Немного моего опыта настроек домашнего wi-fi. Может кому пригодится //————————————-// 1. Это роутер. Если хочется или имеется возможность легко забить какие надо настройки - бери с opewrt, если нет бери проприоритарщину, она легко настраивается. 1.а WPA3 - бери с последним сертификатом безопасности. WPA2 уже давно легко перехватываются, про WPA и WEP вообще говорить нечего. 1.б бери роутер с возможность создавать несколько подсетей 1.в Когда подбираешь по скорости, обрати внимание, что максимальная скорость это сумма скоростей по всем каналам 2,4 + 5, а не максимальная по любому каналу. 1.г Бери роутер с предустановленным клиентом VPN (по большей части WireGuard и OpenVPN). 1. д Бери роутер с возможностью организовать белого/чёрного списка доступа 2. После установки что я сделал 2.а - сменил заводской пароль на свой(и в панели управления роутером и в wi-fi) 2б. - сменил стандартный IP сетки на другой 2.в - сменил порт доступа к Web странице роутера. 2.г - закрыл все ненужные порты (ssh, Telnet) 2.д - проверил, что закрыты (а то что не закрыто закрыл) всякие каптив порталы, доступы через облака производителя и т.д. Т.е доступ в настройки только из внутренней локалки и только по проводу. 2.е - основную сетку поставил на 5Ггц и WPA3, почему 5 - дальность меньше и программ/устройств меньше чем на 2,4 Ггц, к тому же дальность меньше 2.ж - понизил мощность до той, которую хватает на всю квартиру. Зачем выдавать мощность такую, что можно за два квартала ловить. Чем больше сила сигнала тем проще взломать wi-fi 2.з - Для дома организовал отдельную сетку с белым списком доступа. Т.е. зайти может только определённый мак адрес и под паролем. (Конечно можно и мак подменить и пароль подобрать, но всё равно это снижает риски). И я не ставлю на тот телефон, которым дома сижу смену макадреса, всегда вхожу по родному 2.и - для гостей организовал отдельную гостевую сетку. С шифрованием WPA3/WPA2( не у всех есть WPA3 что бы потом не перенастраивать) и частотой 2,4Ггц. Гостевые сети по большей части организуются так, что нет доступа к управлению роутером. 2.к У меня роутер с двумя USB портами. USB2 и USB3. На USB3.0 поставил флешку на 128ГБ и записываю туда трафик, когда нужно. Мой роутер имеет возможность записывать дамп трафика в формате .pcang. Его потом можно просматривть в wireshark. 2.л - мой роутер имеет возможность маршрутизации трафика из коробки. Т.е. я , например, свой трафик пускаю через VPN, а гостевую сетку напрямую. 2.м У меня нет умных устройств., но для них лучше организовать отдельную подсеть, хотя бы гостевую, а лучше отдельную именно для умных устройств. 2.н Пароли, понятно дело, длинные больше 10 симоволов, и не в коем случе только цифровых. Если ты хоть раз попробуешь воспользоваться программой хэшкэт то увидишь, что 8-ми значные цифровые пароли перебираются за несколько минут. А буквенные часов, а если буквы+разного регистра буквы+цифры+знаки, то это уже долго, в зависимости от железа до нескольких дней. Поэтому воткнуть лучше 10+ разных знаков,при этом есть методы не брутфорса а перебора пароля по радужным таблицам и словарям. Это значит комбинация Sex+bomba+qwerty - не принесёт результата, так как большиснтво таких паролей уже подобрано и их хэши занесены в словари. Теоретически придумай какую нибудь свою фразу и добавь (типа) соли, из случайного набора символов.(ну это уже совсем жёстко). Так длинно про пароли, потому-что их лучше ставить длинные 3. Надо регулярно обновлять прошивку роутера. Т.е. там находят косяки и устраняют. Лично я выключил автообновление и обновляю вручную. Но это не суть, можно и автообновление поставить. 4. Всякие дополнительные фишки, которые могут пригодится если о них знать 4.а - почему на моём роутере 2USB порта. Там можно организовать ftp сервер и сделать что-то типа домашнего облака, поставить винт на USB3. А например на USB2 поставить принтер. 4.б. Если хочешь иметь доступ к домашнему облаку не из дома, то лучше не брать белый адрес, а организовать VPN.(у меня это не сделано, но в планах есть) 4.в У меня дома две сетки(так получилось, вторая бесплатно мне обходится, но качество не очень). И мой роутер позволяет резервировать подключение. Если одна отвалилась, то подключение идёт через вторую. 4.г. Мой роутер позволяет подключать USB модем. Т.е. например утащил на дачу, где нет проводного доступа. Подключил USB модем и раздаёшь интернет как дома 4.д Питание у моего роутера 12В, т.е. его можно запитать автомобильного аккумулятора(без блока питания) либо отдельно приобрести аккумулятор (12-ти вольтовые используются в пожарной сигнализации) //----------------------------------------// Вроде всё. Если будет критика, буду очень рад. Да, это про keenetik Giga1011. У него нет openwrt, это просто разговор был о роутерах и я накидал свои взгляды на жизнь.
Комментарии: 8
Danila
Если хочешь иметь доступ к домашнему облаку не из дома, то лучше не брать белый адрес, а организовать VPN.(у меня это не сделано, но в планах есть) , А чтобы организовать VPN Обязательно VPS/VDS покупать или есть более бюджетный вариант ?
Don
У меня роутер кинетик такую функцию предоставляет, не имея белый адрес
Vadik
В любом случае нужен кто-то с белым IP. Как вариант чёрточки написал, это воспользоваться бесплатным облаком/VPS. Именно такую функцию предоставляет например keenetik. А вобщем цена аренды VDS не такая уж и большая. Например 2 ГБ + 1 ядро за глаза для своего VPN. Можно попробовать бесплатные
Nick
лучше белый Ip
Vadik
Но есть одно правило, всё что бесплатное, это оплата иным не явным способом. Как вариант, твоими данными. Уж лучше тогда облако reenetik чем бесплатный vpn / VDS. Если 500 рублей в месяц тяжко. Ну или белый адрес тогда уже. Он наверное рублей 50 в месяц чстоит, или узнавать у провайдера надо. Чем бесплатный сервер? Полностью согласен. В остальных случаях это чревато, если не обладаешь навыками сис админа.
Nick
dynDNS ещё есть
Vadik
Да их полно, я просто первый на вскидку кинул. Ну... не совсем так. у VDsina и у ruvds неплохие блоги и на хабре, и на самих сайтах. Там полно мануалов на разные задачи. Возможно и дешевле где-то есть. Я не задавался такой целью.
Nick
а какое у вас домашнее облако ?