Совет, организация сети,какой выбрать роутер Mikrotik?

Question

[Rick]

Здравствуйте!Посоветуйте пожалуйста выбрать роутер, как я понимаю желательно Miktotik.
Суть вопроса:Контора 20 компов, преимущественно ноуты, оси win7,8,10.Только home и всего пару proffesional.Сеть одноранговая, нет AD.Ширина канала 20Mbts.Стоит роутер тплинк чуть лучше 841.На 3 антенны. Принтеры постоянно флудят в сети, 2 сетевых принтера,естественно сервера печати нет.Посоветуйте как лучше организовать сеть и какой выбрать роутер mikrotik.Можно с ссылкой, буду благодарен.
Нужно сделать и чтоб работало, попросили по дружбе организовать работу сети.
Задачи которые должен выполнять маршрутизатор:
-wi-fi подключать только разрешенным мак-адресам;
-обрезка канала для некоторых юзеров;
-интернет выдавать только нужным ip-адресам;
-возможность VPN соединения;
Железка нужна, чтобы один раз настроить и забыть.
Только вот опыта с Микротиком не было. Думаю разберусь.
Угавариваю заказчика на AD.
Может посоветуете ваше решение или мысли, буду очень благодарен.
Спасибо.

Answer 1

[Андрей Ермаченок]

-wi-fi подключать только разрешенным мак-адресам;

Железка нужна, чтобы один раз настроить и забыть.

Через месяц директор купит новый iPhone - и что? Придется снова всё вспоминать и достраивать.

2 сетевых принтера

20 компов, преимущественно ноуты

И эти ноуты печатают по WiFi? Какая специфика конторы? У меня бывают макеты по 1,5Г - по гигабитной сети - нормально, а вам такие задачи всю WiFi положат.
RB2011UAS-2HnD - тянет у нас до 20 клиентов с гостевым Инетом по WiFi, какнал 10Мбит, покрывает офис 400 кв.м. - гостям и гаджетам сотрудников.
Вся бизнес-сеть идет по проводам, и нет проблем. Доступ в Инет для корпоративной сети - через Керио.

Comments

[Андрей]

RB2011 слабоват, тут в идеале RB1100, ведь не забываем про VPN, а шифрование не слабо отъедает. Дело в том, что RB2011 - это тот же RB951, только у него 2 чипа коммутации, если мне не изменяет память, и, как следствие - больше портов.

[Rick]

Вы предлагаете ставить роутер такой: RB2011UAS-2HnD или такой RB1100. Подключать всех по шнурку и wi-fi скорость резать до 10Мбит?

[Андрей Ермаченок]

Rick: Да, роутер хоть RB2011UAS-2HnD или RB1100
Всех бизнес-клиентов - по проводу, принтера - по проводу.
А гаджеты - по WiFi к отдельной сети, где только Инет
И директора в виде исключения по WiFi к корпоративной сети

Answer 2

[Андрей]

Сначала бы привести в порядок существующую сеть, сотрудников уже не мало, пора бы AD завести. С Wi-Fi c фильтрацией по MAC-адресам не комильфо, говорю как человек, который этим пользовался. Я бы сначала сделал AD, а потом настроил EAP. Это безопаснее WPA2-PSK, легче обслуживать в плане добавления устройств. Уволили сотрудника? Ок. Выключили учетку, и он больше не логинится, и не надо удалять кучу MACов из ACL (а вдруг у него 3 телефона и 2 планшета, сначала нужно добавить, а потом еще и удалить).

Насчет VPN, тут тоже спасла бы AD. Прикрутить RADIUS, и можно настраивать SSTP, L2TP и PPTP (последнее лучше вообще не настраивать) с аутентификацией в RADIUS. Плюсы такие же как и от EAP.

PS: весь этот функционал вполне хорошо умеет любой Mikrotik, так как ОС там одинаковая на всех моделях (кроме CRS).

PSS: чисто из любопытства, это в какой конторе интернет раздают только "избранным"? Неужто где-то это до сих пор роскошь?

Comments

[Rick]

Если бы был нормальный роутер, то интернет можно было бы раздавать, а так много клиентов, которые по wi-fi печатают и сидят в иннете.Из этого следует, флуд в сети и его не отследить.....

[Андрей]

Rick: Извиняюсь, а какой флуд может быть от 20 пользователей? Что они такого делают, по Wi-Fi IPTV мультикастом смотрят, что зафлуживают сеть? Сомневаюсь. Ну торренты будут "дорогими" за счет количества соединений и нагрузки на процессор, но не более...

[Rick]

И AD не так просто завети,т.к преимущественно ОС-это home premium и home basic.Это я писал.На линух для них вообще не вариант переводить. А покупать лицухи не будут.Из этого получается нужнл организовать нормально работающую сеть. А из того,что есть сейчас принтеры отваливаются и пинг рвется...

[Андрей]

Rick: Забавно... Ну тогда берите RB1100 (хватит на вырост) и колхозьте его.

[nimbo]

останется вопрос как между RADIUS тика и AD связку замутить;)

[Андрей]

nimbo: так AD - это LDAP по сути, радиус умеет с ним работать.

[nimbo]

Андрей: что-то в первый раз такое слышу) ткнёте где можно об этом почитать? связка с MS IAS и MT в качестве RADIUS-клиента - знаю.

[Андрей]

Ну, вики говорит что AD - это от части реализация LDAP. Плюс, можно связать Freeradius с AD (но не через LDAP).
wiki.freeradius.org/guide/FreeRADIUS-Active-Direct...

Но не суть, так как у MS есть своя реализация RADIUS, и с ней MT должен нормально работать..

[Rick]

Андрей: Не понятно, но на сетевом принтере пинг рвется.И периодически отваливается....

[АртемЪ]

Андрей Интернет раздают избранным довольно часто.
Ибо интернет это пожиратель рабочего времени.
Если сотруднику для выполнения рабочих задач интернет не нужен, и отвлекает его, зачем его раздавать?

Answer 3

[Gregory]

routerboard.com/RB951G-2HnD
routerboard.com/RB2011UiAS-2HnD-IN
для ваших задач хватит с запасом:)

Answer 4

[Александр Романов]

Посмотрите в сторону этой модели. Во-первых, уже гигабитный свитч на всех портах, плюс возможность вертеть трафик как угодно.