Идеальная домашняя сеть или «сам себе злобный перфекционист»


    Мудрость Бертрама Гилфойла
    «Соник Уолл Соник Пойнт Эй-Си-И» вместе с «Ти-Зи 600» — самый передовой фаерволл, встроенная защита от атак, дешифратор SSL, анализатор управления приложениями и фильтрация контента.

    Динеш, единственная польза от твоих жалких и вульгарных телодвижений в постели с кибертеррористкой, это то, что я наконец-то занялся нашей защитой.

    Как говорит технический директор Qrator Labs Артём ximaera Гавриченков, DDoS-mitigation начинается там, где заканчиваются силы и время одного хорошего системного администратора.

    В день системного администратора, который в Qrator Labs считают профессиональным праздником даже больше, чем день программиста, мы задумались — о чём таком можно было б рассказать на Хабре, с чем точно сталкивался каждый?..

    Решение было найдено быстро, ведь есть такое место, где каждый человек может побыть системным администратором в любой удобный, а порой и неудачно-вынужденный, момент времени — дома.

    Домашние сети — это объект гордости и особого, крайне тщательного, планирования. Если на работе мы часто хотим «побыстрее и подешевле», то дома не может быть никаких компромиссов — только самое лучшее и надежное.

    Составив список из 10 вопросов, мы попросили всех коллег, потративших время хотя бы чуть большее, чем то, что требуется на распаковку роутера из коробки, отозваться и поделиться собственными историями. Насколько интересно получилось — судить вам. Мы также попросили ответить на вопросы системного администратора Хабрахабра Вадима Pas Рыбалко и сотрудника бара «Get Jerry» Александра Shoohurt Савицкого.

    В комментариях мы предлагаем каждому желающему ответить на те же самые 10 вопросов — посмотрим, насколько тщательно вы относитесь к работе домашней сети, и есть ли что-то, отличающее её от сети соседа.

    Внимание! Мнение сотрудников компании может не совпадать с корпоративной позицией руководства компании.

    1. Сколько устройств в вашей домашней сети?


    Сергей Ткачук, Qrator: 8: Десктоп, ноутбук, три смартфона, портативные консоли. Иногда добавляется электронная книга.

    Алексей Старков, Qrator: Около 5.

    Илья forefinger Урвачев, Qrator: Общее кол-во: 18. Из них: носимые устройства (6): 4 телефона, 2 планшета носимые ноутбуки: 2; стационарный ноутбук: 1; мультимедиа: 2 SmartTV + 1 видеорегистратор (домашнее видеонаблюдение); сетевые устройства: 2 mikroTik-a (wifi + switch); периферия: 1 сетевое МФУ + 1 телефон (a510 ip). Серверная группировка(2): border router (intel d510), multipurpose server (xeon E3-1230) — оба gentoo linux.

    Андрей serenheit Лескин, Qrator: Где живу сейчас, и куда еще не все свои железки перевез, около 10.

    Дмитрий Шемонаев, Qrator: Пока их 8: межсетевой экран Juniper SRX100H, точка доступа TP-Link, сервер Fujitsu, сервер Supermicro, коммутатор D-Link DES-3200, проба RIPE Atlas, ноутбук, iPhone.

    Сергей Куценко, Qrator: ~8-10.

    Алексей Березин, Qrator: Пять — роутер, десктоп (win10), MB Air, iPhone 5, китайский смартфон-андроид.

    Вадим Рыбалко, Хабрахабр: В целом, плюс-минус постоянно два-три, иногда четыре ноутбука, где-то столько же смартфонов, несколько планшетов, AppleTV, потенциально сетевые медиаплееры либо игровая консоль. Это не считая «специализированных устройств». Плюс-минус обычная история.

    Александр Савицкий, Get Jerry: В моей домашней сети около 25 устройств, из которых примерно 20 подключены постоянно.

    2. Помимо полноценных десктопов и ноутбуков — какая периферия наличествует (NAS, «умные» устройства — именно подключаемая техника)?


    Сергей Ткачук: Консоли и дополнительное ПО на роутере (Entware). В качестве NAS пока использую десктоп.

    Алексей Старков: В роутере есть USB для подключения накопителей, но я им не пользуюсь.

    Андрей Лескин: Там, где я живу сейчас — 2. Весы с аплоадом в облако и Chromecast, PlayStation, PS Vita.
    Там, где я жил раньше: Все то же самое, за исключением того, что добавляется домашняя файлопомойка, где кино\сериалы\музыка\сторадж для облачного файлохранения и чего только фантазия не пожелает, подключенная напрямую к телеку.
    Наконец, на даче, где была возможность продумать всё и сразу: Меньше периферии, но есть Raspberry Pi, который выступает температурным демоном и если что, верещит в почту, если в доме стало сильно холодно.

    Дмитрий Шемонаев: Такого пока нет, но если появится телевизор, то он обязательно будет с Ethernet.

    Сергей Куценко: Телефоны + роутер выступает в роли NAS+torrent, chromeCast.

    Алексей Березин: Никакой. Не ощущаю в ней какой-то необходимости. Интернеты в
    телевизоре — это что-то странное.

    Вадим Рыбалко: Один двухдисковый NAS, один мини-сервер на базе тонкого клиента (по сути, полноценный компьютер), беспроводной принтер. Потенциально, пара IP-камер. Устройства «умного дома» что-то пока внимание сильно не привлекают, в силу на сегодняшний день тотальной кривости и взаимной несовместимости.

    Александр Савицкий: В этот пул, помимо ноутбуков и смартфонов, входят несколько телевизоров, NAS, пара игровых консолей, пара телеприставок Apple TV и МФУ — ничего специфического.

    3. Что для вас важно в ключе создания домашней сети, каковы основные требования?


    Сергей Ткачук: Стабильность работы, надёжность канала (в плане потерь), полоса. Домашнюю идиллию слегка подгаживает сетевая карта Intel 7260 на ноутбуке, дико теряющая пакеты при использовании канала в 40MHz.

    Алексей Старков: Удобство подключения из разных комнат, т.е. покрытие. Самих устройств малое количество, интенсивность низка, поэтому настройка не очень критична.

    Илья Урвачев: Стабильный wifi, который не надо перезагружать и/или мучаться, а только настроить и забыть, возможность иметь минимальный latency в местах где может быть установлен ПК (игры, да), мультимедиа никогда не должно заикаться и фризиться, возможность подключения удаленных «офисов» (родительская квартира, дача), сделать самому и как для себя любимого (теперь нет /(d|tp)link/-ков).

    Андрей Лескин: Чтобы работало и не тупило, кино можно было посмотреть с любого устройства в любом месте (иногда проблемы с FullHD и воздухом), особенно при зашумленном эфире.

    Дмитрий Шемонаев: Для меня важна возможность сегментировать сеть, поэтому дома есть 3 vlan: HOME, MANAGEMENT, LAB. В состав HOME входят домашний ноутбук, айфон и пробник атласа. В MANAGEMENT входят все интерфейсы управления (свитч, IPMI, интерфейсы управления виртуальными роутерами). В LAB всякое остальное.

    Сергей Куценко: 5ГГц диапазон wi-fi an/ac; WPA2; QOS; upnp.

    Алексей Березин: Производительность, простота, стабильность работы. KISS же!

    Вадим Рыбалко: Производительность беспроводного сегмента не так важна, как надёжность, ибо в многоквартирном доме много интерференций. Важно покрытие беспроводной сетью без «слепых зон», наличие более-менее стабильного доступа в интернет.

    Александр Савицкий: Ввиду довольно большого количества устройств при создании домашней сети главным требованием для меня была способность роутера обслуживать весь этот зоопарк. Второе требование — возможность работы в сети беспроводных устройств на всей территории дома без потери качества сигнала. Третье — масштабируемость.

    4. Каковы номинальные (тариф оператора) и реальные параметры подключения (скриншот измерителя скорости типа speedtest)?


    Сергей Ткачук: Тариф оператора — 100M, по факту скорость не особо отличается:


    Алексей Старков: Номинальный 100 Мбит/с, реально:


    Илья Урвачев: 100Mbps FD — меня устраивает (если не ошибаюсь — этот тест на wifi запускался).

    Андрей Лескин: Там, где я сейчас: Боль и страдание. ADSL 20/2 с отключением в полночь, speedtest показывает это же.
    Там, где я был до этого: 100/100 полноценный. Если цепляться проводом к роутеру то достигало нужных значений. По воздуху — не всегда.
    На даче: У всех по-разному, интернет обеспечивается свистками от мобильных операторов, зависит от погоды\уровня сигнала\удаленности вышки.

    Дмитрий Шемонаев: 50 мегабит от Билайна и статический IP адрес. Скорость скорее соответствует тарифу.

    Сергей Куценко: Безлимитный тариф от 50Мбит.

    Алексей Березин: Скриншотов не будет, тариф 100МБит анлим. Работает на 100МБит анлим. Все хорошо, такой скорости хватает, оператор (2КОМ) ломается нечасто, стоит недорого.

    Вадим Рыбалко: Тариф ISP 50 Мбит/с в обе стороны плюс статический публичный адрес. Реальные измерения более-менее совпадают с заявленными.

    Александр Савицкий: Мой тариф подразумевает 100-мегабитное подключение, и надо отметить, что провайдер чаще всего честно отдает мне ровно сотню. Конечно, иногда, во время пиковой нагрузки, скорость может падать до 70-75% от номинальной, но это не проблема.

    5. Что в вашем окружении с забитостью частот и как вы решаете данную проблему на уровне организации Wi-Fi сети?


    Сергей Ткачук: В зоне 5GHz всё идеально — никого поблизости нет. В 2.4 чуть похуже, но 6-ой канал на удивление чист. С установкой роутера особо не заморачивался — лежит под «рабочим» столом, сигнала в 80% мощности антенны хватает на всю квартиру.

    Алексей Старков: Прибавляю мощность. На самом деле в дальних от роутера комнатах довольно плохо, а так время от времени переключаю канал на посвободнее. Ловится около десятка разных сетей.

    Илья Урвачев: Тут прям удивительный момент возникает — вокруг огромное количество сетей, но только в общем коридоре, внутри же — видны только своя и соседскую сеть. Думаю, основная причина заключается в том, что дом — монолитный и стены и перекрытия хорошо справляются с экранированием.

    Андрей Лескин: Эфир на 2 ГГц забит до отказа везде, поэтому двойная AP на 2,4 и 5 ГГц. 5 ГГц эфир свободный совсем. А на даче помимо меня интернет есть только у соседа.

    Дмитрий Шемонаев: Все плохо, поэтому ноутбук подключен проводом.

    Сергей Куценко: *опа. ~ 40 точек доступа в видимости wi-fi; после неудачных попыток смены каналов в диапазоне 2.4 перетаскиваю все девайсы в 5ГГц диапазон.

    Алексей Березин: Как и в любом многоквартирном доме из картона (панельный дом) — с утилизацией частот все плохо. В основном благодаря сидорам из рт/мгтс, ставящих бабушкам на замену телевизора и телефона новомодную цифру в виде GPON, который внезапно оказывается с включенным вай-фаем и и свистит на 200 метров вокруг. По делу — не использую диапазон 2.4ГГц совсем. 5ГГц гораздо быстрее затухает с расстоянием от источника и хуже проникает через препятствия типа стен, больше каналов в эфире — можно подобрать пустой достаточной ширины. В этом диапазоне все еще можно получить устойчивую связность на модном нынче 802.11ac. Дальше, подозреваю, и в 5ГГц будет набег дэбилов с выкрученной мощой передатчиков «шоб в моей ласточке во дворе был инторнет».

    Вадим Рыбалко: Диапазон 2.4 ГГц утилизирован достаточно сильно, особенно вечерами. Надеятся на него не стоит. Диапазон 5 ГГц практически пуст, этим и пользуемся.

    Александр Савицкий: В моем окружении частоты забиты неравномерно и не очень сильно: вокруг меня примерно 6-7 соседских точек Wi-Fi и все они скучкованы вокруг частот, устанавливаемых роутерами по умолчанию. 5-гигагерцевый диапазон ожидаемо практически не используется.

    6. Опишите «сетап домашний»: используемые устройства, особенности настройки LAN/WAN


    Сергей Ткачук: Провайдер работает с PPPoE по FTTB, от коммутатора провайдера до роутера в квартире идёт двупарная медь. На самом роутере всё скучно: DHCP с плоской адресацией (с привязкой по MAC для «своих» девайсов — все остальные получают адреса из пула «в конце» домашней /24), Dynamic DNS, иногда IPv6-туннель от Hurricane Electric.

    Алексей Старков: Сетап из коробки. Роутер через pppoe связан с циской провайдера в коридоре, от него идет WiFi, конфигурация через DHCP.

    Илья Урвачев: Провайдер -> d510 -> MTik switch — ядро сети, а дальше собираем в свич wifi-ap и всё остальное. Особенностей каких-то специфических пожалуй что и нету, всё есть в манах и на stackoverflow.

    Тут можно было бы рассказать много боли про l2tp (и kernel support patches), но слава богу beeline от него отказывается.

    Тут можно было бы рассказать много боли про всякие dlink/tp-link (конкретно те экземпляры что достались мне) которые не могут жить без регулярных ребутов или «выходят» из сети если вдруг ктото решит что-то большое скачать по локальной wifi, но теперь есть MirkoTik который этим не страдает.

    Тут можно было бы написать что писать правила для iptables с NAT'он — трудно, но трудно это делается по большому счету только первый раз.

    Андрей Лескин: Два ноутбука, два телефона, пара планшетов, +- железки на поизучать, chromecast, консоли. Стараюсь сделать максимально просто все: 192.168.X.0/24 с DHCP. В отдельных случаях делается static IP для конкретных железок.

    Дмитрий Шемонаев: В МСЭ приходит провод от провайдера, к нему же подключен коммутатор, куда подключены все остальные устройства.

    Сергей Куценко: Провайдерский роутер: 2-х диапазонный wi-fi/ac по проводу к нему подключен другой роутер (используется как NAS+torrent), все остальные девайсы подключены по wifi предпочтительно к 5ГГц.

    Включен upnp для проброса портов torrent; настроен QOS приоритизируя http трафик; иногда повышая приоритет для определенных mac-адресов; иногда включаю фильтр по mac; к роутеру подключен стационарный телефон по проводу; по LAN подключена TV-приставка.

    Алексей Березин: Про WAN — провайдер почти адекват. Лочит по MAC, но хоть чистый белый DHCP, без всякого PPP-жупела.

    С LAN немного интереснее. До недавнего времени в качестве роутера был какой-то простецкий TP-Link — поэтому и LAN был прост. Плоская адресация на все устройства, проброс порта для RDP, применение DynDNS от no-ip.com.
    Теперь, после замены роутера на Mikrotik hAP ac, появилась возможность сегментирования сети (деление по vlan для провода/беспровода, выделение виртуалочек, живущих на стационарном компе, в отдельный vlan — все со своей адресацией). Плюшки про DynDNS и и проброс портов остались. Это пока только начало, дальше буду делать всякие разные приколы с авторизациями (в основном — беспровод, EAP/TLS, не-openvpn точка входа в домашнюю сеть, возможно поддержка IPv6, баловство c VRF etc).

    Вадим Рыбалко: Так как основная сфера работы — возня с Цисками и серверами, коробки а-ля «всё в одном» не совсем устраивали. В первую очередь из-за того, что нужно было роутер размещать в географическом центре квартиры. Пробовал несколько, ни одна не удовлетворила потребности и практически со всеми были нарекания к стабильности работы. В предыдущем сетапе был маршрутизатор Cisco 871 и несколько точек доступа 3COM, но они морально устарели по характеристикам производительности (но не по функционалу). В актуальном сетапе я обратил внимание на серию Unifi от Ubuquiti — это оказалось практически идеально для меня. Центром является управляемый 8-портовый (на самом деле портов 10) коммутатор Unifi. Он имеет PoE почти по всем портам. К нему подключены маршрутизатор USG, две точки доступа стандарта AC и всё остальное сетевое железо. К нему же подключён контроллер Unifi в виде небольшого устройства Unifi Cloud Key. Всё, что может питаться по PoE, питается по PoE. На балконе планируется установить уличную точку доступа с небольшой секторальной антенной для покрытия сетью части парка, где планируется проводить много времени. Но это больше fun. Открывать её для гостей не планируется в свете последних законодательных инициатив.

    Александр Савицкий: Моя домашняя сеть устроена довольно просто: поскольку в дом заходит не витая пара, а оптический кабель, на входе установлен конвертер, за ним — маршрутизатор, к нему подключен неуправляемый свитч (для нескольких проводных устройств) и точка доступа Wi-Fi. К ней, помимо всех беспроводных устройств, прицеплен рипитер, к которому подключено одно проводное устройство.

    Каких-то специфических настроен не делал: и маршрутизатор, и точка Wi-Fi работают на настройках, мало отличающихся от базовых.

    7. Какое количество провайдеров обеспечивают доступность из вашей домашней сети, если более одного. Зачем?


    Сергей Ткачук: Полтора. В случае войны или отключения электричества достаю смартфон с Yota и раздаю интернет с него на ноутбук.

    Алексей Старков: Один.

    Илья Урвачев: 2,5 провайдера: beeline (основной) + net-by-net (резерв, почти не используется и не оплачивается) + постоянно меня дергает МГТС со своим gpon — может быть додергают когда-нибудь.

    Андрей Лескин: Там, где я сейчас — один единственный. На даче: основные мобильные операторы с интернетом. 3 штуки, что ли. Меняются по мере необходимости. Yota режет VPN, нужно подключать другой. У Beeline лимит трафика, но хорошая полоса. Megafon полоса похуже, лимитов побольше. В зависимости от потребности выбирается инструмент. Последнее время используется только билайн.

    Дмитрий Шемонаев: Пока один, есть резерв в виде раздачи интернета через телефон.

    Сергей Куценко: Один провайдер, в случае отключения использую Yota.

    Алексей Березин: Базовый — один. Всегда есть emergency в виде интернета от ОпСоС'а.

    Вадим Рыбалко: Один провайдер. Практически ни один домашний роутер не может организовать нормальный dual WAN (хотя многие имеют такую возможность). Редко когда отваливается «последняя миля», иногда просадки где-то на сети оператора или его стыках. Если не будет интернета некоторое время — не катастрофа, если чего, можно принудительно переключить трафик на LTE-маршрутизатор.

    Александр Савицкий: Я пользуюсь услугами одного провайдера, хватает с лихвой.

    8. Безопасность — каковы ваши основные подходы к защите устройств от компрометации или несанкционированного доступа?


    Сергей Ткачук: Iptables, свежее ПО, разумные настройки софта. На ноутбуке и телефоне всё шифруется, а на десктопе важной информации нет — это машина для развлечений.

    Алексей Старков: Апдейты прошивки, доступ по ssh к роутеру закрыт со стороны интернета, WPA2 для WiFi, в общем то и все.

    Илья Урвачев: Со стороны провайдеров и интернетов: border с нормальным linux + iptables. Со стороны wifi: wpa2 без wps, отдельная гостевая сеть с wpa2, отдельная гостевая-гостевая сеть для соседей. Для внутренних устройств: только ipv4 и только NAT сами внутренние устройства win: только пользовательские учетки, урезанные права и прочее угнетение сами внутренние устройства: в интернет ходить могут только те устройства, которым туда надо (например принтеру или видеорегистратору в интернете делать нечего).

    Андрей Лескин: Шифрованный диск, потереть ключи через 2 часа неиспользования.
    — Setup FileVault2;
    — Disable Fast User Switching (REVERT IT);
    — Setup Firmware Password;
    — sudo pmset -a destroyfvkeyonstandby 1;
    — sudo pmset -a standbydelay 3600;
    + encrypted backups.

    Дмитрий Шемонаев: На МСЭ снаружи открыт только ssh на сам роутер. Внешние соединения на внешний IP сбрасываются.

    Сергей Куценко: WPA2 / шифрованные разделы на дисках для критичных данных.

    Алексей Березин: Как у ГД. Закрыть и не пущать. Лучшая защита от компрометации — лишение возможности компрометации. Ну то есть как минимум надо обламывать все неинициированное изнутри. Ну и слава РКН и МНУ — не позволяют ходить на компрометированные URL.

    Вадим Рыбалко: Снаружи всё прикрыто, кроме проброшенного порта SSH на сервер. Есть uPNP, открывающий порты приложениям, здесь удобство победило паранойю. Изнутри в интернет можно ходить без ограничений, на беспроводной сети WPA2-PSK с AES. На Unifi Cloud Key и NAS можно попасть из вне при помощи фирменных облачных сервисов.

    Александр Савицкий: Я ограничивал доступ к админкам маршрутизатора и точки доступа не только сложным паролем, но и белым списком. Сама сеть Wi-Fi разделена на две: основную, доступ к которой есть только у белого списка, и гостевую с авторизацией по паролю.

    9. Физическая инфраструктура: сверлили ли дырки, прятали ли провода под плинтуса и т.д. Насколько далеко вы готовы зайти в вопросе организации домашней сети: кинуть провод или затеять ремонт? Необходима аргументация.


    Сергей Ткачук: Живу в съёмной квартире, поэтому мой максимум — прятать кабель в плинтус, что я и сделал. Теперь видно лишь два кусочка кабеля — от точки ввода в квартиру (на уровне щиколотки) вниз до плинтуса, и от плинтуса до роутера (спрятал за корпусом десктопа, поэтому его не видно).
    Когда появится своя квартира — буду очень долго городить свою идеальную схему.

    Алексей Старков: Смешная история — ремонтники завели в квартиру 3 параллельных кабеля, по одному в каждую комнату, естественно три порта в циске никто не собирался мне давать. Розетки специальные есть везде, но работает только одна — в ней роутер. К ремонту не готов, думаю повесить роутер на улице. Аргументация — ремонт только закончили, а стабильная сеть нужна мне только на работе, остально время могу потерпеть.

    Илья Урвачев: Коротко — уже. Длиннее:
    0) Никаких полумер — только хардкор;
    1) Варианты типа валяющейся витой пары или запихивание её под плинтус — неприемлемы от слова совсем;
    2) Квартира недавно пережила второй за 3 года капитальный ремонт (отдельная тема для разговора — как без бюджета самостоятельно сделать капитальный ремонт) — при каждом из них для конечных стационарных устройств (ПК/ТВ/etc) провода укладывалить в гофре в стены, вводы провайдеров передвигались;
    3) Ядро сети (сервера и роутеры) разполагаются специально для этого созданной антресоли — goo.gl/photos/WbdvqrnkYeaRtW2U8, к слову — вот так делалась электрика goo.gl/photos/Z9mTV1AZTrGUiGFT7 (на двушку);
    4) Обеспечения устройств на балконе (smartTV и может быть еще что-то) — прокидывать на балкон витую пару.

    Андрей Лескин: Там, где я живу сейчас съемная квартира, живем без этого. Там, где я жил раньше также была съемная квартира, приходилось для NAS откопать старый роутер, который работал в режиме «беспроводной сетевой карты». То есть от NAS к нему провод, далее по воздуху до основной точки входа. А на даче на этапе прокладки электричества при строительстве также развел в каждую комнату по сетевой розетке. В мыслях сделать роуминг-сеть.

    Дмитрий Шемонаев: По этому поводу не заморачивался пока, но если инфраструктура будет расти, то скорее всего она переедет в какое-то маленькое отдельное помещение, чтобы не шумела.

    Сергей Куценко: Всё что не жрет полосу подключается по wifi, по проводу по возможности близко к роутеру. Исключение только TV приставка к которой по плинтусу протянута витая пара в другую комнату.

    Алексей Березин: Живу на съемной квартире. Можно усверлиться, но лень и как-то незачем. Все в плинтусах, где можно. В своей ква (если появится когда-то) будет ремонт с учетом слаботочки — люблю порядок таки.

    Вадим Рыбалко: В текущем сетапе сеть собрана в шкафу (временное жильё и делать много дырок не стоит). В новой квартире на стадии ремонта скрытно проложено много сетевого кабеля с запасом, для точек доступа подведён Ethernet к выводам потолочных люстр в двух помещениях. Узел связи располагается в коридоре под потолком на отдельной полке.

    Александр Савицкий: Да, при организации домашней сети пришлось просверлить пару дырок и проложить кабели по коробам. Но поскольку большинство устройств в сети — беспроводные, проблема с проводами решилась малой кровью. Впрочем, если бы мне пришлось раскидывать кабели по всему жилищу, я бы сделал это при помощи оставленных еще на стадии строительства закладных в стенах и внешних коробов, так как все-таки хочется, чтобы провода не портили интерьер.

    10. Чем отличается ваша домашней сеть от домашней сети соседа и почему она лучше?


    Сергей Ткачук: Тем, что роутер настроен чуточку умнее, чем у соседа, а кабель аккуратно спрятан. Кроме того, роутер основан на крутом чипе и умеет Entware — меня есть «задел на будущее», если вдруг обзаведусь каналом шире, чем 100M, да и могу крутить почти любой линуксовый софт (сейчас на нём живёт личный сайт).

    Алексей Старков: У меня специальные розетки в стенах, ну. А так не сильно лучше, сделано по принципу «достал из коробки — работает — не трогай».

    Илья Урвачев:
    — Мало кто будет дома использовать роутер x86_64 (ну да atom) на linux и упарываться всякими l2tp и засовываением его в ядро (так как лопатить трафик userspace — накладно и бессмысленно) (отдельный пример beeline);
    — Мало кто будет дома делать закрытую гостевую сеть + wifi-hotspot для соседей;
    — Мало кто будет дружить torrent + dlna + smarttv и обмазывать это автоматизацией;
    — Мало кто будет будет ставить на балкон отдельную точку доступа (витая пара есть);
    — Мало кто будет заморачиваться дома с asterisk;
    — Мало кто будет обмазывать motion (который motion-project.github.io) своим web-gui (и пожалуй никто не будет его делать на html+js+nginx+ssi и чуточку на bash);
    — Мало кто будет делать самостоятельно multiroom-multimedia (правда и я тоже бросил не закончив);
    — Мало кто будет запиливать zabbix;
    — Мало кто будет локальный gentoo mirror;
    — Мало кто будет объяснять samsung мфу что надо сканы в папочки по датам на smb шаре раскладывать;
    — Мало кто будет брать под торренты/файлохранилища/etc только WD-Black, а я, попробовав — настоятельно рекомендую.

    Андрей Лескин: Там, где я сейчас все берут провайдерские железки, которые практически всегда Китай, который не очень хорошо работает. Выбираю адекватные железки под задачи. Очень полюбил микротики, но они не умеют в ADSL, поэтому пришлось взять Asus (в стоковой прошивке уныл, но есть прошивка энтузиастов, Tomato и прочее). Tomato даже когда-то патчил, когда к старому роутеру подключал терабайтный хард.
    Там, где я жил раньше Mikrotik! Они сложнее в освоении, но, единожды настроив (понимая, что к чему), кладешь их на полку на года и забываешь. Он просто работает.
    На даче я — Д'Артаньян.

    Дмитрий Шемонаев: Я к соседям не заглядывал, поэтому не знаю.

    Сергей Куценко: Не думаю что есть какие-то особенные отличия.

    Алексей Березин: Как только вломлюсь к соседу — узнаю. Это будет второй вопрос
    после «Какого хрена куришь на горшке какое-то говно?!».

    Вадим Рыбалко: Наличием 5 ГГц — к счастью, попсовые роутеры не вещают в этом диапазоне (хотя с приходом в массы AC всё может измениться). При этом с точки зрения масштабируемости топология сети больше походит на сеть небольшого предприятия, чем домашнюю. Лучше охват беспроводной сети за счёт нескольких точек прямо по центру помещений под потолком.

    Александр Савицкий: Моя домашняя сеть отличается от соседских тем, что в моей обслуживается в разы больше устройств, причем это обеспечивается не одним беспроводным роутером, а связкой «маршрутизатор+свитч+точка WiFi». Трудно сказать, чем она лучше, но точно знаю, что уровень безопасности соседских сетей значительно ниже моей.

    Всех причастных — с праздником! Если у вас есть непростая история создания и администрирования домашней сети, занимающая отдельное место в вашем сердце — поделитесь ею в комментариях.
    Qrator Labs
    150.63
    DDoS Attacks Mitigation & Continuous Availability
    Share post

    Comments 32

      0
      Андрей Лескин: Там, где я сейчас — один единственный. На даче: основные мобильные операторы с интернетом. 3 штуки, что ли. Меняются по мере необходимости. Yota режет VPN, нужно подключать другой. У Beeline лимит трафика, но хорошая полоса. Megafon полоса похуже, лимитов побольше. В зависимости от потребности выбирается инструмент. Последнее время используется только билайн.


      Здравствуйте! Увидели Вашу статью и хотели бы немного уточнить ситуацию. Мы не «режем» VPN и каких-то сложностей с доступом к подобным сервисам возникать не должно. Также необходимо понимать, что скорость VPN во многом зависит от самого сервиса VPN и не всегда качество таких сервисов может гарантировать хорошую скорость. Мы готовы подробно во всем разбираться и если, все же, возникают какие-то сложности со скоростью, то мы всегда готовы помочь нашим пользователям, насколько это возможно.
        +1

        Сколько людей — столько и мнений. Мне правда казалось что вопросы L2TP в userspace и нехватка устройств на 5ГГц диапазон уже несколько устарели.

          +1
          Скажу про L2TP — да, вопрос устарел, но память-то о нём осталась.
          +4
          Андрей Лескин: Шифрованный диск, потереть ключи через 2 часа неиспользования


          Параноик…
            +1
            А вдруг свет отключат?
              0
              Свет отключат — кто потрёт ключи?
                0
                Упало у тебя устройство на котором диск — он не опрашивается. Не можешь физически подойти в течении двух часов, прощай данные. Да и вряд ли кому-то потребуются данные с диска чтобы красть его
              0

              А оптика для дома все еще не вариант. Все еще не вариант даже для системных инженеров.


              Грусть-печаль-уныние.


              Я наблюдал за развитием домашней сети 10Mbit -> 100Mbit -> 1Gbit. На котором все и застопорилось. Похоже, что в дома 10GbE первым прийдет от мобильных операторов. При то, что 10GbE уже даже в юсб появится.

                0
                Смысла особого нет
                10G нужно на довольно специфических задачах. Либо у вас есть генерация контента в 1G+(несжатое 4К-видео по сети?), либо вы копируете с SSD на SSD.
                100Mb->1G переход был осмысленнен в том плане, что любой диск с диким запасом перекрывал скорость 100Mb и эффект был заметен при обращении по сети практически к любому ресурсу, и точно так же, большинству дисков достаточно второго (строго говоря, конечно, большинство современных дисков может перекрыть 1Gb, но не столь значительно, чтобы в это упираться)
                А ценник — в силу отсутствия домашнего рынка пока кусается.
                Я в последний апгрейд рассматривал вариант перехода на 10G, но так и не придумал, зачем мне он за те деньги, которые для него нужны.
                На самом деле в домашних сетях и на 1G переход-то еще не состоялся по большому счету. На рынке полным полно 100Mb-устройств. И они успешно находят своего покупателя.
                  0
                  640K ought to be enough for anybody


                  С учётом появления дисков с родным интерфейсом Ethernet вместо SAS/SATA вангую, что в течение 5-10 лет хранение и генерация даже тяжёлого игрового контента могла бы переместится в ЦОД. И бум сервисов типа PlayKey.

                  Как раз нелогично держать генерацию (десктопы, консоли) дома, на уровне доступа. Недостаточное развитие ШПД препятствующий фактор. Наличие Ethernet 100G как бы намекает…
                    0
                    Мы же вроде про домашние сети?
                    В сервисах типа PlayKey latency куда важнее bandwith, а с этим пока большая проблема. Особенно на удалении от дефолтсити. Даже в MMORPG пинг бывает заметным и я помню истории, как игроки переезжали поближе к серверам blizzard в момент выхода обновлений WoW, а уж в более динамичных action/shooter…
                    И если уж на то пошло, ШПД на минуточку и 1G-то еще не выбрал ни разу. Тарифы 100Mb+ для галочки конечно держат все, но потребителей на это немного (по той же причине отсутствия задач). А 1G у домашних провайдеров я если честно вообще не упомню.
                    Диски с Ethernet уже существуют около 5 лет и оказались редкостной шнягой как ни удивительно. Низкая скорость, ни рейда, ничего… Когда выбирал NAS, смотрел в том числе на эти диски — так и не понял, зачем их сделали. На данный момент диски с USB3.0 куда адекватнее, но посмотрим, может что и вырастет, хотя я в это не верю.
                      0
                      Дома у вас ноги дают запредельную скорость — проще перейти от одного устройства к другому. Я считаю, что толчком может быть именно развитие ШПД и вынос генерации контента из квартиры в облако. Опять же ценник на SOHO 10G держится по тому, что и в большом сегменте он не низок. Если бы все опросы пошли на 40/100G, глядишь и на 10 прайс упал бы
                        0

                        Вот это интересная информация.


                        В кои-то веки жадность инфраструктуры победила маркетинг.

                          0
                          1G дома стал дешев, потому что 10G разошелся в верхнем сегменте
                          1) опсосы перешли на 10G
                          2) процы смогли обеспечить обработку достаточной скорости, чтобы в DC LAN потребовались решения на 10G

                          Сейчас по пункту 2 стимулом явлется развитие SSD, NVMe и параллельные вычисления на GPU
                            0

                            И за это спасибо.


                            Я себе домой хочу 10Ж, тоже потому что NVMe не влазит в гигабит. Ну и потому что 4к@60 — но это уже не аргумент для серверов.

                              0
                              Если поискать, то можно найти карточку 10G за 69 USD в период распродаж
                              www.anandtech.com/tag/10g-ethernet

                              Из коммутаторов SOHO можно посмотреть на ASUS XG-U2008 и Ubiquiti EdgeSwitch 16 XG из железок посерьёзнее, но в бюджете.

                              Ubiquiti EdgeSwitch 16 XG
                +1
                Что вы собрались гонять по 10G? У меня LAN полностью гигабитная, чтобы хватало скорости на общение с NAS'ом. Быстрее смысла нет — диски работают на сопоставимой скорости.
                  0

                  Постановка вопроса "какая задача нагружает канал" — изначально неверная. Это на заводе можно планировать равно одно предназначение для каждого элемента (будь то кабель, розетка иил сверло).


                  Другой пример — заводить в квартиру електричество кабелями 10 ампер (цифра взята с потолка) потому что максимально потребление (бойлер) помещаяется в 10 ампер. Вместо подсчета сумарного потребления.


                  Дома хочется, чтобы одновременно ребенок смотрел ютюб, жена сливала фотки на нас, а ты передавал видео со стим машины на телек в другой комнате.


                  Разговоры про жесткие диски — такое. На всех ноутах стоит ссд, а не на сате.

                    0
                    Дома хочется, чтобы одновременно ребенок смотрел ютюб, жена сливала фотки на нас, а ты передавал видео со стим машины на телек в другой комнате.

                    И в какой из задач вам нужно 10G?
                    Ютуб? Так наверняка входящий канал провайдера ограничен 100Мб. Редко, кто умеет больше. И еще реже, кто заказывает больше
                    Слив фоток на nas? У вас унутре SSD стоит, чтобы лить туда в 10G? У вас в насе 10G порт? Если да, я вам искренне завидую, правда. У меня синолоджи из неплохой линейки и его потолок — aggregation link на гигабитных портах, который я завести так и не сумел.
                    Видео на телек. Ну всё тот же вопрос, у вас оба устройства поддерживают 10G, чтобы понадобилось строить домашнюю сетку исходя из этой потребности?
                    Смотрите, я не против 10G. Как писал — я присматривался к нему. И скорее всего когда обзаведусь собственным домом, все-таки «опорную» сеть проведу именно на нем. Но сейчас для него нет задач. Он очень дорогой для дома, а значит почти наверняка все устройства, которыми вы пользуетесь не будут его поддерживать. И зачем тогда? А пока обе стороны конкретной задачи (онлайн-игры, видеопоток, nas,...) не будут поддерживать его — он будет бессмысленнен.
                    Возможен, еще один тонкий момент, который я пока пропускал. Сейчас полно устройств, у которых заявлено 1G на коробке, и которые пыхтя, с трудом, но справляются с одним гигабитным потоком и уверенно откидывают лапки при попытке прокачать хотя бы два — вот это действительно проблема. Но эту проблему надо просто держать в голове при покупке. И для неё не опять же не нужен 10G, достаточно нормального роутера, честно умеющего держать несколько гигабитных каналов.
                      0

                      1) Еще раз не надо ставить вопрос "какой задаче не хватает 1Ж". Вопрос "сколько задач умещается в 1Ж", или "сколько устройств уже не помещается в 1Ж".


                      2) Цена. Цена — обратная сторона распространенности. Распространенности нет. И никто не хочет этим заниматься.
                      Причем судя по появлению стандарта 2.5\5GbE — даже в бизнесе не все хотят 10GbE.


                      3) Роутинг и железо. Наблюдаю за развитием сохо сетей последние два десятка лет. Всегда проще купить оборудование следующего поколения (100MbE -> 1GbE, wifi n -> ac), чем найти оборудование, которое выдаст все нужные фичи\нагрузку на предыдущем поколении.


                      Тем более, что даже сами стандарты идут по принципу "тут возможна такая фишка" -> "тут желательная та же фишка" -> "теперь эта фишка обязательна".


                      4) Как так получилось, что сеть проиграла переферии по скорости?

                        0
                        1) Ну ок, сколько задач у вас не помещается в 1G? Простите, я не знаю вашей топологии, но в моей нынешней — основной роутер — микротик на входе + отдельно асус на wifi, я не вижу, где бы по вашим сценариям мог быть затык. Роутер спокойно разруливает несколько потоков (хотя у меня такое нечасто бывает). В чистой теории, возможно было бы забить парочкой wi-fi устройств канал асус-микротик, но реальные домашние ac-устройства не приближаются к этой скорости. Мне в руки не попадалось устройств быстрее 250Мб\с по воздуху (хотя не исключаю их существования). Да и пачка таких устройств кмк скорее эфир забьёт наглухо, чем проводной канал.
                        3) Хм. Проще? Вы можете показать конкретную железку c 10G, которую проще купить? Мне правда интересно. Особенно в SOHO-сегменте.
                        4) Так вроде всегда было так? Периферия по определению ближе, а значит меньше заморочек с сигналом, адресацией, нет коммутации, дешевле обновление имеющейся инфраструктуры и т.п.
                          0

                          1) Зачем теперь приплетать ширину радио канала?
                          3) Да проще. И отсутствие 10Ж на сохо рынке ломают эту тенденцию.
                          4) Та что внутри корпуса — быстрее. Снаружи — чаще медленнее.

                            0
                            1) На вопрос вы не ответили. Радиоканал я приплел только потому что конкретно в моей сети это единственное место, где можно попытаться не пролезть в пропускную способность. Так где у вас в сети может возникнуть затык? Роутер не разрулит три задачи которые вы перечислили? Или как?
                            2) не очень понял, но ок…
                            3) Видео быстрее локалки всё время(dvi/hdmi/thunderbolt), usb сопоставим или быстрее локалки почти всё время(2,3,3.1, кроме 1/1.1), firewire быстрее локалки, esata быстрее локалки. Или наружняя периферия — это LPT и аудио?
                    0
                    Домашняя рендер-ферма из девяти i7-920 (никаких гпу рендереров — заказчики используют взрослые Arnold/PRman, а они цпу-онли) для своих рабочих нужд по графике — гигабит забивается только так.
                    Типичный проект: около 50гб кешей геометрии, около 50гб текстур, посчитанные кадры в deep exr с мультипассом спокойно весят от 2гб для 1080р, про 4к и не говорю.

                    В общем, на гигабите тяжко, а 10Г дорог и жаба давит.
                      0

                      Посмотрите ветку. Там предложили варианты ценового уровня топового сохо.
                      Конечно для сетки из 8+ машин надо умножать минимум на два. Но прогресс таки есть.


                      И если мы, энтузиасты, не начнем покупать — то обычные покупатели так и не узнают.
                      Я для себя запланировал в 18 году сделать подсеть 10ж из 4 точек: роутер, нас, комп и одну позицию еще выбираю.

                  +1
                  1. Сколько устройств в вашей домашней сети?
                  4 ноута, 2 смарт телека, принтер, сервер (вэб, почта, хранилище), voip, 3 wifi ap (2 этажа), switch, 2 маршрутизатора, 4 телефона, mediacenter, PS4 = 21+
                  2. Выше ответил
                  3. Производительность и стабильность
                  4. Номинальные 1Гбит/с (Gpon) и 600Мбит/с (медь), соответсвуют
                  5. 2.4 среднезанято. 5 свободно. от 2.4 совсем не отказываюсь потомучто есть пару устройств только 2.4. Включен AC
                  6. Два статических адреса. Внутри VRRP. NAT.
                  7. Два. Потому-что почта и вэб сервисы.
                  8. Обновляю. Выключаю сервисы которые не нужны. На сервере как положено. Вообщем без паранойи, но слежу.
                  9. При ремонте везде прокинуты провода и сделаны розетки. Если бы этого небыло жил бы на вайфае. А так гигабит внутри.
                  10. Примерно как у Ильи Урвачева :-) Во всем доме я точно один такой.

                  Хорошая статья. Спасибо! И вас с Праздником!
                    +1
                    Автору спасибо, всегда было интересно помериться… Если не сильно углубляться в детали, то моя домашняя сеть:

                    Устройств дома 10+, ноутбуки, телевизоры, тв-приставки, телефоны, планшеты, стационарные пк, какое-то время был тестовый стенд с тремя цисками (2 маршрутизатора + коммутатор).

                    На входе — гигабитный умный L2 коммутатор (провайдер даёт 100+мб, физически 1гб, по факту пользуюсь 100мб интернетом, но зато всякий мультикаст в виде тв не сильно мешает интернету). Чуть не забыл, пара-тройка вланов, чтоб жизнь мёдом не казалась.

                    Маршрутизатор — atom, FreeBSD. Статика наружу, готовил подключение резервного провайдера, но как-то основной не часто подводит, руки так и не дошли до второго, хотя демон уже готов и протестирован. Был ещё на границе гигабитный роутер микротик, но он сгорел =(

                    Игровой ПК и основной ноут подключены проводом, как и разного рода тв приставки, дабы уменьшить лаги и повысить качество при стриминге. (хотя по идее и 100мб должно с головой хватать, но на 1гб как-то мне больше нравится, особенно если ещё параллельно кто-то смотрит 3D на телеке, а шара на том же игровом ПК, raid).

                    Вафля 2.4, думал перелезть на 5, но смысла нет, т.к. по ней в основном только телефоны да планшеты. Канал стал забит сильно, но для сёрфинга хватает.

                    Раньше ещё отчий дом был подключен по VPN через сеть провайдера, чтобы и там быть «как дома», ну и канал шарить. Плюс там был сетевой цветной принтер.

                    Ну и в качестве вишенки — через пол страны прокинут VPN от текущего места пребывания до дома, с маршрутизацией и плюхами в виде ретрансляции тв (ощущаю себя «как дома» с местными вставками рекламы как никуда не уезжал), на микротике.

                    Думал прокинуть в одном месте по квартире оптику, но удалось отделаться лёгким испугом и протащить две гигабитные витые пары.
                      +1
                      1. 10 устройств. З раза пересчитывал. В каждом углу по железке. 3 стационарных, ультрабук ну и все остальное.
                      2. Самосборный бесшумный сервер на Atome J1900 и телевизор.
                      3. Я инженер-связист. У меня на работе все параллельно-перпендикулярно и дома так-же. В стены вмурованы сотни метров кабеля. В комнатах розетки, в кроссовом шкафу- сами понимаете что ;)
                      4.100 Мbit/s
                      5. В эфире- адский ад. Кабель. Wi-Fi только мобильные устройства.
                      6. От провайдера приходит Ethernet, который включен в Wi-Fi роутер, от него в гигабитный свич, а оттуда по комнатам. Провайдер всем раздает белый IP. Настроек минимум. Иногда приходит желание пошаманить с сетью, но когда это делаешь на работе, то как-то дома уже не хочется. Жена у меня в сетях то же отлично разбирается, но говорит, что дома она блондинка и ее все устраивает.
                      7.Обычно один. Если вдруг он лежит подключаюсь к телефону. Автоматики никакой потому как провайдер лежит крайне редко.
                      8.Обновленный софт и по возможности отключено все, чем не пользуются. Резервное копирование на постоянной основе.
                      9.Все замуровано и сходится в кросс. Можно считать, что это профессиональная деформация. Все сделал во время последнего ремонта.
                      10. Не думаю, что вообще наберется много людей, которые будут делать так-же капитально как я. Лучше ли это? Для меня- да. Для других- это другим лучше знать ;)
                        +1
                        Илья Урвачев — вы мой герой! )))
                        но я только в середине пути — все строится…
                          0
                          «Проброс порта до rdp» — опасно. Я такие вещи заворачиваю в ssh tunnel

                          Only users with full accounts can post comments. Log in, please.