Kuten sanottua, AP on käytännössä langaton kytkin. Jos siinä on jotain suurempaa älyä, niin fine, mutta sitten se ei ole enää puhdas tukiasema. Kytkimellä voi tägäillä paketteja jne, mutta se itsessään sen enempää osaa. Lähtökohtaisesti kaikki laitteet voi kesksutella keskenään, ellei niitä juurikin ole jaettu eri aliverkkoihin vlanitageilla ssid:iden kautta.
Kytkin nyt vaan sattuu toimimaan niin, että kaikki siinä olevat laitteet voi lähtökohtaisesti kommunikoida keskenään. Jos sitä konffaa enemmän, voidaan tehdä pesäeroa eri laitteiden välille, mutta L2:ssa vlanit on about kaiken tietoturhan perusta.
No niin. Tuli viriteltyä IOT WLAN kotiverkkoon. Tämä liittyy myös reitittimiin, joten kirjoitan tämän tänne.
Todellakin Ubiquitin AP ei itsessään sisällä minkäänlaisia palomuuriominaisuuksia - kaikki säännöstöihin liittyvät toiminnot Ubiquitin controllerissa vaativat Ubiquitin USW:n / Security Gatewayn. Eli VLANeja tarvittiin tämän toteuttamiseksi: Periaate on, että WLAN-tukiasemaan perustetaan oma IOT SSID, jonka liikenne tiputetaan omaan VLANiin ja tämä liikenne viedään kytkimen kautta VLANina palomuurille, jossa liikenne viedään oman palomuurisäännöstön kautta Internettiin.
Oma kokoonpano on:
- Sophos XG-palomuuri / Fitlet2
- Zyxelin web-hallittava kytkin (on muitakin kytkimiä, mutta tämä on tuon Sophoksen ja Ubiquitin AP:n välissä)
- Ubiquiti UniFi 6 Lite-tukiasema x 2
IOT WLANin asennus tapahtui näin:
- Sophos XG:en määrittelemään uusi "Verkko" omalla VLAN-tägillä ja IP-avaruudella (C-luokka antaa hyvin tilaa tulevaisuudelle)
- Sophos XG:en DHCP-skooppimääritys tälle uudelle verkolle (kannattaa varata DHCP-skooppiin vain osa osoiteavaruudesta, jos jokin laite vaatii jatkossa kiinteän IP:n)
- Sophos XG:en tarvittavat palomuurisäännöt - sallitaan liikenne uudesta verkosta vain nettiin, mutta ei muihin osoiteavaruuksiin
- Sophos XG:en tarvittava NAT-sääntö ulospäin, jotta uuden privaattiverkon osoite kääntyy nettiin
- Palomuurin ja Ubiquitin AP:n välissä olevaan Zyxelin kytkimeen uusi VLAN ja liikenne tägättynä sallittu palomuurin ja Ubiquitin AP:n portteihin
- Ubiquitin Controllerissa uuden WLANin luonti "WLAN IOT"
- Uuteen IOT WLANiin WPA Personal-autentikointi ja eri salasana kuin normaaliin WLANiin
- Ubiquitin Controllerissa uuden verkon määrittely "IOT_LAN VLAN x"
- Ubiquitin Controllerissa uuden WLANin liittäminen uuteen LANiin (IOT_LAN VLAN x)
- Ubiquitin Controllerissa "L2 Isolation" päälle IOT WLANissa, jotta IOT-verkossa olevat laitteet eivät näe toisiaan
- Sellainen nyanssi, että IOT WLANin kannattaa sallia pelkästään 2.4G taajuus, sillä IOT-laitteet ovat hitaita ja on turhaa kuormittaa 5G-taajuuksia hitailla ja ehkä kantaman äärirajoilla toimivilla IOT-laitteilla. Lisäksi 2.4G taajuus kantaa pidemmälle (omassa tapauksessa autokatokseen, jonne tulee sähköauton latausasema)
Jos valitset itsellesi sopivaa reititintä (palomuuria), niin kyvykkyys määritellä useita verkkoja ja VLANeja on olennainen ominaisuus, mikäli IOT-verkon määrittely tulevaisuudessa kuulostaa tarpeelliselta. Sophos XG:ssä tämä oli helppoa. Yhtä helppoa näkyisi olevan Pfsensen kanssa. Myös Ubiquitin omilla kilkkeillä näyttää helpolta, jos hankit AP:n lisäksi Ubiquitin USW-sarjan kytkimen sekä Ubiquitin Security Gatewayn. Tällöin koko konfiguroinnin voi tehdä pelkästään Ubiquitin controllerin käyttöliittymällä.
Jotta tällainen IOT-verkko onnistuisi on myös se hallintaominaisuuksilla varustettu kytkin tarpeen. Jos VLANien määrittely ei onnistu, niin hankalaa tulee. Eli ne Zyxelin ei-hallittavat kytkimet eivät ole hyvä valinta pidemmällä aikavälillä.
PS. Fitlet 3:sta näkyy tulevan tietoa pala kerrallaan tuonne valmistajan sivulle. Tästä näkyy jo tuosta valokuvia:
fit-pc.com
PS2: Ubiquitin controllerin käytössä näkyi muuten olevan myös sellainen hyvä puoli, että controller vaihtoi automaattisesti Ubiquitin tukiasemien taajuudet siten, etteivät mene päällekkäin. Asennuksen jälkeen molemmissa asemissa oli kanava 40. Vartin jälkeen Controller totesi, ettei tämä ole hyvä idea ja vaihtoi automaattisesti toisen tukarin kanavaksi 44.
Mitä mieltä olette, onko jokin one-for-all -tyyppinen ratkaisu järkevin noin 70m2 asunnossa, jossa seinät on lähinnä kipsilevyä vai olisiko viisaampi rakentaa langaton verkko tässäkin tapauksessa erillisistä laitteista ja jos olisi, niin minkälaista kokoonpanoa suosittelette?
