Val av router/switch för att kunna begränsa bandbredd tidsstyrt schema

Firewalla kanske är något ?

Du kommer behöva en mer avancerad router / brandvägg för att kunna styra nätverkstrafiken betydligt mer än vad du kan med en basic router som (netgear, d-link osv). Nu har dom iofs även avancerade produkter men jag syftar på det som de flesta personer använder, en hemma router (brandvägg).

Jag skulle säga att billigaste och mest användarvänliga lösningen för ovan önskemål, och som är en enda enhet, är Ubiquiti:s UniFi Express.

Fördelar
Router och trådlöst i ett
Möjlighet till upp till 3 individuella SSID/WLAN-nätverk
Möjlighet att schemalägga nertid på SSID/WLAN
Möjlighet att sätta bandbreddsbegränsning per SSID/WLAN
Möjlighet att aktivera blockering av VPN, porr och skadliga webbsidor samt Youtube och sökmotor i "safe mode"
Hanteras relativt enkelt genom UniFi-appen i telefon mot den interna UniFi-kontrollern i routern

Nackdelar
Klarar endast 3 SSID/WLAN i "console mode", dvs när man kör den som router och inte bara som accesspunkt. Så om man har tänkt att ha individuella trådlösa nätverk för barnen för att kunna begränsa åtkomst samt hastighet individuellt så räcker det bara till ett vuxen-wifi-nät och två barn-wifi-nät. Detta går då att runda genom att köpa någon av de värre routrarna såsom exempelvis UXG-Lite, UXG-Ultra eller UXG-Max i kombination med en UniFi-accesspunkt men då blir totalkostnaden för lösningen avsevärt dyrare.

Jag uppfattar frågan som explicit gällande per enhet och även ethernet (dvs sladdad speldator).

Jag har inte svaret som efterfrågas, men jag konstaterar att nftables (och antagligen även föregångaren iptables) har tidsstyrda regler och bandbreddsbegränsning via token bucket. Dessutom kan man så klart sätta regler på IP-nummer och MAC-adress med de vanliga nackdelarna. De nämnda lösningarna är de inbyggda brandväggs-ramverken i Linux-kärnan.

Mitt motförslag blir därför det tråkiga ”bygg din egen router med en helt vanlig Linux-burk”. Jag gissar att det finns routeroperativ där ute som håller användaren i handen och inte begränsar denne till vad som kan göras i GUI:et.

Jag har dock inget direkt tips eftersom funktionaliteten att lägga till egna brandväggsregler försvann ur OpenWrts GUI i samband med bytet till nftables/fw4. GUI:et verkar vara begränsat till antal anslutningar/paket per sekund och tidsstyrning, det tycks inte klara syntaxen för bytes per sekund. Jag såg dock en forumpost om att jow skulle lägga till egna brandväggstegler igen, så det är möjligt att det finns i snapshots. Antagligen kan man kortsluta uci, konfigurationsverktyget, och gå rakt på nftables, men då börjar det bli fulhackigt.

IPFire är totalt oförmöget att hantera IPv6, så det är jag inte inläst på. Om den efterfrågade funktionaliteten finns i *Sense/*BSD vet jag inte, men det är ju alternativ att forska på. Teklager säljer x86-baserade maskiner och förinstallerar det fria/gratis OS du vill ha.

Sedan är själva frågan rätt passiv-agressiv. Kör SQM i stället och dela rättvist på bandbredden. Låtsas att du är en bra förälder i stället för att leta tekniska lösningar.

Jo jag är fullt insatt i vad som är möjligt med Linux som router-operativsystem. En sådan lösning kräver dock mycket tid och kunskapsinläsning, vilket kan vara mer än vad många småbarnsföräldrar mäktar med, talar av egen erfarenhet då jag har två små tjejer här hemma som krigar om min tid och uppmärksamhet.

Därav min "Svenne"-lösning som redan är paketerad och med så pass begränsad funktionalitet att även småbarnsföräldrar kan hinna med att lära sig hur de fungerar under dass-passen när man får några minuter ostört.

Nu kanske trådskaparen har så pass stora barn att tid inte är en faktor, och då kan han förstås kika på mer komplexa lösningar såsom de du nämner, eller exempelvis Mikrotik (RouterOS) eller Ubiquiti EdgeRouter (VyOS) som båda har Linux-kärna och den senare är rakt baserad på Debian Linux.

Jag har faktiskt köpt ett par FortiGate 60E till några polare, dessa kan man hitta för dryga tusenlappen på Ebay och stödjer FortiOS upp till 7.4.x och har väldigt trevliga funktioner för blockering, exempelvis blockering mot FQDN-adresser med wildcards, man kan t.ex blockera *facebook* så kommer alla webbadresser som har namnet facebook i sig att blockeras. Så även om man inte har aktiv UTM-prenumeration med applikations- och webb-filtrering så kan man ändå göra mycket med dessa. Haken är förstås att du måste ha ett Fortinet-konto med aktiv FortiCare på åtminstone en registrerad produkt för att få tillgång till aktuellare firmware.

EdgeRouter kör inte VyOS, de kör EdgeOS som är en betydligt äldre fork av Vyatta från långt innan VyOS existerade. VyOS är nu betydligt mer uppdaterad än EdgeOS då den sistnämnda inte sett så mycket nyutveckling sedan den forkades.

FortiNet har dock de senaste åren haft så många allvarliga sårbarheter i sina produkter att de blivit lite av en meme.

Ja det var Vyatta jag tänkte på, pappahjärnan slog slint. 😆

Och det stämmer att FortiGate har haft ett par sårbarheter i SSL VPN, och en i FortiManager-kopplingen. Men man behöver ju inte aktivera SSL VPN, och FortiManager kan man ju helt klart stänga av på brandvägg hemmavid så inga https tjänster exponeras utåt, det har jag gjort. 😊

Ja, så kan det bli ibland. Tittar man på CLI:t är det ju också väldigt likt vid första anblick.

"Ett par" är en ganska stor underdrift. Det har formligen kryllat av sådana sårbarheter och publiceras nya med jämna mellanrum, senaste kritiska sårbarheten jag såg var från 12 mars. De säger själva att de haft 20 sårbarheter i FortiOS som klassas som höga eller kritiska enbart 2023 och 2024. Om det är någon tillverkare jag inte skulle våga ha utrustning utan supportkontrakt från kopplad mot internet så är det nog FortiNet.

https://www.fortiguard.com/psirt?product=FortiOS-6K7K%2CForti...

Rent funktionsmässigt har de dock säkerligen möjlighet att göra vad TS vill.

Jo det har helt klart varit lite väl mycket på kort tid, men det tenderar ju till att bli så med populära lösningar. Blir man erkänt av Gartner som ledare inom brandväggar, samtidigt som världen skriker efter säkerhetsprodukter så blir man snabbt en högprioriterad måltavla. Kommer du ihåg när man fick höra hela tiden att Apple och Mac-datorer aldrig åker på virus?

Som världsläget ser ut så upptäcks sårbarheter på löpande band oavsett tillverkare, så man är inte säker oavsett man kör Cisco, Palo Alto, Watchguard, Sophos, Sonicwall eller Fortigate. Vi får sikta in oss på nästa nya uppstickare som kommer och gör samma resa som Fortinet har gjort, och historian återupprepar sig.

Nja, de har haft en del riktigt pinsamma sårbarheter som gör att man ifrågasätter deras kodkvalitet i allmänhet. Det handlar inte enbart om att fler letar sårbarheter i deras prylar, även om sådant givetvis också påverkar.

Jo absolut, det går inte att försvara, bara att hoppas att de bättrar på sig. Efter att ha konfigurerat all tänkbara routrar och efter att ha vant sig vid det sätt som FortiGate presenterar brandväggsreglerna med zon-uppdelning så har jag svårt att gå tillbaks till något annat. Om du känner till någon konkurrent där brandväggsreglerna presenteras lika överskådligt så får du gärna meddela mig, jag kanske bara har grävt ner mig för länge under Fortinet-stenen. Jag testade pfSense och OPNsense där ett tag, men insåg snabbt att mitt egna regelverk skulle bli rätt smetigt i deras webb-vy för detta.

Men nu är vi en bra bit bort från ursprungliga frågeställningen i denna tråden, hehe.

VyOS har också stöd för zone based firewall, men än så länge har VyOS bara ett CLI, inget GUI.

Ja, det börjar bli ganska långt från trådens frågeställning.

Så länge Deco M5 kan sättas i ett läge där de inte agerar router utan bara APs (vilket de ser ut att kunna) så ska det inte vara något problem att koppla in dem som du beskriver.

Asus har rätt många trevliga saker inbyggt, med QoS kan man begränsa klienters bandbredd.

https://www.asus.com/support/faq/1010935/

Dom har även rätt bra funktioner för att helt döda access, rätt bra om man vill begränsa kids spelade vissa tider.
Och är det så att kidden bäddat sängen, plockat ur diskmaskinen och du vill belöna med en timmas pangande så kan du lätt öppna för det i en app.

En nackdel är väl dock att man inte kan räkna med firmware-uppdateringar mer än några få år.

Sett till mängden funktionalitet kommer den ju dock vara rejält mycket bättre än Telia-routern.

Jo, helt rätt tänkt. Men det är rätt många tillverkare som är dåliga idag på att leverera uppdateringar.
Tror Asus ändå har rätt bra supportlängd om man köper en hyffsat ny router, räkna runt 5-6 år minst.
Tar man N66U routern som referens så fick den uppdateringar i 9 år. Nu var den säkerligen klassad som en premium enhet när den släpptes och fick support längre än många andra.
Sen säger ju inte det någonting om hur snabba dom är att laga funna säkerhetsproblem i programvaran.

Ska man få uppdateringar under en längre period får man lägga mer pengar och mer tid på att underhålla samt att det oftast är lite mer skruvande.

Du kan absolut köra TP-Link Deco bakom UniFi Express om du så önskar, detta genom att som andra har skrivit. Du ansluter då första Deco accesspunkten till UniFi Express LAN-port, konfigurerar denna som accesspunkt via mobilappen enligt guiden nedan.
https://www.tp-link.com/se/support/faq/1842/
Därefter ansluter du den andra accesspunkten trådlöst till den första, även detta görs via mobilappen.

Nackdelen med den lösningen är följande
* Du får två hårdvarumässigt separerade trådlösa nätverk, en som hanteras med Deco-appen från Deco-accesspunkterna, och en som hanteras med UniFi-kontrollern och tillhörande UniFi-app utifrån UniFi Express-routerns hårdvara
* Du kan bara sätta upp begränsningar och schemaläggning på det eller de trådlösa nätverken som du konfigurerar i UniFi Express-routern
* Deco-enheterna kommer att hamna i "default"-nätet/VLAN 1 om du inte kompletterar upp med en VLAN-kapabel switch efter UniFi Express-routern, en lite UniFi Flex Mini duger för att kunna splitta ut VLAN/olika virtuella nätverk

Kort och gott, sälj TP-Link mesh-enheterna och skaffa en eller två UniFi U6+ accesspunkter istället så blir livet enklare för dig. Köp 1-pack/OEM-förpackning, då ingår PoE-injektor för strömsättning av accesspunkt(erna).