30 Lipca 2025 20:01:45
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· Sieć domowa: System...
· Jaki ruter tp linka ...
· Ruter pod VPN
· [MOD] FreshTomato-AR...
· Sierra AirLink RV50 ...
· zmiana dd-wrt na Tomato
· [MOD] FreshTomato-MI...
· Asus RT-AC56U a Oran...
· Optware na CIFS
· [S] Unifi Dream Mach...
· Neostrada Biznes - w...
· wnr3500l v2 multicast
· Brak izolacji Guest ...
· [S] Ubiquity Edgerou...
· [S] Qnap QSW-2104-2T...
· Komputer Serwer
· Promise VessRAID 184...
· Własna kompilacja t...
· r6400v2 bład przy u...
· drukarka drukuje tyl...
Najpopularniejsze obecnie wątki
· [MOD] FreshTomato... [941]
· Sieć domowa: Sys... [11]
· Jaki ruter tp lin... [0]
· Ruter pod VPN [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [152 głosów]

Broadcom ARM
Broadcom ARM
52% [219 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [16 głosów]

Ogółem głosów: 421
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
216.73.216.254
Zobacz wątek
 Drukuj wątek
Sieć domowa: System Unifi/NGFW; Sophos/NAS
Majster81
Cześć,

Zmagam się od dłuższego czasu z problemem w jaki wariant pójść jeśli chodzi o rozwiązanie sieciowe(czy to systemowe czy mieszane) aby stworzyć w mieszkaniu 50m2(pokój/kuchnia/salon):
- główną sieć domową, bez zakłóceń przy ewentualnych testach, zmianach ustawień itp. [ główna sieć miała by działać tylko dla urządzeń po WiFi - smart tv, laptopy, smartfony]
- sieć wydzieloną na potrzeby:
a) głównego PC (workstacji), laptopa podłączonego po ethernecie [ lokalizacja pokój]
b) serwera plików NAS w oparciu o Xpenology-DSM w wariancie: instalacja natywna/instalacja jako VM na Proxmox VE
c) ewentualnej kamery IP zasilanej po PoE

Poniżej opis sieci, posiadanych urządzeń:
1. Światłowód symetryczny 1000/1000 Mb/s zakończony ONT-ZTE z wyjściem ethernet 2,5 Gb/s
2. Router ZTE H3640 wraz z Wifi 6 od dostawcy Inea
3. W mieszkaniu z salonu poprowadzona pojedyncza skrętka kat. 6 do smart tv oraz z salonu do drugiego pokoju 2 x skrętka kat. 6.
4. Komputer mini PC na płycie Asus H370i (2 x gigabit LAN) + i7-8700 6c/12+32GB DDR4+256gb nvme+512gb nvme+Wd Red Plus 4TB

Obecnie na mini PC mam postawiony Proxmox VE z zainstalowanym Xpenology z DSM 7.2 jako na ze skonfigurowanym dyskiem SSD NVME 512GB do szybszego dostępu do zdjęć oraz dyskiem 4TB jako główny magazyn i backup.
W przypadku dobory dysków, tworzenia macierzy i automatycznego backupu wybrałem: SHR dla WD Red i mam automatyczny backup na zewnętrzny dysk WD Red 2,5" 1TB po USB 3.0. Zastanawiam się czy może zainwestować w dysk SSD SATA 2,5" np. WD SA500 lub SSD NVME SN700 i podłączyć po SATA/M.2 dla nvme a obecny HDD 4TB podłączyć w kieszeń USB 3.0 dla automatycznego backupu? (ZYSKAM WIĘSZĄ CISZĘ) lub może pójść w kierunku utworzenia RAID 1 z 2xSSD SATA lub 2xSSD Nvme + 4TB WD Red Plus jako automatyczny backup po USB 3.0?
Na Proxmox mam też zainstalowany Sophos Firewall, który używałem testowo w konfiguracji: router->mini PC z Sophos(wpięty pod LAN 1 jako WAN) i wyjście z LAN2 jako LAN->PC/Laptop po ethernecie

Pierwszym i głównym moim dylematem jest to w jakie urządzenie zaraz za ONT zainwestować jeśli chodzi o bramę sieciową/ew. Firewall sprzętowy lub Firewall z wykorzystaniem VM Sophos lub natywnej instalacji Sophos Firewall Home Edition.
Na pewno jako punkt styku Internetu z domową siecią chciałbym wsparcie: IPS/IDS(DPI); AV; URL; QoS - które zapewniają wytypowane przeze mnie bramy takie jak: UCG-Ultra/UCG-Max/UCG-Fiber/UDM-SE oraz Firewall Sophos HE czy Hillstone A200.
Dodatkowo chciałbym też mieć wsparcie SSL - co sprowadzało by się do użycia jako urządzenie brzegowe tylko: Sophos Firewall HE lub Hillstone A200 wraz z odpłatnymi licencjami: IPS, AV, URL, QoS, IPR, C2 and Sandbox( ok. 1100 zł/rok)

W tym miejscu wiem że Ubiquiti posiada odpłate aktualizacje sygnatur Proof Point(Cyber security) - ale zapewne bez SSL. Ktoś może korzysta/korzystał?

(korzystałem przez ok. 2 tygodnie z UCG-Ultra).

Z tego co się zorientowałem dobrze byłoby pójść w ekosystem Unifi: UCG-Max/UCG-Fiber ew. UDM-SE(jako brama) z dyskiem ssd nvme(UCG) lub HDD dla UDM-SE na potrzeby monitoringu + APek np. U 6Lite + kamera IP np. G5/G6 Turrent Ultra.
Unifi na pewno dobrze się sprawdzi po wydzieleniu głównej sieci VLAN dla sieci domowej, będę miał fajny interfejs i zarządzanie zdalne ale nie będę miał deszyfracji SSL/TLS - na której mi zależy.
Czy w tej sytuacji pozostaje mi pójście w kierunku podłączenia mini PC z Sophos Firewall jako urządzenia brzegowego robiącego jako router(routing, nat...) oraz jako firewall z SSL po odpowiednim skonfigurowaniu. Czy warto pokusić się aby taki Sophos był postawiony na Proxmox VE czy lepiej jako natywna instalacja na mini PC?
Drugim droższym rozwiązaniem z coroczną subskrypcją byłby Hillstone A200 robiący jako router i NGFW z SSL - ale tutaj mam pewne obawy jakie urządzenie typu AP będzie odpowiednie( wiem, że Hillstone nie mam w ekosystemie APeka), nie wiem jak z kamerami IP.


Wiem, że sprzętowy firewall czy programowy firewall postawiony na mini PC byłby najlepszym rozwiązaniem na pierwszym ogniu styk Internetu z siecią lokalną ale czy na pewno jst to najlepsze rozwiązanie w moim przypadku gdy w planie chcę korzystać z funkcji Protect i mieć możliwość nagrywania z kamery....?

W jaki sposób powinienem skonfigurować sieć/połączyć fizycznie całość gdybym poszedł w kierunku bramy sieciowej UCG/UDM i chciał mieć inspekcję SSL - czy to będzie tak wyglądało:
ONT->brama UCG lub UDM:
- główna sieć
- APek
- kamera IP
-mini PC z Sophos/Hillstone A200 -->PC/Laptop po ethernecie
Wówczas miałbym Firewalla dla urządzeń typu PC(workstacji oraz laptopa podłączonego po ethernecie i mógłbym korzystać z dobrodziejstw SSL powiedzmy w wydzielonej sieci DMZ stanowiącej mój HomeLAB) --> czy to dobry pomysł?

Kolejny pomysł to zrezygnowanie z Firewalla NGFW i tym samym inspekcji SSL i pozostanie tylko z urządzeniami z ekosystemu UNIFI --> co sądzicie ?

Chciałbym całość skonfigurować zgodnie ze sztuką.

Będę wdzięczny za wasze rady, opis doświadczenia z Unifi, firewallami NGFW.
Dodam, że przerobiłem interesujące mnie materiały z admin akademii :
https://www.youtube.com/watch?v=xXrZ5VM4-8k
https://www.youtube.com/watch?v=zDzoRzatRmA
oraz https://youtu.be/0bTjibLYSOo

Przy okazji zrzut ze zrobionego reaserchu jeśli chodzi o sprzęt sieciowy:
https://i.ibb.co/D06Yg5D/Ubiquiti-kalkulacja2.png

Scalony z 14 czerwca 2025 18:16:20:
Dodaję jeszcze porównanie wariantów jeśli chodzi o Ubiquiti:
https://i.ibb.co/twRjwrrb/Ubiquiti-najlepsze-por-wnanie.jpg
Edytowany przez Majster81 dnia 14-06-2025 18:16
 
shibby

Cytat

nie będę miał deszyfracji SSL/TLS - na której mi zależy.


A do czego ci to potrzebne? Tego typu mechanizmy sprawdzają się raczej w sieciach firmowych/korporacyjnych, by móc np filtrować treści www pracownikom. Nie widzę racji bytu takich rozwiązań w warunkach domowych.
Do domu wystarczy DPI dzięki czemu bez deszyfracji SSL jesteś w stanie kategoryzować dane po aplikacjach, zablokować streaming lub social media dzieciom, wiedzieć co najwięcej zużywa twojego łącza...

Cytat

Kolejny pomysł to zrezygnowanie z Firewalla NGFW i tym samym inspekcji SSL i pozostanie tylko z urządzeniami z ekosystemu UNIFI


Jak widać po mojej stopce ja obecnie jestem "full unifi team" i bardzo sobie chwalę ich rozwiązania przede wszystkim pod kątem stabilności - to sprzęt w stylu skonfiguruj raz i zapomnij... Nawet aktualizacje automatycznie będą się ściągać.

Co do wyboru routera UCG to Ultra, Max i Fiber mają z tego co pamiętam dokładnie taką samą specyfikację jeżeli chodzi o CPU, RAM itd. Tak naprawdę różnica między nimi to porty WAN/LAN i dodatki w stylu obsługa Unifi Protect.

Ja dość świadomie wybrałem dla siebie Maxa tylko i wyłącznie ze względu na porty 2.5G, choć cenowo nie było to do końca opłacalne, ale dzięki temu switch mogłem już kupić z portami 1gbit. Mam tackę i dysk ale Protecta nie używam póki co. Na różnego rodzaju instalacjach, u znajomych itd najczęściej stosuję Ultra, bo jest bardzo przystępny cenowo i daje duże możliwości (np IPS/IDS). Fiber to moje docelowe marzenie - niestety wyszedł kilka miesięcy po tym jak kupiłem Maxa - ja swojego Maxa brałem w cenie obecnego Fibera. Zatem rodzi się podstawowe pytanie na jakich portach ci zależy:
- 1gbit? bierz Ultra - tu ciekawostka, że port 2.5G który domyslnie jest WANem mozna ustawić jako LAN np dla NASa/serwerka
- 2.5G? bierz Max - dodatkowo zyskasz Protect
- 10G? bierz Fiber - topka bez kompromisów

UDM-Se odpuściłbym sobie chyba że bardzo ci zależy na dysku 3.5" pod Protecta.
Router: Unifi Cloud Gateway Max
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
 
Majster81
W ostatnich miesiącach miałem sporo wolnego czasu by móc podnieść wiedzę i skill jeśli chodzi o sieci. Skończyło się oczywiście na tym, że przerobiłem sporo materiałów z YT w tym tematy związane z NGFW oraz Sophos Firewall na kanale Pana Karcewicza oraz do celów testowych wziąłem sobie na 2 tygodnie UCG-Ultra.
Od jakiegość czasu w planach miałem aby przebranżowić się na sieciowca, zrobić kurs CCNA i zdać egzamin a później może zrobić studnia podyplomowe z cybersecurity. Póki co pracuję w branży w której zaczynałem, zupełnie nie związanej z IT. Pójście w IT bez doświadczenia raczej będzie bardzo trudne - ale zakładam, że kiedyś może mi się powiedzie.
Teraz niestety nie mam zbyt wiele wolnego czasu(pawie wogóle) i postanowiłem sfinalizować temat domowej sieci i zrobić to raz a dobrze.

Co do SSL/TLS - być może faktycznie nie jest mi to potrzebne ale do celów podniesienia własnego skillu - już tak( chciałbym skonfigurować firewalla NGFW na potrzeby HomeLabu).

Jeśli chodzi o bramę sieciową to na pewno będzie to Ubiquiti - nawet UCG Ultra daje takie możliwości, że szok:-) względem routera od dostawcy światłowodu.

Natomiast dość istotna jest dla mnie kontrola rodzicielska a dokładnie aby móc oprócz blokowania aplikacji móc ustawić określony czas korzystania z aplikacji np. z YT ( ale na wszystkich urządzeniach podłączonych po np. WiFi) - powiedzmy dałbym młodemu 0,5 godziny dziennie nie ważne z jakiego urządzania korzysta. Obecnie mam ustawiony tylko Family Link z ograniczeniem na YT w smartfonie( chciałbym to scentralizować).
Drugą rzeczą, która niemiłosiernie mnie wpienia to wszechobecne reklamy zachęcające do robienia zakupów - przez co moja żona zawsze wynajduje ciekawe okazji by móc zakupić coś nowego:-).
Wiem, że w Ubiquiti Network można ustawić AD-Blocka, blokady regionalne - ale czy to wystarczy na pojawiające się reklamy?
Dodatkowo nie wiem jak porawdzić sobie z pojawiającymi reklamami po wejściu przez www na pocztę elektroniczną na wp.pl oraz o2.pl - tam jest taka masa reklam. Być może trzeba przenieś pocztę do innego dostawcy i dodatkowo może warto zrobić przekierowanie poczty?

Pytałem swojego operatora(INEA) o możliwość bezpośredniego podłączenia światłowodu do np. routera Fiber za pomocą wkładki SFP+i niestety dostałem odmowną odpowiedź, gdyż INEA nie wyraża na to zgody. W takim przypadku UCG-Fiber odpada.

Mnie do szczęścia wystarczyłyby porty 1G ew. jak podałeś port 2.5G( w UCG-Ultra mógłbym wykorzystać do podłączenia do mini PC z NAS). Niestety to rozwiązanie nie ma Protecta a wiem, od jednego gościa "również Ubiquiti Team", że możliwości Protecta względem innych systemów są znacznie lepsze w tym funkcje w kamerach z AI. Dlatego pójście w UCG-Max będzie chyba najbardziej optymalne.

Nie rozumiem dlaczego Ubiquiti nie stosuje w swoich routerach przynajmniej 2 portów zapewniających zasilanie POE? Zasilanie POE ma tylko UDR7(z tego co pamiętam ok. 16W na potrzeby kamery) oraz UCG-Fiber(30W i tylko na jednym porcie).
Mnie w zasadzie do działania sieci domowej wystarczy liczba portów LAN, które ma router UCG-Max. Ale, żeby zasilić kamerę IP oraz APeka np. U6 Lite/U7 Lite zapewne będę potrzebował 2 x POE Injector np. UACC-PoE+-2.5G-EU albo switcha U8 Lite.


Gdyby nie Protect to pewnie brałbym UCG-Ultra, z ciekawości pytanie czy do UCG-Ultra można podłączyć bezpośednio APeka z POE Injectorem(bez potrzeby stoowania switcha z POE) i czy można zarządzać tym APekiem w pełni przez Ubiquiti Network oraz zdalnie przez stronę UI?

UDM-SE sobie odpuszczam.
Edytowany przez Majster81 dnia 20-06-2025 12:36
 
shibby

Cytat

z ciekawości pytanie czy do UCG-Ultra można podłączyć bezpośednio APeka z POE Injectorem(bez potrzeby stoowania switcha z POE) i czy można zarządzać tym APekiem w pełni przez Ubiquiti Network oraz zdalnie przez stronę UI?


Oczywiście że tak. UCG bedzie kontrolerem i routerem. Poe injector zasili APka którego wepniesz wprost do UCG. Podpinasz konto UI i masz kontrolę nad routerem i apkiem z każdego miejsca na ziemi - nawet z appki na komórce Smile

To jest właśnie piękne z UI. Ja pod jednym swoim kontem mam już z 7 sieci którymi nawet z komórki mogę zarządzać, dostawać powiadomienia kiedy jakieś urządzenie zniknie albo będzie awaria internetu i przełączy się na łącze backupowe. Każdego znajomego lub klienta obecnie namawiam na migracje do Unifi dla ich i swojej wygody.

PS w sumie to ja choruje na ucg-fiber, więc jeżeli chciałbyś nabyć ucg-max (półroczny) z oryginalną tacką na dysk i praktycznie nowym dyskiem nvme Kingston 512GB to napisz do mnie PW i zaproponuj cenę. Może się dogadamy Smile
Router: Unifi Cloud Gateway Max
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
 
Majster81
@Shibby dziękuję za propozycję ale w piątek kurier dostarczył mi UCG-Max-NS w promo cenie( mimo wszystko zastanawiam się czy dobrze zrobiłem wybierając ten model czy może wystarczyło pójść w UDR7...)
 
shibby
UDR7 z tego co pamiętam ma zapis z kamer tylko na kartę microSD co jest w mojej ocenie bardzo słabym rozwiązaniem.

Z ciekawości: ile ta promo cena wyniosła? Np i wersja NS nie ma tacki na dysk M.2. Musisz dokupić albo sobie wydrukować (pamiętaj że oryginalna jest metalowa i odbiera ciepło z dysku).
Router: Unifi Cloud Gateway Max
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
 
Majster81
Teraz patrzę na UCG-MAX-NS i jednak nie kupiłem w ograniczonej promocji, po prostu to akutalna cena rynkowa.
Wziąłem za 906 zł:
https://www.ceneo.pl/Komputery;szukaj-ucg-max
 
shibby
W opcji z kieszenią i dyskiem byloby do dogadania Wink

Jak ogólnie wrażenia z użytkowania ucg?
Router: Unifi Cloud Gateway Max
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
 
Majster81
Pewnie moglibyśmy się dogadać ale interesowała mnie tylko opcja zakupu w ratach 2 x 0%:-)
Szczerze jeszcze nie otworzyłem opakowania i sprzęt leży nadal w szafie:-(
Wczoraj miałem bardzo kuszącą ofertę na UDR7 za 774 zł(nowy sprzęt bez gwarancji) ale z niewiadomej dystrybucji - więc odpuściłem. Chciałem na własnej skórze porównać UCG-Max'a i UDR7.
 
shibby
To ja dziś zakupiłem ucg-fiber Smile
Router: Unifi Cloud Gateway Max
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
 
Majster81
Ostatecznie mnie również udało się upolować UCG-Fiber Smile
 
shibby
No i pięknie. Raz a dobrze Smile

migracja z Maxa do Fiber to w ogóle poezja. Po zalogowaniu się na konto UI wykryło backup Maxa w chmurze i zapytało czy chce odtworzyć na Fiber. 3min później Fiber był gotowy do pracy że wszystkimi moimi ustawieniami. Jedyne co zrobiłem do zamieniłem porty Wan by porty 10gbe było jako LAN Smile
Router: Unifi Cloud Gateway Max
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 86

· Użytkowników online: 0

· Łącznie użytkowników: 24,126
· Najnowszy użytkownik: goldi111
Czat
Musisz się zalogować, aby opublikować wiadomość.

Maniek91PL
15-05-2025 19:35
witam! było coś gdzieś o obsłudze asus mesh w tomato moze? chętnie bym przetestował u rodziców

servee
24-01-2025 18:18
Światłowód + mediakonwenter. Ekranowana skrętka nie jest wymagana, taką sytuację już zastałem. Zamierzam ją wymienić na zwykłą. Da to coś?

shibby
17-01-2025 07:45
a ta skrętka ekranowana o której piszesz to jakiś wkopany przewód do bramy/furtki/kamer
y zewn? Jak tak to jego też przez zabezpieczenie podepnij.

shibby
17-01-2025 07:43
no to pora zabezpieczyć kable LAN zabezpieczeniami przeciwprzepięciow
ymi - tanio nie będzie. Jak przychodzi ci internet? Skrętką czy światłem? Jak skrętką to zacząłbym od tego.

servee
12-01-2025 12:52
Ponownie padły mi wszystkie porty sieciowe w routerze - to już 3-ci w 6 m-cy. Podejrzany to ekranowana, nieuziemiona skrętka - 12mb. Czy jest to możliwe?

dawidt
21-12-2024 01:09
siema Grin

Maniek91PL
06-11-2024 22:37
dzięki !Grin

maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia

Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa

overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.

125,674,811 unikalnych wizyt