Disponemos de 3 plantas diáfanas de 80 metros cuadrados cada una que queremos cubrir con la misma red inalámbrica en un gran edificio de hormigón. También tenemos cables ethernet instalados en todas las plantas.
Los requisitos son:
- queremos que los dispositivos internos (llamémoslos de empleado) (portátiles cableados, un DVR, un servidor) formen parte de la misma red y se vean entre sí; si es posible, a través de la conexión inalámbrica también, si no, solo por cable
- queremos ofrecer a los visitantes acceso inalámbrico a Internet y desplazarnos sin problemas entre diferentes puntos de acceso/enrutadores inalámbricos; Por eso queremos una conexión Wi-Fi confiable para nuestros visitantes, con las menores interrupciones de conexión posibles o ninguna.
- Queremos instalar un script de punto de acceso Wi-Fi, que condiciona a los visitantes inalámbricos a acceder a la red inalámbrica mediante un registro en Facebook. El guión esFBWLAN, que necesitaWifiperropara ser instalado en el enrutador. Debido a esto, los enrutadores deben actualizarse con elAbiertoWRTfirmware. También preferiríamos OpenWRT al firmware original debido a todas las opciones de configuración extendidas y las posibilidades que ofrece (un bloqueador de anuncios, por ejemplo). La secuencia de comandos PHP hotspot se basa en las MAC del cliente para administrar la autenticación, por lo que las direcciones deben transmitirse sin modificaciones al servidor externo que aloja la secuencia de comandos PHP de Fbwlan.
Nuestra solución propuesta es utilizar un enrutador para cada piso, y estos deben conectarse por cable a un cuarto enrutador principal, que actuará como servidor DHCP. Los 3 routers "esclavos" tendrían la misma configuración: DHCP deshabilitado, IPs estáticas asociadas (diferentes, claro), mismo SSID,misma contraseña/clave, mismo cifrado (WPA2-PSK)y algún tipo de puente entre la red inalámbrica y la red cableada. Leí en alguna parte que sería más prudente configurar canales diferentes y alejados (1, 6, 11) para cada enrutador para evitar la superposición de ancho de banda. En cada uno de estos routers también se instalaría Wifidog. Todas estas configuraciones son compatibles con OpenWRT, según tengo entendido, por lo que los 4 enrutadores tendrían la última versión (Caos más tranquilo 15.05) de OpenWRT.
ACTUALIZAR: sin contraseña ni cifrado, ya que el portal cautivo de Wi-Fi lo requeriría.
Estaba pensando en comprar 4 xTP-Link TL-WR1043NDenrutadores, que son razonablemente baratos (alrededor de $ 50 cada uno). El mismo hardware produce mejores resultados al configurar esta configuración. Aunque este es un enrutador antiguo, ya tengo en casa un TL-WR1043ND, hardware v2, no tuve problemas para instalar y configurar OpenWRT en él.(Rompedor de barreras), tiene buena conectividad, no hay pérdida de señal Wifi, por lo que esta fue mi primera opción, dadas las limitaciones presupuestarias.
Aún no tenemos conexión a Internet, pero será una conexión rápida de fibra óptica de 1000 Mbps. El ISP probablemente incorporará su propio enrutador con capacidad de fibra óptica a la ecuación, pero no planeo usarlo como enrutador principal ya que lo más probable es que sea una marca Huawei con pocas opciones de configuración, sin arrendamiento de IP basado en MAC, etc. Así que planeo conectar el enrutador TPLink principal en uno de sus puertos LAN.
Además, planeo usar un conmutador Gigabit de 16 puertos no administrado (TP-Link TL-SG1016) para cablear todos los enchufes de pared RJ-45 para dispositivos cableados.
Entonces, la configuración general sería: enrutador ISP -> enrutador TPLink principal -> conmutador no administrado (cableado, clientes internos conectados aquí) -> enrutadores inalámbricos esclavos -> clientes wi-fi (visitantes).
He oído hablar de configuraciones de repetidores, extensores y WDS, pero no sé mucho sobre ellos porque no me gustan mucho las redes.
Mi pregunta es: ¿es esta una buena configuración de hardware que cumple con nuestros requisitos?
Necesito ayuda para tomar la decisión de comprar el equipo, no de qué marca, sino de qué tipo: clima, si son AP, extensores, enrutadores, etc.
Respuesta1
El mayor problema que veo es que no creo que se pueda utilizar un portal cautivo y cualquier forma de cifrado de capa de enlace (WEP, WPA, WPA2) al mismo tiempo. El problema es que los esquemas de cifrado de capa de enlace requieren autenticación de capa de enlace antes de poder utilizar el enlace, y la autenticación de portal cautivo es una autenticación de capa superior que requiere un enlace que funcione. Es decir, no puede cargar la página web de autenticación del portal cautivo a menos que ya haya ingresado la contraseña WPA2-PSK.
A menos que no le importe que los visitantes tengan que pedirle e ingresar la contraseña de red WPA2-PSK y LUEGO ser obligados por el portal cautivo a realizar un registro en Facebook.
Si no le importa dejar el tráfico de sus visitantes desprotegido en la capa de enlace, probablemente podría publicar un SSID separado con cifrado WPA2-PSK para los empleados. Pero esta configuración solo tendría sentido en materia de seguridad si la red de "empleados" es la que tiene la PS3, el proyector, el DVR, etc., y si la red de "visitantes" tiene un firewall desconectado y solo proporciona acceso a Internet.
No uses WPA-PSK. Las velocidades de datos 802.11n y 802.11ac requieren WPA2/AES-CCMP. Entonces opte por WPA2-PSK. Deshabilite todos los WPA/TKIP; quieres WPA2/AES puro. WPA/TKIP sólo fue realmente útil para una pequeña cantidad de dispositivos hace 12 años; cuando salió WPA/TKIP c. En 2002, WPA2/AES ya le estaba pisando los talones y había muy pocos dispositivos que podían hacer WPA/TKIP pero nunca vieron una actualización para poder hacer WPA2/AES. Dejar TKIP habilitado simplemente complica las cosas y revela implementaciones defectuosas que fallan cuando el cifrado de multidifusión es diferente del cifrado de unidifusión.
No optes solo por 2,4 GHz. Opte por banda dual simultánea y 802.11ac. Tal vez un TP-Link Archer C7 v2 de $93 (asegúrese de obtener la v2, la radio de la v1 no será compatible con 802.11ac en OpenWrt). También puede tener conexión inalámbrica que pueda seguir el ritmo de su conexión a Internet. Además, la doble banda te ofrece una capacidad mucho mayor.
Revise su esquema de autenticación de portal cautivo. A partir de una lectura rápida de la red propuesta y las herramientas del portal cautivo involucradas, me temo que la configuración propuesta hará que cada enrutador actúe como su propio portal cautivo en lugar de usar un portal cautivo centralizado, por lo que es posible que sus usuarios sigan teniendo que volver a Facebook. -Registrarse cada vez que deambulan entre AP.
Para la planificación de canales, eso sí, establezca siempre canales que no se superpongan. En la banda de 2,4 GHz, eso significa que tienes que usar los canales 1, 6 y 11 de 20 MHz de ancho. Esa limitación de canales de 20 MHz significa que tu AP de 2,4 GHz no podrá ofrecer su velocidad de 450 Mbps, que solo funciona con 40 MHz. -canales anchos. En cambio, estará limitado a 217 Mbps (y la mayoría de sus clientes solo podrán alcanzar 144 o 72 Mbps de todos modos, porque la mayoría de los clientes no tienen radios de 3 transmisiones).
Asegúrese de tener solo un dispositivo en su red haciendo NAT y actuando como servidor DHCP. Asegúrese de que los AP esclavos estén configurados para simplemente conectar el tráfico entre la red cableada y los clientes inalámbricos. Probablemente también necesitará asegurarse de que el SSID del "visitante" esté conectado a una VLAN separada que vaya directamente al enrutador, para segregarlo de su red de "empleados" con todos los dispositivos cableados, por razones de seguridad.