Renovace sítě na chalupě

Pár týdnů zpět jsme s kamarádem Ondrou provedli zásadní obnovu sítě na naší chalupě.

Cíle byly:

1. Propojit dvě budovy optickým spojem
2. Nainstalovat LTE anténu pro lepší připojení k internetu

Další cíle jsou:

3. Nahradit dvě stará SSID jedním, aby bylo možné plynulé přecházení po celém pozemku
4. Rozsegmentovat nově vzniklou síť do více VLAN a přeřadit stávajícím síťovým a IoT zařízením nové adresy
5. Nastavit nová pravidla firewallu pro zabezpečení infrastruktury a povolit pouze nezbytný provoz

Optický převěs

Budovy jsou od sebe jen 5 metrů daleko, takže jsme použili hotový single-mode dvouvláknový venkovní armovaný kabel Fiber Arsenal. Na každé straně převěsu jsou plastové kotvy na optické převěsy, kabel jsme nenapínali jak strunu, ale nechali trochu prověšený ať má místo na pohyb ve větru. Instalovali jsme ho co nejvýše, takže je téměř neviditelný a v bezpečí před vysokými auty. Celková optická trasa má ztrátu okolo 1 dBm, to znamená že optická vlákna jsme při manipulaci nezlomili a ani jsme nezašpinili konektory.

Na malé chalupě kabel pohodlně vede podél stěn do racku Mikrotik SR-10U, kde je připojen k hlavnímu routeru Mikrotik RB5009, který nese jméno “Kadovánek” podle místního bylinkového likéru. Je zde dostatek místa pro servis zařízení a zároveň je zde i hlavní LTE uplink Mikrotik LHG LTE18.

Na větší chalupě je kabel přichycen k dřevěnému střešnímu trámu a o kousek dál protažen chráničkou do vestavěné krabice, kde jsou umístěny switche Mikrotik CSS610 a CRS112. Zde na střeše je zároveň záložní konektivita, 5 GHz ax wifi.

Alternativy

Než jsme se s jistotou rozhodnuli pro použití optiky, uvažovali jsme i o jiných možnostech jak chalupy propojit, jako třeba bezdrát. Takový přísup by byl jednodušší na přípravu i instalaci, a nevyžadoval by žádné vrtání do předních stěn domu a ani protahování třiceti metrů optiky těsnými místy a přes půdu plnou skelné izolace.
I přes všechny nevýhody jsme radši šli do věšení optiky. Důvody pro to jsou stabilita, rychlost (v našem případě začínáme jen na 10Gbps) a možnost upgrade v budoucnu. Stačilo by jen vyměnit transceivery až se nám zachce.

Připojení k Internetu

Dříve jsme byli připojeni 5GHz ac PtMP spojem od místního velkého ISP, kvůli odlehlé poloze je ale maximální rychlost, kterou pro koncové uživatele nabízí, jen 30/3 Mbps. Celá vesnice je připojena mikrovlnným spojem (Racom Ray3 domácí produkce 🇨🇿). Proto jsme hledali jiné možnosti.
Zatím jsou tři:

1. Firemní připojení od tohoto ISP přes dedikovaný mikrovlnný nebo milimetrovlnný PtP spoj: Ideální řešení s SLA a rychlostí na rozdávání, ale zhruba sedmkrát dražší.
2. Starlink: Zvažoval jsem Starlink a jsem rád, že jsem ho nevybral, protože by byl třikrát pomalejší a třikrát dražší LTE.
3. LTE: Rozhodli jsme se pro LTE, protože to bylo něco, co jsme mohli vyzkoušet a případně nainstalovat natrvalo nebo vrátit. Bylo to dost riskantní, protože pokrytí signálem je u nás velmi špatné (měřeno z mobilu) a poskytovatelé zde službu “bezdrátový internet domů” nenabízí.

Získání SIM karty pro LTE anténu

Před měsícem mě kontaktovalo externí call centrum zastupující T-Mobile. Nabídli mi slušnou cenu za SIM kartu s neomezenými daty. Když jsem se ji rozhodl pořídit, zavolal jsem přímo na T-Mobile a dostal jsem jinou, tentokrát dvakrát dražší nabídku. Operátor byl se mnou rychle hotový a protože už mám u T-Mobile firemní účet s několika vyššími službami, byl jsem dost zklamaný.

Naštěstí jsem to zkusil znovu a tentokrát jsem měl štěstí. Navštívil jsem pobočku T-Mobile v obchodním centru Nový Smíchov, kde si velmi příjemná Valerie dala práci s prostudováním mého účtu a společně jsme probrali různé možnosti. Nakonec jsem získal SIM kartu s neomezenou rychlostí a neomezenými daty za velmi slušnou cenu.

Z GSMWeb.cz jsme věděli, že na Buchtově kopci je velký vysílač – takže pravděpodobně se záložním napájením a optickým uplinkem. Je vzdálený 5 kilometrů a máme na něj přímou viditelnost ze střechy. Po úspěšném prvním pokusu ze země jsme anténu namontovali na střechu. Rychlost je prozatím stabilně ~350 Mbps dolů a ~50 Mbps nahoru, latence je horší, kolem ~50 ms. Signál je zatím velmi stabilní; měříme RSSI ~46 dBm a RSRP ~75 dBm. Uvidíme, co přinese déšť, bouřky a zima.

Jedno hlavní SSID

Dříve, když se klient připojil k jednomu SSID a odešel příliš daleko od příslušné budovy, spojení se přerušilo. Protože jsou chalupy blízko sebe a hlavně v létě lidé většinu času tráví venku, nebylo bezdrátové připojení příliš spolehlivé. Po sloučení sítí mohou klienti plynule přecházet po celém pozemku a užívat si stabilní WIFI. Mikrotik CapsMan podporuje roaming, takže nedochází k odpojování. Nyní celý areál včetně teras, zahrad i parkovišť pokrývá devět Mikrotik wAP ax a cAP ax access pointů.

Segmentace sítě

Dříve byly po chalupách dvě oddělené sítě se dvěma samostatnými routery - každá v jedné chalupě. V těchto sítích byli klienti smíchaní s IoT zařízeními a všichni měli přístup všude. Pro zvýšení bezpečnosti jsme rozdělili jednu velkou L2 doménu na tři nové sítě, dvě z nichž jsou v VLANu:

1. Veřejná síť: Hlavní, netagovaná síť, ke které se připojují všichni klienti. Síť je dostupná přes hlavní SSID zmíněné výše.
2. IoT síť: Nová síť pro všechna čidla na monitoring elektřiny a kvality vzduchu. Síť je dostupná také přes samostatné SSID.
3. Management: Síť pro všechny access pointy a switche. Nejsou zde žádní uživatelé a síť není dostupná bezdrátově.

Firewall

Přístup k internetu je povolen ze všech tří sítí, ale jak IoT, tak veřejná síť jsou izolované s následujícími výjimkami:

• Router je přístupný z veřejné sítě přes SSH pro účely konfigurace.
• Náš Home Assistant box je přístupný z veřejné sítě přes HTTPS.

Shrnutí

Od Pavla

Myslím že jsme udělali spoustu práce, jak fyzické tak později konfigurační. Bezdrátová síť je nyní stabilnější a bezpečnější a připojení k Internetu rychlejší. Stále je co vylepšovat ale větší vzdálené změny jsou riskantní protože chalupy stojí na poměrně odlehlém místě.

Od Ondry

Byla to velká zábava. Mám vcelku velký zájem o cokoliv okolo počítačových sítí, ať vzduchem, po metalice nebo i opticky, tudíž bylo stavění sítí u Pavla na chalupách přijemně strávený čas. Už teď máme spoustu nápadů co a jak vylepšíme, až tam budem příště, třeba lepší 5G uplink, než stávající LTE.