Kotiverkon eristäminen - Pääverkko ja IoT

[Aaltoliike]

Mjoo. Pitkään tässä ajatellut seuraavan näköistä projektia

Spoileri: Alustava vuokaavio ideasta

Tarkoitus olisi siis luoda kaksi erillistä verkkoa, että pääverkosta saa yhteyden IoT-verkkoon, mutta ei missään nimessä toisin päin. Eli PC saa jutella telkkarille, mutta toisinpäin mielellään ei.

Oon tässä pohtinut tovin noita Netgear GS108Ev3 switchin asetuksia, VLAN :in osalta, mutta siitäkin huolimatta mielessäni jäytää pari kysymystä:

1. Onko tämä suunnitelma edes validi? Ts. Onko verkot eriytetty oikein?
2. Voinko estää IoT-verkon yhteydet pääverkon puolelle switch VLAN :illa? Jos en, niin muita ratkaisuja?
3. Kuinka voin todentaa verkkojen eriyttämisen toiminnan?
4. Tarvitsenko kokonaan toisenlaisia ratkaisuja?

 

[haller]

Ei tuon kytkimen asetuksilla ole juurikaan väliä sen suhteen pääsetkö tavoitteisiin. Keskeistä olisi miettiä tuota reititintä, siellä ne vlanit pitää saada ensin määriteltyä ja luotua säännöt mihin kukakin saa liikennöidä. Jos tämä ei onnistu, niin pitää katsella toisia ratkaisuja.

 

[Aaltoliike]

Ei tuon kytkimen asetuksilla ole juurikaan väliä sen suhteen pääsetkö tavoitteisiin. Keskeistä olisi miettiä tuota reititintä, siellä ne vlanit pitää saada ensin määriteltyä ja luotua säännöt mihin kukakin saa liikennöidä. Jos tämä ei onnistu, niin pitää katsella toisia ratkaisuja.

Netgear R9000 reitittimestä löytyy seuraavat asetukset koskien VLAN :ia.

Saisiko näistä jotain rakenneltua?

 

[Prefect]

Suunnitelma on ihan ok, pelkästä kuvasta on vaikea tulkita kaikkea mutta wlaneilla saat erotettua kaksi erillistä verkkoa yhteen kaapelivetoon. Käytännön toteutus on aina vähän yksilöllistä riippuen litteistosta ja siitä mitä halutaan eli esimerkiksi kaksi lania ja kaksi wifia ja tuo yksisuuntainen yhteys vierailijaverkkoon yms.

Openwrt:llä tuollainen vastaava oli ainakin mahdollista toteuttaa. Yhdellä reitittimellä palomuuri, kaksi wifiä ja parit verkkoportit eri vlaneissa. Tein itselleni myös tuon yksisuuntaisen reitin verkkojen välille.

Yksinkertaistettuna tagaat vain ne portit siihen vlaniin kumpana ne haluat ja reitittimen wan portti toki molempiin. Ellei tuossa reitittimeasä ole erillistä visitor wlan toimintoa niin mahdollisen vierailija wifin joutuisi tekemään erillisellä laitteella tai vaihtoehtoisesti 2.4g vierailijoille ja 5g sisäverkkoon.

 

[mikajh]

Saisiko näistä jotain rakenneltua?

Saattaa toimia, kunhan reitittimen VLAN-tuki ei ole rajoittunut siihen, että se pystyy vain tagaamaan VLAN:illa ISP:lle WAN:iin menevät paketit. Joissakin maissa on tällaisiakin virityksiä.
Reitittimen pitäisi tosiaan pystyä tekemään erillisiä subneteja VLANeille ja mahdollistaa reitityssääntöjä näiden välille

 

[Aaltoliike]

Saattaa toimia, kunhan reitittimen VLAN-tuki ei ole rajoittunut siihen, että se pystyy vain tagaamaan VLAN:illa ISP:lle WAN:iin menevät paketit. Joissakin maissa on tällaisiakin virityksiä.
Reitittimen pitäisi tosiaan pystyä tekemään erillisiä subneteja VLANeille ja mahdollistaa reitityssääntöjä näiden välille

Koitin tuota manuaalia tavailla.

Ilmeisesti purkki vaihtoon?

 

[mikajh]

Ilmeisesti purkki vaihtoon?

Siltä vaikuttaa, jos tuossa on kaikki VLAN-tuesta

 

[Aaltoliike]

Siltä vaikuttaa, jos tuossa on kaikki VLAN-tuesta

Manuaalia voi käydä ihastelemassa Tästä. Itse en ainakaan löytänyt muuta mainintoja. Ehdotuksia reitittimeksi, jolla hoituisi vapaasti tämä projekti?

 

[s4l33]

Manuaalia voi käydä ihastelemassa Tästä. Itse en ainakaan löytänyt muuta mainintoja. Ehdotuksia reitittimeksi, jolla hoituisi vapaasti tämä projekti?

Varmasti helpoin ja yksinkertasin on Unifi Dream Machine tai joku muu Ubiquitin laite. UDM:lle löytyy lukuisia videoita miten IoT-verkkojen luonti onnistuu,
esim:

 

[Aaltoliike]

Varmasti helpoin ja yksinkertasin on Unifi Dream Machine tai joku muu Ubiquitin laite. UDM:lle löytyy lukuisia videoita miten IoT-verkkojen luonti onnistuu,
esim:

Mulla on tuossa Ubiquiti ER-LITE jouten. Otanko sen käyttöön ja nakkaan R9000 myyntiin? Turha kait sitä noin tehokasta mööpeliä pelkästään Access Pointtina pitää?

 

[juuhokei]

Mulla on tuossa Ubiquiti ER-LITE jouten. Otanko sen käyttöön ja nakkaan R9000 myyntiin? Turha kait sitä noin tehokasta mööpeliä pelkästään Access Pointtina pitää?

Jep tuolla edgerouterilla onnistuu.

Tuo nyt vähän riippuu mitä siitä voi saada rahaa ja onko tarvetta AP:lle.

 

[Prefect]

Koitin tuota manuaalia tavailla.

Ilmeisesti purkki vaihtoon?

Eikös manuaali kuvaa käytännössä tuon vlan-bridge groupin jolla siis osa porteista laitetaan siltavan tilaan erilleen sisäverkosta jota ei nyt tässä tapauksessa haeta.

Se toinen aiemman viestin jälkimmäisessä kuvassa ollut kohta "by vlan tag group" pitäisi olla se mitä haetaan. Lisäät siis sopivat vlan ryhmät ja tagaat niihin haluamasi portit, mahdollisesti ulos menevä wan portti molempiin verkkoihin (jos se on tagattavissä) niin pääset verkosta ulkomaailmaan. Ryhmien välinen reititys voi olla hankala/mahdoton saada toimimaan. Mitenköhän tuo reititin osaa jakaa eri verkko-osoitteet molemmille verkoille. Tuo helpottaisi reititystä ja vianhakua.

Kotiverkosta vierailijaverkkoon yhdensuuntaisen liikenteen toteuttamiseen koittaisin noiden kuvien pohjalta kotiverkon vlaniin tagata kaikki portit joihin halutaan yhteys (myös vierailija portit /wlan) ja vierailija verkkoon tagataan vain ne portit jotka kuuluvat vierailijaverkkoon.
(edit typot)