Inlägg

Egentligen så är det väl inga konstigheter här. Det är väldigt inne i tiden för kommuner att begränsa internet-åtkomst och separera nätverk för att säkra upp deras interna IT-miljö. Just i det här fallet så använder de sig uppenbarligen av standard WPA2/WPA3 PSK vilket i sig inte ger så mycket till säkerhet.

Det man som nätverksadmin kan göra är förstås att upprätta MAC-vitlistning för att begränsa vilka anslutna enheter som faktiskt får ansluta vidare ut mot omvärlden. Om det sitter enheter på det trådlösa nätverk där internet-trafik fungerar så antyder det att så skulle kunna vara fallet.

En annan förklaring kan förstås vara den att bakomliggande virtuellt nätverk (VLAN), som ansluter det trådlösa nätverket vidare in mot router/brandvägg, helt enkelt är bortkopplat med resultatet att du får ett trådlöst nätverk som leder ingenstans, du blir ansluten men kan inte kommunicera med något.

Hur som, det brukar aldrig vara uppskattat att anställda försöker ansluta ett och annat in mot ett kommunalt nätverk utan att man först frågar IT-avdelningen, som då oftast ger ett direkt ajjabajja. Det kan ju vara så att de kan fixa med ett trådlöst gäst-wifi som då hamnar på separat VLAN där endast trafik tillåts ut mot omvärlden och ingen risk att du får åtkomst till känslig IT-infrastruktur såsom diverse servrar och annat som annars kanske är åtkomstbart från ordinarie trådlöst nätverk. För sådana trådlösa nätverk kör man normalt sett radius-baserad säkerhet (802.1x) med certifikat för anslutning så att endast domänanslutna datorer har möjlighet att ansluta in mot nätverket och därigenom få åtkomst till interna system.

Har du aktivera "Smart Connect" eller "Roaming assist" i AI-Mesh inställningarna? Och har du testat att leka runt med RSSI-inställningarna för att på så vis tvinga enheter att koppla ifrån tidigare. Den senare är lite dum då den även påverkar själva mesh-noderna så den kanske inte passar sig i ditt läge.

Men du kan ju även testa att aktivera Wireless MAC-filter i AI-Mesh inställningarna för att svartlista enheterna på primära routern, så att du på så vis tvingar dem att ansluta mot mesh-noden även om klienten på något vänster anser att primära routern är starkare signalmässigt eller på annat vis. Jag läste nu att det i AI-Mesh och Devices ska gå att styra enheter till önskad nod, så det kan ju vara värt att kolla på också.

Men ja, i nödfall så skulle du kunna konfa sekundära enhet som repeater, som då gör att du får ett annat SSID på den enhet som då gör att du kan tvinga klienten att glömma det primära SSID:t och då bara ansluta till det sekundära SSID:t.

Är du säker på att externdern verkligen bara är en just en wifi-extender?

Det låter nästan som att externdern agerar router snarare än bara wifi-repeater, och därtill använder samma interna LAN-subnät som din ordinarie router. Då får man nämligen diverse konstigheter med routing och NAT då den sekundära enheten får samma IP-adress på både LAN och WAN-sidan så att säga.

Med andra ord så får du gärna meddela vad det är för en sorts "extender"-enhet du använder dig utav om du vill få ett mer utförligt svar.

Det stämmer att roaming hanteras primärt av klienten. Det finns dock möjlighet för accesspunkt att påtvinga roaming, antingen genom att man begränsar signalstyrkan för det ena eller det andra frekvensbandet, och det andra är genom att sätta gräns för RSSI-värdet (Received Signal Strength Indication) så att du tvinga ur enheten i förtid och påtvingar utvärding av nya möjligheter.

Men utifrån förutsättningarna i trådskaparens fall, där vi har en primär trådlös Asus-router i huset, samt en RT-AX53U ute i hallen, så har vi förstås problemet att enheter inne i huset emellanåt kommer att välja mesh-routern, som troligtvis sitter placerad gränsfall till för långt bort ifrån routern, vilket då resulterar i en dålig upplevelse för enheterna som ansluter till RT-AX53U:n.

En lösning är förstås att flytta den primära routern närmare den sekundära för att bättra på den trådlösa länken mellan dessa. Men med tanke på att det egentligen inte behövs någon ytterligare router i huset för att få fullgod täckning med bra prestanda, utan att denna sekundära enhet endast finns till för att lösa wifi-situationen för lastbalanseraren så skulle jag säga att lösningen i stället är följande.

Aktivering av Wireless MAC-filtering
Asus AI Mesh har möjlighet att svartlista oönskade klienter, eller vitlista önskade klienter per nod i systemet. Detta gör du under avancerade inställningarna och Wireless MAC-filtering. När du aktiverar detta så ska du även kunna välja vilken enhet som själva vitlistningen/svartlistningen ska ske på. Så om du antecknar MAC-adressen till lastbalanseraren, och därefter aktiverar en vitlistning på RT-AX53U noden mot den MAC-adressen, så kommer endast lastbalanseraren att kunna ansluta mot denna och övriga klienter tvingas därmed att ansluta in mot din TUF-AX5400 router i stället. Var försiktig bara så du inte råkar aktivera det på TUF:en så du stänger ut dig själv.

Som mrqaffe skriver så ska du aldrig ha mer än en router i ditt hushåll. Om du är ute efter att segmentera/dela upp nätverket så ska du i stället skaffa dig en router som stödjer VLAN.

I ditt fall så bör du göra dig av med routern från operatören, samt din gamla TP-Link router, och bara använda dig utav Deco S7 systemet, med en enhet konfigurerad som router, och de övriga enheterna anslutna däreftersom mesh-enheter för förlängt wifi-nät.

Om du vill ha bra prestanda på ditt trådlösa nätverk så bör du dessutom försöka undvika "dubbelhopps"-situationen, dvs där en mesh-enhet ansluter mot en annan mesh-enhet, då varje hopp halverar tillgänglig kapacitet/bandbredd. Dvs, placera primära enheten så centralt som möjligt så alla mesh-accesspunkter ansluter tillbaks in mot enheten som agerar router.

Om någon fler stör sig på att det inte går att kolla på Youtube med reklamblockerare påslaget i Firefox utan att den fryser sig en bit in i strömmen, gå bara in i inställningarna för uBlock Origin och lägg till "jnn-pa.googleapis.com" under "Betrodda platser". Och om ni kör Adguard så lägger ni bara till "@@||jnn-pa.googleapis.com^" under egna filter-regler.

Problemet när man återställer filer med raderad filallokeringstabell och hämtar upp filerna i rå-datan, är att du tappar all filstruktur och även till viss del metadata såsom skapar- och redigeringsdatum på filer, så det blir som du säger svårt att få någon vettig översikt över alla dessa filer som återställs eftersom alla får samma datumstämpel från när filerna återskapas och som sagt ingen filstruktur, men det kan inte hjälpas. Se detta som en läxa, backup, backup, backup.....

Slösa inte el på en strömslukande server, det enda ni behöver är en liten NAS som ni kan domän-ansluta mot ert Active Directory för enklare hantering av filsystemsrättigheter på NAS:en.

Exempelvis en Synology DS723+ eller DS423+ om ni anser er behöva SSD/NVME-cache för återkommande hanterade filer där ni behöver ha extra responsiva svarstider. Båda dessa enheter har dubbla Gigabit-interface med LACP/bondingstöd om ni vill maximera genomströmning om ni har switchar som stödjer detta, samt att de är enkla att domänansluta in mot Active Directory/LDAP. De har även mycket goda möjligheter för att automatisera säkerhetskopiering mot diverse olika molnbackup-lösningar såsom deras egna, Backblaze, S3-kompatibla objektbaserade lagringslösningar eller ytterligare Synology-enhet på annan ort.

https://www.synology.com/sv-se/products/DS723+#specs
https://www.synology.com/sv-se/products/DS423+#specs

Synology kan även agera Windows-kompatibel domänkontrollant med deras Synology Directory Server-tjänst. Denna har stöd för grupp-policys m.m. och du kan hantera automatisk montering av hemmappar och diverse lagringsmappar direkt i Synology:n utan att behöva gå via en separat Windows-server. Det finns även möjlighet att virtualisera upp till en PC direkt i Synology-NAS:en för exempelvis make-shift fjärrskrivbord som du kan öppna för access via VPN eller exempelvis Apache Guacamole under Docker/container-stödet i Synology som en enkel "terminal-server"-lösning. För detta behöver du dock uppgradera RAM-minnet då dessa kommer med 2GB ur lådan, men med möjlighet att uppgradera till 32GB (DS723+) och 18GB (DS423+) respektive.

Om du mot förmodan redan skulle ha en äldre server som du vill göra om till en NAS/filserver så kan du förstås skrämma in Synology DSM i den enkelt med hjälp av Arc Loader, något som Synology förstås inte är helt nöjda med, men ändå en möjlighet.
https://github.com/AuxXxilium/arc

Om du ska återställa raderade filer från ett SD-kort så kommer du att behöva ta ur SD-kortet ur telefonen och stoppa i det i en SD-kortsläsare eftersom du inte får den hårdvaru-access till SD-kortet som du behöver för att kunna köra återställning på sektor-nivå med ett verktyg såsom Testdisk när du går via telefonens USB-monteringsalternativ.

Annars så kan du även testa verktyget DiskDigger som du finner på Play-butiken, denna körs då direkt i telefonen och får fullständig åtkomst till SD-kortet för att kunna identifiera dina raderade bilder. Det förutsätter förstås att det inte var någon form av kryptering aktiverad på SD-kortet innan radering, eftersom det annars är helt kört att återställa något.
https://play.google.com/store/apps/details?id=com.defianttech...

Om vi bortser ifrån det juridiska ansvaret och endast ser till tekniken samt installationen så är det relativt enkelt att sätta upp en lösning för detta utifrån Ubiquiti:s produktsortiment.

Det som behövs är en router med stöd/kapacitet för att erbjuda i ert fall 9st LAN/VLAN med DHCP-server, och kapacitet för att rutta 500-1000Mbps.

Vi har sådana lösningar igång ute i fällt baserat på FortiGate för brandvägg och UniFi för switchat/kabel-nät samt UniFi för trådlöst, men du kan lika gärna klara dig med senaste UniFi Cloud Gateway Max (med inbyggd UniFi-kontroller) eller deras Gateway Max (för hantering via extern UniFi-kontroller) som faktiskt stödjer fler DHCP-servrar än vad de mindre FortiGate-brandväggarna stödjer. Kapacitetsmässigt så har du då routing-kapacitet för att lätt kunna leverera upp till 1.5/1Gbps respektive beroende på val av router.

Detta i kombination med att UniFi numera har stöd för PPSK (Private Pre-shared Key) som gör det möjligt att erbjuda individuella trådlösa nätverk men med ett och samma SSID över alla trådlösa accesspunkterna, gör så att alla hushåll får sitt "hemmanätverk" oavsett vart de befinner sig inom samfälligheten/området. Det gör att du exempelvis kan ha en smart strömplugg vid en carport på området som då ansluter in trådlöst på "samma" trådlösa nätverk som du sitter på hemmavid så man enkelt kan störa denna via mobilapp utan att behöva vara beroende av molntjänster, och du kommer också vara ansluten på ditt nätverk när du är på besök hos grannen så du bara når dina prylar och grannen når bara hens prylar.

Denna lösning tycker jag faktiskt är rätt häftig, och något vi använder i hyreslägenheter i anknytning till skidanläggningar bland annat som då gör det möjligt för respektive lägenhet att få sitt "eget" wifi för att kunna chromecast:a till sin egna TV, vilket inte skulle vara möjligt med ett vanligt gäst-wifi med AP isolation påslaget för att undvika kommunikation mellan enheter.

Ovan lösning går att antingen bygga utifrån kabelansluten infrastruktur för maximal prestanda, som en hybrid-lösning med vissa strategiskt kabelanslutna accesspunkter och mesh-anslutning utifrån dessa, eller fullständigt stjärn-mesh-lösning utifrån en optimalt placerad mittpunkt där primär internet-anslutning är terminerad. Det du vill undvika är så kallade mesh dubbell-hopp, dvs att du ha en mesh accesspunkt som är ansluten mot en annan mesh-accesspunkt, eftersom varje hopp i princip halverar trådlösa kapaciteten. Om du därtill önskar kabelförd anslutning i andra änden så löses detta genom att dessa accesspunkter PoE-matas från en lokalt placerad UniFi-switch där man då väljer att tagga ut det VLAN/"hemmanät" som hör till bostaden där accesspunkten sitter. Jag har gjort liknande sådana lösningar för svåråtkomliga DUC-utrustningar på 10 meters höjd i industrilokaler vilket har fungerat bra, så det är inget problem att lösa.

Jo jag har förstås också varit tankarna med att sätta upp egna DNS-servrar för mina domäner, men som du nämner så innebär det förstås en del arbete, samt att man själv blir en svag länk i det hela. Personligen så är jag mitt uppe i småbarns-tiden så tid för felsökning på hemmaplan försöker jag hålla ner till så lite som möjligt, för att ändå ha ett labb här hemma dvs.

Men det jag ser som fördelarna med Desec är att det är en icke vinstdrivande organisation bakom, de har DNS-servrar på 15 ställen spritt över världen, de har REST API för att enkelt kunna hantera DNS-pekare och med enkel integration med exempelvis Let's Encrypt och DynDNS-hantering mot dynamisk IP hemmavid, och förstås att DNSSEC är ett krav och enda anledningen till att organisationen bakom ens existerar, för att förespråka användandet av denna säkerhetsfunktion som försvårar domän-kapning.

Vad gäller domänregistrar så hittar jag gärna något billigare alternativ än Loopia, jag har själv 5st .se och en .nu domän i dagsläget som ligger hos dem. Jag får ta och kolla in alternativen här i tråden helt enkelt, ett par extra ute-luncher är ju trevligare än att stå och betala oskäligt dyrt för domännamn som används för privat bruk.

Jo jag tog steget och gick tillbaks till Firefox så fort uBlock Origin slutade fungera. Så nu har jag synkroniserad Firefox mellan alla mina enheter. Det enda jag saknar är grupperingsfunktionen i Chrome där man kan minimera flera flikar till en, det finns insticksprogram som ger ungefärlig funktion, men tyvärr inte lika snabbt och smidigt som stödet i Chrome. Men så länge får man ta det goda med det onda, förhoppningsvis så kanske denna funktion kan leta sig tillbaks till Firefox om tillräckligt många önskar det.

Jasså, vad ser du för fara i det hela? Desec.io har ju funnits i rätt många år och är dessutom en mer decentraliserad lösning än Loopia:s DNS:er som jag faktiskt har haft problem med historiskt med störningar. För egen del så har jag kvar registrar och hantering av NS hos Loopia, och med desec så är 2FA aktivt för administration samt att DNSSEC är aktiverat och nycklarna är säkerhetskopierade både digitalt och i pappersformat.

Jag tog och flyttade DNS-hantering för mina tjänster till desec.io. Mejlar man supporten där så brukar de vara schysst och tillåta mer än ett domännamn (jag har 6st). Vad gäller inköp av själva domännamnen så skiljer det ju inte så mycket eftersom det styrs av yttre faktorer.
https://desec.io/

Alternativt så installerar du bara en klassisk nedladdningshanterare, du vet en sådan som man använde på modem-uppkopplingstiden för att kunna återuppta nedladdningar när någon bröt internet genom att lyfta på telefonen.

Här har du en nedladdningshanterare som är open source och som har stöd för att begränsa nedladdningshastigheten.
https://motrix.app/

Ja så länge maskinen fungerar så kan du förstås leka och dona med den, för att lära dig HP iLO OOB och bara hur riktigt enterprise-grade servrar fungerar rent generellt. Rent prestandamässigt så förhåller sig dessa gamla Xeon Westmere CPU:er långt under vad moderna desktop-datorer presterar, så om du vill sätta upp något för spelserver eller webbserver så finns det bättre passande hårdvara, för webbserver skulle jag nog hellre råda dig att köra på en strömsnål Raspberry Pi än att köra en sådan här gammal härk, och för spelserver så är det vettigare att köra en vanlig desktop-PC med något sånär ny generation av Intel eller AMD CPU.

Närmaste du kan komma är att köpa ett Linocell hopfällbart tangentbord på Kjell o Co och komplettera med en blåtands ansluten numerisk tangentbordsdel.

https://www.kjell.com/se/produkter/dator/tangentbord/tradlosa...

https://amzn.eu/d/fJ1hrO0

Alternativt att installera "MiniTool Partition Wizard Free" och göra allt direkt i Windows. Obs, se till att bocka ur alla kryssrutor vid installation av ovan, annars slinker det in ett och annat skräpprogram på köpet, men i övrigt ett primar gratis partitioneringsverktyg med stöd för de flesta filsystem.

https://www.lifewire.com/thmb/XKlC8_dkFxa88_gEAUIqImom3jU=/1500x...