Abbiamo deciso di provare una soluzione a basso costo che possa soddisfare i clienti che non hanno grosse pretese. Normalmente lavoravamo con Sonicwall, ma per due ragioni non riusciamo più a proporli ai nostri clienti. I motivi essenzialmente sono due: esiste una notevole mole di clienti che hanno la serie vecchia dei firewall tipo NSA3500 o NSA2400, questi firewall non sono compatibili con il nuovo sistema operativo V6.X e di conseguenza non sono compatibili con i nuovi access point Sonicwall Wave2 che sembrano essere veramente notevoli. Oltre a ciò oltre che avere prestazioni notevoli questi access point hanno anche il costo veramente notevole, che scoraggia chiunque. Quindi abbiamo pensato che trovare un’alternativa low-costs poteva essere fruibile.
Abbiamo notato che TP-Link ha alcune soluzioni interessanti a basso costo. Siamo rimasti sorpresi quando abbiamo notato i prezzi dei controller della linea AURANET che con meno di 60 euro ci si porta a casa un controller che può gestire sino a 50 access point e con meno di 200 euro si acquista AC500 che di access point ne gestisce 500. Abbiamo optato per il modello superiore in quanto ha le interfaccie a gigabit.
Per quanto riguarda gli access point abbiamo tre possibili modelli compatibili con questi controller: CAP300, CAP1200, CAP1750
Noi abbiamo scelto il modello medio in quanto ha due radio e non ha un costo eccessivo, si dovrebbe trovare a meno di 150 euro.
Il Test
Per ora abbiamo effettuato un solo test in lab, dopo qualche minuto di configurazione veramente banale si possono vedere tutti gli access point rilevati dall’interfaccia web del controller. La nostra rete di test prevedeva un rete untagged per l’indirizzamento degli AP e due reti tagged per due SSID. Molto banale e normale: praticamente tutti i clienti vogliono almeno 2 SSID: un guest e un corporate. Per questo specifico caso, le richieste erano che la rete corporate sia autenticata a livello mac address dei client, mentre la guest fosse autenticata con un captive portal e utenti direttamente impostati sul controller con scadenza in 10 ore.
Risultato
l’SSID della rete corporate, quello autenticato con mac address ha funzionato immediatamente, mentre per la rete guest, ho dovuto aprire un ticket con TP-Link. Sottolineo che il supporto è in italiano e che il personale è gentile e preparato. Purtroppo non sono riusciti a risolvere il problema del captive portal. Nel momento che il client riceve l’url di reindrizzamento al captive portal questo punta l’indirizzo IP del controller sulla network di base, ovvero quella untagged e pare proprio che il server web (nginx) non ‘voglia’ rispondere ad una richiesta in una rete diversa da quella ‘untagged’ (il client è su una rete tagged ovviamente). Il problema si può risolvere velocemente impostando che l’SSID guest sia sulla rete untagged. Purtroppo, secondo me, non è corretto avere gli access point e i client direttamente sulla stessa rete IP. Questo problema il supporto non è riuscito a risolverlo e dunque ho dovuto effettuare una NAT sul defaut gateway in modo da far pervenire la richiesta come se fosse originata dal default gateway. In questo modo funziona perfettamente. Direi che la soluzione comunque è da considerare validissima, anche in relazione del suo basso costo.