[indrpo]

Nuci suurust ruuterit kellelgi vaja siis teeb kõik täna ära, kuni 2,5Gbit/s netiga. levi jagub 3 toalise korteri jaoks, aga saab igatpidi laiendada samasugustega. Hind parem kui mingi tplink
https://eu.store.ui.com/eu/en/category/all-cloud-gateways/products/ux7

[Betamax]

Miks peaks keegi sellise hinnaga TP Linki endale üldse ostma? Alustame sellest.

[bladerunner]

Alusta siis sellest et näita TP-Linki mis oleks kolmesageduslik ja odavam sellest UX7-st?

Lähim vaste on https://www.hinnavaatlus.ee/4227719/tp-link-wifi-tugijaam-archerbe550-9214mbps/ mis suht samas hinnaklassis...

[Tint]

Iga oma püsti pandud ruuteri/seadme eest peab ka "hoolitsema" et maailmale midagi kättesaadav poleks. Kes väga teemaga kursis pole siis soovitaks rendi seadet. Mina küll hobi korras kolisin ubutu peale kuna lihtsalt tahtsin nftabelit selgemaks saada, kuid 99% kodukasutajatest pole sellist ajukeppi vaja

[Betamax]

[vigurvänt]

[BA79]

Janis, Ma õppisin pfSenset kasutama tulemüürina. Jah, saab kasutada ka tarkvaralise ruuterina, ent tegemist on siiski põhimõtteliselt Linuxi opsüsteemil baseeruva tulemüüritarkvaraga. OK kodukasutuseks vast kõlbab, aga ettevõtte arvutipargi võrguliiklust monitoorima/haldama ma ikka ei paneks. Riistvaraline tulemüür ja hästi kaitstud LAN eraldi ruuteris hallatuna on kindlam variant. Teisisõnu, kui koduse arvutivõrgu küberkaitse-eelarve on piiratud siis tasub ära küll.
Ma ise mõtlen nii, et kui ma peaks kodus üles panema valvekaamerad, millele väljast vaja ligi saada siis on kindlasti mõistlik mõelda ka tulemüüri peale (Online pilvesse salvestavat kaamerasüsteemi ma ei taha. Kui siis lokaalne salvestus ja staatilise välise IP'ga ligi). Odavamad NUC-id on saadaval kusagil 120€ eest (AT). Sama raha eest saab juba ka riistvaralise tulemüüri (Ubiquiti lahjema versiooni). Zyxeli tulemüüride hinnad on kahjuks juba tõusmas. Vanemate mudelite Fast Ethernet (100M) saab kätte 100€ ringis. Gigabit Ethernet versioonide hinnad lähevad eest ära. Lisaks on tulemüüride puhul hakatud müüma litsentsidega ehk siis selles vaates tõesti koju pole mõtet litsentsiga seadet osta, mida peab iga aasta uuendama, ehk peale maksma, et saaks seadet edasi kasutada.

[Janis]

Miks see ainult koju sobib? Kas nad valetavad oma kodulehel siis?

[kaabakas]

Kunagi alustasin ise ka vanast rondist tehtud ruuteriga. Võrgualuste selgeks tegemise jaoks väga hea. Aga miks seda praegu vaja peaks olema, enda maailmas põhjust ei näe.
120€ eest saab näiteks päris palju mikrotikku:
https://arvutitark.ee/en/network-devices/routers/mikrotik-router-l009uigs-rm-no-wi-fi-101001000-mbits-e-1270107
Litsentsijama pole, tarkvarauuendused tulevad põhimõtteliselt igavesti, kokku ei jookse, 8 porti, vpn jaoks krüptokiirendus rauas olemas, funktsionaalsuse koha pealt võrdset ei ole.
Kes saab hakkama arvutist ruuteri tegemisega, saab tikuga ka hakkama.

Aga asi, mis on põhimõtteliselt valesti, aga mida tihtipeale juhtub arvutist tehtud ruuteritega, on see, et seal peal jooksutatakse midagi veel. See paneb võrgu läbilaskevõime sõltuma arvuti koormusest. Lased prose lakke, ja ping läheb samuti lakke. Lased arvuti tarkvarauuenduste jaks resale, või võtad hoolduse jaoks lausa maha, ja oled netist ka ilma. Sellest ei hakka üldse rääkimagi, et mõni topib oma ruuteri virtukasse ka... Kodus nikerdamise jaoks ju võib, ise oled ainus kannataja, aga kui teised sulle maksavad selle eest, et neil asjad töötaks ja korras oleks, siis on edu valem veidi teine.

[BA79]

Janis,

pfSense on edasijõudnutele (entusiastidele, kes tahavad ise nokitseda). Ja samas kuna tegemist on avatud lähtekoodiga siis võib alati juhtuda, et keegi tõmbab alla "valest kohast" modifitseeritud OS versiooni või modifitseeritud pakid (moodulid),mida saab installida, ent millel on halvemal juhul tagauksed sees. Tulemüüri ja võrguseadmetele spetsialiseerunud tootjate tarkvarad, nii püsivara, kui ka opsüsteemid on tavaliselt kinnised (Kui uuendad tulemüüri/ruuterit tootja kanalite kaudu siis saab enamasti 100% kindel olla, et mingit muditud tagauksega versiooni alla ei tõmba ega installi). Jah neil ka esineb vigu, ent kui vead on lapitud, saab üsna kindel olla, et oht/viga/tõrge on kõrvaldatud sest võrguseadmete tootjad konkureerivad omavahel ja nad ei taha halva maine pärast müügimahtudest ja turust ilma jääda. pfSensega võib vabalt juhtuda nii, et "turvaauku" lappida on raske, algaja kasutaja/haldaja ei pruugi isegi teada, et tal on installitud vigane moodul või häkitud/modifitseeritud moodul ja nii võib juhtuda et ettevõtte arvutivõrk, ja võrgus olevad arvutid on haavatavad. Tekitatud kahju võib seetõttu kujuneda väga suureks.

[Janis]

Et ikkagi valetavad ja netgate ka valetab?
Varem kui poest ruuterit ostsin, siis just vaatasin sellist, kuhu sai kohe midagi muud peale lasta kui originaalsoft - soovitatud tegevus.
Mingeid TP linke ja huaweisid on ju palju hirmsam osta kui su juttu lugeda.

[hobihall]

Ise olen aastaid PfSense kasutanud koos VPN-iga põhiliselt sel põhjusel et tol ajal mõistliku kuluga alternatiiv puudus. Jah kõik töötab aga konfimine ja turvalisena hoidmine võtab meeletult tähelepanu ja aega. Ise kompunnid selle kompoti kokku ja süsteem koosneb paljudest erladiseisvatest komponentidest mis võivad mingil hetkel omavahel konflikti minna. Mul nii juhtuski ja sama konfiga kahel erineval kastil tekkisid lampi samad anomaaliad. Mine siis otsi seda algpõhjust sealt heinakuhjast. Kuna asi tasuta kommuunipõhisel platvormil, siis keegi põhimõtteliselt toote eest ei vastuta ja parandused võtavad aega. Kodus on suva, aga ettevõttes eelistaks stabiilsemat lahendust. Olen kasutanud nüüd Fortineti ja viimasel ajal uusi Unifi Gateway tooteid. Enam tagasi ei lähe. Tootja vastutab oma toote eest, tagab toote turvalisuse ja ise saab aega mõistlikumalt kasutada.

[BA79]

Janis,
Põhimõtteliselt vahet pole,kes ruuteri tootja on. Aga vahe on selles, millisesse hinnaklassi ruuter kuulub ja kui palju kasutaja midagi endale meelepäraseks konfida saab. Mingi tavaline 20€ ruuter ei peagi funktsionaalsuselt äriklassi ruuteri/tulemüüriga võrdne olema. Võtame nt Mikrotiku. RouterOS on baas ja selle eri versioone kasutatakse nii odavama, kui ka kallima toote peal. Siiski, kõiki RouterOS funktsioone lahjema rauaga ruuteri peal pole mõistlik kasutada (efekt sama nagu lahja PC konfiga arvuti peal pole mõtet jooksutada suurt jõudlust nõudvaid rakendusi, mis masina n.ö kooma tõmbavad). Teine aspekt on see, et enamasti on ruuterite kautajaliideses kõikvõimalikud valikud kasutajale kättesaadavaks tehtud ja kasutaja asi on siis teha valikuid nagu on või kui ruuter võimaldab nt konsooli, SSH (telnet) või CLI abil teha muudatusi, siis peab kasutaja juba olema rohkem teadlik sellest kuidas ruuterit ja tulemüürireegleid käsitsi seadistada. Ja nüüd jõuamegi sinna, et keerulist konfiguratsiooni tavaruuterid ei võimaldagi, aga vastavalt arvutivõrgu ja IT-taristu kriitiluse astmele tuleb vahel teha ka selliseid seadistusi, mis välistavad volitamata ligipääsu ressurssidele, teenustele jne. Siis monitoorimisreeglid, et millist osa võrguliiklusest jälgida ja kui teenus maha kukub siis kuhu intsidendi kohta logi saata/salvestada või siis käivitada mingi protsess nt automatiseeritult taaskäivitab mahakukkunud teenuse. Selleks on vajalik seadistada erinevaid agente ja monitoorimise võrgurakendusi, mis kõik samamoodi vastavalt tulemüürireeglitele kas lubatud või keelatud olema peavad. Paljudes ettevõtetes ja asutustes kasutatakse nüüd privaatvõtmetega autentimist ja seadmete võrku lubamist ehk siis võrguseade peab suutma ka krüpteeritud võrguliiklust läbi laskma. Odavad ruuterid ei tule selliste ülesannetega toime enamasti seepärast, et raud pole selliste ülesannete jaoks optimeeritud. Ja viimane aspekt on siis see, kas kodukasutuses on alati vaja nii ülirangete meetmetega võrku kaitsta?

Põhimõtteliselt piisab ka sellest, kui filtreerid sissetuleva liikluse nt tahad väljast oma kodus olevale valvekaamera salvestistele ligi pääseda, MAC aadressipõhiselt, st annad lubava sissetuleva liikluse nt ainult oma sülearvuti võrgukaardi MAC aaddressile ja ühenduse lood läbi VPN-i (selle jaoks pole vaja ultrakallist äriklassi võrguseadet). Ülejäänud sissetuleva liikluse kaamera võrku lihtsalt keelad. Ja siinkohal siis peabki olema ettevaatlik, et milliseid teenuseid ja porte võrgus lahti hoida, milliseid kinni panna nii, et sa ei halvaks oma arvutite ja seadmete internetikasutust. Kokkuvõtvalt, odavamad on väikekontori ja koduvõrguseadmed, mille kasutamisel reeglina piisab baasteadmistest. Ettevõtetes aga rakendatakse IT turbepoliitikat, mis tähendab et kogu IT süsteem ja ka ettevõtte igapäevategevuses on kokkulepitud reeglid mille tulemusena on ka IT-taristu seadistatud nendele reeglitele vastavaks, et küberturberiske minimeerida (100% välistada kahjuks ei saa).

[Janis]

Mida sa öelda üritad praegu? Ma ei saa üldse aru miks sa seda kirjutad siin.

Et kuskil nucist istuv pfsense on kehvem variant kui mingi consumer tplink? See on siin it foorumis ju täitsa kaalutav alternatiiv bang for buck mõttes, seadistamine ju pole nii oluliselt keerulisem kui suvaline muu kolmanda poole ruuteril.
Minul jookseb küll süsteem nagu kulda ja on stabiilne. Samas nucis veel mõni VM tiksumas. Jõudsin selleni kuna mingi uhke äge sarvedega asus ei võimaldanud piisavalt nii confida nagu tahan.

[BA79]

Kui su NUC-i raud üles ütleb, oled netist ja nendest VM-idest ilma või kui mingi moodul pangestub või pfSense kokku jookseb (Usu, opsüsteemidel on kalduvus vahel kokku joosta, halbade asjaolude kokkusattumuse korral), kasvõi see, kui kõvakettal olev failisüsteem läheb katki või kõvakettale tekivad bad sectorid või siis mõni .conf fail katkiseks/vigaseks muutub). OK opsüsteemi saab uuesti üles lasta, aga sõltuvalt konfiguratsiooni keerukusest on taastamine linuxis keeruline. Oled sa oma süsteemi seadetest backupi teinud? Mul nt Mikrotikul on seadete backup olemas nii arvuti kettal kui ka ruuteri enda sisemälus. On juhtunud nt et unustan ruuteri parooli ära sest pole kaua aega sisenenud ja ainus variant ruuterisse sisse pääseda on teha reset. Kuna nullist uuesti konfimine nii nagu vaja, on suhteliselt tülikas, siis lasen toimiva konfi uuesti peale ja pärast restarti on kogu võrk täpselt samasuguse konfiga nagu varem. Inteno seadetest on savi, pohlad, aga sisevõrgus mul on konkreetne VLAN koos DHCP serveriga ja dünaamilise IP konfiga (DHCP klient eth1 pordile, et saaks Intenolt netti).

[Janis]

Kui ükskkõik mis raud üles ütleb, siis oled ilma ju andmetest kui backupi tehtud pole.
Täiesti elementaarne käitumine, asuse junnist olid ka koguaeg backupid olemas

[BA79]

Jah varundus varunduseks, aga taastamine võib-olla keeruline sõltuvalt süsteemi ülesehituse keerukusest.
Eks igaüks ise teab mis teeb, kellele sobib PC raual võrguseade, kes tahab eraldiseisvat funktsionaalset seadet.

Kordan veelkord, et tavaruuter ei konkureeri (ei peagi seda tegema) paindlikumate võimalustega võrguseadmega. Võta või ISP ruuter. Samamoodi kinnine klots, kasutaja midagi suurt teha ise ei saa. Aga ilma ISP ruuterita on inimesel, kes ei ole nii IT- teadlik, raske hakkama saada, kui üldse. Ehk siis tavatarbija kasutab ISP vaikeseadetes ruuterit, aga edasijõudnu võtab endale selle riski, et peab ise hakkama saama, kui kasutab oma ruuterit/tulemüüri/võrguseadet.

[indrpo]

Mul on lihtsalt vahemärkus. Mingi oma ruuteri aretus on vähemuste teema isegi HV kasutajate osas, seega jätaks selle mingi muu teema arenduseks.
turul on erinevaid ruutereid ja kui tõesti Telia teemas arutada oma ruuterit, siis turult saadavat.
Ubi on väga hea alternatiiv kus pole ise vaja väga palju kirjutada, teeb rohkem kui pfsense.

[kaabakas]

Need uhked ägedad sarvedega elukad üldiselt midagi erilist ei ole. Wifikaardid ja switchikiibid mis seal sees on, on kõigil ju põhimõtteliselt samad. Ühtteist saab teha protsessori ja kasutajaliidese osas, aga draiverid tulevad ju ka otse kiibi tootjalt ja purgi tootja võimalused ja viitsimine midagi paremaks teha on minimaalsed. Isegi suuremad antennid midagi paremaks ei tee, sest klientseadme omad on täpselt sellised nagu nad on.

Küll aga on purgi tootjal võimalus midagi kehvemaks teha.
Eks nad ole nagu vein, kui näha on, et raha läks pudeli peale, siis teada on, et sisu on teisejärguline.

Aga neile võib peale minna openwrt, dd-wrt, või mõni muu selline firmware, millega saab normaalse seadistatavuse ja kasutajaliidese. Ja konkreetselt asusele ilmselt peakski midagi sellist peale ajama, sest asuse ruuteritel on turvalisusega kehvasti olnud. Mitte, et teistel tingimata parem oleks. Ja niivõinaa on üsna tüüpiline, et kodukasutaja ruuteril lõpeb tootetugi mõne aastaga ära, ja kui tahad paremini magada, peadki mõne linuxipõhise firmware peale ajama. Tuleb muidugi juba enne ostmist eeltöö ära teha, et võimalused välja selgitada. Aga kui juba natuke mõtlema jääda, siis tuleb välja, et õige vastus koju on reeglina hoopis Ubi või Tik.

Mis puudutab paroole ja varukoopiaid, siis paroolid on loomulikult salvestatud võtmerõngasse, ja vähemalt Ubi ja Tiku puhul on sama ruuteri mudel ka aastaid hiljem saadaval, nii et settingute peale laskmine on lihtne. Ubi puhul pole proovinud, aga tiku puhul saad settingud peale lasta ka täiesti teisele mudelile, tuleb lihtsalt need paar kohta üle käia mis muutunud on.

[BA79]

kaabakas, Oskad veidi kommenteerida, kas Zyxeli tulemüüriseade on selles mõttes parem/lihtsam, kui kasutada nt Mikrotikut tulemüüri rollis? Kasvõi seesama räkitav Mikrotik, mille linki sa mõned postid tagapool jagasid? Et kui ma tahan oma ISP ruuterile sisevõrgu ette panna tulemüüri, siis milline kodutingimustes oleks mõistlik?

[kaabakas]

Ei oska kommenteerida, ja ei saa ka probleemi püstitusest aru. Isp ruuterile eraldi seade tulemüüriks lisada, miks? Isp ruuter kas saab oma ülesannetega hakkama, millisel juhul sa kasutad teda, või ei saa, millisel juhul sa vahetad ta parema vastu. Kaks seadet selle koha peal, kus ühest piisaks, toob üldiselt kokku mõlema nõrgemad, mitte tugevamad küljed.

Isp ruuter dsl sillana on suht ainus use-case mis pähe tuleb, aga sinu küsimusest ei loe just välja, et seda mõtlesid.

[BA79]

OK püüan täpsustada: Kui tavaliselt tulemüüriseade on mõeldud blokeerima massründeid ja sissemurdmiskatseid, siis kas kodukasutajal on mingeid võimalusi, et oma võrku väliste rünnete eest kaitsta? Kasvõi privaatsuse vaatest, et kui kodukasutajal on nt valvekaamerad üleval ja neile ligipääsuks väljast ehk kodus ära olles silma peale heita oleks lokaalse salvestuse korral vajalik väline staatiline IP, aga see tähendab siis ka seda, et kodune võrk on internetist leitav. On tavakasutajal mingi võimalus kuidas kaitsta Ddos (DoS ) ja Brute Force sissemurdmiskatete vastu oma kodust võrku? Kaamera, mis on terves internetis vabalt nähtav, kätkeb ikka tõsist ohtu privaatsuse ja vara kaitsmise osas (potentsiaalsed vargad võivad midagi tähele panna) Ja kui saavad aru, et kedagi kodus pole, siis seda hullem.

[jägaja]

Ei, Tavakasutajal ei ole võimalust millegi sellise vastu ennast kaitsta. Tavakasutaja soetab teenusepakkuja ruuteri. (Tavakasutaja keeles, mingi valge plänniku)

Tavakasutaja ei saa isegi aru, millest siinsed IT gurud räägivad

[hobihall]

Unifi seadmed saavad sellega kenasti hakkama. ISP ruuterist on suunatud ainult vajalikud pordid, mille kaudu on vaja välist juurdepääsu ja juba tulevad üle maailma port scan jms katsed, mille Unifi tuvastab, blokeerib ja logib. Igasugused turvanõrkuste testid tulevad läbi ka Telia turvanetist. See mulle Unifi juures meeldibki et võrgus toimuva üle on hea ja lihtne ülevaade. PfSense puhul oli vaja palju rohkem raalida mis toimub ja valepositiivsetega tegeleda. Jah PfSense OpenVPN oli kiirem, aga Unifi muud omadused kaaluvad selle üle

EDIT: Mul näiteks on ISP ruuter vahel selleks et digiboxile Multicast saada niikaua kui seda on. Turvalisust see ei taga mistõttu kõik muu on tulemüüri taga

[kaabakas]

Kui me räägime tulemüürist kui elukast, mis porte sulgeb/avab/suunab, siis igasugune ja suvaline isp, poeleti, või ise tehtud ruuter saab sellega hakkama.
Kui me räägime tulemüürist kui elukast, mis liikluse sisu vaatab ja selle alusel otsustab, siis selle jaoks maksad reeglina ruuteritootjale litsentsitasu, ja kodukasutaja seda reeglina kinni ei maksa.

Pordiskännimised ja robotiründed jms on mõttetu sodi, ainus mis selle vastu vaja on, on pordid kinni hoida (isp ruuteril vaikimisi alati on).
Kui on kaamera või muu asi, millele ligi saada vaja on, siis tuleb seda 1) jooksvalt turvauuendada ja adekvaatse autentimisega kaitsta ja 1.1) piirata ligipääs paarile kindlale ip aadressile või 2) lahtine port tagasi kinni panna ja teenus vpn taha peita, sest enamus turvakaameraid ei saa kunagi turvauuendusi jne.

Kui tulemüür võimaldab, miks mitte ka roboteid blacklistida, aga sellega väga kaugele ei jõua, enamus ründeid on ammu juba hajusad. Suurem oht on sellega iseennast välja lukustada.