התקנת שרת DNS לוקלי

פורום רשתות, IT ומחשוב כללי - רשתות, ראוטרים, מחשבים ניידים, אביזרים וכו'.
zork17 (פותח השרשור)
סמל אישי של משתמש
חבר פעיל במיוחד
חבר פעיל במיוחד
הודעות: 828
הצטרף: מרץ 2005
שם מלא: zork17
נתן תודות: 47 פעמים
קיבל תודות: 31 פעמים

התקנת שרת DNS לוקלי

נושא שלא נקרא #1 

אני רוצה להשתמש בכתובות קבועות בטלפון לגישה למחשבים ומצלמות בין אם אני נמצא בתוך הרשת הפנימית או מחוצה לה. אני לא רוצה מתוך הרשת שכדי להגיע למחשב אחר ברשת אז אצטרך לצאת החוצה ולהכנס שוב.

למשל הכתובת host1.mydomain.com:1000 תמופה פנימית למחשב 10.0.0.5:1000
ומחוץ לרשת הכתובת תמופה כמובן ע"י שרת DNS גלובלי לדומיין שלי ושם ע"י NAT לשרת המתאים.
הבנתי שכדי לעשות את זה אני צריך להתקין שרת DNS פנימי.
אני רוצה שהשרת הזה יטפל רק במספר מצומצם של כתובות פנימיות וששאר החיפושים יעשו מול שרת גלובלי.

מישהו מכיר מה הדרך הכי פשוטה להתקנה על Win 10 או Raspberry PI?
שיהיה פשוט להתקנה והגדרה.

urisavor
סמל אישי של משתמש
חבר פעיל במיוחד
חבר פעיל במיוחד
הודעות: 908
הצטרף: ספטמבר 2009
מיקום: רחובות
נתן תודות: 46 פעמים
קיבל תודות: 54 פעמים

נושא שלא נקרא #2 

נמחק

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #3 

למה שאתה צריך יש מספר של פתרונות, חלק יותר טובים ומתאימים וחלק פחות. התקנה של שרת DNS בתוך הרשת הפנימית לצורך זה, הוא בין הכי לא מתאימים והתקנה אחד כזה על גבי ה Raspberry PI ובטח שעל גבי Windows 10, שזה כלל לא פלטפורמה של שרת, אלה אפשרויות הכי לא טובות של לצורך כך.
טוב אתחיל מהפתרון הפשוט, הטוב המאובטח ומתאים ביותר. מדובר על שימוש בשרת VPN בתוך הרשת הפנימית, שעליו מתחבר כל התקן שירצה להגיע למצלמות אבטחה. כך התחברות למצלמות מתבצעת בערוץ VPN מוצפן ומאובטח, כי לפתוח את הפורטים של NVR לכיוון האינטרנט, זה דבר הכי מסוכן שניתן לעשות. בנוסף בחיבור בתוך ערוץ VPN גם תמיד מתחברים לכתובת של הרשת הפנימית של ה NVR ואין הבדל, אם זה חיבור מבחוץ, דרך VPN או מתוך הרשת הפנימית.
אופצייה הרבה פחות טובה ומאוד לא מאובטחת, היא חיבור ללא שרת VPN , אלה דרך הפניית פורטים פנימה ושימוש של מנגנון של NAT LOOPBACK של הנתב. כך גם מבחוץ וגם מבפנים מתחברים לכתובת FQDN חיצונית ואם החיבור הוא מהרשת הפנימית, מנגנון NAT LOOPBACK משאיר את הלקוח בתוך הרשת הפנימית ומפנה אותו לכתובת מקומית נדרשת.

ואחרי הרבה אופציות אחרות ושלבים שדילגדי עליהם, יש את הפתרון הכי גרוע, מסובך, מסורבל ומסוכן, הוא כמובן, שימוש בשרת DNS פנימי ייעודי. כאן למשל יש גם כמה אפשרויות למימוש שלו. אפשרות אחת, די בזבזנית במשאבים, היא שימוש במחשב ייעודי לצורך כך ואופציה טובה יותר זה שימוש באחת מתוך המכונות הוירטואליות הרבות שעל גבי שרת מארח ( דבר שנוח למי שיש לו כבר שרת וירטואליזצייה חזק וכבר משמש לצרכים אחרים או מתוכנן לשמש אותן בהמשך ). מבצעים את זה למשל על גבי ESXI או על גבי Hyper-V של Microsoft .בתור המערכת ההפעלה של המכונה הוירטואלית ניתן או לרכוש את שרת 2019 של Microsoft, שגם כולל את שרת DNS או להשתמש בהפצה מתאימה וחינמית של Linux ובשרת BIND כשרת DNS , שגם הוא חינמי לגמרי.

בכל מקרה, אם משתמשים בכל זאת ב Raspberry PI , שזו חלופה הכי גרוע, אז יש את המדריכים הפשוטים אלה לצורך כך:
https://www.ionos.com/digitalguide/serv ... ns-server/
https://domoticproject.com/configuring- ... pberry-pi/
ואם רוצים ממשק וובי אחרי זה לניהול של שרת DNS, אז יש את fmDNS לצורך כך. המדריך זה למשל מסביר עליו בפשטות:
http://www.facilemanager.com/modules/fmdns/#description

eran405
אחראי תחום רשתות
אחראי תחום רשתות
הודעות: 3388
הצטרף: פברואר 2012
נתן תודות: 380 פעמים
קיבל תודות: 790 פעמים

Re: התקנת שרת DNS לוקלי

נושא שלא נקרא #4 

@zork17
·

אני לא בטוח לגבי windows 10, אבל ב-rasberry pi אתה יכול להתקין או pi-hole אם אתה רוצה גם לחסום פירסמות או dnsmasq לדוגמא לפי ההוראות כאן אם אתה לא מעוניין לחסום פירסומות.

אם אתה בוחר ללכת על dnsmasq, אני יכול לתת קצת הכוונה לגבי הקונפיגורציה שלו כי אני משתמש בו בנתב שלי:

השורות הרלוונטיות שהוספתי שינית בקובץ /etc/dnsmasq.conf (לשימוש כ-DNS בלבד):

קוד: בחירת הכל

cache-size=1000
server=8.8.8.8
server=8.8.4.4
server=1.1.1.1
server=1.0.0.1
bogus-priv
domain-needed
address=/somehost.somedomain.com/1.2.3.4
address=/otherhost.otherdomain.com/5.6.7.8
no-resolv
כאשר ה-4 שורות של ה-server מגדירים את שרתי ה-DNS שהוא פונה אליהם upstream (במקרה הזה גם השרתים של google וגם של cloudfare; ממה שאני מכיר הוא פונה לפי איזה לוגיקה פנימית שלו לאחד "אקראי" או אולי לכמה במקביל, אל תניח שהוא פונה אליהם בסדר כשלהו).
שורת ה-address מגדירות הפניות ידניות שאתה רוצה ששם מסויים יתורגם לכתובת מסויימת (הפניה לפורט מסויים לא עוברת דרך ה-DNS ולכן אין אופציה בשום שרת DNS להפנות רק פורט מסויים). אתה יכול להוסיף כמה שורות כאלה שאתה צריך (אם אתה משתמש ב-pi גם כשרת DHCP במקרה הפשוט לא יהיה לך שום שורה כזאת - ראה המשך).
שאר השורות (cache-size, bogus-priv, domain-needed, no-resolv), מוסברות בלינק שהבאתי לעיל או בצורה יותר מפורטות בתיעוד של dnsmasq:
http://www.thekelleys.org.uk/dnsmasq/do ... q-man.html

בנוסף, dnsmasq יכול לשמש גם כשרת DHCP ולדעתי זה מאד מומלץ. היתרון הגדול של זה הוא שיש לך במקום אחד מרוכז את כל הכתובות הקבועות שה-DHCP מחלק וה-DNS משתמש באותו מידע בשביל לפרש את השמות שאתה מגדיר שם לכתובות המספריות המתאימות. בנוסף סביר להניח ש-dnsmasq שרת DHCP יותר טוב וגמיש ממה שזמין בראוטר שלך (או אם יש לך ראוטר מתקדם אז אתה יכול פשוט להריץ dnsmasq עליו).

הנה דוגמא לקונפיגורציה כשרת DHCP (בהשראת הקונפיגורציה שלי והדוגמא שהבאת בפוסט הראשי):

קוד: בחירת הכל

dhcp-range=10.0.0.100,10.0.0.199,255.255.255.0,86400
domain=mydomain.com,10.0.0.0/24,local
dhcp-option=option:domain-name,mydomain.com
dhcp-option=option:router,10.0.0.1
dhcp-option=option:dns-server,10.0.0.2

# Static Reservations
dhcp-host=11:22:33:44:55:66,10.0.0.5
host-record=host1.mydomain.com,10.0.0.5,86400
dhcp-host=77:88:99:aa:bb:cc,10.0.0.6
host-record=host2.mydomain.com,10.0.0.6,86400
כאשר ה-dhcp-range מגדיר חלוקת כתובות דינמית בטווח האמור עם תוקף של 24 שעות (86400 שניות).
השורות השניה והשלישית מגדירות את ה-domain של הרשת שה-DHCP מחלק וגורמות למחשבים שמקבלים כתובת מה-DHCP לקבל אוטומטית את ה-domain הזה (מעשית זה אומר שפניה ממחשב מקומי ל-host1 תהיה שקולה לפניה ל-host1.mydomain.com).
השורות הרביעית והחמישית מגדירות את ה-gateway ואת שרת ה-DNS בהתאמה וצריך לכוון אותם לכתובות של הראוטר הראשי ושל ה-PI בהתאמה.
שורות ה-dhcp-host ו-host-record מגדירות כתובות קבועות לפי כתובת mac כולל השם ששרת ה-DNS יפרש אוטומטית (כלומר זה מספיק בשביל ששרת ה-DNS יפרש את host1 או host1.mydomain.com ל-10.0.0.5 ואין צורך להוסיף זאת גם כשורת address). תוסיף צמד שורות כאלה לכל מכשיר שאתה צריך להגדיר לו כתובת קבועה.

מן הסתם אם אתה בוחר להשתמש ב-pi כשרת DHCP אתה צריך לכבות שרת ה-DHCP בראוטר.

eran405
אחראי תחום רשתות
אחראי תחום רשתות
הודעות: 3388
הצטרף: פברואר 2012
נתן תודות: 380 פעמים
קיבל תודות: 790 פעמים

Re: התקנת שרת DNS לוקלי

נושא שלא נקרא #5 

zork17 כתב:אני לא רוצה מתוך הרשת שכדי להגיע למחשב אחר ברשת אז אצטרך לצאת החוצה ולהכנס שוב.
...
דרך אגב אם זו כל הסיבה לכל הסיפור הזה, אז יש סיכוי שהראוטר שלך תומך ב-hairpinning ואז אתה יכול פשוט להשתמש בכתובות האינטרנט של המכשירים גם מהרשת הפנימית. בכל מקרה אני לא חושב שזה יוצא החוצה וחוזר, אבל אתה יכול לעשות trace בשביל להיות בטוח.

zork17 (פותח השרשור)
סמל אישי של משתמש
חבר פעיל במיוחד
חבר פעיל במיוחד
הודעות: 828
הצטרף: מרץ 2005
שם מלא: zork17
נתן תודות: 47 פעמים
קיבל תודות: 31 פעמים

נושא שלא נקרא #6 

@sys_admin
תודה על התשובה המפורטת.
אני מבין את הבעיתיות שאתה מדבר עליה בהתקנת שרת DNS פנימית עם צורת העובדה שדיברתי עליה.
השאלה אם מה שאתה מציע מתאים למישהו שהוא לא מומחה?

לא הבנתי את מה שאתה מציע מבחינת שרת VPN.
הראוטר שלי מכיל גם שרת VPN לדעתי.
בכל מקרה נגיד שהתקנתי עליו או הפעלתי שרת כזה.
- איך נראה הURL מבפנים ומבחוץ שאני ניגש אליו? האם הו אנראה ככה host1.mydomain.com:1000 מכל אפליקציה שלא תיהיה?
- איך זה עובד בפועל? מבפנים ומבחוץ?
- האם זה אומר שכל התעבורה הפנימית החוצה עוברת דרך ה VPN הזה? אני מבין שהתעבורה מבחוץ פנימה עוברת דרכו וזה הגיוני כי היא נמוכה יותר וכך גם בטוחה יותר. לא?

@eran405
תודה על התשובות המפורטות.
אני לא בטוח שהראוטר שלי תומך ב Hairpin/NAT Loopback. לדעתי לא.
אם כן אז כנראה שאשתמש בזה. גם ככה המצלמות מסין וכנראה מי שממש רוצה לראות את החצר שלי מסין - יכול :)

אם הראוטר לא תומך וה VPN יסתבר כגדול עלי, אז אצטרך להתקין DNS על ה PI.
ראיתי בכל מני מקומות שמזהירים מ BIND כי הקונפיגורציה מורכבת וצריך להגיר ZONES וכו'.
אם אני לא צריך שום פונקציונאליות נוספת כמו חסימת פרסומות, אז האם dnsmasq הוא פשוט להגדרה ושימוש?

eran405
אחראי תחום רשתות
אחראי תחום רשתות
הודעות: 3388
הצטרף: פברואר 2012
נתן תודות: 380 פעמים
קיבל תודות: 790 פעמים

נושא שלא נקרא #7 

zork17 כתב:אם אני לא צריך שום פונקציונאליות נוספת כמו חסימת פרסומות, אז האם dnsmasq הוא פשוט להגדרה ושימוש?
...
אני מקווה שבהתאם למה שכתבת בכותרת של השירשור אתה פשוט רוצה שרת DNS לוקאלי, כזה שבגדול פשוט מפנה בקשות לשרתי DNS ה-upstream, עם שני יתרונות:
א. הוא עושה caching מקומי שעוזר לביצועים.
ב. אתה יכול להגדיר הפניות מקומיות (כמו לדוגמא DNS מקומי למכשיר). הפניות אילו יעבדו כמובן רק מתוך הרשת המקומית, ובקונפיגורציה נכונה גם בחיבור VPN אל הרשת המקומית. אם יש צורך ב-DNS מה"אינטרנט" לכיוון הרשת הביתית זה משהו אחר.

במקרה כזה לדעתי dnsmasq פשוט יחסית להגדיר. פירטתי לעיל אז אתה יכול להתרשם בעצמך.

בנוסף שם לב שתלוי איזה ראוטר יש לך, מאד יתכן שעדיף לך להתקין VPN על ציוד אחר, לדוגמא על pi או על מחשב שדולק 24/7 (תחפש בגוגל יש מלא פתרונות VPN כמעט לכל פלטפורמה).

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #8 

@zork17
·
למישהו שהוא לא מומחה, התקנה של שרת DNS והפניה של פורטים פתוחים בצורה לא מבוקרת הרבה יותר מסוכנת מבחינת היבט של אבטחת מידע ומבחינת הסיכוי לבעיות בתוך הרשת הפנימית שלו. אם מדובר על קצת משחקים וניסיונות ברשת ביתית שאין בא כל חומר חשוב שיכול לזלוג החוצה או ללכת לאיבוד, אז אין שום בעיה לעשות את הניסיונות האלה, אבל, אן מדובר על יותר מזה, אז זה כבר לא יעלה על הדעת ודורש לדעת בדיוק את מה שעושים ומה ההשלכות של כל דבר.

מה שאני כן מציע, ( שימוש בערוץ VPN מוצפן לתוך הרשת הפנימית ), זה דבר שמשתמשים בו ביום יום כבר מתחילת שנות התשעים ואחרי שנת אלפיים, עם הכניסה של פרוטוקול OpenVPN , זה גם הרבה יותר פשוט, חינמי, כי גם הלקוח לא מצריך את רכישת רישיון וגם השרת, ויותר מזה, ההגדרה של שרת OpenVPN במערכות חינמיות רבות, כמו pfSene , כמו OPNsense ורבים אחרים נעשית בפשטות וממשק וובי גראפי נוח וגם במערכות כמו OpenWRT לשימוש ביתי, זה נעשה בצורה פשוטה בממשק CLI קל.

אם הראוטר שלך מכיל את שרת של OpenVPN , אז אין שום בעיה ואתה יכול להגדיר בו את השרת זה, לקבוע את טווח כתובות לשימוש הלקוחות של VPN, ליצור מספר לקוחות עם סרטיפיקטים נדרשים, ליצור ניתובים רצויים בין סגמנט רשת של VPN לרשת LAN שלך, ליצור כללים נדרשים ב FireWall של הנתב ולהתחיל להתקין את לקוחות OpenVPN על מה שאתה רוצה, אם זה על מכשירי Android , אם זה על מכשירי IOS או אם זה מחשבים ניידים עם Windows כלשהו.
ברגע שלקוח כזה מתחבר לשרת VPN ( דבר שמתבצע בעזרת לחיצה אחת בכל מכשיר, אחרי שהוא הוגדר פעם ראשונה ), מכשיר זה כבר נגיש לרשת LAN שלך, בצורה מאובטחת והוא יכול לגשת לכל משאב של רשת זו שאפשרת לו בכללי FW שיצרת לפני זה. כך שלקוח זה ניגש למצלמות אלה לכתובת 10.0.0.5:1000 למשל, בדיוק כפי שהוא עושה את זה כאשר הוא מחובר מקומי. אני רק מאוד מקווה שאתה לא באמת משתמש בכתובות מהתחום של 10.0.0.0/24 או כאלה כמו 192.168.0.0/24 וכו' שיוצרים התנגשות עם כל הכתובות דיפולתיות שמוגדרות בציוד ביתי.

בקשר לתעבורה. אתה יכול להגדיר שלקוח VPN מסוים מגיע רק לרשת הפנימית שלך דרך ערוץ VPN זה ולאינטרנט הוא עובר דרך חיבור רגיל שהוא מחובר, כך נוצר פחות עומס על הקו שלך. ומצד שני אתה יכול להגדיר שלקוח VPN אחר מגיעה גם לרשת פנימית שלך דרך אותו ערוץ VPN וגם דרכו מגיע לאינטרנט. למשל, אם אתה נמצא ברשת ציבורית לא מאובטחת ורוצה להשתמש בשירותים הבנקאים שלך או שאתה נמצא בחו''ל ורוצה להגיע לאתרים שחסומים מחו''ל וכו', אז אתה בעצם יוצא לאינטרנט מתוך החיבור לאינטרנט שיש לנתב שלך.
למשל אני בכל מקום מתחבר לשרת VPN שלי לצורך חיוג דרך מרכזייה שלי, כך גם במקומות שחוסמים את האפשרות של שיחות אין בשבילי בעיה וגם לא ניתן ליירט את השיחות שלי.
כל זה בפשטות ועל רגל אחת על המושגי VPN ושימוש בהם. צירפתי גם צילומי מסך סטטוס השרת והלקוח.

zork17 (פותח השרשור)
סמל אישי של משתמש
חבר פעיל במיוחד
חבר פעיל במיוחד
הודעות: 828
הצטרף: מרץ 2005
שם מלא: zork17
נתן תודות: 47 פעמים
קיבל תודות: 31 פעמים

נושא שלא נקרא #9 

@sys_admin
כמו שחשבתי, הגדרת שרת VPN וכל המסביב של זה, זה לא כזה פשוט.
היה לי מחשב שהריץ PFSENSE והוא הלך. RIP.
הזמנתי UDM PRO. נראה כשיגיע כמה מורכב זה הגדרות ה VPN שם כי זה נשמע כמו משהו טוב בכל מקרה ובמקביל אנסה להתקין את ה DNS הלוקלי.

eran405
אחראי תחום רשתות
אחראי תחום רשתות
הודעות: 3388
הצטרף: פברואר 2012
נתן תודות: 380 פעמים
קיבל תודות: 790 פעמים

נושא שלא נקרא #10 

zork17 כתב: הזמנתי UDM PRO. נראה כשיגיע כמה מורכב זה הגדרות ה VPN שם כי זה נשמע כמו משהו טוב בכל מקרה ובמקביל אנסה להתקין את ה DNS הלוקלי.
...
לא הייתי מחכה ל-UDM בשביל VPN (אלא אם מדובר על site-to-site VPN, כי את זה למיטב הבנתי יש תמיכה). במקום זאת תבדוק את האופציה להתקין משהו כמו openVPN או אולי wireguard או על ה-Pi או על מחשב שדולק 24/7. יש מלא מדריכים בגוגל לשלל פתרונות VPN על כמעט כל פלטפורמה שתרצה.

אפרט גם למה "לא הייתי מחכה ל-UDM בשביל VPN":

מהמעט שקראתי על ה-UDM האופציות בו אפילו יותר מוגבלות מבסדרת ה-unifi הרגילה (ראה לדוגמא כאן ואת הקישור שיש שם) + כנראה שעדיין יש לו חבלי לידה.

למיטב הבנתי במקרה הטוב יהיה בשלב כלשהו תמיכה ב-L2TP כמו שיש בצורה מובנת ונוחה ב-edgerouter. אישית התחלתי מ-L2TP אבל נתקלתי בכמה חסרונות איתו ועל אף שזה דרש קצת מאמצים אני מריץ IKEv2:
https://www.hometheater.co.il/vp2871016#2871016
למיטב הבנתי לא תוכל להריץ דבר כזה על ה-UDM, גם אחרי שכל חבלי הלידה שלו יעברו.

כאשר פתרונות כמו openVPN ואולי wiregaurd עדיפים גם על IKEv2, שכאמור עדיף על L2TP, שאפילו ל-L2TP למיטב הבנתי אין כרגע תמיכה ב-UDM....

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #11 

zork17 כתב:@sys_admin
כמו שחשבתי, הגדרת שרת VPN וכל המסביב של זה, זה לא כזה פשוט.
היה לי מחשב שהריץ PFSENSE והוא הלך. RIP.
הזמנתי UDM PRO. נראה כשיגיע כמה מורכב זה הגדרות ה VPN שם כי זה נשמע כמו משהו טוב בכל מקרה ובמקביל אנסה להתקין את ה DNS הלוקלי.
...
·
UDP PRO , זה מוצר מאוד בעיתי מכל הבחינות. גם החומרה שלו מאוד חלשה וגם התוכנה שלו הוא מוגבלת ביותר, גם בעיתית מבחינת היציבות הכללית שלה, גם מבוססת על מודולי תוכנה ישנים ביותר שידועים כמלאים בבעיות אבטחה שנמצאו בהם כבר לפני שנים וכמובן שהתמיכה סבירה בשירות VPN תקין פשוט לא קיימת בו, זה גם ברור, כי שרת OpenVPN דורש חומרה מתאימה לצורה הצפנה של הערוץ. ובהקשר זה גם כל הפניות שנשלחות ליצרן ממש לא הזיזו לו. הנה רק כמה מהפוסטים בהקשר זה רק מהחודש האחרון באתר היצרן:

We need better VPN options on the UDM Pro. There was at least a workaround to get OpenVPN to work on my USG4 Pro but it appears that is no longer an option. Please enable more useful VPN server options on this device. OpenVPN would be prefered
https://community.ui.com/questions/UDM- ... a38?page=1
https://community.ui.com/questions/UDM- ... c363f81708
ויש כמובן מספר רב של Tickets פתוחים אצל היצרן בהקשרים אלה ואחרים, כמו שהמכשיר פשוט קופא פתאום ומספסיק לתפקד, שהיצרן כלל לא מתכוון לטפל בהם.
UDM Pro frozen two times within 24 hours
https://community.ui.com/questions/UDM- ... 7cf5e9762f
UDM Pro Firewall rule modification causes whole network to freeze
https://community.ui.com/questions/UDM- ... 85b?page=1
אופצייה נוספת שיש לך, מבלי לרכוש שום דבר חדש או עד שתרכוש מערכת ניתוב אמתית, היא להתקין את OpenWRT על גבי ה raspberry pi , אם יש לך כבר. ומערכת OpenWRT כבר כוללת בתוכה את שרת OpenVPN שניתן להשתמש בו. כמובן ש raspberry pi לא יתן לך את הביצועים ואת הגמישות או הנוחות של מערכת X64 עם pfSense, אבל זה יותר טוב מכלום:
https://openwrt.org/toh/raspberry_pi_fo ... spberry_pi

zork17 (פותח השרשור)
סמל אישי של משתמש
חבר פעיל במיוחד
חבר פעיל במיוחד
הודעות: 828
הצטרף: מרץ 2005
שם מלא: zork17
נתן תודות: 47 פעמים
קיבל תודות: 31 פעמים

נושא שלא נקרא #12 

@eran405
עד היום לא השתמשתי ב VPN כך שגם אם אשתמש הדרישות שלי מבחינת מהירות הן ממש זניחות.זה לא שיש כמות של משתמשים שעובדים מבחוץ. למעשה אין כמעט כלום בתוך הרשת. כל הקבצים שלנו הם ב FILE STREAM של גוגל.

אגב, אני רואה שכן יש תמיכה כרגע ב L2TP:
https://www.eva.nmccann.net/blog/unifi-dream-machine-review
זו ביקורת על הדגם הפשוט יותר.
האם ה L2TP הזה לא יספיק בשביל שאוכל להכנס למצלמות מהאייפון פעם בכמה ימים בצורה מאובטחת מבחוץ ובמקביל לאותו קישור גם מבפנים?

zork17 (פותח השרשור)
סמל אישי של משתמש
חבר פעיל במיוחד
חבר פעיל במיוחד
הודעות: 828
הצטרף: מרץ 2005
שם מלא: zork17
נתן תודות: 47 פעמים
קיבל תודות: 31 פעמים

נושא שלא נקרא #13 

@sys_admin
ניסיתי PFSENSE וכאמור המחשב שעלה יותר מה UDM PRO כנראה הלך.
עשה לופים בעליה כל הזמן ועכשיו לא עולה בכלל.
ב UDM PRO יש תמיכה מעולה וקהילה זמינה בטרוף.
אין לי את הידע לעבוד עם PFSENSE לבד. וגם בתשלום לא הצלחתי למצוא אנשי תמיכה.
ננסה את ה UDM PRO ונראה...
אני מאד מרוצה מה 6 AP שיש לי שלהם וממערכת השליטה. מאד נוח.
יכול להיות שה UDM לא כולל כל אופציה מורכבת שקיימת אבל אני לא צריך את זה.

לגבי OPENWRT - שוב זה נראה כמו פתרון מאד מורכב שמתאים לאנשים שממש מבינים בזה.
הבעיה בכל ההמלצות האלו שגם אי אפשר למצוא אנשי תמיכה בתשלום לזה.
אם אתה מחפש למשל תמיכה בראוטר של סיסקו או צ'קפוינט אז תמצא המון עסקים במחירים סבירים שיבואו ויתקינו הכל.
אבל כשחיפשתי תמיכה והתקנה ל PFSENSE לא מצאתי. חיפשתי ב XPLACE למשל אבל כל מי שהזכיר שם PFSENSE (ולא היו הרבה) ידע דברים מאד בסיסיים.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #14 

@zork17
·
טוב, מה שקשור לסיסקו ולצ'ק פוינט, בגלל שאני גם משתמש הרבה במוצרים כאלה בפרויקטים שאני מנהל, אז אני יכול להעיד שמוצרים שלהם שיהיו מקבילים בביצועים ובאפשרויות של מערכת X64 עם pfSense או עם OPNsense , יהיו יקרים פי עשרות וגם כמובן לניהול יהיו מורכבים ביותר והם מתאימים לדרישות אחרות לגמרי, כמו למשל צורך בעמידה בתקינה ISO או במדיניות הארגונית כלשהיו ואילוץ הכי חשוב של שימוש בסיסקו למשל, הוא שילוב במערכת שו''ב קיימת בארגון, דבר שכנראה לא קיים אצלך ואתה לא צריך את זה.
ובקשר לאותם אלה ניתן למצאו מהם "למשל תמיכה בראוטר של סיסקו או צ'קפוינט אז תמצא המון עסקים במחירים סבירים שיבואו ויתקינו הכל", זה יהיו לרוב ילדים שעבדו במוקד תמיכה של ספק אינטרנט או שעבו איזה קורס, כמו CCNA וכל מה שהם יכולים לעשות, זה לעשות העתק הדבק לקבצי קונפיגורצייה מוכנים מבלי להבין מה הם עושים, אבל ברגע שאתה מבקש מהם דבר מוגדר, אז כל מה שהם יכולים להגיד, זה בידיוק את המשפט היחיד שלימדו אותם בקורס של ISP, וזה התשובה הסטנדרטית ללקוח, והיא, ש.... אנו לא תומכים בזה. יוצא לי מדי פעם לבחון את המועמדים אלה שעבדו בחברות שנותנות שירות לעסקי SMB ותמיד אחרי הסימולצייה הראשונה בסביבת פיתוח, הם כבר מבינים לבד, שאת מה שהם עסקו עד עכשיו זה לא קשור לידע ברשתות בכלל ולא בסיסקו בפרט ושאין להם שום ידע ממשי בתחומים אלה.

מצד שני, אם אתה באמת צריך את אנשי מקצוע אמתיים ל CISCO למשל, אז המחיר שלהם יהיה לא פחות ממה שלוקח איש מקצוע שיודע להקים ולתחזק את pfSense . רק שלמחיר זה מתווסף גם המחיר של ציוד של סיסקו, שהוא "טיפה" שונה מהמחיר של pfSense .

בקשר ל UDM PRO , לא רק שהיא לא כוללת את האפשרויות מינימליות נדרשות לצורך של רשת ביתית בת זמנינו או של רשת SOHO , אז גם בדברים המינימליים הקיימים במכשיר המצב הוא בכי רע. למשל רק כמה מהפוסטים של אתר היצן בהקשר זה ורק מהחודש האחרון:
UDM PRO release is a disaster
https://community.ui.com/questions/UDM- ... 7561fdb705
UDM Pro (the Dream Machine Pro) a machine nightmares are made of
https://community.ui.com/questions/UDM- ... 6c923b81bf

zork17 (פותח השרשור)
סמל אישי של משתמש
חבר פעיל במיוחד
חבר פעיל במיוחד
הודעות: 828
הצטרף: מרץ 2005
שם מלא: zork17
נתן תודות: 47 פעמים
קיבל תודות: 31 פעמים

נושא שלא נקרא #15 

@sys_admin
זה לא פעם ראשונה שאנחנו מגיעים לאותו דיון.
מי שרוצה להתקין מערכת כמו שאני צריך, שהיא לא הכי בסיסית ובייתית אבל לא מורכבת מאוד עם גישה ל 2 wan ואולי vlans (שכרגע אין לי) ואולי vpn פשוט עם חוקי פיירוול פשוטים אז יש הרבה עסקים שיודעים להקים את זה על ציודים רגילים שאני קורא להם סיסקו אבל זה יכול להיות tplink וכד׳. הם יכולים לעשות את זה אפילו מרחוק עם התערבות ראשונית קטנה שלי.

הבעיה במערכות האלו שאתם ממליצים עליהן שאין להן תמיכה ושרות וממש קשה למצוא מישהו שיודע להתקין ולקנפג את זה. ניסיתי את זה עם pfsense ולא מצאתי בעלי מקצוע שיודעים להגדיר 2 wan ולא להתקין כל מני תוספים של cache ופיירוול וכד׳.
לי אין זמן להשקיע בלימוד של זה למרות שזה מעניין אותי.
זה מתאים למומחים כמוכם.
לדעתי זה כמו שאומרים למישהו ששואל כמה עולה רולס רויס - אם אתה שואל אז לא בשבילך.
ככה גם עם pfsense, bind, openwrt וכד׳. מי ששואל, זה לא בשבילו.
זה מורכב מאד עם המון אופציות ויש עקומת לימוד מאד גדולה. והכי חשוב אין תמיכה ושרות זמינים במחירים סבירים.
לכן הלכתי לכיוון של יוביקוויטי. אני מקווה שזה ייתן לי מענה. אם לא אז אני באמת לא יודע מה לעשות ואולי אצטרך לשלם הרבה יותר לספק אינטרנט כלשהו שייתן מכשיר ושרות + ריטיינר שרות למישהו שאצטרך אותו רק פעם בשלוש שנים.
מצב על הפנים.
אני מניח שהמצב דומה בכל מה שקשור למחשבים אבל בזה אני לפחות מבין מעולה.
בכל מקרה תודה על העזרה שלכם. היא באמת ברמה מאד גבוהה אבל אני חושב שצריך לסייג אותה ולא להמליץ לכל אחד.

שלח תגובה

חזור אל “רשתות, אינטרנט ו- Fiber”