Zmagam się od dłuższego czasu z problemem w jaki wariant pójść jeśli chodzi o rozwiązanie sieciowe(czy to systemowe czy mieszane) aby stworzyć w mieszkaniu 50m2(pokój/kuchnia/salon):
- główną sieć domową, bez zakłóceń przy ewentualnych testach, zmianach ustawień itp. [ główna sieć miała by działać tylko dla urządzeń po WiFi - smart tv, laptopy, smartfony]
- sieć wydzieloną na potrzeby:
a) głównego PC (workstacji), laptopa podłączonego po ethernecie [ lokalizacja pokój]
b) serwera plików NAS w oparciu o Xpenology-DSM w wariancie: instalacja natywna/instalacja jako VM na Proxmox VE
c) ewentualnej kamery IP zasilanej po PoE
Poniżej opis sieci, posiadanych urządzeń:
1. Światłowód symetryczny 1000/1000 Mb/s zakończony ONT-ZTE z wyjściem ethernet 2,5 Gb/s
2. Router ZTE H3640 wraz z Wifi 6 od dostawcy Inea
3. W mieszkaniu z salonu poprowadzona pojedyncza skrętka kat. 6 do smart tv oraz z salonu do drugiego pokoju 2 x skrętka kat. 6.
4. Komputer mini PC na płycie Asus H370i (2 x gigabit LAN) + i7-8700 6c/12+32GB DDR4+256gb nvme+512gb nvme+Wd Red Plus 4TB
Obecnie na mini PC mam postawiony Proxmox VE z zainstalowanym Xpenology z DSM 7.2 jako na ze skonfigurowanym dyskiem SSD NVME 512GB do szybszego dostępu do zdjęć oraz dyskiem 4TB jako główny magazyn i backup.
W przypadku dobory dysków, tworzenia macierzy i automatycznego backupu wybrałem: SHR dla WD Red i mam automatyczny backup na zewnętrzny dysk WD Red 2,5" 1TB po USB 3.0. Zastanawiam się czy może zainwestować w dysk SSD SATA 2,5" np. WD SA500 lub SSD NVME SN700 i podłączyć po SATA/M.2 dla nvme a obecny HDD 4TB podłączyć w kieszeń USB 3.0 dla automatycznego backupu? (ZYSKAM WIĘSZĄ CISZĘ) lub może pójść w kierunku utworzenia RAID 1 z 2xSSD SATA lub 2xSSD Nvme + 4TB WD Red Plus jako automatyczny backup po USB 3.0?
Na Proxmox mam też zainstalowany Sophos Firewall, który używałem testowo w konfiguracji: router->mini PC z Sophos(wpięty pod LAN 1 jako WAN) i wyjście z LAN2 jako LAN->PC/Laptop po ethernecie
Pierwszym i głównym moim dylematem jest to w jakie urządzenie zaraz za ONT zainwestować jeśli chodzi o bramę sieciową/ew. Firewall sprzętowy lub Firewall z wykorzystaniem VM Sophos lub natywnej instalacji Sophos Firewall Home Edition.
Na pewno jako punkt styku Internetu z domową siecią chciałbym wsparcie: IPS/IDS(DPI); AV; URL; QoS - które zapewniają wytypowane przeze mnie bramy takie jak: UCG-Ultra/UCG-Max/UCG-Fiber/UDM-SE oraz Firewall Sophos HE czy Hillstone A200.
Dodatkowo chciałbym też mieć wsparcie SSL - co sprowadzało by się do użycia jako urządzenie brzegowe tylko: Sophos Firewall HE lub Hillstone A200 wraz z odpłatnymi licencjami: IPS, AV, URL, QoS, IPR, C2 and Sandbox( ok. 1100 zł/rok)
W tym miejscu wiem że Ubiquiti posiada odpłate aktualizacje sygnatur Proof Point(Cyber security) - ale zapewne bez SSL. Ktoś może korzysta/korzystał?
(korzystałem przez ok. 2 tygodnie z UCG-Ultra).
Z tego co się zorientowałem dobrze byłoby pójść w ekosystem Unifi: UCG-Max/UCG-Fiber ew. UDM-SE(jako brama) z dyskiem ssd nvme(UCG) lub HDD dla UDM-SE na potrzeby monitoringu + APek np. U 6Lite + kamera IP np. G5/G6 Turrent Ultra.
Unifi na pewno dobrze się sprawdzi po wydzieleniu głównej sieci VLAN dla sieci domowej, będę miał fajny interfejs i zarządzanie zdalne ale nie będę miał deszyfracji SSL/TLS - na której mi zależy.
Czy w tej sytuacji pozostaje mi pójście w kierunku podłączenia mini PC z Sophos Firewall jako urządzenia brzegowego robiącego jako router(routing, nat...) oraz jako firewall z SSL po odpowiednim skonfigurowaniu. Czy warto pokusić się aby taki Sophos był postawiony na Proxmox VE czy lepiej jako natywna instalacja na mini PC?
Drugim droższym rozwiązaniem z coroczną subskrypcją byłby Hillstone A200 robiący jako router i NGFW z SSL - ale tutaj mam pewne obawy jakie urządzenie typu AP będzie odpowiednie( wiem, że Hillstone nie mam w ekosystemie APeka), nie wiem jak z kamerami IP.
Wiem, że sprzętowy firewall czy programowy firewall postawiony na mini PC byłby najlepszym rozwiązaniem na pierwszym ogniu styk Internetu z siecią lokalną ale czy na pewno jst to najlepsze rozwiązanie w moim przypadku gdy w planie chcę korzystać z funkcji Protect i mieć możliwość nagrywania z kamery....?
W jaki sposób powinienem skonfigurować sieć/połączyć fizycznie całość gdybym poszedł w kierunku bramy sieciowej UCG/UDM i chciał mieć inspekcję SSL - czy to będzie tak wyglądało:
ONT->brama UCG lub UDM:
- główna sieć
- APek
- kamera IP
-mini PC z Sophos/Hillstone A200 -->PC/Laptop po ethernecie
Wówczas miałbym Firewalla dla urządzeń typu PC(workstacji oraz laptopa podłączonego po ethernecie i mógłbym korzystać z dobrodziejstw SSL powiedzmy w wydzielonej sieci DMZ stanowiącej mój HomeLAB) --> czy to dobry pomysł?
Kolejny pomysł to zrezygnowanie z Firewalla NGFW i tym samym inspekcji SSL i pozostanie tylko z urządzeniami z ekosystemu UNIFI --> co sądzicie ?
Chciałbym całość skonfigurować zgodnie ze sztuką.
Będę wdzięczny za wasze rady, opis doświadczenia z Unifi, firewallami NGFW.
Dodam, że przerobiłem interesujące mnie materiały z admin akademii :
https://www.youtube.com/watch?v=xXrZ5VM4-8k
https://www.youtube.com/watch?v=zDzoRzatRmA
oraz https://youtu.be/0bTjibLYSOo
Przy okazji zrzut ze zrobionego reaserchu jeśli chodzi o sprzęt sieciowy:
https://i.ibb.co/D06Yg5D/Ubiquiti-kalkulacja2.png
Scalony z 14 czerwca 2025 18:16:20:
Dodaję jeszcze porównanie wariantów jeśli chodzi o Ubiquiti:
https://i.ibb.co/twRjwrrb/Ubiquiti-najlepsze-por-wnanie.jpg
Edytowany przez Majster81 dnia 14-06-2025 18:16
nie będę miał deszyfracji SSL/TLS - na której mi zależy.
A do czego ci to potrzebne? Tego typu mechanizmy sprawdzają się raczej w sieciach firmowych/korporacyjnych, by móc np filtrować treści www pracownikom. Nie widzę racji bytu takich rozwiązań w warunkach domowych.
Do domu wystarczy DPI dzięki czemu bez deszyfracji SSL jesteś w stanie kategoryzować dane po aplikacjach, zablokować streaming lub social media dzieciom, wiedzieć co najwięcej zużywa twojego łącza...
Cytat
Kolejny pomysł to zrezygnowanie z Firewalla NGFW i tym samym inspekcji SSL i pozostanie tylko z urządzeniami z ekosystemu UNIFI
Jak widać po mojej stopce ja obecnie jestem "full unifi team" i bardzo sobie chwalę ich rozwiązania przede wszystkim pod kątem stabilności - to sprzęt w stylu skonfiguruj raz i zapomnij... Nawet aktualizacje automatycznie będą się ściągać.
Co do wyboru routera UCG to Ultra, Max i Fiber mają z tego co pamiętam dokładnie taką samą specyfikację jeżeli chodzi o CPU, RAM itd. Tak naprawdę różnica między nimi to porty WAN/LAN i dodatki w stylu obsługa Unifi Protect.
Ja dość świadomie wybrałem dla siebie Maxa tylko i wyłącznie ze względu na porty 2.5G, choć cenowo nie było to do końca opłacalne, ale dzięki temu switch mogłem już kupić z portami 1gbit. Mam tackę i dysk ale Protecta nie używam póki co. Na różnego rodzaju instalacjach, u znajomych itd najczęściej stosuję Ultra, bo jest bardzo przystępny cenowo i daje duże możliwości (np IPS/IDS). Fiber to moje docelowe marzenie - niestety wyszedł kilka miesięcy po tym jak kupiłem Maxa - ja swojego Maxa brałem w cenie obecnego Fibera. Zatem rodzi się podstawowe pytanie na jakich portach ci zależy:
- 1gbit? bierz Ultra - tu ciekawostka, że port 2.5G który domyslnie jest WANem mozna ustawić jako LAN np dla NASa/serwerka
- 2.5G? bierz Max - dodatkowo zyskasz Protect
- 10G? bierz Fiber - topka bez kompromisów
UDM-Se odpuściłbym sobie chyba że bardzo ci zależy na dysku 3.5" pod Protecta.
Router:Unifi Cloud Gateway Max Switch:Unifi USW-Lite-16-PoE Switch:Unifi USW-Flex-Mini - szt. 2 Wi-Fi:Unifi U6-Lite - szt. 2 Proxmox VE:i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD VM #1:Synology SA6400 VM #2:Debian, WWW VM #3: Home Assistant OS
W ostatnich miesiącach miałem sporo wolnego czasu by móc podnieść wiedzę i skill jeśli chodzi o sieci. Skończyło się oczywiście na tym, że przerobiłem sporo materiałów z YT w tym tematy związane z NGFW oraz Sophos Firewall na kanale Pana Karcewicza oraz do celów testowych wziąłem sobie na 2 tygodnie UCG-Ultra.
Od jakiegość czasu w planach miałem aby przebranżowić się na sieciowca, zrobić kurs CCNA i zdać egzamin a później może zrobić studnia podyplomowe z cybersecurity. Póki co pracuję w branży w której zaczynałem, zupełnie nie związanej z IT. Pójście w IT bez doświadczenia raczej będzie bardzo trudne - ale zakładam, że kiedyś może mi się powiedzie.
Teraz niestety nie mam zbyt wiele wolnego czasu(pawie wogóle) i postanowiłem sfinalizować temat domowej sieci i zrobić to raz a dobrze.
Co do SSL/TLS - być może faktycznie nie jest mi to potrzebne ale do celów podniesienia własnego skillu - już tak( chciałbym skonfigurować firewalla NGFW na potrzeby HomeLabu).
Jeśli chodzi o bramę sieciową to na pewno będzie to Ubiquiti - nawet UCG Ultra daje takie możliwości, że szok:-) względem routera od dostawcy światłowodu.
Natomiast dość istotna jest dla mnie kontrola rodzicielska a dokładnie aby móc oprócz blokowania aplikacji móc ustawić określony czas korzystania z aplikacji np. z YT ( ale na wszystkich urządzeniach podłączonych po np. WiFi) - powiedzmy dałbym młodemu 0,5 godziny dziennie nie ważne z jakiego urządzania korzysta. Obecnie mam ustawiony tylko Family Link z ograniczeniem na YT w smartfonie( chciałbym to scentralizować).
Drugą rzeczą, która niemiłosiernie mnie wpienia to wszechobecne reklamy zachęcające do robienia zakupów - przez co moja żona zawsze wynajduje ciekawe okazji by móc zakupić coś nowego:-).
Wiem, że w Ubiquiti Network można ustawić AD-Blocka, blokady regionalne - ale czy to wystarczy na pojawiające się reklamy?
Dodatkowo nie wiem jak porawdzić sobie z pojawiającymi reklamami po wejściu przez www na pocztę elektroniczną na wp.pl oraz o2.pl - tam jest taka masa reklam. Być może trzeba przenieś pocztę do innego dostawcy i dodatkowo może warto zrobić przekierowanie poczty?
Pytałem swojego operatora(INEA) o możliwość bezpośredniego podłączenia światłowodu do np. routera Fiber za pomocą wkładki SFP+i niestety dostałem odmowną odpowiedź, gdyż INEA nie wyraża na to zgody. W takim przypadku UCG-Fiber odpada.
Mnie do szczęścia wystarczyłyby porty 1G ew. jak podałeś port 2.5G( w UCG-Ultra mógłbym wykorzystać do podłączenia do mini PC z NAS). Niestety to rozwiązanie nie ma Protecta a wiem, od jednego gościa "również Ubiquiti Team", że możliwości Protecta względem innych systemów są znacznie lepsze w tym funkcje w kamerach z AI. Dlatego pójście w UCG-Max będzie chyba najbardziej optymalne.
Nie rozumiem dlaczego Ubiquiti nie stosuje w swoich routerach przynajmniej 2 portów zapewniających zasilanie POE? Zasilanie POE ma tylko UDR7(z tego co pamiętam ok. 16W na potrzeby kamery) oraz UCG-Fiber(30W i tylko na jednym porcie).
Mnie w zasadzie do działania sieci domowej wystarczy liczba portów LAN, które ma router UCG-Max. Ale, żeby zasilić kamerę IP oraz APeka np. U6 Lite/U7 Lite zapewne będę potrzebował 2 x POE Injector np. UACC-PoE+-2.5G-EU albo switcha U8 Lite.
Gdyby nie Protect to pewnie brałbym UCG-Ultra, z ciekawości pytanie czy do UCG-Ultra można podłączyć bezpośednio APeka z POE Injectorem(bez potrzeby stoowania switcha z POE) i czy można zarządzać tym APekiem w pełni przez Ubiquiti Network oraz zdalnie przez stronę UI?
UDM-SE sobie odpuszczam.
Edytowany przez Majster81 dnia 20-06-2025 12:36
z ciekawości pytanie czy do UCG-Ultra można podłączyć bezpośednio APeka z POE Injectorem(bez potrzeby stoowania switcha z POE) i czy można zarządzać tym APekiem w pełni przez Ubiquiti Network oraz zdalnie przez stronę UI?
Oczywiście że tak. UCG bedzie kontrolerem i routerem. Poe injector zasili APka którego wepniesz wprost do UCG. Podpinasz konto UI i masz kontrolę nad routerem i apkiem z każdego miejsca na ziemi - nawet z appki na komórce
To jest właśnie piękne z UI. Ja pod jednym swoim kontem mam już z 7 sieci którymi nawet z komórki mogę zarządzać, dostawać powiadomienia kiedy jakieś urządzenie zniknie albo będzie awaria internetu i przełączy się na łącze backupowe. Każdego znajomego lub klienta obecnie namawiam na migracje do Unifi dla ich i swojej wygody.
PS w sumie to ja choruje na ucg-fiber, więc jeżeli chciałbyś nabyć ucg-max (półroczny) z oryginalną tacką na dysk i praktycznie nowym dyskiem nvme Kingston 512GB to napisz do mnie PW i zaproponuj cenę. Może się dogadamy
Router:Unifi Cloud Gateway Max Switch:Unifi USW-Lite-16-PoE Switch:Unifi USW-Flex-Mini - szt. 2 Wi-Fi:Unifi U6-Lite - szt. 2 Proxmox VE:i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD VM #1:Synology SA6400 VM #2:Debian, WWW VM #3: Home Assistant OS
@Shibby dziękuję za propozycję ale w piątek kurier dostarczył mi UCG-Max-NS w promo cenie( mimo wszystko zastanawiam się czy dobrze zrobiłem wybierając ten model czy może wystarczyło pójść w UDR7...)
UDR7 z tego co pamiętam ma zapis z kamer tylko na kartę microSD co jest w mojej ocenie bardzo słabym rozwiązaniem.
Z ciekawości: ile ta promo cena wyniosła? Np i wersja NS nie ma tacki na dysk M.2. Musisz dokupić albo sobie wydrukować (pamiętaj że oryginalna jest metalowa i odbiera ciepło z dysku).
Router:Unifi Cloud Gateway Max Switch:Unifi USW-Lite-16-PoE Switch:Unifi USW-Flex-Mini - szt. 2 Wi-Fi:Unifi U6-Lite - szt. 2 Proxmox VE:i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD VM #1:Synology SA6400 VM #2:Debian, WWW VM #3: Home Assistant OS
Teraz patrzę na UCG-MAX-NS i jednak nie kupiłem w ograniczonej promocji, po prostu to akutalna cena rynkowa.
Wziąłem za 906 zł:
https://www.ceneo.pl/Komputery;szukaj-ucg-max
Pewnie moglibyśmy się dogadać ale interesowała mnie tylko opcja zakupu w ratach 2 x 0%:-)
Szczerze jeszcze nie otworzyłem opakowania i sprzęt leży nadal w szafie:-(
Wczoraj miałem bardzo kuszącą ofertę na UDR7 za 774 zł(nowy sprzęt bez gwarancji) ale z niewiadomej dystrybucji - więc odpuściłem. Chciałem na własnej skórze porównać UCG-Max'a i UDR7.
migracja z Maxa do Fiber to w ogóle poezja. Po zalogowaniu się na konto UI wykryło backup Maxa w chmurze i zapytało czy chce odtworzyć na Fiber. 3min później Fiber był gotowy do pracy że wszystkimi moimi ustawieniami. Jedyne co zrobiłem do zamieniłem porty Wan by porty 10gbe było jako LAN
Router:Unifi Cloud Gateway Max Switch:Unifi USW-Lite-16-PoE Switch:Unifi USW-Flex-Mini - szt. 2 Wi-Fi:Unifi U6-Lite - szt. 2 Proxmox VE:i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD VM #1:Synology SA6400 VM #2:Debian, WWW VM #3: Home Assistant OS
· Łącznie użytkowników: 24,126 · Najnowszy użytkownik: goldi111
Czat
Musisz się zalogować, aby opublikować wiadomość.
Maniek91PL
15-05-2025 19:35
witam! było coś gdzieś o obsłudze asus mesh w tomato moze? chętnie bym przetestował u rodziców
servee
24-01-2025 18:18
Światłowód + mediakonwenter. Ekranowana skrętka nie jest wymagana, taką sytuację już zastałem. Zamierzam ją wymienić na zwykłą. Da to coś?
shibby
17-01-2025 07:45
a ta skrętka ekranowana o której piszesz to jakiś wkopany przewód do bramy/furtki/kamer y zewn? Jak tak to jego też przez zabezpieczenie podepnij.
shibby
17-01-2025 07:43
no to pora zabezpieczyć kable LAN zabezpieczeniami przeciwprzepięciow ymi - tanio nie będzie. Jak przychodzi ci internet? Skrętką czy światłem? Jak skrętką to zacząłbym od tego.
servee
12-01-2025 12:52
Ponownie padły mi wszystkie porty sieciowe w routerze - to już 3-ci w 6 m-cy. Podejrzany to ekranowana, nieuziemiona skrętka - 12mb. Czy jest to możliwe?
dawidt
21-12-2024 01:09
siema
Maniek91PL
06-11-2024 22:37
dzięki !
maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia
Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa
overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.