Hemmanätverk/NAS/Router - Hjälp med kunskap och inköpstips

Routern:
Först och främst är stabilt nätverk viktigast, en diskmaskin eller lampa kommer inte använda mycket bandbredd. Alla idag har iaf 1Gbps-portar. Många trådlösa enheter runtomkring kan komma försämra prestandan generellt. Dra kabel till allt som har nätverksport, allt som är IoT/"smart" lägger du på eget nätverk med eller utan direkt åtkomst till internet, bara de inte kommer åt ditt privata nätverk hur de vill. Konfiguration spelar roll.

VPN:
Du kan köra VPN-Server i routern och ansluta till den, om du vill komma runt geoblockering behöver du köra vpnklient i routern eller iaf i tv/telefon etc

NAS:
Jellyfin eller Plex för att streama all din media. men 4K kommer kräva en del av CPU'n.

Val av nätprylar kan ju variera rätt stort på vad det blir för typ av hus, möjligheter till kabeldragning i huset till eventuella switchar / accesspunkter , vad ni kommer ha för lina in, hur mycket fysiskt utrymme det finns för router, din budget osv.

Personligen skulle jag köra Ubiquiti (unifi) grejer rakti igenom, kanske någon Dream machine alt cloud gateway samt deras access-punkt(er) och även kameror för övervakning (om det är hus man bor i).

När du är ute och reser är det bara att köra en vpn-klient på plattan, telefonen, eller datorn och koppla upp dig mot vpn-servern i routern hemma via hotellets nät, behövs ingen reserouter för det.

När det kommer till smarthem delen föreslår jag att du läser lite i den delen av forumet och ställer dom frågorna där, finns mycket kunnigt folk på forumet

En god grund består av slang/rör vari man kan dra fiber/ethernet. Aktiv hårdvara är förbrukningsmateriel.

WiFi är ett svart hål av dåliga implementationer. Titta efter WiFi-hårdvara som är ”Wi-Fi certified” om du ska köra många enheter och vill ha någon slags garanti för interoperabilitet. Samma sak gäller förstås på klientsidan. Om det är nödvändigt eller ej är en smaksak utefter tolerans av fel.

Du har alltså tänkt dig att logga in i routern från mobilen och byta hela nätets geografiska tillhörighet när du ska streama till en specifik klient? Eller handlar exemplet om att byta telefonens geografiska tillhörighet? Det senare är en bättre lösning, men då kan det ju vara enklare att köra VPN direkt på enheten i stället. Det kan vara bra att kolla upp att firmware i WiFi-mojängen klarar tillräckligt många SSID för antalet länder + n där n är ett oVPN:at nätverk och eventuellt gästnät, eftersom det skulle kunna vara en lösning på att binda enhet till land via SSID/VLAN/IP-subnät och routing.

Det är ett rätt komplicerat scenario. Tippar på att Ubiquity löser det. Personligen hade jag kört OpenWrt eftersom det är vad jag kan, men det är definitivt nybörjarovänligt.

Ett eget isolerat VLAN (virtuellt nätverk) där man isolerar enheterna i nätverken från varandra och ser till att inget nät kommer åt varandra eller konfar så att ett nät kommer åt det andra.

De flesta tror jag har stöd för OpenVPN. Men det behöver inte nödvändigtvis vara just det.

I samma veva kan man kolla in Nextcloud för egenhostad molnserver för all typ av filer, inte bara media men det kanske är för mycket just nu.

Router på router är väl generellt sett en dålig ide

Om du ska köra vpn till hemmet behöver du ingen licens.

I vpn abbonmang brukar det ingå mer än en anslutning.

det här blev skitlångt...

När det kommer till nätverkshårdvara behöver många ändra sitt tänk kring vilka delar ett nätverk faktiskt innehåller. De allra flesta har bara två lådor i sitt hem: (1) En mediaomvandlare vilken är installerad av nätägaren och (2) en router/switch/brandvägg/wifi-låda som de byter någon gång var femte år när deras ISP säger att de ska göra det (eller de byter leverantör).

Mediaomvandlaren innehåller hårdvara för att terminera inkommande fiber och ge dig som användare möjlighet att koppla in en router. (Även om man inte har fiber har man något som motsvarar "där Internet kommer in".) Mediaomvandlaren har man sällan kontroll över som slutkund (man bör åtminstone inte fippla med den om man inte har väldigt bra koll på vad man gör), men alla delar som kommer efter mediaomvandlaren är viktiga att förstå för att kunna bygga ett bra nätverk.

Alla delar? Det är ju bara en låda... Well, det är här det börjar bli intressant, för den där enda lådan gör flera lådors jobb.

En router vidarebefordrar paket mellan olika nätverk, till exempel mellan ditt lokala hemnätverk (LAN) och Internet (WAN).

En switch kopplar ihop flera enheter inom samma nätverk (LAN) genom att vidarebefordra Ethernet-ramar baserat på MAC-adresser.

En brandvägg inspekterar inkommande och utgående nätverkstrafik mot ett regelverk för att tillåta eller blockera förfrågningar, vilket skyddar mot obehörig åtkomst.

En WiFi-enhet (accesspunkt) möjliggör trådlös anslutning av klienter till det lokala nätverket. Den kopplas normalt till en switch eller router via Ethernet och förlänger nätverket trådlöst.

När man tar steget från ett vanligt hemnätverk med en allt-i-ett-låda till ett mer avancerat nätverk handlar det i mångt och mycket om att bryta isär den där konsumentroutern i sina beståndsdelar och köpa mer avancerade/kapabla enheter som löser ett specifikt problem. Har man inte väldigt specifika användningsområden är det dock vanligt att man fortsatt kombinerar routerns och brandväggens funktioner i en låda.

I bilden nedan har jag kopplat upp ett rudimentärt nätverk för att visa på de olika delarna som är av intresse.

Notera inkommande fiber och mediaomvandlaren, men vi lämnar dessa därhän just nu.

Första grejen att tänka på är routern/brandväggen samt kabeln som sammankopplar denna med mediaomvandlaren. Betalar du din ISP för en internetuppkoppling med högre upp-/nedströmshastighet än 100 Mbps behöver du se till att din router och dina kablar kan hantera detta. (Läs på om Category 5, 5e, 6, 6a kablar.) I hemmamiljö är det absolut vanligaste att man har utrustning som är gjord för gigabithastighet (1 Gbps) men det börjar bli vanligare med 2.5 Gbps. Chansen att du har 2.5 Gbps hastighet upp/ned gentemot din ISP är dock låg så egentligen behövs inte någon avancerad hårdvara för själva internetaccessbiten.

Det som är av större intresse är routern/brandväggens inverkan på ditt lokala nätverk! På ditt egna nät har du alla möjligheter att köpa prylar med 2.5 Gbps-stöd (kanske rentav 10Gbps, eller än högre?!). Detta ställer högre krav på varje enskild komponent men också på kablaget som kopplar ihop alla grejer och inte minst på klienterna. Jag har t.ex. köpt nätverkshårdvara som klarar 2.5 Gbps men mina servrar har bara 1 Gbps nätverkskort och jag har enheter som till och med bara har 100 Mbps-stöd.

För att routern ska orka skyffla data i höga hastigheter krävs det lite biffigare hårdvara. Vill du dessutom kunna köra en VPN server/klient i routern krävs ytterligare kraft.

Hårdvaran är dock inte allt. Det är ju egentligen bara en väldigt nischad datorlåda vi pratar om, så den behöver ett ändamålsanpassat operativsystem. Här finns det egentligen två vägar att ta: antingen (1) bygger man lådan själv och installerar OPNsense, OpenWRT eller något annat OS, eller så (2) köper man en färdig produkt från ex. Netgate eller Ubiquiti. Jag har testat bäggedelar och det finns för-/nackdelar med båda varianterna.

Ubiquiti har med sin produktserie UniFi blivit superpopulär de senaste (typ 10?) åren. De gör riktigt bra prosumergrejer, har inga extra licenskostnader (vilket är vanligt inom nätverksvängen i övrigt) och kostar inte skjortan. Jag kör en hel del UniFi (dock inte router/brandvägg, där kör jag Netgate med pfSense) och tycker det fungerar hur bra som helst.

Låt oss öka farten lite och snabbt snacka switch + wifi...

En vanlig hemmarouter-låda har oftast en inbyggd dum switch. Att switchen är dum betyder att alla portar på switchen är likadana och det enda switchen gör är att vidarebefodra trafiken mellan dessa. En del prosumerroutrar har inbyggd switch, men det är vanligare att det finns två eller fler individuellt adresserbara portar (jag har haft tre stycken på mina senaste routrar och använt dem för WAN, LAN och DEBUG). Vill man koppla in fler enheter än en behöver man alltså skaffa en switch i vilken man kopplar resterande enheter.

Har man börjat resan ned i det här kaninhålet springer man snart på begreppet Virtual LAN (VLAN) som definieras i IEEE 802.1Q. Med VLAN kan man tagga nätverkstrafik så att man kan routa trafik i samma hårdvara men på ett sätt som gör att trafiken blir isolerad. Jag har exempelvis olika VLAN för mitt övervakningssystem, mina IoT-prylar, mina vanliga enheter och mina servrar. Med hjälp av brandväggsregler definierar jag vilka saker som får prata med varandra. Väldigt smidigt! Det är dock inte alla switchar som har stöd för VLAN så det är viktigt att man har koll på vad man köper!

WiFi är egentligen bara en förlängning av ditt LAN i trådlös form. Man använder accesspunkter (AP:s) vilka placeras ut strategiskt i utrymmet man vill täcka med WiFi. Även här är UniFi populärt, men TP Link gör också bra grejer. Tror även Zyxel är ganska poppis. Värt att tänka på när det kommer till AP:s är att de oftast inte har separat strömmatning. Istället drivs de via Power over Ethernet (PoE). Detta innebär att man antingen behöver ha en switch med PoE-stöd eller så behöver man köpa till en PoE-adapter/injektor. Man behöver även ha koll på sin PoE-budget, så man inte försöker driva fler enheter än ens switch orkar med.

Så för att summera jättefort:

1. Du har mediaomvandlaren och hur du ansluter den till ditt lokala nätverk genom din router.

2. Du vill sannolikt köpa en burk som agerar både router och brandvägg.

3. Tänk på att om du vill ha snabbare LAN än 1 Gbps så behöver du ha det i åtanke vad gäller all annan hårdvara (inklusive kablar).

4. Switchar med VLAN-stöd är ett måste (imho).

5. Accesspunkter ger dig WiFi och dessa drivs oftast med PoE (vilket ställer ytterligare krav på dina switchar).

Det här har blivit långt nog. Fråga om du har fler frågor!

Spontant ser jag två lösningar på problemet.

Du kan routa all utgående trafik från ditt nät genom en VPN-klient och när du vill byta region ändrar du vilken server klienten i routern pratar med. Detta kommer dock innebära att alla enheter på nätverket tappar internetanslutning medans klienten kopplar om och pågående sessions kommer sannolikt inte alls bli glada över ett sådant avbrott.

Du kan också sätta upp flera VPN-klienter och associera varje klient med ett särskilt VLAN/WiFi-SSID. Om du har trådbunden uppkoppling till din streamingenhet går du in i switchen och slår om vilket VLAN som dens port pratar med. Nytt VLAN -> ny VPN-klient -> ny region. Har du trådlös uppkoppling får du antingen gå in på streamingenheten och byta vilket WiFi den är kopplad till eller göra motsvarande VPN-klient-ändring så att nätverket ditt SSID är associerat med byter VPN-klient.

En polare har denna och är toppennöjd: https://www.gl-inet.com/products/gl-mt3000. Man kan flasha om burken med OpenWRT och förhoppningsvis har de inte ett root-kit i firmware... Jag har nyligen konverterat från OpenVPN + Wireguard till TailScale. TailScale fungerar inte som en konventional point-to-point VPN, men jag är väldigt nöjd med min setup och rekommenderar starkt att du tar en kik. Verkar inte TS vara något för dig är Wireguard att föredra framför OpenVPN.

Plex har varit med länge, fungerar på typ varenda pryl du kan tänka dig, men ack vad mycket skit de gjort på sistone. Förhoppningsvis vänder de skutan men annars verkar Jellyfin vara en bra kandidat. Jag rekommenderar alltid att man kör lagring och compute separat. Det vill säga, köp en (lite mindre kraftfull) burk som du bara använder för att lagra data och en annan burk som du använder för att köra dina tjänster. Då kan du byta ut komponenter, ominstallera, och leka med den kraftfulla burken allt eftersom utan att oroa dig för att förlora data pga dumma misstag.

Jag tycker inte att man ska virtualisera sin brandvägg. Det fungerar säkert bra så länge det fungerar bra, men det blir både single point of failure och knas om en sårbarhet i antingen virtualiseringen eller branvdväggen gör att man eskalera.