Moro70 ha scritto:Infine , ma non meno importante, il prezzo di questi apparecchi e' molto alto, immagino per la loro professionalità'. Credi che in ambito domestico ne valga la pena??
Scusa non avevo tempo di risponderti in modo più esaustivo nel post precedente.
Dipende da cosa l'utente valuta importante. La porta del tuo appartamento è per te importante che sia blindata, normale (legno/plastica) con il semplice chiavistello, o eventualmente senza serratura?
Il router in ambiente domestico, essendo un prodotto integrato (modem/router/firewall/switch), svolge la stessa funzione: è la porta della tua casa informatica.
Anche in ambito aziendale/enterprise i firewall vengono forniti "pari a quelli domestici" ovvero completamente chiusi in ingresso e completamente aperti in uscita. L'apertura delle porte redirette a apparecchi interni (port-forwarding) deve essere fatta comunque in ambo i casi, ma in azienda un amministratore accorto blocca immediatamente anche tutto il traffico in uscita per poi aprire/consentire solamente le porte ritenute necessarie es 80/443 altrimenti nessuno navigherebbe (a questo proposito rimarresti stupito da quanti siti la tua smarttv contatta inviando dati a tua insaputa). Nel fare ciò inevitabilmente ci sono delle eccezioni, sw particolari, siti o parti di essi che richiedono accessi su porte specifiche partendo sempre dalla 80 del web server per poi richiamare/redirigere altrove.
Ora, quando quasi tutto è bloccato e un dato programma/sito non funziona bisogna fare della diagnostica/verifiche. Avendo gli strumenti giusti tutto è più semplice. Ad esempio nei router SOHO (regalati) non puoi neanche fare il mirroring del traffico su una porta specifica, quindi come minimo devi dotarti di uno switch gestito che lo consenta da interporre fra l'apparecchiatura in analisi ed il router, sniffare il traffico ed interpretarlo. Dall'altra parte hai sw connesso al router che ti dice subito cosa sta passando e cosa è bloccato quale nodo interno stia originando il traffico e dove esso sia diretto in modo da poter valutare se è il caso di fare delle eccezioni per consentire tale traffico ...
Ai tempi odierni in ambiente domestico è sempre più frequente l'utilizzo di nas (con le loro applicazioni di download), smarttv che fanno streaming on demand (es. premium play, infinity ...) piuttosto che telefonia voip (magari lo stesso asterisk in esecuzione sul nas) ed è secondo me importante avere una struttura di rete che riesca a gestire/allocare/garantire la banda necessaria ai vari servizi secondo delle priorità (ed esempio una telefonata VoIP che va a singhiozzo perché la downloadstation sta utilizzando tutta la banda oppure il figlio è in streaming continuo da youtube)
Come gìà detto le vpn sono firewall traversal ovvero, nel caso della openvpn tu instradi una porta dal router al nas. Sia i firewall del router che quello del nas vedono passare il tubone ma non possono esaminare quali protocolli/porte/servizi vi transitino. Tutto finisce direttamente in pancia al nas e l'unica protezione rimangono le credenziali utente/psw. Se da un lato la classica vpn di accesso remoto dovrebbe esser costituita fra due "punti finali" (endpoints) noti, controllati dall'utente, ciò non è vero ad esempio per tutti quei servizi vpn di anonimato (ad esempio usati per scaricare via downloadstation), dove in pratica tu hai un ip pubblico diverso (anonimo) ma chiunque vi si connetta lo fa in pancia al nas (attraverso il tubone). E' importante poter configurare tale vpn sul router, in modo da poter mantenere il firewall attivi e poter condizionare il tipo di traffico che vi passa.
...
Capisco che per un utente ignaro di tutto ciò ed abituato ai vari tplink,dlink ... da 20/50 euro il prezzo possa sembrare esoso. Per me, che abitualmente nelle aziende utilizzo apparecchi distinti (il router che fa solo routing, il firewall che fisicamente è un'apparecchiatura assestante preposta esclusivamente a tale compito ...) di brand quali cisco, watchguard, sonicwall, hp .... dove, se non di migliaia di euro parliamo di diverse centinaia, prodotti integrati diciamo "SOHO professionali" dal costo di 200/300 euro non sembrano certamente "molto cari". Ovviamente ne apprezzo le maggiori caratteristiche rispetto a quelli da 25 euro.
Se invece il router dopo averlo comperato lo attacchi alla linea, lanci il wizard di auto configurazione ed abiliti l'upnp lasciando poi fare tutto ai software del nas/pc sono d'accordo con te: non ha senso spendere queste cifre.
In ogni caso, quando si parla di prodotti integrati, bisogna considerare che utilizzando router, firewall e switch distinti questi apparecchi avranno ognuno la sua cpu, con la propria dotazione di ram e firmware swiluppato per massimizzare le prestazioni e funzionalità di quel specifico apparecchio nell'adempimento della funzione preposta. Gli integrati hanno un'unica CPU che fa tutto, quelli più evoluti hanno eventualmente del hardware dedicato per le funzioni di crittografia che sollevano la cpu centrale da tale carico incrementando le prestazioni delle vpn.
Riepilogando quindi a mio parere:
- va sempre acquistato un buon router
- la presenza del modem integrato non è fondamentale. Nel tuo caso va infatti installato a valle del router esistente. Poi dove le linee sono tempestate da fulmini consiglio sempre l'acquisto di un router puro (investimento) da abbinare ad un modem puro o router con modem integrato da 20€ usato in bridge. Quest'ultimo è l'elemento sacrificale.
- alla pari il wifi non è indispensabile. Mentre un buon router (specialmente se senza modem) potrà esser usato per moltissimi anni (sino alla morte per vecchiaia), il wifi è in continua evoluzione ed avendolo separato è sufficiente sostituire l'access point per rinnovare la tecnologia. Con un Vigor2860/2925 (con o senza wifi integrato) puoi gestire centralmente (ssid, configurazione, ...) anche tutti gli eventuali access point abbinati (AP900) . L'utilizzo di diversi AP potrà meglio coprire aree complesse e con gli AP900 in grado di effettuare la preautenticazione il client wifi (potrebbe esser ad esempio lo smartphone con client voip) potra roamare da una cella all'altra senza interruzione di connessione.
- In caso poi di attività parallele client/server in ambienti multi utente è sempre meglio collegare i client (diversi pc, diverse tv/mediaplayer in streaming contemporaneo) ed i nas/server ad uno switch indipendente al quale andrà collegato anche il router. In caso di mancanza di porte sullo switch dispositivi che abbisognano solo di internet quali potrebbero essere centrali domotiche, antifurto... potranno esser collegate alle porte rimanenti del router. Le prestazioni in switching e throughput di uno switch dedicato sono generalmente sempre superiori a quello integrato nel router. Nell'acquisto di un eventuale switch è opportuno valutare se nella rete verranno utilizzati telefoni VoIP, IPCam, AccessPoint. Tali dispositivi possono esser alimentati attraverso il cavo di rete (PoE) ed è perciò meglio scegliere uno switch in grado di erogare tale alimentazione. Così l'UPS, oltre ad alimentare NAS, router e switch, attraverso il PoE sosterrà anche gli altri dispositivi dell'infrastruttura di rete. Saremmo sempre in grado di fare una telefonata via VoIP anche in caso di blackout.
L'utilizzo di apparecchiature più evolute richiede certamente un grado di preparazione maggiore per configurazioni specifiche che consentano di sfruttarne tutte le caratteristiche, nulla però che non si possa risolvere con un po' di tempo e buona volontà, magari googlando un po' qua e la o chiedendo su qualche forum.