• Zarejestrowany: 2025-09-06
  • Posty: 4

Temat: Weryfikacja pomysłu + parę pytań

Dzień dobry,

To mój pierwszy wpis na forum, więc chciałem się przywitać - cześć.

Od "zawsze" korzystam z Internetu dostarczonego przez Netia za pomocą Huawei DN8245X6-10. Chciałbym z tym w końcu zrobić porządek i teraz mam pewien plan na to co chciałbym osiągnąć i chciałbym bardzo Was forumowicze prosić o potwierdzenie czy to jest "robialne" i czy to ma sens (czy może coś lepiej zrobić inaczej, lub w ogóle nie robić). Każdy komentarz lub porada będzie dla mnie na wagę złota.

Sprzęt, którego chce użyć to Cudy WR3000 V1 z OpenWRT. Podszedłem do tematu od d... strony i Cudy mam od wczoraj już skonfigurowane z czystym OpenWRT wink A teraz się dopiero upewniam, czy będę w stanie osiągnąć to co chce.

A to co chcę osiągnąć to:
* Oddzielna sieć dla użytkowników domowych (telefony, laptopy, komputer stacjonarny). Telefony i laptopy będę w stanie połączyć przy pomocy 5G z WPA3 SAE. Ale tutaj miała by być drukarka sieciowa. Od razu pytanie: czy jeżeli będę miał drukarkę w sieci 2.4G, a laptop w sieci 5G, to czy będzie możliwość drukowania z laptopa? Teraz Huawei to umożliwia, ale nie wiem czy to jest standardowa funkcjonalność, czy realizacja tego na OpenWRT będzie wymagała jakiejś specjalnej konfiguracji. Całą tą sieć chce puścić przez VPN na routerze (teraz każdy klient ma zainstalowaną aplikację do VPN osobno) i ogarnąć parental control za pomocą nextDNS.
* Huawei mam po jednej stronie mieszkania i zasięg po drugiej stronie jest bardzo słaby. Widziałem już parę dyskusji i boję się zapytać big_smile ale czy powinienem zrobić mesh, jeżeli będą problemy z zasięgiem? Czy użyć fast roaming. Niby czytam o obu, ale nie mogę wykombinować w którą stronę iść. Póki co zakładam, że Cudy będzie miało lepszy zasięg niż ten Huawei i wystarczy mi 1 urządzenie, ale chciałbym od razu wiedzieć na przyszłość - plus pytam z czystej ciekawości smile
* Oddzielna sieć dla gości (czasami goszczą u mnie osoby, które nie mają dostępu do internetu GSM i potrzebują się połączyć z WIFI - chce ich odseparować od mojej sieci, a przede wszystkim chce mieć sieć domową pod pełną kontrolą i nie chce żeby mi się pałętały jakieś dziwne urządzenia). Tutaj albo DNS filtering (nextDNS?) albo VPN. W sumie nie wiem co lepsze do takiego zastosowania?
* Oddzielna sieć na SmartTV. Szukam od dłuższego czasu i biorąc pod uwagę, że potrzebuję mieć ekran 4k, min 65" (ewentualnie 120Hz odświeżanie), to nie ma opcji kupić dumb/basic TV. Dlatego chcę go "ogłupić". Myślę o LibreElec+Kodi (na RPI) - wtedy może w ogóle nie konfigurowałbym internetu w telewizorze, ale muszę mieć dostęp do Netflixa (i DisneyPlus). Więc w najgorszym przypadku będę musiał korzystać ze SmartTV. Czy polecicie jakiś system, który będzie najlatwiej ogłupić, lub ustawić pod kątem prywatności? Jeżeli będę musiał go podłączyć do internetu to planuję ten SmartTV potraktować DNS filtering i VPN. Czy jeżeli ten telewizor będzie w osobnej, restrykcyjnej sieci, to będzie się dało udostępniać dane z sieci domowników (np. przejrzeć zdjęcia z urodzin lub video)?
* W przyszłości ewentualnie serwer NAS (jakiś gotowy, nie DIY), przede wszystkim do wymiany danych między urządzeniami (praca zarobkowa wykonywana na różnych laptopach), backupu danych z komputerów w sieci, wycofaniu danych z chmury i jakby się dało - udostępniania danych z sieci "domowników" do telewizora (mimo oddzielnych sieci), chyba że da się to zrobić inaczej/lepiej.

Co o tym myślicie? Czy będę w stanie uzyskać taki efekt na Cudy i OpenWRT? Czy będzie tu potrzebna jakaś zaawansowana konfiguracja? Byłbym wdzięczny za naprowadzenie na odpowiednie tematy.

Pozdrawiam!
Kowal3k

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,230

Odp: Weryfikacja pomysłu + parę pytań

Do czego ten vpn? Tzn możesz tak zrobić, ale po każdy client ma vpn w sieci domowej? Co to ma robić

- oddzielna sieć - tak, drukarka - tak. Jak sobie skonfigurujesz to tak będziesz miał, choć w OpenWrt wifi (niezależnie od bandu) jest domyślnie w tym samym bridge, łączenie z lan
- fast roaming i mesh to dwie różne sprawy. A brak zasięgu to trzecia sprawa i tak prawdę mówiąc to chyba potrzebujesz dodatkowego AP. Fast roamingu raczej nie włączysz na Huawei i Cudy tak żeby to działało, a mesh to bełkot marketingowy i nic wspólnego z prawdziwym meshem to nie ma - mesh to sposób łączenia wielu hostów w sieć a nie przedłużanie zasięgu ani tym bardziej przechodzenie pomiędzy AP
- sieć dla gości - możesz, tylko znów - po co ten VPN, gdzie niby mały by się przez vpn łączyć?
- siec dla iot - tak. I znów jakiś vpn...

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez MakaanPL (edytowany przez MakaanPL 2025-09-07 19:50:33)

  • Zarejestrowany: 2019-11-17
  • Posty: 65

Odp: Weryfikacja pomysłu + parę pytań

Po rejestracji na forum, kolejnym krokiem jest wyrzucenie słów "(xyz) VPN" oraz "mesh" do kosza smile

Pierwsze to sztucznie wykreowana potrzeba, bazująca na strachu i/lub paranoicznej nieufności względem np. operatora, który zgodnie z prawem niczego nie rejestruje (poza powiązaniem zewnętrznego adresu IP z danym klientem, także z CGNAT), a firemka z Panamy co najwyżej to obieca, niczemu nie podlegając i mając potencjalny interes np. w zbieraniu statystyk. Jedyny VPN który ma sens to ten do połączenia z siecią domową/firmową z innych miejsc lub firm między sobą.

Drugie pojęcie zostało wypaczone przez marketing i oznacza kompletnie coś innego (mesh np. 802.11s ma niszowe zastosowanie).

Ogólnie mam wrażenie że za bardzo kombinujesz, a może nawet walczysz z wiatrakami.
Mity związane z prywatnością i bezpieczeństwem skutecznie rozwiewa np. Adam Haertle (Z3S), Mateusz Chrobok, Jakub Mrugalski (Unknow), Kacper Szurek czy Piotr Konieczny (Niebezpiecznik). Szczególnie polecam wykład Adama z lutego, skutecznie otwiera oczy: https://wideo.zaufanatrzeciastrona.pl/prywatnosc choć sporo darmowej wiedzy też znajdziesz.

VLAN-y i separacja sieci pod kątem IoT, gości, jasne, czemu nie? Mając np. Home Assistanta z lokalną kontrolą można śmiało odciąć urządzeniom IoT dostęp do internetu tak na wszelki wypadek. Jednak z zapewnieniem dostępu do konkretnych urządzeń i usług między sieciami możesz mieć problem, jeśli rozgłaszają w jakiś sposób swoją obecność (np. bonjour, zeroconf) i wymagają dwustronnej komunikacji, sam routing i reguły firewalla L3 nie wystarczą.

NextDNS jest super, też używam, ale traktuję go jako adblocka i filtr świeżych/niebezpiecznych domen (korzysta m.in. z listy CERT Polska). To dodatkowa warstwa zabezpieczeń na wypadek nieostrożności, a nie sposób na skuteczne zablokowanie czegokolwiek.

Skuteczne filtrowanie ruchu sieciowego, szczególnie na urządzeniach dzieci, pracowników itd. musi być zaimplementowane już na urządzeniu (komputer, smartfon), wraz z odpowiednimi ograniczeniami możliwości deaktywowania lub obejścia blokad. W erze powszechnego szyfrowania połączeń, w tym DNS, ktoś/coś może z łatwością obejść filtry nałożone na poziomie sieci. Odpali jakiegoś komercyjnego "VPN-a", zmieni adresy DNS, skorzysta z DoH/DoT, połączy się zdalnie z innym komputerem, sposobów jest mnóstwo. Wiele aplikacji też to robi np. by utrudnić blokowanie reklam.
Musiałbyś postawić nie OpenWrt na tanim routerku, tylko korporacyjnego firewalla na wydajnym sprzęcie x86 (Sophos Home jest bezpłatny do użytku niekomercyjnego, jest też darmowy opnsense), ustawić deszyfrowanie SSL przez podstawienie certyfikatu na każdym sprzęcie w domu, a potem bawić się w obsługę wyjątków gdzie strona/aplikacja wymusza certificate pinning. Bez rozszywania SSL-a wciąż można skorzystać z sygnatur usług/aplikacji i selektywnie je blokować, ale to też nie jest trywialne i często nieskuteczne.

Sophos pozwala na bardzo fajne powiązanie ze sobą (płatnego i niestety drogiego) endpoint protection z firewallem, gdzie w jednym miejscu widzę np. że aplikacja fortnite.exe łączyła się tu i tam o konkretnej godzinie bez potrzeby korzystania z sygnatur firewalla do rozpoznania że to ta gra. Ale znowu, tylko na komputerach.

Telewizory "nie-smart" istnieją, to monitory używane np. w biurach czy sklepach. Ale pamiętaj że usługi VoD do odtwarzania w 4K z HDR wymagają zgodności urządzenia z ich systemami DRM więc i tak nie uciekniesz od (niewygodnego!) komputera lub równie "śledzącego" urządzenia z Android TV. Reklam z YouTube też nie wytniesz inaczej niż z poziomu przeglądarki internetowej lub alternatywnej aplikacji klienckiej.

4 Odpowiedź przez Kowal3k

  • Zarejestrowany: 2025-09-06
  • Posty: 4

Odp: Weryfikacja pomysłu + parę pytań

Cześć,

Dzięki Cezary za potwierdzenie. Grzebie w routerze od kilku dni (dość powoli). Jakbym na czymś utknął, to pozwolę sobie zapytać. Robię też testy zasięgu (z komórki i laptopa). Sygnał wifi po drugiej stronie mieszkania w zależności od sieci (2.4/5G), routera i klienta to między -70 do -85dBm. Czysto organoleptycznie urządzenia dość często tracą zasięg w ogóle. Poczytam o dodatkowym AP.

O mesh już zapomniałem smile Ale z tym VPN to zabiliście mi ćwieka... i to solidnie.

Makaan, dobrze wyczułeś, mam lekkie przewrażliwienie (paranoje?) na punkcie prywatności. Stąd praktycznie każdy klient ma u mnie zainstalowany VPN (Proton). Jest to dla mnie temat na tyle istotny i ciekawy, że jestem spokojnie w stanie poświęcić na to 69zł (w zasadzie właśnie kupiłem ten wykład z Z3S).

Idę oglądać, czytać ponownie co napisaliście i przetrawić temat.

5 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,230

Odp: Weryfikacja pomysłu + parę pytań

VPN nie zapewnia prywatności smile. VPN zapewnia ci tylko że jakiś system widzi Cię z innego adresu niż masz rzeczywisty, jeżeli w tym aspekcie dla Ciebie jest to prywatność - to ok, ale jeżeli rozpatrujesz to z zakresie bezpieczeństwa (że masz ważne dane, że nikt się nie włamie itp) to już nie, VPN do tego nie służy.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona