Turvallinen kotiverkko

  • Keskustelun aloittaja Keskustelun aloittaja ktva
  • Aloitettu Aloitettu
Liittynyt
17.10.2016
Viestejä
58
Kuinka rakentaa kotiverkko turvalliseksi raudan puolesta? Ajattelin, että olisi järkevä jakaa kotiverkko useaan omaan verkkoonsa esim. seuraavasti:

1. Kotiverkko (n. 30 pistoketta cat 6 kaapelointi) + wlan
2. Vierasverkko wlan
3. Murtovalvonta
4. Kameravalvonta
5. Talotekniikka (KNX, IV, MLP jne.)
6. Mahdolliset muut kodinkoneet kun näyttää, että uusissa jääkaapeissakin on verkkoliitäntä

Kuinka siis järjestää verkko niin, että saisin kuusi eri verkkoa kotiin joista ei ole pääsyä muihin verkkoihin, paitsi sisäverkon pistokkeiden ja wlanin kautta pitäisi päästä kaikkiin verkkoihin kiinni mutta muista verkoista ei kotiverkkoon. Lisäksi vpn yhteys tietenkin kotiverkkoon.

Ilmeisesti VLANilla tuo onnistuu mutta noista en juuri mitään "vielä" ymmärrä. Tässä onkin tarkoitus oppia matkan varrella mutta rauta pitäisi valita kerralla oikein niin ei useaan kertaan tarvitse tavaraa hankkia.

Olen hankkinut jo seinälle asennettavan SOHO kaapin tekniseen tilaan johon sopii päätetelineet, verkkolaitteet, NAS, jne. Reitittimeksi ajattelin hankkia EdgeRouter Liten tai X mallin ja wifi oli ajatus hoitaa muutamalla kappaleella UniFi AP AC Lite purkkeja. Kameravalvontaa varten on jo olemassa 8 porttinen 100Mb POE kytkin joka olisi tarkoitus jättää käyttöön.
Riittääkö lisäksi hallittava kytkin ja käykö esim. D-Link DSG-1210-48 jossa olisi riittävästi portteja vai tarvitsenko tähän järeämmän kytkimen.
 
En keksi mitään syytä miksei toi D-Linkki riittäisi, jos siitä ne VLANit löytyy.

Jos oikein radikaali ois ja rahnaa löytyy, niin voisihan sitä myös hankkia kuusi erillistä kytkintä, eli jokaiselle verkolle omansa :D. Ei tarvitsisi ainakaan pelätä konffausvirhettä kun verkot on fyysisesti erillään toisistaan :D. Mut joo, oot ihan oikeillä jäljillä noilla sun alkuperäisillä suunnitelmilla :).
 
VLAN on aika peruskauraa ja löytyy joka hallittavasta kytkimestä, sillä erottelet verkot toisistaan L2/"kytkintasolla".

Isompi homma on siinä, että siinä sun reitittimessä pitää olla interface joka verkolle ja miten joka VLANin kytket siihen. Tukeeko reititin suoraan VLAN interfaceja, jolloin tuot kytkimeltä yhdellä piuhalla kaikki vai pitääkö joka verkko kytkeä omaan fyysiseen interfaceen. Ja kun saat tuon puolen kuntoon, sitten pitää tehdä palomuurisäännöt joka verkon välille sekä tietty ulos.

Melkoinen kotiverkko tulossa..
 
L3 hallittava kytkin voi toimia reitittimenä VLAN:ien välillä, muttei tarjoa palomuuria.

EdgeRouter ilmeisesti tukee filtteröityä reititystä saman portin eri VLAN:ien välillä.
 
Kyllä Edgerouterien pitäisi tukea tuota router-on-a-stick hässäkkää.
Yhdessä konffaus videossa tuollainen valikko, saa siis per port VLANitkin jos sitä haluaa. Erikseen sitten vlan interface lisäily, mihin haluaa sitoa, mikä IP alue jne.
Capture25.PNG
Ja noita vlan id:eitä voi tietenkin laittaa useamman tuohon, 10,20,30 jne tjsp.
Erikseen sitten vlan interface lisäily, mihin haluaa sitoa, mikä IP alue jne.

Oma ER-X seilaa jossain UK:n ja Suomen välillä niin en tähän hätää pysty valikkoja tonkimaan, millähän lie soutuveneellä Günter sitä on tuomassa.

EdgeOS user guide, sivut 11,13,14,15 juttua vlaneista.
https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf
 
Viimeksi muokattu:
Eikö tuossa olisi järkevin fyyisesti erilliset reitittimet eri osille, sitten ip:llä tai macilla rajoittaa oikeudet. Kaikki kiinni wlan reittimessä jotka jaettu vieras ja oma vlaneihin.
Vähemmän kaapelia ja helpompi konffata.
Halutessa voi osan verkkoa sulkea vaikka ajastimella.
 
Viimeksi muokattu:
Eikö tuossa olisi järkevin fyyisesti erilliset reitittimet eri osille, sitten ip:llä tai macilla rajoittaa oikeudet. Kaikki kiinni wlan reittimessä jotka jaettu vieras ja oma vlaneihin.
Vähemmän kaapelia ja helpompi konffata.
Halutessa voi osan verkkoa sulkea vaikka ajastimella.

Mitä järkeä erillisissä reitittimissä muka on?
Miten VLANit (lue: VLAN, ei WLAN) "lisää kaapeleita"?
Kuvitteletko että kuusi eri kuluttajatason paska reititintä ei lisäisi kaapelien määrää kun core kytkimen ja niiden välillä pitäisi olla kuusi kaapelia ja syöt samalla 6 porttia kytkimestä?
Yksi VLANeja ymmärtävä reititin ja kytkin<>reititin väliin tarvitaan vain yksi kaapeli, hallittu kytkin VLANeilla ja säätää portit VLANeilla just niinkuin haluaa..
maxresdefault.jpg
stick.jpg


Konfigurointi voisi mennä jotain tähän suuntaan

Reitittimen päässä luodaan
VLAN1 192.168.0.0/24 - Management
VLAN10 192.168.10.0/24 - Kotiverkko
VLAN20 192.168.20.0/24 - Vierasverkko
VLAN30 192.168.30.0/24 - Murtovalvonta
VLAN40 192.168.40.0/24 - Kameravalvonta
VLAN50 192.168.50.0/24 - Talotekniikka
VLAN60 192.168.60.0/24 - Kodinkoneet

Palomuuriin räpelletään säännöt kuten halutaan
Esim
VLAN10 << VLAN20/30/40/50/60 estetty
VLAN10 >> VLAN20/30/40/50/60 sallittu
Eli esim. vieraat ei pääse kotiverkkoon käsiksi mutta tarvittaessa kotiverkosta pääsee sitten hallinnoimaan kameroita tai hälytysjärjestelmää jne.
Halutessa voi sitten lisätä jotain spesiaali sääntöjä jos jonku vempaimen on pakko päästä käsiksi kotiverkossa olevaan palvelimeen.

Reitittimestä menee kytkimeen yksi piuha ja kytkimestä kaikkiin muihin vempaimiin.
Kytkimen päässä sitten pistetään portteihin VLANit kuten haluaa.
Esim jos trunk on port48 ja PC:t sun muut kotiverkon vempaimet port1-12, tukiasemat kytkin port13 ja niin edelleen.
Porteissa 1-12 VLAN1 untagged, VLAN10 tagged. (örh, jossei nyt kuitenkaan noin. VLAN1 vain niihin portteihin mihin tarvitaan)
Portissa 13 VLAN1 untagged, VLAN10 tagged, VLAN20 tagged
Tukiasemille menee siis tuo hallinta VLANi mikä on pakollinen ainakin Unifi tukareiden/controllerin kanssa olla VLAN1.
Sitten sinne menee VLAN10 ja VLAN20, tägättynä. Tukiaseman päässä luodaan turvallinen SSID kotiverkko ja se on VLAN10. Sitten luodaan vierasverkko ja se on VLAN20.

Jotain tuohon suuntaan siis. En ole itse oikeassa elämässä päässyt tällaisia konffailemaan enkä ole VLANeihin ikinä sen kummemmin tutustunut joten korjatkaa jos selitin jotain väärin.

Edit: Olipas se iso kuva
 
Viimeksi muokattu:
Sivuhuomautuksena totean, että dd-wrt tukee VLANeja porttikohtaisesti tai filtteröitynä. Konffaaminen on tod.näk. helpompaa Edgerouterilla.
 
Kiitoksia avusta ja etenkin @Lagittaja iso kiitos kattavasta vastauksesta. Hieman järeä kotiverkko on tulossa mutta ajattelin kerralla tehdä homman kunnolla. En halua kodinkoneille ja talotekniikalle vapaata pääsyä sisäverkon ulkopuolelle ja myös kameravalvonta on sellainen minkä pääsy ulos pitää blokata palomuurilla.

Kesän aikana hankin kamat jolloin pääsee pöydän ääressä konfaamaan ja varmaan vasta loppuvuodesta on ajankohtaista asentaa kaikki laitteet paikoilleen. Jos vaikka lopulta saisi vuoden loppuun tuon kivikasan valmiiksi kun projekti on mallia tein itse ja säästin :)

Edgerouter on muuten todella hyvä laite. Tuohon löytyy paljon ohjeita ja ubnt:n foorumilta kyllä löytyy apuja kun vain jaksaa tonkia. Ei kyllä näe enää mitään syytä hankkia kuluttajatason pasketta jossa ominaisuudet on varsin rajoitettuja.
 
Tuota rikkaria mietin, miksi sille oma vlan? Noista laitteista kun ainoa joka tarvii ip:n on keskus, jos sekään. Sen voisi sijoittaa vaikka tuohon kameraverkkoon.
 
Tuota rikkaria mietin, miksi sille oma vlan? Noista laitteista kun ainoa joka tarvii ip:n on keskus, jos sekään. Sen voisi sijoittaa vaikka tuohon kameraverkkoon.

Kyseinen rikkari/paloilmoitinkeskus tarvitsee IP:n ja pääsyn WANin puolelle. Omaan verkkoon ajattelin tuon siksi, että kameroilta meinasin estää pääsyn WANin puolelle kokonaan.
 
Kyseinen rikkari/paloilmoitinkeskus tarvitsee IP:n ja pääsyn WANin puolelle. Omaan verkkoon ajattelin tuon siksi, että kameroilta meinasin estää pääsyn WANin puolelle kokonaan.
OK, siinä tapauksessa sitten. (Tosin pitää heti udella, että miksi ei kameroita WAN:iin? Yksityisyydensuojan varmistamiseksi vai? Ja saahan ne jälkikäteenkin sitten lisättyä mutta kuhan kyselen)
 
Voihan tuon estää myös palomuurisäännöillä, rikkarille kiinteä IP ja liikennöinti sallittu. Muuten verkolle deny sääntö loppuun.

Joskaan en keksi suurta riskiä tuossa kameroiden sallimisessa, ellei niissä ole jotain call home tyyppistä juttua?
 
OK, siinä tapauksessa sitten. (Tosin pitää heti udella, että miksi ei kameroita WAN:iin? Yksityisyydensuojan varmistamiseksi vai? Ja saahan ne jälkikäteenkin sitten lisättyä mutta kuhan kyselen)

Juu lähinnä yksityisyyden suojan takia. Ajattelin, että kameroiden avaaminen suoraan verkkoon ei ole mitenkään järkevää varsinkaan jos talon sisälle tulee kamera. Tarvittaessa pääsy kameroihin ulkopuolelta hoituu sitten VPN:n kautta.
 
Voihan tuon estää myös palomuurisäännöillä, rikkarille kiinteä IP ja liikennöinti sallittu. Muuten verkolle deny sääntö loppuun.

Joskaan en keksi suurta riskiä tuossa kameroiden sallimisessa, ellei niissä ole jotain call home tyyppistä juttua?

No joo totta ja kävi kyllä mielessä myös tämä. Enemmän kameroiden sallimisesta on kyse foliohatusta. Kyseessä kuitenkin edulliset kiinan kamerat ja en ihan luota noiden turvallisuuteen.
 
No joo totta ja kävi kyllä mielessä myös tämä. Enemmän kameroiden sallimisesta on kyse foliohatusta. Kyseessä kuitenkin edulliset kiinan kamerat ja en ihan luota noiden turvallisuuteen.
Toisaalta huolestuneempi mä oisin noiden jääkaappien yms. tietoturvasta.
 
Toisaalta huolestuneempi mä oisin noiden jääkaappien yms. tietoturvasta.
Jep ja siksi nekin sekä talotekniikka on tarkoitus erottaa julkisesta verkosta. Onhan se mukava säätää vaikka IV-konetta sohvalta tabletilla tai katsoa jääkaapin lämpötila mutta valmistajat eivät välitä pätkääkään tietoturvasta. Laitteet ovat avoimena verkkoon jos kotiverkon tietoturvaa ei ole ajateltu ollenkaan. Samalla laitteet lähettävät vaikka mitä tietoa ulospäin ties minne.
 
Kun noita kameroita ja muita laitteita blokkaa palomuurissa, ettei pääse internettiin niin voi tulla ongelmia esim. NTP:n kanssa. Ne kun hakevat oletuksena aikaa internetistä jostakin aikapalvelimista.

No kameroissa pystyy määrittämään oman aikapalvelimen, joka itsellä esimerkiksi pyörii omassa verkossa.

Itsellä on verkossa Philips Hue Bridge, jossa kiinni hue lamppuja. Olen estänyt muurissa, ettei tuo Bridge ota yhteyttä internettiin.

QQgkPHe.jpg

Tuolle pitää sallia internettiin, että saa yhteyttä NTP palvelimiin. Jos ei salli niin messuaa logissa aika paljon.

13e4N0Q.jpg

Jos ei salli niin voi ajastukset toimia päin seiniä. Tuon Hue Bridgen aikapalvelimia ei pysty määrittämään ainakaan tuolla mobiilisoftalla.

Ongelmia voi tulla myös laitteen ohjelmistopäivityksiin, jos internet yhteys blokattu muurissa...
 
Viimeksi muokattu:
Kun noita kameroita ja muita laitteita blokkaa palomuurissa, ettei pääse internettiin niin voi tulla ongelmia esim. NTP:n kanssa. Ne kun hakevat oletuksena aikaa internetistä jostakin aikapalvelimista.

No kameroissa pystyy määrittämään oman aikapalvelimen, joka itsellä esimerkiksi pyörii omassa verkossa.
NTP-palvelimen osoitteen voi jakaa DHCP:lla (optio 42) ja NTP palvelu kannattanee pyörittää pääreitittimellä kotiverkossa.
 
Moi,

Onkos tämä projekti missä vaiheessa? Minkälaisiin laitteisiin päädyit?

Itsellä olisi mielessä vähän saman suuntainen projekti, ehkä tosin vähän pienemmässä mittakaavassa, joten kovasti kiinnostaisi projektin eteneminen ja laitevalinnat.
 
Nyt taitaa tulla tyhmä kysymys VLANeista, mutta ei se mitään...

Alustetaan keissiä vähän. Mulla on erillinen pfsense laite, hallittava Zyxelin GS1900 kytkin, wlan ap ja Microserver Gen 8.

Microserverissä pyörii Openmediavault ja se on säädetty toimivaksi omassa verkossaan, ja sanotaan vaikka VLAN10:ssä.

Jos kuitenkin luon Virtualboxin avulla Linux virtuaalikoneita niin nyt ne saavat asetuksista johtuen suoraan ip osoitteen tuolta VLAN10 alueelta, esim. 192.168.10.3. Kuinka ihmeessä saan tuon virtuaalikoneen operoimaan toisessa VLANissa, esimerkiksi VLAN20 ja 192.168.20.3?

Onko mulla asetukset aivan hukassa (todennäköisesti näin) vai pitääkö tuonne Virtualboxiin saada joku asetus että tägää tuon liikenteen VLAN20?

Aivan hukassa...
 
Juu lähinnä yksityisyyden suojan takia. Ajattelin, että kameroiden avaaminen suoraan verkkoon ei ole mitenkään järkevää varsinkaan jos talon sisälle tulee kamera. Tarvittaessa pääsy kameroihin ulkopuolelta hoituu sitten VPN:n kautta.

Noista on muuten ihan hyvä olla huolissaan, ei ole foliohattuilua vaan kyllä niitä on oikeasti hakkeroitu. Jossain vaiheessa netistä löytyi joku hackedcams tjsp sivusto johon oli koottu näitten hakkeroitujen kameroiden lähetykset. Tuhansia kappaleita feedejä oli vähintään. Varmaan osittain tietysti vaan menty default passulla sisään jos peruskäyttäjä ei ole hoksannut vaihtaa.
 
Noista on muuten ihan hyvä olla huolissaan, ei ole foliohattuilua vaan kyllä niitä on oikeasti hakkeroitu. Jossain vaiheessa netistä löytyi joku hackedcams tjsp sivusto johon oli koottu näitten hakkeroitujen kameroiden lähetykset. Tuhansia kappaleita feedejä oli vähintään. Varmaan osittain tietysti vaan menty default passulla sisään jos peruskäyttäjä ei ole hoksannut vaihtaa.
Jos kyseessä on se sama sivusto mikä tässä jokusen vuoden välein on uutisiin pompahtanut niin kyseessä ei ole mitään hakkeroituja kameroita vaan kameroita joita ei ole suojattu salasanalla tai joissa käytetään valmistajan oletus salasanaa ja joita ei palomuurilla tms eristetty internetistä.

Mutta näin muuten jaan kyllä huolen noista kameroista. Lähinnä siitä että nykyään netti on pullollaan jos jonkinlaista kiinalaista kameraa joita ihmiset ostelee ja niiden tietoturva ja ennenkaikkea sen ylläpito on hyvin epäilyttävällä tasolla.
 
Pystyisikö joku enemmän pfSensen kanssa paininut kertomaan ihan rautalangasta vääntäen kuinka saisin seuraavanlaisen kuvitteellisen tilanteen toimimaan haluamallani tavalla.

VLAN1 192.168.1.0 Hallinta
VLAN2 192.168.2.0 Kotiverkko
VLAN3 192.168.3.0 Vierasverkko
VLAN4 192.168.4.0 Omituiset laitteet

VLAN1:stä pääsee nettiin ja muihin VLANeihin
VLAN2:sta pääsee nettiin ja VLAN4:seen
VLAN3:sta pääsee vain nettiin
VLAN4:sta ei pääse mihinkään

Eli miten ja minkälaiset säännöt pitäisi tehdä jotta tuo edellinen skenaario toimisi?
 
Pystyisikö joku enemmän pfSensen kanssa paininut kertomaan ihan rautalangasta vääntäen kuinka saisin seuraavanlaisen kuvitteellisen tilanteen toimimaan haluamallani tavalla.

VLAN1 192.168.1.0 Hallinta
VLAN2 192.168.2.0 Kotiverkko
VLAN3 192.168.3.0 Vierasverkko
VLAN4 192.168.4.0 Omituiset laitteet

VLAN1:stä pääsee nettiin ja muihin VLANeihin
VLAN2:sta pääsee nettiin ja VLAN4:seen
VLAN3:sta pääsee vain nettiin
VLAN4:sta ei pääse mihinkään

Eli miten ja minkälaiset säännöt pitäisi tehdä jotta tuo edellinen skenaario toimisi?
Olisikohan alla olevasta linkistä apua?
https://nguvu.org/pfsense/pfsense-baseline-setup/
 
Vähän sama olisi suunnitteilla itsellänikin. Eli tarve olisi useammalle vlanille ja porttikohtaiselle reititykselle näiden välillä. Lisäksi tarvitaan access point isolation wifi vehkeille, etteivät juttele keskenään. Sekä VPN automaatiota varten. Löytyisikö keneltäkään valmistajalta yhtä purkkia, jolla tämän kaiken saisi hoidettua? Katselin esim. ZyXEL ZyWALL USG 20W-VPN -palomuuri 299,90 €, mutta ei oikein auennut että, saako tuolla tehtyä portikohtaista muurausta kun ap isolation on käytössä? Lisäksi tuossa oli paljon ylimääräisiäkin ominaisuuksia jotka eivät olisi niin pakollisia. Tuossa havainnekuva millaista ajattelin.
periaatekuva.JPG
 
Eikö tuollaisella 300€:n budjetilla ole järkevämpää (ja varmepaa) rakentaa pfSense-muurin. esim fitlet2:n päälle?
 
Vanhojen juttujen peruna suosittelen välttämään VLAN ID 1 käyttöä.
Esim. Ciscot tykkää natiivisti jutella sen läpi CDP:t jne tausta horinat. Lähtökohtaisesti kun nro 1 jää pois käytöstä, pääsee helpommalla.
 
Mutta joillakin laitteilla taas on pakko käyttää sitä VLAN1:stä oletus VLANina esim Unifi tukiasemat.
 
Olen eri keskusteluja yrittänyt lukea ajatuksella, mutta ei ole vielä aivan auennut miten kaikki voi toimia hienosti ja tietoturvallisesti.

Hankittuna operaattorin toimittama kuitumodeemi + Unifi Switch 8 60W + Unifi AP

Alla esimerkkikuva laitteista (osittain kuvitteellinen) ja oma ajatus laitteiden tarvitsemista oikeuksista.

  1. Hälytin: pääsy internettiin + Wifi_home
  2. Hue-valot: pääsy internettiin + Wifi_home + Wifi_IoT
  3. Tietokoneet: pääsy kaikkialle
  4. Kamera: pääsy Wifi_home + internet (ilmoitus havaitusta liikkeestä). Ei vaikuta hyvältä, että kamera pääsee Wifi_home:en, mutta käytettävyys vaatinee tätä?
  5. Wifi_home: pääsy kaikkialle
  6. Wifi_IoT: pääsy internet + Wifi_home (ilmoitukset, chromecast..) + Hue-valot

Esimerkiksi:
Jos päästän Wifi_IoT:n Vlan:ia käyttäen internettiin sekä Wifi_home:en niin eikö koko idea laitteiden erottamisesta toisistaan meni pieleen? Teoriassa joku pääsee IoT-laitteen kautta minun Wifi_home verkkoon?
Jos en taas päästä Wifi_IoT:ä Wifi_home:en niin en kai saa ilmoituksia kodinkoneilta ja zigbee hubilta?


Minulla tuntuu olevan siis perusajatus hukassa kuinka rakentaa turvallinen ja toimiva kotiverkko vai onko se edes kohtuullisella vaivalla mahdollista ohjeita seuraten?


verkko.JPG
 
Olen eri keskusteluja yrittänyt lukea ajatuksella, mutta ei ole vielä aivan auennut miten kaikki voi toimia hienosti ja tietoturvallisesti.

Hankittuna operaattorin toimittama kuitumodeemi + Unifi Switch 8 60W + Unifi AP

Alla esimerkkikuva laitteista (osittain kuvitteellinen) ja oma ajatus laitteiden tarvitsemista oikeuksista.

  1. Hälytin: pääsy internettiin + Wifi_home
  2. Hue-valot: pääsy internettiin + Wifi_home + Wifi_IoT
  3. Tietokoneet: pääsy kaikkialle
  4. Kamera: pääsy Wifi_home + internet (ilmoitus havaitusta liikkeestä). Ei vaikuta hyvältä, että kamera pääsee Wifi_home:en, mutta käytettävyys vaatinee tätä?
  5. Wifi_home: pääsy kaikkialle
  6. Wifi_IoT: pääsy internet + Wifi_home (ilmoitukset, chromecast..) + Hue-valot

Esimerkiksi:
Jos päästän Wifi_IoT:n Vlan:ia käyttäen internettiin sekä Wifi_home:en niin eikö koko idea laitteiden erottamisesta toisistaan meni pieleen? Teoriassa joku pääsee IoT-laitteen kautta minun Wifi_home verkkoon?
Jos en taas päästä Wifi_IoT:ä Wifi_home:en niin en kai saa ilmoituksia kodinkoneilta ja zigbee hubilta?


Minulla tuntuu olevan siis perusajatus hukassa kuinka rakentaa turvallinen ja toimiva kotiverkko vai onko se edes kohtuullisella vaivalla mahdollista ohjeita seuraten?


verkko.JPG
Laitteet tosiaan erotellaan VLANeilla, mutta VLANien välinen liikenne hoidetaan palomuurisäännöillä. Eli kun UniFi-sarjaa tuossa sulla on, niin USG tai UDM menisi helpoiten tuohon kaveriksi kuitumuuntimen ja kytkimen väliin.
 
Jos päästän Wifi_IoT:n Vlan:ia käyttäen internettiin sekä Wifi_home:en niin eikö koko idea laitteiden erottamisesta toisistaan meni pieleen? Teoriassa joku pääsee IoT-laitteen kautta minun Wifi_home verkkoon?
Jos en taas päästä Wifi_IoT:ä Wifi_home:en niin en kai saa ilmoituksia kodinkoneilta ja zigbee hubilta?
Maalikkona tuossa kai olisi ajatus että Wifi_homen ja Iot verkon välillä palomuuri ja sallit vain sen liikenteen mikä välttämätöntä, eli ettei saastunut iot ihme tyrki muihin verkkoihin sontaa, tai siitä Wifi_homesta iot verkkoon.

IoT verkosta nettiin, vain se mikä tarvitaan, ja netistä sinne estetty (paitsi tarvittava paluuliikenne)

Toki voin kuvitella että säätäessä tulee tarve muullekkin, miettiä sitten tekeekö ne hommat liittymällä väliaikaisesti IoT verkkoon.

  • Hälytin: pääsy internettiin + Wifi_home
  • Hue-valot: pääsy internettiin + Wifi_home + Wifi_IoT
  • Tietokoneet: pääsy kaikkialle
  • Kamera: pääsy Wifi_home + internet (ilmoitus havaitusta liikkeestä). Ei vaikuta hyvältä, että kamera pääsee Wifi_home:en, mutta käytettävyys vaatinee tätä?
  • Wifi_home: pääsy kaikkialle
  • Wifi_IoT: pääsy internet + Wifi_home (ilmoitukset, chromecast..) + Hue-valot
Noin äkkiä lukien tuossa kaikilla pääsy kaikkialle. Se ei sinänsä väärin, jos ajatus on myöhemmin kehittää juttua ja tuo valmistautuminen siihen.

Ja esim Kamera, jos sen lättäset nettiin, niin tarviiko sitä erikseen päästää Wifi_homeen, jos kaiken päivittäisen voi hoitaa netinkautta. Siis jos on helpompi sisäistää asia ja pitää kuvio yksinkertaisena.

Jos nettiin ei kaikkea, esim vain jokin ulosmenevä häly, niin avaat vain sille, ja siis vain sille, ja vain sinne minne se sen hälyn lähettää, jos kunnon kamera, eikä joku mystinen, niin ei ehkä suurta varaa. ja sinne Wifi_home verkkoon sitten vain ne mitkä tarvii, niin ei sieltä jokin saastunut härpäke saastusta kemraa.
 
Viimeksi muokattu:
Laitteet tosiaan erotellaan VLANeilla, mutta VLANien välinen liikenne hoidetaan palomuurisäännöillä. Eli kun UniFi-sarjaa tuossa sulla on, niin USG tai UDM menisi helpoiten tuohon kaveriksi kuitumuuntimen ja kytkimen väliin.
Portti 1 vie internettiin. Varmaan saan lisää säätömahdollisuuksia tuolla USG:llä, mutta pärjännee tuolla liittymän mukana tulleella reitittimelläkin ja tällä hallittavalla kytkimellä?
 
Maalikkona tuossa kai olisi ajatus että Wifi_homen ja Iot verkon välillä palomuuri ja sallit vain sen liikenteen mikä välttämätöntä, eli ettei saastunut iot ihme tyrki muihin verkkoihin sontaa, tai siitä Wifi_homesta iot verkkoon.

IoT verkosta nettiin, vain se mikä tarvitaan, ja netistä sinne estetty (paitsi tarvittava paluuliikenne)

Toki voin kuvitella että säätäessä tulee tarve muullekkin, miettiä sitten tekeekö ne hommat liittymällä väliaikaisesti IoT verkkoon.


Noin äkkiä lukien tuossa kaikilla pääsy kaikkialle. Se ei sinänsä väärin, jos ajatus on myöhemmin kehittää juttua ja tuo valmistautuminen siihen.

Ja esim Kamera, jos sen lättäset nettiin, niin tarviiko sitä erikseen päästää Wifi_homeen, jos kaiken päivittäisen voi hoitaa netinkautta. Siis jos on helpompi sisäistää asia ja pitää kuvio yksinkertaisena.

Jos nettiin ei kaikkea, esim vain jokin ulosmenevä häly, niin avaat vain sille, ja siis vain sille, ja vain sinne minne se sen hälyn lähettää, jos kunnon kamera, eikä joku mystinen, niin ei ehkä suurta varaa. ja sinne Wifi_home verkkoon sitten vain ne mitkä tarvii, niin ei sieltä jokin saastunut härpäke saastusta kemraa.

Täytynee tutustua asiaan lisää. Ei ole niin suoraviivaista kuin aluksia ajattelin.
Ehkä tästä videosarjasta saa vinkkejä.

Kamera Hikvision. Ei kopio. Jos tuota käyttää siten, että muistikortti sisässä niin sinne kameraan tarvinnee päästä suoraan wifi_home:sta. Ja kameran olisi mukava päästä myös internettiin jolloin saisi ilmoitukset liikkeistä.

Ehkäpä hyvä aluksi jakaa nuo laitteet vain omiin wifi verkkoihin ja alkaa sitten sotkemaan omien voimien mukaan.
 
Menee vähän turvallisuus ajatus jos tietkoneella on pääsy jokapaikkaan.

Portti 1 vie internettiin. Varmaan saan lisää säätömahdollisuuksia tuolla USG:llä, mutta pärjännee tuolla liittymän mukana tulleella reitittimelläkin ja tällä hallittavalla kytkimellä?
Et pärjää (jos nykyinen reititin ei tuota hommaa hanskaa), eli silloin sillä saat valmiuden tulevaisuuteen, kun hommaat tarpeisiin sopivan palomuuri reittimen (VLAN tuella) millä voit asiat tehdä. Eli voit palastella verkon, mutta käytön kannalta yksi ja samaverkko, ennen kuin hommaat lisää rautaa.

Voit toki lättästä toisen reittimen (tarjoaako operaattori usean julkisen IPn), toiseen porttiin, ja tuon laite verkon (iot) laittaa sen perään, ja sitten tuo nykyinen palvelisi sitten muuta koriverkkoa, tietokoneita jne. Alkuun helmpompaa, säätää, eli kotiverkko pelaa, kun iot verkon reititin säätää., mutta sinulla ei suoraan yhteyttä noiden verkkojen välillä, joko etu tai haitta, osittain etua.

Alkuun voi olla helpompi hahmottaa kun fyysisesti eri laitteet, ja voi harjoitella touhua, niitä palomuurisääntöjä jne. ilman että muu kotiverkko on jumissa (tärkeää jos taloudessa muitakin asukkaita).

Sitten voi kysyä, tarvitaanko hallittavaa kytkintä, ei välttämättä, mutta jos esim yhdellä WLAN tukiasemalla meinaat tarjoilla eri verko, niin joo, ja se hallittava kytkimen hahmottaa, kun tarrottaa portit ja pirtää kaavion minkä itse ymmärtää.

Kamera Hikvision. Ei kopio. Jos tuota käyttää siten, että muistikortti sisässä niin sinne kameraan tarvinnee päästä suoraan wifi_home:sta. Ja kameran olisi mukava päästä myös internettiin jolloin saisi ilmoitukset liikkeistä.

Ehkäpä hyvä aluksi jakaa nuo laitteet vain omiin wifi verkkoihin ja alkaa sitten sotkemaan omien voimien mukaan.
Jos kameraan pääsee netistä, eli jos sinne pääset katsomaan kuvaa ja tallennetta , niin sitä kautta onnistuu. Jos haluat palomuuri estää kamerasta muunliikenteen nettiin, paitsi hälyt, niin sitten tarvit siitä kotiverkosta pääsyn myös kameran verkkoon.

Alkuun voi tehdä niin että kamerassa on omassa VLANissa, mutta sen nykyisen reittimen perässä, eli ihan siinä tietkone/wifi_home verkossa, sen nykyisen reittimen palomuuriin vaan estät kameran liikenteen mailmalla (paitsi hälyt). Tuo kemera ei suurinpia riskejä ole.

Tietkone ja oma koti wlan, kai voi olla samassa verkossa nyt ja jatkossa, jos käytät jotain riskilaitteita, tee niille sitten ihan oma Wifi verkko (josta ei pääsy kuin nettiin), ns "virasverkko", jos piuhallisia laitteita, niin jokin portti niitäkin varten.

"Vierasverkolle" , oma julkinen IP, jos yhteyteisi niitä useamman tarjoaa.
 
Viimeksi muokattu:
Jos oikein ymmärsin kaiken niin hallittavalla kytkimellä saan erotettu kytkimen portteja ja wifi-verkkoja VLAN:in avulla erilleen ja sallia/estää pääsyn toiseen VLAN:iin. Tarkempaan säätöön taritsee sitten palomuuri/kytkimen, joka ymmärtää VLAN:eja?
 
Jos oikein ymmärsin kaiken niin hallittavalla kytkimellä saan erotettu kytkimen portteja ja wifi-verkkoja VLAN:in avulla erilleen ja sallia/estää pääsyn toiseen VLAN:iin. Tarkempaan säätöön taritsee sitten palomuuri/kytkimen, joka ymmärtää VLAN:eja?
Kytkin ei estä tai salli pääsyjä VLANista toiseen eli se vain erottelee VLANien liikenteen ja määrittää mitä VLANeja missäkin portisa on käytössä. L3 tason kytkimet osaavat inter VLAN routingin eli liikenteen VLANista toiseen, mutta niitä harvemmin kotikäytössä näkee. Reititin on sitten se mikä hoitaa miten VLANien välinen liikenne menee (eli mitä sallitaan mistä mihinkin)
 
Kytkin ei estä tai salli pääsyjä VLANista toiseen eli se vain erottelee VLANien liikenteen ja määrittää mitä VLANeja missäkin portisa on käytössä. L3 tason kytkimet osaavat inter VLAN routingin eli liikenteen VLANista toiseen, mutta niitä harvemmin kotikäytössä näkee. Reititin on sitten se mikä hoitaa miten VLANien välinen liikenne menee (eli mitä sallitaan mistä mihinkin)
Kiitos sinulle, @pulatunnus ja @jessenic kärsivällisyydestä ja selityksistä. Ehken enää niin hukassa asian suhteen.
Eli siis seuraavaksi USG ostamaan jos into säilyy säätää.
 
Terve! Olen hakutoiminnolla pyrkinyt etsimään oikeaa lankaa johon kirjoittaa viestini ja tämä ainakin otsikon perusteella saattaisi palvella parhaiten. En ole ihan täysin ajatuksella lukenut koko ketjua, joten jos joku viestini luettua tajuaa että etsinnässä sama setup kuin jollakulla muulla, niin ohjatkoon oikeaan osoitteeseen. Thanks.

Eli, tarkoituksena rakentaa ja järkeistää verkkoasioita kodin sisäpuolella. Asumuksena 1900-luvun alussa rakennettu puutaloyhtiö johon tehtiin vuosi takaperin valokuituyhteydet, eli valokuitu nousee tätä nykyä asuntoon saakka. Pohjaratkaisu omassa asunnossa on kolmeen kerrokseen laajennettu hellahuoneisto, mikä käytännössä tarkoittaa sitä että asuintilat ovat päällekkäin kolmessa 25-30m2 kokoisessa huoneessa. Kerrosten välissä hirttä ja peruskoolinki varmaan 2x4 tai 2x3. Puuta, anyway. Onko tälläkään merkitystä, enpä tiedä.

No, jokatapauksessa. Nyt kun tuo valokuitunousu tuossa sisääntulokerroksessa (2/3) on, niin toistaiseksi siellä on operaattorin toimittama joku Zyxel jakamassa langatonta verkkoa huoneistoon kahdella eri taajuudella. Vehkeet toimivat miten milloinkin. Miten tämä homma nyt kannattaisi miettiä niin että tulisi kerralla kuntoon, ja mahdollisuus tulevaisuudessa vaikka miettiä kodin älyllistämistä suuremminkin? Tavoitteena olisi ainakin niin että ylimmässä kerroksessa (3/3) jossa sijaitsee varsinainen olohuone sekä työhuone, yhteydet saisi tietokoneeseen sekä pleikkariin LAN-piuhaa pitkin. Kerroksesta löytyy vanha puhelinpistoke, joten mahdollisesti sitä kautta voisi yrittää syöttää jakamosta Cat-kaapelin? Toinen vaihtoehto on tietysti vetää pintavetona. Tämän lisäksi olisi suotavaa että jokaisessa kerroksessa toimisi myös kattava Wi-Fi. Tällä hetkellä signaali kantaa kyllä, mutta välillä esimerkiksi median lähettäminen puhelimesta chromecastiin on aika kiusallista.

Saako tästä "varsin seikkaperäisestä" sepustuksesta mitään irti?

Lyhykäisyyydessään vielä: n. 75-90m2 asunto kolmessa kerroksessa. Kuitunousu keskikerroksessa. Tavoitteena koko huoneiston kattava Wi-Fi, sekä muutamat LAN-yhteydet. Pääasiallinen käyttäjäkunta = allekirjoittanut + vaimo. Internetsiä kaipaavat kodin laitteet: Pöytäkone (LAN), PS4 (LAN), kaksi läppäriä (Wi-Fi), puhelimet (Wi-Fi), Printteri (Wi-Fi), Chromecast (Wi-Fi), Televisio (LAN/Wi-Fi).

Asioita jotka kiinnostelee, mutta en ymmärrä: Erillinen vierasverkko, kodin älyllistäminen, palomuurit, VPN

Budjetti: 0-500e. Ei helmiä sioille.

Vappua ja simaa kaikil!
 
Terve! Olen hakutoiminnolla pyrkinyt etsimään oikeaa lankaa johon kirjoittaa viestini ja tämä ainakin otsikon perusteella saattaisi palvella parhaiten. En ole ihan täysin ajatuksella lukenut koko ketjua, joten jos joku viestini luettua tajuaa että etsinnässä sama setup kuin jollakulla muulla, niin ohjatkoon oikeaan osoitteeseen. Thanks.

Eli, tarkoituksena rakentaa ja järkeistää verkkoasioita kodin sisäpuolella. Asumuksena 1900-luvun alussa rakennettu puutaloyhtiö johon tehtiin vuosi takaperin valokuituyhteydet, eli valokuitu nousee tätä nykyä asuntoon saakka. Pohjaratkaisu omassa asunnossa on kolmeen kerrokseen laajennettu hellahuoneisto, mikä käytännössä tarkoittaa sitä että asuintilat ovat päällekkäin kolmessa 25-30m2 kokoisessa huoneessa. Kerrosten välissä hirttä ja peruskoolinki varmaan 2x4 tai 2x3. Puuta, anyway. Onko tälläkään merkitystä, enpä tiedä.

No, jokatapauksessa. Nyt kun tuo valokuitunousu tuossa sisääntulokerroksessa (2/3) on, niin toistaiseksi siellä on operaattorin toimittama joku Zyxel jakamassa langatonta verkkoa huoneistoon kahdella eri taajuudella. Vehkeet toimivat miten milloinkin. Miten tämä homma nyt kannattaisi miettiä niin että tulisi kerralla kuntoon, ja mahdollisuus tulevaisuudessa vaikka miettiä kodin älyllistämistä suuremminkin? Tavoitteena olisi ainakin niin että ylimmässä kerroksessa (3/3) jossa sijaitsee varsinainen olohuone sekä työhuone, yhteydet saisi tietokoneeseen sekä pleikkariin LAN-piuhaa pitkin. Kerroksesta löytyy vanha puhelinpistoke, joten mahdollisesti sitä kautta voisi yrittää syöttää jakamosta Cat-kaapelin? Toinen vaihtoehto on tietysti vetää pintavetona. Tämän lisäksi olisi suotavaa että jokaisessa kerroksessa toimisi myös kattava Wi-Fi. Tällä hetkellä signaali kantaa kyllä, mutta välillä esimerkiksi median lähettäminen puhelimesta chromecastiin on aika kiusallista.

Saako tästä "varsin seikkaperäisestä" sepustuksesta mitään irti?

Lyhykäisyyydessään vielä: n. 75-90m2 asunto kolmessa kerroksessa. Kuitunousu keskikerroksessa. Tavoitteena koko huoneiston kattava Wi-Fi, sekä muutamat LAN-yhteydet. Pääasiallinen käyttäjäkunta = allekirjoittanut + vaimo. Internetsiä kaipaavat kodin laitteet: Pöytäkone (LAN), PS4 (LAN), kaksi läppäriä (Wi-Fi), puhelimet (Wi-Fi), Printteri (Wi-Fi), Chromecast (Wi-Fi), Televisio (LAN/Wi-Fi).

Asioita jotka kiinnostelee, mutta en ymmärrä: Erillinen vierasverkko, kodin älyllistäminen, palomuurit, VPN

Budjetti: 0-500e. Ei helmiä sioille.

Vappua ja simaa kaikil!

Kodin yleiskaapelointi ja RJ45 läpi talon - keskustelua ja vinkkejä Tuolla tainnut olla jotain tähän viittaavaa
 

Statistiikka

Viestiketjuista
261 376
Viestejä
4 536 259
Jäsenet
74 793
Uusin jäsen
Sasu Heikkilä

Hinta.fi

Back
Ylös Bottom