Apua langattoman verkon määrittelyyn laiteryhmät erillään

  • Keskustelun aloittaja Keskustelun aloittaja kessil
  • Aloitettu Aloitettu
Liittynyt
12.07.2022
Viestejä
48
Saisiko raadilta apua kodin Wi-Fi-verkon konfigurointiin? Tavoitteena hyvä tietoturva ja kuuluvuus/ruuhkattomuus. Peruskysymys on että miten järkevimmin määritellä verkko siten, että seuraavat laiteryhmät pysyisivät erillään toisistaan?

1. Omat tietokoneet, puhelimet ja NAS. Näiden pitäisi mielellään voida valita automaattisesti 2.4 tai 5 GHz:n verkko riippuen kuuluvuudesta.
2. Työnantajan tai koulun (kannettavat) tietokoneet
3. IoT-laitteet ja niihin verrattavat (esim. TV, roboimuri, älylaitehubi)
4. Reitittimeen suoraan johdolla kytketyt laitteet (LAN). Ryhmän 1 laitteilla olisi hyvä olla yhteys näihin.

Oletetaan vielä, että talossa ei ole verkkojohtoja ja käytetään vain yhtä reititintä, joka tukee enintään kuuden SSID:n käyttöä: 3 kpl 2.4 GHz ja 3 kpl 5 GHz, mukaan lukien vierasverkko.
Tietoturva-aspektin lisäksi olisi hyvä ettei olisi "turhan montaa" verkkoa luomassa liikaa meteliä/interferenssiä.

Olisiko järkevää perustaa ykkösryhmän laitteille verkko siten, että antaisi saman SSID:n ja salasanan yhdelle 2.4 GHz- ja yhdelle 5 GHz-verkolle? Onko sellaisesta ratkaisusta jotain haittaa (vs vain toinen verkko tai verkot erillisinä)?

Entäs sitten omassa käytössä olevat ”vieraat laitteet” (ryhmä 2) ja IoT (ryhmä 3)? Ensimmäisenä tulee mieleen laittaa kaksi erillistä vierasverkkoa, esim. 5 GHz tietokoneille ja 2.4 GHz IoT-laitteille. Tämä siksi että niistä kahdesta vielä jäljellä olevasta ”tavallisesta” (=ei-vieras) SSID:stä taitaa olla aina pääsy LANissa oleviin laitteisiin, vai kuinka?

Vai olisiko joku muu ratkaisu parempi? En ole varma onko tuossa jo liikaa foliohattuilua mukana kun haluan pitää työkoneet ja IoT-laitteet erillään. Jos em. ratkaisusta tulee liikaa hälyä taloon, pitää miettiä uudelleen.
Samoin mietin että olisiko niissä nyt käyttämättä jäävissä ”tavallisissa” (ei-vieras) verkoissa/SSID:ssä joku etu suhteessa vierasverkkojen käyttöön, etenkin jos ne pystyisi helposti eristämään Lanista?

Entä onko tämä kaikki turhaa puuhastelua kun kuitenkin kaikki tapahtuu yhden ja saman reitittimen kautta? Toisin sanoen, jos mahdollinen hyökkääjä pääsee kiinni vaikka telkkariin, onko kaikki muutkin verkot hänelle auki?
 
Viimeksi muokattu:
VLAN on se mitä varmaan haet tässä. VLAN:illa (virtual lan) luodaan LAN-verkkoja LAN-verkon sisään. Kysymyksessä vaikuttaa siltä, että oletat Wifin ja LAN:in olevan eri verkko. Wifi on vain "langaton johto" eikä vaikuta itse LAN asioihin. Jos haluat eristää eri asioita toistaan tarvitset VLAN:in jokaiselle eri ryhmälle. Esimerkiksi listastasi tulisi tällainen:

VLAN1: Omat tietokoneet, puhelimet ja NAS & Reitittimeen suoraan johdolla kytketyt laitteet
VLAN2: Työnantajan tai koulun (kannettavat) tietokoneet
VLAN3: IoT-laitteet ja niihin verrattavat (esim. TV, roboimuri, älylaitehubi)

Palomuurilla pystyy sitten säätämään miten eri VLAN verkkojen välillä laitteet saa puhua toisilleen. Pääseekö esimerkiksi vain toiseen suuntaan vai eristetäänkö ne toisistaan kokonaan. Jos VLAN:it ovat täysin blokattu toisistaan ei laitteet pysty ottamaan yheyttä toisiinsa samalla lailla kun naapurin laitteisiinkaan ei pääse jos portit kiinni.

Sitten kun VLAN:it on konfiguroitu voi päättää mikä portti reitittimessä on mitäkin VLAN:ia ja sama myös wifillä. Eli päätetään mihin VLAN:iin mikäkin Wifi on yhdistetty. Kaiken tämän toteuttaminen riippuu mikä reitin, mitä tukiasemia ja mitä kytkimiä on käytössä.

Kotiverkon jakaminen esimerkiksi henkilökohtaisten laitteiden ja IoT laitteiden välillä on kyllä hyvä käytäntö, taisi jopa Supo sitä äskettäin suositella.
 
Kiitos! Vaikka pitää sanoa että tätä vähän pelkäsin ☺️, nimittäin kun kumpikaan niistä reitittimistä, jotka olen ”shortlistannut”, ei taida tukea VLANeja (Asus RT-AX58U tai XT8).

Lisäksi olen vähän huolissani siitä pitääkö noiden VLANien kohdalla olla vähän enemmän tietotaitoa siis esim että voiko vahingossa konffata verkon vähemmän turvalliseksi kuin tuommoisen kuluttajaversion kun ei vaan osaa.

Kun olen noiden kahden esitteistä ja käyttöohjeista lukenut, että noissa peruslaitteissakin vierasverkko on täysin erillinen muista verkoista, jääkö se eri verkkojen (SSID:n) välinen raja sitten kuitenkin merkittävästi turvattomammaksi kuin jos homman tekee VLANilla?

RT-AX86U näyttäisi tukevan VLANia, mutta ohjesivulla mainitaan, että firmware olisi early stages beta. Ei hyvältä näytä sekään vaihtoehto.


LANin suhteen tarkoitin, että ymmärtääkseni kaikki johdolla reitittimeen kiinnittyvät laitteet ovat automaattisesti samassa verkossa, johon myös ”tavallisilla” wifiverkoilla (SSID:llä) on pääsy. Mutta vierasverkosta ei käsittääkseni siihen pääse ainakaan oletuksena.
 
Jos haluat jakaa verkko pienempiin osiin niin ei siinä ole muuta vaihtoehtoa kuin VLANit tai sitten lisätä fyysisiä laitteita rinnakkaisiksi verkoiksi. Jälkimmäinen on ihan himmeä ajatus kun VLANit ovat vakiintunutta tekniikkaa, mutta toki jossain erityistapauksissa ihan mahdollinen vaihtoehto. Vierailijaverkoilla ei rajoiteta mitään muuta kuin että liikenne sallitaan gatewaylle ja siitä sitten nettiin. Jos vierasverkolle sallitaan jotain muuta, niin sitä ei sitten enää kutsuta vierasverkoksi. Broadcast-pakettien ja vastaavien erikoistapausten kohtelu täytyy sitten selvittää testaamalla.

SSID:illä taas ei ole mitään tekemistä verkon palastelun kanssa. Kaikki samaan verkkoon kytketyt SSID:t ovat samassa verkossa riippumatta siitä millä nimellä tai taajuusalueella yhteys on muodostunut.

Ei toi Asuksen VLAN-tuki kyllä vakuuta. Ominaisuuksia tuntuisi olevan lähinnä normaalin hallittavan kytkimen verran eli varsinainen reitityspuoli jää uupumaan. Niin kauan kun tarjolla on ei-beta-aiheessa olevia VLANien pääle ymmärtäviä verkkolaitteita, niin miksi tyytyä beta-ominaisuuksiin jotka tuskin ikinä tulevat olemaan Asuksen firmwaren ytimessä?
 
Jos haluat jakaa verkko pienempiin osiin niin ei siinä ole muuta vaihtoehtoa kuin VLANit tai sitten lisätä fyysisiä laitteita rinnakkaisiksi verkoiksi. Jälkimmäinen on ihan himmeä ajatus kun VLANit ovat vakiintunutta tekniikkaa, mutta toki jossain erityistapauksissa ihan mahdollinen vaihtoehto. Vierailijaverkoilla ei rajoiteta mitään muuta kuin että liikenne sallitaan gatewaylle ja siitä sitten nettiin. Jos vierasverkolle sallitaan jotain muuta, niin sitä ei sitten enää kutsuta vierasverkoksi. Broadcast-pakettien ja vastaavien erikoistapausten kohtelu täytyy sitten selvittää testaamalla.

SSID:illä taas ei ole mitään tekemistä verkon palastelun kanssa. Kaikki samaan verkkoon kytketyt SSID:t ovat samassa verkossa riippumatta siitä millä nimellä tai taajuusalueella yhteys on muodostunut.

Ei toi Asuksen VLAN-tuki kyllä vakuuta. Ominaisuuksia tuntuisi olevan lähinnä normaalin hallittavan kytkimen verran eli varsinainen reitityspuoli jää uupumaan. Niin kauan kun tarjolla on ei-beta-aiheessa olevia VLANien pääle ymmärtäviä verkkolaitteita, niin miksi tyytyä beta-ominaisuuksiin jotka tuskin ikinä tulevat olemaan Asuksen firmwaren ytimessä?
Kiitos vastauksesta. Valitettavasti tuossa sen verran teknistä tietoa etten ihan ymmärrä muuta kuin että VLAN ilmeisesti olisi se paras tapa hoitaa tämä asia. Mutta kun puuttuu teknistä osaamista, onko laitteiden eristäminen toisistaan kolmeen ryhmään tehtävissä yhdellä tavallisella Wi-Fi-verkolla (2.4 + 5 GHz yhdistettynä) + 1-2 vierasverkolla (riippuen siitä halutaanko IoT-laitteet ja ”vieraat koneet” samaan vierasverkkoon), jos tavoitteena on ensisijaisesti

- vierasverko(i)ssa olevat laitteet eivät pääse käsiksi ”tavallisen” wifin laitteisiin eivätkä sellaisiin laitteisiin, jotka ovat kiinni verkkojohdolla reitittimessä
- suoja on riittävän hyvä tavallisia kohdistamattomia hyökkäyksiä vastaan (tässä nyt ei haeta suojaa jollekin sellaiselle yritykselle, joka voisi olla ammattihakkerien kohteena, vaan tavalliselle kotiverkolle.

Mikä on tuommoisen järjestelyn heikoin lenkki?
 

Statistiikka

Viestiketjuista
258 396
Viestejä
4 489 757
Jäsenet
74 154
Uusin jäsen
Almedin

Hinta.fi

Back
Ylös Bottom