作者GodPlayYou (那不就是我吗)
看板Network
标题[问答] 租屋网路建置 by pfSense & ASUS RT-N18U
时间Sat Aug 30 11:39:59 2014
小弟正在建置租屋的无线网路
先叙述一下环境,屋龄大概有20~30年以上
当初拉线时没有让每个房间都有网路孔,因此我们决定是要用Wifi来让住户上网
由於房屋较老旧,中华电信没有FTTH,使用的是VDSL2数据机 (P874)
房屋坪数约80坪
由於房东自住在三楼
所以目前打算是将网路拉到三楼做统一控管
再分接到一二楼去
要拥有较高等级的Router一般价位较高,且功能及弹性不及软体路由器
所以想要找一台等级较低的老旧PC来建置pfSense
现在预计的架构如下图
网路来源 软体路由器 网路分接 无线网路 楼层 住户数
┌──┐ ┌────┐ ┌──┐ ┌────┐
│P874│ → │ pfSense│ → │ HUB│ ─┬→ │ RT-N18U│ → 3F _▂▅█ 6人
└──┘ └────┘ └──┘ │ └────┘
┌──┐ ↑ │ ┌────┐
│P874│ ────┘ ├→ │ RT-N18U│ → 2F-1 _▂▅█ 16人
└──┘ │ └────┘
│ ┌────┐
├→ │ RT-N18U│ → 2F-2 _▂▅█ 6人
│ └────┘
│ ┌────┐
└→ │ RT-N18U│ → 1F _▂▅█ 16人
└────┘
目前想法是买个双port的网卡放到PC内,把两台P874的100M接上
让pfSense去做双WAN的频宽弹性运用
同时做QOS、Session等等的控制,让房客有个比较好的上网环境
原本2F我是打算用一台RT-N18U就好,但实在是没办法cover全部
有房间因为隔了一道墙、另一间房间和走廊,在另外一端根本收不到
目前想到的解法有
a. 换天线
是看过有人提可以把原厂3dbi天线换掉
但不确定若换上10dbi的天线,房客有讯号後,是不是确切能使用网路
好像有无线设备无法打回讯号的问题?)
b. 买穿墙王 or 找dbi更高的无线分享器
问题点应该同1
c. 多装一台
目前觉得较可行的方式,但牵线就会是一个困扰
在HUB方面我目前还没有想法要买哪一台
主要诉求应该只要不热当,至少有4 port就好
再看板友是否有推荐
但以上都是我的理论...
在实际操作上
1. pfSense方面
目前遇到最大的问题
灌好了pfSense
但在设定上,将P874接出来的网路线插在网卡1 (WAN)
从pfSense接出来的网路线插到RT-N18上 (LAN)
从pfSense内,可以看到经P874分配的IP
也可以成功的ping到host
但是在同个网域下的其他台电脑无法ping到pfSense
理解应该是网路设定没有成功
在这个架构上是有什麽问题呢...?
2. RT-N18U方面
(1) 是否会需要刷韧体? 看网路许多人都刷Tomato的
有比较指标性的版本吗?
(2) RT-N18U是设定成单纯的Bridge吗?
(3) 对於几个需涵盖范围较小的
是否需要换成等级较没这麽高的无线分享器
或者根本不用用到这个等级的路由器,只要找天线讯号较强的就好?
(4) 这台在进阶功能也有双WAN的功能
只是不确定这种机器有没有办法直接吃下近50人的管理
可以的话我就不用研究pfSense了XD
3. PPPOE要做在哪?
目前是在P874内,是否有需要做在pfSense中
不确定有两个WAN时,pfSesne是否有办法各自去做PPPOE
4. Wifi密码要在哪边设置?
会有这个问题是因为考虑到在pfSense的部分,应该只是做网路的控管
但在Wifi密码部分,我的理解应该还是需要在RT-N18U去设定?
5. 网路控管
想到有三个方式
(1) 网路控管是要用帐密登入控制 (by user account)
(2) 还是用白名单 (by mac address)
(3) 藉由DHCP去指定分配的IP范围,针对该IP范围去设定rule (by IP)
但由於房东也住在该栋,是否可以将特定几个设备去排除这些rule限制
--
◤ ╭
● 大嫂 叫我胡子就好了 _(
▁)
▁
◤龙▃▄▅▄ 我会很有礼貌的 ( ﹎﹎ )
§ ● ● ╯ = = │
◣ ︶ ◣─ ◢
─ ◥◤) ψmroscar ╰斗╯
◢ |︸|
三明书局-你所不知道的关二哥 ◥
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 59.115.191.136
※ 文章网址: http://webptt.com/cn.aspx?n=bbs/Network/M.1409370009.A.857.html
1F:→ deadwood: 先确认你要作这些功能,老旧PC效能够不够吧.... 08/30 12:32
2F:→ deadwood: 另外同网段却ping不到,你可能要查一下arp有没有正确 08/30 12:40
3F:→ deadwood: 如果从pfSense ping得到PC,同一台PC却ping不到pfSense 08/30 12:42
4F:→ deadwood: 会不会是pfsense没有开起回应ping的功能? 08/30 12:43
架pfSense的设备为AMD 3200+、512mb DDR2、80GB HDD
文内可能没有叙述清楚 pfSense是只ping的到host
pfSense及同网域下的PC彼此互ping不到
在PC上用Angry IP scanner也看不到pfSense该IP
但pfSnese上设定DHCP时,确实被分配到P874下的IP
5F:→ deadwood: 先定义一下你的host是甚麽...localhost吗? 08/30 13:33
6F:→ deadwood: 如果我没猜错,你的pfSense只有一个从P874取得的IP 08/30 13:33
7F:→ deadwood: 那是你的WAN IP,那你的LAN IP呢? 你的PC从哪里取得IP? 08/30 13:34
8F:→ deadwood: 你的IP网段各是多少,你的架构看起来要由pfSense做闸道 08/30 13:35
9F:→ deadwood: 所以基本上会有两个网段,WAN网段没问题那就是LAN网段有 08/30 13:36
10F:→ deadwood: 设定错误了 08/30 13:36
11F:→ deadwood: 另外你的PC RAM大小有可能无法负荷到时候两条100M满载 08/30 13:39
12F:→ deadwood: 加上还要做某些控管,建议还是G以上比较好 08/30 13:41
host指的是P874没错 就是可以进去设定小乌龟的IP
WAN IP从P874取得
LAN IP是我设定另一个网段的IP
我刚刚已经成功让pfSense接出来的分享器有网路了
现在无论是打WAN IP或LAN IP都可以进pfSense
目前pfSense做闸道 打算无线分享器做bridge
这样应该可以达到由pfSense统一管理的目的..
13F:推 asdfghjklasd: 一点都不是很想回你,你用这种架构没挂才有鬼 08/30 15:44
小弟是新手 有什麽不合理的地方再指教一下
14F:推 chenghuan47: N18U全部设定为Bridge 确定IP是PFSense配的 08/30 17:26
15F:→ chenghuan47: 不知道楼上上说没挂才有鬼的意思是? 08/30 17:27
16F:→ chenghuan47: 抱歉 是楼上上上 08/30 17:27
17F:→ chenghuan47: 楼上上上上上 08/30 17:28
XDDD
18F:→ deadwood: 我也觉得这架构的隐忧不少.....先想想如果pfSense这麽强 08/30 21:16
19F:→ deadwood: 为什麽没有成为市场主流?功能多弹性高不代表好用 08/30 21:17
20F:→ deadwood: 纯软体的代价就是效能打折扣,这也是市面上router其实 08/30 21:18
21F:→ deadwood: 光看CPU、记忆体好像都满弱的,因为他们有专用晶片 08/30 21:18
22F:→ deadwood: 其他还有各个AP覆盖率重叠的问题、HUB流量问题等等.... 08/30 21:20
这样买个好点的路由器是必备的!? 我这样的人数价位大概需要多少
Vigor2925还行吗? 大概6K
23F:推 chenghuan47: 我自己学校无线闸道就是PFSense架的 是蛮好用的啦 08/30 22:07
24F:→ chenghuan47: 因为学校用无线网路的很多人 所以直接找台SERVER架了 08/30 22:07
25F:→ chenghuan47: 用了几个月是也蛮稳定的 但功能也没有说很多 08/30 22:08
26F:→ chenghuan47: 还要自己慢慢去找套件来装 08/30 22:08
27F:→ chenghuan47: 我也只有用到基本的NAT captive portal而已 08/30 22:09
28F:→ chenghuan47: 学校还有另外一台防火墙 功能上强PFSense太多了 08/30 22:10
29F:→ chenghuan47: 当初买好像十万多 功能很齐全 08/30 22:10
目前我的pfSense已经成功当Router使用了
只是还没开始以双WAN的方式运行
在开Traffic Shaper网路速度都还算正常
但在设定之後 整个网路速度掉到剩1/4...
还在看什麽问题
另外锁P2P的部分
看网路上文章似乎都只能对port来做
这样看起来好没效率...
不清楚瓶颈是不是在HUB上?
这样我要是买多port的网卡来做output是否会有改善
还是追根究柢就是我的无线AP数量太多!?
※ 编辑: GodPlayYou (59.115.191.136), 08/31/2014 09:54:33
30F:推 asdfghjklasd: 早就说有问题了 08/31 13:31
31F:→ asdfghjklasd: 1.你不是专业人员 , 2.你控制不了你要用的东西 08/31 13:32
32F:→ asdfghjklasd: 3.你不知道你用的设备可以做到什麽样成度 08/31 13:32
33F:→ asdfghjklasd: 4,出问题你只能bbs问,当你的房客能等你问好改好修好 08/31 13:32
34F:→ asdfghjklasd: 这种架构就是Fortiget 100D + FortiAP 就搞定了 08/31 13:33
35F:→ asdfghjklasd: 那来那麽多东西要用,Fortigate 可以 Dual WAN 08/31 13:33
36F:→ asdfghjklasd: 可以做UTM又能做Think AP 控制器,钱花一花就好了 08/31 13:34
37F:→ asdfghjklasd: 100D 嫌太大也可以只用60D , QOS 限 Sessoin 08/31 13:35
38F:→ asdfghjklasd: 限App 都做的到,你自己刻看你要刻到什麽时候 08/31 13:35
39F:→ asdfghjklasd: 你的信就在这里回了,不私回了 08/31 13:35
40F:推 littlecut: 推FORTIGATE XD 08/31 13:52
41F:推 asdfghjklasd: 另外我对职业房东没什麽好感 08/31 13:53
42F:→ deadwood: a大别这样啊,记得你说过fortiAP 用了会很想死XD 08/31 16:31
43F:推 asdfghjklasd: 是用了很想死,不过他的案子比较省钱的作法只能这样 08/31 16:39
44F:→ asdfghjklasd: 不然我会很想推FG-60D+POE SWITCH+RUCKUS or HP AP! 08/31 16:39
45F:→ asdfghjklasd: 最近POC 一个案子输了,,很不爽=.= 客户太机车了 08/31 16:40
46F:→ asdfghjklasd: 老是想买Cisco 的 08/31 16:40
47F:→ asdfghjklasd: 最近在打一个案子 11AC 的 AP 有200颗,打起来好爽啊 08/31 16:41
48F:推 shuinedu: Ruckus这个厂线还在吗? 之前要问网厂卖家都说停了... 08/31 16:44
49F:推 asdfghjklasd: 你问谁啊?目前还在啊,但是被夹杀啊.可以到MIS讨论 08/31 16:51
50F:推 shuinedu: 网路上面的网通卖家 所以後来我没买RUCKUS... (倒地 08/31 17:36
51F:推 asdfghjklasd: 你说的是刈包机吧... 08/31 17:40
52F:→ GodPlayYou: 我是房东就好了..友情帮忙一下 08/31 17:54
53F:→ deadwood: 既然不是房东,那更不要弄一个太需要花心力管理的环境 08/31 18:33
54F:→ deadwood: 不然到时候你光除错就累死了,除非有拿钱@@ 08/31 18:33
55F:推 shuinedu: 对对对 我本来要买的是刈包 结果说停了 Q___Q 08/31 18:42
56F:推 asdfghjklasd: 那是家用的=.= 08/31 18:45
57F:→ shuinedu: 唉唉 小公司嘛 刈包看能不能撑的过去咩... 08/31 18:47
58F:推 asdfghjklasd: 当然是不能啊~~ 08/31 18:50
59F:→ deadwood: 刈包确实是停产了吧,EOL是2013/12月底,不过EOS是2016 08/31 19:10
60F:→ deadwood: 也就是说现在买得到库存 08/31 19:12
61F:推 shuinedu: 没关系啦 後来我买N66U也还撑的过去 两台撑过半年多~ 08/31 21:05
62F:→ GodPlayYou: shuinedu的一台N66U大概是用在多少人的环境? 08/31 21:25
63F:推 shuinedu: 开会的高峰期是40个无线装置 机器没有热当或不正常过 08/31 21:27
64F:→ shuinedu: 预设的华硕轫体 没有另外刷第三方 08/31 21:27
65F:→ GodPlayYou: 是指开会期间大概会有40人? 还是单纯指开会中 08/31 21:31
66F:→ GodPlayYou: 假如是开会中的状况 感觉使用量应该不至於太大 08/31 21:31
67F:→ lordmi: 你会追问N66那就代表你思考方向错了 你既然都已经想到 08/31 21:45
68F:推 shuinedu: 开会期间有40个装置以上会连到AP 量大概也就几M 08/31 21:45
69F:→ shuinedu: 我比较考虑的是前端AP当掉了 後端流量我可以处理 08/31 21:46
70F:→ lordmi: 多用几个AP走thin AP了,又放N66这种FAT AP冲人数是开倒车 08/31 21:46
71F:→ shuinedu: 然後 N66U 我只开纯AP DHCP由Router这边处理 认证走AAA 08/31 21:47
72F:→ lordmi: @shuinedu 我觉得他的"控管"应该充其量只是QoS,应该是 08/31 21:50
73F:→ lordmi: 根本没考虑认证跟漫游等帐户问题... 08/31 21:50
74F:推 shuinedu: @lordmi 了解 抱歉切到您的推文 08/31 21:55
75F:→ GodPlayYou: 我目前是有看到pfSense可以藉由分发帐密去认证MAC 08/31 21:56
76F:推 lordmi: @shuinedu 我前面是在回原po啦XD 08/31 22:00
77F:→ lordmi: 给原po 我想asdfghjklasd说用fortigate 全都内建搞定对你 08/31 22:01
78F:→ lordmi: 是最合理的,有多少预算做多少事。 那些软路由是你已经有 08/31 22:02
79F:→ lordmi: Cisco等大厂设备运作良好,有闲做第二组的时候才这样玩的 08/31 22:03
80F:推 danny8376: 纯回d大 家用设备实在没啥特殊硬体加速之类的 09/01 02:25
81F:推 danny8376: 也就那内建无线&AP支援的ARM CPU(纯塞一起罢了) 09/01 02:27
82F:推 danny8376: 最多就高级点内建硬体加密 VPN速度能冲破天罢了 09/01 02:28
83F:推 danny8376: X86除了耗电量外跟本不会输家用AP 09/01 02:30
84F:→ deadwood: 所以我想推他买CISCO啊(逃 09/01 16:28
85F:→ danny8376: 家用拿CISCO来不会有啥差异啊 09/01 19:52
86F:→ danny8376: (不过爽度挺有差的? 09/01 19:53
87F:推 asdfghjklasd: 差很多,我现在在用AIR-1231AG-T-K9 09/01 20:31
88F:→ asdfghjklasd: 同样的房间跟距离,ASUS RT-N16 就是差很多 09/01 20:32
89F:推 littlecut: 家里用AIR-1231AG-T-K9 XDDDDDDDDDDDD 09/01 23:07
90F:推 a40136: 家用AP跟商用AP绝对差很多...我也是家用Aironet XD 09/02 01:25
91F:→ danny8376: 前面都在讨论管理/流量之类的 别突然把WIFI插进来比... 09/03 05:26
92F:→ HiJimmy: 开QOS变慢是你的效能不足,导致流量降低 09/03 18:20
93F:→ HiJimmy: 我之前是P3 1.1GHz RAM 1.5GB 跑内网 不开QOS 能到97Mbps 09/03 18:21
94F:→ HiJimmy: 开了之後剩50Mbps,不过对外只有20M所以还够用 09/03 18:22
95F:→ HiJimmy: 无线部分,用WZR-HP-G300NH 开成无线SWTICH 09/03 18:23
96F:→ HiJimmy: P2P满载也没事 不够後来升60M 就把QOS关掉 09/03 18:24
97F:→ HiJimmy: P2P开的时候,延迟就会变高 不过,只有Online Game 感觉 09/03 18:24
98F:→ HiJimmy: 得出来,除了,能耗之外,我是觉得PF还不错用 09/03 18:25