Uproszczenie spejsowego LANu

Zacznę od tego, że jestem bardzo wdzięczny @BluRaf @pmysl i @kpc21 za obecny setup, bo o ile mam do niego jakieś zastrzeżenia, to działa, a poświęcili własny czas byśmy wszyscy mogli korzystać z neta w spejsie. Jeśli kogoś nie wymieniłem, kto się do tego przyczynił, to również przesyłam wyrazy wdzięczności i uznania. Byłem tylko świadkiem jak wymieniona trójka, to ustawia.

Myślę, że można go jednak uprościć, a przy tym ulepszyć i nie wymagałoby to dużych inwestycji czasowych i finansowych.

Moje zastrzeżenia do obecnej konfiguracji:

• Można z niej by prosto wyeliminować router na Atomie, co zwolniłoby go do innych zadań, albo pozwoliło oszczędzić prąd (pewnie niewiele, ale zawsze coś)
• Usunięcie Atoma, uprościłoby też całą strukturę i byłoby przez to mniej elementów, które mogą nawalić.
• Bazowanie na pfSense ogranicza ilość software’u, który można wgrać na router. Na Linuxie byłby większy wybór. Wiem, że na router za dużo softu się i tak nie pcha, ale są rzeczy, które chętnie bym mimo wszystko wgrał, a na pfSense ich nie ma, a na OpenWRT są, więc nie jest to problem abstracyjny

Proponuję następujące zmiany:

• Wyeliminować tego Atoma
• Do modemu TOYI podłączyć bezpośrednio ten MikroTik RB952Ui-5ac2nD i z niego rozdzielać całą sieć
• Zmienić w tym routerze system na OpenWRT
• Dodać do portu USB jakiegoś pendrive’a na stałe, nawet 8GB, byle nie zdechł za szybko i zrobić overlay na root’a by móc wgrać tam pakiety i nie być ograniczonym pamięcią wewnętrzną

To osobny temat, ale zwolnionego Atoma można by wykorzystać do postawienia jakiegoś systemu przechowywania danych osobowych/uwierzytelniania, którego nam brakuje, a konsensus jest, by trzymać go fizycznie w spejsie.

Potencjalne problemy:

• Router jest wymieniany jako wspierany przez OpenWRT, ale na tym informacje się kończą. Nie jest napisane, czy jest wspierany bezproblemowo, czy overlay na USB działa dobrze itd.
• Nie wiem, czy jest ktoś w HSŁ, kto ma doświadczenie z wgrywaniem OpenWRT na tę rodzinę routerów. Ja tylko mam doświadczenie z TP-Linkami, a tam się to inaczej i chyba prościej robi.
• Trzeba zdobyć jakiegoś pendrive’a, który nie zdechnie za szybko.
• Ktoś nieświadomy może kiedyś wyciągnąć tego pendrive’a psując setup.
• Chyba są jakieś problemy z zasilaniem tego MikroTik’a, bo KPC kiedyś odkrył, że ma dość niski uptime, może zasilacz lub sam router są uszkodzone.
• Pewnie trzeba by modyfikować ustawienia większości urządzeń, które korzystają z WiFi
• Zwolniony Atom może być za słaby, by wykorzystać go do czegokolwiek pożytecznego.

Ze swojej strony deklaruję gotowość wykonania większości, choć zastrzegam, że mogę nie dać rady wgrać tego OpenWRT i byłbym wdzięczny za pomoc. Pewnie nie mam też dostępu, a na pewno wiedzy, jak przestawić później urządzenia w spejsie, np. zamek, więc tu też by się przydała pomoc.

Jeśli ktoś uważa to wszystko za zły pomysł albo ma lepszy plan, to też chętnie o tym podyskutuję.

Ankieta bez daty, w celu rozeznania się w opiniach, a nie obowiązująca.

Przypominam, że dotychczasowa koncepcja zakładała postawienie systemu uwierzytelniającego (LDAP, FreeIPA?) na serwerze HP. Aktualnie stoi na nim Proxmox i Keijo (sorry, nie umiem go tu zhilightować, może ma na tym forum ustawiony jakiś dziwny nick) nie chciał, żebyśmy go usuwali; tak więc pewnie byłby do postawienia na VM-ce pod tym Proxmoxem.

Prawda, że Atom będzie żreć mniej prądu, natomiast pytanie, jak z wydajnością. Ale zakładam, że pewnie nie będzie to problem. Przynajmniej w początkowym okresie – a jak spejs się rozrośnie, to zawsze można to będzie przemigrować.

Co do migracji z obecnej konfiguracji, według mnie, jeśli zachowasz całą obecną konfigurację – przede wszystkim przeniesiesz (odtworzysz) obecne ustawienia DHCP i DNS – to nic nie powinno się popsuć i nie będzie trzeba nic przestawiać. No i konfigurację wifi trzeba też przenieść z obecnego domyślnego OS-a Mikrotika na OpenWRT. Inna rzecz, że schemat adresacji IP w zasadzie też jest do przebudowy i podziału na podsieci (LAN+wifi dla członków, wifi dla gości, wewnętrzna sieć serwerowa, DMZ – na ten moment wydaje się to być trochę na wyrost, ale chyba nikt nie ma wątpliwości, że wydzielona sieć dla gości jest potrzebna, system uwierzytelniania można od biedy wrzucić do sieci dla członków, ale to takie meh i z czasem pewnie będą pojawiać się kolejne usługi members-only, zaczątek DMZ-u też już mamy – serwer wystawiający temperaturę; a i bym zapomniał – sieć do testów i zabaw z serwerami, gdzie wleci cały ten netzwerk i będzie można deployować sobie maszyny). Czemu nie ogarnąć tego równocześnie?

Zamek w obecnej konfiguracji nie łączy się z siecią. Tasmota chyba można powiedzieć, że upadła. Dla mnie – szkoda, bo wciśnięcie jednego guzika na jakimś panelu webowym było wygodniejsze i szybsze, niż wklepywanie kodu na klawiaturce jedną ręką, jeszcze trzymając w niej smartfona (drugą często ma się zajętą jakimiś zakupami itp.), ale fakt, że TOTP jest bezpieczniejsze.

Czy jestem za – nie wiem, pozwolę się wypowiedzieć innym.

Jeszcze może taka kwestia, że w środowisku użytkowników Mikrotika zdaje się, że instalowanie na nim OpenWRT jest traktowane trochę jak herezja (kupujesz Mikrotika po to, by korzystać z tego ich OS-a, a nie z OpenWRT), a co za tym idzie – nie wiem, na ile dobrze jest to wspierane.

Pierwotnie byłem na “tak”, ale teraz jestem zmieszany, wydaje mi się że temat jest zbyt skomplikowany żeby podjąć szybką decyzję. Tu jest wątek:

Proponuję, żeby przegadać to w obecności osób które stawiały aktualną infrę na którymś spotkaniu - piątkowym, bo @ksiezak we wtorki nie może.

Na razie w toku dyskusji na Telegramie udało się dojść do konsensusu, że:
– OpenWRT na Mikrotiku to pomysł zdecydowanie zły,
– do rozważenia jest przetestowanie w roli routera brzegowego Mikrotika z RouterOS-em, by uwolnić Atoma.

Na ewentualne testy warto się umówić, dobrze by był chociaż Keijo (sorry, nadal nie umiem go zhilightować), no i @ksiezak jako inicjator pomysłu.

Ważna kwestia – przed zmianami na Mikrotiku zrobić backup obecnej konfiguracji, by po testach móc ją przywrócić. Chyba, że ten setup zostanie pozostawiony produkcyjnie (tylko, jeśli wszystkie usługi działające obecnie na pfSense uda się uruchomić na Mikrotiku, bo w przeciwnym razie trzeba je jeszcze będzie przenieść na jakiś inny serwer).

Usługi działające na Atomie/pfSense:
– router,
– NAT (w tym statyczny/tj. przekierowywanie portów, czy jakkolwiek to się na danym sprzęcie/sofcie nazywa),
– serwer DHCP (do odtworzenia statyczne dzierżawy),
– serwer DNS (do odtworzenia statyczne rekordy),
– serwer OpenVPN.

Tak, w toku dyskusji wyszło parę problemów i sam zmieniłem zdanie i głos.

Myślę, że najważniejsze sprawy zostały przegadane, choć @BluRaf prosił, by wrócić do dyskusji po 16 Lutego, więc można jeszcze jego wtedy poprosić o zdanie.

KPC dobrze posumował ustalenia.

Dodam od siebie, na czym według mnie miałyby polegać te testy:

• Ustaleniu, czy ten Router MikroTik się nie resetuje
• Ustaleniu, czy wydajnościowo wyrabia jako jedyne urządzenie sieciowe w spejsie
• Opcjonalnie ustalić, czy da się na nim ustawić tunel IPv6 od Hurricane Electric i czy można rozpropagować z niego podsieć IPv6 na klienty
• Opcjonalnie ustalić, czy da się za jego pomocą robić działające VPN.

Jak dwa pierwsze testy wyjdą pomyślnie, to można rozważyć przejście na niego.
Ciekawsze usługi można postawić później na przeformatowanym Atomie z Linuxem, jako kliencie zmodyfikowanej sieci lub jakimś innym urządzeniu. Oczywiście format, jak zdecydujemy, że idziemy tą drogą.
Kiedyś można kupić jakąś infrę pod OpenWRT, ale moim zdaniem nie jest to nic pilnego.

Z testami też się jakoś nie pali, ale mogę kiedyś wpaść w weekend na taką zabawę.

Na razie z tego co widzę, jeśli chodzi o jedną z funkcji serwera DNS w pfSense, z jakiej akurat korzystamy (dynamiczne dodawanie rekordów DNS na podstawie dzierżaw z serwera DHCP), w Router OS-ie nie jest standardowo dostępna i ludzie to obchodzą customowymi skryptami:

@olewales poruszył istotną kwestię nt. proponowanych zmian w LAN-ie na dzisiejszym spotkaniu.

Implementacja OpenVPN-a w Mikrotiku jest denna. To działa, ale działa bardzo, ale to bardzo tak sobie. Co wynika z tego, że nie chcąc korzystać z licencji, bodaj, GPL, i być związanym jej ograniczeniami, Mikrotik zaimplementował to sobie sam od zera.

Więc terminowanie OpenVPN-a trzeba przenieść gdzieś do środka sieci, a drugiego OpenVPN-a postawić na Mikrotiku do użycia tylko do celów awaryjnych (kiedy np. serwer z OpenVPN-em nie wstanie do końca po restarcie/OpenVPN się nie odpali).