Optimale configuratie appartementencomplex Dual WAN ISP - Netwerken

maandag 2 december 2013 22:54

Acties:

Topicstarter

Beste leden,

Na uren inlezen op het internet afspeuren wil ik toch jullie kennis raadplegen>:)

gewenste situatie: 60 appartementen die alle van betrouwbaar Wifi internet voorzien moeten worden, ieder krijgt 5 mbit downloadsnelheid. (er gaat gewerkt worden met vouchers)

Apparatuur:
AP: 14x Mesh AP's (OM2P-HS) Andere suggesties welkom
Draytek routers

Wat is volgens jullie de meest optimale netwerkconfiguratie om stabiel en 'snel' internet aan te bieden?

2x 150 Mbit ISP op 1 Draytek Dual wan router, daarachter 14 Open Mesh AP's (OM2P-HS)

2 aparte netwerken waarbij iedere ISP 7 AP's verbonden worden.

Mijn idee uitgetekend:

[img]<a href="http://imgur.com/AatIFbG"><http://i.imgur.com/AatIFbG.jpg" title="Hosted by imgur.com" /></a>[/img]

Bedankt voor de input!

[ Voor 5% gewijzigd door jefkuil op 02-12-2013 22:55 ]

maandag 2 december 2013 23:08

Acties:

dion_b

Moderator Harde Waren

say Baah

Situatie 1 lijkt me aanzienlijk beter ivm load balancing en failover dan situatie 2.

Dat gezegd zou zeker geen Draytek nemen, dingen zijn overpriced en underperforming met vaak dubieuze stabiliteit in mijn ervaring. Als je niet zelf helemaal 'from scratch' wilt werken zou ik eerder voor Mikrotik oid gaan dan voor Draytek.

Hoe zie je het trouwens met port forwarding voor users die dat willen/nodig hebben? Ga je uPnP gebruiken, of een protocol er bovenop zoals PCP of PMP? Of gewoon die eisen negeren?

Oslik blyat! Oslik!

maandag 2 december 2013 23:20

Acties:

jefkuil

Topicstarter

Tnx voor je reactie! Gebruikers die willen forwarden nemen maar een eigen aansluiting

Heb zelf wel goede ervaringen met Draytek, maar ben ook geen Pro.. Heb zitten kijken op Microtik, maar zie bij hun productaanbod door de bomen het bos niet meer

maandag 2 december 2013 23:55

Acties:

DJSnels

dion_b schreef op maandag 02 december 2013 @ 23:08:
Situatie 1 lijkt me aanzienlijk beter ivm load balancing en failover dan situatie 2.

Dat gezegd zou zeker geen Draytek nemen, dingen zijn overpriced en underperforming met vaak dubieuze stabiliteit in mijn ervaring. Als je niet zelf helemaal 'from scratch' wilt werken zou ik eerder voor Mikrotik oid gaan dan voor Draytek.

Hoe zie je het trouwens met port forwarding voor users die dat willen/nodig hebben? Ga je uPnP gebruiken, of een protocol er bovenop zoals PCP of PMP? Of gewoon die eisen negeren?

Situatie 1 inderdaad, dat is veel beheer(s)baarder.

Draytek vind ik persoonlijk niet overpriced of een slechte performance hebben. Wel hebben ze inderdaad stabiliteits problemen gehad met de nieuwe serie. Echter lijken wij er na wat firmware updates geen last meer van te hebben. Als je geen goede ervaring hebt met routers zijn deze apparaten toch prima te configureren.

maandag 2 december 2013 23:56

Acties:

ShadowAS1

IT Security Nerd

Mikrotik heeft naar mijn ervaring een learning curve, geen grote welliswaar, maar t is niet 1-2-3 gedaan. Dus in zo'n geval zou ik eerder een klein servertje/pc'tje met pfSense aanraden. Dat is een stuk simpeler en toch heel krachtig

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

dinsdag 3 december 2013 01:19

Acties:

Kompaan

echt netjes zou 2x pfSense in loadbalance en failover zijn, met het mesh netwerk daar redundant achter:

internetlijn 1 (bridge, minimaal 3 static IPs) verbinding naar pfsense1 en pfsense2
internetlijn 2 (bridge, minimaal 3 static IPs) verbinding naar pfsense1 en pfsense2

pfsense1 en pfsense2 met een lijntje ieder (minimaal) naar 2 verschillende switches/APs

failover gebeurt met CARP en pfsync
in deze situatie heb je beide internet verbindingen, in het geval dat er een router uitvalt en ook nog internet als een van de lijnen uitvalt. Beetje overkill misschien ...

Voor de APs zou ik eens kijken naar ubiquity, en unifi:
http://www.ubnt.com/unifi

daar krijg je meer coverage en snelheid uit (ze hebben 80211AC en ook long range en buiten versies)

internet snelheid/vouchers kan je regelen op pfsense of unifi.

dinsdag 3 december 2013 09:17

Acties:

laurens0619

Ik zou met dit aantal AP's ook voor Ubiquiti UniFi gaan. Daarmee kan je dmv Zero Handoff alle AP's om laten vormen tot 1 groot virtueel netwerk (dus 1 ssid) en krijg je minder gedoe met roaming (of doen die mesh APs dat ook?). Anders krijg je straks domme telefoons die op het app van de buren zijn ingelogd....

Je hebt daarbij geloof ik ook mogelijkheden via UniFi voor betaal portal/vouchers voor het aanschaffen van tickets. Let wel goed op dat je het torrent/upload verkeer goed reguleert

CISSP! Drop your encryption keys!

dinsdag 3 december 2013 09:39

Acties:

lier

MikroTik nerd

Nog iets om eventueel rekening mee te houden...wil je dat alle clients in één groot netwerk komen, of ga je ervoor zorgen dat ze elkaar niet zien?

Eerst het probleem, dan de oplossing

dinsdag 3 december 2013 21:54

Acties:

jefkuil

Topicstarter

@Kompaan, klinkt goed, alleen de installatie gaat mij niet lukken. Is een partij die dat tegen betaling kan realiseren? Heb zelf goede ervaring met Open-Mesh

@laurens0619, dat doen de Mesh APs ook:-) Aan ieder uitgegeven voucher zit een up en download beperking. Of heb je het over iets anders?

@lier, ze krijgen elkaar niet te zien. Dat regelt een instellen op de Open Mesh APs

Dank alles voor het meedenken!

dinsdag 3 december 2013 22:05

Acties:

spone

Denk ook even na hoe je gaat borgen dat illegale activiteiten (uploaden, kp, e.d.) tot een sub-aansluiting herleid kunnen worden, en dat het niet allemaal bij jou uitkomt als er shit is - logging?

i5-14600K | 32GB DDR5-6000 | RTX 5070 - MacBook Pro M1 Pro 14" 16/512

dinsdag 3 december 2013 22:53

Acties:

jefkuil

Topicstarter

Dat is inderdaad een goede, weet niet of dit standaard in Ubiquiti UniFi / Draytek / Open Mesh apparatuur zit verwerkt. Weer iets om uit te zoeken

woensdag 4 december 2013 03:23

Acties:

moppentappers

In Open mesh en Unifi zit het in ieder geval niet, Draytek heeft smartmonitor, maar dat lijkt me niet echt een hele praktische oplossing vanwege de eis dat er een windows machine voor moet draaien.
Binnen pFsense zijn veel mogelijkheden om te loggen, bijvoorbeeld met de proxies die als package kunnen worden geïnstalleerd, of en welke oplossing daarin voldoet zal je even moeten bekijken, dit kan eventueel al in een virtual machine.

woensdag 4 december 2013 03:41

Acties:

soulrider

ik zou in ieder geval de buren tegen elkaar beschermen voordat buurman 1 de filmkes of de webcam van buurman 2 aan het bekijken is met alle klachten ten gevolge ...

maw: kabeltje naar elke flat en elke flat zijn eigen AP en WPA-key!

Als het kan: vanop de router ook alle verkeer tussen de flats blokkeren: van flat naar inet en terug: oke, van flat naar flat: blokkeren...

Of ga jij het op je pakken als de huidige zoon van buurman 1 effe al de rest hackt ???

woensdag 4 december 2013 04:58

Acties:

moppentappers

Dat is opzicht niet nodig, met AP isolation en een goede configuratie van de verdere netwerkapparatuur kunnen ze elkaar niet benaderen, voor bekabelde verbindingen zou bijvoorbeeld port isolation gebruikt kunnen worden.
Elke appartement een eigen AP plus key is nou juist iets wat misschien qua beheer, kosten en bereik absoluut heel onhandig is.
Een voucher systeem heeft ook nadelen, zoals voor bijvoorbeeld mobiele apparaten, waarop het inloggen op een webpagina onpraktisch is, maar daar zijn ook wel oplossingen voor.

[ Voor 3% gewijzigd door moppentappers op 04-12-2013 04:58 ]

woensdag 4 december 2013 08:23

Acties:

soulrider

maar de persoon van flat A wilt natuurlijk wel bv zijn NAS kunnen gebruiken met zijn smartphone of laptop/tablet, aan de files op de computer van zoonlief geraken of gewoon iets afprinten op zijn netwerkprinter met wifi, maar je wilt hem natuurlijk geen toegang tot de shares van buurvrouw B geven.

Hoe ga je daarvoor zorgen bij zo'n voucher systeem?
dat voucher A wel aan voucher B mag, maar niet aan voucher C en die laatste wel aan F maar niet aan de rest?

Persoonlijk zou ik dan eerder opteren voor kabeltje naar elke flat met eigen AP en key (of soortgelijke opzet) en men doet dan per flat wat men wilt met de gekregen connectie en snelheid.

(ev. iets met Radius ofzo: X-aantal mogelijke ingelogde toestellen per gebruiker, elke gebruiker een vlan/subnet, en max. Y Mbps in totaal - zodat buurman B toch op de koffie kan bij buurvrouw A maar alsnog aan de eigen data kan om bv vakantiefoto's te tonen en niet aan de hare?)

En natuurlijk een goeie logging zodat als er klachten van misbruik komen bv hacking vanuit het gebouw je ook weet wie er verantwoordelijk voor is en je als beheerder er niet voor opdraait, maar de politie kunt doorverwijzen naar de echte dader (of toch de persoon die de voucher/gebruikersnaam heeft gekregen)...

[ Voor 6% gewijzigd door soulrider op 04-12-2013 08:35 ]

woensdag 4 december 2013 12:28

Acties:

moppentappers

Het lijkt me dan verstandiger om gewoon een kabel in ieder appartement uit te laten komen waarbij mensen zelf een router kunnen aansluiten als ze onderlinge verbindingen willen maken, anders zullen de beheerkosten behoorlijk oplopen. Ik leg zelf ook netwerken aan binnen appartementencomplexen, meestal met 5 tot 6 appartementen en heb over het ontbreken van de mogelijkheid tot onderlinge communicatie eigenlijk nog nooit klachten/vragen gehad.