Domáci router

[_Jenda]

Mají systém postavený nad OpenWRT s vlastním aktualizačním mechanizmem.
U všech ostatních by měl člověk pravidelně kontrolovat jestli nemají nějaké bezpečnostní problémy a jestli výrobce nedal opravenou verzi FW a ručně ho aktualizovat.

Tak jako pokud používáš „oficiální“ image, tak si můžeš dát sysupgrade do cronu (pokud používáš vlastní sestavení, tak si někde budeš muset dát do cronu build). Ale já na to nemám koule: zatím jsem to dělal na různých zařízeních asi 10x a z toho to jednou po upgradu nenaběhlo a bylo potřeba ručně odpojit a připojit napájení (pak to najelo bez problému) (což je mimochodem divné, protože jsem měl dva routery s přesně stejným FW, upgradoval jsem je na stejnou novější verzi, a jeden byl v pohodě a jeden nenajel… #počítače). Takže tohle bych radši dělal sám když to můžu řešit.

Nutno podotknout, že vzdáleně zneužitelných bezpečnostních děr vyžadujících urgentní upgrade bylo za posledních mnoho let v OpenWRT a běžných službách AFAIK 0. Ani heartbleed a shellshock se toho netýkal, protože to používá nějaké mbedtls a ash.

[Reklama]

[sartori]

Trochu se nechytám, lidé chtějí automatické upgrady na routerech??? Tj. dovolit výrobci, aby jim tam dle jeho uvážení instaloval nové neotestované verze a riskoval, že router v ten nejblbější moment přestane fungovat, jako nám to předvádějí hoši z CZ.NICu?

Já svoje mikrotiky (asi 45 ks, vesnickej wifinář) nechám aktualizovat tak jednou-dvakrát do roka (pár kliknutí v The Dude rozhraní) až poté, co na diskuzních forech přestanou přibývat nářky od těch, co je to postihlo v den vydání.

Tady zapracoval Microsoft, lidi už si zvykli, že se jim PC aktualizuje/rebootuje v tu nejnevhodnější dobu
Ale vážně, pro domácího uživatele, co nemá čas sledovat chyby a aktualizovat pravidelně, je tohle asi nejlepší řešení.
Znalý uživatel je samozřejmě jiný případ...

[drobek1]

Trochu se nechytám, lidé chtějí automatické upgrady na routerech??? Tj. dovolit výrobci, aby jim tam dle jeho uvážení instaloval nové neotestované verze a riskoval, že router v ten nejblbější moment přestane fungovat, jako nám to předvádějí hoši z CZ.NICu?

Já svoje mikrotiky (asi 45 ks, vesnickej wifinář) nechám aktualizovat tak jednou-dvakrát do roka (pár kliknutí v The Dude rozhraní) až poté, co na diskuzních forech přestanou přibývat nářky od těch, co je to postihlo v den vydání.

Sice neprovozuji 45ks routrů, ale jen 5, vše s TurrisOS se zapnutými automatickými aktualizacemi a během posledních 4 let si nepamatuju kdy by to aktualizace rozbila a musel bych ručně něco opravovat. Takže bych poprosil o bližší údaje k těm "neotestovaným verzím" které hoši z CZ.NICu posílaj.

[k3dAR]

Tak jako pokud používáš „oficiální“ image, tak si můžeš dát sysupgrade do cronu (pokud používáš vlastní sestavení, tak si někde budeš muset dát do cronu build). Ale já na to nemám koule[...]

ja nedavno narazil na "Attended Sysupgrade", moc infa sem nenasel, jen balicek s odkazem na zdrojaky:
https://openwrt.org/packages/pkgdata/luci-app-attendedsysupgrade

a zapisek o tom v ramci GSoC:
https://blog.freifunk.net/2017/05/30/gsoc-2017-attended-sysupgrade/

ani sem to moc necetl, ale jestli rychle prolitnuti pochopil, tak ma jit o "oneclick" sysupgrade s tim ze to vybuildi custom image s balickama ktere sis doinstaloval?

[ja.]

Trochu se nechytám, lidé chtějí automatické upgrady na routerech??? Tj. dovolit výrobci, aby jim tam dle jeho uvážení instaloval nové neotestované verze a riskoval, že router v ten nejblbější moment přestane fungovat, jako nám to předvádějí hoši z CZ.NICu?

Já svoje mikrotiky (asi 45 ks, vesnickej wifinář) nechám aktualizovat tak jednou-dvakrát do roka (pár kliknutí v The Dude rozhraní) až poté, co na diskuzních forech přestanou přibývat nářky od těch, co je to postihlo v den vydání.

Sice neprovozuji 45ks routrů, ale jen 5, vše s TurrisOS se zapnutými automatickými aktualizacemi a během posledních 4 let si nepamatuju kdy by to aktualizace rozbila a musel bych ručně něco opravovat. Takže bych poprosil o bližší údaje k těm "neotestovaným verzím" které hoši z CZ.NICu posílaj.

Napríklad ani nie rok naspäť, vyšiel Turris OS 5 pre Mox a po update dosť veľa ľuďom nefungovala wifi. Riešením bol rollback na Turris OS 4 a zakázať updaty, kým to chlapci z CZ.NICu neopravili.

[Reklama]

[Martin Oles]

I rychlovarná konvice vyžaduje čas od času údržbu  Osobně bych pro takové to domácí síťování doporučil spíše Mikrotik. Vycházejí update i na 5 let stará zařízení, dá se to rozumně skriptovat a existuje okolo něj poměrně velká komunita. Pokud už ne Mikrotik, pak určitě router i do budoucna podporovaný v rámci OpenWRT projektu. Jedná se o osobní názor, po ne zcela vyhovujících zkušenostech s TP-linkem, ZyXelem, Belkinem a dalšími, jejichž softwarová podpora skončila půl roku po koupi.

[SB]

...lidé chtějí automatické upgrady na routerech???

Je to pro joudy, co to rukama dělat nebudou!!! Neboli jsou zde 2 možnosti - buďto to zůstane neaktualizované, nebo se to udělá automaticky! Ratio!

Já svoje mikrotiky (asi 45 ks, vesnickej wifinář) nechám aktualizovat tak jednou-dvakrát do roka (pár kliknutí v The Dude rozhraní) až poté, co na diskuzních forech přestanou přibývat nářky od těch, co je to postihlo v den vydání.

Mikrotik má typ aktualizací long term, to je několik měsíců po stable, takže toho bych se nebál. Jsou to 4 aktualizace do roku, a nepamatuju si, že by mi to někdy lehlo.

Obávám se, že jiný router mimo Mikrotiku, který by splňoval požadavky a byl zároveň bezpečný, neexistuje. Mikrotik má mnoho nedostatků, ale pořád je na tom v dané kategorii nejlépe, koneckonců proto je mezi uživateli, kteří vědí, vo fo de, tolik používaný.

[uwe.filter]

Trochu využiju tématu se snad trochu související otázkou: Nemáte někdo doporučení na router nejlíp od Mikrotiku, popř. něco s rozumnou podporou OpenWRT se slušným dosahem (rozumným výkonem/ziskem antén/citlivostí), aby se s tím dalo fungovat ve starém domě aspoň přes 1-2 cca 60cm kamenné zdi? Ideální by byla reálná propustnost tak aspoň 40 Mb/s, pokud je to za daných podmínek reálné, a hlavně stabilita připojení. Samozřejmě ideální by bylo natáhnout kabel, ale na to teď bohužel není čas...

[mark42]

60cm kamenna stena je vcelku slusny utlm. Cez dve taketo steny to uz moze ist par MB/s alebo vobec. Odporucam try before buy alebo 14dnovu lehotu na vratenie tovaru cez eshop. Rozmyslal si nad alternativou napr. rozvody po elektrickej sieti?

[ja.]

Riešil som niečo podobné, akurát s 80 cm kamennou stenou. Skončilo to tak, že som do nich vŕtal diery, naťahal ethernet a teraz sú AP v tých miestnostiach, kde má byť dostupná wifi.

Áno, bolo to kopec roboty, do ktorej sa mi nechcelo.

[testo_cz]

Kupte si miniPC od PCEngines (lepsi) nebo treba od Qotomu, na to OPENsense a mate vystarano na furt. Ano, obcas musite kliknout na aktualizaci systemu.

Taky +1 za OPNSense
pro účely domácího routování.
Přínos pro mě je rychlá cesta k řešení a dost user friendly UI například pro půlnoční servisní zásahy
Je pod ním BSD se všemi síťovými CLI, což je super.

Historicky jsem si složitější síťování řešil Mikrotikem, mám ho stále, ale rodinu na něj nezapojuju.

OpenWRT je úžasný projekt. Zejména možnost hodně muziky na prťavém HW, často opuštěný vendorem.
Rodinu bych na něm nechal připojit a spal klidně.

Velký rozdíl je ale sizing. Do OPNSense jsem šel s tím, že jdu do x86 a že budu zavádět IPS , blacklisty , parental control ,....tzn větší router.

Komu stačí malý router, asi nebude chtít žravější a dražší x86.

IMHO, arm64 je pro komunitní pfSense/OPNSense na roadmapě. Sám si buildy udělá jen pokročilý.

[MikyM]

Asi bych se vrátil k původní otázce:

...doporučili by ste nejaký domáci router tak do 2000 na ktorý by sa nemuselo potom tak 5 rokov "siahnuť"?...

Nové zařízení které se samo aktualizuje a je bezpečné trvale za uvednou cenu neseženete.
Zatím jediný routery které se udržují aktuální bez zásahu uživatele jsou od NIC.cz https://www.turris.cz.
Mají systém postavený nad OpenWRT s vlastním aktualizačním mechanizmem.
..........t.

Co dělám jinak, že se mi MK sám aktualizuje a vlastně 3 roky jsem na něj nesáhl? Teda jo, když si potřebuji promapovat nějaké porty

Možná vlastní skript, použití Dude.... ? :-)

Mikrotik lze nastavit na automatickou aktualizaci jak RouterOS tak firmware (boot loader). Je to sice pár rychlých kroků navíc ale myslím, že to zvládné tařka každý. Pro lidi, kteří chtějí router jednou nastavit a provádět úpravy konfigurace jen sporadicky se připojuji k doporučení, které zde zaznělo. Zvolit si update channel Long Term (aktuálně 6.47.9).

Jeden z návodů step by step a reference na MK WiKi:

https://techsoftcenter.com/how-to-automatically-upgrade-your-mikrotik-router-firmware-os/
https://wiki.mikrotik.com/wiki/Manual:Upgrading_RouterOS#Automatic_upgrade

[uwe.filter]

60cm kamenna stena je vcelku slusny utlm. Cez dve taketo steny to uz moze ist par MB/s alebo vobec. Odporucam try before buy alebo 14dnovu lehotu na vratenie tovaru cez eshop. Rozmyslal si nad alternativou napr. rozvody po elektrickej sieti?

Kupovat něco s vidinou toho, že to nejspíš pak zase vrátím, se mi moc nechce (nepřijde mi to úplně fér vůči obchodníkovi) - ale to je jen můj postoj . Odhaduju, že minimálně přes tu jednu stěnu by to mělo být schůdné, protože jak jsem psal, mi to kdysi na 802.11b s tím starým ASUSem fungovalo minimálně co do dosahu signálu i přes víc než 1 stěnu. O té alternativě (PLC) jsem samozřejmě uvažoval, ale to je snad ještě větší nejistota než s tou wifi - nenašel jsem zrecenzovaný aktuálně prodávaný typ, který by spolehlivě fungoval i na částečně starých rozvodech a navíc mezi více fázemi.

Riešil som niečo podobné, akurát s 80 cm kamennou stenou. Skončilo to tak, že som do nich vŕtal diery, naťahal ethernet a teraz sú AP v tých miestnostiach, kde má byť dostupná wifi.

Pro mě by asi bylo jednodušší provrtat strop a natáhnout to přes půdu, ale i tak nic moc práce a navíc ještě k tomu nevzhledné kabely nebo lišty (ačkoliv jinak jsem rozhodně zastáncem kabelů). Ještě zkusím nějaké jiné AP a když to nepomůže, tak asi dojde na to vrtání.

[Adolf Shitler]

Vrácení v zákonné lhůtě 14 dní právě fér je, protože zákazník nemá možnost si zboží fyzicky "osahat", takže má aspoň tu lhůtu na vrácení. A každý obchodník také počítá (nebo by počítat měl) s tím, že se mu zboží může vrátit.

[k3dAR]

Vrácení v zákonné lhůtě 14 dní právě fér je, protože zákazník nemá možnost si zboží fyzicky "osahat", takže má aspoň tu lhůtu na vrácení. A každý obchodník také počítá (nebo by počítat měl) s tím, že se mu zboží může vrátit.

pokud i tak s tim ma uwe.filter problem, tak muze prodejce pozadat o informace, jak se dany router bude chovat v jeho prostredi ktere mu muze popsat jak nejlepe dokaze, pokud obchodnik nebude schopen dodat informace nebo rekne ze se to musi vyzkouset na zivo, ze to nedokaze odhadnout, tak snad uz neni co resit, koupi -> vyzkousi -> necha_ci_vrati... ;-)

EDIT: k casti dotazu jakej s dobrou OpenWRT podporou => TP-Link Archer C7