[ CoyoteKG @ 11.06.2018. 14:31 ] @
Imam jedan meni zanimljiv projekat koji ne bih propustio.
U pitanju je neki klub kojima bih probono uradio ovaj setup, pa eto imam prilike da se "igram". Oni bi naravno kupili svu opremu koju im tražim. Za sada sam odabrao uglavnom unify uređaje zbog lakšeg remote pristupa i cloud managament-a, i rado bih se držao toga, ali ako grešim svakako bih voleo da čujem šta je bolj. Cisco Meraki je možda preskup za ovakav setup, a i ne znam kako da dođem do uređaja i cena :)

Ovo je lokacija sa 3 zgrade.


Zgrada 1. tu će ISP da dovuče dve odvojene linije. Ta zgrada je i kao neka kancelarijica gde sedi sekretarica/ekonomista kluba. Nemaju server samo jedan računar, printer i nisam siguran da li je NAS ili neki USB HDD. Čak je i printer verovatno USB.
Zgrada 2. Tu je neki kafe odnosno restorančić, svlačionice, terasa sa nekoliko stolova. Za sada nemam info da li imaju neke računare tu, ali svakako nemaju potrebe da se vide međusobno.
Zgrada 3. Je takođe neka kancelarijica, u pitanju je klub u klubu, odvojena "firma".

U principu njima je bitan samo pristup internetu, nikakvo međusobno umrežavanje.

Tu je par teniskih terena koji su zimi zatvoreni balonom.
Takođe i kao neka baštica/kafić ispred.

Gosti bi se kačili na Hotspot sa nekom landing stranicom (logo i neki tekst), potvrđujući samo "Terms and conditions".
Zaposleni bi imali drugi SSID gde bi se logovali username/pass. Samim tim bi možda trebalo da ako počnu da dele passworde drugima, trebalo bi da odvojim office opremu u zgradi 1, i zgradi 3 od svih. Zbog toga sam u zgradu 3 dodao još jedan USG, ne znam da li bih mogao njega da izbacim zbog "troškova" i da nekako konfigurišem sam switch? A u zgradi 1. će biti na posebnom portu rutera.

Bilo bi OK da zaposleni kako se šetaju kroz zgradu 2 ili po dvorištu, da im se mobilni tel automatski kači tamo gde je jači signal.

Ne znam kako ovo ostalo da odvojim jedne od drugih.
Ne znam da li ovu zgradicu 1. mogu da stavim pod jedan vlan i tako ih zaštitim, a sve ovo ostalo pod drugi vlan

Obično u momentu ima 15-30 osoba sve ukupno, ali takođe često imaju i neke događaje gde se okupi i do 100-200 ljudi.

Pored ovih gore razmišljanja interesuje me i

1. Da li je ovo previše uređaja za ovaj slučaj? Može li negde da se uštedi, i da li ću da napravim cirkus u etru sa kanalima?
2. Šta sam prevideo?
3. Da li ovaj cloud key će prepoznati sve uređaje, svejedno u kom subnetu su, i da li ću moći sve da ih adoptujem?
4. Da li bi mi USG radio posao load balancinga umesto ovog EdgeRouter. Značilo bi mi jer bih USG mogao isto da kontrolišem preko cloud key. Ali sve što sam izguglao vezano za USG i load balancing je da ne radi dobro.
5. Ovaj Outdoor5 sam mislio da koristim za dvorište i terene, ali vidim da je 5GHz. Kakva je situacija danas sa uređajima, mobilnim telefonima. Postoje li još uređaji koji koriste samo 2.4GHz? Ili ipak da razmišljam o UniFi AP-Outdoor+ koji je na 2.4 b/g/n.
6. Vezano za prethodno pitanje, zimi se valjda tu postavlja neki balon, da li će u balonima biti problem uređajima da se zakače na 5GHz ako nema optičke vidljivosti? Koliko kapiram za 5GHz je baš neophodna optička vidljivost?

A ovo je otprilike kako sam zamislio

[ bachi @ 11.06.2018. 15:06 ] @
Zašto zgradu 2 i zgradu 3 ne bi vezao LAN kablom? Ispod 100 metara ti je? Isto pitanje i za zgradu 1 i zgradu 2?

I zašto bi posebne APove držao za osoblje, a posebne za goste? To što oni sad nemaju potrebe da budu međusobno povezani, ne znači da za par meseci neće imati potrebu, nema razloga da odmah to ne uradiš.

Zašto svi ne bi bili za sve, odvojeni odgovarajućim VLANovima?

Otprilike svaki deseti klijent je 5GHz, pričam na osnovu svoje statistike.

[ CoyoteKG @ 11.06.2018. 15:59 ] @
I ja sam uvek za kabal pre wireless, ali u ovom slučaju ovi insistiraju da se ne zezaju sa kablovima jer to ne bih mogao ja da radim, morali bi oni. I u fazonu su da bi platili uređaje samo da izbegnu kablove.
Jedino da im "objasnim" da nije moguće toliki broj wifi uređaja na tako malom mestu, da može biti problema.

Nisam skontao ovaj deo za APove posebne za osoblje i goste.
Kapirao sam da ove APove koje koristim za bridge, da ne mogu ničemu drugom da služe. a ovi ostali su i za goste i za osoblje, s tim što sam mislio SSID-ovima da ih odvojim. Ajd pls ako možeš taj deo da mi objasniš, precrtaš ili kako god, da skontam na šta misliš.

Dakle i danas je ista situacija sa 5GHz, nisam se par godina susretao sa tim pa sam mislio da sad većina uređaja može da koristi oba. Dakle da izbacim iz razmišljanja,

[ Predrag Supurovic @ 11.06.2018. 16:06 ] @
Mikrotik ima opciju da na jednom fizičkom wireless inerfejsu napravi više virtuelnih AP, svaki sa svojim podešavanjima.

Ja to koristim baš za ovakve prilike, jedan namestim da je za public pristup a drugi za interni.

Vidi da li ti uređaji koje koristiš mogu nešto slično.

Mikrotik takođe ima CapsMAN koji omogućava da celu mrežu podesiš na jednom, glavnom ruteru a da ostale podesiš da budu slave i oni će sa glavnog da preuzmu svu konfiguraciju i automatski bridžuju interfejse, tako da roaming radi odmah.
[ CoyoteKG @ 11.06.2018. 20:34 ] @
Koje si ti koristio uređaje na tim lokacijama? Kakav bi tvoj setup bio?
[ bachi @ 12.06.2018. 08:03 ] @
> Nisam skontao ovaj deo za APove posebne za osoblje i goste.

Svi APovi osim onih za p2p, tj. bridge linkove treba da imaju iste SSIDove, dakle i za osoblje i za goste, u različitim, odgovarajućim vlanovima. Takođe razmisli kad već radiš od nule da uvedeš posebni vlan za managment interfejs gde će ti biti svi ruteri, svičevi, apovi (uključujući unifi kontroler i apove). Dakle vlan za managment interfejs, poseban vlan za office, tj. osoblje i poseban vlan za goste.

Za mene wifi = nepouzdanost. Dakle, ti p2p linkovi između objekata će raditi, možda će raditi savršeno, a možda će imati visoku latenciju, bagovati povremeno, a možda će raditi savršeno. :) I u tom smislu se ogradi unapred od toga i malo ih zaplaši u smislu da je kabl najpouzdanije rešenje.

Ukoliko pristanu i idu kablom, gledaj da to bude po dva lan kabla između svakog objekta, kako bi ostavio prostora sutradan za link aggregation, te kako bi imao 2Gb/s (jednog dana i 2x10Gb/s) linkove između objekata. Kablovi koliko vidim opušteno mogu i pod zemljiom da idu, a mogu i samonoseći sa sajlom krov2krov varijanta. Koliko vidim, između objekta 2 i 3 j p dim razvući kabl pod zemljom, ono je sve čisto, samo iskopati kanal. Između 2 i 1 je malčice teže zbog betona, ali opet nije toliko strašno, mislim da će ih manje koštati da plate razvlačenje kablova, nego wifi opremu za p2p linkove.

Ako oni insistiraju na wifi linkovima između objekata, pa šta da se radi, takav je život.

U suštini uvek gledaj kada radiš nešto gledaj da imaš što manje aktivne opreme, što manje aktivne opreme, manje glava boli.

[Ovu poruku je menjao bachi dana 12.06.2018. u 09:34 GMT+1]

[Ovu poruku je menjao bachi dana 12.06.2018. u 09:34 GMT+1]
[ notebookFun @ 12.06.2018. 08:04 ] @
Ja u firmi imam dva MikroTik SXTG-5HPacD, jedan master a jedan slave. Na udaljenosti 100m rade dobro.
[ bachi @ 12.06.2018. 08:11 ] @
Imam i ja u jednoj firmi Isto SXT 5GHz p2p linkove na oko 800 metara i isto rade dobro generalno...

Ali, desi se, pošto je na toj zgradi gomila wifi opreme da mi neko zajaše na kanal, pa moram da ga menjam kako bih imao dobar protok. Onda se desi nenormalan vetar koji pomeri malo antenu taman toliko da opadne protok i desilo mi se da je jedan mučenik bio spaljen munjom. :D

Ali u suštini više od 5 godina radi manje više ok.

Izvalite ovaj proizvod od mikrotika. :D https://mikrotik.com/product/wireless_wire

Dakle, 60GHz! p2p link sa max brzinom 1Gb/s full duplex, potrebna savršena optička vidljivost i daljina max do 200 metara. Idealno za p2p linkove kraće udaljenosti. :D
[ CoyoteKG @ 12.06.2018. 11:25 ] @
Citat:
bachi:
> Nisam skontao ovaj deo za APove posebne za osoblje i goste.

Svi APovi osim onih za p2p, tj. bridge linkove treba da imaju iste SSIDove, dakle i za osoblje i za goste, u različitim, odgovarajućim vlanovima. Takođe razmisli kad već radiš od nule da uvedeš posebni vlan za managment interfejs gde će ti biti svi ruteri, svičevi, apovi (uključujući unifi kontroler i apove). Dakle vlan za managment interfejs, poseban vlan za office, tj. osoblje i poseban vlan za goste.

Znači recimo ovakav bi bio tvoj setup?


Interesuje me kod mikrotika, taj Virtual AP, to je u stvari SSID sa posebnim VLAN ili?


Citat:
bachi:
Za mene wifi = nepouzdanost. Dakle, ti p2p linkovi između objekata će raditi, možda će raditi savršeno, a možda će imati visoku latenciju, bagovati povremeno, a možda će raditi savršeno. :) I u tom smislu se ogradi unapred od toga i malo ih zaplaši u smislu da je kabl najpouzdanije rešenje.

Pre 4 godine sam samo radio nešto slično, ali je bilo samo povezivanje dve zgrade udaljene manje od 200m. U pitanju neke hale koje su već imale svoju infrastrukturu. Samo sam bridgovao sa 2 kom. Loco m5. I to dan danas perfektno radi. Ni jednom me nisu pozvali za ovo vreme. I prilično jednostavno mi je bilo da podesim, zato nekako sam za Ubiquiti uređaje, zbog tog pozitivnog utiska.
OK, pre 7-8 godina sam i u nekom studentskom domu podesio dva postojeca mikrotika i 3 TP link APa, ograničio da ne mogu da skidaju torrente uz pomoć blokiranja na layer 7. To sam ispratio neko Predragovo uputstvo ili možda umrezen.in.rs.
I to radi dan danas :). Ne baš najbolje jer imaju očajan protok a gomilu studenata koji uglavnom budu na istom spratu, svi imaju laptopove i telefone. Mislim da je tu bio tplink slaba tačka, jer kad imaju čas, svi se nakače maltene na jedan tplink, pa neki ispadaju sami. Popodne su sami skontali, da iz soba ako ih izbacuje, posedaju po stepenicama na drugim spratovima i onda im bude samo sporo ali radi. Danas više ni ne zovu, verovatno je besmisleno imati SBB net neki osnovni paket na toliki broj, pored ovih drugih rešenja sa GB na telefonima, 4G ruterima i sl...

Mikrotikovi mi nisu pravili problem, ništa dodatno nikada nisam podešavao.

Citat:
bachi:
Ukoliko pristanu i idu kablom, gledaj da to bude po dva lan kabla između svakog objekta, kako bi ostavio prostora sutradan za link aggregation, te kako bi imao 2Gb/s (jednog dana i 2x10Gb/s) linkove između objekata. Kablovi koliko vidim opušteno mogu i pod zemljiom da idu, a mogu i samonoseći sa sajlom krov2krov varijanta. Koliko vidim, između objekta 2 i 3 j p dim razvući kabl pod zemljom, ono je sve čisto, samo iskopati kanal. Između 2 i 1 je malčice teže zbog betona, ali opet nije toliko strašno, mislim da će ih manje koštati da plate razvlačenje kablova, nego wifi opremu za p2p linkove.

E, nisam nikada koristio te neke outdoor kablove, ili kako se već zovu... Je l' imaš neku preporuku? Oni mogu da se krimpuju običnim kleštima, ili stavljati utičnice pa iz utičnice u uređaje? Lakše bi mi bilo bez utičnica, jer onda ne bih morao nikog da cimam da mi tamo štemuje zidove i postavlja utičnice.
Kako se u praksi to provlači?. Recimo kroz zemlju, trebaju mi neka creva dodatno, ili može opušteno kabal. Provukao bih ga onda možda tik uz beton. Ili ako bi išlo sajlama, je l' kabal vežem vezicama za sajlu, dovoljno to, ili opet... mora neko crevo?
Imaju oni ovde na terenu nekog nadrndanog majstora koji se bavi održavanjem, ima sav alat, možda bih mogao da ga uposlim uz par piva.


I da, šta mislite ovako, sa one google map fotke, da li bi bio dovoljan ovaj AP Outdoor+ 2.4 , odnosno da li bi u zgradi 2 imali net sa njim? Možda bih onda mogao da izbacim taj jedan AP. Za zgradu 3 pretpostavljam da bi bio dobar signal, nema nekih smetnji između, no onda bih i njihov SSID morao da imam na ovom glavnom spoljnom ruteru, a to bih izbegao, jer su oni totalno izolovani. Cak ću možda njima skinem isto taj AP u zgradici, samo kablom da budu povezani, a ako im treba na telefonima net, neka koriste ovaj Guests. To mora da proverim.


I da, još jedno pitanje.
Da bi u zgradi 3 uređaji bili u vlan: Building 3, na switchu 10.10.0.20 pretpostavljam da u zgradi 2 treba na nekom portu definišem da je taj vlan, pa iz tog porta dovoljno da spojim sa tim tamo switchem i to će da radi?

[Ovu poruku je menjao CoyoteKG dana 12.06.2018. u 13:05 GMT+1]
[ CoyoteKG @ 12.06.2018. 11:54 ] @
Citat:
bachi:
Imam i ja u jednoj firmi Isto SXT 5GHz p2p linkove na oko 800 metara i isto rade dobro generalno...

Ali, desi se, pošto je na toj zgradi gomila wifi opreme da mi neko zajaše na kanal, pa moram da ga menjam kako bih imao dobar protok.

Tako sam pre par godina uz neku android Wi Fi Analyzer app rešavao probleme sa kanalima.
Nego, zar nemaju danas ovi APovi neko svoje automatsko skeniranje i setovanje kanala dinamički ako neko upadne na isti kanal?
Znam da mi pre par godina neki prijatelj baš pomenuo onako usputno da uz CAPsMAN ne mora da se zeza sa kanalima.
A i na prošlom poslu smo imali u hali 14 Cisco APova, nisam imao pristup, ali mislim da su i oni nekako automatski birali najbolje kanale.
[ CoyoteKG @ 12.06.2018. 17:09 ] @
I jos jedno pitanje :D

Do sada sam u kanc i kuci uvek imao po jedan SSID za 2.4 i 5 GHz.
Ako stavim isto ime na oba SSID, enkricpiju i password, hoce li se uredjaji povezati automatski na kanal koji im je "bolji"? :)

edit:
zaboravite na pitanje :)
Probao sa ovim mojim ubee ruterom kući, prošetao iz sobe u sobu i pratio preko Wi Fi analyzera, čim je 5GHz signal pao povezao se na 2.4. Kad sam se vratio u istu prostoriju nazad opet se vratio na 5GHz.
Ovo je vrhunska mogućnost :)

[Ovu poruku je menjao CoyoteKG dana 12.06.2018. u 18:46 GMT+1]
[ bachi @ 12.06.2018. 17:50 ] @
U principu je to do klijenta. Ima nešto što se zove bend steering u UniFiju, ali sam negde čitao komentare na njihovom forumu da je znalo da pravi probleme u smislu da klijent na kraju ostane otkačen od mreže, tako da je najbolje to da bude isključeno, a da uključiš minimum irssi i za 5Ghz i za 2,4 i da staviš na -85.

Ip adrese ovako nekako..

1 - Managment

VLAN ID 10 (na primer)

IP 10.222.10.0/24

SSID: nema, jer nema potrebe, jedino ako bi sa mobilnog da ulaziš na managment interfejs...

2 - Za zaposlene

VLAN ID 20

IP 10.222.20.0/24

SSID za zaposlene: staff (na primer)

3. - Za goste

VLAN ID 30

IP 10.222.30.0/24 (ukoliko očekuješ da bude više wifi klijenata od broja IP adresa, onda stavi da bude 10.222.30.0/23).

SSID za goste: naziv kluba (na primer)

U svakoj zgradi ćeš imati po pametan svič, a u zgradi 2, gde će biti, pretpostavljam centralno mesto, pokraj sviča ćeš imati i ruter preko koga će svi ići na net.

Svičevi trebaju da ti budu pametni kako bi furao vlanove među njima.

Linkovi između svičeva trebaju da budu vlan tagged i da budu članovi svakog vlana, dakle 10, 20 i 30.

UniFI AP pošto su retardi i menadžment interfejs mora biti untagged, on mora biti na vlan 10 untagged, ali na vlan 20 i vlan 30 da bude tagged, s tim što port native id (pvid) treba da bude 10.

Na ruteru ćeš firewallom da sprečiš saobraćaj (forward deny) između vlanova, s tim što ćeš verovatno odrediti jedan komp iz staff vlana koji će moći da pristupa managment interfejsu (ili poseban port na sviču koji će biti managment port, pa utakneš lan kabl u njega, ili ćeš dizati VPN server na ruteru, pa pristupati udaljeno, to je već do tebe).

Ovo su ti neke opšte smernice, dalje improvizuj. Ako nisi dobar sa Mikrotikom, a većina nas nije, drži se Ubiquity opreme, eventualno uštedi na pametnim svičevima, jer TP-Link Easy managed svičevi sasvim solidno vrše posao (pričam iz iskustva).

Takođe, ako im neki računar imače non stop radi, možda na njega staviti UniFI kontroler umesto tog cloud key-a ili šta već.

E da, nikako da razumem zašto ti svaki AP ne bi imao SSID i za zaposlene i SSID za goste? Tome vlanovi služe da odvoje saobraćaj. Zašto bi zaposleni morao da vodi računa kako se spaja da li na gost ssid ili na zaposlene, spoji se na zaposlene i ako šeta po celom kompleksu, kači se uvek na isti SSID i zadržava IP adresu i faktički imaš preki veze u par ms, što čak i ne ometa voip saobraćaj na primer?

[Ovu poruku je menjao bachi dana 12.06.2018. u 19:01 GMT+1]
[ CoyoteKG @ 13.06.2018. 08:30 ] @
Sve jasno, hvala.

Što se tiče SSID, svuda će biti po dva SSID, jedan za zaposlene, a jedan za goste. Osim u zgradicama 1 i 3 gde gosti ne mogu ući.
Mada realno, mogao bih i tu isto da stavim da postoji i Gosti SSID, da pojačam možda domet u tim delovima dvorišta.

Daj samo još neku preporuku za outdoor kablove, šta si koristio u praksi
I da li po nekom tvom iskustvu je dovoljan jedan ovaj AP da pokrije sve ukljucujuci i zgrade? Oni kao 183m dobacuju, meni je manje više nebitno da li će do kraja dvorišta koje je 70m daleko, nego da li će ova zgrada 2 na koju će biti zakačen, imati unutra domet.

[ bachi @ 13.06.2018. 10:53 ] @
Manje više bilo koji cat 6 SFTP kabl. Beše marka DRAKA kod Netiksa.

Ne znam ovo za wifi da ti odgovorim, vidi koji je radijus antene u tom outdoor uređaju, koji ugao zračenja ima, pa se vodi time.