Small office

[Mihailo02]

Uhh, odakle poceti... U planu imam, pretpostavljam da je pravi termin server, koji bi istovremeno sluzio za vise stvari. Nas, cloud, pfsense, surveillance, print server mozda jos nesto ako bude predloga... Ne zamerite ako bude glupih pitanja, prvi put se susrecem sa ovim... 😅

U pitanju je manja porodicna firma, trenutno imamo 5-6 racunara i sada funkcionisemo tako sto svako na svom racunaru ima svoje podatke i 2 deljena foldera gde skladistimo podatke koji treba da su nam svima dostupni. Sve je povezano izuzetno traljavo, telekom modem, switch i to je to... Nista podeseno nije, podacima moze da pristupi svako ko se nakaci na wifi. U prilog nam ne ide i to sto neke kolege ne razmisljaju sta skidaju i koje sajtove posecuju...

Zamisao je da ubuduce svi podaci budu na tom serveru, na kom bi na neki nacin bili instalirani recimo truenas, nextcloud, pfsense i mozda jos nesto. To bih spakovao u neki reck gde bi stajao i ups, switch, ruter, modem i sta sve treba. Kablovi su cat 5e i njih bi zadrzali, jer smo shvatili da nemamo potrebe za vecim protokom od 1gbit. I ostalu potrebnu opremu bismo uzimali u skladu sa tim, po najvise zbog cene. Ako se ukaze mogucnost da za neku malu razliku u ceni nabavimo neku bolju/brzu opremu, i time dobijemo protok od 2.5/10gbit na nekom racunaru, sto da ne... Na dva racunara postoje 2.5gbit portovi... Pored racunara, imamo ploter i stampac koji nemaju opciju povezivanja na mrezu i kopir uredjaj koji ima. U planu je par kamera, pa je ideja ako moze da se taj server iskoristi i kao snimac.

Razmisljao sam da kupim neki polovan server ali sam otvoren i za predloge oko sklapanja neke konfiguracije. Svakako bih voleo da resenje bude na duze staze, pa bih gledao da bude malo jaca konfiguracija sa vise ecc rama... Na kp ima nekih dual xeon servera sa 64/128gb rama i redundantnim napajanjima, ali me od istih odbija buka... Za sistem i aplikacije sam planirao dva ssda u nekom raidu, za nas i cloud nam je dovoljno 3-4tb, a posto imam jedan wd red od 4tb, probao bih da nadjem jos jedan isti... Za surveillance takodje vec imam neki wd purple.

E sad... Da li je pametnije da kao i do sad svako radi na svom racunaru (a njih mozda bekapovati na nas?), a pored toga nas koristiti za podatke koji treba da su svima dostupni ili na nasu svakome dodeliti neki prostor i posebno ostaviti particiju za te zajednicke podatke?
Da li je moguce da ta zajednicka particija na nasu bude dostupna i kao cloud ili to nije pametno?
Da li se pored 2-3 kamere u kancelariji, isti hard i sistem mogu koristiti za kamere van kancelarije?
Jednu kameru bih stavio da pokriva taj rack, ali da li postoji nacin dodati jos neki senzor i software koji bi mogao da me obavesti preko telefona u slucaju nekog problema/havarije?
Ups sam takodje gledao na kp, isao bih na neku online varijantu, po mogucnosti da izgura bar pola sata...
Switch trenutno imamo neki tp-link sa 16 portova od 100mbit i njega bih menjao, ali nemam apsolutno ideju sta bih uzeo, i da li se na taj novi switch mogu povezati i racunari i kamere?
Pretpostavljam da bi se ovaj telekomov modem prebacio u bridge mode, da li to znaci da ga vise ne mogu koristiti za wifi?
Sta je najpovoljnija opcija da se podaci sa nasa bekapuju na neku drugu lokaciju?

Jos jednom, ne zamerite ako sam se izlupetao, svaka pomoc je dobrodosla...

 

[alex303]

Uhh, odakle poceti... U planu imam, pretpostavljam da je pravi termin server, koji bi istovremeno sluzio za vise stvari. Nas, cloud, pfsense, surveillance, print server mozda jos nesto ako bude predloga... Ne zamerite ako bude glupih pitanja, prvi put se susrecem sa ovim... 😅

Nikako nebi išao na varijatnu da jedan server služi za sve. U slučaju havarije ostaješ bez svega pa čak i bez interneta A praviti HA setup sa backup serverom je prevelika investicija za SO. Moja preporuka je sledeća.

pfSense router/firewall dedicated x86 PC.
Za kamere neki NVR/DVR uređaj.
NAS neki Synology sa najmanje 4 diska koji će obezbediti redunantnost podataka.
Cloud rešenje dolazi u obzir samo ako je self hosted.
Switch zameniti nekim boljim gigabitnim managed switchem.
Za wireless postaviti Ubiquiti ili Grandstream access pointove na plafon.

U pitanju je manja porodicna firma, trenutno imamo 5-6 racunara i sada funkcionisemo tako sto svako na svom racunaru ima svoje podatke i 2 deljena foldera gde skladistimo podatke koji treba da su nam svima dostupni. Sve je povezano izuzetno traljavo, telekom modem, switch i to je to... Nista podeseno nije, podacima moze da pristupi svako ko se nakaci na wifi. U prilog nam ne ide i to sto neke kolege ne razmisljaju sta skidaju i koje sajtove posecuju...

Za ovo je potrebno podesiti pfSense da radi IPS/IDS i DNSBL sa restriktivnim firewall pravilima.

Zamisao je da ubuduce svi podaci budu na tom serveru, na kom bi na neki nacin bili instalirani recimo truenas, nextcloud, pfsense i mozda jos nesto. To bih spakovao u neki reck gde bi stajao i ups, switch, ruter, modem i sta sve treba. Kablovi su cat 5e i njih bi zadrzali, jer smo shvatili da nemamo potrebe za vecim protokom od 1gbit. I ostalu potrebnu opremu bismo uzimali u skladu sa tim, po najvise zbog cene.

Kao što rekoh gore, izbegavaj da sve bude na jednom centralizovanom mestu jer u tom slučaju praviš single point of failure.

Ako se ukaze mogucnost da za neku malu razliku u ceni nabavimo neku bolju/brzu opremu, i time dobijemo protok od 2.5/10gbit na nekom racunaru, sto da ne...

U startu gledaj da PC koji će hostovati pfSense bude sa 2.5Gbps NIC-ovima čisto da u budućnosti možeš da odradiš upgrade ako je baš BAŠ potrebno. Za sada, nema potrebe da bacaš pare na 2.5 ili nedaj bože 10Gbps mrežu jer su svičevi preskupi.

Razmisljao sam da kupim neki polovan server ali sam otvoren i za predloge oko sklapanja neke konfiguracije. Svakako bih voleo da resenje bude na duze staze, pa bih gledao da bude malo jaca konfiguracija sa vise ecc rama... Na kp ima nekih dual xeon servera sa 64/128gb rama i redundantnim napajanjima, ali me od istih odbija buka... Za sistem i aplikacije sam planirao dva ssda u nekom raidu, za nas i cloud nam je dovoljno 3-4tb, a posto imam jedan wd red od 4tb, probao bih da nadjem jos jedan isti... Za surveillance takodje vec imam neki wd purple.

Nikako polovno.

E sad... Da li je pametnije da kao i do sad svako radi na svom racunaru (a njih mozda bekapovati na nas?), a pored toga nas koristiti za podatke koji treba da su svima dostupni ili na nasu svakome dodeliti neki prostor i posebno ostaviti particiju za te zajednicke podatke?

Neka svako radi na svom računaru, stim da će se na NAS-u raditi daily backup na kraju radnog vremena koji će backupovati samo deltu.

Da li je moguce da ta zajednicka particija na nasu bude dostupna i kao cloud ili to nije pametno?

Sve može da bude dostupno na cloud-u. Ali zlatno pravilo je da ne žrtvuješ sigurnost zarad zgoditka. Synology ima implementiran sistem koji štiti od RansomWare-a koji potencijalno može da pokupi neko na klijent mašinama. Tako da, pristup treba biti maksimalno restriktivan i ograničen. Nikako ne treba praviti zgoditke radnicima tako što ćeš bušiti rupe u mreži.

Da li se pored 2-3 kamere u kancelariji, isti hard i sistem mogu koristiti za kamere van kancelarije?

Ako imaš javni IP i VPN, pristup od spolja je moguć.

Jednu kameru bih stavio da pokriva taj rack, ali da li postoji nacin dodati jos neki senzor i software koji bi mogao da me obavesti preko telefona u slucaju nekog problema/havarije?

Postoji.

Ups sam takodje gledao na kp, isao bih na neku online varijantu, po mogucnosti da izgura bar pola sata...

Nikako KP. Kupi novi APC ups i nemoj se igrati sa takvim stvarima.

Switch trenutno imamo neki tp-link sa 16 portova od 100mbit i njega bih menjao, ali nemam apsolutno ideju sta bih uzeo, i da li se na taj novi switch mogu povezati i racunari i kamere?

To zavisi od kamere. Što se switch-a tiče, preporučujem D-Link DGS-1210-24P PoE switch. Odličan balans između kvaliteta i performansi za 1Gbps mrežu.

Pretpostavljam da bi se ovaj telekomov modem prebacio u bridge mode, da li to znaci da ga vise ne mogu koristiti za wifi?

Ako ga prebaciš u bridge, nema više WiFi. WiFi svakako nebi trebao da se oslanja na jeftin telekomov uređaj. Investiraj u Grandstream ili Ubiquiti access pointove koje ćeš montirati na plafonu i to će ti biti dugoročno, sigurno i pouzdano rešenje. Takođe ti daje mogućnost da odvojiš WiFi za goste i radnike u odvojene mreže radi sigurnosti. Za goste se može omogućiti prijavljivanje na WiFi preko captive portala u koji možeš da staviš logo ili reklamu svoje firme. Ovo je mala stvar koja odaje utisak profesionalizma i ozbiljnosti.

Sta je najpovoljnija opcija da se podaci sa nasa bekapuju na neku drugu lokaciju?

Drugi NAS koji će biti offline.

I da napomenem da je setup svega ovoga poprilično veliki posao sa kojim ne može da se nosi neko ko je početnik. Nemoj misliti da te omalovažavam ili bilo šta slično. Nabaviti sve ovo, povezati i pustiti u rad je jedna stvar. Iskonfigurisati sve ovo tako da bude sigurno i da radi kako treba, je skroz druga priča.

 

[ness1602]

Ja koliko vidim tebi bi zavrsio posao kao sto alex kaze prvo jedan firewall, sasvim je ok neki pfsense/opnsense ili sta god ti odgovara.
Druga stvar,posto imas sirok dijapazon potreba, digni jedan hipervizor(proxmox) sa gomilom vm/ct koji bi ti radile sve te poslove. Nekako mi se cini da ti iskace iz NAS-a sve tvoje potrebe,a ipak ako imas vm/ct za svaku potrebu(bilo to fileserver,bilo nvr softver bilo sta drugo), mozes uvek da radis bekape istih na neku drugu lokaciju,lokalni disk ili sta god vec imao kao opciju.
Moze naravno i NAS,tipa OMV sa docker aplikacijama pa da sve to sinhronizujes negde udaljeno,ali mi se cini da bi tebi bilo robusnije hipervizor.

 

[Space Beer]

U prilog nam ne ide i to sto neke kolege ne razmisljaju sta skidaju i koje sajtove posecuju...

Ovaj problem neće rešiti nijedan hardver ili softver, bilo bi dobro kad bi im skrenuo pažnju na takve stvari

Nisi rekao šta je delatnost firme, tj. o kakvim se fajlovima radi? Koliko se podataka od tih 3-4TB menja aktivno, a koliko je samo arhiva (fotografije, izveštaji i sl), sa koliko korisnici rade a koliko su zajednički podaci. Ima li potrebe da se pristupa svim tim fajlovima van lokacije? Koliko često postoji potreba da više ljudi radi na istom fajlu?

 

[Mihailo02]

Arhitektura i gradjevina su u pitanju.
Za sada nismo istovremeno radili na istim fajlovima ali postoji namera da u nekom trenutku isprobamo i to, posto neki programi pruzaju takvu mogucnost.
Sto se ostalih podataka tice, vecina je arhivskog tipa, znaci projekti koji su zavrseni ili u nekoj fazi cekanja. Aktivnih projekata ima do 10ak, ali se i nekim starijim projektima cesto pristupa zbog share-ovanja ili cisto neke provere radi. Zbog toga sam i pitao da li je pametno da da se nasu pristupa van lokacije... Sa druge strane, cesto postoji potreba da se neki od tih fajlova posalju saradnicima, pa sam mislio da tim fajlovima omogucim pristup na neko vreme... Mada mi je od samog starta jasno da nije dobra ideja...
Inace smo daleko i od 1tb, pa zato kazem da ce 3-4 biti dovoljno za neki naredni period.
Sto se fajlova tice, uglavnom su to word, excel, dwg i pln, od kojih samo pln(archicad) umeju biti po par stotina mb, sve ostalo je daleko manje...
Konto ovih stvari sto se skidaju i raznih sajtova koji se posecuju, uglavnom su to neki .ru sajtovi koji masovno iskacu u pretrazi za nekom strucnom literaturom i vecina informacija je los prevod sa nekih ruskih foruma ali se koleginice cesto zalete ne gledajuci sta otvaraju...

Sutra cu probati da odgovorim na prva dva odgovora...

 

[ness1602]

Sto se tice shareovanja spolja, tu je nextcloud i privremeno shareovanje odlicna stvar,barem tako ja koristim sa spoljnim korisnicima. Tipa 5 downlodova/7 dana dostupan i link i nema problema.

 

[Mihailo02]

Da ne citiram i ne odgovaram ponaosob, bice kilometarski post...

I meni se ne svidja centralizovano resenje, pogotovu od koga bi zavisio i sam net, ali sa druge strane mi se cini da je veca mogucnost otkazivanja jednog od nekoliko uredjaja, koje verovatno ne mogu platiti u nekom ekstra kvalitetu. Ovako mogu sastaviti jedan krsten racunar, koji ce kostati manje i trositi manje(zahteva manji ups). Odvajanje kamera je najmanji problem i to cu najlakse resiti, pogotovu sto mi nije neophodno da u slucaju nestanka struje i one rade... A one su mi generalno sekundarna stvar u celoj prici...
To me dovodi do novog pitanja, ako kamere budu zaseban sistem, da li se jedan switch moze koristiti i za njih i za mrezu?

Da li neki od ova dva switcha uzimati u razmatranje? (Prvi , drugi) Recimo da bih neki od njih mogao dobiti...

Ono sto mi se cini kao prednost da svi podaci budu na serveru a ne na svakom racunaru, je laksa zamena tih racunara ili ponovno dizanje sistema. Mada secam se jedne teme sa foruma gde su ljudi imali problem sa autocadom i synology nasom(ac zakucava), tako da se takvo koriscenje moze ispostaviti kao lose. U nekoj drugoj temi sam video da je ljudima predlozeno da se nextcloud koristi i kao file server... Da li je to validna opcija u varijanti da i dalje svako radi na svom racunaru a da se samo bekapuju razlike? I pored bekapa da i dalje postoji jedan zajednicki folder?
Ponovo pominjem cloud=shared folder, jer trenutno jako puno fajlova koje imamo na tim deljenim particijama, imamo i na google drive-u, neretko i u vise varijanti ili vise kopija. A sve zbog deljenja sa saradnicima ili investitorima. U slucaju da imamo svoj cloud, sa sigurnoscu bih znao sta je kome poslato, ne moram da razmisljam da li ce neko mozda posle godinu dana sa google drivea skinuti pogresnu verziju... Dakle drugima se daje mogucnost samo citanja fajlova.

Sto se pfsensea tice, ok mi je resenje i njega da odvojimo, samo ostaje bojazan sa pocetka ovog posta, da mi se cini kao veca verovatnoca da zakaze on kao takav nego ako radi kao vm. Ako mislite da je pametnije da on radi odvojeno, i da vise nista ne radi kao vm, onda cu ici na tu varijantu... (moze i predlog sta pazariti) Nikakvog znanja vezano za pfsense nemam, pa ne znam ni koliko je izvodljivo u slucaju da to neko sve lepo podesi, to ubuduce bude deo koji se ne pipa... 😂 Alex je pomenuo da synology ima implementiran sistem za zastitu od ransomwarea, da li to znaci da pfsense ne predstavlja zastitu te vrste?

U okviru biznis paketa imamo i staticku ip adresu, ne znam da li je javna. (kako to da saznam? 😅)

Za server sam razumeo, nista polovno, tu sam imao ideju da uzmem neki ryzen pro apu, tipa 5750g, ali ako vec nema potrebe za vm, onda dolazi u obzir i nesto slabije, i 32gb rama... Ima li smisla insistirati da to bude ecc ram?
Ali ups trenutno nema sanse da jurim online i nov. Da li ipak ici na par godina star apc sa novim baterijama ili odloziti kupovinu dok se ne ukaze prilika za nov?

Resenje za wifi sam pretpostavio, tako ce i biti...
Pretpostavih i za bekap na drugi nas, ali i to ce morati da saceka malo.. U medjuvremenu ce se verovatno koristiti drive koji svakako i sad placamo, makar za najbitnije podatke...

Sto se povezivanja i pustanja u rad tice, to mi je jasno, niti je bila namera, dovoljno je bilo ruleta do sad sa ovakvim postavkama... Kad se vec ulaze u ovako nesto, zelim da to bude svrsishodno...

 

[alex303]

I meni se ne svidja centralizovano resenje, pogotovu od koga bi zavisio i sam net, ali sa druge strane mi se cini da je veca mogucnost otkazivanja jednog od nekoliko uredjaja, koje verovatno ne mogu platiti u nekom ekstra kvalitetu.

Ima ekstra kvalitet ako si spreman da platiš. Na primer, ovako nešto ili ovako.

ako kamere budu zaseban sistem, da li se jedan switch moze koristiti i za njih i za mrezu?

Može ako imaš dovoljno portova i ako switch ima Layer 3 mogućnosti.

Da li neki od ova dva switcha uzimati u razmatranje? (Prvi , drugi) Recimo da bih neki od njih mogao dobiti...

Porediš 2 potpuno različita switch-a. Jedan ima PoE drugi ne. Ne mogu da preporučim ni jedan, ni drugi, jer ni sa jednim nisam imao iskustva. Treba se držati proverenih rešenja.

Ono sto mi se cini kao prednost da svi podaci budu na serveru a ne na svakom racunaru, je laksa zamena tih racunara ili ponovno dizanje sistema. Mada secam se jedne teme sa foruma gde su ljudi imali problem sa autocadom i synology nasom(ac zakucava), tako da se takvo koriscenje moze ispostaviti kao lose.

Sad već zalazimo u filozofiju i nagađanje gde niko ne može da ti da konkretan odgovor. Šta i kako, ćeš znati kada nabaviš sve što je potrebno.

U nekoj drugoj temi sam video da je ljudima predlozeno da se nextcloud koristi i kao file server... Da li je to validna opcija u varijanti da i dalje svako radi na svom racunaru a da se samo bekapuju razlike? I pored bekapa da i dalje postoji jedan zajednicki folder?

To nije tema. Tebi je bitno da postoji hardware koji će ti omogućiti da realizuješ onu opciju koja TEBI odgovara.

Ponovo pominjem cloud=shared folder, jer trenutno jako puno fajlova koje imamo na tim deljenim particijama, imamo i na google drive-u, neretko i u vise varijanti ili vise kopija. A sve zbog deljenja sa saradnicima ili investitorima. U slucaju da imamo svoj cloud, sa sigurnoscu bih znao sta je kome poslato, ne moram da razmisljam da li ce neko mozda posle godinu dana sa google drivea skinuti pogresnu verziju... Dakle drugima se daje mogucnost samo citanja fajlova.

Samo je selfhosted cloud nad kojim imaš punu kontrolu, pravo rešenje. Sve ostalo nebih razmatrao. Pogotovo ne google i razna remote cloud rešenja.

Sto se pfsensea tice, ok mi je resenje i njega da odvojimo, samo ostaje bojazan sa pocetka ovog posta, da mi se cini kao veca verovatnoca da zakaze on kao takav nego ako radi kao vm.

pfSense ne zakazuje. Zakazuje samo hardware na kojem je pfSense instaliran. Dok god je hardware kvalitetan, nema problema. Što se VM-a tiče, ta varijanta je zgodna iz razloga koje si naveo, ali ja mogu da navedem barem još 10 razloga zbog kojih je treba izbegavati.

Ako mislite da je pametnije da on radi odvojeno, i da vise nista ne radi kao vm, onda cu ici na tu varijantu... (moze i predlog sta pazariti) Nikakvog znanja vezano za pfsense nemam, pa ne znam ni koliko je izvodljivo u slucaju da to neko sve lepo podesi, to ubuduce bude deo koji se ne pipa... 😂

Pametnije je da pfSense bude na dedicated kvalitetnoj mašini koja će sama praviti daily config backup. U slučaju totalne havarije, pfSense se reinstalira za 2 minuta, a config backup ga za 5 minuta vraća i prvobitno stanje.

Alex je pomenuo da synology ima implementiran sistem za zastitu od ransomwarea, da li to znaci da pfsense ne predstavlja zastitu te vrste?

Da i ne. Šta će biti od ova dva, zavisi od toga kako ćeš odraditi mrežu i koliko si daleko spreman da ideš da bi sve osigurao.

Suricata i Snort koji pfSense-u daju Layer 7 mogućnosti, daju delimičnu zaštitu od ransomware-a, virusa, i ostalih malicioznih aplikacija čija zloćudna priroda zavisi od toga da li mogu da uspostave vezu sa internetom ili ne.

Da bi zaštita bila potpuna, potrebno je da pfSense bude "man in the middle" između računara i interneta. U tom slučaju, pfSense dekriptuje kompletan TCP/IP saobraćaj i vrši deep packet inspection gde u network paketima može da prepozna da u dolazećem saobraćaju postoji maliciozni kod i spreči da taj saobraćaj uopđte dođe do računara. Imaj na umu da je dekripcija dolazećeg saobraćaju u letu vrlo CPU intenzivan proces a pfSense MITM setup nije ni malo jednostavan. Ovako podešen sistem treba nadgledati barem mesec dana dok se ne oforme svi neophodni rulovi.

U okviru biznis paketa imamo i staticku ip adresu, ne znam da li je javna. (kako to da saznam? 😅)

Vidi da li se adresa koja je u samom routeru poklapa sa adresom koju prikazuje na primer ipchicken.

Za server sam razumeo, nista polovno, tu sam imao ideju da uzmem neki ryzen pro apu, tipa 5750g, ali ako vec nema potrebe za vm, onda dolazi u obzir i nesto slabije, i 32gb rama... Ima li smisla insistirati da to bude ecc ram?

Nemaš potrebe za ECC ramom ako uzmeš iole kršten sistem. Ti nisi veliki data centar nego SOHO sredina.

Ali ups trenutno nema sanse da jurim online i nov. Da li ipak ici na par godina star apc sa novim baterijama ili odloziti kupovinu dok se ne ukaze prilika za nov?

Bolje ganc nov APC ups, nego server sa ECC ram memorijom.

Resenje za wifi sam pretpostavio, tako ce i biti...
Pretpostavih i za bekap na drugi nas, ali i to ce morati da saceka malo.. U medjuvremenu ce se verovatno koristiti drive koji svakako i sad placamo, makar za najbitnije podatke...

Samo gledaj da to privremeno rešenje ne ostane permanentno. Znam dosta ljudi sa tim "privremenim" rešenima.

Sto se povezivanja i pustanja u rad tice, to mi je jasno, niti je bila namera, dovoljno je bilo ruleta do sad sa ovakvim postavkama... Kad se vec ulaze u ovako nesto, zelim da to bude svrsishodno...

Pored svog ovog hardware-a i sve ove teorije, ti moraš polako da počneš da tražiš izvođača svih ovih radova i da tom izvođaču prezentuješ šta ti je sve potrebno i da dođeš do neke cifre ili više cifara. Ovo nije mala investicija, niti se implementacija ovakvih rešenja završava preko foruma. Spremi se da, ili odrešiš kesu da ti neko sve ovo odradi, ili da drastično spustiš kriterijume i očekivanja.

 

[ness1602]

I meni isto lelujas na sve strane. Moras da popises sta ti treba od aplikacija i resursa, i da onda malo to bolje srocis. Pfsense/opnsense radi i kao VM unutar proxmox-a,ali ako ti prsne proxmox ode i pfsense, los upgrade itd itd.

 

[Mihailo02]

Ima ekstra kvalitet ako si spreman da platiš. Na primer, ovako nešto ili ovako.

Jasno mi je da postoji, zato i rekoh da ga verovatno ne mogu platiti. (pored svega ostalog)

Porediš 2 potpuno različita switch-a. Jedan ima PoE drugi ne. Ne mogu da preporučim ni jedan, ni drugi, jer ni sa jednim nisam imao iskustva. Treba se držati proverenih rešenja.

Bio sam ubedjen da je i drugi poe. Njih bih dobio po nekoj povoljnijoj ceni i kroz kompenzaciju, pa zato pitah...

Sad već zalazimo u filozofiju i nagađanje gde niko ne može da ti da konkretan odgovor. Šta i kako, ćeš znati kada nabaviš sve što je potrebno.
To nije tema. Tebi je bitno da postoji hardware koji će ti omogućiti da realizuješ onu opciju koja TEBI odgovara.

I meni isto lelujas na sve strane. Moras da popises sta ti treba od aplikacija i resursa, i da onda malo to bolje srocis.

Sto bi rekli, u tom grmu lezi zec... Tako se i ja osecam kad ljudi dodju kod mene za projektovanje, pa treba da im citam misli.
Podosta vremena sam proveo sto gledajuci sto citajuci konto svega ovoga, sa idejom kad vec pravim nesto, da iskoristim hardware na sto bolji nacin, ali je to ocigledno u suprotnosti sa svrhom. A svrha je da se obezbedi sigurnost i stalna dostupnost podataka. Vidim i ja da sam se pogubio sa zeljama i mogucnostima... 😅 A problem je sto izgleda i ne znam sta nam konkretno treba a ja bih da odjednom pokrijem sto vise. Upravo iz tog razloga sam krenuo sa mnogo nabacanih pitanja, ali bez jasnog cilja. Nacelno i jesam dobio odgovore koje me vode u dobrom smeru ili sam kroz neke druge teme eliminisao neke ideje sa pocetka...

Samo je selfhosted cloud nad kojim imaš punu kontrolu, pravo rešenje. Sve ostalo nebih razmatrao. Pogotovo ne google i razna remote cloud rešenja.

Samo na to sam i mislio. Pomenuh u prethodnom postu google drive i da na njega bekapujem sve ovo sto bih pravio, ali to samo kao privremeno resenje dok ne resim i drugi offsite nas.

pfSense ne zakazuje. Zakazuje samo hardware na kojem je pfSense instaliran. Dok god je hardware kvalitetan, nema problema. Što se VM-a tiče, ta varijanta je zgodna iz razloga koje si naveo, ali ja mogu da navedem barem još 10 razloga zbog kojih je treba izbegavati.

Pametnije je da pfSense bude na dedicated kvalitetnoj mašini koja će sama praviti daily config backup. U slučaju totalne havarije, pfSense se reinstalira za 2 minuta, a config backup ga za 5 minuta vraća i prvobitno stanje.

Da i ne. Šta će biti od ova dva, zavisi od toga kako ćeš odraditi mrežu i koliko si daleko spreman da ideš da bi sve osigurao.

Suricata i Snort koji pfSense-u daju Layer 7 mogućnosti, daju delimičnu zaštitu od ransomware-a, virusa, i ostalih malicioznih aplikacija čija zloćudna priroda zavisi od toga da li mogu da uspostave vezu sa internetom ili ne.

Da bi zaštita bila potpuna, potrebno je da pfSense bude "man in the middle" između računara i interneta. U tom slučaju, pfSense dekriptuje kompletan TCP/IP saobraćaj i vrši deep packet inspection gde u network paketima može da prepozna da u dolazećem saobraćaju postoji maliciozni kod i spreči da taj saobraćaj uopđte dođe do računara. Imaj na umu da je dekripcija dolazećeg saobraćaju u letu vrlo CPU intenzivan proces a pfSense MITM setup nije ni malo jednostavan. Ovako podešen sistem treba nadgledati barem mesec dana dok se ne oforme svi neophodni rulovi.

Pfsense/opnsense radi i kao VM unutar proxmox-a,ali ako ti prsne proxmox ode i pfsense, los upgrade itd itd.

Ovakvi odgovori mi stvarno pomazu, znaci pfsense moze kao vm, ali nije pametno. Onda idemo na poseban uredjaj. Podesavanjem se nadam da ce se baviti neko iskusniji...

Vidi da li se adresa koja je u samom routeru poklapa sa adresom koju prikazuje na primer ipchicken.

Jeste.

Pored svog ovog hardware-a i sve ove teorije, ti moraš polako da počneš da tražiš izvođača svih ovih radova i da tom izvođaču prezentuješ šta ti je sve potrebno i da dođeš do neke cifre ili više cifara. Ovo nije mala investicija, niti se implementacija ovakvih rešenja završava preko foruma. Spremi se da, ili odrešiš kesu da ti neko sve ovo odradi, ili da drastično spustiš kriterijume i očekivanja.

Ovo je sad problematicno. Lokacija je Valjevo, i svi meni poznati izvodjaci su sve sami "strucnjaci". Poslednji put se angazovanje strucnjaka svelo na umrezavanje sa pocetka teme. Otuda i zelja da se krene sa jasnim definisanjem na forumu. Probacu veceras da popisem hardware koji sam imao na umu...

Hvala vam ljudi!

 

[alex303]

Jasno mi je da postoji, zato i rekoh da ga verovatno ne mogu platiti. (pored svega ostalog)

Onda nema govora o nekoj pouzdanosti na duže staze ako već u samom startu gledaš da uštediš.

Bio sam ubedjen da je i drugi poe. Njih bih dobio po nekoj povoljnijoj ceni i kroz kompenzaciju, pa zato pitah...

Vidi ako mogu da ti nađu Hyundai u PoE varijanti. Ako ne, onda ta Dahua. Ali važi isto pravilo kao ono od gore. Tako da...

Sto bi rekli, u tom grmu lezi zec... Tako se i ja osecam kad ljudi dodju kod mene za projektovanje, pa treba da im citam misli.
Podosta vremena sam proveo sto gledajuci sto citajuci konto svega ovoga, sa idejom kad vec pravim nesto, da iskoristim hardware na sto bolji nacin, ali je to ocigledno u suprotnosti sa svrhom. A svrha je da se obezbedi sigurnost i stalna dostupnost podataka. Vidim i ja da sam se pogubio sa zeljama i mogucnostima... 😅 A problem je sto izgleda i ne znam sta nam konkretno treba a ja bih da odjednom pokrijem sto vise. Upravo iz tog razloga sam krenuo sa mnogo nabacanih pitanja, ali bez jasnog cilja. Nacelno i jesam dobio odgovore koje me vode u dobrom smeru ili sam kroz neke druge teme eliminisao neke ideje sa pocetka...

Pa evo ja ću da budem brutalno iskren prema tebi. Ja vidim da tražiš neki balans između cene i performansi, a takva priča se obično loše završi. Sve što uštediš u startu ćeš kasnije platiti kroz razne probleme i zastoje. Da ne citiram naše poslovice ... sigurno znaš na šta mislim. Ceo taj setup, ako se ikada desi, će biti stabilan onoliko koliko je stabilna najslabija karika u celom tom lancu. Još jednom. Dobro razmisli i preispitaj svoje želje, očekivanja i mogućnosti.

Ovakvi odgovori mi stvarno pomazu, znaci pfsense moze kao vm, ali nije pametno. Onda idemo na poseban uredjaj. Podesavanjem se nadam da ce se baviti neko iskusniji...

Teško ćeš naći nekoga ko zna pfSense. Oni koji su stručni po pitanju umrežavanja i sigurnosti svi furaju Cisco, PaloAlto, Fortinet i ostala gotova rešenja koja se plaćaju na godišnjem nivou. Ako ih pitaš za nešto povoljnije, obično se preporučuje MikroTik u besplatnoj ili plaćenoj varijanti u zavisnosti od toga što ti treba. U krajnjem slučaju se ide na Ubiquiti Dream Machine. Ako ideš na pfSense, gotovo sam siguran da ćeš sve morati sam.

Ovo je sad problematicno. Lokacija je Valjevo, i svi meni poznati izvodjaci su sve sami "strucnjaci". Poslednji put se angazovanje strucnjaka svelo na umrezavanje sa pocetka teme. Otuda i zelja da se krene sa jasnim definisanjem na forumu. Probacu veceras da popisem hardware koji sam imao na umu...

Tebi je ovo mnogo veći problem nego odabir i nabavka hardware-a. Pošto nemaš nikoga da ti to sve odradi, moja preporuka ti je da ne nabavljaš sve odjednom, nego da ideš postepeno korak po korak. Za početak, nabavi neki solidan uređaj za pfSense sa barem 6 portova i PoE switch. Osiguraš mrežu i ljude u mreži. Preko foruma možemo da ti pomognemo da to sve polako podesiš kako treba. Kad kompletiraš pfSense setup, onda ćeš već imati neko znanje i moći ćeš da počneš da razmišljaš o nabavci ostatka hardware-a.

 

[mickeyrs]

Super tema, a taman pravi momenat da uskočim, pošto sam u sličnoj situaciji kao OP, s tim da sam ja još uvek samostalan i tek postavljam sistem koji je dosta sličan pomenutom - s tim da je kod mene nekoliko Lenovo Tiny M920x i P320 mašinica koje bi opsluživale routing server nas i tako te funkcije.
Imam po 2 identične tako da je uvek jedna bekap u slučaju da nešto vrisne, znam da je bolje rešenje namenski NAS itd, ali za sada je ideja i da se malo nauči nešto novo. Pa kad se lupi glavom o zid da nešto ne može, lako se kupi nov hardver.

Generalno, LAN portove (imam 7 komada razvedenih) bih hteo da ograničim na 'poslovni deo' mreže gde su MF printer/skener, NAS sa poslovnim podacima, laptop i desktop, eventualno još neka radna stanica u budućnosti.
Potencijalno se razmatra i neki video nadzor koji bi se pridodao ovom delu mreže, da li putem kabla ili bežično, otompotom.

Guest wifi bi bio zaseban, 'kućni net' zaseban (uglavnom multimedia deo nas servera, home assistant i razni smart uređaji) i to bi sve išlo preko wifi, AP bi bio uboden u poseban port na pfSense mašini gde mogu da mu dodelim poseban vlan i to je izolovano od ostatka mreže.
Glavno pitanje je, pošto je ceo kablirani deo 'poslovni', kako onemogućiti pristup random uređaju da se nakači na lan portove bez managed switcha koji bi blokirao po MAC adresama sve nepoznate uređaje? Odnosno, da li je to uopšte izvodljivo u planiranom setupu ili postoji neko bolje rešenje?

Trenutno nije to neki prioritet jer malo ko dolazi sa laptopom i željom da se poveže na mrežu kablom umesto preko wifi, ali u perspektivi kada stigne pojačanje u vidu kolega, neću moći da nadgledam ko je doneo svoj privatni računar koji mu je 'bilo zgodnije' da nakači na kabl umesto na wifi...
Prema ovoj temi na netgate forumu, morao bih da u pfSense blokiram sve osim fiksnih IP adresa dodeljenih uređajima po MAC adresama, nije kao da je preveliki posao za do 7 portova, samo da li je ispravan rezon?

 

[alex303]

Glavno pitanje je, pošto je ceo kablirani deo 'poslovni', kako onemogućiti pristup random uređaju da se nakači na lan portove bez managed switcha koji bi blokirao po MAC adresama sve nepoznate uređaje? Odnosno, da li je to uopšte izvodljivo u planiranom setupu ili postoji neko bolje rešenje?

Moguće je. Treba odraditi statičko DHCP mapiranje i uključiti UID funkciju.


Ovako podešen DHCP dodeljuje IP adresu samo uređaju koji je vezan za taj MAC + UID. Tako da, ako neko dođe sa privatnim laptopom i promeni MAC adresu, i dalje neće moći da se poveže jer se UID ne poklapa. Takođe neće moći da se poveže ako nakači službeni laptop i recimo sa USB-a digne neki drugi OS. Ovo pravilo važi bez obzira da li se klijent povezuje direktno na port ili preko WiFi-a. Stim da je za povezivanje na WiFi potrebno napraviti još jedno statičko mapiranje sa istim podešavanjima jer se MAC adresa od LAN adaptera razlikuje od MAC adrese WLAN adaptera.

Jedina mana je što, ako reinstaliraš sistem na službenom laptopu, onda moraš da obrišeš postojeće mapiranje i da napraviš drugo.

Trenutno nije to neki prioritet jer malo ko dolazi sa laptopom i željom da se poveže na mrežu kablom umesto preko wifi, ali u perspektivi kada stigne pojačanje u vidu kolega, neću moći da nadgledam ko je doneo svoj privatni računar koji mu je 'bilo zgodnije' da nakači na kabl umesto na wifi...

Imaj na umu da pfSense loguje apsolutno sve. Tako da, i kad napraviš statičko mapiranje, moći ćeš da vidiš da li je neko pokušao da se nakači na port direktno. Loguje se MAC adresa i OS identifier ako postoji. Ako na uređaju na kojem je instaliran pfSense imaš slobodne portove koji se ne koriste, oni sami po sebi ne rade ništa ako nisu podešeni. Tako da tu nema bojazni od zloupotrebe.

Prema ovoj temi na netgate forumu, morao bih da u pfSense blokiram sve osim fiksnih IP adresa dodeljenih uređajima po MAC adresama, nije kao da je preveliki posao za do 7 portova, samo da li je ispravan rezon?

Bolja je metoda koju sam ti ja preporučio gore.

 

[mickeyrs]

Odlično, to mi je i trebalo kao informacija.

Čisto da podelim info da Dell U2724DE radi MAC passthrough i sa Lenovo laptopa (dokumentacija kaže radi samo sa DELL laptopovima) tako da sam onda rešio i varijantu kad se neko nakači na monitor preko Thunderbolt kabla.
MAC adresa monitora neće imati pristup, jedino MAC adrese sa poslovnih laptopova mogu da prođu do mreže a ostaje dostupan TB kabl za sliku i punjenje.

Nisam napomenuo da je trenutno sve na dumb TPlink TL-SG108-M2 switchu, pretpostavljam da je bolje rešenje da se poslovni deo mreže izoluje u poseban vlan pa da se preko MAC adresa puštaju dozvoljeni uređaji u taj vlan.
Svakako je komfornije jer bi ostali uređaji svi išli u kablirani kućni ili guest deo, ovako su osuđeni samo na WiFi, ali za to treba managed switch... mada u ovom prostoru teško da će biti više razvedenih RJ45 portova zbog manjka kvadrata, tako da to ostaje čisto teoretsko pitanje.

 

[alex303]

pretpostavljam da je bolje rešenje da se poslovni deo mreže izoluje u poseban vlan pa da se preko MAC adresa puštaju dozvoljeni uređaji u taj vlan.
Svakako je komfornije jer bi ostali uređaji svi išli u kablirani kućni ili guest deo, ovako su osuđeni samo na WiFi, ali za to treba managed switch... mada u ovom prostoru teško da će biti više razvedenih RJ45 portova zbog manjka kvadrata, tako da to ostaje čisto teoretsko pitanje.

Obavezno mreže treba da budu odvojene i izolirane jedna od druge. Treba ti 2 porta od kojih će oba biti u odvojenom subnetu. Iz jednog porta ideš u switch i to će biti tvoja poslovna mreža u, recimo, 170.5.5.0/24 subnetu. Drugi port iskonfigurišeš tako da bude u, recimo, 10.50.50.0/24 subnetu i na njega nakačiš access point, i on će služiti za poslovni WiFi. Onda u pfSense-u napraviš novi VLAN, recimo VLAN 50 koji će biti u 10.1.1.1/24 subnetu, i kao parent interface odabereš port 2 koji ide u WiFi access point. A onda na access pointu napraviš još jedan SSID koji će biti VLAN 50, i to će biti tvoja WiFi mreža za goste. Po potrebi možeš aktivirati captive portal.

Naravno, WiFi access point treba da podržava VLAN. Ako ne podržava, obavezno razmisli o nabavci nečeg ozbiljnijeg i sigurnijeg. Kao na primer Ubiquiti U6 Pro ili Grandstream GWN7664 koji podržavaju VLAN i što je tebi možda najbitnije, WPA3.

 

[Gaston]

Iz jednog porta ideš u switch i to će biti tvoja poslovna mreža u, recimo, 170.5.5.0/24 subnetu.

Ja bih samo izbegavao upotrebu javnih adresa u privatnoj mreži. Nije da će Fedex da se potrese, u ovom slučaju
Alex, nije ovo tebi upućeno, znam da ti znaš nego da se neko ko tek ulazi u banderaške vode ne navadi i nabaci sebi bedu za vrat.