Impianto Wi-Fi per struttura alberghiera

puffin23 · 2021-07-07T13:35:51+00:00

Ciao a tutti, come da titolo vorrei chiedere alcuni consigli in merito alla creazione di una rete Wi-Fi per gli ospiti della mia struttura. Vi spiego: attua...

puffin23

graz Mi ero perso il messaggio. Quale versione? Eero con Wi-Fi 6? Eero Pro?

V4N0

puffin23 Lascia perdere EERO e simili, non supportano manco le VLAN 😅
Come ti han detto gli altri punta ad una soluzione centralizzata, senza andare troppo sul "pesante" 😁 (Cisco/Aruba per es. o punti sull'usato o puoi anche lasciar stare).
Tolto Unifi considera gli Aruba Instant ON (controller in cloud, se tra 5 anni chiudono il supporto son cavoli tuoi!), Engenius e, se non vuoi svenarti, anche TP-Link (solo prodotti compatibili con Omada, non certo il solito AP da 3 antenne!).
Come switch puoi seguire il produttore degli AP Wi-Fi (così da integrare nel controller anche loro) ma non è necessario, basta che siano L2 MANAGED (supporto 802.1Q), per il poe valuta tu in base a numero di AP e disposizione.

juststupid

puffin23
1) Descrivi i prodotti che attualmente stai utilizzando (marca modello).
2) sei uno smanettone/del mestiere IT/poco avvezzo al IT ? Quanto tempo personale hai da dedicare al IT ?

puffin23

V4N0 Unifi

Ho testato diversi mesi fa la Dream Machine (comoda perché c’è tutto in un unico prodotto), ma devo dire che mi sono trovato male tra problemi di instabilità causati dai loro aggiornamenti firmware e problemi di utilizzo memoria sempre al 90-95% (mandando spesso fuori uso il controller).
Ora non saprei se abbiano risolto questi problemi ma in ogni caso non ho avuto una bella esperienza con Ubiquiti.
Eventualmente, che altri prodotti mi consiglieresti? Specifica pure i modelli, grazie!

juststupid Ho 2 router asus semplici (1 fa da AP).
Per il resto sono uno che smanetta abbastanza e ha abbastanza tempo a disposizione. Con qualche guida credo di riuscire a configurare qualsiasi apparato. 😁

MarcoCavalli

puffin23 ubiquiti sono in linea di massima prodotti abbastanza buona con un'interfaccia user friendly (a volte troppo) e per il tuo scopo secondo me ti permetterebbero di fare tutto in maniera abbastanza semplice. Sugli aggiornamenti firmware si ubiquiti li rilascia e poi gli utenti si trovano a fare da beta tester ma il trucco è semplice basta non aver la smania di aggiornare sempre all'ultimo firmware. Io sinceramente prima di aggiornare vado a vedere sul forum ufficiale ubiquiti la discussione del firmware in questione così capisci subito se ci sono criticità e poi valuti se aggiornare o meno

V4N0

puffin23 Ho testato diversi mesi fa la Dream Machine

Io ne ho installate un paio, mai più nella vita 😁
Anche se devo dire che ora, dopo un annetto, non ho più avuto problemi di sorta (le sto tenendo sempre aggiornate).

Come FW non saprei manco io cosa consigliarti... se davvero ti serve un registro attività/auditing dei guest ci vuole come minimo pfsense con proxy che faccia logging (squid? dansguardian?) e radius

puffin23

MarcoCavalli tralasciando il fatto dei problemi di instabilità causati dai loro stessi FW, nella UDM il problema della memoria che sale al 90/95% ancora sembrerebbe non fixato.
Chiedo anche a te: quale prodotto mi consiglieresti? Specifica anche i modelli, possibilmente

MarcoCavalli

puffin23
così su 2 piedi molto difficile non conoscendo praticamente niente della struttura.
prova a partire con questo tool

https://design.ui.com/

puffin23

[cancellato] [cancellato]

Buona sera, riprendo un attimo la discussione.
Ricapitolando: ho una struttura alberghiera e stavo cercando un firewall per la sicurezza generale della rete.

Bene, mi è arrivato un draytek che dovrebbe fare al caso mio. Ora... quali protocolli / porte consigliate di bloccare per la sicurezza della rete? Vorrei consentire solamente la navigazione e le mail (insomma, il necessario per un utente medio, se c'è da abilitare altro di utile ditemelo pure).

[cancellato]

puffin23 Diciamo che ormai puoi de facto bloccare tutto e consentire solo le TCP/80, TCP/443 e UDP/443... stiamo virando verso un mondo all-over-HTTPS, dove i filtri tradizionali hanno sempre meno senso e quelli evoluti non li puoi usare verso il pubblico perché richiedono di fare ispezione del traffico e quindi trust dei certificati dell'ente che ispeziona. Se vuoi consentire il traffico mail nativo (ma chi lo usa più?) TCP/110, TCP/143, TCP/465, TCP/587 e TCP/993.

DNS interno, magari con filtraggi di contenuti tipo pihole o nextdns (solo lui può uscire all'esterno) e poco altro... se vuoi per far funzionare Telegram in modo nativo TCP devi aprire la TCP/5222. Se non puoi fare DPI e/o filtraggio su protocolli (servono NGFW) non è che si possa far molto altro. Resta inteso che ogni tanto i log bisogna guardarli e saper reagire/decidere se un cliente si lamenta che la sua app (del menga) preferita non funziona.

Neanche a dirlo, via immediatamente UPnP.

DrGix

puffin23 Bene, mi è arrivato un draytek

Che modello?

[cancellato]

[cancellato] Se vuoi consentire il traffico mail nativo (ma chi lo usa più?)

Un sacco di persone... specialmente quelli che non usano solo gmail.... 😀 Anche se oggi conviene spesso accedere via VPN comunque se è un server di posta aziendale. Manca la 995 per POP con TLS implicito.

puffin23

DrGix Vigor2927

DrGix

puffin23 ottima scelta 🤭
Visto che prima non li abbiamo citati valuta anche gli AP della draytek che se abbinati al router draytek ti consentono di fare cose molto carine.
Ricorda che il router natta poco più di 900mbps per cui se collegassi più di una ftth per load balance diventerebbe un collo di bottiglia

[cancellato]

puffin23

Con quello hai anche la possibilità di fare matching del traffico delle applicazioni per decidere quali far passare o no (es. Telegram), e hai anche un captive portal per l'autenticazione degli utenti.

puffin23

DrGix Sì, ci stavo proprio dando un'occhiata ieri. Stavo valutando il Vigor AP802. Che dici?

[cancellato] Sisi, ha molte funzionalità, ora il punto sarà configurare il tutto a dovere. Grazie a tutti! 😁

@DrGix A proposito del captive portal, se prendo un ap draytek e lo collego al router posso abilitare il captive portal sull'ssid dell'ap?

DrGix

puffin23 Stavo valutando il Vigor AP802. Che dici?

Lascia stare... prendi un AP vero da muro/soffitto (ap903 o ap912 se non vuoi provare wifi 6 e spendere eccessivamente)

DrGix

puffin23 A proposito del captive portal, se prendo un ap draytek e lo collego al router posso abilitare il captive portal sull'ssid dell'ap?

Si certo lo puoi fare anche senza il router o viceversa con un qualsiasi AP anche economico e non draytek mettendolo su una vlan (untagged) o su una lan "isolata" dal traffico normale. Sono funzioni base dei router draytek 😉

puffin23

DrGix Un'altra cosa: se sullo stesso AP creo due reti wifi (una per la famiglia e una per gli ospiti) ho modo sempre di separarle su due VLAN diverse?

DrGix

puffin23 certamente ma puoi banalmente creare due lan diverse con sottoreti diverse e dire al router di isolare i client della rete guest dai client della rete famiglia. Puoi anche isolare tutti i client nel senso che avranno acceso ad internet ed ai servizi che abiliterai ma gli ospiti non vedranno nessun client (ne tuo ne degli altri ospiti) facendo una discovery mentre tu vedrai tutti i tuoi devices ma non i client degli ospiti...
La meraviglia dei draytek è che queste configurazioni apparentemente complicate si fanno 2 spunte in un'interfaccia grafica.

puffin23

DrGix Bene, questo con AP draytek giusto? Ora per esempio ho collegato un asus AP (con rete guest e rete famigliare) alla porta lan del router draytek. In questo caso non ho modo di separare le due reti wifi vero? Tieni presente che dal pannello di controllo dell'AP non vi è la funzione. Magari col draytek in qualche modo si può ovviare a ciò...

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile