Kotiverkon aliverkotukseen liittyviä kysymyksiä

[pappatech]

Saiskohan tästä jotain yleisempää lankaa, vaikka näiden konffiminen lienee vahvasti laiteriippuvaista..

Itsellä reitittimenä TP-Linkin BE3600 ja tarpeena saada jaetuksi kotiverkko pariin, kolmeen aliverkkoon niin, että saisin ensi vaiheessa eristettyä duunikoneen omaan aliverkkoonsa ilman reittiä muihin aliverkkoihin (mutta toki reitillä nettiin).

Reitittimen LAN-asetuksissa pystyy määrittämään netmaskin, eli minun ymmärtääkseni voin aika pitkälti ite päättää, montako IP:tä haluan varata kotiverkkoon, mutta oletus /24 verkko riittää varmaan aikas pitkälle. Se pitäisi vaan saada jaetuksi esim. yhteen /25 ja kahteen /26 verkkoon sopivine reitteineen.

Mutta osaisiko joku heittää nyt alkuun kommenttia, että tukeeko tämä Archer BE3600 ylipäätään VLANeja, kun en saa ite ihan varmuutta? Admin-konsolistahan löytyy IP-TV / VLAN välilehti, jossa pystyy jotain tekemään, mutta mitään selkeää "Add VLAN" namiskaa ei esim. löydy.

Tuolla manuska: https://static.tp-link.com/upload/manual/2024/202412/20241211/1910013637_Archer BE230&BE3600_UG_REV1.0.0.pdf

 

[pappatech]

No, tein purkkaratkaisun ja loin tuolta reitittimen asetuksista Guest Wifin, joka näkyy kuuluvan ihan ok työhuoneeseen. Siltä voi estää juttelun lokaalin verkon laitteiden kanssa ja SSID:n saa piiloon, niin olkoon nyt vaikka noin.

Seuraavaksi ihmettelemään rautatason palomuureja ja millaisia ratkaisuja ois kotiverkon eteen.

 

[Kilkenblad]

Saiskohan tästä jotain yleisempää lankaa, vaikka näiden konffiminen lienee vahvasti laiteriippuvaista..

Itsellä reitittimenä TP-Linkin BE3600 ja tarpeena saada jaetuksi kotiverkko pariin, kolmeen aliverkkoon niin, että saisin ensi vaiheessa eristettyä duunikoneen omaan aliverkkoonsa ilman reittiä muihin aliverkkoihin (mutta toki reitillä nettiin).

Reitittimen LAN-asetuksissa pystyy määrittämään netmaskin, eli minun ymmärtääkseni voin aika pitkälti ite päättää, montako IP:tä haluan varata kotiverkkoon, mutta oletus /24 verkko riittää varmaan aikas pitkälle. Se pitäisi vaan saada jaetuksi esim. yhteen /25 ja kahteen /26 verkkoon sopivine reitteineen.

Mutta osaisiko joku heittää nyt alkuun kommenttia, että tukeeko tämä Archer BE3600 ylipäätään VLANeja, kun en saa ite ihan varmuutta? Admin-konsolistahan löytyy IP-TV / VLAN välilehti, jossa pystyy jotain tekemään, mutta mitään selkeää "Add VLAN" namiskaa ei esim. löydy.

Tuolla manuska: https://static.tp-link.com/upload/manual/2024/202412/20241211/1910013637_Archer BE230&BE3600_UG_REV1.0.0.pdf

Ei tue VLANeja siinä mielessä että osaisi luoda omia verkkoja. Tuo asetus on sitä varten kun jossain maassa IPTV-data tulee tägättynä jollain vlan idllä ja reitittimen pitää osata vastaanottaa ja suunnata se haluttuun porttiin.

 

[BennyH]

Ei taida olla vlanien luontimahdollisuutta missään TP-Linkin ns. kotikäyttöön tarkoitetuissa reitittimissä.

TP-Linkin Omada-sarjan laitteista vlanit löytyy.

 

[pappatech]

Ei tue VLANeja siinä mielessä että osaisi luoda omia verkkoja. Tuo asetus on sitä varten kun jossain maassa IPTV-data tulee tägättynä jollain vlan idllä ja reitittimen pitää osata vastaanottaa ja suunnata se haluttuun porttiin.

Jes, joo, johonkin tällaiseen suuntaan minäkin tuota tulkitsin.

Tarvii kattoa, jaksaako paneutua sen verran, että vaihdan vielä reititintä, mutta tuo mainittu purkkakin varmaan ratkas nyt jonkinlaisen primääritarpeen, miks tätä aloin edes veivaamaan.

Pitää kurkata nuo Omadat tai muiden valmistajien laitteet ja joku rautatason muurikin vähän kiinnostaa ihan harrastamisen kannalta.

 

[dot1q]

Sinuna katsoisin Edgerouter sarjan laitteita erilliseksi reitittimeksi, tai Mikrotik Routerboard laitteita.
Edgeroutereissa olisi ehkä matalin oppimiskynnys näistä kahdesta.. Jos erillistä reititintä ajattelee laittaa käyttöön. Nykyisen all-in-one laitteen voisi sitten laittaa Accesspoint toimintatilaan (jos siitä löytyy sellainen).

 

[Algron28]

Sinuna katsoisin Edgerouter sarjan laitteita erilliseksi reitittimeksi, tai Mikrotik Routerboard laitteita.
Edgeroutereissa olisi ehkä matalin oppimiskynnys näistä kahdesta.. Jos erillistä reititintä ajattelee laittaa käyttöön. Nykyisen all-in-one laitteen voisi sitten laittaa Accesspoint toimintatilaan (jos siitä löytyy sellainen).

Itse kyllä suosittelisin nuo Edgerouterit jättämään pois, alkavat olla tuen puolesta aika EoL sillä viimeinen päivitys on tullut kaksi vuotta sitten. Korvannut UISP sarja taas taisi sen keskitetyn kontrollerin vaatia.

 

[pappatech]

Sinuna katsoisin Edgerouter sarjan laitteita erilliseksi reitittimeksi, tai Mikrotik Routerboard laitteita.
Edgeroutereissa olisi ehkä matalin oppimiskynnys näistä kahdesta.. Jos erillistä reititintä ajattelee laittaa käyttöön. Nykyisen all-in-one laitteen voisi sitten laittaa Accesspoint toimintatilaan (jos siitä löytyy sellainen).

No se oppimiskynnys ei varmaan oo kauhea ongelma, kun nää ny liippaa kuitenkin aika läheltä päivähommiakin, vaikka en fyysisten verkkolaitteiden kanssa joudukaan työskentelemään. Ja varmaan jotain ammattilaitetta tai lähes ammattilaitetta tuota joutuu kattoon, että saa ominaisuudet, joilla haluaa leikkiä.

Tsiigaan jossain kohtaa noita Mikrotik-laitteita, voi olla, että käytännön hommat menee syksylle, kun kohtahan tässä on kesä, jota en meinannu viettää himassa verkkoa säätämällä

 

[JiiS]

Miten olette tehneet aliverkot iot/kotiautomaatiolle? Entä miten tai mihin verkkoon olette laittaneet homeassistant:n tai vastaavan "kontrollerin"?

Tähän asti ei ole tullut mietittyä aliverkkoja, kun on ollut vain homeassistant (haos asennus) sekä zigbee ja ble laitteita. Mutta nyt on tullut kaksi ilp:tä, jotka saisi wlan verkkoon. Ainakin toinen (panasonic) toimii valitettavasti vain valmistajan pilven kautta, joten sen tarvitsee päästä internettiin. Toiseen (midea) taitaa saada "suoran" yhteyden, mutta en ole ehtinyt perehtymään löytyykö tuohon joku ha integraatio.

Reitittimenä on Unifi Cloud Gateway Ultra ja wlan ap:nä 2kpl U6+. Noilla pystynee toteuttamaan monenlaista, kun vaan ensin keksisi mitä haluaisi.

 

[Mco]

Miten olette tehneet aliverkot iot/kotiautomaatiolle? Entä miten tai mihin verkkoon olette laittaneet homeassistant:n tai vastaavan "kontrollerin"?

Tähän asti ei ole tullut mietittyä aliverkkoja, kun on ollut vain homeassistant (haos asennus) sekä zigbee ja ble laitteita. Mutta nyt on tullut kaksi ilp:tä, jotka saisi wlan verkkoon. Ainakin toinen (panasonic) toimii valitettavasti vain valmistajan pilven kautta, joten sen tarvitsee päästä internettiin. Toiseen (midea) taitaa saada "suoran" yhteyden, mutta en ole ehtinyt perehtymään löytyykö tuohon joku ha integraatio.

Reitittimenä on Unifi Cloud Gateway Ultra ja wlan ap:nä 2kpl U6+. Noilla pystynee toteuttamaan monenlaista, kun vaan ensin keksisi mitä haluaisi.

Omat aliverkotukset ovat suunnitteluasteella, mutta olen kaavaillut IoT:lle kahta aliverkkoa:
- Suljetusta IoT-verkosta ei ole lainkaan pääsyä internetiin.
- Pilvipalveluja käyttävien laitteiden verkosta on taas pääsy vain internetiin, muttei pääsyä muuhun sisäverkkoon tai toisiin samassa verkossa oleviin laitteisiin.

Lähiverkon palvelimille (NAS jne.) olen kaavaillut omaa aliverkkoa ja sijoittaisin Home Assistantinkin tänne. Neljäntenä sitten kodin päätelaitteille tarkoitettu verkko. Edellä oleva toki vaatii jonkin verran palomuurisääntöjä siihen, minkä verkkojen välillä saa ja ei saa liikenne kulkea.

 

[BennyH]

Omat aliverkotukset ovat suunnitteluasteella, mutta olen kaavaillut IoT:lle kahta aliverkkoa:
- Suljetusta IoT-verkosta ei ole lainkaan pääsyä internetiin.
- Pilvipalveluja käyttävien laitteiden verkosta on taas pääsy vain internetiin, muttei pääsyä muuhun sisäverkkoon tai toisiin samassa verkossa oleviin laitteisiin.

Lähiverkon palvelimille (NAS jne.) olen kaavaillut omaa aliverkkoa ja sijoittaisin Home Assistantinkin tänne. Neljäntenä sitten kodin päätelaitteille tarkoitettu verkko. Edellä oleva toki vaatii jonkin verran palomuurisääntöjä siihen, minkä verkkojen välillä saa ja ei saa liikenne kulkea.

Yllä korostamani kohta on itselläkin ollut mielessä, mutta se ei ole käsittääkseni ”helposti” toteutettavissa.

Olen ymmärtänyt, että samassa aliverkossa olevien laitteiden välistä liikennettä ei voi estää palomuurisäännöillä (tai ei ainakaan Unifi-reitittimissä olevalla palomuurilla) vaan tähän tarvitaan L3-kytkin.

Saatan olla väärässä ja saa korjata…

Jos joku osaa kertoa miten em. toteutetaan Unifi-reitittimillä, niin kiinnostaisi tietää.

Otin Unifin esille, koska itsellä on sellainen ja Mco vastasi JiiS:lle, jolla myös Unifi.

 

[jessenic]

Yllä korostamani kohta on itselläkin ollut mielessä, mutta se ei ole käsittääkseni ”helposti” toteutettavissa.

Olen ymmärtänyt, että samassa aliverkossa olevien laitteiden välistä liikennettä ei voi estää palomuurisäännöillä (tai ei ainakaan Unifi-reitittimissä olevalla palomuurilla) vaan tähän tarvitaan L3-kytkin.

Saatan olla väärässä ja saa korjata…

Jos joku osaa kertoa miten em. toteutetaan Unifi-reitittimillä, niin kiinnostaisi tietää.

Otin Unifin esille, koska itsellä on sellainen ja Mco vastasi JiiS:lle, jolla myös Unifi.

Wifissä olevien laitteiden välinen liikenne on helppo estää client isolation toiminnolla. Itsellä on Unifin vierasverkossa IoT-laitteet.

 

[JiiS]

Riippuu varmaan laitteesta, mutta tuleeko jotain ongelmia tuollaisessa "client isolated" verkossa, jos laitteen käyttöönotto pitää tehdä jollain puhelin apilla tms. Tai jos myöhemmin haluaa (tai joutuu) käyttää laitetta myös puhelimella.

Jos tekisi vain yhden automaatioverkon, kun tässä kohtaa ei ole muuta kuin ne kaksi ilp:iä wifissä. Mitenköhän helppoa unifillä olisi sallia internetiin pääsy laitekohtaisesti? Vai onko loppujen lopuksi helpompaa tehdä suoraan Mco:n ajatuksen mukaisesti kaksi automaatioverkkoa.

Homeassistant menisi pääverkkoon, mistä tulikin mieleen että oletteko sallineet kaiken liikenteen pääverkosta automaatioverkkoon vai rajanneet pääsyn jollain tapaa vain tietyille laitteille?

 

[Algron28]

Riippuu varmaan laitteesta, mutta tuleeko jotain ongelmia tuollaisessa "client isolated" verkossa, jos laitteen käyttöönotto pitää tehdä jollain puhelin apilla tms. Tai jos myöhemmin haluaa (tai joutuu) käyttää laitetta myös puhelimella.

Jos tekisi vain yhden automaatioverkon, kun tässä kohtaa ei ole muuta kuin ne kaksi ilp:iä wifissä. Mitenköhän helppoa unifillä olisi sallia internetiin pääsy laitekohtaisesti? Vai onko loppujen lopuksi helpompaa tehdä suoraan Mco:n ajatuksen mukaisesti kaksi automaatioverkkoa.

Homeassistant menisi pääverkkoon, mistä tulikin mieleen että oletteko sallineet kaiken liikenteen pääverkosta automaatioverkkoon vai rajanneet pääsyn jollain tapaa vain tietyille laitteille?

Unifista ei ole suoraan kokemusta, mutta olettaisin että palomuurin kohdalla periaate on sama kuin muissakin, eli siellä on sääntö jonka blokkaa oletuksena kaiken liikenteen ja sitten sen yläpuolella on säänttö jolla sallitaan liikenne internettiin erikseen määritetyistä sisäverkon IP osoitteista (tämä helpoin toteuttaa IP listalla johon voi helposti lisäillä, tai poistaa osoitteita myöhemminkin, totta se Unifi sellaista tukee)

 

[Marquette]

Jos olisi joku reitittimen uusiminen, niin katselisin Openwrt-yhteensopivia laitteita.

 

[pulatunnus]

Omat aliverkotukset ovat suunnitteluasteella, mutta olen kaavaillut IoT:lle kahta aliverkkoa:
- Suljetusta IoT-verkosta ei ole lainkaan pääsyä internetiin.
- Pilvipalveluja käyttävien laitteiden verkosta on taas pääsy vain internetiin, muttei pääsyä muuhun sisäverkkoon tai toisiin samassa verkossa oleviin laitteisiin.

Lähiverkon palvelimille (NAS jne.) olen kaavaillut omaa aliverkkoa ja sijoittaisin Home Assistantinkin tänne. Neljäntenä sitten kodin päätelaitteille tarkoitettu verkko. Edellä oleva toki vaatii jonkin verran palomuurisääntöjä siihen, minkä verkkojen välillä saa ja ei saa liikenne kulkea.

Jos et halua IoT verkkoon muista verkoista niin se olisi helppo. Mutta jos Home Assistantin haluat johonkin toiseen verkkoon, ja todennäköisesti IoT verkosta yhteys sinne ja toisin päin. Entä pilvipalvelu verkko, pitääkö sieltäkin päästä Home Asistantiin ja toisin, ja pitääkö sieltä päästä IoT verkkoon, jos siis tuossa verkossa on se "ioT" kama mikä käyttää pilveä.

Onko suoratoisto, peli, Apple/Meta/Amazon/Google palveluita käyttävä pilvipalveluverkossa, vai kotiverkossa. ? Eli vähän miettiä onko homma toimiva jos estät laitteiden väliset yhteydet.

Kodinpääteleitteet, onko tämä se missä tietokoneet, mobiilit, tulostimet vai ? ja mihin tuolta pitää päästä.

Kysymys patterin ajatus se että mitä vaihtoehtoja ja voiko muuttaa.

Jos NAS yksinään, ja sen haluaa palomuurin taakse, niin sen eteen voi laittaa palomuurin, helppoa, selkeää, mutta jos NAS on suorituskykyinen niin jos haluaa senhyödyntää, niin palomuurikin pitää olla suorituskykyinen, miettiä mitä haluaa ja voiko sen tehdä ihan rautapohjaisesti ja luottaa NAS omaan turvallisuuteen muuten.

Jos IoT verkon haluaa ihan omaan kapseliin, ja kytkee sen kuitekin nettiin tiukan palomuurin taakse , jolloin Home Asistantin voi sinne laittaa, mutta jos HAn perään tulee jotain pilvipalveluita käyttäviä juttuja, niin ei sekään ole ihan yhtä helppoa.

Keinovalikoimaan vaikuttaa myös se on kuinka laajalle alueelle verkko ulottuu, meneekö yhdellä WiFI tukarilla, vai tarviiko niitä paljon. onko olemassa oleva kaapelointi, vai tehdäänkö se samassa yhteydessä ja voiko sen tehdä tarpeen mukaan, vai onko rajoituksia. Eli jos kaikki voi kaapeloida samaan laite tilaan, vs ei onnistu, tarvii kytkimä sinne tänne, jolloin väistämättä mennään johonkin virtuaali ethernettiin tyyppisiin, esim VLAN. Ja silloin pitää pitää huoli ja huolellinen ettei verkkojen välillä vuoda kytkimissä. Estää lähtökohtaisesti porttien välinen liikenne.

Jos eri verkoille myös omat WiFi verkot, niin vo tehtä eri tukareilla, mutta tuossa sitten esim VLAN käyttö jos peittoalueen toteuttaminen vaatii useita tukareita.

Tavallaan kannatettavaa toteuttaa yli tiukka politiikka, mutta jos siinä menee liiallisuuksiin niin herkästi palaa hermo kun vähän väliä joutuu säätämään että saa jokin pelaamaan, ja se lisää riskejä varsinkin kovin integroidussa verkossa. Jos pitää vaarallisimman verkon fyysisesti erillään, niin se suojaa verkkoja toisiltaan.