto:
>> Al MUM 2014 di Venezia c'era uno che vendeva questi sistemi di
>> caching, appunto per ridurre il consumo di banda.
> Uso aziendale.
Può essere, ma a una conferenza orientata principalmente a ISP non ci
>> Al MUM 2014 di Venezia c'era uno che vendeva questi sistemi di
>> caching, appunto per ridurre il consumo di banda.
> Uso aziendale.
metterei le mani sul fuoco sul target "aziendale".
Dato che però non riesco a ritrovarli, per il momento lascio perdere.
>> Skype è crittato, eppure le regole per il suo matching le si trovano
>>
>> http://wiki.mikrotik.com/wiki/Drop_IM_Using_L7
>
> Non sembra tanto crittato(guarda le espressioni regolari)!!
del genere, quanto piuttosto la firma che, di solito, lascia.
C'è un utile commento riguardo "skypeout" sul progetto l7-filter:
http://l7-filter.sourceforge.net/layer7-protocols/protocols/skypeout.pat
"# This matches about %4 of random streams and 13% of printable random
streams".
Lo paragonerei quasi come a una pesca a strascico.
ObiWan
Jan 10, 2015, 9:50:52 AM1/10/15
to
It was Fri, 02 Jan 2015 15:13:32 +0100 when
GIulia <far...@iperbole.bologna.it> wrote:
> Significa "INTERCETTARE",
no; altrimenti non si dovrebbero più usare NAT, firewalls ed IDS
GIulia <far...@iperbole.bologna.it> wrote:
> Significa "INTERCETTARE",
no; altrimenti non si dovrebbero più usare NAT, firewalls ed IDS
0 new messages