Zpět na článek

Diskuze: Domácí síťování a Firewall Zyxel USG20-VPN

Nejsi přihlášený(á)

Pro psaní a hodnocení komentářů se prosím přihlas ke svému účtu nebo si jej vytvoř.

Rychlé přihlášení přes:

rnb

Level 0

20. 11. 2019 00:24

Komentáře tohoto uživatele máš zablokované.

Který poskytovatel internetu v ČR podporuje domácnostem plné nasazení IPv6, tedy má funkční routování a DHCPv6 pro všechna zařízení v místní síti zákazníka?
Přešaltovat na routeru u zákazníka IPv4 na IPv6 a zbytek v jeho domácnosti ponechat za NATem, je šméčková podpora IPv6.

Petr Šaroun

Level 1

20. 11. 2019 00:53

Komentáře tohoto uživatele máš zablokované.

@rnb Zdravím, :D Ano, ano, jsou tu jisté problémy, to uznávám :lol:

SLAAC, tedy bezstavová konfigurace funguje snad u všech kabelových operátorů, v řadě FreeNetů, UPC i dalším.

DHCPv6, tedy bezstavové, které nabízí třeba adresy DNS serverů, to si můžete taky pustit :D

V_pro

Level 1

21. 11. 2019 18:06

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun To je dobry, ja dal lajk, a aj tu stupidni premii

LivingLegend

Level 1

20. 11. 2019 08:59

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun 1) nasazení IPv6 v podaní UPC je pokus o komedii a ne nasazení.
2) Od kdy UPC umí bridgovat?

Pokud má klient na modemu podporu dual stacku lite, dostane nově privátní IPv4 adresu a veřejný IPv6 prefix. V současné době běží testy, které budou během několika dnů ukončeny. Během následujících týdnů zahájíme provoz v režimu DS-Lite. Pro místní síť bude pomocí DHCPv6 přidělován prefix o délce /56, drátová síť i Wi-Fi pak dostanou pomocí SLAAC společný rozsah /64. Bohužel zatím nebude možné z routeru prostřednictvím DHCPv6 serveru dostat další rozsah pro zařízení v místní síti. Bohužel to neumožňuje firmware modemů. Zároveň nebude možné mít modem přepnutý do režimu bridge a routovat na jiném zařízení za ním.

zdroj : https://www.root.cz/clanky/upc-zacne-brzy-pridelovat-ipv6-zakaznici-ale-prijdou-o-verejnou-ipv4/

Petr Šaroun

Level 1

20. 11. 2019 01:04

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun Omlouvám se, že jsem nebyl příliš podrobný, ale raději bych si flame o IPv6 schoval napříště :lol:

FabledWarrior

Level 23

20. 11. 2019 09:20

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun @LivingLegend: "Zároveň nebude možné mít modem přepnutý do režimu bridge a routovat na jiném zařízení za ním."

Jak jako nebude možné? Tohle je mimo mé znalosti, sotva se základně orientuju v IPv4, ale v čem tam je problém? Proč bych měl být odkázán na modem poskytovatele internetu? Co když je děravej? Má zadní vrátka atd...?

rnb

Level 0

20. 11. 2019 08:10

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun @Petr Šaroun: Flame není třeba, ale zdržel bych se kategorických prohlášení, že Protokol IPv6 už přišel. Tečka. :D

tynyt

Level 23

20. 11. 2019 08:02

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun @Petr Šaroun: tak na flame o ipv6 se těším. :D

Petr Šaroun

Level 1

20. 11. 2019 11:11

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun @rnb: No vidíte.
Spousta lidí mi píše "Ale IPv6 tu už je nejméně dva roky!"

Třeba tady v roce 2017 pan Satrapa píše:
"Není čas se ptát, zda je IPv6 funkční. Už je tady."

https://www.root.cz/clanky/ipv6-nechtene-dite-pomalu-prichazi/

V roce 2017 to bylo myslím hodně předčasné zvolání :wink:

Věřím, že v tuhle chvíli si už opravdu mohu dovolit napsat, že IPv6 je tady.
V roce 2020 (a ten už klepe na dveře) se dostaneme přes třicet procent a celé se to trochu zrychlí.

Skutečně věřím tomu, že nastává čas začít o IPv6 psát.

Nerad bych se zařadil mezi hejkaly, kteří IPv6 zvěstují každý rok už dvanáct let :lol:, ale dostáváme se ke 30%.

tynyt

Level 23

20. 11. 2019 10:01

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun @FabledWarrior: Protože to je technické omezení implementace u UPC. Kdybys klikl na link, tak je to tam poměrně podrobně popsáno.

rnb

Level 0

20. 11. 2019 17:25

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun @Petr Šaroun: 30 % domácností v ČR má k dispozici technologii IPv6 s podporou bridge? Tomu přece nevěříte ani sám :lol:

Ve skutečnosti je to tak, že ISP umí přidělit 1 (slovy jednu) IPv6 adresu do domácnosti a tím to hasne.

tynyt

Level 23

20. 11. 2019 14:29

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun @Petr Šaroun: Tak až se vyřeší (za rozumné peníze pro koncáky) security problémy ipv6, tak prosím. :-)

https://tools.ietf.org/id/draft-ietf-opsec-v6-13.html#rfc.section.2.1.4

Zejména problematika bezpečnosti DHCP (jak SLAAC, tak DHCPv6) je reálně dosud velký problém, pokud vím, tak DHCPv6 snooping začíná někde na levelu Ruckus a výše (takže juniper, cisco a podobné cenové skupiny). Je doslova noční můrou, pokud si kdokoli v byť jen trošku větší síťce může rozjet vlastní DHCP server. SLAAC je na tom pak ještě hůře, tam se díky autoconfigu IPv6 adres stačí útočníkovi vysíláním paketů drze protlačit jako výchozí router. Není třeba ARP poisoningu a jiných, poměrně komplikovaných technik k ošálení oběti.

Sorry, že do toho takhle házím vidle, ale z mého pohledu není ipv6 dospělá.

Petr Šaroun

Level 1

20. 11. 2019 11:20

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun @tynyt: S tím UPC mě to mrzí.
Technicky nasazení DS-Lite není problém, proč by nemělo jít přepnout do modem do bridge. Měl by za ním stačit router, který DS Lite umí. Ale nemám možnost se k tomu dost.

Nicméně, prý je to "pěkná *******" :confused:, ale jak říkám, neměl jsem možnost na to sáhnout.

odb

Level 24

21. 11. 2019 08:47

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun @tynyt: IPv6 nieje dospela, je zastarala. Toto sa nikdy nemalo dostat von ale max na jeho zaklade vytvorit nieco nove.
Mne pride IPv6 ako akademicky projekt odtrhnuty od reality.
DHCPv6 bolo dorabane dodatocne, na zaciatku sa s nim vobec neratalo. Preto t ak vyzer s jeho podporou a funkcionalitou
Na root.cz vysiel uz davnejsie pekny clanok(tusim to bola seria par clanokv) o nedokonalostiach Ipv6 a ich zneuzitelnsti. Brutal citanie to bolo premna. Vobec som necakal, ze IPv6 ma take zranitlenosti.
Mne z toho vychadza, ze niekto zaspal dobu, rychlo dochadzali IP adrsy a tak sa pouzilo, co bolo po ruke.

Petr Šaroun

Level 1

20. 11. 2019 14:52

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun @tynyt: Tak to Internet Explorer 6 nebyl taky a jak dlouho sloužil, panečku :lol:

A jinak jste to shrnul pěkně, to ovšem neznamená, že IPv6 nebude nasazená, nasazená už je.

Petr Šaroun

Level 1

21. 11. 2019 14:55

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun @odb: S mnoha věcmi se dá souhlasit.

Třeba:
Toto sa nikdy nemalo dostat von ale max na jeho zaklade vytvorit nieco nove.
Mne pride IPv6 ako akademicky projekt odtrhnuty od reality.

Pod to bych se hned podepsal.

Tohle je jeden z důvodů velmi pomalého nástupu IPv6, IPv6 si lidi nepořizují, protože by chtěli, ale buď protože jsou donuceni nebo z nouze.

FabledWarrior

Level 23

20. 11. 2019 06:05

Komentáře tohoto uživatele máš zablokované.

Zdravím, hezký článek, jako vždy.

S tím odstavením vDSL routeru jste mi připomněl, že bych rád odstavil router pro kabelové připojení od UPC a v podstatě bych ho použil stejně jako vy v článku, pouze na překlad z koaxu na Ethernet. Za něj bych si rád koupil nějaký lepší WiFi router, protože ten v současném routeru neumí ac standard apod.

Je postup odstavení toho kabelového routeru podobný?

tynyt

Level 23

20. 11. 2019 08:02

Komentáře tohoto uživatele máš zablokované.

@FabledWarrior je podobný a jednodušší.

Smazaný uživatel

Level 1

20. 11. 2019 08:12

Komentáře tohoto uživatele máš zablokované.

Mohu se autora zeptat, co konkrétně IPv6 přináší koncovým uživatelům v domácnostech?

tynyt

Level 23

20. 11. 2019 08:15

Komentáře tohoto uživatele máš zablokované.

@Smazaný uživatel + teoreticky konec NATu
- problémy se zabezpečením koncových bodů
- problémy se zabezpečením vlastní sítě

Smazaný uživatel

Level 1

22. 11. 2019 14:52

Komentáře tohoto uživatele máš zablokované.

@tynyt Díky, i když nejsi autor :).

Pak je vidět, že je autor hodně mlád a prostě žije novinkami, které ale často (jako v tomto případě) nepřináší nic co by koncový uživatel musel mít. To omlouvá jeho výkřiky v článku.

LivingLegend

Level 1

21. 11. 2019 11:12

Komentáře tohoto uživatele máš zablokované.

@tynyt teoreticky konec VPN

Nedos

Level 31

20. 11. 2019 09:59

Komentáře tohoto uživatele máš zablokované.

@tynyt Konec natu, ... U rodičů doma třeba naprostá zbytečnost + ty bezpečnostní rizika. Já si třeba NAT doma nastavím, včetně firewallu tak aby fungoval tak jak já chci, ale kolik je takových lidí. Většina to má doma jenom jako WIFI na mobil.

rnb

Level 0

20. 11. 2019 09:45

Komentáře tohoto uživatele máš zablokované.

@tynyt + Konec chybně nastavených DHCP serverů u zákazníků.

Místo NATu budeš mít Firewall, zde problém není.

tynyt

Level 23

25. 11. 2019 12:29

Komentáře tohoto uživatele máš zablokované.

@tynyt @oldass: tady bych se Petra i zastal - problém "konce" IPv4 tu reálně je a nic jiného než IPv6 na stole není.

Mám to štěstí, že nepracuju pro ISP, kteří IPv6 musí chtě-nechtě implementovat, protože IPv4 viz první odstavec. Sám IPv6 "sleduju zpovzdálí" a snažím se jej informačně/studijně nezanedbat, i když jej nikde nepoužívám (a implementace např. u O2 je/byla vyloženě na facku a zdroj mnoha problémů s konektivitou). Takže informovanost běžné IT čeládky, která chodí na PCT a jiné podobné servery by být měla a já jsem celkem nadšený, jak profesionálně to Petr píše, je vidět, že problematice rozumí.

Jinými slovy, kdo se sítím věnuje, na IPv6 narazí, ať chce či ne. :D

tynyt

Level 23

20. 11. 2019 11:57

Komentáře tohoto uživatele máš zablokované.

@tynyt @Nedos: Místo NATu na routeru nastavíš forward pravidla v klasickém schématu a nebudeš potřebovat NAT táblice. Výsledek je z bezpečnostního hlediska stejný (nebo lepší, pokud zahrneme šaškec s nat-traversal útoky), jen budou bez potíží fungovat všechny protokoly, i ty, které v datové části paketu laškují s IP adresou.

Petr Šaroun

Level 1

20. 11. 2019 11:28

Komentáře tohoto uživatele máš zablokované.

@tynyt @Nedos: Největší problém NATu je ten, že ho mnozí používají jako všelék "bylo nebylo, za devatero NATy...".

Fuj :-D

Zbytek si budu šetřit do dalšího článku no :-D

tynyt

Level 23

20. 11. 2019 10:02

Komentáře tohoto uživatele máš zablokované.

@tynyt @rnb: a k NATu - to jsem psal jako plus, ne minus. :-)
Kromě toho, NAT není firewall...

tynyt

Level 23

20. 11. 2019 09:47

Komentáře tohoto uživatele máš zablokované.

@tynyt @rnb: zrovna implementace DHCP je systematicky děravá (pokud nemáš smartswitch s adekvátní funkcionalitou), až to hezké není.

Petr Šaroun

Level 1

20. 11. 2019 11:24

Komentáře tohoto uživatele máš zablokované.

@tynyt @tynyt: Ano, NAT není Firewall, ale částečně se tak chová. Zatímco pro "prostřelení" NATu musí být splněny jisté požadavky a na cílové stanice nelze "snadno střílet". Tak s IPv6 to velmi snadné je.

No, na to se podíváme příště, jak říkám, chci si flame ohledně IPv6 vyšetřit na příště :-D

tynyt

Level 23

20. 11. 2019 08:13

Komentáře tohoto uživatele máš zablokované.

Se zyxely USG/UAG mám celkem dlouhé zkušenosti, jsou to poměrně dobré krabičky.

Jen škoda, že jsi neotestoval ssl bumping, tj. jak je řešena recertifikace na úrovni Zyxelu, zda je to podobně jako u squidu, nebo zda je možné přidávat výjimky (např. pro banky apod.)
Jinak inspekce SSL znamená vždy poměrně vážný zásah do zabezpečení a mělo by být jasně řečeno, že kromě zavedení "antivirové bezpečnosti" se z takového routeru stává "šmírák"

Petr Šaroun

Level 1

20. 11. 2019 11:32

Komentáře tohoto uživatele máš zablokované.

@tynyt Ohledně inspekce HTTPS, rozhodně, tohle mě skutečně mrzí!

V zásadě jsou dvě možnosti. Jednak přes IP adresu, Router samozřejmě ví, kam přistupuji, protože má cílovou IP adresu. Nicméně, webů na stejné IP adrese může být hodně. No a nebo podstrčením falešného certifikátu a hrabáním se uvnitř spojení, což je "čuňárna".

Snad se mi to povede ještě zjistit.

tynyt

Level 23

20. 11. 2019 12:04

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun Upřímně - pokud má fungovat antivirová ochrana na úrovni SSL, tak jediná možnost je opravdu ta "čuňárna", protože jinak se dá chránit už rovnou na úrovni DNS a řezat to už při pokusu o resolving (potenciálně) závadné domény. Problém je, že to primárně neřeší malware "vhacknuty" do jinak nezávadných stránek, což se děje ad-hoc a někdy jen dočasně, typicky cílených útocích.

zvavrik

Level 1

20. 11. 2019 08:21

Komentáře tohoto uživatele máš zablokované.

Jeden náš zákazník ho měl a nějak mi nepřirostl k srdci. Rozhraní mi přijde naprosto nepřehledné a překombinované. Raději používám vlastní routery postavené na pfSense nebo levného mikrotika.

Petr Šaroun

Level 1

20. 11. 2019 11:35

Komentáře tohoto uživatele máš zablokované.

@zvavrik Dobrý den,

rozhraní je otázka zvyku. Někomu sedne, někomu ne. Všechno má svoje výhody i nevýhody, já třeba nesehnal pro pfSense solidní malinkatou karabičku, kde by si mohla běžet, aby to vyšlo jako ten Zyxel.

A u Mikrotiku mi chybí ty rozšířené služby.

Přesto mi všechna řešení připadají dobrá.

Jinak osobně mám rád WatchGuarda, ale ta cena je úplně jinde.

kernel

Level 1

21. 11. 2019 12:34

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun 1, pfsense - hw se sehnat dá byť to není nejlevnější

https://store.open-tech.cz/pfsense/

2, mikrotik - pokud budu řešit blokaci závadných IP adres - mám skript který si aktualizuje blacklist ze http://www.blocklist.de/en/index.html
průměrně mám zalistovaných 35000 IP adres

na vizuální monitoring mikrotik opravdu vhodný není

Noxik

Level 1

23. 11. 2019 20:42

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun @banba: Mohu poprosit o odkaz na ten script pro Mikrotik? Dekuji

Nalim27

Level 1

21. 11. 2019 16:25

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun @banba: Diky ten nejmensi firewall vypada jako neco vhodne i pro pokrocilejsi domacnosti.

https://store.open-tech.cz/pfsense/sg-1100-microfirewall-pfsense/

Otazka je, co to vsechno umi a jak je to vykonne.

Treba ja mam 350 Mbit od UPC a byl bych nerad, pokud by tahle krabicka blokovala provoz. Na strankach vyrobce pisi, ze 5x vetsi rychlost, nez predchizo model, ale to je mi udaj k nicemu.

Update: aaaa uz jsem to na jedne strance nasel - v rezimu firewall zvlada az 500 Mbps. To je na na doma pouziti dneska ok.

Petr Šaroun

Level 1

21. 11. 2019 14:55

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun @banba: Dobrý den,

máte pravdu, ale Zyxel dokáže nastavit i člověk, který se sítěmi příliš nezabývá.

spajk

Level 1

20. 11. 2019 23:09

Komentáře tohoto uživatele máš zablokované.

Dobrý den,prosím Vás vyplatí se nákup použitého starého modelu Zywall USG 50 ? V ceně cca 2000,- ?
Jak je to s podporou od výrobce ? Děkuji

Vit99

Level 1

21. 11. 2019 14:11

Komentáře tohoto uživatele máš zablokované.

muzu timto nahradit svuj stavajici wifi router (samozrejme tou wifi verzi Zyxelu) nebo je lepsi kdyz budu mit tu newifi verzi a pichnu ji pred ten svuj domaci wifi router? Mam od poskytovale "podany" kabel a za to si muzu pripojit co chci. diky

Petr Šaroun

Level 1

21. 11. 2019 14:56

Komentáře tohoto uživatele máš zablokované.

@Vit99 Dobrý den,

ano, je to tak, přesto bych tohle zařízení doporučil spíš zkušenějším profesionálům a správcům sítí než domácím uživatelům.

kernel

Level 1

21. 11. 2019 14:21

Komentáře tohoto uživatele máš zablokované.

@Vit99 Tak primarni ucel zarizeni je firewall.
Samozrejme to lze pouzit jako router, ale "pokrocilejsi sitarske moznosti" ala mikrotik nebo cisco od toho necekejte.

Petr Šaroun

Level 1

21. 11. 2019 14:58

Komentáře tohoto uživatele máš zablokované.

@kernel Pokročilých možností umí snad naprostou většinu, samozřejmě volnost konfigurace především oproti Mikrotiku je menší.

Na druhou stranu, Mikrotik musíte dělat, abyste ho uměl. Tohle zařízení nastavíte, i když jich máte třeba jen pět po různých klientech a neřešíte to denně.

Ripper6

Level 1

21. 11. 2019 16:11

Komentáře tohoto uživatele máš zablokované.

Ahoj,

mam pro VDSL AVM FRITZ Box posledni 7590 router. Chci se zeptat, jaky mate na nej nazor co do bezpecnosti? :)
A co ten NAT. Provider ma pouze ipv4 a je to za natem uz od nej.
Tudiz pokud bych doma vytvoril dle clanku NAT, mel bych uz dva NATy? Je to tak? :)

Petr Šaroun

Level 1

21. 11. 2019 17:58

Komentáře tohoto uživatele máš zablokované.

@Ripper6 Dobrý den, Fritz! vyrábí DSL modemy s VELMI DOBROU DSL částí. Netvrdím, že všechny, všechny samozřejmě neznám. Testoval jsem velmi mnoho modemů a Fritz se umístil velmi vysoko, byl mezi nejlepšími modemy co se týká schopností pracovat na 4.7Km.

Ale jak už jsem psal, s tímto zařízením nemám žádné zkušenosti. Kdybych ho měl přirovnat ke značkám aut, dal bych ho někam k Mercedesům. Samozřejmě všichni vyrábí lepší i horší výrobky.

Pokud je tento modem aktuální, předpokládám, že za uvedenou částku se bude jednat o profesionální zařízení, které vám poskytne srovnatelné možnosti zabezpečení, jako testovaný Zyxel.

Ripper6

Level 1

22. 11. 2019 21:22

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun Dekuji za reakci :)
u VDSl je to bohuzel slozitejsi, pac i operatori bud jsou predrazeny a nebo maji uvazek. Ja mam operatora kde mam slevu, bez uvazku a jeste mi dal za specialni cenu ten router. Jen jediny co musim mit je ipv4, proste tak to je.
Netusim zda je tak slozite poskytovat lidem ipv6? Osobne to ale jsem nepoznal. Byt za NATem je to i nejaka vyhoda.

Nedos

Level 31

22. 11. 2019 19:25

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun Fritz bylo první zařízení co jsem viděl co mělo v jedný krabiččce standartní velikosti DSL, klasickej WAN, 4LAN porty, WIFI, vstup na ISDN a obsluhuje 4 telefony. Ještě mohl vařit kafe a mít vodotrysk, pak by byl dokonalej :-)

Petr Šaroun

Level 1

23. 11. 2019 07:09

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun @Ripper6: Dobrý den,

většina (všichni?) poskytovatelů DSL připojení už IPv6 nabízí. A to včetně alternativních. Obecně můžete skrz IPv4 tunel protlačit IPv6 provoz a skrz IPv6 tunel protlačit IPv4 provoz.

Hodně o tom ví uživatelé s DS-lite :wink: Tunelovaný provoz má nižší MTU a obvykle TROCHU vyšší latenci. Pro profesionální hráče je lepší, aby provoz IPv4 byl nativní a IPv6 tunelovaný. Řekl bych...

Ripper6

Level 1

25. 11. 2019 15:02

Komentáře tohoto uživatele máš zablokované.

@Petr Šaroun @Petr Šaroun: Dekuji za reakci ale...
rada alternativnich to nema zde treba provider
Bohužel ne. Používáme pouze IPv4 a IPv6 implementován v současné době nemáme.

365internet :)

zkill

Level 10

21. 11. 2019 16:44

Komentáře tohoto uživatele máš zablokované.

Výhodou USG od ZyXELu je to, že je v opravdu bytelné škatuli. Výborně se mi tak hodí na vypodložení monitoru. V mém případě se jedná o USG60W. Na nic jiného není tato GW vhodná. Kvůli absolutně zmršené podpoře IEEE 802.11n jsme škatuli dokonce vyřadili z naší laboratoře pro testy interoperability. A to tam máme přes 200ks různých AP.

Pa3ck

Level 5

21. 11. 2019 21:34

Komentáře tohoto uživatele máš zablokované.

Co nema SQM codel/cake uz nenasadzujem :) hlavne nie na dsl, akurat to musi mat uz nejake schopnejsie CPU. Ostavam radsej pri OpenWRT/OPNsense/VyOS. Od Zyxelu prave odchadzame, pomerne drahy HW a nedosahuje kvalitu ani na cheap EdgeRoutre ktore pouzivaju tiez OS fork Vyatta. Podpora zariadeni Zyxel je tiez bieda... a to mam par certifikacii od Zyxelu.

V_pro

Level 1

22. 11. 2019 20:19

Komentáře tohoto uživatele máš zablokované.

pak by cho ti vsichni krivdili

pazda

Level 1

29. 11. 2019 09:09

Komentáře tohoto uživatele máš zablokované.

Nazvat tento Zyxel dobrým firewallem je špatný vtip. Neumí nic moc navíc než průměrný Mikrotik za Xnásobně vyšší cenu. Dobrý firewall pro nenáročné použití je např. Hillstone E1606 nebo jejich nižší řady. Za podobnou cenu se už jedná o tzv. aplikační firewall, má IPS, URL filtering, AV ochranu atd.