Az otthoni infrastruktúra az amiben két vonal van szerintem, így valaki vagy a lehető legegyszerűbben oldja meg, de olyan is van, hogy bonyolultabb mint egy magyar kisvállalat teljes rendszere. Eddig az elsőbe tartoztam, jó volt nekem a TPlink router/AP egybe. Aztán elkapott a gépszíj, főleg miután az egyre megszaporodó 2.4Ghz-es tartományban lehetetlen megbízható wifi-t üzemeltetni, pedig nem lakom 440 lakásos társasházban. Nagyon sok az interferencia, nincs egyetlen olyan csatorna sem amiben ne lenne legalább három másik AP. Sokat dolgozom itthonról és mindig vezetékes kapcsolatra kényszerültem, ha tényleg stabil kapcsolatot akartam, ami VPN és VDI esetén nem hátrány. Keresgettem, hogy mi lenne jó nekem itthonra és pár kolléga említette az Ubiquiti-t. Hallottam már róla, de tényleg csak annyit hogy van és hogy wifi-ben vannak termékeik, de nem versenytárs egy enterprise megoldásnak – HPE Aruba, Cisco, Fortinet – viszont nagyon jó ár-érték aránnyal bírnak. Ez utóbbi az amin egy techie ember tekintete megakad.
Elhatároztam, hogy az AP/switch/router kombinációt szétválasztom. Első lépésnek megnéztem, hogy milyen opciók vannak az Ubiquiti portfólióban. Alapvetően két részre oszlik máris a routing & switching kategória:
- EdgeMax
- Universal Security Gateway
Az első régebben van a piacon mint a második, ez utóbbi tulajdonképpen az elsőn futtatott EdgeOS kiegészítése egy menedzsment réteggel. Ez fontos, mert az első esetében egy kezdetleges – béta – UNMS-nek nevezett rendszer létezik, amelyből pár dolgot lehet állítgatni, de például a tűzfalszabályokat egyáltalán nem.Ezzel szemben az USG-t másképpen elég nehéz kezelni, kell hozzá egy Unifi Controller-nek nevezett szoftver. Ebből tényleg központilag menedzselhető, a teljes környezet, router-switch-AP stb. egyetlen helyről. Ennek a Controller-nek a formátuma lehet a gyártó által adott tulajdonképpeni stick, de lehet saját telepítés is – megy Rasberry Pi-n is – így elfut Windows/Ubuntu/Debian/Centos vonalon bármin. Természetesen az EdgeMax vonal felé orientálódtam, nekem a hardcore élmény kell.
Több kiépítésben kaphatók, de azért a tűzfal rétegtől nem várok el nagy portszámot és mivel itthon alulról karcolom a 120Mbit-es internetet, nagy sávszélességet sem. Emiatt a fenti kép bal oldaláról választottam ki az Edgerouter X modellt. Nem bántam meg, de ténylegesen sok probléma volt a beüzemelésével, el is magyarázom miért.
Az otthonokban egyre több helyen található meg valamilyen okos otthon eszköz. Nekem is van és nem bízom a gyártóban, szeretném izolálni az ilyen eszközöket. Hasonlóan vagyok az itthoni IP-kamerával is. Az is igény, hogy bizony a vendégeket se kelljen a saját wifi-re beengedni csak azért mert lefogy a mobilnet keretük. Ezek szeparációja olyan megodást kíván ami szét tudja bontani több VLAN-ra a hálózatot és ezek között képes legyen tűzfallal kontrollálni azt, hogy ki, kivel, hogyan és mikor beszélhet.
Az ER-X beállításakor meg is csináltam mindent, külön VLAN-ba kerültek a vezetékes belső eszközök – NAS, PC, másikba az IoT dolgok – IP-cam, Smart Home Hub, a harmadikba a vendégek.
Legyen akkor tehát négy VLAN:
- vezetékes eszközök aka. belső hálózat, VLAN1: Az itteni eszközök bármely más VLAN-ban lévő IP-t elérhetnek.
- belső wifi, VLAN10:
Az itteni eszközök bármely más VLAN-ban lévő IP-t elérhetnek. - IoT hálózat – VLAN20:
Az itteni eszközök nem érhetnek el más VLAN-ban lévő IP-ket, sem az internetet. - Vendég wifi hálózat – VLAN30:
Az itteni eszközök nem érhetnek el más VLAN-ban lévő IP-ket, csak OpenDNS-t használhatnak, kifelé csak 80/443 TCP engedélyezett. Captive portál fogadja őket, ahol voucher alapon szerezhetnek jogosultságot a fentebb irányokban történő forgalmazásra.
És jött az első két napos hibakersés. A tűzfal megengedő szabályai mellett sem volt lehetséges a VLAN-ok között a kapcsolat, mármint az ER-X VLAN interfészeit lehetett pingelni bármelyik VLAN-ból, akár másik VLAN-on lévőt is, de a VLAN-okban lévő hosztokat már nem. Aztán kiderült az Ubiquiti hivatalos fórumáról, hogy itt a VLAN1-et létre kell hozni explicit módon. Így már működött. Nem gond, hogy így kell, de csekély hálózati ismereteim birtokában sejteni merem, hogy más gyártónál a default VLAN – ami az 1 – nem kell definiálni, sőt jobb helyeken egyenesen le is tiltják.
Kellett egy access point is és tekintettel a lakás méretére nem jöhetett szóba más, mint a legkisebb AP, az AP-AC Lite.
Ennek beállításához egyébként elegendő egy mobilalkalmazás is, nem kell a fentebb említett Unifi Controller, de mivel van pár rPI itthon, az egyiken futhat. Maga a beállítás igazából játszi könnyedséggel megy, tényleg csak létre kell hozni az SSID-ket és az adott VLAN-ba tenni a rá csatlakozó klienseket. Itt jelentkezik az első „probléma” az EdgeMax és a UniFi vonal párhuzamában. Ha egy teljesen UniFi termékekből épített rendszerről beszélünk, akkor a VLAN-okat például szintén a Controller-ben hozhatók létre, míg így a vegyes rendszerben az Edgerouter felületén kézzel létre kellett hozni őket, hogy aztán majd a Controller-ben az SSID-nél beírva – nincs ellenőrzés – a végén ténylegesen megvalósuljon a kapcsolat.
Össze is állt a rendszer és örömmel használatm is volna….azonban az egyik volt HP/HPE/DXC-s holland kollégám felajánlott egy USG Pro 4-et. Mindenképpen kell, mert otthonra elengedhetetlen a 2 x 1Gbit-es WAN port, IDS/IPS.
A középsőről van szó, otthonra tényleg optimális választás :))) És akkor így állt elő ez a design:
Lehet ez sokkal egyszerűbb is, de mennyire jól néz ki hogy a vendégeket egy portál fogadja, ahol egy nekik adott kóddal, meghatározott sebességhatárok mellett, határozott időtartamra kaphatnak hozzáférést. Szintén hasznos a wifi stabilitása szempontjából az, hogy olyan statisztikákat és riportokat lehet kihúzni a rendszerből, ami segít a beállításban vagy éppen eddig olyan rejtett érdekesség volt csak.
Például az egy nap alatt „látott” SSID-k, amelyek az AP közelébe kerültek:
Vagy éppen a csatornák foglaltsága, zavar és kihasználtsági tényezők:
Aláírom, hogy túlságosan sok időt töltöttem az otthoni infrastruktúra kiépítésével, de a karácsonyi ünnepek alatt sok volt a szabadidő. Eredménye végre a stabil wifi és a kétségtelenül magasabb biztonsági fok.