Aiuto con router per FTTH
[cancellato]
gyagix firewalla gold
Questo fa anche da router, lo puoi collegare direttamente all'ONT - ma come puro firewall devi metterlo a valle del router comunque - con prestazioni migliori di quelle dell'Asus. Le alternative dipendono da quanto vuoi spendere, cosa ti aspetti da un firewall, e cosa significa per te "impazzire con le configurazioni".
gyagix .mia moglie già si è lamentata quando ho tirato su opnsense che non navigava dal wifi su tutti i siti (pihole+firewall)
Beh, dipende cosa blocchi a livello di di firewall o DNS - e dove naviga tua moglie 
gyagix Volevo rimanere su Asus per tenere attivo il nodo aimesh
Puoi usare gli Asus a valle del router/firewall semplicemente come AP.
[cancellato]
Volevo stare entro i 300/350€ per chiudere la questione e avere 1gbps e non 250mbps.
Sostanzialmente la mia esigenza richiederebbe sia un router che il firewall su due device separati.. e mi sa che 350€ non bastano 
La moglie naviga su quei meravigliosi siti pieni di ADS che il buon chrome riesce a farti vedere anche se hai doppio pihole in casa.. e con opnsense ero riuscito a reindirizzare tutte le richieste dns comunque ai pihole.. ma evidentemente era troppo e alcuni siti (es.: giallozafferano) non riusciva a vederli bene o non li prendeva proprio, o evidentemente io che avevo sbagliato qualcosa.
Percui rimarrebbe il dsl-ac68u come ap, con IP fisso e il dhcp se lo va a gestire il firewall/router?
[cancellato]
- Modificato
gyagix Sostanzialmente la mia esigenza richiederebbe sia un router che il firewall su due device separati..
Hai una buona ragione? In ambiti relativamente piccoli - anche non domestici - è facile trovare router/firewall integrati invece di due dispositivi separati, cosa tipica in ambiti più grandi o con esigenze specifiche. Rischi sì di spendere di più a meno che non ti basti un router di fascia bassa.
gyagix La moglie naviga su quei meravigliosi siti pieni di ADS che il buon chrome riesce a farti vedere anche se hai doppio pihole in casa
Ovviamente, fanno soldi da quelli.
gyagix ma evidentemente era troppo e alcuni siti (es.: giallozafferano) non riusciva a vederli bene o non li prendeva proprio,
Possibile.
gyagix Percui rimarrebbe il dsl-ac68u come ap, con IP fisso e il dhcp se lo va a gestire il firewall/router?
Sì, con un dispositivo come il firewall hai tutte le funzioni di DHCP, DNS, VPN, ecc. disponibili e probabilmente con funzionalità superiori a quelle dell'Asus - puoi anche spostare tutto lì e appunto usare gli Asus se già li hai come AP. Vedo però che quel modello non è semplicissimo da mettere in AP mode:
[cancellato]
A pensarci in realtà no; un device unico è preferibile (anche per i costi energetici alla lunga); devo solo capire cosa prendere.
Il firewalla gold mi tenta.. ma rischio che tra costo+spedizione+dogana siano più di 650€ alla fine, e a quel punto conviene prendere altro spendendo di meno.
Non saprei però dove andare a parare per l'ambito domestico..
Per l'azienda per cui lavoro abbiamo messo su Sophos su macchina virtuale per la farm, ma parliamo di contesto decisamente diverso.
L'asus che ho non è tanto facile da gestire se deve esser emesso in cascata ad altro; Fino a 3 giorni fa lo usavo in cascata al router Tim, configurato con IP statico collegato via LAN1 (configurata come porta WAN) sulla rete del router TIM (192.168.254.0), così che il TIM gestiva la sola connessione internet e l'asus tutto il resto, wifi, dhcp, AiMesh, e indirizzamento DNS al PiHole etc..
- Modificato
Per curiosità ho rimesso su lo smart modem della tim (quello bianco con la porta wan rossa, massimo 100mbsp).. ora dal fisso (PC -> switch -> ac68U -> tim -> ont) faccio 540/310..
credo che sia proprio il mio router che non ci riesce..
aggiornamento:
dopo test con il TIM ho rimesso il mio e ora ho 770/320 dal pc e 200/190 dal router (con firmware gnuton faccio il test diretto)
In ogni caso devo mettere un router-firewall.. suggerimenti?
[cancellato]
gyagix Non saprei però dove andare a parare per l'ambito domestico..
Dipende da cosa hai bisogno a livello di funzionalità del firewall. Il vantaggio di pf/OPNSense è che spendi per l'hardware ed il software è free. Se vuoi qualcosa di più semplice da usare le opzioni si restringono un po' di più. Mikrotik non è facile da usare neanche lui. Ubiquiti non è fra gli economici. I TP-Link Omada mi sembrano un po' obsolescenti a livello hardware.
[cancellato] E' per la rete di casa, non devo fare cose a livello business, un pò di sicurezza in più.. sostanzialmente volevo separare dispositivi IoT dal resto, rete guest quando viene qualche amico che mi chiede se può collegarsi alla rete di casa mia, bloccare del tutto gli ADS (anche su chrome).. porte aperte in ingresso ho solo quella per Wireguard (che per ora devo gestire dalla VM che fa girare DietPI), server FTP per i backup dei DB da remoto dell'istanza che ho su Oracle Cloud e qualche altro servizio del server linux.. arrivo a circa 15 dispositivi tra telecamere, cellulari, pc , tablet, fire tv, frigo, climatizzatore..
Tutto su fibra 1 gbs (oggi sembra che stia viaggiando come deve.. arrivato a 770mbps.. forse qualche verifica di un amico che lavora in TIM ha aiutato?)
[cancellato]
gyagix sostanzialmente volevo separare dispositivi IoT dal resto,
Il modo migliore per farlo è quindi un firewall che supporti le VLAN - poi ti servirebbero però anche switch e AP con lo stesso supporto (e SSID multipli), e non lo fai quindi con gli Asus. Se esponi servizi all'esterno sì, un fw decente ci vuole. Non credo però che riesci ad andare sotto i 300 euro.
Bloccare la pubblicità richiede un sistema stile piHole - ed è difficile trovarlo su sistemi consumer, mi sa - ma poi attento a cosa la gentile consorte ti propina a cena se non riesce ad aprire GialloZafferano.
[cancellato] Cosa si può fare - tra tutto quel che chiede l'op - con un DrayTek vigor 2927?
[cancellato] pihole c'è come dns interno..ma quel caro furbone di Chrome mobile salta pure pihole...con Firefox lo stesso sito ha 0 Ads.. con opnsense avevo risolto..ma tra server che non tiene bene la vm e lamentele ho desistito..
Dovrei cambiare tutta la struttura della rete 
[cancellato]
- Modificato
Sinceramente non trovo il firewall dei DrayTek particolarmente user-friendly (come un po' tutta l'interfaccia, del resto), ma le funzionalità essenziali ci sono, tranne le funzioni stile piHole, c'è qualcosa a livello di DNS filtering e simili ma sono più limitate di un pfSense con pfBlockerNG, ad esempio. Con appliance stile pfSense hai anche qualche servizio un po' più sofisticato ad esempio i DHCP/DNS.
gyagix ma quel caro furbone di Chrome mobile salta pure pihole...
C'è un motivo per il quale hanno ampiamente pubblicizzato DoH/DoT, e loro usano direttamente i loro DNS. Devi tentare di bloccarglieli a livello di firewall per forzarlo ad usare i tuoi - o far cambiar browser a tua moglie (cosa più difficile).
[cancellato] Allora non mi viene nulla in mente se non il Firewalla Gold, ma tra importazione e dogana, temo che i costi possano aggirarsi tra 800 e 900 €.
- Modificato
[cancellato]
Infatti con la opnsense ero riuscito..ma evidentemente anche troppo restrittivo 
A sto punto prendo un mini PC con 4 ethernet e metto su opnsense/pfsense.. con 250/300€ me la cavo?