Добрый день!
Прошу подсказать по такому вопросу: какое лучше всего выбрать оборудование для построения сети в офисе.

Что есть сейчас:

В данный момент сеть в офисе работает на:

Оптика 1 Гбит/с, входит в медиаконвертер D-Link DMC1910R

Оптика 20 Мбит/с, входит в медиаконвертер Foxgate.

Патч-корд от одного из медиаконвертеров входит в Asus RT-N12 VP.

По всем помещениям проложена СКС, расшиты патч-панели, патч-корды подключены к трем коммутаторам:
D-Link 1226G
D-Link DES 1024A
D-Link DES 1024A

В офисе 50 рабочих станций, на Ubuntu, почти у всех сотрудников мобильные устройства, которым нужен wi-fi. Рабочие станции подключены 5e.

Есть несколько серверов, подняты на Proxmox, контроллер домена, сервер терминалов для приложений, которые работают только на Windows.

Вся сеть одноранговая, 192.168.0.0/24

Что хочу купить, бюджет 500$

1шт. маршрутизатор Mikrotik RB1100AHx4. (хотелось бы Dude Edition, но превышает бюджет)
2шт. маршрутизаторов Mikrotik hAP ac2 (RBD52G-5HacD2HnD-TC)

Также, есть возможность купить двухлетний б/у**MikroTik CCR1016-12G.

Что хочу реализовать:

В целом, хотелось бы более обезопасить сеть, внедрить различные вещи:

Хотспот - чтобы на смартфонах/планшетах можно было подключаться без паролей, заходя на сайт с кнопкой Подключиться

обезопасить wi-fi, внедрить wpa2-enterprise

бесшовный wifi, чтобы две сети от двух роутеров совмещались в одну сеть, включая оба диапазона 2,4 и 5. Т.е. чтобы смартфон с поддержкой только 2,4, подключался к 2,4, а ipad с поддержкой 5 ггц подключался к 5 ггц

разделить отделы и сервера на vlan, по максимуму обезопасить сеть от вирусов и ddos.

Начитался разной информации про ipsec, выбрал именно модели Mikrotik* с аппаратной поддержкой. Хочу настроить соединения между роутерами по ipsec, а лучше - чтобы был шифрованный канал до каждой рабочей станции.


Вопрос:
Подскажите, что думаете про мой выбор оборудования? Может, стоит обратить внимание на другого производителя, либо в корне изменить схему построения структуры сети? Может, купить б/у Cisco или*Juniper?

Бюджет на всё 30 тыс. руб (500$).*На роутер и wifi.

Свитчи планирую заменить в будущем, на это будет отдельный бюджет.

разделить отделы и сервера на vlan, по максимуму обезопасить сеть от вирусов и ddos. »

Предположим от вирусов и ddos заменой оборудования и разграничением на vlan`ы вы не добьётесь. Для этого есть другие программно-аппаратные средства.

Хочу настроить соединения между роутерами по ipsec, а лучше - чтобы был шифрованный канал до каждой рабочей станции. »

Ну и нужна Вам эта вакханалия в ЛВС? шифровать канал от станции до роутера/свича, зачем? Вы пытаетесь защититься от того, что кто-то, не санкционировано, подключиться к Вашим микротикам или свичам? Получите только повышенную нагрузку на сеть и пк.
Между микротиками это можно, но между пк и роутером/свичом это излишество.

Interfreight, интересно какие размеры вашего офиса, количество помещений? Т.к. у RBD52G-5HacD2HnD слабенькие внутренние антенны, буквально одна кирпичная перегородка может убить сигнал.
Хочу настроить соединения между роутерами по ipsec, а лучше - чтобы был шифрованный канал до каждой рабочей станции.»
имхо, сильно замарачиваетесь
Подскажите, что думаете про мой выбор оборудования? »
намного лучше чем Asus RT-N12 VP

Предположим от вирусов и ddos заменой оборудования и разграничением на vlan`ы вы не добьётесь. Для этого есть другие программно-аппаратные средства. »

С этой целью планирую поставить ПК на opensense, с 4 шт. сетевыми картами. 4ядра/4 гб озу.
Только не знаю, как лучше.. До роутера Микротик, или после него?

интересно какие размеры вашего офиса, количество помещений? Т.к. у RBD52G-5HacD2HnD слабенькие внутренние антенны, буквально одна кирпичная перегородка может убить сигнал. »

Я планирую сделать так:

Взять две шт. Mikrotik hAP ac2.

В каждый будет входить сетевой кабель.

Первый hAP ac2 настроить как wifi роутер, с сетью Work, а второй hAP ac2 настроить как точку доступа, которая расширяет wifi сеть Work.

И через capsman настроить переключение клиентов от одного hAP ac2 к другому.

Офис - длинный коридор 25 м. Кабинеты слева-справа, 10-15 м кв. каждый.

Радиус сервер до кучи поднимайте еще

С этой целью планирую поставить ПК на opensense, с 4 шт. сетевыми картами. 4ядра/4 гб озу.
Только не знаю, как лучше.. До роутера Микротик, или после него? »

Конечно "до" него. Тут даже и думать нечего. Или вы планируете защищаться от ddos исходящий из Вашей внутренней сети?

P.S. Лично моё субъективное мнение вы слишком усложняете простую рабочую ЛВС. Помните, чем проще тем надёжнее. ;)

Я планирую сделать так:
Взять две шт. Mikrotik hAP ac2.
В каждый будет входить сетевой кабель.
Первый hAP ac2 настроить как wifi роутер, с сетью Work, а второй hAP ac2 настроить как точку доступа, которая расширяет wifi сеть Work.
И через capsman настроить переключение клиентов от одного hAP ac2 к другому. »
а почему не хотите создать ведущий capsman на RB1100AH? а точки доступа пускай и остаются точками доступа. И управлять проще на одном аппарате

а почему не хотите создать ведущий capsman на RB1100AH? а точки доступа пускай и остаются точками доступа. И управлять проще на одном аппарат »

Не хочу терять гибкость. Все же три роутера полноценных - считаю получше будут, тем более два из них могут быть и роутерами-шлюзами, и wifi роутерами, и точками доступа.

Не хочу терять гибкость. Все же три роутера полноценных - считаю получше будут, тем более два из них могут быть и роутерами-шлюзами, и wifi роутерами, и точками доступа. »
Ничего не теряете. Но дело ваше

С этой целью планирую поставить ПК на opensense, с 4 шт. сетевыми картами. 4ядра/4 гб озу. »
Что такое opensense? Может, вы имели ввиду OPNsense, форк pfSense? Зачем тогда вам ещё один маршрутизатор, причём слабенький?

OPNsense, форк pfSense? Зачем тогда вам ещё один маршрутизатор, причём слабенький? »
И чем же он слабенький, позвольте спросить?

И чем же он слабенький, позвольте спросить? »
Как я понял, ТС строит энтерпрайз сеть на плюс-минус 100 юзеров, железка за плюс-минус 50 для этого откровенно слаба. Я про микротик.