Jump to content
  • 0

Ubiquiti Unifi Security Gateway


Go to solution Solved by JP--,

Question

Recommended Posts

  • 0
9 minutes ago, Perks said:

Tenho neste momento um Asus a substituir o router meo, a ideia seria desaparecer com aquilo 

Para IPTV tenho de ter igmp snooping. Suporta? Caso sim, sabes se posso na porta LAN ligar um switch que me dê para ligar a box meo e um outro aparelho que necessita de aceder à rede interna. Basicamente junto que não posso ter Vlan aqui, senão o outro perde acesso às redes interna, julgo.

 

Segunda questão, posso criar um servidor vpn para aceder a casa, mas posso ter simultaneamente um cliente vpn ligado, em que me reencaminha apenas tráfego de um source ip?

 

Isto tudo funciona num asus, mas a ideia seria parar a ter isto num aparelho mais pequeno que fica no armário das telecomunicações, junto com a ONT

Quick answer, o Security GW não é o produto que procuras.

Embora seja um device que está orientado a "Smart Homes" ou mesmo a muito pequenos small business, tem algumas características que fazem com que não te recomende, nomeadamente:

  • Com o IPS activo, o CPU do device não te deixa ires muito acima dos 100mbs.
  • Embora o device tenha página de gestão, está feito para funcionar com o ecossistema UBNT. Isto quer dizer que idealmente irás precisar de uma Cloud Key (controladora) ou o software de gestão a correr numa máquina tua,
  • Funcionalidades como SSL VPN simplesmente não existem...
  • É um router com uma porta LAN e uma porta WAN (hoje em dia consegues colocar a porta VOIP como WAN2 ou LAN2 mas apresenta limitações para o teu cenário), não possui a componente switch (várias portas dentro do mesmo segmento de rede) como o teu router ASUS
  • Sad 1
Link to post
Share on other sites
  • 0
  • Solution

O Edgerouter é um bixo completamente diferente.

Estamos a falar de uma Box com um SO proprietario da Ubiquity (Família UNIX) com um CLI bastante elaborado. Tens também uma interface Web interessante.

The good: Consegues fazer o que queres... quase. Para o IGMP terás que configurar um IGMP proxy no EdgeRouter.

The bad: Vais precisar de recorrer ao CLI para parte das configs, a curva de aprendizagem não vai ser fácil.

 

Dou-te dois exemplos, como configurares um servidor VPN SSL e um IGMP proxy num EdgeRouter: 

https://help.ui.com/hc/en-us/articles/115015971688-EdgeRouter-OpenVPN-Server

https://help.ui.com/hc/en-us/articles/204961854-EdgeRouter-IGMP-Proxy

 

 

Link to post
Share on other sites
  • 0
22 minutes ago, JP-- said:

Sure, diz-me o que precisas de saber.

Tenho neste momento um Asus a substituir o router meo, a ideia seria desaparecer com aquilo 

Para IPTV tenho de ter igmp snooping. Suporta? Caso sim, sabes se posso na porta LAN ligar um switch que me dê para ligar a box meo e um outro aparelho que necessita de aceder à rede interna. Basicamente julgo que não posso ter Vlan aqui, senão o outro perde acesso às rede interna, julgo.

 

Segunda questão, posso criar um servidor vpn para aceder a casa, mas posso ter simultaneamente um cliente vpn ligado, em que me reencaminha apenas tráfego de um source ip?

 

Isto tudo funciona num asus, mas a ideia seria passar a ter isto num aparelho mais pequeno que fica no armário das telecomunicações, junto com a ONT

Link to post
Share on other sites
  • 0
15 minutes ago, Tourniquet said:

First world problems :-.. 

Verdade, mas estou de olho num no eBay e se calhar vendia o asus or mais ou menos o mesmo e ficava com uma máquina mais completa, já que não preciso de wi-fi no router 

Também não é bem um armário, é mais uma caixa :-..

Mas parece um ninho de ratos, e meter aqui um asus era impossível

 

QAdg4tf.jpg

 

 

2 hours ago, Nazgulled said:

Não tenho, mas já tive para ter. Cheguei a investigar e ler muito sobre o assunto. Acabei por comprar o EdgeRouter 4 recentemente, mas ainda não o tirei da caixa :-..

Talvez consiga ajudar, quais são as duvidas?

Eu também sou assim, mas não era capaz de dar 100 paus por um router para o deixar na caixa :-..

 

Link to post
Share on other sites
  • 0

@JP--

Achas que o Edgerouter X se aguentava à bronca?

 

Estava aqui a ver e encontrei uns asus rt-ac88u sem WiFi a funcionar (o que para mim é indiferente, já que não vou usar) e que muito provavelmente me daria tudo o que procuro excepto o tamanho reduzido, que era uma das principais coisas que procurava

Link to post
Share on other sites
  • 0

Não me parece que também vá muito em contra ao que precisas, pela complexidade.

Em termos de velocidades para chegares aos 100mbs com o X vais ter que optimizar o Hardware Offloading:

https://help.ui.com/hc/en-us/articles/115006567467-EdgeRouter-Hardware-Offloading-Explained

 

Sinceramente, a um bom preço o Asus seria melhor para o teu caso. Podes inclusive colocar-lhe o firmware Merlin e fica com "todas" as funções que possas vir a querer. Tem já um IPS básico da Trend Micro que é sempre bom haver nos dias de hoje.

https://sourceforge.net/projects/asuswrt-merlin/files/RT-AC88U/

 

Cautela com a acumulação de calor ai no teu "datacenter" ;)

  • Like 1
Link to post
Share on other sites
  • 0

Thanks :y:

Eu tenho um ac87u com o merlin, e funciona bem

estava era a tentar tirar que aquilo parece uma central em tamanho, nas o ac88 não é muito diferente,  tem a vantagem de ter igmp snooping, que os novos não têm e ser mais rápido em termos de vpn

Eu com o ac87 consigo fazer stream da minha box a 1080p a partir da vpn sem stress, mas neste momento começo a ter tantas coisas ligadas que começo a pensar que isto vai dar o peido

Estava a tentar mudar a máquina por isso e se conseguisse esconder no armário junto à ont era top, porque ganhava 2 cabos extra que já estão metidos na parede

 

 

Sim, o ac88 é famoso pelo calor, há à venda umas fans para aquilo, mas como não quero WiFi acredito que a temperatura não seria assim tão alta 

Vou pensar o que fazer ou se fico com o ac87. Neste momento para upgrade com igmp snooping apenas há 2 o ac88 ou o ac68, e se calhar até prefiro o 68 porque apesar de ser mais lento também é mais pequeno

Conheces alguma máquina que faça o que preciso em tamanho mais reduzido tipo o Edgerouter? não preciso wifi como disse, e se não tiver igmp snooping e tiver de criar VLANs para igmp proxy paciência, não é por aí

Link to post
Share on other sites
  • 0

Sim, um RB750Gr3 dá-te todas as funcionalidades que precisas, mas não te irá proteger a rede. (DNS filter, IPS, Proxy, etc.) Eu sei que não estás a pedir isso mas fica apenas a ideia.

Como alternativa mas um pouco menos em conta, posso recomendar-te adquirires um brinquedo destes e colocar-lhe PFSense.

https://www.amazon.com/Pfsense-Q330G4-I3-4005U-4Gigabit-Firewall/dp/B074XQTL32/ref=psdc_13896591011_t1_B07176FTV4?th=1

 

Edited by JP--
Link to post
Share on other sites
  • 0

Não tinha pensado numa coisa dessas

Tinha pensado no pfsense com uma rpi4 mas li que o igmp snooping com pfsense não funciona muito bem, por isso tinha descartado essa hipótese 

 

 

Mas vou ler sobre isso 

Link to post
Share on other sites
  • 0

Entretanto encontrei esta máquina

logo_fb.jpg
MIKROTIK.COM

MikroTik Wireless systems, Switches, Ethernet routers, RouterBOARD products, Antennas and Accessories

 

Parece-me top, achas que vale a pena vs o rb750Gr3? Com a enclosure o preço fica sensivelmente no dobro

Link to post
Share on other sites
  • 0

Desculpa, não tenho tido muito tempo para vir aqui, sendo essa a razão pelo qual o EdgeRouter ainda está na caixa, falta de tempo para brincar com o bicho. Tenho uma certa complexidade (nada de especial) na rede aqui de casa pelo que preciso de ter disponibilidade para fazer a migração para o novo router, e ultimamente essa disponibilidade é inexistente. Agora perguntas, "porquê que o compraste?", well... Recentemente mudei de emprego e tinha um "welcome budget" para gastar no que eu quisesse, ora, o router foi uma das coisas que escolhi :-..

Anyway, se calhar já perdeste o interesse no USG e apesar de não saber responder com todas as certezas, acho que não dava para o que querias. O USG é um router, não faz switching, nem tem Wi-Fi, no minimo ias precisar de um switch, managed caso precises de mexer em VLANs.

O hardware da Ubiquiti, seja da linha EdgeMAX ou UniFi, é investimento bem maior porque normalmente tens de comprar tudo a parte, router + switch + APs, é ter cada peça a fazer o essencial e não mais que isso. Apesar de o conceito não ser tanto All-in-One como os ASUS (entre outros) eles têm o UDM e UDM-Pro, que são All-in-One, mas tanto quanto sei não têm IGMP Proxy/Snopping que é preciso para a MEO (e Vodafone? não tenho a certeza). Há muita gente que diz bem dos UDMs, mas depois tens malta a dizer que é um produto "inacabado", com muitos bugs e problemas graves. Eu cheguei a ponderar um USG e UDM para mim, mas desisti, não ia dar para o que queria que era semelhante ao que querias. Optei pelo EdgeRouter 4 para dar bem para a minha ligação 1Gbps/200Mbps. Quando o montar a ideia é substituir parcialmente o meu ASUS (em termos de routing), vou usar na mesma o ASUS para Wi-Fi, para já não me dá jeito investir em APs.

No caso da VPN, julgo que grande parte das soluções deve dar para aceder ligar o router a uma VPN externa, dar para configurar isso para um unico IP é que já não sei, nem sabia que o ASUS dava para isso, mas parece-me algo que a maior parte não vai ter. VPN para aceder dentro de casa, também tenho isso configurado no meu ASUS mas estou em vias de migração para um RaspberryPi. Quero minimizar aquilo que o router faz, quero que ele faça de router e mais nada. O resto fica fora e assim tenho mais controlo naquilo que posso instalar, as versões, backups, configurações, mais flexibilidade e mais autonomia no que posso fazer.

Falaste em ter MEO, mas que solução tens? Tens o ONT separado ou está embutido no router da MEO? E qual é o teu objectivo mesmo?

  • Like 1
Link to post
Share on other sites
  • 0

Bem agora vinha aqui dizer que tinha acabado de comprar o Mikrotik rb750Gr3 :-..

Estava a olhar para esse arm mas deve ser uma fritadeira em termos de calor

14 minutes ago, Nazgulled said:

Falaste em ter MEO, mas que solução tens? Tens o ONT separado ou está embutido no router da MEO? E qual é o teu objectivo mesmo?

Tenho o ont separado, não uso o router da meo, nem sei onde ele está muito sinceramente

Link to post
Share on other sites
  • 0

Relativamente ao asus o teu dá para isso também @Nazgulled (é o ac68u se bem me recordo de teres dito), tens de instalar o Merlin e configurar o policy based routing

 

Relativamente ao server vpn o Mikrotik tem ipsec hw acceleration, portanto até faz sentido usar o router

Link to post
Share on other sites
  • 0
3 minutes ago, Perks said:

Relativamente ao asus o teu dá para isso também @Nazgulled (é o ac68u se bem me recordo de teres dito), tens de instalar o Merlin e configurar o policy based routing

Acredito que sim, mas estou com o Tomato que não dá para isso. De qualquer maneira não é uma funcionalidade que eu sinta falta.

 

3 minutes ago, Perks said:

Relativamente ao server vpn o Mikrotik tem ipsec hw acceleration, portanto até faz sentido usar o router

Certo, mas eu prefiro ter as coisas separadas e também prefiro WireGuard.

  • Like 1
Link to post
Share on other sites
  • 0
3 minutes ago, Nazgulled said:

Tomato que não dá para isso.

Também dá

Tenho um Netgear aqui encostado que esteve a funcionar assim uns 2 anos

Podes é ter de alterar a config do ovpn e depois se bem me recordo na última tab onde configuras podes adicionar o split tunnel por source ip, ou destination ip

 

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.