Eins og ég hef fjallað um áður hér á Lappara, þá nota ég UniFi netbúnað heima hjá mér og hefur hann virkað fumlaust frá fyrsta degi. Má segja að allar kvartanir (settar fram sem ábendingar) heimilismanna séu hættar að berast og að allir séu sáttir með hraða og drægni.
Ég var að renna yfir stillingar á netinu í vikunni og fór að spá í öllum þessum IoT tækjum sem hægt og sígandi hafa bæst við síðustu mánuði og ár. Þetta eru allskonar tæki eins og t.d. Alexa, Google Home, WiFi hátalarar, snjallrofar af ýmsum gerðum, öryggiskerfi, hreyfiskynjarar, reykskynjarar og myndavélar, svo eitthvað sé nefnt. Þetta er svona hæfileg blanda að WiFi tengdum tækjum frá þekktum “traustum” fyrirtækjum sem og kínavörur.
Án þess að setja upp álhattinn þá er það versta við öll þessi frábæru IoT tæki er að maður veit svo sem aldrei nákvæmlega hvað þau eru að bralla/sniffa á netinu hjá okkur. Þetta ýtti mér í að klára breytingar sem ég hef gert svo marg oft hjá fyrirtækjum úti í bæ en aldrei komið í verk heima hjá mér. Þetta er helst að aðskilja svona netumferð frá annarri sem ég vil passa betur uppá, sem sagt færa IoT og gesti frá annarri umferð með því að útbúa nokkur VLAN og loka síðan á umferð á milli þeirra (einangra netin).
Þetta eru netin sem ég ætla að hafa til heima hjá mér
- LAN1 – Gagnageymsla og nokkrar heimilistölvur á sér VLAN
- WiFi fyrir heimilisfólk á sér VLAN og þaðan opið inn á gagnageymslur sem eru á LAN1 og tæki sem eru á IoT neti.
- WiFi fyrir gesti á sér VLAN með hraðatakmörkunum (5 Mbps af 1000 Mbps ljósleiðara), lokað á öll önnur net.
- WiFi fyrir IoT tæki á sér VLAN með hraðatakmörkunum (10 Mbps) og lokað á önnur net.
Það er einfalt að gera þetta í UniFi netbúnaði, fyrst þarf að búa til tvö auka net og það er gert undir Settings -> Networks -> Create New Network
Síðan þarftu að gefa netinu nafn, VLAN og Gateway/Subnet eins og sjá má dæmi hér að neðan, síðan er smellt á Save til að vista.
*Það þarf að smella á Update DHCP Range eftir að gildi eru sett í Gateway/Subnet
Þarna er búið að skilgreina að notendur á VLAN 70 fái tölu á 192.168.70.x netinu
Síðan er farið í Wireless Networks undir Settings og þar er smellt á Create New Wireless Network.
Þar þarf að velja nafn fyrir IoT WiFi, password, VLAN og í mínu tilfelli User Group því ég vildi takmarka hraðann sem er aðgengilegur IoT tækjum en það er gert undir Settings -> User Groups
Þá er ég kominn með sér WiFi fyrir IoT tæki sem fá úthlutað úr öðru IP mengi en aðrir nota en til viðbótar vill ég setja reglu í eldvegginn sem lokar á alla umferð frá IoT WiFi yfir á önnur net hjá mér til að tækin geti ekki sniffað einfaldlega.
Eldveggur er undir Settings -> Routing & Firewall -> Firewall og þar er smellt á Create New Rule
Þarna þarf ég að gefa reglunni nafn og velja Source -> Network og velja IoT VLAN og síðan Destination -> Network og velja Any (eða velja hvaða net þú vilt loka á). Síðan er smellt á Save til að vista lokunina.
*Það er vitanlega hægt að búa til grúppu og nota síðan hana til að loka á milli allra VLAN.
Ok… núna er sem sagt opið frá öðrum netum inn á IoT netið en lokað frá IoT netinu yfir á önnur net en það er kannski aðeins of ströng regla á heimilum sem vilja líklega nota IoT búnaðinn sinn. Það þarf hið minnsta allavega að leyfa IoT tækjum að svara fyrirspurnum frá öðrum netum.
Ég þurfti því að setja eina reglu í Firewall sem leyfir tækjum á IoT VLAN að svara fyrirspurnum sem koma frá öðrum netum, en fyrir utan þessi “þjónustusvör” þá er allt áfram lokað með reglunni hér að ofan. Nýju regluna setti ég efst, passa upp á að velja allow, skilgreina source og destination og skilyrðin sem ég leyfi eru Established og Related.
Til að einfalda lífið, minnka líkur á að t.d. Chromecast virki ekki, þá þarf líka að virkja mDNS (Multicast DNS) milli VLAN´a undir Settings -> Services -> MDNS til þess að það sé hægt að finna Alexu, Google Home/Chromecast o.s.frv. á milli mismunandi VLAN.
Þá eru þessar æfingar komnar og geri ég GestaWiFi á sambærilegan hátt nema að ég hleypi engu frá því VLAN yfir á önnur net.
Hvernig er þetta heima hjá þér?