Router pro síť s UniFi za 1Gbps T-Fiber ISP

Router pro síť s UniFi za 1Gbps T-Fiber ISP
« kdy: 10. 12. 2024, 09:42:07 »
Zdravím,

Chtěl bych si doma postavit síť komplet na Ubiquiti.
Můj Poskytovatel je Tmobile a mám od nich T-FIBER internet (1gb/s) s veřejnou ip.
Vše co jsem od nich dostal je router Segacom 5670, který bych nechtěl nadále používat ani v brige módu.

Upřímě moc se v sítích nevyznám a už vubec ne v optice ale technická podpora mi poslala pdf: https://www.t-mobile.cz/dcpublic/Fiber-Internet-Pozadavky-na-zarizeni.pdf

Nedoporučil by mi nekdo nejaky router/switch/převodník který by zvladl 1gb tam i zpět a fungoval?

Děkuji moc
« Poslední změna: 10. 12. 2024, 09:48:11 od Samuel1234 »


Re:Router pro síť s UniFi za 1Gbps T-Fiber ISP
« Odpověď #1 kdy: 10. 12. 2024, 10:01:59 »
Chtěl bych si doma postavit síť komplet na Ubiquiti.

Pročti si letmo jejich komunitní fórum a zjistíš, že bys ve skutečnosti nic takového nechtěl. Mj. veškeré jejich nové routery se ti vnuceně upgradují pod rukama a nelze tomu zamezit. V kombinaci s desítkami regresí v každém novém vydání čehokoliv, co vypustí, a absolutně neexistující QA, je to opravdu úžasné.

Re:Router pro síť s UniFi za 1Gbps T-Fiber ISP
« Odpověď #2 kdy: 10. 12. 2024, 10:53:45 »
Nevím jak router, ale Unifi Switch 24 Pro fungují naprosto famózně. Především pak centrální správa VLAN a nastavení jednotlivých portů, stejně jako kompírování konfigurace přivýměně routeru. Poměr cena vs. funkčnost je úžasná. Máme několik desítek těchto switchů. Ale jako Sonicwall.

Re:Router pro síť s UniFi za 1Gbps T-Fiber ISP
« Odpověď #3 kdy: 10. 12. 2024, 12:32:45 »
Pročti si letmo jejich komunitní fórum a zjistíš, že bys ve skutečnosti nic takového nechtěl. Mj. veškeré jejich nové routery se ti vnuceně upgradují pod rukama a nelze tomu zamezit. V kombinaci s desítkami regresí v každém novém vydání čehokoliv, co vypustí, a absolutně neexistující QA, je to opravdu úžasné.

V jedné firmě používám asi dva roky Unify DM Pro a několik jejich APček s upstream prvkem od firemního Vodafone připojení (klasika routované veřejné IP). Cca čtyři vnitřní VLANy, tři WiFi sítě s nějakými prostupy a filtrací, plus je tam ještě downstream 48p Cisco CBS switch (to byla víceméně pragmatická volba, protože jsem to měl ozkoušené z jiných projektů a trochu jsem se bál, jak by Ubiquity switch nakládal s mulitcasty, IGMP snoopingem atp, což jsem nutně potřeboval pro určitá zařízení). Používám na gatewayi i L2TP VPN.
Taky jsem se toho trochu bál, přesně z důvodu toho, že tam se potencionálně zblázním z nějakých automagic věci. Ano občas tam pro mě bylo trochu komplikovanější něčeho docílit v porovnání s jinými FW, a ano občas bych bral trochu víc kontroly na pravidly.
Prošel jsem taky cca tucet aktualizací - minor i major včetně větších fíčur (podpora WG serveru, změny v logice firewall modulu, kdy zjednodušovali některé věci atp.). Ale zatím ťukám, žádná tragédie se nestala. Ty změněné/přidané funkce v aktualizacích nikdy nerozbily původní nastavení - vždycky tam byla možnost to předělat podle potřeba později.
O aktualizacích gatewaye případně modulů mě to vždycky poctivě notifikovalo, já jsem si zvolil, jestli a kdy to nainstaluji. Pokud jsem odložil nějakou z nich, nabídla se mi pak až další (např. nechtěl jsem instalovat první major verzi). Na AP mám nastavené aut. aktualizace, ale na gatewayi ne a zatím jsem se nesetkal s tím, že by to tuhle volbu nerespektovalo a něco se mi tam natlačilo automaticky.
Přes to všechno myslím, že není od věci si dopředu projít způsob, jak si manuálně zálohovat nastavení mimo UI cloud a třeba i nějaké možnosti manuální instalace firmware a modulů (deb balíčky) přes ssh.
Samozřejmě mám omezený rozsah zkušeností, zdaleka nepoužívám všechny funkce, moduly (třeba identity mgmt, kamery atp.), nemám tam IPv6 a zmiňuju jen jeden model té jejich GW, plus jsem poměrně konzervativní s nasazováním některých věcí.. Nevylučuju, že s tím někdo problémy nemá.
Ve hře byla i jiné varianta (např. Ubiquity WiFi, jejich kontroler a pak FW/gateway od Mikrotiku), ale tohle zatím šlape v pohodě.

Re:Router pro síť s UniFi za 1Gbps T-Fiber ISP
« Odpověď #4 kdy: 10. 12. 2024, 13:44:43 »
Chtěl bych si doma postavit síť komplet na Ubiquiti.

Pročti si letmo jejich komunitní fórum a zjistíš, že bys ve skutečnosti nic takového nechtěl. Mj. veškeré jejich nové routery se ti vnuceně upgradují pod rukama a nelze tomu zamezit. V kombinaci s desítkami regresí v každém novém vydání čehokoliv, co vypustí, a absolutně neexistující QA, je to opravdu úžasné.

No to je krasne a jaka je alternativa? Nc pro doamcnsoti a male az stredni firmy co by nestalo nesmysl, nebo bys neplatil licente za ruzne funkcionality ( Forty) neni...


Re:Router pro síť s UniFi za 1Gbps T-Fiber ISP
« Odpověď #5 kdy: 10. 12. 2024, 14:28:58 »
No to je krasne a jaka je alternativa? Nc pro doamcnsoti a male az stredni firmy co by nestalo nesmysl, nebo bys neplatil licente za ruzne funkcionality ( Forty) neni...

Asi bych se nebál toho, že není alternativa. Záleží které funkcionality, případně výhody mají prioritu. Pokud někomu nesednou třeba jen gatewaye a firewally od UI, ale WiFi věci v pohodě, tak se to dá i realtivně v pohodě kombinovat. Třeba mít APčka od UI a ten malý Cloud Key controller (sw verzi běžící někde ve virtuálu) na jejich správu a pak k tomu přidat FW podle preferencí. Pokud někdo bude preferovat otevřenější řešení a půjde mu čistě o klasický firewall např. s nějakou základní VPN, tak může sáhnout třeba po něčem založeném na OpenWRT nebo pfSense. Mikrotik už jsem tu zmiňoval, když někomu vyhovuje ten ekosystém, tak tam je poměrně dost možností (mě by třeba nevadil FW, ale například jsem nechtěl jejich WiFi řešení, protože v té době jsem potřeboval bezproblémový fast roaming mezi APčky se všemi platformami, bez složitého nastavování a hledání problémů).
Jinak samozřejmě pokud bude někdo chtít jít nad rámec toho běžného filtrování a nebo třeba v budoucnu implementovat nějakou analýzu provozu na vyšších vrstvách (a nějaké návazné IPS, WAF atp.) spolu s nějakou podporou většího výrobce a nebo třeba sofistikovanější VPN klienty na různé platformy, co se připojují na tu GW, ověřují uživatele vůči AD atp. Tak ano asi dává smysl uvažovat i těch výrazně dražích řešeních od Forti, Checkpointu, Palo Alto atd.
Ale fakt podle mě záleží na konkrétním použití. Někdo je v pohodě, že si koupí komponenty, co spolu pak bude v různé míře integrovat.. Pro jiného zas může být velká výhoda, že koupí APčka, gateway, switche od jednoho vendora a pokud nebude mít nějaké specifické požadavky, tak to v podstatě nakliká z jednoho rozhraní, má od všeho notifikace, mobilní apky, hlídá mu to upstream liknky, má zálohy v cloudu, účty pro delegování víc správců.. atp., což přesně má UI.

jjrsk

  • *****
  • 601
    • Zobrazit profil
Re:Router pro síť s UniFi za 1Gbps T-Fiber ISP
« Odpověď #6 kdy: 10. 12. 2024, 14:49:05 »
...Unifi Switch 24 Pro fungují naprosto famózně....
Je rec o tech tupcich, kteri za idealmi management vlan povazujou tu defaultni? A pokud se nahodou tvuj nazor s jejich neshoduje, tak si ji muzes pekne zmenit ... na kazdym jednom device extra, protoze z administrace to nejde?

...No to je krasne a jaka je alternativa? Nc pro doamcnsoti a male az stredni firmy co by nestalo nesmysl, nebo bys neplatil licente za ruzne funkcionality ( Forty) neni...
Tech krabic je cela rada, ale IMO zdaleka nejlepsi je neco takoveho:
https://www.amazon.com/Firewall-i3-N305-USB3-2Gen1-Desktop-Computer/dp/B0DKJPNQ12/

Je to uplne normalni x86, tudiz na tom bude fungovat libovolny tuxi distro. Zaroven to bude mit i dostatek vykonu na to aby to uNATovalo ten Gbit, pripadne i usifrovalo. A vpohode to zaroven poslouzi jako domaci miniserver.



Re:Router pro síť s UniFi za 1Gbps T-Fiber ISP
« Odpověď #7 kdy: 10. 12. 2024, 15:07:20 »
Tech krabic je cela rada, ale IMO zdaleka nejlepsi je neco takoveho:
https://www.amazon.com/Firewall-i3-N305-USB3-2Gen1-Desktop-Computer/dp/B0DKJPNQ12/

Je to uplne normalni x86, tudiz na tom bude fungovat libovolny tuxi distro. Zaroven to bude mit i dostatek vykonu na to aby to uNATovalo ten Gbit, pripadne i usifrovalo. A vpohode to zaroven poslouzi jako domaci miniserver.

A funguju tie krabice s Tmobile optikou?
Lebo toto vidim ako zakaldny problem a aj zakladnu otazku. Ak som pochopil spravne, tak Samuel1234 zhana hlavne router, ktory by vedel zapojit namiesto GPON routra od Tmobile.

jjrsk

  • *****
  • 601
    • Zobrazit profil
Re:Router pro síť s UniFi za 1Gbps T-Fiber ISP
« Odpověď #8 kdy: 10. 12. 2024, 16:04:14 »
Do libovolny krabice das jejich sfp. To by musel dat i do ty krabice od unifi.


Re:Router pro síť s UniFi za 1Gbps T-Fiber ISP
« Odpověď #9 kdy: 10. 12. 2024, 16:12:53 »
Chtěl bych si doma postavit síť komplet na Ubiquiti.

Pročti si letmo jejich komunitní fórum a zjistíš, že bys ve skutečnosti nic takového nechtěl. Mj. veškeré jejich nové routery se ti vnuceně upgradují pod rukama a nelze tomu zamezit. V kombinaci s desítkami regresí v každém novém vydání čehokoliv, co vypustí, a absolutně neexistující QA, je to opravdu úžasné.

No to je krasne a jaka je alternativa? Nc pro doamcnsoti a male az stredni firmy co by nestalo nesmysl, nebo bys neplatil licente za ruzne funkcionality ( Forty) neni...

Alternativa je třsba neprovozovat ty jejich příšerné routery, přinejmenším. (Aktuálně navíc zhusta vnuceně zkombinované s controllerem network application.) Upřímně řečeno, poslední generace (Gen7) jejich AP, která ani po víc jak roce prodeje není po desítkách pokusů s aktualizací FW a dokonce nějakém bastlení chipsetu schopná normálně fungovat s IoT věcmi na vyhrazeném 2.4GHz SSID, je dobrým důvodem pro to, abych se výtvorům této firmy zdaleka vyhnul.

Třeba takový router s OPNsense mě na licencích stojí, hmmm... přesně nula. K tomu jako bonus funkční podpora, příčetní komunikující vývojáři a fungující bug tracker, ne pošahané javakriplové "fórum", kde se desetkrát dokola hlášené bugy neustále ztrácejí v záplavě dalších desítek stížností na regrese ve vlákně k příslušnému vydání.
« Poslední změna: 10. 12. 2024, 16:14:56 od LolPhirae »

Re:Router pro síť s UniFi za 1Gbps T-Fiber ISP
« Odpověď #10 kdy: 10. 12. 2024, 17:04:11 »
A funguju tie krabice s Tmobile optikou?
Lebo toto vidim ako zakaldny problem a aj zakladnu otazku. Ak som pochopil spravne, tak Samuel1234 zhana hlavne router, ktory by vedel zapojit namiesto GPON routra od Tmobile.

Do libovolny krabice das jejich sfp. To by musel dat i do ty krabice od unifi.

Tak to úplně není, na zakončení GPON, XPON atp. potřebujete ONT (koncové zařízení), nestačí jen strčit SFP se správnou vlnovou délkou do nějakého routeru, nebo síťovky.

Osobně jsem s tím nikdy nelaboroval a tam, kde jsem se s tím setkal, tak bylo zařízení (Segacom, Huawei) od operátora, který to případně nastavil jak bylo potřeba (bridge, router) a bral jsem to dál víceméně jako blackbox, kde byla IP konektivita.
Nicméně při splnění daných technických podmínek operátora by se to mělo dát i vyměnit za jiné kompatibilní zařízení.
ONT boxy (často je to škatule, co má 1G PoE port a pak rovnou druhý opt. port) dělá třeba i TP Link, BDCom a není to úplně drahé.
Jsou tam standardy pro fyz. vrstvu, konkrétní varianty FEC, pak i třeba vzdálenou správu a upstream monitoring (OMCI).
Mimo to je tam i jedinečná identifikace každého konc. zařízení - vendor + seriové číslo. To může ta druhá strana oveřovat a jiné konkrétní zařízení bude nutné explicitně povolit.
Takže i s těchhle důvodů bych to spíš konzultoval s operátorem, případně pořád používal jejich dodané zařízení v bridgi.

Ubiquity také má různá koncová GPON zařízení, ale nikdy jsem je prakticky neviděl, a jestli jsem to správně pochopil, tak jsou primárně míněny na provoz, kdy beží zas jejich škatule na druhé straně. Tzn. někdo dělá komplet rozvod fiberu na jejich technologii, třeba někde v činžáku.

Každopádně to je řešitelné, pokud to někdo chce provozovat s dalším routerem/gatewayi.


dzavy

Re:Router pro síť s UniFi za 1Gbps T-Fiber ISP
« Odpověď #12 kdy: 10. 12. 2024, 18:46:31 »
Co se SFP pro T-Fiber týče, mám osobně vyzkoušeno Nokia G-010S-A. Splňuje jejich požadavky na certifikaci BBF.247 a dá se levně sehnat na ebay. Stačí změnit vendor ID+SN a funguje, viz https://github.com/hwti/G-010S-A

Re:Router pro síť s UniFi za 1Gbps T-Fiber ISP
« Odpověď #13 kdy: 10. 12. 2024, 21:43:29 »
@dzavy @Hornik

Zajímavé info, pokud by se tazatel chtěl vydat touhle cestou. Díky.
Našel jsem ještě další info na https://hack-gpon.org/

Takže pokud by tohle někdo chtěl použít, tak jestli to chápu správně, musí nejdřív zjistit vendor id a sériové číslo z původního zařízení a pak to změnit ve flashce toho kompatibilního SFPčka, aby se to pro poskytovatele tvářilo identicky?
Protože T-Mobile nechce povolit jiné GPON ONT než ty své, co tam dodal? Což by u nich tedy vylučovalo použít cokoliv jiného než ty ONT, kde se dá potencionálně měnit VENDOR a S/N (ať už v jakékoliv formě - SFP, externí škatule).

I zas jestli mám být upřímný, pokud bych si to nevzal jako nějakou technickou výzvu, asi bych tam nechal tu krabici od poskytovatele přepnutou do bridge a šel dál. A pak si tam podle potřeby zapojil co chci.

dzavy

Re:Router pro síť s UniFi za 1Gbps T-Fiber ISP
« Odpověď #14 kdy: 10. 12. 2024, 22:06:36 »
Takže pokud by tohle někdo chtěl použít, tak jestli to chápu správně, musí nejdřív zjistit vendor id a sériové číslo z původního zařízení...
Přesně tak, ale není to nic komplikovaného, je to napsané na štítku, jen je to případně potřeba de/kódovat ASCII/HEX. Právěže T-Mobile to oficiálně podporuje, viz specifikace co sami zveřejnili (https://www.t-mobile.cz/dcpublic/Fiber-Internet-Pozadavky-na-zarizeni.pdf). Správná cesta jak už tu někdo psal je oznámit jim SN vlastního ONU/ONT a oni to změní u nich, ale naklonování SN z jejich ONT je výrazně snazší a rychlejší a (zatím) funguje.