KeenTaur

Рекомендую все же немного почитать про VLAN и тегирование, чтобы делать не методом тыка, а хотя бы научного тыка Давайте посмотрим на этот ваш скриншот. На данный момент, он же актуален? На мой вкус, в настройках сегментов "Умный дом" и "Видеонаблюдение" я все-таки явно задал бы номера VLAN для них. Правильно ли вы настроили работу портов с сегментами зависит от того, что и как у вас к этим портам подключено. Умеют ли там устройства работать с тегированными VLAN, настроены ли они на работу с тегами? Предлагаю пойти "от портов" Порт 4. К нему у вас подключены устройства Умного дома. Насколько необходимо вам передавать через Порт 4 сегмент "Домашняя сеть" в тегированном виде (T)? У вас к там ZigBee Hub. Я не очень в курсе, что это за зверь (ну контроллер для умного дома). Ему самому или устройствам к нему присоединенным нужен Доманшний сегмент? "Нет" - вычеркиваем Домашний сегмент (выбрать "прочерк") на порту 4. Порт 3. К нему у вас подключены устройства видеонаблюдения. Видеорегистратор? Тот же вопрос про сегмент "Домашняя сеть": надо ли вам передавать через Порт 3 Домашнюю сеть в тегированном виде (T)? Вероятно, Порт 3 также можно исключить из домашнего сегмента (выбрать "прочерк"). Порты 2 и 1. Вы передаете через них сегмент "Гостевая сеть" в тегированном виде. У вас есть на этих портах устройства, которые должны находиться в гостевом сегменте? "Нет" - вычеркиваем. Про тегированные VLAN вспоминаем, если через один порт надо будет передать несколько сегментов. При этом, непосредственно к порту будут подключены устройства, умеющие работать с тегированными VLAN. Например, IP-телефон, ретранслятор, коммутатор (в том числе, программные), IPMI. Далее. Доступ с устройств в различных сегментах в интернет, доступность их из интернета и других сегментов зависит от множества факторов. Предположим, vlan'ы мы настроили. Впереди еще ip-адресация, маршрутизация, межсетевой экран...

я вот о чем подумал. Синие же порты некоторых Кинетиков на отдельном же чипе вроде? Может он, этот порт, в режиме ретранслятора работать не совсем так, как LAN-порты?

1. Если есть возможность, проверьте все кабели не только Peak'ом, но и кабельным тестером. Хотя бы на предмет, все ли пары обжаты правильно. Ходят слухи, что "синие" порты чувствительнее к качеству линка (и к проводу, и к оборудованию на другом конце этого провода). Промежуточных коммутаторов нет ли? Возможно, стОит нарисовать для форумчан схему вашей сети, чтобы попонятнее было. 2. Правильно ли я понял, что при подключении (контроллера?) к портам 1-3 ретрансляторов, работа нормализуется? Так и оставьте подобное подключение, а "синие" порты ретрансляторов попробуйте задействовать для других своих целей. Хорошо бы еще убедиться, что на портах ретрансляторов, если смотреть "Разъемы сегмента и VLAN" -> "Показать другие сегменты", то, что вы ожидаете. По умолчанию, все порты ретрансляторов работают в режиме транк (проверьте, так ли это для синих/или смотрящих в сторону контроллера/ портов). Если для вашей сети на ретрансляторе потребуется порт в режиме доступа, это сейчас можно настроить через командную строку с контроллера wifi-системы.

Позвольте не поверить, что ни на одном протоколе защиты. Мой скриншот для сети с WPA2-PSK. Разновозрастные яблоки. И вполне возможно, что на iPhone SE 2020 может быть даже iOS14. Те, которые красненькие, им сейчас по расписанию заблокирован доступ в интернет, в разрешенное время доступ будет. Роутер, кстати, как у вас, Giga KN-1012, но и на предшественнике (Extra KN-1711) проблем не наблюдалось. Может быть лучше попробовать сформулировать свою проблему как-то по-другому? И попробуйте оставить только WPA2-PSK для начала.

Не буду сильно настаивать, но у меня от двух wifi-системок (маленькие они, 2 и 4 узла) на RADUIS-сервер приходят запросы и от контроллеров, и от ретрансляторов.

А провайдер один и тот же или разные? Это может быть важным по вашему первому вопросу, про SSL. Посмотрите недавнюю тему, не ваш ли случай, не провадейр ли, через которого работает Ultra, блокирует доступ к Let's Encrypt:

Что-то вы делали не так. Сделайте по статье, ссылку на которую вам дал Leshiyart. Простыми словами, один из Челленджеров верните в режим роутера, он будет контроллером wifi-системы, настройте по указанной статье, чтобы он работал как точка доступа. Потом сбросьте на заводские второй Челленджер, переведите его в режим ретранслятора и "захватите" его контроллером. Получите бесшовный wifi. Разберитесь с маршрутизацией. Как клиенты wifi должны попадать в интернет и как к ресурсам локальной сети (и обратно, как из локальной сети должно что-то приходить к клиентам wifi). Что назначить шлюзом по умолчанию для клиентов wifi, какие, может быть, маршруты дополнительно прописать. Теперь по DHCP. Вам релей для чего потребовался? Сервер DHCP находится в другом сегменте (vlan) за маршрутизатором? В вашей wifi-системе dhcp отключите (как в статье). На DHCP-сервере создайте области (scope) для каждого сегмента WiFi. Сегменты wifi у вас наверняка терминируются на вашем офисном маршрутизаторе. Вот на его интерфейсах и укажите helper-address. Если я неверно телепатирую, то опишите более подробно вашу схему.

Видимо, у нас разные схемы интеграции wifi-системы в локальную сеть. У вас, похоже, для ретрансляторов RADIUS находится за nat-ом контроллера?

1. WPA-Enterprise необходимо установить не только на контроллере системы, но и на всех участниках wifi-системы. Автоматом оно не устанавливается. (Пожелание на тему автоматической установки этого компонента на подчиненных ретрансляторах я выдвигал при общении с поддержкой, пока вроде не внедрили). Контроллеру и ретрансляторам лучше назначить постоянные ip-адреса. А!, Да! Разумеется, необходимо обеспечить связность NPS-сервера и участников всех wifi-системы. 2. В настройках безопасности сегментов на контроллере должны быть доступны "WPAX Enterprise". Задаем адрес и, при необходимости, порт RADIUS-сервера, задаем Секретный ключ. (на картинке Hopper, но в подчинении у него как раз Вояджеры) 3. По настройке NPS лучше погуглить. Можно посмотреть первоисточник (сайт MS), или, к примеру, сайт Cisco. Замечания: На NPS-сервере необходимо создать столько RADIUS-клиентов, сколько у вас участников wifi-системы (т.е. должны быть записи и для контроллера, и для всех ретрансляторов, входящих в систему). Далее, если у вас RADIUS-сервер и wifi-система разделены интернетом, то, возможно, потребуется в политике доступа к wifi добавть параметр Fragmented-MTU Как-то так

Подумайте, нужна ли вам беспроводная транспортная сеть - точки подключены проводом и питаются по PoE. Даже если предположить, что один кабель мышь перегрызла, без питания точка работать перестанет совсем, ей эта сеть не поможет. Попробуйте отключить эту транспортную сеть хотя бы для эксперимента.

Возможно, включена Беспроводная транспортная сеть (Wi-Fi-система - Настройки). Попробуйте выключить, у вас же все узлы mesh-сети подключены проводом.

Помочь - не помогу, но правильно ли я понял проблему, которую вы хотите донести: Работа с USB-накопителем, подключенным непосредственно к Кинетику, осуществляется плюс-минус с одинаковой скоростью, что для клиентов по проводу, что по wifi. И в общем-то упирается примерно в гигабит/с. При работе же с NAS, у беспроводных клиентов скорость почти вдвое ниже, чем у проводных. Т.е. по проводу гигабит/с есть, а по wifi только около половины. Недоумение вызывает факт, что вроде как всё работает в одной и той же среде, с одним и тем же роутером, однако, wifi_клиент-роутер-NAS вдвое проигрывает Ethernet_клиент-роутер-NAS при том, что wifi_клиент-роутер-USB и Ethernet_клиент-роутер-USB идут вровень. Т.е. по wifi гигабит/с вытянуть можно... но только до роутера. Так?

Спасибо за ответ! Хотя жаль, конечно.

Пардон за офтопик, но не планируется ли отвязать VLAN1 от домашней сети? Точнее так, не планируется ли дать возможность назначать сегменту Домашняя сеть произвольный номер VLAN, а VLAN1 оставить для служебных целей (в нем же BPDU etc ходят?)? У меня на работе сейчас с десяток Кинетиков, большинство из них работают в режиме точки доступа, wifi "живут" в отдельных vlan'ах. Мне приходится либо отказываться от использования wifi в сегменте Домашняя сеть, либо сознательно идти на vlan mistmatch, когда на Кинетике это VLAN1, а на порту коммутатора в качестве native я вынужден выставлять другой VLAN. Я сталкивался с коммутаторами, которые считали, что на порту в режиме транк нетегированным обязан быть исключительно VLAN1, остальное с тегами. Также встречал рекомендации не использовать VLAN1 в качестве рабочего. Для себя стараюсь придерживаться этих правил и избегать экзотики типа асимметричных vlan.

После того, как разберетесь с VLAN'ами может потребоваться еще проверить и, возможно, настроить DHCP-snooping, если коммутатор это умеет. После всего этого, если потребуется, по доступу между сегментами: Статья "Сегменты сети": Не поделитесь моделью коммутатора у вас? Вменяемая настройка VLAN.

Основное: вам нужно согласовать настройки гипервизора и порта коммутатора, куда он подключен. С Проксмоксом не работал. Как у вас настроен гипервизор? И управление им, и ВМ в одном сегменте? Тогда так: Порт8 коммутатора в режим access в VLAN10, PVID порта тоже 10. УБРАТЬ с этого порта VLAN1 (Not member). На гипервизоре и ВМ VLAN'ы не указываете. Если картина другая, и управление гипервизором в одном VLAN'е, а виртуальные машины в другом, напишите, что и как. И заметка на полях: я бы все-таки на Кинетике для порта 1 оставил бы VLAN1 нетегированным (галочка "Входит в сегмент"), VLAN10 оставить тегированным, как есть. Далее, Порт1 коммутатора VLAN1 без тега, PVID1, VLAN10 тегированный. Ну и Порт8 коммутатора в зависимости от ваших настроек гипервизора и ВМ. Не знаю вашей конфигурации, но, подозреваю, что Порты 4-7 коммутатора нуждаются в корректировке: если у вас там серверы, тогда нот мембер VLAN1 (иначе, VLAN10 Not Member и PVID вернуть в 1) - в общем, чтобы на одном порту нетегированным был только один VLAN, его же и указать в PVID порта.

Конечно, надо с них и начать, раз они уже есть. Начните с котельной - запустите wifi-систему с роутером-контроллером и экстендерами на улице и 1 этаже, переходите дальше. Да, замечание: Орбитер не предназначен для работы вне помещений, он же будет где-то внутри, но обслуживать улицу? у Кинетика я пока не знаю outdoor-устройств.

А из оборудования уже что-то закуплено? Коммутаторы KN-4610, в частности? По вашей последней схеме, с роутером в котельной (только с KN-4610 вместо микротиков) должно завестись. Если я правильно понимаю, то в этом случае все ваши проводные клиенты (PC, NAS, TV) скорее всего попадут в сегмент "Домашняя сеть". Если вдруг понадобится кого-то из них переместить в другой сегмент (например "с vpn"), то эта возможность будет зависеть от того, умеет ли само устройство (PC, NAS, TV) работать с VLAN'ами. Я так думаю.

Советы дело неблагодарное Я пока не проверял у себя малопортовые управляемые коммутаторы и подключение устройств wifi-системы к разным коммутаторам, это "развлечение", мне это предстоит в следующем году (если бюджет выделят). Да и то, что у меня есть, уже снято с производства. На этом форуме (еще по старому расположению) и форуме длинка мне попадались упоминания о конкретных моделях коммутаторов, которыми mesh Keenetic работал или не работал. Но я не акцентировался на том, чтобы это были коммутаторы с небольшим количеством портов, как надо вам. Вот, например, тема на форуме длинка, которую я держу в открытой закладке: D-link DGS-1210-24 прозрачный пропуск STP BPDU, LLDP, но опять же, речь про коммутатор 24-портовый и, в далее теме, про 52-поровый. Лично в моем управлении сейчас две скромные wifi-системы на Кинетиках: Одна из двух Вив, где экстендер подключен напрямую к контроллеру, а уже контроллер смотрит в локальную сеть. В этой схеме возможности коммутатора локальной сети не так важны. И вторая, где контроллером выступает Хоппер и три Вояджера-экстендера. Вот в этой wifi-системе все устройства подключены к коммутатору Cisco 3750 (WS-C3750-48PS-S). Вояджеры питаются по POE. Не скажу, что у меня не возникало сложностей при настройке, но, не без помощи поддержки, вроде пока работает. Увы, но ни упомянутые длинки, ни "моя" циско вам не особо нужны. Тоже буду рад, если кто-то из форумчан подскажет из личного опыта. Хотел бы все-таки спросить, а почему вам совсем не нужен wifi6?

Пока сочинял предыдущий ответ, Вы уже картинки нарисовали Последняя хороша, только насчет микротиков не уверен. С Микротиками пока дела не имел, заведется ли mesh на конкретных коммутаторах даже поддержка Кинетиков не всегда может сказать. По бегло найденным характеристикам CRS112-8P-4S-IN, vlan и poe at/af есть. У второго коммутатора (RB260GSP) пишут, poe нестандратное, лучше не брать, Орбитеры наверняка не заведутся. Кроме того, еще нужно проверять STP и LLDP. Вот, например, здесь на форуме ответ Le ecureuil касающийся управляемых коммутаторов. По VPN отвечу ссылкой: Типы VPN-соединений в Keenetic Хотя что вы подразумеваете: Вива будет vpn-сервером для подключения извне или Вива будет клиентом VPN? Видимо, второе. Про NAS не понял. У вас же вроде есть NAS на втором этаже, но вы хотите еще на Виве организовать? На Виве скорость работы будет в первую очередь ограничена скоростью USB 2.0 порта. Для "железного" NAS'а Вива в котельной будет как-то участвовать только если к NAS'у будет обращение или по wifi именно через нее (может упереться в скорость wifi-подключения клиента), или не из сегмента локальной сети, в котором будет находитсья NAS (может упереться в скорость маршрутизации/обработки пакетов).

По вашей схеме. IMHO, схему менять надо обязательно. Вариант 1. Самый простой. Провод от провайдера завести напрямую в wan-порт роутера (Вива). Недостаток: несколько сегментов локальной сети на неуправляемых коммутаторах. Вариант 2. С минимальными изменениями, но с дополнительным Кинетиком. Если допустимо приобретение еще одного Кинетика, то роутер (пусть будет ваша Вива) поставить между провайдером и нижним коммутатором. А дополнительный экстендер (хоть тот же Орбитер) разместить около телевизора. Недостаток тот же: несколько сегментов локальной сети на неуправляемых коммутаторах. Варианты другие. Отделить провайдера от локальной сети и поставить управляемые коммутаторы с POE и VLAN для сегментов вашей локальной сети. Будет сложнее в настройке и дороже. По Вашим другим вопросам. Насколько я посмотрел, у Орбитера (KN-2810) и Вивы (KN-1913 и KN-1910) одинаковые процессоры, так что с точки зрения производительности они должны быть примерно равны. Вива вам даст такие плюсы (приоритеты расставьте самостоятельно): больше ethernet-портов в месте расположения роутера; возможность использовать USB-модем для организации резервного/дополнительного канала связи; возможность организовать различные файловые сервисы (торрент, DLNA, webdav, хотя этим у вас, скорее всего, будет заниматься NAS); возможность установить дополнительные пакеты OPKG. По антеннам Вивы и Орбитера может быть кто-то еще подскажет, но я думаю, особой разницы вы не заметите. Mesh, на мой взгляд (и с учетом отделения провайдера от вашей локальной сети), заведется. Но... Вы планируете два сегмента wifi ("общий и с впн") - на мой вкус, просто-таки напрашиваются управляемые коммутаторы с поддержкой VLAN и POE, плюс прямой провод от провайдера к роутеру.

Коммутаторы KN-4610 неуправляемые, я бы не стал подключать интернет-провайдера напрямую в свою локальную сеть. Да и сам провайдер будет, скорее всего, недоволен. Вам необходимо пересмотреть свою схему, интернет от провайдера должен быть подключен только к wan-порту маршрутизатора (к тому порту, который вы назначите для провайдера). А вот одним из локальных портов маршрутизатор надо подключить к коммутатору, другим локальным портом к телевизору (если он по проводу будет работать). ... или надо покупать управляемые PoE-коммутаторы (как минимум, один, вместо нижнего по схеме) с поддержкой VLAN. VLAN с интернетом пробрасывать на wan-порт роутера. Опять же вопрос, к вам, можно ли проложить второй кабель от коммутатора до роутера? Если нельзя, придется настраивать порт роутера на работу с VLAN. Прямой кабель от провайдера до роутера будет и дешевле, и проще в настройке.