Permalänk
Medlem

Vad för utrustning behövs

Önskvärt vore att ha ett masternätverk som kommer åt routern. Under ska en open vpn uppkoppling (säger man så?) för att få en vpn. Pararellt med vpn ska en utan vpn finnas, för tex tv:n, så man slipper problem med att man inte kan kolla på vissa kanalar pga man kommer genom en vpn osv.
Under vpn/ej vpn ska ett vlan finnas för mina smarta prylar (pga säkerhetsrisker med smarta prylar i hemmet).
Man ska givetvis inte behöva hoppa ifrån vpn/ej vpn till vlan -nätverket baraför att släcka en lampa. Sen ska gästnätverk givetvis finnas men det är väl standard

Jag bor i hus så önskvärt om det är någon form av mesh -nätverk. Kan man göra uppsättningen jag önskar med tex den här? https://www.elgiganten.se/product/smart-hem/mesh-natverk/1403...

Permalänk
Medlem

Så du vill ha 4 nätverk om jag tolkar dig rätt:
1. Ett "vanligt"
2. Ett med VPN
3. Ett för gäster
4. Ett för IOT

1 och 2 skall sitta ihop, 3 skall vara isolerat och 4 skall inte kunna nå det primära nätverket men tvärtom skall fungera.
Du behöver mer än en AP for att täcka in hela huset.
1 och 2 kan nog ha samma SSID men 3 och 4 behöver egna, så wifi noderna måste supporta 3 olika SSID.
Tror inte att du kan få ihop detta i någon standard router.
De flesta konsument routrar har dessutom mycket dålig prestanda med VPN.

En lösning med pFsense/OpenSense och Unify AP borde fungera.
I Unify AP kan man skapa flera SSID, nackdelen är att prestandan blir sämre.
Med en 2x2 klient så får jag en länkhastighet på 867 Mbit/s och c:a 500 Mbit/s i överföringshastighet med ett SSID.
Skapar jag ett till så halveras det till 250 Mbit/s. Detta med en Unifi AP AC PRO.

Eftersom 1 och 2 skall sitta ihop kan de bi samma SSID. VPN eller inte löser man med olika default gateway.
T.ex. kan de som har VPN ha gateway 192.168.1.1 och icke VPN ha 192.168.1.2 som gw.
Har med DHCP som kan fixa olika gateway beroende på macadress kan fixa det där annars får man skippa DHCP på de utan VPN och fylla i det manuellt.
För att få någon fart på OpenVPN behövs de köras på en burk som har AES-NI instruktioner. Så en PC är det lättaste.

IOT nätverket kan man sätta upp som ett DMZ, dvs att enheterna på det kan nås från det interna men inte tvärtom.

Om man skippar IOT nätverket blir det lättare. Då kan man använda en vanlig konsument lösning för 1 och 3.
VPN kan läggas i en egen burk som VPN gateway pss som ovan.
Om man använder Wireguard kan en RaspberryPI4 användas för detta.

Permalänk
Medlem
Skrivet av Prelatur:

Om man skippar IOT nätverket blir det lättare. Då kan man använda en vanlig konsument lösning för 1 och 3.
VPN kan läggas i en egen burk som VPN gateway pss som ovan.
Om man använder Wireguard kan en RaspberryPI4 användas för detta.

Vi kanske ska börja om här.. Det jag önskar är att kunna säkra upp dem iot -grejerna jag har här hemma, då har jag läst att det är bra att lägga dem i ett eget nätverk. Men jag vill ju ha möjlighet att tända lampan utifrån det nätverket, så jag antar att ett vlan är att föredra pga det?
Jag provade att lägga in open vpn i min nuvarande router men då kunde jag bla inte se på tv4 play längre. Så tog bort det men det hade varit önskvärt att kunnat haft en vpn på nätverksnivå istället för på datorn. Därav ett med och ett utan vpn, men då det egentligen bara är pga tvn/netflix/streaming som man kanske inte alltid vill/kan köra vpn så behöver jag någon lösning för det..
Gästnätverk är väl standard och det är ju alltid bra att kunna erbjuda

Blir det något lättare när du mer ser mina behov?

Permalänk
Medlem

Det lättaste är att lägga en egen burk med VPN på.
Själv har jag en pfSense som går som i en VirtualBox på min htpc.
Använder den mesta för att komma runt geoblocking.
På den enhet som vill använda den sätter jag manuellt default gateway till pfSense maskin.

Kollade upp lite vad en Asus med Merlin FW kan och det verkar som om den kan göra det du vill:
https://www.vpnuniversity.com/routers/use-selectivepolicy-rou...

Så en ASUS RT-AC86U/AC2900 med Merlin FW kan nog täcka din behov.
Denna router har AES-NI instruktioner så den klarar av 200 Mbit/s med OpenVPN.
Vill du ha bättre fart får man titta på en PC lösning.

Permalänk
Medlem

Jag kör idag Asus lyra (https://www.prisjakt.nu/produkt.php?p=4362625). Jag är inte riktigt med hur jag skall gå tillväga om jag kör en egen burk vilket det kanske ändå lutar åt att prova. Kan jag fortsätta med den routern (3 puckar) eller behöver jag köpa en ny ändå?
Ska min router ändå agera brandvägg även om jag lägger pfSense på burken? Eller blir burken min router?

Permalänk
Medlem

Du kan fortsätta med det systemet.
När man sätter upp en VPN på en enhet så blir det som om man kopplar en kabel förbi routern.
Detta gäller för så väl en egen VPN burk som när du startar en VPN klient på en dator.
VPN leverantören fungerar i viss mån som en brandvägg då de inte brukar tillåta inkommande trafik. Vill man ha det så måste man sätta upp det pss som man måste göra det i sin egna router.

Så pfSense + VPN leverantören fungerar som router/brandvägg för VPN klienterna och Asys lyra blir router/brandvägg för icke VPN klienter. Så du har 2 routrar.
Du sätter fast IP adress på pFsense burken, t.ex. 192.168.1.2, och all VPN klienter skall använda 192.168.1.2 som default gateway.
Icke VPN använder Asus lyra (192.168.1.1) som default gateway.

Om det räcker med 500 Mbit/s i VPN hastighet så behöver man bara ha en ethernets port på pfSense burken.

Så datan som skall ut på internet från en VPN klient går till pfSense burken som skickar den vidare in i VPN tunneln.
VPN tunneln går igenom Asys lyra och vidare till VPN leverantören.

Finns ju en hel del som kan göra beroende hur mycket man vill krångla till det/kunna detalj styra.
Du skall bara ha en DHCP server och det kan antingen vara Asus lyra eller pfSense.

pfSense och Virtualbox är gratis så man kan börja med att testa det hela på en vanlig PC.
Eftersom man kan göra väldigt mycket med pfSense så är det också krångligare att sätta upp jämfört med en konsument router.
Alternativ till pfSense som borde kunna göra samma är OpenSense, OpenWrt och DD-WRT men jag har själv inte testat dessa.

Permalänk
Medlem
Skrivet av Prelatur:

Jag har tänkt att riva ner mitt nuvarande nätverk (asus puckarna ryker nog oxå) och bygga upp ett nytt. Det kanske inte påverkar så mycket men jag har tänkt att skaffa en NAS, alarm (ev. ajax eller nookbox) och ev. övervakningskameror.

Jag har kollat runt lite och sett att Ubiquiti verkar vara populära i branschen. Det har lett att jag fått upp ögonen för Dream Machine pro samt någon variant av deras puckar för meshnätverk. DMP har/har haft problem med firmware men det kanske inte ska påverka valet. Dock väger det mot att köra pfsens som egentligen kanske är bättre.

Skaffar jag övervakningskameror så skall inget lämna hemnätverket. Det som talar för ubiquti är att man kan få en helhetslösning, allt ifrån ringklocka, övervakningskameror, puckar osv. Det kan så klart vara en naktdel att binda sig till en aktör.

Angående övervakningskameror så har jag kollat på blue iris och lagra allt lokalt.

Inget är hugget i sten och försöker kolla runt hur folk gör.

Någon feedback på det här spåret? Rent av tips på vilken hårdvara som skulle fungera bra här?