<div dir="ltr">Szia, <div><br></div><div>Azt az infót konkrétan nem kaptuk meg, hogy milyen tűzfal funkciókat szeretnének aktívan használni, így innen nem tudom megítélni, hogy elégséges-e a mikrotik vagy se. </div><div><br></div><div>A mikrotik:</div><div>Bőséggel elégséges ha routing-ról beszélünk, bár ott is meg kell nézni a specifikációban, hogy mit ad meg a gyártó az egyes csomagméretek esetén. (aztán annak a 80%át venni, mint valós teljesítmény, mivel iperf-fel mérnek) </div><div>Amíg csak ip:port párokról beszélünk és úgy szűrünk, addig elégséges lehet, DE amint szeretnénk </div><div> - egy SSL-t kibontani/újracsomagolni</div><div> - vírust szűrni a forgalmon </div><div> - IDS/IPS-t üzemben tartani </div><div> - loadbalancert-t üzemeltetni </div><div>elhullik, már pedig ezek szerintem fontosak. </div><div><br></div><div>IP:PORT szűrések:</div><div> ha több mint 4 interface-en akarsz egy jól "megzónázott" rendszeren (5-6 subnet-nél több) tűzfal szabályokat írni, rettenetesen átláthatatlan lesz, hiába veszel fel chain-eket -bár az tagadhatatlanul sokat segít. </div><div>Egyszerűen nem erre találták ki, nyilván lehet address list-eket használni, DE azokat nem tudod konzisztensen a rendszerben mindenhol felhasználni, ha cserélned kell egy IP-t egy komplexebb rendszeren a szemed ki fog folyni. Tény, hogy néhány szabályt felvenni (50 alatt) rendben van teljesen, én is szeretem, DE egy komplex hálózat csomagszűrését nem bíznám rá, nem arra való. </div><div><br></div><div>FastTrack: </div><div>Nagyon megtévesztő, mert jelentősen csökken a filtering késleltetése és nő az áteresztő képesség, aztán örülünk, hogy milyen gyors, cserében viszont elbukjuk a netfilter-alrendszer képességinek egy jó részét, mert nem járja be a csomag a kernelben a neki szánt utat, hanem "rövidít" </div><div>Aztán amikor debug-olni kell az ember dörzsöli a szemét, hogy hol a csomag. </div><div><br></div><div>WiFi+capsman:</div><div>nagyon jó szeretem, de jelenleg nincs olyan eszköze a mikrotik-nek ami pl mu-mimo képes lenne, annélkül pedig szerintem most telepíteni egy rendszer már botorság lenne és itt éppen ez történik ha jól gondolom. </div><div>Nem támogat a capsman roaming-ot (ha gyenge a jel és lerúgom a klienst az nem roaming) pl.: minimum 802.11r amit meg kellene valósítani.</div><div>Sajnos nagyon kicsi a rádiós teljesítménye egy CAP AC ap-nak, most jelent meg egy új verziója CAP XL AC vagy mi a túró, arra nagyon kíváncsi leszek mit tud majd. Mu-mimo itt sem támogatott mert a 6.x-es routeros nem támogatja a 7.x talán változást hoz. </div><div><br></div><div>VPN képességek: </div><div>openvpn-t nem tudsz csak TCP-n üzemeltetni és a titkosítást a CPU-val végzi hiába lenne benne olyan chip ami a crypto-t hivatott gyorsítani. </div><div>IPSEC esetén is meg kell nézni a specifikációt, hogy milyen cipher suite-okat támogat, mert az sem mindegy, mert csak azok esetén érhető el a hw-es gyorsítás. </div><div><br></div><div><br></div><div>Szóval routing-ra nagyon nagyon jó megoldás, mindent is tud, de határvédelemre, nagy rendszer esetén nem használnám, illetve frissen telepítendő wifi-re se vetném be amíg az újabb működési módozatokat nem implementálják a frissebb hardware-ek és swoftware-ek esetén. </div><div><br></div><div>Üdv,</div><div>Feri</div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Sep 20, 2021 at 1:24 PM Sándor Fehér <<a href="mailto:sandor.feher84@gmail.com">sandor.feher84@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div>
Szia!<br>
<br>
Routernek + tűzfalnak BŐVEN jó iskolai környezetbe és profi a
MIKROTIK ár-érték arányban. (legjobb döntés szerintem)<br>
Az örök licence miatt, meg nem kell eldobni pár év után és gyakran
jönnek frissítések is rá, amit persze automatán is fel tud
telepíteni.<br>
Ezek is tudnak központi wifi management-et (capsman), így az unihoz
is alternatív módszer lehet. <br>
A mikrotik fórumain és a neten rengeteg infó van róla és akik
szeretjük a mikrotiket szívesen segítünk másoknak is. <br>
<br>
<font color="#ff0000">Amit szeretnél, azt bőven tudja</font> az
alábbi általad linkelt eszközöket bőven túllicitálva a
funkciógazdaságot tekintve. (és olcsóbban)<br>
<br>
Konkrét eszköz például központi routernek a :<br>
rb 1100ahx4 (ez a hardcore teljesítmény egy suliba ilyen hálózatba
bőven sok)
>>>>><a href="https://ipon.hu/shop/termek/mikrotik-rb1100ahx4/1632852?gclid=CjwKCAjw4qCKBhAVEiwAkTYsPBHFfGdOtlDVc3djwPjcLzhlPx22Cb77RufISOy1ZKChAVZrSIBkGhoC8o0QAvD_BwE" target="_blank">https://ipon.hu/shop/termek/mikrotik-rb1100ahx4/1632852?gclid=CjwKCAjw4qCKBhAVEiwAkTYsPBHFfGdOtlDVc3djwPjcLzhlPx22Cb77RufISOy1ZKChAVZrSIBkGhoC8o0QAvD_BwE</a><br>
<br>
vagy <br>
hap ac3 a soho vonalon ami olcsóbb, de funkcióba ugyanazt tudja
kisebb teljesítmény mellett., nálunk nagyobb hálózat mellett ez van
kp routernek >>>>>>
<a href="https://www.arukereso.hu/router-c3144/mikrotik/hap-ac3-rbd53ig-5hacd2hnd-p592921566/?gclid=CjwKCAjw4qCKBhAVEiwAkTYsPLXrvvtluBDh8KbUSYeGx_sJdN9gTFblma44jYevHgQCX0DWjaF3JRoCBvoQAvD_BwE" target="_blank">https://www.arukereso.hu/router-c3144/mikrotik/hap-ac3-rbd53ig-5hacd2hnd-p592921566/?gclid=CjwKCAjw4qCKBhAVEiwAkTYsPLXrvvtluBDh8KbUSYeGx_sJdN9gTFblma44jYevHgQCX0DWjaF3JRoCBvoQAvD_BwE</a><br>
<br>
wifi ap-nek pedig nekem ez vált be nagyon: <br>
<a href="https://www.pcx.hu/mikrotik-rbcapgi-5acd2nd-cap-ac-dual-band-wireless-access-point-00332158?gclid=CjwKCAjw4qCKBhAVEiwAkTYsPPcDmH10wE69RnE6ZLyb2yE1FQB1cZSv0vcdSX21uHXH7NtKdZANpBoC47AQAvD_BwE" target="_blank">https://www.pcx.hu/mikrotik-rbcapgi-5acd2nd-cap-ac-dual-band-wireless-access-point-00332158?gclid=CjwKCAjw4qCKBhAVEiwAkTYsPPcDmH10wE69RnE6ZLyb2yE1FQB1cZSv0vcdSX21uHXH7NtKdZANpBoC47AQAvD_BwE</a><br>
<br>
poe-s felfűzhető páronként (kettesével), mennyezetre kell rakni, ha
lehet sarkoktól távol. Szomszédos teremben még teljesen jó a jel 1
fal után. (stabil youtube stb.)<br>
<br>
Mikrotikben ha kérsz segítséget engem nyugodtan kereshetsz. Régóta
űzöm vele az ipart és szinte mindegyik cert-em megvan tőlük..<br>
<br>
<br>
<br>
<br>
<br>
<div>2021. 09. 17. 12:23 keltezéssel,
Glorius Webmester írta:<br>
</div>
<blockquote type="cite">
<div dir="ltr">
<div class="gmail_default" style="font-family:verdana,sans-serif">Üdv a Listának!</div>
<div class="gmail_default" style="font-family:verdana,sans-serif"><br>
</div>
<div class="gmail_default" style="font-family:verdana,sans-serif">Alapítványi iskola -
most van kis pénz a biztonságra.</div>
<div class="gmail_default" style="font-family:verdana,sans-serif"><br>
</div>
<div class="gmail_default" style="font-family:verdana,sans-serif">Kis hálózat, tanárok
(22) gépterem (22) max 200 user, Ubi Wifi AP-k, saját szerver
(belső Sulixever és webes MaYoR napló), Sulinetes 50/5 és
saját 100/100 internet kapcsolat.</div>
<div class="gmail_default" style="font-family:verdana,sans-serif"><br>
</div>
<div class="gmail_default" style="font-family:verdana,sans-serif">Szétválasztanánk a
diákokat (gépterem és külön WiFi SSID), a vendégeket (külön
WiFi SSID) és a Tanárok-Iroda szegmenst (külön WiFi SSID)
plusz védenénk az egészet kintről is.</div>
<div class="gmail_default" style="font-family:verdana,sans-serif"><br>
</div>
<div class="gmail_default" style="font-family:verdana,sans-serif">Amin gondolkodunk:</div>
<div class="gmail_default" style="font-family:verdana,sans-serif"><a href="https://www.zyxel.com/hu/hu/products_services/USG-FLEX-Firewall-USG-FLEX-500/" target="_blank">https://www.zyxel.com/hu/hu/products_services/USG-FLEX-Firewall-USG-FLEX-500/</a> <br>
</div>
<div class="gmail_default" style="font-family:verdana,sans-serif">Javasolták, mint nagyon
profi megoldást.</div>
<div class="gmail_default" style="font-family:verdana,sans-serif"><br>
</div>
<div class="gmail_default" style="font-family:verdana,sans-serif">illetve</div>
<div class="gmail_default" style="font-family:verdana,sans-serif"><a href="https://www.ui.com/unifi-routing/unifi-security-gateway-pro-4/" target="_blank">https://www.ui.com/unifi-routing/unifi-security-gateway-pro-4/</a><br>
</div>
<div class="gmail_default" style="font-family:verdana,sans-serif">Ez amiatt, h
illeszkedne a meglévő WiFI AP-khez is esetleg.</div>
<div class="gmail_default" style="font-family:verdana,sans-serif"><br>
</div>
<div class="gmail_default" style="font-family:verdana,sans-serif">Mivel eddig csak
ingyenes - szoftveres - megoldásokat ismerek, kérdések vannak:</div>
<div class="gmail_default" style="font-family:verdana,sans-serif"><br>
</div>
<div class="gmail_default" style="font-family:verdana,sans-serif">- mennyire éri meg
komolyabb összegeket kifizetni iskolai szinten?</div>
<div class="gmail_default" style="font-family:verdana,sans-serif">- nem ismerem ezek
kezelését, mennyire elérhetők a leírások, CookBook-ok?</div>
<div class="gmail_default" style="font-family:verdana,sans-serif">- Találok-e olyan
közösséget, aki segíthet, ha elakadok...</div>
<div class="gmail_default" style="font-family:verdana,sans-serif"><br>
</div>
<div class="gmail_default" style="font-family:verdana,sans-serif">Előre is köszönöm az
együttgondolkodást/tanácsot/ötletet...</div>
<div><br>
</div>
-- <br>
<div dir="ltr">
<div dir="ltr">Dicső Géza<br>
</div>
</div>
</div>
<br>
<fieldset></fieldset>
<pre>_______________________________________________
Techinfo mailing list
<a href="mailto:Techinfo@lista.edu.hu" target="_blank">Techinfo@lista.edu.hu</a>
Fel- és leiratkozás: <a href="https://listserv.niif.hu/mailman/listinfo/techinfo" target="_blank">https://listserv.niif.hu/mailman/listinfo/techinfo</a>
Illemtan: <a href="http://www.szag.hu/illemtan.html" target="_blank">http://www.szag.hu/illemtan.html</a>
Szertár: <a href="http://www.szag.hu/weboldal/techinfo/" target="_blank">http://www.szag.hu/weboldal/techinfo/</a>
</pre>
</blockquote>
<br>
</div>
_______________________________________________<br>
Techinfo mailing list<br>
<a href="mailto:Techinfo@lista.edu.hu" target="_blank">Techinfo@lista.edu.hu</a><br>
Fel- és leiratkozás: <a href="https://listserv.niif.hu/mailman/listinfo/techinfo" rel="noreferrer" target="_blank">https://listserv.niif.hu/mailman/listinfo/techinfo</a><br>
Illemtan: <a href="http://www.szag.hu/illemtan.html" rel="noreferrer" target="_blank">http://www.szag.hu/illemtan.html</a><br>
Szertár: <a href="http://www.szag.hu/weboldal/techinfo/" rel="noreferrer" target="_blank">http://www.szag.hu/weboldal/techinfo/</a><br>
</blockquote></div>