Επιλογή Access Point για Guest wifi network

[D-clone]

Επιλογή Access Point για Guest wifi network

Καλά Χριστούγεννα και Καλή Πρωτοχρονιά σε όλους !
Θα ήθελα να ζητήσω την γνώμη των ειδικών του χώρου για την επιλογή ενός Access Point.
Θα χρησιμοποιηθεί σε ένα μικρό γραφείο, κυρίως για την δημιουργία Guest wifi network.

To γραφείο περιλαμβάνει ένα LAN συνολικά 3-5 Windows (PC + laptop), ένα Synology NAS και δύο δικτυακούς εκτυπωτές.
Ο μέγιστος αριθμός των συσκεών που είναι ασύρματα συνδεδεμένες δεν ξεπερνάει ποτέ τις 5.
Πρόσφατα αναβάθμισα την γραμμή Cosmote σε VSDL 50, η οποία συγχρονίζει άψογα με το προυπάρχον Speedport Entry 2i (όχι το plus), όπως φαίνεται και από τα speedtests που έτρεξα.
Η τηλεφωνία μου είναι VOIP και έχω δύο συσκευές: μία πάνω στο Speedport Entry 2i και μία σε έναν άλλο χώρο.
Για το LAN χρησιμοποιώ τρία Gigabit Ethernet switches TP Link TL SG108E (unmanaged, smart): το ένα (σαν κεντρικό) συνδέεται απευθείας με το Speedport Entry 2i και άλλα δύο μέσω επιτοίχιων πριζών Ethernet (σαν παράλληλες διακλαδώσεις του κεντρικού).
Ουσιαστικά, δηλαδή το Speedport Entry 2i το χρησιμοποιώ σαν modem (gateway), DHCP server και VOIP, ενώ όλο το rooting γίνεται από τα Ethernet switches.
Με αυτή τη συνδεσμολογία έχω μέχρι σήμερα ελάχιστα προβλήματα.
Με το Speedport Entry 2i καλύπτονται οι ανάγκες μου μέχρι σήμερα για wifi, μετά από την αλλαγή της συχνότητας από τα default 40MHz στα 20MHz. Δεν χρησιμοποιώ torrents ή διαδικτυακά παιχνίδια.
Βέβαια, θα ήθελα, αν αναβαθμίσω τον ασύρματο εξοπλισμό μου, να μπορώ να προβάλω σε μια τηλεόραση του χώρου αναμονής Netflix ασύρματα!


Το κύριο πρόβλημα είναι ότι στο ασύρματο δίκτυο δεν έχω τη δυνατότητα δημιουργίας guest network με το Speedport Entry 2i, ούτε και με το Speedport Plus, το οποίο μπορώ να πάρω δωρεάν λόγω της σύνδεσης VSDL 50
( https://www.cosmote.gr/eshop/global/gadgets/configurator.jsp?productId=prod430041 ) αλλά δεν το πήρα λόγω των προβλημάτων που διαβάζω εδώ ( https://www.adslgr.com/forum/threads...peedport-Plus/ ).


Οπότε είμαι ανάμεσα δύο επιλογές :


1η επιλογή:
Αγοράζω ένα καινούργιο DSL modem router, όπως τα ASUS DSL-AC52U και DSL-AC56U και χρησιμοποιώ το Speedport μετά το ASUS μόνο για VOIP.
Το πρόβλημα εδώ θα είναι το δύσκολο σετάρισμα της VOIP και τα προβλήματα που διαβάζω εδώ ( https://www.adslgr.com/forum/threads...router-(ASUS)/ ) με δεδομένο ότι χρειάζομαι δύο τηλεφωνικές συσκευές: μία πάνω στον χώρο του Speedport και μία σε έναν άλλο χώρο.


2η επιλογή:
Αγοράζω ένα καινούργιο απλό Access Point, όπως το TP-LINK Wireless N Access Point TL-WA901ND και τα Asus RT-AC51U και Asus RT-AC52U.
Τα συνδέω ενσύρματα (Access Point operation): Speedport --> κεντρικό Ethernet switch: σε μία θύρα στην οποία κάνω port based vlan, με διαφορετικό vlan από το LAN (είναι ίσως και πλεονασμός) --> Access Point.


Ποια είναι η γνώμη σας ανάμεσα στις δύο επιλογές;
Χρόνια Πολλά με υγεία για όλο τον κόσμο !

[sdikr]

To speedport entry Υποστηρίζει πολλαπλά ssid με isolation όποτε λογικά θα πρέπει να σου κάνει την δουλειά.

Αν πας με την 1 λύση δεν θα έχεις πρόβλημα μέσω του wan uplink για το voip,

[D-clone]

To speedport entry Υποστηρίζει πολλαπλά ssid με isolation όποτε λογικά θα πρέπει να σου κάνει την δουλειά

Πράγματι υποστηρίζει πολλαπλά ssid, αλλά αυτά έχουν πρόσβαση στο LAN

Δεν έχω δοκιμάσει το isolation όμως

- - - Updated - - -

Αν πας με την 1 λύση δεν θα έχεις πρόβλημα μέσω του wan uplink για το voip,

Φοβάμαι την 1η επιλογή επειδή χρειάζομαι δύο τηλεφωνικές συσκευές: μία πάνω στον χώρο του Speedport και μία σε έναν άλλο χώρο.

Επειδή κλίνω προς την 2η επιλογή, ανάμεσα στα 3 Access Point (το TP-LINK Wireless N Access Point TL-WA901ND και τα Asus RT-AC51U και Asus RT-AC52U) να προτιμήσω κάποιο συγκεκριμένο;

Τα συνδέω ενσύρματα (Access Point operation): Speedport --> κεντρικό Ethernet switch: σε μία θύρα στην οποία κάνω port based vlan, με διαφορετικό vlan από το LAN (είναι ίσως και πλεονασμός) --> Access Point.

Είναι σωστή αυτή η διάταξη;
Εϊναι ανούσια υπερβολή το port based vlan;

[sweet dreams]

Bάζεις ένα ρούτερ/ΑP σε άλλο υποδίκτυο και είσαι εντάξει για το Guest wifi network.
Έχω πάρει αυτό για έναν παρόμοιο χώρο και κάνει την δουλειά του μια χαρά, χρησιμοποίησα και το Bandwidth Control για να μην υπάρχει περίπτωση να μείνει το βασικό δίκτυο από Bandwidth.

[sdikr]

Πράγματι υποστηρίζει πολλαπλά ssid, αλλά αυτά έχουν πρόσβαση στο LAN

Δεν έχω δοκιμάσει το isolation όμως

- - - Updated - - -





Επειδή κλίνω προς την 2η επιλογή, ανάμεσα στα 3 Access Point (το TP-LINK Wireless N Access Point TL-WA901ND και τα Asus RT-AC51U και Asus RT-AC52U) να προτιμήσω κάποιο συγκεκριμένο;



Είναι σωστή αυτή η διάταξη;
Εϊναι ανούσια υπερβολή το port based vlan;

Για να μην έχει πρόσβαση στο δίκτυο σου θα πρέπει να έχει την επιλογή isolate, θα μπορούσες να το κάνεις με κάποιο vlan αλλά πάλι σε κάποιο σημείο θα πρέπει αυτό το vlan να επικοινωνεί με το gateway, αυτό σημαίνει πως θα έχεις πρόσβαση στο εσωτερικό δίκτυο, ακόμα και άλλο subnet να βάλεις πχ 192.168.2.1 αν το δικτύο σου είναι 192.168.1.x θα έχει πρόσβαση όποιος είναι στο 192.168.2.χ, αντίθετα αυτός που θα είναι στο 1.χ δεν θα μπορεί να δεί το 2.χ.

Θα πήγαινε στα asus λόγο 5Ghz δικτύου, υποστήριξη του guest network

[jkoukos]

To isolate αναφέρεται σε απαγόρευση επικοινωνίας μεταξύ των συνδεδεμένων ασύρματων συσκευών. Κάθε μία από αυτές και όλες τους, μια χαρά έχουν πρόσβαση στο LAN.
Για την δουλειά που θέλεις χρειάζεσαι οποιαδήποτε συσκευή έχει δυνατότητα Guest WLAN ή κανονικό router με κανόνες στο firewall.
Προσωπικά το κάνω με Unifi της Ubiquiti που έχει Guest WLAN.

[sweet dreams]

Aν θυμάμαι καλά, στο Speedport είχα φτιάξει έναν κανόνα απαγόρευσης μέσω LAN στο Local Service Control και δεν μπορούσες να επικοινωνήσεις με το υποδίκτυο του.

[sdikr]

To isolate αναφέρεται σε απαγόρευση επικοινωνίας μεταξύ των συνδεδεμένων ασύρματων συσκευών. Κάθε μία από αυτές και όλες τους, μια χαρά έχουν πρόσβαση στο LAN.
Για την δουλειά που θέλεις χρειάζεσαι οποιαδήποτε συσκευή έχει δυνατότητα Guest WLAN ή κανονικό router με κανόνες στο firewall.
Προσωπικά το κάνω με Unifi της Ubiquiti που έχει Guest WLAN.

έχει station isolate έχει και ap isolate στο station δεν μπορεί να δει ο ένας ασύρματος τον άλλον, στο ap δεν μπορεί να δεί ο ένας τον άλλον, αλλά ούτε και το τοπικό lan

[D-clone]

έχει station isolate έχει και ap isolate στο station δεν μπορεί να δει ο ένας ασύρματος τον άλλον, στο ap δεν μπορεί να δεί ο ένας τον άλλον, αλλά ούτε και το τοπικό lan

Θα μου επιτρέψετε να διαφωνήσω !
Πράγματι, το Speedport Entry 2i έχει δύο επίπεδα Isolation, όπως φαίνεται και στην επισυναπτόμενη εικόνα, αλλά αυτά αφορούν μόνο στο ασύρματο δίκτυο.

Ακόμα και με τα δύο ενεργοποιημένα υπάρχει πρόσβαση στο τοπικό lan
Πάντως, δοκιμασμένα ο ένας client δεν βλέπει τον άλλο, μέσα στο ίδιο SSID, όταν είναι ενεργοποιημένο το αντίστοιχο isolation.

[sweet dreams]

Αν μπορείς δοκίμασε αυτό που λέω πιο πάνω γιατί δεν το έχω για να κάνω δοκιμή.

[D-clone]

To isolate αναφέρεται σε απαγόρευση επικοινωνίας μεταξύ των συνδεδεμένων ασύρματων συσκευών. Κάθε μία από αυτές και όλες τους, μια χαρά έχουν πρόσβαση στο LAN.
Για την δουλειά που θέλεις χρειάζεσαι οποιαδήποτε συσκευή έχει δυνατότητα Guest WLAN ή κανονικό router με κανόνες στο firewall.
Προσωπικά το κάνω με Unifi της Ubiquiti που έχει Guest WLAN.

Θα μου επιτρέψετε να διαφωνήσω !
Πράγματι, το Speedport Entry 2i έχει δύο επίπεδα Isolation, όπως φαίνεται και στην επισυναπτόμενη εικόνα, αλλά αυτά αφορούν μόνο στο ασύρματο δίκτυο.

Ακόμα και με τα δύο ενεργοποιημένα υπάρχει πρόσβαση στο τοπικό lan
Πάντως, δοκιμασμένα ο ένας client δεν βλέπει τον άλλο, μέσα στο ίδιο SSID, όταν είναι ενεργοποιημένο το αντίστοιχο isolation.

Νομίζω ότι λέμε ακριβώς το ίδιο

- - - Updated - - -

Αν μπορείς δοκίμασε αυτό που λέω πιο πάνω γιατί δεν το έχω για να κάνω δοκιμή.

Aν θυμάμαι καλά, στο Speedport είχα φτιάξει έναν κανόνα απαγόρευσης μέσω LAN στο Local Service Control και δεν μπορούσες να επικοινωνήσεις με το υποδίκτυο του.

Ωχ αυτό φαίνεται δύσκολο

[sweet dreams]

Ποιο φαίνεται δύσκολο;;

Πήγαινε εδώ και βάλε ένα όνομα, τικάρισε το "Discard", στο Ιngress >>> LAN, στο Range βάλε ότι θέλεις να απαγορεύσεις, τικάρισε από κάτω και τα άλλα και "Αpply".

Aν συνδέσεις ρούτερ πάνω στο Speedport, ότι είναι συνδεδεμένο στο ρούτερ δεν θα μπορεί να συνδεθεί στο δίκτυο του Speedport.

Αν μπορέσω και βρω κάποιο Speedport θα κάνω πάλι δοκιμή.

- - - Updated - - -

Μην ξεχάσεις να τικάρεις το "Οn".

[sdikr]

Θα μου επιτρέψετε να διαφωνήσω !
Πράγματι, το Speedport Entry 2i έχει δύο επίπεδα Isolation, όπως φαίνεται και στην επισυναπτόμενη εικόνα, αλλά αυτά αφορούν μόνο στο ασύρματο δίκτυο.

Ακόμα και με τα δύο ενεργοποιημένα υπάρχει πρόσβαση στο τοπικό lan
Πάντως, δοκιμασμένα ο ένας client δεν βλέπει τον άλλο, μέσα στο ίδιο SSID, όταν είναι ενεργοποιημένο το αντίστοιχο isolation.

Ενα επίπεδο βλέπω, έχει ξεχωριστή ρύθμιση για το κάθε ssid και δεν αναφέρει ap isolation, Πιο πάνω δεν αναφέρομαι στο speedport αλλά γενικά για την συγκεκριμένη λειτουργία

[D-clone]

Πήγαινε εδώ και βάλε ένα όνομα, τικάρισε το "Discard", στο Ιngress >>> LAN, στο Range βάλε ότι θέλεις να απαγορεύσεις, τικάρισε από κάτω και τα άλλα και "Αpply".

Aν συνδέσεις ρούτερ πάνω στο Speedport, ότι είναι συνδεδεμένο στο ρούτερ δεν θα μπορεί να συνδεθεί στο δίκτυο του Speedport.

Αν μπορέσω και βρω κάποιο Speedport θα κάνω πάλι δοκιμή.

Μην ξεχάσεις να τικάρεις το "Οn".

Τελικά εύκολο ήταν

Αλλά αυτό που κάνει το Local Service Control είναι το εξής:
Αν βάλεις "discard" ingress: "LAN" και ένα IP range, απαγορεύει την πρόσβαση στο Speedport (εννοώ στο IP του Speedport) από αυτό το IP range (προφανώς για προστασία του administration του Speedport), χωρίς να περιορίζεται η πρόσβαση στο υπόλοιπο δίκτυο.

[sweet dreams]

Τελικά εύκολο ήταν

Αλλά αυτό που κάνει το Local Service Control είναι το εξής:
Αν βάλεις "discard" ingress: "LAN" και ένα IP range, απαγορεύει την πρόσβαση στο Speedport (εννοώ στο IP του Speedport) από αυτό το IP range (προφανώς για προστασία του administration του Speedport), χωρίς να περιορίζεται η πρόσβαση στο υπόλοιπο δίκτυο.

Δεν μπορούσα να το φέρω στο μυαλό μου ακριβώς τι κάνει, πάει καιρός που το είχα, τότε αναγκαστικά πας σε άλλη λύση.