Spejsowy LAN

qwertyuiopasdfghjklzxcvbnm

Przypominam, że dotychczasowa koncepcja zakładała postawienie systemu uwierzytelniającego (LDAP, FreeIPA?) na serwerze HP. Aktualnie stoi na nim Proxmox i Keijo (sorry, nie umiem go tu zhilightować, może ma na tym forum ustawiony jakiś dziwny nick) nie chciał, żebyśmy go usuwali; tak więc pewnie byłby do postawienia na VM-ce pod tym Proxmoxem.

Prawda, że Atom będzie żreć mniej prądu, natomiast pytanie, jak z wydajnością. Ale zakładam, że pewnie nie będzie to problem. Przynajmniej w początkowym okresie – a jak spejs się rozrośnie, to zawsze można to będzie przemigrować.

Co do migracji z obecnej konfiguracji, według mnie, jeśli zachowasz całą obecną konfigurację – przede wszystkim przeniesiesz (odtworzysz) obecne ustawienia DHCP i DNS – to nic nie powinno się popsuć i nie będzie trzeba nic przestawiać. No i konfigurację wifi trzeba też przenieść z obecnego domyślnego OS-a Mikrotika na OpenWRT. Inna rzecz, że schemat adresacji IP w zasadzie też jest do przebudowy i podziału na podsieci (LAN+wifi dla członków, wifi dla gości, wewnętrzna sieć serwerowa, DMZ – na ten moment wydaje się to być trochę na wyrost, ale chyba nikt nie ma wątpliwości, że wydzielona sieć dla gości jest potrzebna, system uwierzytelniania można od biedy wrzucić do sieci dla członków, ale to takie meh i z czasem pewnie będą pojawiać się kolejne usługi members-only, zaczątek DMZ-u też już mamy – serwer wystawiający temperaturę; a i bym zapomniał – sieć do testów i zabaw z serwerami, gdzie wleci cały ten netzwerk i będzie można deployować sobie maszyny). Czemu nie ogarnąć tego równocześnie?

Zamek w obecnej konfiguracji nie łączy się z siecią. Tasmota chyba można powiedzieć, że upadła. Dla mnie – szkoda, bo wciśnięcie jednego guzika na jakimś panelu webowym było wygodniejsze i szybsze, niż wklepywanie kodu na klawiaturce jedną ręką, jeszcze trzymając w niej smartfona (drugą często ma się zajętą jakimiś zakupami itp.), ale fakt, że TOTP jest bezpieczniejsze.

Czy jestem za – nie wiem, pozwolę się wypowiedzieć innym.

Jeszcze może taka kwestia, że w środowisku użytkowników Mikrotika zdaje się, że instalowanie na nim OpenWRT jest traktowane trochę jak herezja (kupujesz Mikrotika po to, by korzystać z tego ich OS-a, a nie z OpenWRT), a co za tym idzie – nie wiem, na ile dobrze jest to wspierane.

Pierwotnie byłem na “tak”, ale teraz jestem zmieszany, wydaje mi się że temat jest zbyt skomplikowany żeby podjąć szybką decyzję. Tu jest wątek:

Proponuję, żeby przegadać to w obecności osób które stawiały aktualną infrę na którymś spotkaniu - piątkowym, bo @anon8897933 we wtorki nie może.

Na razie w toku dyskusji na Telegramie udało się dojść do konsensusu, że:
– OpenWRT na Mikrotiku to pomysł zdecydowanie zły,
– do rozważenia jest przetestowanie w roli routera brzegowego Mikrotika z RouterOS-em, by uwolnić Atoma.

Na ewentualne testy warto się umówić, dobrze by był chociaż Keijo (sorry, nadal nie umiem go zhilightować), no i @anon8897933 jako inicjator pomysłu.

Ważna kwestia – przed zmianami na Mikrotiku zrobić backup obecnej konfiguracji, by po testach móc ją przywrócić. Chyba, że ten setup zostanie pozostawiony produkcyjnie (tylko, jeśli wszystkie usługi działające obecnie na pfSense uda się uruchomić na Mikrotiku, bo w przeciwnym razie trzeba je jeszcze będzie przenieść na jakiś inny serwer).

Usługi działające na Atomie/pfSense:
– router,
– NAT (w tym statyczny/tj. przekierowywanie portów, czy jakkolwiek to się na danym sprzęcie/sofcie nazywa),
– serwer DHCP (do odtworzenia statyczne dzierżawy),
– serwer DNS (do odtworzenia statyczne rekordy),
– serwer OpenVPN.

Na razie z tego co widzę, jeśli chodzi o jedną z funkcji serwera DNS w pfSense, z jakiej akurat korzystamy (dynamiczne dodawanie rekordów DNS na podstawie dzierżaw z serwera DHCP), w Router OS-ie nie jest standardowo dostępna i ludzie to obchodzą customowymi skryptami:

@olewales poruszył istotną kwestię nt. proponowanych zmian w LAN-ie na dzisiejszym spotkaniu.

Implementacja OpenVPN-a w Mikrotiku jest denna. To działa, ale działa bardzo, ale to bardzo tak sobie. Co wynika z tego, że nie chcąc korzystać z licencji, bodaj, GPL, i być związanym jej ograniczeniami, Mikrotik zaimplementował to sobie sam od zera.

Więc terminowanie OpenVPN-a trzeba przenieść gdzieś do środka sieci, a drugiego OpenVPN-a postawić na Mikrotiku do użycia tylko do celów awaryjnych (kiedy np. serwer z OpenVPN-em nie wstanie do końca po restarcie/OpenVPN się nie odpali).

1 polubienie

Hej,

Zauważyłem, że ktoś przeinstalował router i postawił na nim Opensense.

I okej, fajnie, że przeinstalował, bo w sumie to było w planie. Ale:

  • dlaczego o tym innym nie powiedział?
  • dlaczego nie odtworzył ludziom dostępów do VPN-a?

Ja się dziwię, że nie mogę się po VPN-ie do spejsu wbić, a tu po prostu router został postawiony na nowo.

1 polubienie

Ja tu jeszcze wspomnę, że był na Telegramie ping od @Keijo, by dawać też znać o relokacji infrastruktury w obrębie spejsu :slight_smile: Bo ponoć trochę szukał routera, gdy ten zmienił miejsce “zamieszkania”.

Potem jest efekt taki, że masz z czymś łączność, a nie możesz tego namierzyć fizycznie, tzw. serwer widmo xD

1 polubienie