Jak postavit "lepší" domácí síť

Routery, AP, switche, huby, ethernet

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod miro_cz 20. 3. 2025 12:06

Ahoj, v rámci stěhování potřebuji postavit domácí síť a rád bych to postavil na vyšší úrovni, než je běžný router od operátora se zapnutou wifi, ideálně trochu vyřešit bezpečnost na úroveň dnešní doby. Něco jsem si načetl a rád bych si tady domněnky ověřil a dostal nějaké další rady.
- do bytu vede optika od O2 - počítám, že jejich základní router tam nechám a přepnu do bridge (správně?)
- síť bych rozdělil na několik VLAN (hlavní, IoT, Loxone, Management sítě) - dává takto smysl?
- většinu zařízení máme doma Apple (Macbooky, iPhony) a využíváme AirPlay - abych mohl posílat z jedné VLAN do druhé je k tomu údajně potřeba nějaký mDNS a DNS repeater - to mají i běžné routery?
- je možné izolací IoT věcí na svojí VLAN nějak zamezit jejich bezpečnostním rizikům? Například aby robotický vysavač nemohl odesílat fotky z bytu?
- má cenu se starat o nějaké nastavení DNS, DoH atd.?
- dneska už mám asi vybírat pouze zařízení s WPA3, že? Stejně tak pouze wifi 6, nebo to nemá význam?
- počítám, že bych do technické místnosti za optický modem připojil nějaký lepší router a následně cca do 2 místností dal pouze wifi AP

Bude to takto fungovat? Je něco dalšího, na co dát bacha? Poradíte prosím jakou značku síťových prvků použít?

Předem děkuji za všechny rady :)
miro_cz
Kolemjdoucí

Odeslat příspěvekod milsimr 20. 3. 2025 12:55

No, nechci ti úplně kazit iluze, ale pokud se nechceš zabývat nastavováním (m)DNS serveru apod., tak bych na celou segmentaci sítě skrze VLAN zapomněl - budeš mít jednodušší segmentovat síť skrz subnety.

Věci mDNS a DNS repeater nejsou funkce "běžných" routerů - umí to nějaký Mikrotiky (nedělám do nich, specifické modely neporadím), ale taktéž to znamená vědět, jak ty věci nastavit.
Administrátor fóra Živě.cz.
milsimr
Administrátor
Uživatelský avatar

Odeslat příspěvekod miro_cz 20. 3. 2025 15:28

Jj, z toho co jsem dohledal tak DNS repeater by měl zvládat Mikrotik v některých modelech, potom Ubiquiti UniFi (ty jsou dost drahé) a zvládá to snad i řada Omada od TP-Link.

Nejsem sice síťař, ale s nějakým hledáním na netu a pár manuálů a rad na fórech bych to asi zvládl nakonfigurovat.

Ty subnety, o kterých píšeš jsou v něčem lepší než přímo VLAN? Jak je to s bezpečností těch různých IoT věcí?
miro_cz
Kolemjdoucí

Odeslat příspěvekod JirkaVejrazka 21. 3. 2025 12:01

Subnety jsou "lepsi" v tom, ze se nejedna o ruzne virtualni site, jako v pripade VLAN. U jinych sitovych subnetu se spoleha na to, ze TCP/IP vlastne moc neumi zvladat pripad, kdy je jeden sitovy segment sdilen nekolika ruznymi adresnimi systemy, takze jedno zarizeni je tak trochu "slepe" a ty ostatni sitove pakety co litaji okolo, nechce moc videt a neumi do nich (jednoduse) posilat data.

Na druhou stranu to ma i omezeni - mezi subnety jsou videt broadcast pakety (coz chces, protoze ti to zjednodusi spravu toho Apple ekosystemu), ale z hlediska bezpecnosti to oddelene neni. Navic ti to toho kompletne hodi vidle IPv6, az se ho jednou rozhodnes zavest (a mel bys to udelat rovnou, pokud stavis novou sit).

Co se tyka Mikrotiku, ty maji vsechny stejnou softwarovou vybavu a schopnosti, lisi se jen vypocetnim vykonem a poctem a typem rozhrani (portu a WiFi). Vyjimkou jsou jen zarizeni "CCS", coz jsou switche a ne routery.

-- 21. 3. 2025 11:07 --

- je možné izolací IoT věcí na svojí VLAN nějak zamezit jejich bezpečnostním rizikům? Například aby robotický vysavač nemohl odesílat fotky z bytu?"

Ano, muzes kompletne te VLAN zakazat pristup na Internet. Ale pocitej s tim, ze nektera dnesni zarizeni bez pristupu k Intenretnu proste vubec nefunguji, nebo s velkymi omezenimi (treba nefunguje ovladani pres mobilni aplikaci). Ja to mam doma uplne stejne (VLAN pro IoT bez pristupu na Internet).

- má cenu se starat o nějaké nastavení DNS, DoH atd.?

To zalezi na tom, jak myslis tu otazku. Zmenou DNS muzes ovlivnit par veci (treba nastavit specialni DNS pro male deti, aby nemohly na eroticke stranky), ale DoH se v prohlizecich cim dal casteji a vlastne to "obchazi" domaci nastaveni DNS.


- dneska už mám asi vybírat pouze zařízení s WPA3, že? Stejně tak pouze wifi 6, nebo to nemá význam?

WPA2 je v pohode, pokud pouzijes AES a ne TKIP. WiFi 6 je asi dnes rozumna volba - je dostatecne rychla, ale AP nesezerou tolik elektriky, jako u WiFi 7.

- počítám, že bych do technické místnosti za optický modem připojil nějaký lepší router a následně cca do 2 místností dal pouze wifi AP

Pocitej s tim, ze do budoucna bude vic a vic tlak na to, mit nejake AP v kazde mistnosti. Zatim to tak neni, ale pokud stavis novou sit, udelej si na to aspon pripravu (kabel nebo dva do kazde mistnosti, kde do budoucna cekas pouziti WiFi).
JirkaVejrazka
Mírně pokročilý


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků