Small office

[Mihailo02]

Uhh, odakle poceti... U planu imam, pretpostavljam da je pravi termin server, koji bi istovremeno sluzio za vise stvari. Nas, cloud, pfsense, surveillance, print server mozda jos nesto ako bude predloga... Ne zamerite ako bude glupih pitanja, prvi put se susrecem sa ovim... 😅

U pitanju je manja porodicna firma, trenutno imamo 5-6 racunara i sada funkcionisemo tako sto svako na svom racunaru ima svoje podatke i 2 deljena foldera gde skladistimo podatke koji treba da su nam svima dostupni. Sve je povezano izuzetno traljavo, telekom modem, switch i to je to... Nista podeseno nije, podacima moze da pristupi svako ko se nakaci na wifi. U prilog nam ne ide i to sto neke kolege ne razmisljaju sta skidaju i koje sajtove posecuju...

Zamisao je da ubuduce svi podaci budu na tom serveru, na kom bi na neki nacin bili instalirani recimo truenas, nextcloud, pfsense i mozda jos nesto. To bih spakovao u neki reck gde bi stajao i ups, switch, ruter, modem i sta sve treba. Kablovi su cat 5e i njih bi zadrzali, jer smo shvatili da nemamo potrebe za vecim protokom od 1gbit. I ostalu potrebnu opremu bismo uzimali u skladu sa tim, po najvise zbog cene. Ako se ukaze mogucnost da za neku malu razliku u ceni nabavimo neku bolju/brzu opremu, i time dobijemo protok od 2.5/10gbit na nekom racunaru, sto da ne... Na dva racunara postoje 2.5gbit portovi... Pored racunara, imamo ploter i stampac koji nemaju opciju povezivanja na mrezu i kopir uredjaj koji ima. U planu je par kamera, pa je ideja ako moze da se taj server iskoristi i kao snimac.

Razmisljao sam da kupim neki polovan server ali sam otvoren i za predloge oko sklapanja neke konfiguracije. Svakako bih voleo da resenje bude na duze staze, pa bih gledao da bude malo jaca konfiguracija sa vise ecc rama... Na kp ima nekih dual xeon servera sa 64/128gb rama i redundantnim napajanjima, ali me od istih odbija buka... Za sistem i aplikacije sam planirao dva ssda u nekom raidu, za nas i cloud nam je dovoljno 3-4tb, a posto imam jedan wd red od 4tb, probao bih da nadjem jos jedan isti... Za surveillance takodje vec imam neki wd purple.

E sad... Da li je pametnije da kao i do sad svako radi na svom racunaru (a njih mozda bekapovati na nas?), a pored toga nas koristiti za podatke koji treba da su svima dostupni ili na nasu svakome dodeliti neki prostor i posebno ostaviti particiju za te zajednicke podatke?
Da li je moguce da ta zajednicka particija na nasu bude dostupna i kao cloud ili to nije pametno?
Da li se pored 2-3 kamere u kancelariji, isti hard i sistem mogu koristiti za kamere van kancelarije?
Jednu kameru bih stavio da pokriva taj rack, ali da li postoji nacin dodati jos neki senzor i software koji bi mogao da me obavesti preko telefona u slucaju nekog problema/havarije?
Ups sam takodje gledao na kp, isao bih na neku online varijantu, po mogucnosti da izgura bar pola sata...
Switch trenutno imamo neki tp-link sa 16 portova od 100mbit i njega bih menjao, ali nemam apsolutno ideju sta bih uzeo, i da li se na taj novi switch mogu povezati i racunari i kamere?
Pretpostavljam da bi se ovaj telekomov modem prebacio u bridge mode, da li to znaci da ga vise ne mogu koristiti za wifi?
Sta je najpovoljnija opcija da se podaci sa nasa bekapuju na neku drugu lokaciju?

Jos jednom, ne zamerite ako sam se izlupetao, svaka pomoc je dobrodosla...

 

[alex303]

Uhh, odakle poceti... U planu imam, pretpostavljam da je pravi termin server, koji bi istovremeno sluzio za vise stvari. Nas, cloud, pfsense, surveillance, print server mozda jos nesto ako bude predloga... Ne zamerite ako bude glupih pitanja, prvi put se susrecem sa ovim... 😅

Nikako nebi išao na varijatnu da jedan server služi za sve. U slučaju havarije ostaješ bez svega pa čak i bez interneta A praviti HA setup sa backup serverom je prevelika investicija za SO. Moja preporuka je sledeća.

pfSense router/firewall dedicated x86 PC.
Za kamere neki NVR/DVR uređaj.
NAS neki Synology sa najmanje 4 diska koji će obezbediti redunantnost podataka.
Cloud rešenje dolazi u obzir samo ako je self hosted.
Switch zameniti nekim boljim gigabitnim managed switchem.
Za wireless postaviti Ubiquiti ili Grandstream access pointove na plafon.

U pitanju je manja porodicna firma, trenutno imamo 5-6 racunara i sada funkcionisemo tako sto svako na svom racunaru ima svoje podatke i 2 deljena foldera gde skladistimo podatke koji treba da su nam svima dostupni. Sve je povezano izuzetno traljavo, telekom modem, switch i to je to... Nista podeseno nije, podacima moze da pristupi svako ko se nakaci na wifi. U prilog nam ne ide i to sto neke kolege ne razmisljaju sta skidaju i koje sajtove posecuju...

Za ovo je potrebno podesiti pfSense da radi IPS/IDS i DNSBL sa restriktivnim firewall pravilima.

Zamisao je da ubuduce svi podaci budu na tom serveru, na kom bi na neki nacin bili instalirani recimo truenas, nextcloud, pfsense i mozda jos nesto. To bih spakovao u neki reck gde bi stajao i ups, switch, ruter, modem i sta sve treba. Kablovi su cat 5e i njih bi zadrzali, jer smo shvatili da nemamo potrebe za vecim protokom od 1gbit. I ostalu potrebnu opremu bismo uzimali u skladu sa tim, po najvise zbog cene.

Kao što rekoh gore, izbegavaj da sve bude na jednom centralizovanom mestu jer u tom slučaju praviš single point of failure.

Ako se ukaze mogucnost da za neku malu razliku u ceni nabavimo neku bolju/brzu opremu, i time dobijemo protok od 2.5/10gbit na nekom racunaru, sto da ne...

U startu gledaj da PC koji će hostovati pfSense bude sa 2.5Gbps NIC-ovima čisto da u budućnosti možeš da odradiš upgrade ako je baš BAŠ potrebno. Za sada, nema potrebe da bacaš pare na 2.5 ili nedaj bože 10Gbps mrežu jer su svičevi preskupi.

Razmisljao sam da kupim neki polovan server ali sam otvoren i za predloge oko sklapanja neke konfiguracije. Svakako bih voleo da resenje bude na duze staze, pa bih gledao da bude malo jaca konfiguracija sa vise ecc rama... Na kp ima nekih dual xeon servera sa 64/128gb rama i redundantnim napajanjima, ali me od istih odbija buka... Za sistem i aplikacije sam planirao dva ssda u nekom raidu, za nas i cloud nam je dovoljno 3-4tb, a posto imam jedan wd red od 4tb, probao bih da nadjem jos jedan isti... Za surveillance takodje vec imam neki wd purple.

Nikako polovno.

E sad... Da li je pametnije da kao i do sad svako radi na svom racunaru (a njih mozda bekapovati na nas?), a pored toga nas koristiti za podatke koji treba da su svima dostupni ili na nasu svakome dodeliti neki prostor i posebno ostaviti particiju za te zajednicke podatke?

Neka svako radi na svom računaru, stim da će se na NAS-u raditi daily backup na kraju radnog vremena koji će backupovati samo deltu.

Da li je moguce da ta zajednicka particija na nasu bude dostupna i kao cloud ili to nije pametno?

Sve može da bude dostupno na cloud-u. Ali zlatno pravilo je da ne žrtvuješ sigurnost zarad zgoditka. Synology ima implementiran sistem koji štiti od RansomWare-a koji potencijalno može da pokupi neko na klijent mašinama. Tako da, pristup treba biti maksimalno restriktivan i ograničen. Nikako ne treba praviti zgoditke radnicima tako što ćeš bušiti rupe u mreži.

Da li se pored 2-3 kamere u kancelariji, isti hard i sistem mogu koristiti za kamere van kancelarije?

Ako imaš javni IP i VPN, pristup od spolja je moguć.

Jednu kameru bih stavio da pokriva taj rack, ali da li postoji nacin dodati jos neki senzor i software koji bi mogao da me obavesti preko telefona u slucaju nekog problema/havarije?

Postoji.

Ups sam takodje gledao na kp, isao bih na neku online varijantu, po mogucnosti da izgura bar pola sata...

Nikako KP. Kupi novi APC ups i nemoj se igrati sa takvim stvarima.

Switch trenutno imamo neki tp-link sa 16 portova od 100mbit i njega bih menjao, ali nemam apsolutno ideju sta bih uzeo, i da li se na taj novi switch mogu povezati i racunari i kamere?

To zavisi od kamere. Što se switch-a tiče, preporučujem D-Link DGS-1210-24P PoE switch. Odličan balans između kvaliteta i performansi za 1Gbps mrežu.

Pretpostavljam da bi se ovaj telekomov modem prebacio u bridge mode, da li to znaci da ga vise ne mogu koristiti za wifi?

Ako ga prebaciš u bridge, nema više WiFi. WiFi svakako nebi trebao da se oslanja na jeftin telekomov uređaj. Investiraj u Grandstream ili Ubiquiti access pointove koje ćeš montirati na plafonu i to će ti biti dugoročno, sigurno i pouzdano rešenje. Takođe ti daje mogućnost da odvojiš WiFi za goste i radnike u odvojene mreže radi sigurnosti. Za goste se može omogućiti prijavljivanje na WiFi preko captive portala u koji možeš da staviš logo ili reklamu svoje firme. Ovo je mala stvar koja odaje utisak profesionalizma i ozbiljnosti.

Sta je najpovoljnija opcija da se podaci sa nasa bekapuju na neku drugu lokaciju?

Drugi NAS koji će biti offline.

I da napomenem da je setup svega ovoga poprilično veliki posao sa kojim ne može da se nosi neko ko je početnik. Nemoj misliti da te omalovažavam ili bilo šta slično. Nabaviti sve ovo, povezati i pustiti u rad je jedna stvar. Iskonfigurisati sve ovo tako da bude sigurno i da radi kako treba, je skroz druga priča.

 

[ness1602]

Ja koliko vidim tebi bi zavrsio posao kao sto alex kaze prvo jedan firewall, sasvim je ok neki pfsense/opnsense ili sta god ti odgovara.
Druga stvar,posto imas sirok dijapazon potreba, digni jedan hipervizor(proxmox) sa gomilom vm/ct koji bi ti radile sve te poslove. Nekako mi se cini da ti iskace iz NAS-a sve tvoje potrebe,a ipak ako imas vm/ct za svaku potrebu(bilo to fileserver,bilo nvr softver bilo sta drugo), mozes uvek da radis bekape istih na neku drugu lokaciju,lokalni disk ili sta god vec imao kao opciju.
Moze naravno i NAS,tipa OMV sa docker aplikacijama pa da sve to sinhronizujes negde udaljeno,ali mi se cini da bi tebi bilo robusnije hipervizor.

 

[Space Beer]

U prilog nam ne ide i to sto neke kolege ne razmisljaju sta skidaju i koje sajtove posecuju...

Ovaj problem neće rešiti nijedan hardver ili softver, bilo bi dobro kad bi im skrenuo pažnju na takve stvari

Nisi rekao šta je delatnost firme, tj. o kakvim se fajlovima radi? Koliko se podataka od tih 3-4TB menja aktivno, a koliko je samo arhiva (fotografije, izveštaji i sl), sa koliko korisnici rade a koliko su zajednički podaci. Ima li potrebe da se pristupa svim tim fajlovima van lokacije? Koliko često postoji potreba da više ljudi radi na istom fajlu?

 

[Mihailo02]

Arhitektura i gradjevina su u pitanju.
Za sada nismo istovremeno radili na istim fajlovima ali postoji namera da u nekom trenutku isprobamo i to, posto neki programi pruzaju takvu mogucnost.
Sto se ostalih podataka tice, vecina je arhivskog tipa, znaci projekti koji su zavrseni ili u nekoj fazi cekanja. Aktivnih projekata ima do 10ak, ali se i nekim starijim projektima cesto pristupa zbog share-ovanja ili cisto neke provere radi. Zbog toga sam i pitao da li je pametno da da se nasu pristupa van lokacije... Sa druge strane, cesto postoji potreba da se neki od tih fajlova posalju saradnicima, pa sam mislio da tim fajlovima omogucim pristup na neko vreme... Mada mi je od samog starta jasno da nije dobra ideja...
Inace smo daleko i od 1tb, pa zato kazem da ce 3-4 biti dovoljno za neki naredni period.
Sto se fajlova tice, uglavnom su to word, excel, dwg i pln, od kojih samo pln(archicad) umeju biti po par stotina mb, sve ostalo je daleko manje...
Konto ovih stvari sto se skidaju i raznih sajtova koji se posecuju, uglavnom su to neki .ru sajtovi koji masovno iskacu u pretrazi za nekom strucnom literaturom i vecina informacija je los prevod sa nekih ruskih foruma ali se koleginice cesto zalete ne gledajuci sta otvaraju...

Sutra cu probati da odgovorim na prva dva odgovora...

 

[ness1602]

Sto se tice shareovanja spolja, tu je nextcloud i privremeno shareovanje odlicna stvar,barem tako ja koristim sa spoljnim korisnicima. Tipa 5 downlodova/7 dana dostupan i link i nema problema.

 

[Mihailo02]

Da ne citiram i ne odgovaram ponaosob, bice kilometarski post...

I meni se ne svidja centralizovano resenje, pogotovu od koga bi zavisio i sam net, ali sa druge strane mi se cini da je veca mogucnost otkazivanja jednog od nekoliko uredjaja, koje verovatno ne mogu platiti u nekom ekstra kvalitetu. Ovako mogu sastaviti jedan krsten racunar, koji ce kostati manje i trositi manje(zahteva manji ups). Odvajanje kamera je najmanji problem i to cu najlakse resiti, pogotovu sto mi nije neophodno da u slucaju nestanka struje i one rade... A one su mi generalno sekundarna stvar u celoj prici...
To me dovodi do novog pitanja, ako kamere budu zaseban sistem, da li se jedan switch moze koristiti i za njih i za mrezu?

Da li neki od ova dva switcha uzimati u razmatranje? (Prvi , drugi) Recimo da bih neki od njih mogao dobiti...

Ono sto mi se cini kao prednost da svi podaci budu na serveru a ne na svakom racunaru, je laksa zamena tih racunara ili ponovno dizanje sistema. Mada secam se jedne teme sa foruma gde su ljudi imali problem sa autocadom i synology nasom(ac zakucava), tako da se takvo koriscenje moze ispostaviti kao lose. U nekoj drugoj temi sam video da je ljudima predlozeno da se nextcloud koristi i kao file server... Da li je to validna opcija u varijanti da i dalje svako radi na svom racunaru a da se samo bekapuju razlike? I pored bekapa da i dalje postoji jedan zajednicki folder?
Ponovo pominjem cloud=shared folder, jer trenutno jako puno fajlova koje imamo na tim deljenim particijama, imamo i na google drive-u, neretko i u vise varijanti ili vise kopija. A sve zbog deljenja sa saradnicima ili investitorima. U slucaju da imamo svoj cloud, sa sigurnoscu bih znao sta je kome poslato, ne moram da razmisljam da li ce neko mozda posle godinu dana sa google drivea skinuti pogresnu verziju... Dakle drugima se daje mogucnost samo citanja fajlova.

Sto se pfsensea tice, ok mi je resenje i njega da odvojimo, samo ostaje bojazan sa pocetka ovog posta, da mi se cini kao veca verovatnoca da zakaze on kao takav nego ako radi kao vm. Ako mislite da je pametnije da on radi odvojeno, i da vise nista ne radi kao vm, onda cu ici na tu varijantu... (moze i predlog sta pazariti) Nikakvog znanja vezano za pfsense nemam, pa ne znam ni koliko je izvodljivo u slucaju da to neko sve lepo podesi, to ubuduce bude deo koji se ne pipa... 😂 Alex je pomenuo da synology ima implementiran sistem za zastitu od ransomwarea, da li to znaci da pfsense ne predstavlja zastitu te vrste?

U okviru biznis paketa imamo i staticku ip adresu, ne znam da li je javna. (kako to da saznam? 😅)

Za server sam razumeo, nista polovno, tu sam imao ideju da uzmem neki ryzen pro apu, tipa 5750g, ali ako vec nema potrebe za vm, onda dolazi u obzir i nesto slabije, i 32gb rama... Ima li smisla insistirati da to bude ecc ram?
Ali ups trenutno nema sanse da jurim online i nov. Da li ipak ici na par godina star apc sa novim baterijama ili odloziti kupovinu dok se ne ukaze prilika za nov?

Resenje za wifi sam pretpostavio, tako ce i biti...
Pretpostavih i za bekap na drugi nas, ali i to ce morati da saceka malo.. U medjuvremenu ce se verovatno koristiti drive koji svakako i sad placamo, makar za najbitnije podatke...

Sto se povezivanja i pustanja u rad tice, to mi je jasno, niti je bila namera, dovoljno je bilo ruleta do sad sa ovakvim postavkama... Kad se vec ulaze u ovako nesto, zelim da to bude svrsishodno...

 

[alex303]

I meni se ne svidja centralizovano resenje, pogotovu od koga bi zavisio i sam net, ali sa druge strane mi se cini da je veca mogucnost otkazivanja jednog od nekoliko uredjaja, koje verovatno ne mogu platiti u nekom ekstra kvalitetu.

Ima ekstra kvalitet ako si spreman da platiš. Na primer, ovako nešto ili ovako.

ako kamere budu zaseban sistem, da li se jedan switch moze koristiti i za njih i za mrezu?

Može ako imaš dovoljno portova i ako switch ima Layer 3 mogućnosti.

Da li neki od ova dva switcha uzimati u razmatranje? (Prvi , drugi) Recimo da bih neki od njih mogao dobiti...

Porediš 2 potpuno različita switch-a. Jedan ima PoE drugi ne. Ne mogu da preporučim ni jedan, ni drugi, jer ni sa jednim nisam imao iskustva. Treba se držati proverenih rešenja.

Ono sto mi se cini kao prednost da svi podaci budu na serveru a ne na svakom racunaru, je laksa zamena tih racunara ili ponovno dizanje sistema. Mada secam se jedne teme sa foruma gde su ljudi imali problem sa autocadom i synology nasom(ac zakucava), tako da se takvo koriscenje moze ispostaviti kao lose.

Sad već zalazimo u filozofiju i nagađanje gde niko ne može da ti da konkretan odgovor. Šta i kako, ćeš znati kada nabaviš sve što je potrebno.

U nekoj drugoj temi sam video da je ljudima predlozeno da se nextcloud koristi i kao file server... Da li je to validna opcija u varijanti da i dalje svako radi na svom racunaru a da se samo bekapuju razlike? I pored bekapa da i dalje postoji jedan zajednicki folder?

To nije tema. Tebi je bitno da postoji hardware koji će ti omogućiti da realizuješ onu opciju koja TEBI odgovara.

Ponovo pominjem cloud=shared folder, jer trenutno jako puno fajlova koje imamo na tim deljenim particijama, imamo i na google drive-u, neretko i u vise varijanti ili vise kopija. A sve zbog deljenja sa saradnicima ili investitorima. U slucaju da imamo svoj cloud, sa sigurnoscu bih znao sta je kome poslato, ne moram da razmisljam da li ce neko mozda posle godinu dana sa google drivea skinuti pogresnu verziju... Dakle drugima se daje mogucnost samo citanja fajlova.

Samo je selfhosted cloud nad kojim imaš punu kontrolu, pravo rešenje. Sve ostalo nebih razmatrao. Pogotovo ne google i razna remote cloud rešenja.

Sto se pfsensea tice, ok mi je resenje i njega da odvojimo, samo ostaje bojazan sa pocetka ovog posta, da mi se cini kao veca verovatnoca da zakaze on kao takav nego ako radi kao vm.

pfSense ne zakazuje. Zakazuje samo hardware na kojem je pfSense instaliran. Dok god je hardware kvalitetan, nema problema. Što se VM-a tiče, ta varijanta je zgodna iz razloga koje si naveo, ali ja mogu da navedem barem još 10 razloga zbog kojih je treba izbegavati.

Ako mislite da je pametnije da on radi odvojeno, i da vise nista ne radi kao vm, onda cu ici na tu varijantu... (moze i predlog sta pazariti) Nikakvog znanja vezano za pfsense nemam, pa ne znam ni koliko je izvodljivo u slucaju da to neko sve lepo podesi, to ubuduce bude deo koji se ne pipa... 😂

Pametnije je da pfSense bude na dedicated kvalitetnoj mašini koja će sama praviti daily config backup. U slučaju totalne havarije, pfSense se reinstalira za 2 minuta, a config backup ga za 5 minuta vraća i prvobitno stanje.

Alex je pomenuo da synology ima implementiran sistem za zastitu od ransomwarea, da li to znaci da pfsense ne predstavlja zastitu te vrste?

Da i ne. Šta će biti od ova dva, zavisi od toga kako ćeš odraditi mrežu i koliko si daleko spreman da ideš da bi sve osigurao.

Suricata i Snort koji pfSense-u daju Layer 7 mogućnosti, daju delimičnu zaštitu od ransomware-a, virusa, i ostalih malicioznih aplikacija čija zloćudna priroda zavisi od toga da li mogu da uspostave vezu sa internetom ili ne.

Da bi zaštita bila potpuna, potrebno je da pfSense bude "man in the middle" između računara i interneta. U tom slučaju, pfSense dekriptuje kompletan TCP/IP saobraćaj i vrši deep packet inspection gde u network paketima može da prepozna da u dolazećem saobraćaju postoji maliciozni kod i spreči da taj saobraćaj uopđte dođe do računara. Imaj na umu da je dekripcija dolazećeg saobraćaju u letu vrlo CPU intenzivan proces a pfSense MITM setup nije ni malo jednostavan. Ovako podešen sistem treba nadgledati barem mesec dana dok se ne oforme svi neophodni rulovi.

U okviru biznis paketa imamo i staticku ip adresu, ne znam da li je javna. (kako to da saznam? 😅)

Vidi da li se adresa koja je u samom routeru poklapa sa adresom koju prikazuje na primer ipchicken.

Za server sam razumeo, nista polovno, tu sam imao ideju da uzmem neki ryzen pro apu, tipa 5750g, ali ako vec nema potrebe za vm, onda dolazi u obzir i nesto slabije, i 32gb rama... Ima li smisla insistirati da to bude ecc ram?

Nemaš potrebe za ECC ramom ako uzmeš iole kršten sistem. Ti nisi veliki data centar nego SOHO sredina.

Ali ups trenutno nema sanse da jurim online i nov. Da li ipak ici na par godina star apc sa novim baterijama ili odloziti kupovinu dok se ne ukaze prilika za nov?

Bolje ganc nov APC ups, nego server sa ECC ram memorijom.

Resenje za wifi sam pretpostavio, tako ce i biti...
Pretpostavih i za bekap na drugi nas, ali i to ce morati da saceka malo.. U medjuvremenu ce se verovatno koristiti drive koji svakako i sad placamo, makar za najbitnije podatke...

Samo gledaj da to privremeno rešenje ne ostane permanentno. Znam dosta ljudi sa tim "privremenim" rešenima.

Sto se povezivanja i pustanja u rad tice, to mi je jasno, niti je bila namera, dovoljno je bilo ruleta do sad sa ovakvim postavkama... Kad se vec ulaze u ovako nesto, zelim da to bude svrsishodno...

Pored svog ovog hardware-a i sve ove teorije, ti moraš polako da počneš da tražiš izvođača svih ovih radova i da tom izvođaču prezentuješ šta ti je sve potrebno i da dođeš do neke cifre ili više cifara. Ovo nije mala investicija, niti se implementacija ovakvih rešenja završava preko foruma. Spremi se da, ili odrešiš kesu da ti neko sve ovo odradi, ili da drastično spustiš kriterijume i očekivanja.

 

[ness1602]

I meni isto lelujas na sve strane. Moras da popises sta ti treba od aplikacija i resursa, i da onda malo to bolje srocis. Pfsense/opnsense radi i kao VM unutar proxmox-a,ali ako ti prsne proxmox ode i pfsense, los upgrade itd itd.

 

[Mihailo02]

Ima ekstra kvalitet ako si spreman da platiš. Na primer, ovako nešto ili ovako.

Jasno mi je da postoji, zato i rekoh da ga verovatno ne mogu platiti. (pored svega ostalog)

Porediš 2 potpuno različita switch-a. Jedan ima PoE drugi ne. Ne mogu da preporučim ni jedan, ni drugi, jer ni sa jednim nisam imao iskustva. Treba se držati proverenih rešenja.

Bio sam ubedjen da je i drugi poe. Njih bih dobio po nekoj povoljnijoj ceni i kroz kompenzaciju, pa zato pitah...

Sad već zalazimo u filozofiju i nagađanje gde niko ne može da ti da konkretan odgovor. Šta i kako, ćeš znati kada nabaviš sve što je potrebno.
To nije tema. Tebi je bitno da postoji hardware koji će ti omogućiti da realizuješ onu opciju koja TEBI odgovara.

I meni isto lelujas na sve strane. Moras da popises sta ti treba od aplikacija i resursa, i da onda malo to bolje srocis.

Sto bi rekli, u tom grmu lezi zec... Tako se i ja osecam kad ljudi dodju kod mene za projektovanje, pa treba da im citam misli.
Podosta vremena sam proveo sto gledajuci sto citajuci konto svega ovoga, sa idejom kad vec pravim nesto, da iskoristim hardware na sto bolji nacin, ali je to ocigledno u suprotnosti sa svrhom. A svrha je da se obezbedi sigurnost i stalna dostupnost podataka. Vidim i ja da sam se pogubio sa zeljama i mogucnostima... 😅 A problem je sto izgleda i ne znam sta nam konkretno treba a ja bih da odjednom pokrijem sto vise. Upravo iz tog razloga sam krenuo sa mnogo nabacanih pitanja, ali bez jasnog cilja. Nacelno i jesam dobio odgovore koje me vode u dobrom smeru ili sam kroz neke druge teme eliminisao neke ideje sa pocetka...

Samo je selfhosted cloud nad kojim imaš punu kontrolu, pravo rešenje. Sve ostalo nebih razmatrao. Pogotovo ne google i razna remote cloud rešenja.

Samo na to sam i mislio. Pomenuh u prethodnom postu google drive i da na njega bekapujem sve ovo sto bih pravio, ali to samo kao privremeno resenje dok ne resim i drugi offsite nas.

pfSense ne zakazuje. Zakazuje samo hardware na kojem je pfSense instaliran. Dok god je hardware kvalitetan, nema problema. Što se VM-a tiče, ta varijanta je zgodna iz razloga koje si naveo, ali ja mogu da navedem barem još 10 razloga zbog kojih je treba izbegavati.

Pametnije je da pfSense bude na dedicated kvalitetnoj mašini koja će sama praviti daily config backup. U slučaju totalne havarije, pfSense se reinstalira za 2 minuta, a config backup ga za 5 minuta vraća i prvobitno stanje.

Da i ne. Šta će biti od ova dva, zavisi od toga kako ćeš odraditi mrežu i koliko si daleko spreman da ideš da bi sve osigurao.

Suricata i Snort koji pfSense-u daju Layer 7 mogućnosti, daju delimičnu zaštitu od ransomware-a, virusa, i ostalih malicioznih aplikacija čija zloćudna priroda zavisi od toga da li mogu da uspostave vezu sa internetom ili ne.

Da bi zaštita bila potpuna, potrebno je da pfSense bude "man in the middle" između računara i interneta. U tom slučaju, pfSense dekriptuje kompletan TCP/IP saobraćaj i vrši deep packet inspection gde u network paketima može da prepozna da u dolazećem saobraćaju postoji maliciozni kod i spreči da taj saobraćaj uopđte dođe do računara. Imaj na umu da je dekripcija dolazećeg saobraćaju u letu vrlo CPU intenzivan proces a pfSense MITM setup nije ni malo jednostavan. Ovako podešen sistem treba nadgledati barem mesec dana dok se ne oforme svi neophodni rulovi.

Pfsense/opnsense radi i kao VM unutar proxmox-a,ali ako ti prsne proxmox ode i pfsense, los upgrade itd itd.

Ovakvi odgovori mi stvarno pomazu, znaci pfsense moze kao vm, ali nije pametno. Onda idemo na poseban uredjaj. Podesavanjem se nadam da ce se baviti neko iskusniji...

Vidi da li se adresa koja je u samom routeru poklapa sa adresom koju prikazuje na primer ipchicken.

Jeste.

Pored svog ovog hardware-a i sve ove teorije, ti moraš polako da počneš da tražiš izvođača svih ovih radova i da tom izvođaču prezentuješ šta ti je sve potrebno i da dođeš do neke cifre ili više cifara. Ovo nije mala investicija, niti se implementacija ovakvih rešenja završava preko foruma. Spremi se da, ili odrešiš kesu da ti neko sve ovo odradi, ili da drastično spustiš kriterijume i očekivanja.

Ovo je sad problematicno. Lokacija je Valjevo, i svi meni poznati izvodjaci su sve sami "strucnjaci". Poslednji put se angazovanje strucnjaka svelo na umrezavanje sa pocetka teme. Otuda i zelja da se krene sa jasnim definisanjem na forumu. Probacu veceras da popisem hardware koji sam imao na umu...

Hvala vam ljudi!

 

[alex303]

Jasno mi je da postoji, zato i rekoh da ga verovatno ne mogu platiti. (pored svega ostalog)

Onda nema govora o nekoj pouzdanosti na duže staze ako već u samom startu gledaš da uštediš.

Bio sam ubedjen da je i drugi poe. Njih bih dobio po nekoj povoljnijoj ceni i kroz kompenzaciju, pa zato pitah...

Vidi ako mogu da ti nađu Hyundai u PoE varijanti. Ako ne, onda ta Dahua. Ali važi isto pravilo kao ono od gore. Tako da...

Sto bi rekli, u tom grmu lezi zec... Tako se i ja osecam kad ljudi dodju kod mene za projektovanje, pa treba da im citam misli.
Podosta vremena sam proveo sto gledajuci sto citajuci konto svega ovoga, sa idejom kad vec pravim nesto, da iskoristim hardware na sto bolji nacin, ali je to ocigledno u suprotnosti sa svrhom. A svrha je da se obezbedi sigurnost i stalna dostupnost podataka. Vidim i ja da sam se pogubio sa zeljama i mogucnostima... 😅 A problem je sto izgleda i ne znam sta nam konkretno treba a ja bih da odjednom pokrijem sto vise. Upravo iz tog razloga sam krenuo sa mnogo nabacanih pitanja, ali bez jasnog cilja. Nacelno i jesam dobio odgovore koje me vode u dobrom smeru ili sam kroz neke druge teme eliminisao neke ideje sa pocetka...

Pa evo ja ću da budem brutalno iskren prema tebi. Ja vidim da tražiš neki balans između cene i performansi, a takva priča se obično loše završi. Sve što uštediš u startu ćeš kasnije platiti kroz razne probleme i zastoje. Da ne citiram naše poslovice ... sigurno znaš na šta mislim. Ceo taj setup, ako se ikada desi, će biti stabilan onoliko koliko je stabilna najslabija karika u celom tom lancu. Još jednom. Dobro razmisli i preispitaj svoje želje, očekivanja i mogućnosti.

Ovakvi odgovori mi stvarno pomazu, znaci pfsense moze kao vm, ali nije pametno. Onda idemo na poseban uredjaj. Podesavanjem se nadam da ce se baviti neko iskusniji...

Teško ćeš naći nekoga ko zna pfSense. Oni koji su stručni po pitanju umrežavanja i sigurnosti svi furaju Cisco, PaloAlto, Fortinet i ostala gotova rešenja koja se plaćaju na godišnjem nivou. Ako ih pitaš za nešto povoljnije, obično se preporučuje MikroTik u besplatnoj ili plaćenoj varijanti u zavisnosti od toga što ti treba. U krajnjem slučaju se ide na Ubiquiti Dream Machine. Ako ideš na pfSense, gotovo sam siguran da ćeš sve morati sam.

Ovo je sad problematicno. Lokacija je Valjevo, i svi meni poznati izvodjaci su sve sami "strucnjaci". Poslednji put se angazovanje strucnjaka svelo na umrezavanje sa pocetka teme. Otuda i zelja da se krene sa jasnim definisanjem na forumu. Probacu veceras da popisem hardware koji sam imao na umu...

Tebi je ovo mnogo veći problem nego odabir i nabavka hardware-a. Pošto nemaš nikoga da ti to sve odradi, moja preporuka ti je da ne nabavljaš sve odjednom, nego da ideš postepeno korak po korak. Za početak, nabavi neki solidan uređaj za pfSense sa barem 6 portova i PoE switch. Osiguraš mrežu i ljude u mreži. Preko foruma možemo da ti pomognemo da to sve polako podesiš kako treba. Kad kompletiraš pfSense setup, onda ćeš već imati neko znanje i moći ćeš da počneš da razmišljaš o nabavci ostatka hardware-a.

 

[mickeyrs]

Super tema, a taman pravi momenat da uskočim, pošto sam u sličnoj situaciji kao OP, s tim da sam ja još uvek samostalan i tek postavljam sistem koji je dosta sličan pomenutom - s tim da je kod mene nekoliko Lenovo Tiny M920x i P320 mašinica koje bi opsluživale routing server nas i tako te funkcije.
Imam po 2 identične tako da je uvek jedna bekap u slučaju da nešto vrisne, znam da je bolje rešenje namenski NAS itd, ali za sada je ideja i da se malo nauči nešto novo. Pa kad se lupi glavom o zid da nešto ne može, lako se kupi nov hardver.

Generalno, LAN portove (imam 7 komada razvedenih) bih hteo da ograničim na 'poslovni deo' mreže gde su MF printer/skener, NAS sa poslovnim podacima, laptop i desktop, eventualno još neka radna stanica u budućnosti.
Potencijalno se razmatra i neki video nadzor koji bi se pridodao ovom delu mreže, da li putem kabla ili bežično, otompotom.

Guest wifi bi bio zaseban, 'kućni net' zaseban (uglavnom multimedia deo nas servera, home assistant i razni smart uređaji) i to bi sve išlo preko wifi, AP bi bio uboden u poseban port na pfSense mašini gde mogu da mu dodelim poseban vlan i to je izolovano od ostatka mreže.
Glavno pitanje je, pošto je ceo kablirani deo 'poslovni', kako onemogućiti pristup random uređaju da se nakači na lan portove bez managed switcha koji bi blokirao po MAC adresama sve nepoznate uređaje? Odnosno, da li je to uopšte izvodljivo u planiranom setupu ili postoji neko bolje rešenje?

Trenutno nije to neki prioritet jer malo ko dolazi sa laptopom i željom da se poveže na mrežu kablom umesto preko wifi, ali u perspektivi kada stigne pojačanje u vidu kolega, neću moći da nadgledam ko je doneo svoj privatni računar koji mu je 'bilo zgodnije' da nakači na kabl umesto na wifi...
Prema ovoj temi na netgate forumu, morao bih da u pfSense blokiram sve osim fiksnih IP adresa dodeljenih uređajima po MAC adresama, nije kao da je preveliki posao za do 7 portova, samo da li je ispravan rezon?

 

[alex303]

Glavno pitanje je, pošto je ceo kablirani deo 'poslovni', kako onemogućiti pristup random uređaju da se nakači na lan portove bez managed switcha koji bi blokirao po MAC adresama sve nepoznate uređaje? Odnosno, da li je to uopšte izvodljivo u planiranom setupu ili postoji neko bolje rešenje?

Moguće je. Treba odraditi statičko DHCP mapiranje i uključiti UID funkciju.


Ovako podešen DHCP dodeljuje IP adresu samo uređaju koji je vezan za taj MAC + UID. Tako da, ako neko dođe sa privatnim laptopom i promeni MAC adresu, i dalje neće moći da se poveže jer se UID ne poklapa. Takođe neće moći da se poveže ako nakači službeni laptop i recimo sa USB-a digne neki drugi OS. Ovo pravilo važi bez obzira da li se klijent povezuje direktno na port ili preko WiFi-a. Stim da je za povezivanje na WiFi potrebno napraviti još jedno statičko mapiranje sa istim podešavanjima jer se MAC adresa od LAN adaptera razlikuje od MAC adrese WLAN adaptera.

Jedina mana je što, ako reinstaliraš sistem na službenom laptopu, onda moraš da obrišeš postojeće mapiranje i da napraviš drugo.

Trenutno nije to neki prioritet jer malo ko dolazi sa laptopom i željom da se poveže na mrežu kablom umesto preko wifi, ali u perspektivi kada stigne pojačanje u vidu kolega, neću moći da nadgledam ko je doneo svoj privatni računar koji mu je 'bilo zgodnije' da nakači na kabl umesto na wifi...

Imaj na umu da pfSense loguje apsolutno sve. Tako da, i kad napraviš statičko mapiranje, moći ćeš da vidiš da li je neko pokušao da se nakači na port direktno. Loguje se MAC adresa i OS identifier ako postoji. Ako na uređaju na kojem je instaliran pfSense imaš slobodne portove koji se ne koriste, oni sami po sebi ne rade ništa ako nisu podešeni. Tako da tu nema bojazni od zloupotrebe.

Prema ovoj temi na netgate forumu, morao bih da u pfSense blokiram sve osim fiksnih IP adresa dodeljenih uređajima po MAC adresama, nije kao da je preveliki posao za do 7 portova, samo da li je ispravan rezon?

Bolja je metoda koju sam ti ja preporučio gore.

 

[mickeyrs]

Odlično, to mi je i trebalo kao informacija.

Čisto da podelim info da Dell U2724DE radi MAC passthrough i sa Lenovo laptopa (dokumentacija kaže radi samo sa DELL laptopovima) tako da sam onda rešio i varijantu kad se neko nakači na monitor preko Thunderbolt kabla.
MAC adresa monitora neće imati pristup, jedino MAC adrese sa poslovnih laptopova mogu da prođu do mreže a ostaje dostupan TB kabl za sliku i punjenje.

Nisam napomenuo da je trenutno sve na dumb TPlink TL-SG108-M2 switchu, pretpostavljam da je bolje rešenje da se poslovni deo mreže izoluje u poseban vlan pa da se preko MAC adresa puštaju dozvoljeni uređaji u taj vlan.
Svakako je komfornije jer bi ostali uređaji svi išli u kablirani kućni ili guest deo, ovako su osuđeni samo na WiFi, ali za to treba managed switch... mada u ovom prostoru teško da će biti više razvedenih RJ45 portova zbog manjka kvadrata, tako da to ostaje čisto teoretsko pitanje.

 

[alex303]

pretpostavljam da je bolje rešenje da se poslovni deo mreže izoluje u poseban vlan pa da se preko MAC adresa puštaju dozvoljeni uređaji u taj vlan.
Svakako je komfornije jer bi ostali uređaji svi išli u kablirani kućni ili guest deo, ovako su osuđeni samo na WiFi, ali za to treba managed switch... mada u ovom prostoru teško da će biti više razvedenih RJ45 portova zbog manjka kvadrata, tako da to ostaje čisto teoretsko pitanje.

Obavezno mreže treba da budu odvojene i izolirane jedna od druge. Treba ti 2 porta od kojih će oba biti u odvojenom subnetu. Iz jednog porta ideš u switch i to će biti tvoja poslovna mreža u, recimo, 170.5.5.0/17 subnetu. Drugi port iskonfigurišeš tako da bude u, recimo, 10.50.50.0/24 subnetu i na njega nakačiš access point, i on će služiti za poslovni WiFi. Onda u pfSense-u napraviš novi VLAN, recimo VLAN 50 koji će biti u 10.1.1.1/24 subnetu, i kao parent interface odabereš port 2 koji ide u WiFi access point. A onda na access pointu napraviš još jedan SSID koji će biti VLAN 50, i to će biti tvoja WiFi mreža za goste. Po potrebi možeš aktivirati captive portal.

Naravno, WiFi access point treba da podržava VLAN. Ako ne podržava, obavezno razmisli o nabavci nečeg ozbiljnijeg i sigurnijeg. Kao na primer Ubiquiti U6 Pro ili Grandstream GWN7664 koji podržavaju VLAN i što je tebi možda najbitnije, WPA3.

 

[mickeyrs]

Pozdrav svima, čisto da mahnem, ne bih da hijack-ujem thread od kolege OP, ali kako se preklapamo manje više u svim zahtevima po pitanju SoHo/smallbiz mreže, cenim da nema potrebe da otvaramo novi.
Možda i njemu pomogne (ako nije počupao kosu i batalio priču do sad) u kom smeru da ide oko nekih stvari...
U narednom periodu ću verovatno smarati oko nekih podešavanja kad lupim u zid, za sada čitam redom sve i svašta, posebno ovde pisano u pfSense i srodnim temama koje su pravo blago.

Da prijavim do sada urađeno na temu iz naslova, slabo se stoji sa slobodnim vremenom pa sam previše rastegao sve - postavljen default pfSense na Lenovo P320 Tiny mašini (7500T, 16GB, 256GB SSD, Intel I350-T4 za LANx4, integrisana za WAN).
Jeste to polovno i matoro, ali druga identična je u rezervi, tako da je obezbeđen backup u slučaju nekog otkaza iako ću vremenom verovatno biti komforniji sa pfSense i vraćanjem svega na neki moderniji hardver.
Trenutno je baš ono plug and play i učitaj config varijanta. 😇 Sad mi predstoji podešavanje VPN pristupa, adblokera, planiranje segmenata mreže i statičkih ruta između... bitno da internet radi i da je sve zatarabljeno od spolja.

Telekom HG8245W5-6T je u bridge modu, mada bih tu najviše voleo da ga izbacim i ostavim samo ONT (YUNet... ) eventualno ako nađem vremena da se pozabavim ovim SFP karticama što pokupovah i modulima koji se ne mirišu međusobno... otompotom. 🤕

10.x.x.x. subnet razveden preko dumb 2.5Gbps switcha QNAP QSW-1105-5T na 2 porta (mislio da se zezam njegovom nedokumentovanom VLAN podrškom, ne bih ipak na to da naslanjam celu mrežu kad sam skontao koliko sve ima da nalegne na njega).
Desktop i laptop su na njemu, danas ubačen i Grandstream GWN7664 kome samo ja pristupam do daljnjeg.
Dosadašnji 'mozak' mreže Asus GT-AX6000 prešao u AP mod i zadržao svoj 192.168.50.0/24 subnet za iot i goste dok ne podesim Grandstream za te namene da sve od smart uređaja a i redovni gosti ostanu u funkciji.
Ostaje još drugi Lenovo M920x sa Proxmox i virtuelnim mašinama za sve i svašta kojima treba dodeliti odgovarajuće mrežne interfejse... kad ih omogućim.

Na kraju, kako god sam pokušavao da premostim neke stvari, ne vredi ništa bez managed sviča, manje više ovo mi deluje kao idealna spravica, ima li nekih alternativa ovom QNAPu? https://www.qnap.com/en/product/qsw-m2106pr-2s2t
Cena mi se ne sviđa, ali kapiram da je svašta nešto spakovano u malo pakovanje tako da nema šta da se prigovori sem što je kod nas regularna cena malo pojačana, ali ajd... može da se nabavi odakle god.
Kapiram da bi to bio i najbitniiji uređaj u celoj mreži pa ne bi valjalo baš da mu tražim alternative po AliExpressu za 100-200 usd... ipak, preporuke dobrodošle.

Edit. zaboravih da napomenem, ali pretpostavljam da je iz navedenog jasno da je cilj barem 2.5Gbps mreža uz potencijalni upgrade na 10Gbps u nekom trenutku, trenutno kopiranje sa/na TrueNas test mašinu je oko 275MB/s.

 

[alex303]

Nadam se da znaš je 2.5 Gbps avantura poprilično skupa. Pogotovo ako hoćeš upravljivi switch sa min 8 PoE portova + SFP. Da ne spominjem činjenicu da se kod nas tako nešto jako teško nalazi. Ja bi uzeo taj QNAP i to je to.

 

[mickeyrs]

Ako je 2.5Gbps skup, šta je tek 10G na RJ45...
Generalno, hteo sam da, kad već kabliram po stanu, pređem na nešto brže od 1Gbps a opet, nije kao da je neophodno trenutno... tako je 2.5Gbps uleteo kao međukorak, ali managed 2.5Gbps sw i dalje nije ni blizu jeftinog.
Optika mi je delovala nekako totalno nepotrebna za SoHo instalacije, mada iz ovog sad ugla...
S druge strane, ovaj QNAP je skoro pa pola pola 10Gbps, nije morao da ima POE baš po svim portovima, ali tako su ga napravilli...
Kad/ako dođu i kamere na red u nekom trenutku (2-3 komada max), POE injectori će samo da naprave dodatni haos u malom reku gde će sve da stoji tako da tih 100nak USD više (ne ovde kod nas, naravno) za POE i nije nešto strašno.
Jedino mi se ne sviđa što onda baš sve pada na taj switch i ako on poklekne... što bi rekao Mujo, 2x je 2x iliti redundancy je keva, ali da ne preterujem. 🙃
Neki contingency plan će svakako morati da se napravi i za to...

 

[alex303]

Jedino mi se ne sviđa što onda baš sve pada na taj switch...

Magično jeftino rešenje ne postoji. Ili odreši kesu, ili smanji očekivanja. Druge nema.

 

[mickeyrs]

Jasno sve, trenutno mogu lan portove da prespojim na Asusa koji je u Iot/guest mreži i svom subnetu (za sad jedan EON box), a ostatak mreže je na GS wifi i QNAP portovima na drugom subnetu, bitno je da su odvojeni.

 

[alex303]

Asusa bi trebao da izbaciš i sve da prebaciš na GS, uključujići i mrežu za goste.

 

[mickeyrs]

Obavezno mreže treba da budu odvojene i izolirane jedna od druge. Treba ti 2 porta od kojih će oba biti u odvojenom subnetu. Iz jednog porta ideš u switch i to će biti tvoja poslovna mreža u, recimo, 170.5.5.0/24 subnetu. Drugi port iskonfigurišeš tako da bude u, recimo, 10.50.50.0/24 subnetu i na njega nakačiš access point, i on će služiti za poslovni WiFi. Onda u pfSense-u napraviš novi VLAN, recimo VLAN 50 koji će biti u 10.1.1.1/24 subnetu, i kao parent interface odabereš port 2 koji ide u WiFi access point. A onda na access pointu napraviš još jedan SSID koji će biti VLAN 50, i to će biti tvoja WiFi mreža za goste. Po potrebi možeš aktivirati captive portal.

Naravno, WiFi access point treba da podržava VLAN. Ako ne podržava, obavezno razmisli o nabavci nečeg ozbiljnijeg i sigurnijeg. Kao na primer Ubiquiti U6 Pro ili Grandstream GWN7664 koji podržavaju VLAN i što je tebi možda najbitnije, WPA3.

Hvala za ovaj post, konačno (skoro) sve postavljeno kako je navedeno, malo sporo ide što zbog nedostakta vremena što zbog pobune ostalih ukućana jer ne radi internet dok čačkam po podešavanjima. 😇

• port 1 LAN za office mrežu na dumb switch-u, subnet 10.11.7.x
• port 2 GWN7664 sa subnetom za office mrežu 10.11.17.x plus dodatno

VLAN70 interfejs za goste sa svojim subnetom 10.11.70.x​

VLAN90 interfejs za IOT sa svojim subnetom 10.11.90.x​

• port 3 Asus ostavljen do daljnjeg za multimedia deo mreže sa svojim subnetom 10.11.80.x gde mi je trenutno samo jedan D3 box na kablu i smart TV na wifi i tu se niko i ne kači osim TVa.

Za sad mi nedostaje još rutiranje sa wifi office subneta na office lan deo tj između portova 1 i 2 i da podesim VPN pristup od spolja, što je u procesu istraživanja da ne tražim ovde baš sve na izvol'te i gotovo. 😇
NAS će imati 2 mrežne, jedna u LAN subnetu, druga u multimedia delu na Asusu.

Koliko shvatih, ovo mi je i neki max koji može da dobije sa neupravljivim switchevima i smart AP?
Sa managed switchem bi se sve vezalo na jedan port od pfSense i dodali VLAN interfejsi (kao što su za Grandstream) pa onda samo na switchu opredeliti koji port radi sa kojim VLANovima.

 

[alex303]

Hvala za ovaj post, konačno (skoro) sve postavljeno kako je navedeno, malo sporo ide što zbog nedostakta vremena što zbog pobune ostalih ukućana jer ne radi internet dok čačkam po podešavanjima. 😇

• port 1 LAN za office mrežu na dumb switch-u, subnet 10.11.7.x
• port 2 GWN7664 sa subnetom za office mrežu 10.11.17.x plus dodatno

VLAN70 interfejs za goste sa svojim subnetom 10.11.70.x​

VLAN90 interfejs za IOT sa svojim subnetom 10.11.90.x​

• port 3 Asus ostavljen do daljnjeg za multimedia deo mreže sa svojim subnetom 10.11.80.x gde mi je trenutno samo jedan D3 box na kablu i smart TV na wifi i tu se niko i ne kači osim TVa.

Odlično si odradio.

Za sad mi nedostaje još rutiranje sa wifi office subneta na office lan deo tj između portova 1 i 2 i da podesim VPN pristup od spolja, što je u procesu istraživanja da ne tražim ovde baš sve na izvol'te i gotovo. 😇

Treba ti samo NAT i firewall rule.

Koliko shvatih, ovo mi je i neki max koji može da dobije sa neupravljivim switchevima i smart AP?
Sa managed switchem bi se sve vezalo na jedan port od pfSense i dodali VLAN interfejsi (kao što su za Grandstream) pa onda samo na switchu opredeliti koji port radi sa kojim VLANovima.

Na Grandstream-u imaš još jedan port koji se takođe može tagovati nekim VLAN-om. Čisto da napomenem. Ali da. Ako nemaš više portova na pfSense uređaju, ovo je neki maksimum koji možeš da odradiš.

Ovaj problem neće rešiti nijedan hardver ili softver, bilo bi dobro kad bi im skrenuo pažnju na takve stvari

pfSense može da reši ovaj problem pravljenjem inverznih firewall pravila. Takozvani whitelist blocking. U jedan alias se doda lista neophodnih adresa/sajtova i firewall dozvoljava in/out traffic samo ka njima. Sve ostalo je blokorano po defaultu. Ovakav vid zaštite se ne može zaobići proxyjem, VPN-om, TOR-om i ostalim glupostima.