Redefiniendo mi red doméstica

¡Hola!

Hace un mes compré mi primer Mikrotik y ya he desterrado el pfSense que tenía funcionando desde hace 6 años. ¿Las razones? Pues un tanto personales:
- pfSense cada vez requiere más recursos para funcionar bien. Hay una constante amenaza de que dejará de dar soporte en plataformas que no soporten AES-NI.
- Restringido a arquitectura Intel/AMD
- Si no quieres follones hay que usar interfaces de red de Intel
- Al final ni una APU de PCEngines, que no es barata, es capaz de empujar bien 600Mbps simétricos con algún cliente VPN de por medio. De allí vengo.
- Si se me escacha el router, compro un Mikrotik en casi cualquier sitio. El hardware de pfSense de tamaño reducido cuesta más encontarlo y suele ser caro.
- Bendita consola de RouterOS

Bueno al tema. Mi actual configuración es:
- HGU Mitrastar de Movistar, pese a que tengo contratado 600/600 de O2. Como me da pavor dejar sin internet a mis críos mientras trasteo, nunca lo puse en bridge/monopuesto.
- Router: hAP ac2
- Wifi: Ubiquiti Unifi UAP-AC-LR.
- Switch: CSS106 con PoE out, y un CSS610 que por ahora tiene una castaña de firmware.

El tema wifi es peliagudo. Odio con todo mi ser el Unifi Controller pero he evaluado personalmente el cAP ac de Mikrotik y me duele mucho decirlo, pero en la banda de 5GHz, el Unifi lo barre. Con iperf3 saco algo más del doble de velocidad que con el Mikrotik. Además, el alcance es también notablemente mejor.

Actualmente tengo configurado un cliente de VPN por IPSec en el router y no va mal del todo. No he hecho pruebas de velocidad todavía. En un futuro quiero meter también un servidor VPN en el router. Y supongo que tendré que pasar el HGU a monopuesto si quiero mantener el teléfono por RJ11 pero tener la VPN accesible desde el exterior.

Estaba pensando en sustituir el HGU y el router, pero no sé si realmente vale la pena para una red doméstica de 600/600 por mucha VPN que ponga. Lo que tengo en mente:
- Router: un RB4011 sin wifi. El cifrado por hardware es más potente en cuanto algoritmos que el hAP ac2 y es más potente en todo. Esos 10 puertos seguramente hicieran prescindible el CSS106, ya que además tiene un POE out para el AP.
- ONT de Huawei. Ni idea del modelo que debo comprar ni si vale la pena cambiar el HGU.
- Tengo que comprar un teléfono inalámbrico, pero como no sé qué hacer con el ONT, me estoy esperando.

Así... ¿me quedo como estoy o me lío más la manta a la cabeza?

Saludos y gracias.
 
Yo te diría que te quedes como estás, y pases el HGU a monopuesto y listo:

- Tema router: te puedes quedar con el hAP ac2, ya que tiene aceleración hardware para IPSec. Si te da el calentón del 4011, bien, pero no es necesario. Ese equipo es muy burro para una instalación en casa, a menos que vayas a manejar centenares de clientes o vayas a revender tu acceso a internet. No obstante, como en la pasta manda cada uno, tú decides. Pero, por necesidad para mover lo que tienes... no.
- Tema VPN: Si queires velocidad, prueba a montar IKEv2, lo tienes descrito en uno de mis manuales. Los resultados son abismales comparados con el resto de VPN's. Estoy esperando como loco a que liberen la versión 7 de RouterOS para probar el rendimiento de WireGuard en una versión estable. De momento en la beta va bien, pero lo probé en un equipo sin aceleración hardware, y desconozco si esa VPN lo aprovecha o no en un equipo con esas caracterísiticas. Si lo hace, la competencia va a estar muy reñida. Si me gusta IKEv2, más me gusta WireGuard, dada su simpleza.
- Tema Wifi: toda la razón, Unifi tiene MU-MIMO y Beamforming como parte del Wave2 que aún no soporta mikrotik, y se nota (también en el precio, claro). Pero eso no quiere decir que la Wifi de 5GHz no se pueda tunear hasta que le saques mejor partido. Prueba con anchos de canal de 80MHz (20/40/80/XXXX) y usando canales DFS para aumentar la potencia de salida de la tarjeta de red (hace poco descubrí que puede haber una diferencia de un chorro de dBm's, dependiendo del canal que uses). Tienes más info aquí:
- Tema HGU/ONT: A menos que sea por un tema de espacio, yo me quedaría con el HGU: las ONT's con puerto de teléfono son escasas y ya no las provisionan, así que te toca configurarlas a manija. Si no quieres andar con líos, el HGU en monopuesto funciona muy bien en lo que hemos podido probar.

Si me dejo algo, me dices. Creo entrever que estás contento con el cambio y, viniendo de pfsense, me lo tomo como un halago. Ya verás que vas a tener entretenimiento con el mikrotik. Si compras el 4011, deja el hAP ac2 para trastear.

Saludos!
 
Yo te diría que te quedes como estás, y pases el HGU a monopuesto y listo:

- Tema router: te puedes quedar con el hAP ac2, ya que tiene aceleración hardware para IPSec. Si te da el calentón del 4011, bien, pero no es necesario. Ese equipo es muy burro para una instalación en casa, a menos que vayas a manejar centenares de clientes o vayas a revender tu acceso a internet. No obstante, como en la pasta manda cada uno, tú decides. Pero, por necesidad para mover lo que tienes... no.
Lo del RB4011 es una mezcla de calentón, quedarme con el hardware mínimo gracias a sus 10 puertazos y que el cifrado pasa de 256 a 512bits, además de AES-GCM. De momento no lo necesito, pero en pocos años lo acabaré necesitando. Además, tener un "equipo B" para trastear nunca está mal. Pero me da pereza comprar algo que no necesito ahora mismo.
- Tema VPN: Si queires velocidad, prueba a montar IKEv2, lo tienes descrito en uno de mis manuales. Los resultados son abismales comparados con el resto de VPN's. Estoy esperando como loco a que liberen la versión 7 de RouterOS para probar el rendimiento de WireGuard en una versión estable. De momento en la beta va bien, pero lo probé en un equipo sin aceleración hardware, y desconozco si esa VPN lo aprovecha o no en un equipo con esas caracterísiticas. Si lo hace, la competencia va a estar muy reñida. Si me gusta IKEv2, más me gusta WireGuard, dada su simpleza.
Lo que sea que acepte aceleración por hardware y sea liviano. OpenVPN me ha servido durante años, pero o no he tenido suerte con mis equipos o dependes de tener una CPU muy potente para exprimir bien una conexión. En los foros de pSense hace años discutimos sobre esto y la conclusión a la que se llegó es que como OpenVPN se ejecutaba fuera del kernel, iba lento incluso con aceleradoras.
- Tema Wifi: toda la razón, Unifi tiene MU-MIMO y Beamforming como parte del Wave2 que aún no soporta mikrotik, y se nota (también en el precio, claro). Pero eso no quiere decir que la Wifi de 5GHz no se pueda tunear hasta que le saques mejor partido. Prueba con anchos de canal de 80MHz (20/40/80/XXXX) y usando canales DFS para aumentar la potencia de salida de la tarjeta de red (hace poco descubrí que puede haber una diferencia de un chorro de dBm's, dependiendo del canal que uses). Tienes más info aquí:
Lo he estado leyendo esta mañana. Tendré que volver a intentarlo pero probé todo el espectro, incluso DFS, con múltiples anchos, activando el filtrado de ruido basal, WMM y demás. Mi piso es un desastre de hormigón y forjado, y el AP debe ser potente de verdad.
- Tema HGU/ONT: A menos que sea por un tema de espacio, yo me quedaría con el HGU: las ONT's con puerto de teléfono son escasas y ya no las provisionan, así que te toca configurarlas a manija. Si no quieres andar con líos, el HGU en monopuesto funciona muy bien en lo que hemos podido probar.
Pues tendré que ponerme con ello. ¿Basta configurar un PPPoE, dado que la gestión de las VLAN se lo sigue comiendo el HGU? ¿verdad? No sé si viene el escenario monopuesto en el manual de ISPs con chincheta.
Si me dejo algo, me dices. Creo entrever que estás contento con el cambio y, viniendo de pfsense, me lo tomo como un halago. Ya verás que vas a tener entretenimiento con el mikrotik. Si compras el 4011, deja el hAP ac2 para trastear.

Saludos!
Estoy muy contento con el cambio porque me ha obligado a entender qué estoy configurando y tengo el control de todo. Con pfSense no siempre es así y Unifi es la desesperación... todo escondido para que sea "fácil de usar".

Lo que sí echo en falta de pfSense es una gestión del firewall más clara que la de Mikrotik. Y crear alias de puertos o grupos de éstos. Es lo que me está costando más con diferencia. Bueno... y la movida de usar el chip del switch de manera nativa por hardware con VLANs... eso lo tengo pendiente.

Muchas gracias!
 
Lo del RB4011 es una mezcla de calentón, quedarme con el hardware mínimo gracias a sus 10 puertazos y que el cifrado pasa de 256 a 512bits, además de AES-GCM. De momento no lo necesito, pero en pocos años lo acabaré necesitando. Además, tener un "equipo B" para trastear nunca está mal. Pero me da pereza comprar algo que no necesito ahora mismo.
Pues aguanta con el que tienes de momento, y cuando te vuelva a dar el calentón, compras el otro. Con un poco de suerte, ha bajado algo de precio.

Lo que sea que acepte aceleración por hardware y sea liviano. OpenVPN me ha servido durante años, pero o no he tenido suerte con mis equipos o dependes de tener una CPU muy potente para exprimir bien una conexión. En los foros de pSense hace años discutimos sobre esto y la conclusión a la que se llegó es que como OpenVPN se ejecutaba fuera del kernel, iba lento incluso con aceleradoras.
Yo OpenVPN lo descartaría por completo. No funciona tan bien en mikrotik como en otros routers, y no acepta UDP en estos routers, así que, en mi opinión, le pierde la gracia. Además el performance de ese tipo de VPN en mikrotik no es bueno. Si quieres algo sencillo y rápido de montar (desde el propio quick set con un click), L2TP/IPSec, que sí aprovecha la aceleración hardware. Y, cuando te quieras meter de verdad en harina, IKEv2. A mi me da prácticamente el tope de mi conexión por VPN, los 300 simétricos. Y mi router principal es un hEX-S, no un 4011, jeje.

Lo he estado leyendo esta mañana. Tendré que volver a intentarlo pero probé todo el espectro, incluso DFS, con múltiples anchos, activando el filtrado de ruido basal, WMM y demás. Mi piso es un desastre de hormigón y forjado, y el AP debe ser potente de verdad.
Buena gana, si el entorno es jodido, no vas a conseguir un milagro. De cualquier forma, prueba y enreda, a ver si mejora algo.

Pues tendré que ponerme con ello. ¿Basta configurar un PPPoE, dado que la gestión de las VLAN se lo sigue comiendo el HGU? ¿verdad? No sé si viene el escenario monopuesto en el manual de ISPs con chincheta.
Sí, las vlans se quedan en el HGU cuando lo usas en monopuesto. Lo puedes configurar todo desde el quick set. Con seleccionar el tipo de conexión WAN PPPoE y meter usuario y contraseña, lo tienes andando.

Lo que sí echo en falta de pfSense es una gestión del firewall más clara que la de Mikrotik. Y crear alias de puertos o grupos de éstos. Es lo que me está costando más con diferencia. Bueno... y la movida de usar el chip del switch de manera nativa por hardware con VLANs... eso lo tengo pendiente.
Sí, el firewall podría ser más claro, pero una vez te sueltes en su manejo, es "fácil". Los alias de los puertos lo consigues con las listas de interfaces, si configuraste el router desde el quick set, verás como se usan para las reglas de drop y el masquerade. Por otro lado, las VLANs a nivel de switch chip están obsolotas para mikrotik, la nueva implementación es el Bridge VLAN Filtering (lo tienes en otro manual de chincheta). Lo digo porque no pierdas tiempo y te marees con el tema, que ya lo perdí yo para acabar llegando a la conclusión de que la nueva manera es la que se va a quedar.

Saludos!
 
Arriba