Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Pavouk106 03. 04. 2023, 14:28:36
-
Mám AP od Ubiquiti a viděl jsem v něm možnost "guest hotspot", což má vytvořit druhé SSID, které oddělí klienty od zbytku domácí LAN. Chtěl bych to takhle rozjet, nejlépe bez šifrování (resp. bez hesla) pro doručovací služby (blbý signál na mobil = žádný internet = žádná platba kartou), naše hosty a třeba i sousedy, když jsou mimo dosah vlastní wifi.
Jde mi tedy o připojení "vnějších" klientů k internetu, aniž by lezli/viděli do mojí sítě. Bydlím na vesnici a navíc na kraji, takže neočekávám, že si ke mě budou chodit sousedi na internet zdarma (jen dodávám). Nechci rozdávat heslo k wifi (a tím pádem ke svojí LAN) jen tak kdekomu.
Otázka je, zda mám věřit tomu, že Ubiquiti opravdu dokáže dobře odstínit hosty od domácí sítě... Zajímají mě vaše názory - věřili byste tomu?
Druhá věc je - lze to zjevně udělat/pojistit pomocí VLAN. Mám Mikrotik router, kde by to mělo jít dát dokupy, ale protože o VLAN nic nevím, zatím řeším možnost bez toho.
-
a proc pro sousedy neudelas druhy ssid, ale s heslem, ktere sousedum reknes.
-
Nemusím být doma. Stejně tak když třeba dětem přijede návštěva nebo když přijede pizzař a uvidí otevřenej hotspot...
Navíc heslo jako takový mi neřeší to, jestli se mi dostanou nebo nedostanou do zbytku domácí sítě. Jde mi primárně o to, aby byla oddělená domácí síť (tj. zařízení na druhém zaheslovaném SSID; případně rozsah IP adres, ale to je spíš na VLAN, pokud dobře chápu) od "hostů".
-
Jestli je to na kraji vesnice, tak bych se třeba úplně nebál jet bez šifrování... obecně jako lepší variantu vidím, udělat na tom GUEST essidu normálně WPA2 šifru a zájemcům dávat heslo. V tom případě se klienti nemohou odposlouchávat navzájem (https://serverfault.com/questions/15380/can-two-users-on-an-802-11n-network-with-wpa-wpa2-intercept-each-others-traffic), s výjimkou broadcastového provozu. Jako na metalickém switchi.
Na otevřené síti může kdokoli v doslechu odposlouchávat hesla, která nejdou nad end-to-end šifrováním typu SSL/SSH. Tzn. klasické FTP, POP3, HTTP apod. se odposlechnout dají.
Tzn. ty sítě mohou být i tři:
1) interní LAN
2) sousedi
3) kdokoli kdo jde okolo. Heslo si klidně vylepte na vrátka.
Vykousnout guestovský ESSID+subnet lze velmi účinně v případě, že AP je zároveň NAT routerem do divokého internetu. Pokud AP jako uplink používá vnitřní LAN, je ta guestovská síť jenom zabalená do NATu, ale její traffic jede dál skrz interní LAN směrem na upstream gateway do internetu. Jak správně píšete, v tom případě je řešením, udělat pro guesty nejen ESSID, ale taky ohraničenou VLAN.
VLAN na Mikrotiku jsem potkal jednou, na switchi CRS-112 (RouterOS). Pro mě rozmazleného Ciscem a D-Linkem to bylo na Mikrotiku trochu přes koleno (každá VLAN asi na 3 kroky), ale nakonec jsem to dal. Kdyžtak prostě tady dál rozvíjejte téma.
-
Na otevřené síti může kdokoli v doslechu odposlouchávat hesla, která nejdou nad end-to-end šifrováním typu SSL/SSH. Tzn. klasické FTP, POP3, HTTP apod. se odposlechnout dají.
Jestli někdo jede nešifrované protokoly, tak si odposlechnutí zaslouží. Nemá smysl pro takové lidi dělat třetí síť.
-
Na Ubiquiti funguje guest hotspot tak, ze:
1) vytvori guest network, ktora ma zapnutu l2 client isolation, svoj vlan tag, svoj subnet, do firewallu vlozi pravidla na zahodenie trafficu do ostatnych lokalnych subnetov.
2) vytvori extra ssid, namapuje ho na siet z kroku 1; je mozne vybrat skupinu AP, na ktorych bude tento ssid broadcastovany. To, ci ma ssid zapnute wpa alebo je open, nesuvisi s tym, ci je to guest wifi alebo nie, je to na rozhodnuti prevadzkovatela.
3) volitelne: zapne captive portal / hotspot manazer, takze aj ked je to open, mozno nejakym sposobom chciet, aby sa ludia preukazali kto su a ze mozu pristupovat k sieti.
Pre bod 1) treba zjavne unifi router; krok 2 mozno urobit aj bez neho, ale v tom pripade ekvivalent treba urobit manualne na mikrotiku, a v bode 2 len zadat prislusny vlan id. Bod 3) vyzaduje beziaci unifi network controller, ale tiez sa to da hodit na hotspot manager v mikrotiku.
Rozhodnutie ci open alebo wpa: existuje niekto, kto sa aktivne pripoji na otvorenu wifi, ktoru vidi? Ja takych nepoznam... a pokial ide o suseda/postara/kuriera, ktory by potreboval wifi, stitok s qr kodom pre ssid/heslo (stale do hostovskej siete) by to nevyriesil? Sifrovana otvorena siet by sa dala s OWE, ale kolko zariadeni to dnes realne stale (ne)zvlada?
VLAN v Mikrotiku sa mozu zdat trocha nestastne, pretoze na rozlicnych modeloch sa nastavuje rozlicnym sposobom, aby sa vyuzili moznosti pouziteho switch chipu; takze tu zavisi od pouziteho modelu,
-
Na otevřené síti může kdokoli v doslechu odposlouchávat hesla, která nejdou nad end-to-end šifrováním typu SSL/SSH. Tzn. klasické FTP, POP3, HTTP apod. se odposlechnout dají.
Jestli někdo jede nešifrované protokoly, tak si odposlechnutí zaslouží. Nemá smysl pro takové lidi dělat třetí síť.
S tím víceméně souhlasím - já poskytnu připojení k internetu zdarma otevřeným hotspotem, ostatní ať si řeší klienti.
v případě, že AP je zároveň NAT routerem do divokého internetu. Pokud AP jako uplink používá vnitřní LAN, je ta guestovská síť jenom zabalená do NATu, ale její traffic jede dál skrz interní LAN směrem na upstream gateway do internetu. Jak správně píšete, v tom případě je řešením, udělat pro guesty nejen ESSID, ale taky ohraničenou VLAN.
VLAN na Mikrotiku jsem potkal jednou, na switchi CRS-112 (RouterOS). Pro mě rozmazleného Ciscem a D-Linkem to bylo na Mikrotiku trochu přes koleno (každá VLAN asi na 3 kroky), ale nakonec jsem to dal. Kdyžtak prostě tady dál rozvíjejte téma.
To jsem se trochu obával - že bez VLAN se neobejdu, pokud to chci udělat dobře a (pro bezpečnost mojí vlastní vnitřní sítě) robustně.
...
Ubiquiti mám jen samotná AP, router ne. Mám běžící Network controller, ale nechci dělat hotspot/guest bránu. Idea je taková, že ten host se bez mojí účasti připojí bezbolestně k internetu. Tím padá i předávání hesla ať ústně nebo QR kódem. Jsem takový dobromil, nevadí mi poskytnout "kolemjdoucímu" internet, ale chci zanechat svojí vnitřní LAN jen pro mě.
VLAN v Mikrotiku mě asi nemine... Nejde mi ani o nastavení, to udělám podle návodu/-ů, ale jde mi o to, že o VLAN vím plus mínus prdlajs. A nechce se mi úplně načítat složitosti od nuly. Nemáte někdo odkaz na něco jednoduchýho, srozumitelnýho? Česky nebo anglicky.
Musím udělat 2x VLAN -jednu pro svou LAN a druhou pro hosty? Nebo stačí jedna pro hosty? Může mít stejnou podsíť a být oddělená jen rozsahem IP (řekněme vnitřní 10.0.0.1 - 100 a VLAN pro hosty 10.0.0.101 - 200)? Kde v bodě 2 (příspěvek od "ja.") zadám VLAN ID a kde to ID vezmu?
Router mám CRS326. Ale s nastavením už bych si poradil, jakmile bych měl představu o tom, co vlastně potřebuju nastavit ;D Nejsem v tomhle neschopný, jen neznalý.
-
...
Ubiquiti mám jen samotná AP, router ne. Mám běžící Network controller, ale nechci dělat hotspot/guest bránu. Idea je taková, že ten host se bez mojí účasti připojí bezbolestně k internetu. Tím padá i předávání hesla ať ústně nebo QR kódem. Jsem takový dobromil, nevadí mi poskytnout "kolemjdoucímu" internet, ale chci zanechat svojí vnitřní LAN jen pro mě.
VLAN v Mikrotiku mě asi nemine... Nejde mi ani o nastavení, to udělám podle návodu/-ů, ale jde mi o to, že o VLAN vím plus mínus prdlajs. A nechce se mi úplně načítat složitosti od nuly. Nemáte někdo odkaz na něco jednoduchýho, srozumitelnýho? Česky nebo anglicky.
Musím udělat 2x VLAN -jednu pro svou LAN a druhou pro hosty? Nebo stačí jedna pro hosty? Může mít stejnou podsíť a být oddělená jen rozsahem IP (řekněme vnitřní 10.0.0.1 - 100 a VLAN pro hosty 10.0.0.101 - 200)? Kde v bodě 2 (příspěvek od "ja.") zadám VLAN ID a kde to ID vezmu?
Router mám CRS326. Ale s nastavením už bych si poradil, jakmile bych měl představu o tom, co vlastně potřebuju nastavit ;D Nejsem v tomhle neschopný, jen neznalý.
Na strane Ubiquiti nieco taketo: https://imgur.com/a/FyGvIqY
Najprv vytvorit siet... to vlan id si definujete sam, ako tag, ktorym sa rozlisuju jednotlive siete. Je to hodnota 1-4096; (1 je v Unifi specialna hodnota pre netagovanu siet). V tomto konkretnom pripade je to '50'.
Potom vytvorite SSID, ktore namapujete na danu siet. Priklad na obrazku je iot siet, nie guest, ale je to velmi podobne, (a nemam po ruke guest siet s mikrotikom, kde by som tipal obrazky).
Na strane Mikrotiku eventualne dojdete k niecomu takemuto (zase, vypreparovane s iot sietou, nie guest):
/interface bridge
add auto-mac=no frame-types=admit-only-vlan-tagged name=bridge pvid=10 vlan-filtering=yes
/interface vlan
add interface=bridge name=vlan-iot vlan-id=50
add interface=bridge name=vlan-main vlan-id=10
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=LAN_MAIN
add name=LAN_IOT
/ip pool
add name=dhcp-main ranges=X.Y.Z.20-X.Y.Z.254
add name=dhcp-iot ranges=X.Y.W.2-X.Y.W.254
/ip dhcp-server
add address-pool=dhcp-main interface=vlan-main name=dhcp-main-server
add address-pool=dhcp-iot interface=vlan-iot lease-time=12h name=dhcp-iot-server
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether2 pvid=10
add bridge=bridge comment=defconf ingress-filtering=no interface=ether3 pvid=10
...
/interface bridge vlan
add bridge=bridge tagged=bridge,sfp-sfpplus1 untagged=ether2,ether3,... vlan-ids=10
add bridge=bridge tagged=bridge,sfp-sfpplus1,ether2,ether3... vlan-ids=50
/interface list member
add interface=vlan-main list=LAN
add interface=vlan-iot list=LAN
add interface=vlan-iot list=LAN_IOT
add interface=vlan-main list=LAN_MAIN
/ip address
add address=A.B.C.D/30 interface=ether1 network=A.B.C.D0
add address=X.Y.Z.1/24 interface=vlan-main network=X.Y.Z.0
add address=X.Y.W.1/24 interface=vlan-iot network=X.Y.W.0
/ip dhcp-server network
add address=X.Y.Z.0/24 dns-server=X.Y.Z.A domain=... gateway=X.Y.Z.1
add address=X.Y.W.0/24 dns-server=X.Y.W.A domain=... gateway=X.Y.W.1
/ip firewall filter
...
add action=drop chain=forward comment="drop IoT to Main LAN" in-interface-list=LAN_IOT out-interface-list=LAN_MAIN
add action=drop chain=forward comment="drop Main to IoT LAN" in-interface-list=LAN_MAIN out-interface-list=LAN_IOT
Vytvorit bridge; zadefinovat mu porty; definovat vlan-y; nastavit tagovanie na portoch, co je default a co musi byt tagovane. Potom vytvorit interfaces pre vlan, zadefinovat subnety, nastavit ip na jednotlivych interfaces v subnetoch, nastavit dhcp v subnetoch, zakazat traffic medzi interfaces.
Tu si treba dat pozor na zapnutie filtrovania na bridge (hned druhy riadok), ak to nie je nastavene dobre, odrezete si pristup. Safe mode prudko odporucany.
VLAN tagy treba pouzit konzistentne medzi oboma zariadeniami; tu je '10' pre hlavnu lan, nastavenu ako default pre netagovany traffic a '50' pre izolovanu siet.
Trocha pozeram zboku na ten crs326; to je switch, nie router. Zvlada sice l3 routing, ale nie je to jeho silna stranka.
-
1 je v Unifi specialna hodnota pre netagovanu siet
Este si odpoviem sam na seba:
Unifi tento vlan id ma specialnu; poklada ju za netagovanu. Okrem toho, vsetky unifi zariadenia komunikuju / hladaju controller cez netagovanu vlan.
Z Mikrotik extraktu som to dal prec (asi som nemal), ale je tam vytvorena dalsia vlan, vlan-unifi s tagom 1, porty v bridge kde su pripojene cloud key a ap nemaju v bridge nastavene pvid, vlan v bridge ma nastavene 1 ako netagovane na tychto portoch -- aby sa unifi zariadenia spolu dohodli.
-
Na strane Ubiquiti nieco taketo: https://imgur.com/a/FyGvIqY
Najprv vytvorit siet... to vlan id si definujete sam, ako tag, ktorym sa rozlisuju jednotlive siete. Je to hodnota 1-4096; (1 je v Unifi specialna hodnota pre netagovanu siet). V tomto konkretnom pripade je to '50'.
Potom vytvorite SSID, ktore namapujete na danu siet. Priklad na obrazku je iot siet, nie guest, ale je to velmi podobne, (a nemam po ruke guest siet s mikrotikom, kde by som tipal obrazky).
Na strane Mikrotiku eventualne dojdete k niecomu takemuto (zase, vypreparovane s iot sietou, nie guest):
...
Vytvorit bridge; zadefinovat mu porty; definovat vlan-y; nastavit tagovanie na portoch, co je default a co musi byt tagovane. Potom vytvorit interfaces pre vlan, zadefinovat subnety, nastavit ip na jednotlivych interfaces v subnetoch, nastavit dhcp v subnetoch, zakazat traffic medzi interfaces.
Tu si treba dat pozor na zapnutie filtrovania na bridge (hned druhy riadok), ak to nie je nastavene dobre, odrezete si pristup. Safe mode prudko odporucany.
VLAN tagy treba pouzit konzistentne medzi oboma zariadeniami; tu je '10' pre hlavnu lan, nastavenu ako default pre netagovany traffic a '50' pre izolovanu siet.
Trocha pozeram zboku na ten crs326; to je switch, nie router. Zvlada sice l3 routing, ale nie je to jeho silna stranka.
Díky moc! Vícemně chápu o co jde, čeho dosáhnout a jak.
Odříznout přístup bych si mohl, díky za upozornění. Teoreticky bych se teda měl do reouteru dostat přes jeden port, který mám vyhrazený pro případy podobných přešlapů - jede na něm jen DHCP klient a jinak není s níčím nijak spojen. Předpokládám, že tahle věc by mě případně zachránila :-)
CRS326 je primárně switch, ale já ho používám jako router. Pro mých 10 zařízení a mojí vesnické rychlosti internetu routovat zvládá dobře. Doteď jsem měl stařičký avšak perfektně fungující RB433.
-
Provozujeme guest portal na Unifi. Samostatná VLAN s izolací guestů, routing s NATem dělá Mikrotik a šlape to pěkně. Osobně bych řešil i to, zda směrem do Internetu je pro guesty vyhrazená vlastní veřejná IP adresa. Doma bych na vlastní veřejné IP adrese nechtěl traffic guestů, co projdou kolem. :-) Lákadlo pro podvodníky z Bazoše, spammery, vyděrače politiků nebo stahovače dětského porna...
-
Na VLANách v principu nic složitého není. Přihřeju si polívku, tentokrát s křížkem po funuse - ohledně základních principů VLAN jsem svého času cosi sepsal (http://support.fccps.cz/download/adv/frr/VLAN/vlan.html)...
Překvapuje mě informace, že na Ubiquiti VLAN 1 = "tento provoz není tagovaný".
Ve standardním 802.1Q platí, že VID=0 => tento paket nepatří do tagované VLAN, tag má jenom kvůli 802.1p prioritě. S tímto paketem zacházejte, jakoby byl untagged.
VLAN 1 je tradičně "default VLAN". Ve factory default settings v ní má switch managementové IP rozhraní a všechny vnější porty (untagged). Lze ji třeba ponechat jako interní/privátní síť - pokud Vám nevadí, že je ve vnitřní síti vidět management síťových prvků. Nebo si ji nechte fakt jenom na management, a porty pro užovky v LAN zavřete do jiné, dedicated VLAN. A guestům každopádně další, jejich vlastní VLAN.
Provozovat na trunkových portech mix tagovaných VLAN spolu s netagovanou default VLAN... u některých výrobců lze, v obecném Linuxu to asi taky lze, ale přide mi to trochu trapné... Je mi příjemná abstrakce, že jak jednou je nějaký port na switchi "vlan trunk", tak tam untagged paket nechci vidět (s výjimkou režijních protokolů L2 sítě, které nejsou per VLAN). Třeba IEEE1588=PTP se dřív pouštělo po trunku untagged nebo v default VLAN (a byla možná pouze jedna instance), v novějších switchích už může fungovat per VLAN (více instancí zároveň). S tím PTP už tady ale vyloženě trollím na okraj :-)
-
Idea je taková, že ten host se bez mojí účasti připojí bezbolestně k internetu. Tím padá i předávání hesla ať ústně nebo QR kódem. Jsem takový dobromil, nevadí mi poskytnout "kolemjdoucímu" internet, ale chci zanechat svojí vnitřní LAN jen pro mě.
Nedělal bych si iluze, že pizzaře, balíčkáře napadne v případě špatného signálu hledat otevřenou wifi a použít ji. Takže stejně musíš předat informaci, že to tam je k dispozici. A nebo bude poučen a nebude se chtít připojit na nezabezpečenou wifi.
-
Jestli to neumíš nastavit tak je to všechno pro tebe složité.
Kup si za tisícovku kaček TP-Link EAP115 a máš to na první dobrou!
Nemusíš vymýšlet VLAN, nebo routování apod.
-
Provozujeme guest portal na Unifi. Samostatná VLAN s izolací guestů, routing s NATem dělá Mikrotik a šlape to pěkně. Osobně bych řešil i to, zda směrem do Internetu je pro guesty vyhrazená vlastní veřejná IP adresa. Doma bych na vlastní veřejné IP adrese nechtěl traffic guestů, co projdou kolem. :-) Lákadlo pro podvodníky z Bazoše, spammery, vyděrače politiků nebo stahovače dětského porna...
Je to domácí vesnickej net, ani já sám nemám VIP... :-) Ale dobrá poznámka.
Na VLANách v principu nic složitého není. Přihřeju si polívku, tentokrát s křížkem po funuse - ohledně základních principů VLAN jsem svého času cosi sepsal (http://support.fccps.cz/download/adv/frr/VLAN/vlan.html)...
Překvapuje mě informace, že na Ubiquiti VLAN 1 = "tento provoz není tagovaný".
Ve standardním 802.1Q platí, že VID=0 => tento paket nepatří do tagované VLAN, tag má jenom kvůli 802.1p prioritě. S tímto paketem zacházejte, jakoby byl untagged.
VLAN 1 je tradičně "default VLAN". Ve factory default settings v ní má switch managementové IP rozhraní a všechny vnější porty (untagged). Lze ji třeba ponechat jako interní/privátní síť - pokud Vám nevadí, že je ve vnitřní síti vidět management síťových prvků. Nebo si ji nechte fakt jenom na management, a porty pro užovky v LAN zavřete do jiné, dedicated VLAN. A guestům každopádně další, jejich vlastní VLAN.
Provozovat na trunkových portech mix tagovaných VLAN spolu s netagovanou default VLAN... u některých výrobců lze, v obecném Linuxu to asi taky lze, ale přide mi to trochu trapné... Je mi příjemná abstrakce, že jak jednou je nějaký port na switchi "vlan trunk", tak tam untagged paket nechci vidět (s výjimkou režijních protokolů L2 sítě, které nejsou per VLAN). Třeba IEEE1588=PTP se dřív pouštělo po trunku untagged nebo v default VLAN (a byla možná pouze jedna instance), v novějších switchích už může fungovat per VLAN (více instancí zároveň). S tím PTP už tady ale vyloženě trollím na okraj :-)
Omrknu to a nejspíš udělám dvě VLAN pro domácí a "externí" síť.
Jestli to neumíš nastavit tak je to všechno pro tebe složité.
Kup si za tisícovku kaček TP-Link EAP115 a máš to na první dobrou!
Nemusíš vymýšlet VLAN, nebo routování apod.
Já to budu umět nastavit, ale nevím co nastavit. Mimochodem - s takovým přístupem bychom se pořád ještě mlátili klackama a žili v jeskyních.
-
Pro doručovací služby (blbý signál na mobil = žádný internet = žádná platba kartou), naše hosty a třeba i sousedy, když jsou mimo dosah vlastní wifi.
asi jsem zaspal dobu, ale jak spolu souvisí doručovací služba, absence internetu aplatba kartou?
To jako je modelová situace že obchodník má tetminálnkterý potřebuje připojení na net?
Terminál si vytočí vpn nebo mubstačí TLS?
Lze v případě absence internetu u doručovatele zaplati mobilem(zákazníka,ježje připojen)?
Co je zač ten OWE? Na wikipediinje dost strohý popis, projaké verze wifi je podporovaný? Záleží na podpoře vHW?
-
Doručovací služby nepotřebují nějakou WiFi, protože v terminálech mají LTE a vše se odehrává zcela mimo zákazníka, kterému něco doručují.
Dělat WiFi pro sousedy je nesmysl a pokud se jedná o nějakou rodinu nebo kamarády, tak to bych asi neměl obavy, protože co by v mé vnitřní síti našli? Nejspíš vůbec nic. Ale není problém pro tyto účely pořídit nějaký extra WiFi router za pár kaček a na jeho WiFi nechat právě jenom ty návštěvy.
Otevřená síť je spolehlivá cesta k problémům. Úplně stačí, aby nějaký vtipálek z takové WiFi odeslal třeba email o bombě a uživatel IP adresy pak bude mít co vysvětlovat.
-
Doručovací služby nepotřebují nějakou WiFi, protože v terminálech mají LTE a vše se odehrává zcela mimo zákazníka, kterému něco doručují.
Je vidět, že nebydlíš na konci světa... Jsem rád, když si doma zavolám přes 2G, LTE chytím když má vysílač dobrou náladu/je dobrá konstelace hvězd nebo planet/soused obětuje koťátko...
Dělat WiFi pro sousedy je nesmysl a pokud se jedná o nějakou rodinu nebo kamarády, tak to bych asi neměl obavy, protože co by v mé vnitřní síti našli? Nejspíš vůbec nic. Ale není problém pro tyto účely pořídit nějaký extra WiFi router za pár kaček a na jeho WiFi nechat právě jenom ty návštěvy.
Provozuju doma vlastní server s hromadou služeb pro domácí použití, nepotřebuju, aby se mi v mojí síti někdo vrtal. Ne každej používá svojí síť jen jako prostředníka mezi mobilem a internetem.
Otevřená síť je spolehlivá cesta k problémům. Úplně stačí, aby nějaký vtipálek z takové WiFi odeslal třeba email o bombě a uživatel IP adresy pak bude mít co vysvětlovat.
Ano, to už tu někdo zmiňoval. Taky už přemýšlím nad tím, že budu mít i síť pro hosty šifrovanou/zaheslovanou. Ale pořád to neřeší můj problém s oddělením sítí. To řeší VLAN a to je to, na co se budu momentálně soustředit. Zapnout šifrování je otázka několika kliknutí a není problém to udělat na samotný závěr.
-
Pro doručovací služby (blbý signál na mobil = žádný internet = žádná platba kartou), naše hosty a třeba i sousedy, když jsou mimo dosah vlastní wifi.
asi jsem zaspal dobu, ale jak spolu souvisí doručovací služba, absence internetu a platba kartou?
To jako je modelová situace že obchodník má tetminál který potřebuje připojení na net?
Terminál si vytočí vpn nebo mubstačí TLS?
Lze v případě absence internetu u doručovatele zaplati mobilem(zákazníka,ježje připojen)?
Co je zač ten OWE? Na wikipediinje dost strohý popis, projaké verze wifi je podporovaný? Záleží na podpoře vHW?
Možná zarážející ale funguje to takto:
Jejich terminál je pouhé bluetooth zařízení spojené s firemním telefonem který má v sobě LTE.
Pokud telefon nemá signál tak kartou nezaplatíte.
Stalo se mi to stejné a vzhledem k absenci hotovosti jsme to vyřešili nouzově skrze Wi-Fi.
Pustil jsem ho na svou Wi-Fi kde se napojil firemní telefonem a platba kartou takto okamžitě byla možná. (mám externí LTE anténu na vysílač takže signál OK)
Košer to určitě není ale fungovalo to. Modelová situace veřejné Wi-Fi v místě bez signálu pro dopravce (údolí, les, atd.) pokud chcete platit kartou (často cashback pár procent atd.) ale na dobírku se mi zdá jako výborný nápad.
Jestli je pravidelný zákazník košík, rohlík, ppl nebo jiné služby která jezdí pravidelně tak bych to řešil stejně.
-
Tadyje video s UBIQUITI a nastaveni vlan, kde překvapivé ukazuje jak to používá i pro guest síť
https://www.youtube.com/watch?v=aMWy09wL5-w
(https://www.youtube.com/watch?v=aMWy09wL5-w)
-
Pro doručovací služby (blbý signál na mobil = žádný internet = žádná platba kartou), naše hosty a třeba i sousedy, když jsou mimo dosah vlastní wifi.
asi jsem zaspal dobu, ale jak spolu souvisí doručovací služba, absence internetu a platba kartou?
To jako je modelová situace že obchodník má tetminál který potřebuje připojení na net?
Terminál si vytočí vpn nebo mubstačí TLS?
Lze v případě absence internetu u doručovatele zaplati mobilem(zákazníka,ježje připojen)?
Co je zač ten OWE? Na wikipediinje dost strohý popis, projaké verze wifi je podporovaný? Záleží na podpoře vHW?
Možná zarážející ale funguje to takto:
Jejich terminál je pouhé bluetooth zařízení spojené s firemním telefonem který má v sobě LTE.
Pokud telefon nemá signál tak kartou nezaplatíte.
Stalo se mi to stejné a vzhledem k absenci hotovosti jsme to vyřešili nouzově skrze Wi-Fi.
Pustil jsem ho na svou Wi-Fi kde se napojil firemní telefonem a platba kartou takto okamžitě byla možná. (mám externí LTE anténu na vysílač takže signál OK)
Košer to určitě není ale fungovalo to. Modelová situace veřejné Wi-Fi v místě bez signálu pro dopravce (údolí, les, atd.) pokud chcete platit kartou (často cashback pár procent atd.) ale na dobírku se mi zdá jako výborný nápad.
Jestli je pravidelný zákazník košík, rohlík, ppl nebo jiné služby která jezdí pravidelně tak bych to řešil stejně.
Skvěle popsáno. Nejsem pravidelný zákazník, ale tyhle problémy jsem právě měl. Doručovatel říkal, že kartou nelze, protože nemá signál, načež jsem říkal, že jestli to jde přes wifi, můžeme to provést tak. Proto chci hotspot pro hosty.
Tadyje video s UBIQUITI a nastaveni vlan, kde překvapivé ukazuje jak to používá i pro guest síť
https://www.youtube.com/watch?v=aMWy09wL5-w
(https://www.youtube.com/watch?v=aMWy09wL5-w)
Díky, mrknu se.
-
Doručovací služby nepotřebují nějakou WiFi, protože v terminálech mají LTE a vše se odehrává zcela mimo zákazníka, kterému něco doručují.
Je vidět, že nebydlíš na konci světa... Jsem rád, když si doma zavolám přes 2G, LTE chytím když má vysílač dobrou náladu/je dobrá konstelace hvězd nebo planet/soused obětuje koťátko...
Na to ani nemusí bydlet na konci světa. Na to často stačí šedesátka kamenná stěna. (OT: Nejhorší je, že lidé s touhle představou o okolním světě, která by sama o sobě nevadila, pak o tom venkově odněkud z bruselské nebo pražské kanceláře, pochopitelně často úplně nesmyslně, rozhodují.)
-
Je vidět, že nebydlíš na konci světa... Jsem rád, když si doma zavolám přes 2G, LTE chytím když má vysílač dobrou náladu/je dobrá konstelace hvězd nebo planet/soused obětuje koťátko...
To tě ale ve vztahu k doručovacím službám vůbec nemusí zajímat, protože je čistě jejich věc, jak mají svoje systémy udělané. A zcela jistě ty systémy počítají jak s nedostupností signálu díky pokrytí, tak třeba při výpadcích. Nehledě na to, že dost pochybuji, že by měla nějaká doručovací služba zájem o připojení na tvoji WiFi. Už z důvodu bezpečnosti se doručovací služby na jakékoliv veřejné či jiné WiFi obvykle nepřipojují a využívají jenom data nebo případně WiFi ve svých vlastních provozovnách.
-
Jestli je pravidelný zákazník košík, rohlík, ppl nebo jiné služby která jezdí pravidelně tak bych to řešil stejně.
Ti chtějí obvykle platbu předem, takže kurýr už jenom doveze zboží a nic neinkasuje, resp. pokud vím, že by při platbě kartou přímo u kurýra mohl být problém, tak to prostě zaplatím sám hned po objednávce na webu a určitě nebudu kvůli tomu provozovat nějakou extra WiFi.
-
Co je zač ten OWE? Na wikipediinje dost strohý popis, projaké verze wifi je podporovaný? Záleží na podpoře vHW?
V podstate z pohľadu bežného používateľa niečo ako otvorená wifi (bez hesla), ale vzduchom nelietajú nešifrované pakety. Zvyčajne to zvláda hardware, ktorý vie SAE / WPA3.
-
To tě ale ve vztahu k doručovacím službám vůbec nemusí zajímat, protože je čistě jejich věc, jak mají svoje systémy udělané. A zcela jistě ty systémy počítají jak s nedostupností signálu díky pokrytí, tak třeba při výpadcích.
Třeba žehličkou? ;-)
Už z důvodu bezpečnosti se doručovací služby na jakékoliv veřejné či jiné WiFi obvykle nepřipojují a využívají jenom data nebo případně WiFi ve svých vlastních provozovnách.
Jaké bezpočnosti?! On někdo svéprávný ještě dnes považuje internet jako takový za bezpečný? Je rok 2023 a né 2003, máme DNSSEC, TLS, VPN a další cizí zkratky...
-
Proč by intranet neměl být bezpečný?
-
Nemusím být doma. Stejně tak když třeba dětem přijede návštěva nebo když přijede pizzař a uvidí otevřenej hotspot...
Navíc heslo jako takový mi neřeší to, jestli se mi dostanou nebo nedostanou do zbytku domácí sítě. Jde mi primárně o to, aby byla oddělená domácí síť (tj. zařízení na druhém zaheslovaném SSID; případně rozsah IP adres, ale to je spíš na VLAN, pokud dobře chápu) od "hostů".
Doporučuji vaší síť rozdělit dalším Wi-Fi routerem (klasika na WAN port) s vlastním DHCP, na toumto routeru vytvoře guest síť kde klienti nemohou do vnitřní sítě (většinou značené místní LAN nebo podobně) a nemohou se navzájem vidět a tuto síť nechte veřejnou, hlavní síť* na tomto Wi-Fi routeru nechte skrytou (hidden) a dejte tam nějaké ultimátní heslo o maximálním množství znaků (stené platí o přihlášení pro admina).
* Většina běžných zařízení nedovolí samostatnou guest síť bez zapnuté hlavní sítě
Jako další věc nastavte limit pásma klientovy max 1Mbit, je to dostačující pro messenger, zprávy, e-mail a běžné telefoní záležitosti atd. ale pokud nějaký vykuk bude chtít stahovat torrent/uloz.to nebo netflix tak se na to vykašle.
Je to jednoduché a většinou i bezpečné. Jako doplněk pak na hlavním mikrotiku udělejte VLAN ale zde už musí uvážit zda se to vyplatí (důležitá data a práce na PC) nebo ne (běžný provoz aka vše do cloudu).
Navrhoval bych tp-link protože je uživatelsky nejjednoduší a má vždy další budoucí využití za dobrý peníz, i asus je chválený taky za levno. V případě vyšších nároků je to už na Vás co zvolíte.
Na závěr bych chtěl jen poznamenat, že svévolné sdílení internetového připojení je proti podmíkám snad každého poskytovatele u smlouvy pro domácí použití.
To že tam bude napíchnutej soused a občas dopravce nikdo řešit nebude ale pokud se tam budou pravidelně přihlašovat nová a nová zařízení, dal bych si pozor aby jste se nedostal do zbytečné situace. Mrkněte se do smlouvy kvůli prevenci jak to máte ošetřeno.
-
Zařízení za routerem ISP nevidí, takže v tomto směru bych byl v klidu. Horší je to s IP adresou a případným průserem, který by někdo z hostů mohl udělat, to všechno půjde za tím, kdo má uzavřenou smlouvu.