"Napredna" kućna mreža - VLAN-ovi, kombinacija Mikrotik rutera i Ubiquiti AP

"Napredna" kućna mreža - VLAN-ovi, kombinacija Mikrotik rutera i Ubiquiti AP

Želim malo da se igram sa kućnom mrežom pa sam se dao u sledeću akciju. Kupio sam Mikrotik hap ac2 za ruter i Ubiquiti AC AP lite za access point. Provajder je orion i njihov ruter je u bridge modu. Dobio sam PPPoE user i pass i to radi.

Mikrotik je na ulasku u stan, u ćošku je i domet mu je da taman dobaci do suprotnog ugla, ali jedva. AP je u sredini stana.

Zamisao je da napravim 2 VLAN-a, jedan za IoT uređaje (pametne utičnice, prekidači i sl. - 20-ak njih) povezane na Home Assistant na Raspberry Pi, ovaj VLAN ne bi trebalo da ima izlaz van kućne mreže, i drugi VLAN za sve ostale uređaje (moguć i treći za guest mrežu). Imaću 3 (možda 4) wifi mreže, jedna za IoT 2.4GHz, jedna regularna 2.4GHz, jedna regularna 5GHz, i eventualno guest 2.4GHz - samo internet, ne vidi uređaje u ostalim mrežama. Na kablu su samo TV, Raspberry Pi i jedan desktop, sve ostalo je na WiFi. Krenuo sam da proučavam šta i kako, i hteo bih da neko ako može potvrdi da to što pokušavam može da se uradi kako sam zamislio. RouterOS poznajem nešto najosnovnije, par dana je kod mene, Ubiquiti ništa, još nije stigao.

Da li mogu da napravim ta 3 VLAN-a na mikrotiku, sve ih vežem za ether 2 port na kome će biti AP. Na mikrotiku napravim 2 mreže, ove regularne 2.4 i 5GHz, one su "domaći" vlan. Na AP iste ove plus guest i IoT. Kako funkcionišu VLAN-ovi na AP? Koliko sam shvatio iz nekih tutoriala, svi vlan-ovi koje "pošaljemo" kroz neki port mogu da se koriste na AP-u? Da li će biti problem što je ruter mikrotik a AP Ubiquiti? Verujem da ne bi trebalo.

Pretpostavljam da je bolje staviti isti SSID i za 2.4 i 5ghz mrežu? I Mikrotik i Ubiquiti imaju band steering. Za sada ću verovatno samo napraviti vlan-ove i odvojiti ip adrese, firewall ću nešto kasnije podešavati.

Još neki predlog?

Ja imam nešto slično, stariji MT i AP AC LR.

Ja sam IoT uređaje, od kojih većina ima samo 2.4, stavio na MT i tu dodao guest 2.4.

Kućni wifi je na AP.

Odvojio sam mreže u različite IP opsege tako da IoT i guest ne vide kućnu mrežu.

Još nisam stigao do VLAN podešavanja. Nikako da nađem vremena

Ja sam skoro baš nešto slično uradio.
Uzeo sam 3x MT hap ac2, jedan radi kao ruter, ostali su AP&switch. Može to isto i sa Ubiquiti, TP link ili bilo kojim drugim APom, koji podržava VLANove. Ja sam za sada napravio 3 VLANa, management (na njemu su samo ovi MT i TP link smart switch, stavio sam da je on samo LAN, ne i WIFI), home VLAN, to su mi računari, tableti, telefoni... (LAN i WIFI) i guest VLAN (samo WIFI za sada). Kasnije ću dodati i IOT VLAN i verovatno neki smart home VLAN bez pristupa internetu. Sada mi je ostalo još malo da čačkam firewall, trenuton su svi VLANovi odvojeni, nemaju pristup jedan drugom, pa da recimo dozvolim da iz home mreže može da se pristupi guest mreži ili tako neke slučajevi, ali videću još.
Baci pogled ovde za pomoć oko VLANova na MT https://forum.mikrotik.com/viewtopic.php?t=143620
A uzeo sam sve MT uredjaje, zbog wifi, CAPSMAN, centralizovano podešavanje WIFI za celu mrežu (nešto slično kao što Ubiquiti ima kada imaš svu njihovu opremu + onaj key). Stavio sam isti SSID za 2,4 i 5Ghz mreže, može da se podesi i access level, pa ti to olakšava roaming...

Ali da, može to što si hteo, napraviš 3 VLANa na MT, i staviš da je eth2 trunk port, neki od drugih portova možeš da staviš da bude access za neki od VLANova, ako ćeš kačiti nešto i kablom. Zatim na Ubiquiti AP staviš da je njegov eth1 port trunk i to je to. Namestiš posle WIFI na MT i AP.

Takva je i moja zamisao, s tim što sam ja po forumima video da čak i korisnici mikrotika preporučuju ubiquiti za wifi, očigledno to još uvek ne radi kako treba. Razmišljao sam i o nekim komercijalnim ap, tipa tp link, ali sam odlučio da probam sa ovim jer je prilično jeftin, računam da će se lako prodati ako budem hteo upgrade, a planiram da kada stigne WiFi6 po nekoj normalnoj ceni za to zamenim. Najvažniji razlog je bio da nešto naučim i sa se igram.

Za ruter mi je plan bio Hex S, ima jedan poe izlaz za ap, ima i sfp cage pa da možda mogu u potpunosti da izbacim Orion router, ali su mi rekli da je hap ac2 hardverski jači i generalno savremeniji. Wifi na njemu radi jer uspeva da dobaci do garaže, ali ako i ubiquiti bude uspevao, gasim u potpunosti wifi na mikrotiku.

U stanu imam 8 lan portova na zidovima, u ormanu imam 8-port patch panel i 8-port glupi switch, kad sam renovirao nisam znao za bolje .

Plan mreže je da odvojim jedan management port gde ne bi u suštini ništa stalno bilo priključeno, već po potrebi, guest mreža koja vidi samo internet, iot mreža koja je zatvorena, i kućna mreža koja vidi sve njih.

Da li treba na nešto da obratim pažnju? Kada budem podešavao da nešto ne zeznem?

Sent from my SM-A600FN using Tapatalk

Nema šta da zezneš, a uvek imaš reset to default

Malo se zezao u draw.io. Uglavnom, moja mreža izgleda ovako, nisam baš sve uredjaje ubacio, ali čisto ideja šta i kako.
sva 3 mikrotika su vezana redno, na svakom je za svaki slučaj eth5 namešten za management vlan. I moj komp, u komandnom centru ima 2 lan kartice, jedna je za home vlan, druga je za management vlan, dovoljno su jeftine lan kartice da se ne zezam sa prebacivanjem kablova iz porta u port u winu sam samo namestio metric za home lan karticu da ima prednostu u odnosu na management kartu, za internet. dok sva konfigurisanja mreže idu preko management lan kartice, i to je to. Sada ostaje da dodam još vlanom ako mi treba i da čačkam firewall, da konfigurišem odakle mi gde treba pristup i tako te neke detalje.

Podesio sam inicijalno sve što sam želeo, malo je bilo zezanja oko Unifi controller-a, pa sam ga na kraju hostovao kao Home Assistant add-on. Prvo sam pokrenuo podešavanje preko Android aplikacije, ali tu nema ni delić podešavanja, pa posle toga nisam uspevao da ga povežem sa controller-om. Na kraju nekako preko ssh uspem.

Uglavnom, imam problem da napravim hairpin nat. Klasičan port forwarding radi za pristup HASS van kućne mreže preko duckdns, odnosno preko javne IP adrese. Međutim, kada sam u lokalnoj mreži isto to ne radi, i vidim da je rešenje taj hairpin nat, ali iz nekog razloga ne uspevam da podesim, zna li neko nešto više o tome?

Ostaje da podesim VLAN-ove, i različite DHCP pool-ove za svaki... Ima još posla