Zmagam się od dłuższego czasu z problemem w jaki wariant pójść jeśli chodzi o rozwiązanie sieciowe(czy to systemowe czy mieszane) aby stworzyć w mieszkaniu 50m2(pokój/kuchnia/salon):
- główną sieć domową, bez zakłóceń przy ewentualnych testach, zmianach ustawień itp. [ główna sieć miała by działać tylko dla urządzeń po WiFi - smart tv, laptopy, smartfony]
- sieć wydzieloną na potrzeby:
a) głównego PC (workstacji), laptopa podłączonego po ethernecie [ lokalizacja pokój]
b) serwera plików NAS w oparciu o Xpenology-DSM w wariancie: instalacja natywna/instalacja jako VM na Proxmox VE
c) ewentualnej kamery IP zasilanej po PoE
Poniżej opis sieci, posiadanych urządzeń:
1. Światłowód symetryczny 1000/1000 Mb/s zakończony ONT-ZTE z wyjściem ethernet 2,5 Gb/s
2. Router ZTE H3640 wraz z Wifi 6 od dostawcy Inea
3. W mieszkaniu z salonu poprowadzona pojedyncza skrętka kat. 6 do smart tv oraz z salonu do drugiego pokoju 2 x skrętka kat. 6.
4. Komputer mini PC na płycie Asus H370i (2 x gigabit LAN) + i7-8700 6c/12+32GB DDR4+256gb nvme+512gb nvme+Wd Red Plus 4TB
Obecnie na mini PC mam postawiony Proxmox VE z zainstalowanym Xpenology z DSM 7.2 jako na ze skonfigurowanym dyskiem SSD NVME 512GB do szybszego dostępu do zdjęć oraz dyskiem 4TB jako główny magazyn i backup.
W przypadku dobory dysków, tworzenia macierzy i automatycznego backupu wybrałem: SHR dla WD Red i mam automatyczny backup na zewnętrzny dysk WD Red 2,5" 1TB po USB 3.0. Zastanawiam się czy może zainwestować w dysk SSD SATA 2,5" np. WD SA500 lub SSD NVME SN700 i podłączyć po SATA/M.2 dla nvme a obecny HDD 4TB podłączyć w kieszeń USB 3.0 dla automatycznego backupu? (ZYSKAM WIĘSZĄ CISZĘ) lub może pójść w kierunku utworzenia RAID 1 z 2xSSD SATA lub 2xSSD Nvme + 4TB WD Red Plus jako automatyczny backup po USB 3.0?
Na Proxmox mam też zainstalowany Sophos Firewall, który używałem testowo w konfiguracji: router->mini PC z Sophos(wpięty pod LAN 1 jako WAN) i wyjście z LAN2 jako LAN->PC/Laptop po ethernecie
Pierwszym i głównym moim dylematem jest to w jakie urządzenie zaraz za ONT zainwestować jeśli chodzi o bramę sieciową/ew. Firewall sprzętowy lub Firewall z wykorzystaniem VM Sophos lub natywnej instalacji Sophos Firewall Home Edition.
Na pewno jako punkt styku Internetu z domową siecią chciałbym wsparcie: IPS/IDS(DPI); AV; URL; QoS - które zapewniają wytypowane przeze mnie bramy takie jak: UCG-Ultra/UCG-Max/UCG-Fiber/UDM-SE oraz Firewall Sophos HE czy Hillstone A200.
Dodatkowo chciałbym też mieć wsparcie SSL - co sprowadzało by się do użycia jako urządzenie brzegowe tylko: Sophos Firewall HE lub Hillstone A200 wraz z odpłatnymi licencjami: IPS, AV, URL, QoS, IPR, C2 and Sandbox( ok. 1100 zł/rok)
W tym miejscu wiem że Ubiquiti posiada odpłate aktualizacje sygnatur Proof Point(Cyber security) - ale zapewne bez SSL. Ktoś może korzysta/korzystał?
(korzystałem przez ok. 2 tygodnie z UCG-Ultra).
Z tego co się zorientowałem dobrze byłoby pójść w ekosystem Unifi: UCG-Max/UCG-Fiber ew. UDM-SE(jako brama) z dyskiem ssd nvme(UCG) lub HDD dla UDM-SE na potrzeby monitoringu + APek np. U 6Lite + kamera IP np. G5/G6 Turrent Ultra.
Unifi na pewno dobrze się sprawdzi po wydzieleniu głównej sieci VLAN dla sieci domowej, będę miał fajny interfejs i zarządzanie zdalne ale nie będę miał deszyfracji SSL/TLS - na której mi zależy.
Czy w tej sytuacji pozostaje mi pójście w kierunku podłączenia mini PC z Sophos Firewall jako urządzenia brzegowego robiącego jako router(routing, nat...) oraz jako firewall z SSL po odpowiednim skonfigurowaniu. Czy warto pokusić się aby taki Sophos był postawiony na Proxmox VE czy lepiej jako natywna instalacja na mini PC?
Drugim droższym rozwiązaniem z coroczną subskrypcją byłby Hillstone A200 robiący jako router i NGFW z SSL - ale tutaj mam pewne obawy jakie urządzenie typu AP będzie odpowiednie( wiem, że Hillstone nie mam w ekosystemie APeka), nie wiem jak z kamerami IP.
Wiem, że sprzętowy firewall czy programowy firewall postawiony na mini PC byłby najlepszym rozwiązaniem na pierwszym ogniu styk Internetu z siecią lokalną ale czy na pewno jst to najlepsze rozwiązanie w moim przypadku gdy w planie chcę korzystać z funkcji Protect i mieć możliwość nagrywania z kamery....?
W jaki sposób powinienem skonfigurować sieć/połączyć fizycznie całość gdybym poszedł w kierunku bramy sieciowej UCG/UDM i chciał mieć inspekcję SSL - czy to będzie tak wyglądało:
ONT->brama UCG lub UDM:
- główna sieć
- APek
- kamera IP
-mini PC z Sophos/Hillstone A200 -->PC/Laptop po ethernecie
Wówczas miałbym Firewalla dla urządzeń typu PC(workstacji oraz laptopa podłączonego po ethernecie i mógłbym korzystać z dobrodziejstw SSL powiedzmy w wydzielonej sieci DMZ stanowiącej mój HomeLAB) --> czy to dobry pomysł?
Kolejny pomysł to zrezygnowanie z Firewalla NGFW i tym samym inspekcji SSL i pozostanie tylko z urządzeniami z ekosystemu UNIFI --> co sądzicie ?
Chciałbym całość skonfigurować zgodnie ze sztuką.
Będę wdzięczny za wasze rady, opis doświadczenia z Unifi, firewallami NGFW.
Dodam, że przerobiłem interesujące mnie materiały z admin akademii :
https://www.youtube.com/watch?v=xXrZ5VM4-8k
https://www.youtube.com/watch?v=zDzoRzatRmA
oraz https://youtu.be/0bTjibLYSOo
Przy okazji zrzut ze zrobionego reaserchu jeśli chodzi o sprzęt sieciowy:
https://i.ibb.co/D06Yg5D/Ubiquiti-kalkulacja2.png
Scalony z 14 czerwca 2025 18:16:20:
Dodaję jeszcze porównanie wariantów jeśli chodzi o Ubiquiti:
https://i.ibb.co/twRjwrrb/Ubiquiti-najlepsze-por-wnanie.jpg
Edytowany przez Majster81 dnia 14-06-2025 18:16
nie będę miał deszyfracji SSL/TLS - na której mi zależy.
A do czego ci to potrzebne? Tego typu mechanizmy sprawdzają się raczej w sieciach firmowych/korporacyjnych, by móc np filtrować treści www pracownikom. Nie widzę racji bytu takich rozwiązań w warunkach domowych.
Do domu wystarczy DPI dzięki czemu bez deszyfracji SSL jesteś w stanie kategoryzować dane po aplikacjach, zablokować streaming lub social media dzieciom, wiedzieć co najwięcej zużywa twojego łącza...
Cytat
Kolejny pomysł to zrezygnowanie z Firewalla NGFW i tym samym inspekcji SSL i pozostanie tylko z urządzeniami z ekosystemu UNIFI
Jak widać po mojej stopce ja obecnie jestem "full unifi team" i bardzo sobie chwalę ich rozwiązania przede wszystkim pod kątem stabilności - to sprzęt w stylu skonfiguruj raz i zapomnij... Nawet aktualizacje automatycznie będą się ściągać.
Co do wyboru routera UCG to Ultra, Max i Fiber mają z tego co pamiętam dokładnie taką samą specyfikację jeżeli chodzi o CPU, RAM itd. Tak naprawdę różnica między nimi to porty WAN/LAN i dodatki w stylu obsługa Unifi Protect.
Ja dość świadomie wybrałem dla siebie Maxa tylko i wyłącznie ze względu na porty 2.5G, choć cenowo nie było to do końca opłacalne, ale dzięki temu switch mogłem już kupić z portami 1gbit. Mam tackę i dysk ale Protecta nie używam póki co. Na różnego rodzaju instalacjach, u znajomych itd najczęściej stosuję Ultra, bo jest bardzo przystępny cenowo i daje duże możliwości (np IPS/IDS). Fiber to moje docelowe marzenie - niestety wyszedł kilka miesięcy po tym jak kupiłem Maxa - ja swojego Maxa brałem w cenie obecnego Fibera. Zatem rodzi się podstawowe pytanie na jakich portach ci zależy:
- 1gbit? bierz Ultra - tu ciekawostka, że port 2.5G który domyslnie jest WANem mozna ustawić jako LAN np dla NASa/serwerka
- 2.5G? bierz Max - dodatkowo zyskasz Protect
- 10G? bierz Fiber - topka bez kompromisów
UDM-Se odpuściłbym sobie chyba że bardzo ci zależy na dysku 3.5" pod Protecta.
Router:Unifi Cloud Gateway Max Switch:Unifi USW-Lite-16-PoE Switch:Unifi USW-Flex-Mini - szt. 2 Wi-Fi:Unifi U6-Lite - szt. 2 Proxmox VE:i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD VM #1:Synology SA6400 VM #2:Debian, WWW VM #3: Home Assistant OS
W ostatnich miesiącach miałem sporo wolnego czasu by móc podnieść wiedzę i skill jeśli chodzi o sieci. Skończyło się oczywiście na tym, że przerobiłem sporo materiałów z YT w tym tematy związane z NGFW oraz Sophos Firewall na kanale Pana Karcewicza oraz do celów testowych wziąłem sobie na 2 tygodnie UCG-Ultra.
Od jakiegość czasu w planach miałem aby przebranżowić się na sieciowca, zrobić kurs CCNA i zdać egzamin a później może zrobić studnia podyplomowe z cybersecurity. Póki co pracuję w branży w której zaczynałem, zupełnie nie związanej z IT. Pójście w IT bez doświadczenia raczej będzie bardzo trudne - ale zakładam, że kiedyś może mi się powiedzie.
Teraz niestety nie mam zbyt wiele wolnego czasu(pawie wogóle) i postanowiłem sfinalizować temat domowej sieci i zrobić to raz a dobrze.
Co do SSL/TLS - być może faktycznie nie jest mi to potrzebne ale do celów podniesienia własnego skillu - już tak( chciałbym skonfigurować firewalla NGFW na potrzeby HomeLabu).
Jeśli chodzi o bramę sieciową to na pewno będzie to Ubiquiti - nawet UCG Ultra daje takie możliwości, że szok:-) względem routera od dostawcy światłowodu.
Natomiast dość istotna jest dla mnie kontrola rodzicielska a dokładnie aby móc oprócz blokowania aplikacji móc ustawić określony czas korzystania z aplikacji np. z YT ( ale na wszystkich urządzeniach podłączonych po np. WiFi) - powiedzmy dałbym młodemu 0,5 godziny dziennie nie ważne z jakiego urządzania korzysta. Obecnie mam ustawiony tylko Family Link z ograniczeniem na YT w smartfonie( chciałbym to scentralizować).
Drugą rzeczą, która niemiłosiernie mnie wpienia to wszechobecne reklamy zachęcające do robienia zakupów - przez co moja żona zawsze wynajduje ciekawe okazji by móc zakupić coś nowego:-).
Wiem, że w Ubiquiti Network można ustawić AD-Blocka, blokady regionalne - ale czy to wystarczy na pojawiające się reklamy?
Dodatkowo nie wiem jak porawdzić sobie z pojawiającymi reklamami po wejściu przez www na pocztę elektroniczną na wp.pl oraz o2.pl - tam jest taka masa reklam. Być może trzeba przenieś pocztę do innego dostawcy i dodatkowo może warto zrobić przekierowanie poczty?
Pytałem swojego operatora(INEA) o możliwość bezpośredniego podłączenia światłowodu do np. routera Fiber za pomocą wkładki SFP+i niestety dostałem odmowną odpowiedź, gdyż INEA nie wyraża na to zgody. W takim przypadku UCG-Fiber odpada.
Mnie do szczęścia wystarczyłyby porty 1G ew. jak podałeś port 2.5G( w UCG-Ultra mógłbym wykorzystać do podłączenia do mini PC z NAS). Niestety to rozwiązanie nie ma Protecta a wiem, od jednego gościa "również Ubiquiti Team", że możliwości Protecta względem innych systemów są znacznie lepsze w tym funkcje w kamerach z AI. Dlatego pójście w UCG-Max będzie chyba najbardziej optymalne.
Nie rozumiem dlaczego Ubiquiti nie stosuje w swoich routerach przynajmniej 2 portów zapewniających zasilanie POE? Zasilanie POE ma tylko UDR7(z tego co pamiętam ok. 16W na potrzeby kamery) oraz UCG-Fiber(30W i tylko na jednym porcie).
Mnie w zasadzie do działania sieci domowej wystarczy liczba portów LAN, które ma router UCG-Max. Ale, żeby zasilić kamerę IP oraz APeka np. U6 Lite/U7 Lite zapewne będę potrzebował 2 x POE Injector np. UACC-PoE+-2.5G-EU albo switcha U8 Lite.
Gdyby nie Protect to pewnie brałbym UCG-Ultra, z ciekawości pytanie czy do UCG-Ultra można podłączyć bezpośednio APeka z POE Injectorem(bez potrzeby stoowania switcha z POE) i czy można zarządzać tym APekiem w pełni przez Ubiquiti Network oraz zdalnie przez stronę UI?
UDM-SE sobie odpuszczam.
Edytowany przez Majster81 dnia 20-06-2025 12:36
z ciekawości pytanie czy do UCG-Ultra można podłączyć bezpośednio APeka z POE Injectorem(bez potrzeby stoowania switcha z POE) i czy można zarządzać tym APekiem w pełni przez Ubiquiti Network oraz zdalnie przez stronę UI?
Oczywiście że tak. UCG bedzie kontrolerem i routerem. Poe injector zasili APka którego wepniesz wprost do UCG. Podpinasz konto UI i masz kontrolę nad routerem i apkiem z każdego miejsca na ziemi - nawet z appki na komórce
To jest właśnie piękne z UI. Ja pod jednym swoim kontem mam już z 7 sieci którymi nawet z komórki mogę zarządzać, dostawać powiadomienia kiedy jakieś urządzenie zniknie albo będzie awaria internetu i przełączy się na łącze backupowe. Każdego znajomego lub klienta obecnie namawiam na migracje do Unifi dla ich i swojej wygody.
PS w sumie to ja choruje na ucg-fiber, więc jeżeli chciałbyś nabyć ucg-max (półroczny) z oryginalną tacką na dysk i praktycznie nowym dyskiem nvme Kingston 512GB to napisz do mnie PW i zaproponuj cenę. Może się dogadamy
Router:Unifi Cloud Gateway Max Switch:Unifi USW-Lite-16-PoE Switch:Unifi USW-Flex-Mini - szt. 2 Wi-Fi:Unifi U6-Lite - szt. 2 Proxmox VE:i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD VM #1:Synology SA6400 VM #2:Debian, WWW VM #3: Home Assistant OS
@Shibby dziękuję za propozycję ale w piątek kurier dostarczył mi UCG-Max-NS w promo cenie( mimo wszystko zastanawiam się czy dobrze zrobiłem wybierając ten model czy może wystarczyło pójść w UDR7...)
UDR7 z tego co pamiętam ma zapis z kamer tylko na kartę microSD co jest w mojej ocenie bardzo słabym rozwiązaniem.
Z ciekawości: ile ta promo cena wyniosła? Np i wersja NS nie ma tacki na dysk M.2. Musisz dokupić albo sobie wydrukować (pamiętaj że oryginalna jest metalowa i odbiera ciepło z dysku).
Router:Unifi Cloud Gateway Max Switch:Unifi USW-Lite-16-PoE Switch:Unifi USW-Flex-Mini - szt. 2 Wi-Fi:Unifi U6-Lite - szt. 2 Proxmox VE:i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD VM #1:Synology SA6400 VM #2:Debian, WWW VM #3: Home Assistant OS
Teraz patrzę na UCG-MAX-NS i jednak nie kupiłem w ograniczonej promocji, po prostu to akutalna cena rynkowa.
Wziąłem za 906 zł:
https://www.ceneo.pl/Komputery;szukaj-ucg-max
Pewnie moglibyśmy się dogadać ale interesowała mnie tylko opcja zakupu w ratach 2 x 0%:-)
Szczerze jeszcze nie otworzyłem opakowania i sprzęt leży nadal w szafie:-(
Wczoraj miałem bardzo kuszącą ofertę na UDR7 za 774 zł(nowy sprzęt bez gwarancji) ale z niewiadomej dystrybucji - więc odpuściłem. Chciałem na własnej skórze porównać UCG-Max'a i UDR7.
· Łącznie użytkowników: 24,126 · Najnowszy użytkownik: goldi111
Czat
Musisz się zalogować, aby opublikować wiadomość.
Maniek91PL
15-05-2025 19:35
witam! było coś gdzieś o obsłudze asus mesh w tomato moze? chętnie bym przetestował u rodziców
servee
24-01-2025 18:18
Światłowód + mediakonwenter. Ekranowana skrętka nie jest wymagana, taką sytuację już zastałem. Zamierzam ją wymienić na zwykłą. Da to coś?
shibby
17-01-2025 07:45
a ta skrętka ekranowana o której piszesz to jakiś wkopany przewód do bramy/furtki/kamer y zewn? Jak tak to jego też przez zabezpieczenie podepnij.
shibby
17-01-2025 07:43
no to pora zabezpieczyć kable LAN zabezpieczeniami przeciwprzepięciow ymi - tanio nie będzie. Jak przychodzi ci internet? Skrętką czy światłem? Jak skrętką to zacząłbym od tego.
servee
12-01-2025 12:52
Ponownie padły mi wszystkie porty sieciowe w routerze - to już 3-ci w 6 m-cy. Podejrzany to ekranowana, nieuziemiona skrętka - 12mb. Czy jest to możliwe?
dawidt
21-12-2024 01:09
siema
Maniek91PL
06-11-2024 22:37
dzięki !
maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia
Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa
overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.
' target='_blank'>Link
