Permalänk
Medlem

Säkra upp Google Wifi

Jag har fiber och en Sagemcom Fast5370e router från Telia. Den är bryggad och efter den har jag en Google Wifi puck som huvudrouter i mitt trådlösa nät.
Den ger DHCP och har en (omanagerbar) brandvägg osv. Till detta har jag ett gäng Google Wifi puckar för mesh, och det fungerar som det ska.

Kan jag med hyfsat enkla medel säkra upp mitt nätverk utan att byta ut alla Google Wifi's? Tänker om jag kan sätta en erkänd brandvägg mellan Telias router och Google routern? Ex. pfsense. Kan jag dessutom få VPN på linan ut på något sätt, typ Mullvad eller OVPN eller liknande som konfigureras i brandväggen eller routern?
Som sagt, Google prylarna sköter ju mesh som de ska men jag skulle vilja kunna se brandväggslogg och säkra upp med en ständig VPN.

En annan fråga: Då jag bryggat Telia routern, används brandväggen i den överhuvudtaget eller släpper den ALLT direkt till Google routern?

Är en möjlig lösning att byta ut Teliaroutern till någon annan som har managerbar brandvägg och möjlighet att köra ex. Mullvad?
Kommer ju behöva brygga den också till Google...

Permalänk
Medlem

Om du har en tjänstefördelare innan Telias router så går det fint att skippa Telias.

Är du med på vad bryggat innebär förresten?

Permalänk
Medlem
Skrivet av maDa:

Om du har en tjänstefördelare innan Telias router så går det fint att skippa Telias.

Är du med på vad bryggat innebär förresten?

Tack för återkoppling! Jo det sitter en box innan Telias router, det är boxen där fibern ansluter i. Måste vara den du menade?

Bryggat innebär väl att routern (Telias) bara kopplar förbi inkommande WAN direkt till min Google router utan att behandla den själv innan?

Permalänk
Medlem
Skrivet av Gluecifer:

Tack för återkoppling! Jo det sitter en box innan Telias router, det är boxen där fibern ansluter i. Måste vara den du menade?

Bryggat innebär väl att routern (Telias) bara kopplar förbi inkommande WAN direkt till min Google router utan att behandla den själv innan?

Bryggat innebär att NAT stängs av, så din Google router får publikt IP.

Permalänk
Medlem
Skrivet av Gluecifer:

Tack för återkoppling! Jo det sitter en box innan Telias router, det är boxen där fibern ansluter i. Måste vara den du menade?

Bryggat innebär väl att routern (Telias) bara kopplar förbi inkommande WAN direkt till min Google router utan att behandla den själv innan?

Precis

och Precis. Men om du väljer en egen brandvägg så vill du ju inte den ska bryggas, den ska ju vara brandväggen.

Permalänk
Medlem
Skrivet av Gluecifer:

Jag har fiber och en Sagemcom Fast5370e router från Telia. Den är bryggad och efter den har jag en Google Wifi puck som huvudrouter i mitt trådlösa nät.
Den ger DHCP och har en (omanagerbar) brandvägg osv. Till detta har jag ett gäng Google Wifi puckar för mesh, och det fungerar som det ska.

Kan jag med hyfsat enkla medel säkra upp mitt nätverk utan att byta ut alla Google Wifi's? Tänker om jag kan sätta en erkänd brandvägg mellan Telias router och Google routern? Ex. pfsense. Kan jag dessutom få VPN på linan ut på något sätt, typ Mullvad eller OVPN eller liknande som konfigureras i brandväggen eller routern?

[...]

En annan fråga: Då jag bryggat Telia routern, används brandväggen i den överhuvudtaget eller släpper den ALLT direkt till Google routern?

Är en möjlig lösning att byta ut Teliaroutern till någon annan som har managerbar brandvägg och möjlighet att köra ex. Mullvad?
Kommer ju behöva brygga den också till Google...

Telia-maskinen hade åtminstonde i tidigare firmware bakdörrar för att släppa in Telia och deras underleverantörer. Du har valt att låta din nätverkstrafik hanteras av det största privata övervakningsmaskineriet världen skådat och bundet det till ett konto som identifierar dig personligen. På den positiva sidan är ju att det borde gå att förbättra säkerheten

Frågan är väl mest om det är nödvändigt, lätt och exakt vad du vill uppnå.

Google-manicken har med största sannolikhet redan en "stateful firewall"/brandvägg och hantering av NAT och DHCP. Brandväggen låser förhoppningsvis ute alla inkommande uppkopplingar, vilket innebär att Telia inte längre har möjlighet att komma åt enheter inne på ditt nät. Att brandväggen håller tillstånd (stateful) innebär att trafik som kommer som svar på uppkopplingar som initierats innifrån kan komma igenom. Du kan alltså surfa eftersom du initierar uppkopplingen, men servrar inne på ditt nät (typ Windows-fildelning) är inte åtkomliga från internet. NAT innebär att du kan ha flera IPv4-baserade enheter på ditt interna nät, med privata (RFC1918) IP-adresser, även om du bara tilldelas en publik adress - Google-enheten sköter översättningen mellan den publika och de privata adresserna. DHCP delar ut de privata adresserna till enheter som kopplar upp sig på ditt nät.

Ditt behov av ytterligare en brandvägg är därför tveksamt, ifall du tror på att Google-enheten beter sig normalt kompetent och i ditt intresse. Det kan vara lämpligt att nämna UPnP i sammanhanget - det är en funktion för att enheter på det interna nätet ska kunna slå hål i brandväggen. Den funktionen är oftast avslagen i brandväggar/routrar som har normalt säkerhetstänk, men kan vara påslaget i enheter som är avsedda att vara lättanvända. Man kan tvista om ifall det är meningsfullt eller inte om att stänga av UPnP, opålitliga enheter som kommit in på nätverket (TV-apparater, IoT-manicker, Windows-maskiner...) har ändå möjligheter att öppna upp för inkommande trafik, till och med till andra enheter, genom hole-punching-tekniker som åstadkommer i princip samma sak som händer när du surfar.

Problem kan uppstå när man börjar dubblera brandväggning, NAT och/eller DHCP. Det är anledningen till att du satt Telia-manicken i bridge mode. Om du ska tillföra ytterligare en pryl så ska du se till att de funktionerna inte dubbleras, eller att du förstår vad som händer när du dubblerar funktionaliteten.

Det verkar inte som om Telia-maskinen tillför något i din nuvarande uppsättning, så den föreslår jag att du börjar med att ta bort och ser om det fortfarande fungerar bra (inklusive eventuella telefoni- och TV-lösningar).

Sedan kan man ju överväga att ha en ny brandvägg/NAT-mojt/DHCP-server ytterst (dvs på samma plats som Telia-manicken nu är inkopplad). I så fall bör du nog sätta Google-manicken i bridge-mode, vilket enligt dokumentationen gör att bara en enhet funkar (mesh funkar inte), så det vill du nog inte... Bridge-mode stänger i så fall av brandvägg, NAT och DHCP.

En annan tanke skulle kunna vara att sätta en ren brandvägg innanför Google-manicken för att upprätta ett inre, mer säkert nät. En sådan grej skulle även kunna routa all trafik över ett VPN (så att inte ens Google-manicken ser vart trafiken är på väg). Men det är inte supersimpelt att sätta upp när den befinner sig bakom Google-manicken. Wi-Fi-skulle så klart inte fungera på ett sådant nät om man inte ser till att lägga till en AP där.

Enklast är nog därför att du skaffar dig ett system som har all den funktionalitet som du önskar och som du litar på. Den senare delen av den förra meningen är nog knäckfrågan... vad anser du är problemet med den nuvarande lösningen?

Ett VPN kommer bara att dölja för din ISP (Telia) vart du skickar din trafik. Du kommer ändå bli igenkänd av tjänster där du är inloggad eller som kan identifiera dig med browser-fingerprinting. Google och Facebook vet med andra ord ändå vad du gör.

Permalänk
Medlem
Skrivet av KAD:

Telia-maskinen hade åtminstonde i tidigare firmware bakdörrar för att släppa in Telia och deras underleverantörer. Du har valt att låta din nätverkstrafik hanteras av det största privata övervakningsmaskineriet världen skådat och bundet det till ett konto som identifierar dig personligen. På den positiva sidan är ju att det borde gå att förbättra säkerheten

Frågan är väl mest om det är nödvändigt, lätt och exakt vad du vill uppnå.

Google-manicken har med största sannolikhet redan en "stateful firewall"/brandvägg och hantering av NAT och DHCP. Brandväggen låser förhoppningsvis ute alla inkommande uppkopplingar, vilket innebär att Telia inte längre har möjlighet att komma åt enheter inne på ditt nät. Att brandväggen håller tillstånd (stateful) innebär att trafik som kommer som svar på uppkopplingar som initierats innifrån kan komma igenom. Du kan alltså surfa eftersom du initierar uppkopplingen, men servrar inne på ditt nät (typ Windows-fildelning) är inte åtkomliga från internet. NAT innebär att du kan ha flera IPv4-baserade enheter på ditt interna nät, med privata (RFC1918) IP-adresser, även om du bara tilldelas en publik adress - Google-enheten sköter översättningen mellan den publika och de privata adresserna. DHCP delar ut de privata adresserna till enheter som kopplar upp sig på ditt nät.

Ditt behov av ytterligare en brandvägg är därför tveksamt, ifall du tror på att Google-enheten beter sig normalt kompetent och i ditt intresse. Det kan vara lämpligt att nämna UPnP i sammanhanget - det är en funktion för att enheter på det interna nätet ska kunna slå hål i brandväggen. Den funktionen är oftast avslagen i brandväggar/routrar som har normalt säkerhetstänk, men kan vara påslaget i enheter som är avsedda att vara lättanvända. Man kan tvista om ifall det är meningsfullt eller inte om att stänga av UPnP, opålitliga enheter som kommit in på nätverket (TV-apparater, IoT-manicker, Windows-maskiner...) har ändå möjligheter att öppna upp för inkommande trafik, till och med till andra enheter, genom hole-punching-tekniker som åstadkommer i princip samma sak som händer när du surfar.

Problem kan uppstå när man börjar dubblera brandväggning, NAT och/eller DHCP. Det är anledningen till att du satt Telia-manicken i bridge mode. Om du ska tillföra ytterligare en pryl så ska du se till att de funktionerna inte dubbleras, eller att du förstår vad som händer när du dubblerar funktionaliteten.

Det verkar inte som om Telia-maskinen tillför något i din nuvarande uppsättning, så den föreslår jag att du börjar med att ta bort och ser om det fortfarande fungerar bra (inklusive eventuella telefoni- och TV-lösningar).

Sedan kan man ju överväga att ha en ny brandvägg/NAT-mojt/DHCP-server ytterst (dvs på samma plats som Telia-manicken nu är inkopplad). I så fall bör du nog sätta Google-manicken i bridge-mode, vilket enligt dokumentationen gör att bara en enhet funkar (mesh funkar inte), så det vill du nog inte... Bridge-mode stänger i så fall av brandvägg, NAT och DHCP.

En annan tanke skulle kunna vara att sätta en ren brandvägg innanför Google-manicken för att upprätta ett inre, mer säkert nät. En sådan grej skulle även kunna routa all trafik över ett VPN (så att inte ens Google-manicken ser vart trafiken är på väg). Men det är inte supersimpelt att sätta upp när den befinner sig bakom Google-manicken. Wi-Fi-skulle så klart inte fungera på ett sådant nät om man inte ser till att lägga till en AP där.

Enklast är nog därför att du skaffar dig ett system som har all den funktionalitet som du önskar och som du litar på. Den senare delen av den förra meningen är nog knäckfrågan... vad anser du är problemet med den nuvarande lösningen?

Ett VPN kommer bara att dölja för din ISP (Telia) vart du skickar din trafik. Du kommer ändå bli igenkänd av tjänster där du är inloggad eller som kan identifiera dig med browser-fingerprinting. Google och Facebook vet med andra ord ändå vad du gör.

Tack för informativt svar! Fick lite rysningar med tanke på det du skrev i början, men jag har inte mitt personliga Googlekonto knutet till Google Wifi utan skapade ett nytt enbart för den. Jag använder väldigt sällan mitt privata Googlekonto ändå och är aldrig inloggad med det i browsers osv. Bara om jag labbar med någon Androidtelefon och ska in i Playbutiken, men inte ens då använder jag mitt privata utan har slaskkonton.
Men visst, jag förstår vad du menar absolut. Tänker att jag är en i mängden av alla som surfar, föga ointressant att nagelfara.
Men nu hamnade jag utanför ämnet.

Du har rätt att Google routern nu sköter all DHCP, brandvägg och NAT eftersom jag bryggat Teliaroutern. Jag antar att jag får lita på Googles brandvägg, men jag kan ju inte ens titta på loggen på ett enkelt sätt för att se eventuella försök till intrång.
Det kunde ha varit trevligt. Att brygga den routern innebär som du skrev, att meshfunktionen försvinner och det är ju det primära syftet med mina puckar.

Teliaroutern får sitta kvar som det är nu då den hanterar IP-telefonin, men vi har tankar på att avsluta det abbonemanget,

Jag kan nog koka ner det till att jag hade velat ha en managerbar brandvägg mellan Telia routern och Google routern, även om det blir kaka på kaka så har jag möjlighet att se vad som kommer ut/in. Det kanske finns någon enkel switchliknande enhet, eller om det går att sätta ex. en Raspberry Pi med vettig brandvägg i där?
Anledningen att jag ville ha VPN var inte lika "livsnödvändig". Kanske borde jag ändå sälja av puckarna medans det finns ett värde i dom och satsa på en nyare router som har alla funktionerna.

Permalänk
Hedersmedlem
Skrivet av Gluecifer:

Jag kan nog koka ner det till att jag hade velat ha en managerbar brandvägg mellan Telia routern och Google routern, även om det blir kaka på kaka så har jag möjlighet att se vad som kommer ut/in. Det kanske finns någon enkel switchliknande enhet, eller om det går att sätta ex. en Raspberry Pi med vettig brandvägg i där?
Anledningen att jag ville ha VPN var inte lika "livsnödvändig". Kanske borde jag ändå sälja av puckarna medans det finns ett värde i dom och satsa på en nyare router som har alla funktionerna.

Om integritet är viktigt så skulle jag föreslå en open source-brandvägg likt Pfsense tillsammans med accesspunkter från en mindre tillverkare som Ubiquiti, Grandstream, Mikrotik, etc. Då får du ett mer modulärt system med en router du slipper byta ut varje gång du ska byta WiFi-generation.