Asus AC66U ja VLAN

  • Keskustelun aloittaja Keskustelun aloittaja A_SA
  • Aloitettu Aloitettu

A_SA

Tukijäsen
Liittynyt
24.10.2016
Viestejä
570
IoT-laitteet omaan verkkoon.

Nykyinen reititin on vanha AC66U. Onnistuuko tällä laittaa valot yms älylaitteet VLANiin vai käytänkö vierasverkkoa?

parentalcontrol.jpg
 
VLAN-asetuksia voi olla myös 802.1Q:n alla. Asuksesta niitä tuskin löytyy, korkeintaan WAN:iin liittyen. Jos näin on, niin IoT-laitteet, joiden tietoturvasta ei ole takeita kannattaa liittää nimenomaan guest-wifiin. Langallisten laitteiden (ethernet) kanssa ei voi oikein mitään, sillä lanin palomuuriasetukset ovat todennäköisesti niin rajoittuneet, ettei niillä voi suitsia IoT-laitteiden tekemisiä oikeastaan mitenkään.

Kyvykkäämpi palomuuri/reititinratkaisu ja sitä (mm. VLANia) tukevia hallittavia kytkimiä ja wifi-accespointeja jos on, niin niillä onnistuu opettelun kautta.
 
Itse hankin IoT-laitteille oman reitittimen. Kaapelimodeemina toimiva Sagemcom F-3686AC on siltaavassa tilassa ja siihen on liitetty molemmat reitittimeni. Tämä oli minulle riittävä ja yksinkertainen ratkaisu. IoT-verkko ja varsinainen kotiverkkoni ovat toisitaan täysin riippumattomat.

Edit:
Näin minulla on myös IoT-verkolle ja kotiverkolle erilliset julkiset IP-osoitteet. Molemmille verkoille on myös omat DDNS-nimet.
 
Viimeksi muokattu:
VLAN-asetuksia voi olla myös 802.1Q:n alla. Asuksesta niitä tuskin löytyy, korkeintaan WAN:iin liittyen. Jos näin on, niin IoT-laitteet, joiden tietoturvasta ei ole takeita kannattaa liittää nimenomaan guest-wifiin. Langallisten laitteiden (ethernet) kanssa ei voi oikein mitään, sillä lanin palomuuriasetukset ovat todennäköisesti niin rajoittuneet, ettei niillä voi suitsia IoT-laitteiden tekemisiä oikeastaan mitenkään.

Kyvykkäämpi palomuuri/reititinratkaisu ja sitä (mm. VLANia) tukevia hallittavia kytkimiä ja wifi-accespointeja jos on, niin niillä onnistuu opettelun kautta.
Nyt käytössä Huen valoja sekä Xiaomin ilmanpuhdistin sekä -kostutin. Mites nykypäivän TV:t, kannttaako heittää omaansa? Niitä kun ohjataan verkon kautta.

Itse hankin IoT-laitteille oman reitittimen. Kaapelimodeemina toimiva Sagemcom F-3686AC on siltaavassa tilassa ja siihen on liitetty molemmat reitittimeni. Tämä oli minulle riittävä ja yksinkertainen ratkaisu. IoT-verkko ja varsinainen kotiverkkoni ovat toisitaan täysin riippumattomat.

Edit:
Näin minulla on myös IoT-verkolle ja kotiverkolle erilliset julkiset IP-osoitteet. Molemmille verkoille on myös omat DDNS-nimet.
Tämähän on hyvä idea, kiitän! Miten homma toiminut? Mitä laitteita sinulla on käytössä? VLAN on itselleni täysin uusi asia, niin oli aika simppeli ja varma vaihtoehto. Haluaisin kyllä opetella säätämään esim. Ubiquitin laitteet, mutta näin sitä ei tarvitsisi opetella heti.
 
Mites nykypäivän TV:t, kannttaako heittää omaansa? Niitä kun ohjataan verkon kautta.
Ilman muuta, monestakin syystä. Niihin asennettavissa olevat, mahdollisesti haitalliset sovellukset eräänä vahvimpana.
Jos tarjolla olisi esim. SSDP:tä käyttävä kauko-ohjaussovellus, sen käyttö olisi myös turvallisuussyistä unohdettava eikä tehdä mitään kytkentöjä muuna LANin ja IoT-verkkojen väliin.
 
Nyt käytössä Huen valoja sekä Xiaomin ilmanpuhdistin sekä -kostutin. Mites nykypäivän TV:t, kannttaako heittää omaansa? Niitä kun ohjataan verkon kautta.


Tämähän on hyvä idea, kiitän! Miten homma toiminut? Mitä laitteita sinulla on käytössä? VLAN on itselleni täysin uusi asia, niin oli aika simppeli ja varma vaihtoehto. Haluaisin kyllä opetella säätämään esim. Ubiquitin laitteet, mutta näin sitä ei tarvitsisi opetella heti.

On toiminut hyvin. Käytössä mm. vaaka, ilmanlaatumittari, energiamittari, Nokia Sleep, valvontakamera ulkona. LG:n television jouduin siirtämään sisäverkkoon, koska IoT-verkon Asus RT-AC66 langaton yhteys alkaa teeveen kanssa hidastelemaan. Laitan teeveen kaapelilla IoT-verkkoon.

Minulla on palvelin kone, jossa on kaksi verkkokorttia. Palvelin on kiinni molemmissa verkoissa. Kaikki yhteydet IoT-verkosta päin on estetty koneen palomuurilla. Minulla oli joku aika sitten käytössä Adguard Home (AdGuard Home - PiHolen kaltainen Web-sisällön suodatusratkaisu). Tuolla näki hyvin mitkä laitteen halusivat minnekin ottaa yhteyksiä.
 
Mites tällaisesssä tuplaverkossa toimii esim Chromecast tai Huen mobiilisäätö? Mietin, että ne saattavat rampautua, jos eristän omaansa.
 
Chromecast pitää olla samassa verkossa kuin käyttäjä. Tv voi ja pitää olla iot:ssa. Hue riippuu siitä, käyttääkö pilvipalvelua vai ei
 
Näin ajattelin, kiitos. Laitetaan alkuun Xiaomin laitteet omaansa ja mahdollisesti tulevaisuudessa valot.

Yllättävän paljon noita IoT-laitteita on itselläkin. Varsinkin päivittäin verkon yli ohjattavia; TV:t, kaiuttimet ja valot.
 
Kyllä Chromecastin saa toimimaan myös eri verkossa olevalla ohjaimella. Chromecast käyttää mDNS:ää, eli tämän viestit pitää saada välitettyä verkkojen välillä esim. Avahilla. Asuksessa tuon pyörittäminen voi kyllä jäädä haaveeksi. Lisäksi ohjaimen suuntaan pitää avata pari porttia: I am looking for the exact list of port numbers used by Chromecast. - Chromecast Community .

Mitäs, jos verkot yhdistäisi esim. GL-inet AR150:llä? IoT-verkko jäisi muurin/NATin taakse. Kotiverkko olisi esim. 192.168.1.x ja IoT-verkko 192.168.2.x. Osaakonen Asus reitittää 192.168.2.x-verkon liikenteen GL-inetille esim. 192.168.1.2. GL-inet ohjaisi liikenteen NATin lävitse ChromeCastille. Koska GL-inetissä on OpenWRT, saisiko siihen Avahin? Ei ole aikaa miettiä asiaa enempää, mutta tuli vain mieleen.

 
Kyllä Chromecastin saa toimimaan myös eri verkossa olevalla ohjaimella. Chromecast käyttää mDNS:ää, eli tämän viestit pitää saada välitettyä verkkojen välillä esim. Avahilla. Asuksessa tuon pyörittäminen voi kyllä jäädä haaveeksi. Lisäksi ohjaimen suuntaan pitää avata pari porttia: I am looking for the exact list of port numbers used by Chromecast. - Chromecast Community .
Kyllä varmaan, mutta noiden reititysten takia koko idea vesittyy siitä, että turvallisen verkon laitteet eivät näy mitenkään siellä toisella puolella. Lisäksi noiden setup olisi aika työlästä.
 
Jos sitä laitetta on pakko käyttää, niin kumpi on parempi: roikotetaan turvallisen verkon laitetta siellä IoT-verkossa vai se että tehdään täsmäreikiä? Ensimmäinen on toki paljon helpompi ratkaisu, mutta miten arvioida kokonaisriskiä?
 
Joo ei missään tapauksessa noin päin ainakaan. Ajattelin Chromecastin tapausta, että sitä voisi pitää turvallisena ja kelvollisena laitteena turvalliseen verkkoon. Mutta Googlen tuntien tämä ei tietysti ole koko totuus.
 
Minulla on nyt tällainen kytkentä =)

Asus RT-AC66 luo langallisen ja langattoman IoT-verkon 192.168.10.xxx. Kaikki IoT-laitteet pääsevät vapaasti nettiin. Kotiverkon 192.168.1.xxx reitityksestä huolehtii Asus RT-N18. Asus RT-N18 reititystauluun on määriltety, että liikenne IoT-verkon osoitteisiin 192.168.10.xxx reititetään reitittimelle D-Link DIR-825 (192.168.1.12), jonka WAN-portti on kytetty IoT-verkon Asuksen RT-AC66:n LAN-porttiin (D-Link saa osoitteen DHCP:llä Asus RT-AC66:lta). Kotiverkosta saa yhteyden suoraan IoT-verkkoon, mutta sieltä ei saa yhteyttä kotiverkkoon NATin ja palomuurin vuoksi. D-Link DIR-825 toimii myös kotiverkon langattomana tukiasemana. Palvelin on kiinni molemmissa verkoissa. Www-palvelin kuuntelee IoT-verkon kautta NIC 1:n IP-osoitteessa. Kaikki muut paitsi www-palvelimen portti ja DNS-palvelimen portti 53 on suljettu. Asus RT-AC66 antaa IoT-laitteille DNS-palvelimeksi NIC 1:n IP-osoitteen, jossa porttia kuuntelee Adguard Home, joka blokkaa mainoksia, seurantapalvelimia ja vaarallisia sivustoja.

verkko.png


Edit:
Unohtui yksi tärkeä ominaisuus. IoT-verkon Asus RT-AC66:ssa on päällä AP isolation. Tämä estää langattomia laitteista kommunikoimasta keskenään. Lankaverkkoon yhteydet toimivat.

Edit 2:
Asus RT-AC66:ssa ei enää päivityksen jälkeen toimi yhteydet langattomien ja lankaverkon laitteiden välillä, jos AP isolation on päällä. Tämän vuoksi Adguard ei enää voi toimia IoT-verkon DNS-palvelimena.
 
Viimeksi muokattu:
Erittäin ansiokkaasti esitetty kotiverkko! Varmaankin RT-AC66:n hallintaan pääsy on sallittu vain mac/ip-osoitteen perusteella DIR-825:n kautta. Eikä sen läpi RT-AC66:n laniin välitetä mitään broadcasteja.

Tässäkin toteutuksessa voi käydä seuraavasti: Ostat Dark Dream Machinen, jonka liität IoT-verkkoon. Se ottaa esim. ssh-yhteyden valmistajaan tekemällä remote tunnelin. Valmistaja saa suoran yhdeyden DDM:ään ja pystyy käyttämään sitä kuin omassa verkossaan (internetin yli). Kaikki liikenne DDM:n IoT-verkon interfaceen näkyy valmistajalle. Se voi alkaa etsiä nollapäivä- ja vanhempia haavoittuvuuksia Palvelimesta ja muista IoT-verkon laitteista. Jos siinä on wifi, niin se voi alkaa skannailemalla sillä etsimään yhteyksiä mihin verkkoon tahansa ja haistelemaan mitä laitteita (esim. puhelimia) on kuuluvilla. Jos Palvelimesta tai DIR-825:stä löytyy reikä, niin...
 
Selventävä kuva! Tämän perusteella voisin lähteä rakentamaan omaanikin, ainakin tuplareitittimien osalta.

Tuota välissä olevaan D-Linkkiä en vielä omilla tietotaidoillani osaa systeemiin rakentaa, joten se lisätään tulevaisuudessa.
 
Erittäin ansiokkaasti esitetty kotiverkko! Varmaankin RT-AC66:n hallintaan pääsy on sallittu vain mac/ip-osoitteen perusteella DIR-825:n kautta. Eikä sen läpi RT-AC66:n laniin välitetä mitään broadcasteja.

Tässäkin toteutuksessa voi käydä seuraavasti: Ostat Dark Dream Machinen, jonka liität IoT-verkkoon. Se ottaa esim. ssh-yhteyden valmistajaan tekemällä remote tunnelin. Valmistaja saa suoran yhdeyden DDM:ään ja pystyy käyttämään sitä kuin omassa verkossaan (internetin yli). Kaikki liikenne DDM:n IoT-verkon interfaceen näkyy valmistajalle. Se voi alkaa etsiä nollapäivä- ja vanhempia haavoittuvuuksia Palvelimesta ja muista IoT-verkon laitteista. Jos siinä on wifi, niin se voi alkaa skannailemalla sillä etsimään yhteyksiä mihin verkkoon tahansa ja haistelemaan mitä laitteita (esim. puhelimia) on kuuluvilla. Jos Palvelimesta tai DIR-825:stä löytyy reikä, niin...

RT-AC66:n hallintaan oli pääsy kaikista IoT-verkon laitteista. Muutin juuri asetukset siten, että pääsy on vain palvelimelta ja DIR-825:n kautta IP-osoitteen perusteella. Lisäsin yhteyden DIR-825:n kautta IoT-verkkoon vasta eilen. Aikaisemmin otin yhteyden RT-AC66:n hallintaan yhdistämällä esim. läppärin IoT-verkkoon ja IP-osoite tuli satunnaisesti DHCP:lta.

IP-osoiterajoituksen voi tietysti kiertää, mutta kyllähän se estää yksinkertaiset automatisoidut kirjautumisyritykset.

Kaikkein uniten pelottaa mahdolliset haavoittuvuudet palvelimessa. Ajan Windows palvelimessa muutamia palveluja, jotka mietityttävät. Lisäksi palvelimeen on kerääntynyt tietoa mikä olisi hyvä pitää turvassa. Mietin kovasti, että pitäisikö ostaa esim. Lattepanda ja siirtää muutamat palvelut siihen.

Edit
NATista tuli mieleen, että aikoinaan ainakin M0n0wallissa sai muuttaa NATin tyypiksi Full-cone. Yhteys NATin läpi palvelmeen server:80 avasi yhteyden myös muille laitteille takaisin. Ilmeisesti lähes kaikkien perusreitittimien NATtien tyyppi on Port-restricted cone NAT, joka on tässä suhteessa turvallinen. Network address translation - Wikipedia .
 
Viimeksi muokattu:
Selventävä kuva! Tämän perusteella voisin lähteä rakentamaan omaanikin, ainakin tuplareitittimien osalta.

Tuota välissä olevaan D-Linkkiä en vielä omilla tietotaidoillani osaa systeemiin rakentaa, joten se lisätään tulevaisuudessa.

Itsekin lisäsin vasta eilen D-Linkistä yhteyden IoT-verkkoon. Hyvin pärjää ilman tuota yhteyttäkin. Liian monimutkainen järjestelmäkään ei ole hyvä. D-Link on toiminut minulla vain langattomana tukiasemana eikä tullut aikaisemmin mieleen käyttää sitä yhteytenä kotiverkosta IoT-verkkoon.
 
Yhteysongelmien vuoksi olin liittämässä LG:n television kaapelilla IoT-verkon Asus RT-AC66:een. Kaapeliyhteydessä on se huonopuoli, että tällöin kaikki IoT-verkon laitteet löytävät television. Langattomat laitteet eivät näe toisiaan, koska Asuksessa on päällä AP Isolation. Asuksesta ei saa eristetty verkkoporttia tai ei ainakaan helposti. En tiedä onnistuuko Asuswrt-Merlinillä.

Edit:
Asuken ohjelmistopäivityksen jälkeen IoT-verkon langattomat laitteet eivät enää löydä langallisia laitteita.
 
Viimeksi muokattu:

Statistiikka

Viestiketjuista
261 569
Viestejä
4 540 474
Jäsenet
74 823
Uusin jäsen
MaxMonLar

Hinta.fi

Back
Ylös Bottom