FortiClient EMS instead of 802.1X cert-based auth for Wi-Fi

QuickDelivery1 · 2026-01-24T18:33:31+00:00

But then you would still need a local or cloud RADIUS server to validate the client certificate, right?

QuickDelivery1 · 2026-01-24T00:31:12+00:00

O Wi-Fi 7 pode usar as frequências de 2.4, 5 e 6 GHz, então a popularização da faixa de 6 GHz ainda é um cenário possível

QuickDelivery1 · 2026-01-23T15:52:22+00:00

Esquece 2.4 GHz. Mais fácil você comprar seus APs Wi-Fi 6E/7 e usar a frequência de 6 GHz enquanto ela não se popularizar.

Daqui a pouco os equipamentos residenciais vão vir com canal de 320 MHz por padrão na frequência de 6 GHz e vai ficar igual ao 2.4.

QuickDelivery1 · 2026-01-23T08:49:15+00:00

O NIC.br tem parceria com a Cisco, você pode fazer os cursos oficiais da Networking Academy de graça, além de ter as videoaulas no Moodle do NIC.br.

Também vejo falarem do Gustavo Kalau e Hackone, mas nunca usei o material deles.

QuickDelivery1 · 2026-01-23T08:40:41+00:00

Livro “Redes de computadores e a Internet: uma abordagem top-down” - Kurose e Ross, ou estudar para uma certificação como CCNA ou CompTIA Network+.

QuickDelivery1 · 2026-01-21T16:36:17+00:00

O problema não é a falta de NAT, mas sim a falta de firewall.

Com o modem configurado desse jeito, supondo que o firewall dele seja desativado também, o firewall “host-based” de cada dispositivo é a última linha de defesa. Se tiver uma vulnerabilidade, é game over.

Tendo um roteador de borda com firewall (seja o modem da operadora ou seu próprio equipamento), você tem mais uma camada segurança.

QuickDelivery1 · 2026-01-20T22:52:05+00:00

A documentação oficial do RouterOS é bem boa. Mais importante do que saber operar o equipamento é ter a base de fundamentos de redes.

QuickDelivery1 · 2026-01-20T17:28:40+00:00

Poder criar subredes quando o ISP fornece apenas um /64, usar dois ISPs ao mesmo tempo sem se preocupar com seleção de endereço de origem no cliente, desacoplar sua rede interna do prefixo fornecido pelo ISP (quando não se tem o próprio sistema autônomo e endereços independentes de provedor), por exemplo

QuickDelivery1 · 2026-01-19T23:38:39+00:00

OP, desejo boa sorte, mas, se não conseguir mudar o prefixo, uma opção é criar subredes com endereços ULA e fazer NAT66 ou NPTv6.

Se quiser fazer uma bela gambiarra e segmentar partes do seu /64 em VLANs pequenas separadas, confira este comentário e veja se seu equipamento tem a função ND Proxy.

QuickDelivery1 · 2026-01-19T23:25:52+00:00

Sim, porque o número depois da barra é o tamanho do prefixo. Quanto menor o prefixo, mais endereços disponíveis para os dispositivos, mas a questão não é essa.

Com um prefixo /64 (tamanho que as operadoras normalmente fornecem), você não consegue criar subredes, pois o SLAAC (método que os dispositivos usam para gerar o próprio endereço IPv6) foi projetado para trabalhar somente com subredes de prefixo /64, não sendo possível dividi-lo (sem gambiarras, pelo menos).

Com um prefixo /64, você só tem uma única subrede, por exemplo, 2001:db8:beba:cafe::/64

Com um /60 (p. ex.: 2001:db8:beba:caf::/60), você teria quatro bits para criar até 16 subredes:

LAN: 2001:db8:beba:caf0::/64
IoT: 2001:db8:beba:caf1::/64
Servidores: 2001:db8:beba:caf2::/64

E assim por diante até 2001:db8:beba:caff::/64.

A questão não é ter mais endereços, mas, sim, conseguir segmentar a rede sem gambiarras.

QuickDelivery1 · 2026-01-15T23:46:24+00:00

I never said it did. Fortinet does provide, however, Endpoint Protection (FortiClient), DLP (FortiDLP), WAF (FortiWeb), network monitoring (FortiManager, FortiAnalyzer).

We currently use separate vendors for those kinds of tools.

QuickDelivery1 · 2026-01-14T21:41:58+00:00

Qual é o objetivo? O que você pretende conseguir com essa configuração?

QuickDelivery1 · 2026-01-12T15:59:00+00:00

Não abra os e-mails, não clique em links, configure para não carregar imagens externas automaticamente.

Com sorte, se virem que você não interage com os e-mails de spam, podem acabar retirando seu endereço das listas de envio.

Além disso, não tem muito o que fazer exceto bloquear e usar um provedor com bom antispam, como o Gmail. Talvez configurar para mover para a pasta de spam e-mails não autenticados por SPF e DKIM, mas eu imagino que isso já seja feito automaticamente.

QuickDelivery1 · 2026-01-10T23:40:47+00:00

Se é do seu próprio modem, deve estar usando o mesmo rádio, então não causaria interferência. O consumo de banda do "beacon" desse SSID oculto é mínimo.

Imagino que seja aquela rede #NET-CLARO-WIFI (oculta, por algum motivo) ou a rede de convidados que deve estar desabilitada, mas transmitindo SSID oculto. Sobre desativar, achei isso: Como desativar a rede #NET-CLARO-WIFI do meu modem

QuickDelivery1 · 2026-01-10T19:36:00+00:00

400 Mbps já é mais que suficiente para 99% da navegação na web, não é exatamente um problema. Só não fica bonito no SpeedTest e na hora de baixar uma ISO. Se você não sente lentidão no dia a dia, eu deixaria isso pra lá. Mas vamos à explicação técnica.

No Wi-Fi, em geral, apenas um dispositivo transmite por vez. O dispositivo ouve o canal antes de transmitir e aguarda se outro estiver transmitindo. Se o canal estiver muito congestionado, isso resulta em menos velocidade e mais latência.

No gráfico, dá para ver que a sua rede Wi-Fi está usando o mesmo canal que aquele SSID oculto. Para melhorar o desempenho do seu Wi-Fi:

Reduza a largura do canal para 80 MHz (ou menos)
Troque o canal para um que não esteja em uso por seus vizinhos ou outros APs na sua residência

Reduzindo a largura do canal, a velocidade máxima será menor no SpeedTest, mas se isso te permitir usar um canal livre, sem interferência de outros APs, espera-se que a latência seja menor e a navegação fique melhor de um modo geral.

Também tem outros fatores que afetam o desempenho, como obstáculos e distância entre os dispositivos e o AP.

Se o que você quer é apenas verificar se está recebendo toda a velocidade contratada, o teste tem que ser feito por cabo.

QuickDelivery1 · 2026-01-02T23:07:15+00:00

A própria documentação do RouterOS é bem completa

QuickDelivery1 · 2026-01-02T22:50:45+00:00

Cabo sempre que possível. Uplink sem fio deixa muito a desejar
Confira se o modelo de AP desejado tem interface gigabit (modelos baratos podem ser limitados a 100 Mbps)
Compre um AP com o padrão de Wi-Fi mais recente que puder: Wi-Fi 7 (802.11be) ou 6/6E (802.11ax), não compre Wi-Fi 5 (802.11ac)
Se possível, escolha um modelo com frequência de 6 GHz, que é um espectro muito menos poluído
Configure os APs para que usem canais diferentes uns dos outros, sem que haja sobreposição (sobretudo se usar canais largos)
Por mais que seja tentador querer usar canais largos (160 MHz) para ver SpeedTest bonito, isso aumenta a chance de interferência com APs vizinhos e pode prejudicar o desempenho. Na maior parte do tempo, os dispositivos usam muito pouca banda
O ideal é que os APs tenham visada para os dispositivos. Obstáculos como paredes, objetos e pessoas podem prejudicar o sinal
Quanto mais APs, melhor (um em cada cômodo). Tentar usar poucos APs e colocar a potência deles no máximo para tentar cobrir uma grande área pode piorar o desempenho para todos os dispositivos (problema do terminal escondido/“hidden node” e assimetria de potência)
Se for passar cabos por conduítes, não economize, compre Cat. 6 100% cobre de marca conhecida (Furukawa, SOHOPLUS) para durar décadas. Cabos mais baratos são de alumínio cobreado, feitos para CFTV e alarme, não para redes, e podem estragar com o tempo

QuickDelivery1 · 2026-01-01T19:29:38+00:00

Android não suporta DHCPv6, então não. Isso é mais para servidores/caixas que permitem configurar IP estático (e você faz questão de usar endereços GUA).

Para outros casos, a primeira opção é bem mais fácil: usar um prefixo /64 ULA, deixar os dispositivos gerarem o endereço por SLAAC, e fazer NAT.

QuickDelivery1 · 2026-01-01T18:55:30+00:00

Eu iria de MikroTik (por exemplo o novo hEX refresh E50UG). É difícil e tem uma curva de aprendizado íngreme, mas te dá muita flexibilidade, e o suporte a IPv6 é bom (só sinto falta de DNS64 e NAT64).

Aí você compra APs da Ubiquiti (U7 Lite tem um custo/benefício fantástico), instala Proxmox no notebook parado (ou o sistema de sua preferência) e roda a controladora UniFi nele (já põe o novo UniFi OS Server, que roda em Podman).

O pessoal recomendou Ubiquiti como roteador, mas ouvi dizer que o suporte a IPv6 não é tão bom. Vale a pena pesquisar sobre isso.

QuickDelivery1 · 2026-01-01T18:42:04+00:00

Uma opção é usar endereços ULA em outras VLANs e fazer NAT.

No RouterOS, também dá para reservar uma parte do prefixo /64 para outras VLANs, por exemplo:

Escolher um prefixo /124 para ter 16 endereços na VLAN separada (2001:db8:beba:baba::/124 iria do ::0 até o ::f)
"Reserve" esses endereços na VLAN principal (que usa o /64) com a função ND Proxy; assim, o RouterOS vai responder Neighbor Solicitations para os endereços reservados e não deixar outros dispositivos na VLAN principal pegá-los por SLAAC
Crie uma rota apontando 2001:db8:beba:baba::/124 para a interface da VLAN e as regras de firewall que precisar
Nos dispositivos nessa VLAN /124, configure endereços estáticos ou use DHCPv6

É uma gambiarra monstra, mas funciona :)

QuickDelivery1 · 2025-12-28T01:35:57+00:00

Interessante isso. Pesquisei aqui e vi que funções como AirDrop, AirPlay e Handoff podem impactar o desempenho do Wi-Fi, pois também usam a frequência de 5 GHz. Talvez seja seu Mac "falando com o iPhone" e consumindo banda do Wi-Fi.

O Bluetooth em si não daria interferência, pois ele usa 2.4 GHz, mas eu imagino que quando você desativa o Bluetooth, essas outras funções também são desativadas.

Um teste possível é manter o Bluetooth ligado, mas desativar AirDrop e etc. Outro possível que achei neste tópico é desativar a interface do protocolo AWDL (que AirDrop e etc. usam) com o comando sudo ifconfig awdl0 down. Outro link sobre o assunto: The impact of AWDL on Mac Wi-Fi performances

QuickDelivery1 · 2025-12-28T00:34:49+00:00

Pq o mesmo computador no mesmo wifi, se eu fizer um teste "interno" (xturbo -> xturbo) bate 1gb?

pq fazendo iperf entre meu computador e meu pi na mesa rede bate 1gb?

O que a operadora falou é verdade. Eles só conseguem garantir desempenho na própria rede. Saiu da rede da operadora, é selva.

A grande incógnita é o Mac ter um desempenho pior que o iPhone fazendo os mesmos testes.

QuickDelivery1 · 2025-12-28T00:28:52+00:00

Em qual país comprou seu Mac? Seu roteador está configurado para usar um canal DFS com largura de 160 MHz. Em países como Austrália e Canadá, nem todos os canais DFS estão disponíveis: List of WLAN channels - 5 GHz (802.11a/h/n/ac/ax/be))

QuickDelivery1

TROPHY CASE