Temos 3 andares open-space de 80 metros quadrados cada que queremos cobrir pela mesma rede wireless em um grande edifício de concreto. Também temos cabos Ethernet instalados em todos os andares.
Os requisitos são:
- queremos que dispositivos internos (vamos chamá-los de funcionários) (laptops com fio, um DVR, um servidor) façam parte da mesma rede e se vejam; se possível, através do wireless também, se não, apenas cabo
- queremos oferecer aos visitantes acesso à Internet sem fios e transitar entre diferentes pontos de acesso/routers sem fios; por isso queremos uma conexão wi-fi confiável para nossos visitantes, com o menor ou nenhum abandono de conexão possível
- queremos instalar um script de hotspot wi-fi, que condicione os visitantes sem fio a acessar a rede sem fio por meio de um check-in no Facebook. O roteiro éFBWLAN, que precisaWifidogpara ser instalado no roteador. Por causa disso, os roteadores devem ser atualizados com oOpenWRTfirmware. Também preferiríamos o OpenWRT ao firmware padrão por causa de todas as opções de configuração estendidas e das possibilidades que ele oferece (um bloqueador de anúncios, por exemplo). O script de hotspot PHP depende de MACs clientes para gerenciar a autenticação, portanto, os endereços devem ser transmitidos inalterados para o servidor de terceiros que hospeda o script PHP Fbwlan
Nossa solução proposta é usar um roteador para cada andar, e estes devem ser conectados por cabo a um quarto roteador principal, que atuará como um servidor DHCP. Os 3 roteadores "escravos" teriam a mesma configuração: DHCP desabilitado, IPs estáticos associados (diferentes, claro), mesmo SSID,mesma senha/chave, mesma criptografia (WPA2-PSK), e algum tipo de ponte entre a rede sem fio e a rede com fio. Li em algum lugar que seria mais sensato definir canais diferentes e distantes (1, 6, 11) para cada roteador, para evitar sobreposição de largura de banda. O Wifidog também seria instalado em cada um desses roteadores. Todas essas configurações são suportadas pelo OpenWRT, pelo que entendi, então todos os 4 roteadores teriam a versão mais recente (Caos mais calmo 15.05) do OpenWRT.
ATUALIZAR: sem senha e sem criptografia, pois o portal cativo wi-fi exigiria isso.
Eu estava pensando em comprar 4 xTP-Link TL-WR1043NDroteadores, que são razoavelmente baratos (cerca de US$ 50 cada). O mesmo hardware produz melhor sucesso na configuração desta configuração. Embora este seja um roteador antigo, já tenho em casa um TL-WR1043ND, hardware v2, não tive problemas para instalar e configurar o OpenWRT nele(Quebrador de Barreira), tem boa conectividade, sem perda de sinal Wifi, então esta foi minha primeira opção, devido às restrições de orçamento.
Ainda não temos conexão com a internet, mas será uma conexão rápida de fibra óptica, 1000 Mbps. O ISP provavelmente trará seu próprio roteador com capacidade de fibra óptica para a equação, mas não pretendo usá-lo como roteador principal, pois provavelmente será uma marca Huawei com poucas opções de configuração, sem leasing de IP baseado em MAC, etc. Portanto, pretendo conectar o roteador TPLink principal em uma de suas portas LAN.
Além disso, pretendo usar um switch Gigabit não gerenciado de 16 portas (TP-Link TL-SG1016) para conectar todas as tomadas RJ-45 montadas na parede para dispositivos com fio.
Portanto, a configuração geral seria: roteador ISP -> roteador TPLink principal -> switch não gerenciado (cabeado, clientes internos conectados aqui) -> roteadores sem fio escravos -> clientes wi-fi (visitantes).
Já ouvi falar de configurações de repetidores, extensores, WDS, mas não sei muito sobre eles porque não gosto muito de redes.
Minha pergunta é: esta é uma boa configuração de hardware que atende aos nossos requisitos?
Preciso de ajuda para tomar a decisão de comprar o equipamento - não de que marca, mas de que tipo: clima, se APs, extensores, roteadores, etc.
Responder1
O maior problema que vejo é que não acho que você possa criar portal cativo e qualquer forma de criptografia de camada de link (WEP, WPA, WPA2) ao mesmo tempo. O problema é que os esquemas de criptografia da camada de enlace exigem autenticação da camada de enlace antes que você possa usar o enlace, e a autenticação do portal cativo é uma autenticação de camada superior que requer um enlace funcional. Ou seja, você não pode carregar a página da Web de autenticação do portal cativo, a menos que já tenha inserido a senha WPA2-PSK.
A menos que você não se importe que os visitantes tenham que solicitar e inserir a senha da rede WPA2-PSK e ENTÃO serem forçados pelo portal cativo a fazer um check-in no Facebook.
Se você não se importa em deixar o tráfego de visitantes desprotegido na camada de link, provavelmente poderá publicar um SSID separado com criptografia WPA2-PSK para funcionários. Mas essa configuração só faria sentido em termos de segurança se a rede do "funcionário" fosse aquela com PS3, projetor, DVR, etc., e se a rede do "visitante" estivesse protegida por firewall e fornecesse apenas acesso à Internet.
Não use WPA-PSK. As taxas de dados 802.11n e 802.11ac requerem WPA2/AES-CCMP. Então vá com WPA2-PSK. Desative todos os WPA/TKIP; você quer WPA2/AES puro. WPA/TKIP só foi verdadeiramente útil para um pequeno número de dispositivos de 12 anos atrás; quando o WPA/TKIP foi lançado c. Em 2002, o WPA2/AES já estava em seu encalço e havia muito poucos dispositivos que podiam fazer WPA/TKIP, mas nunca houve uma atualização para poder fazer WPA2/AES. Deixar o TKIP ativado apenas complica as coisas e revela implementações problemáticas que estragam quando a cifra multicast é diferente da cifra unicast.
Não use apenas 2,4 GHz. Opte por banda dupla simultânea e 802.11ac. Talvez um TP-Link Archer C7 v2 de US$ 93 (certifique-se de obter a v2, o rádio da v1 não será compatível com 802.11ac no OpenWrt). É melhor ter uma conexão sem fio que possa acompanhar sua conexão com a Internet. Além disso, a banda dupla oferece capacidade muito maior.
Revise seu esquema de autenticação do portal cativo. A partir de uma leitura rápida de sua rede proposta e das ferramentas de portal cativo envolvidas, temo que sua configuração proposta fará com que cada roteador atue como seu próprio portal cativo em vez de usar um portal cativo centralizado, para que seus usuários continuem tendo que re-Facebook -checkin sempre que eles fazem roaming entre APs.
Para planejamento de canais, sim, sempre defina canais não sobrepostos. Na banda de 2,4 GHz, isso significa que você deve usar os canais 1, 6 e 11 de 20 MHz. Essa limitação de canais de 20 MHz significa que seu AP de 2,4 GHz não será capaz de oferecer sua taxa de 450 Mbps, que só funciona com 40 MHz. canais amplos. Em vez disso, ele será limitado a 217 Mbps (e a maioria dos seus clientes só conseguirá fazer 144 ou 72 Mbps com ele de qualquer maneira, porque a maioria dos clientes não possui rádios de 3 fluxos).
Certifique-se de ter apenas um dispositivo em sua rede executando NAT e atuando como servidor DHCP. Certifique-se de que os APs escravos estejam configurados para simplesmente conectar o tráfego entre a rede com fio e os clientes sem fio. Você provavelmente também precisará garantir que o SSID do "visitante" esteja conectado a uma VLAN separada que vai direto para o roteador, para segregá-lo da rede do "funcionário" com todos os dispositivos com fio, por motivos de segurança.