Boosta ditt hemnätverk med VLAN. Du kommer inte tro dina ögon när du ser hur många den här användaren har!

Permalänk
Medlem

Boosta ditt hemnätverk med VLAN. Du kommer inte tro dina ögon när du ser hur många den här användaren har!

TL;DR
Med en lite bättre router-/brandväggsmjukvara och nätverksutrustning med VLAN-stöd kan du få markant mycket bättre säkerhet i -- och kontroll över -- ditt nätverk. Låt mig visa hur jag gjort!

Hårdvara
Routern köpte jag som sagt från TekLager. CPU: AMD GX-412TC SOC och 2GiB RAM.
Switch: TP-Link TL-SG108PE.
Accesspunkt: UniFi AC Lite.

pfSense
pfSense är en open source-brandvägg-/routermjukvara som sedan en tid tillbaka primärt utvecklas av Netgate [Källkod]. pfSense bygger på FreeBSD och är en väldigt kraftfull mjukvara med stöd för i stort sett allt du behöver för att managera fullskaliga företagsnätverk.

Låt dig dock inte avskräckas. Enligt mig är pfSense väldigt användarvänligt och fungerar toppenbra även för hemanvändare. pfSense är dock inte plug-n-play. I sitt grundutförande blockerar pfSense all trafik (i alla riktningar) och lämpar sig således inte för personer som (på sin höjd) kan tänka sig att lägga till ett WiFi-lösenord. Har du dock intresse att lära dig minimalt om pfSense och nätverkskonfiguration i allmänhet är pfSense ett kanonval.

VLAN
VLAN är ett virtuellt, lokalt, nätverk. Tekniken möjliggör för logisk uppdelning av nätverkstrafik i en kabel. Detta fungerar genom att routern "taggar" datan som skickas ut på ditt LAN och att dina enheter vet att data med olika taggar ska hanteras på olika vis.

Men, varför?
Alla uppkopplade prylar i ditt liv behöver inte kunna prata med varandra. Det finns ingen anledning att ditt kylskåp ska kunna initiera en anslutning till din TV. Skulle din smarta högtalare vara sårbar för en attack, och bli deltagare i ett bot-nät, vore det bra om viruset inte kan sprida sig till resten av ditt nätverk.

Egentligen behöver man inte VLAN. Man kan sätta upp samma funktionalitet mha statisk IP-allokering och massor av brandväggsregler, men det är väldigt smidigt att inte behöva tänka på sådant utan bara veta att en ny IoT-pryl som ansluts till iot_wifi automatiskt kommer få en IP mha DHCP och sen ha brandväggsregler enligt de som är uppsatta för VLANet.

Min Setup
Jag har konfigurerat mitt nätverk med ett WAN (anslutning till Internet) och 6 stycken VLAN.

En snabbsummering:

  1. LAN: Är standard-VLANet där all nätverksutrustning bor. Routern, switcharna, accesspunkterna.

  2. OFFICE: Huserar min server och min stationära dator.

  3. HOME: Är VLANet för alla som bor i hemmet. Hit kopplas telefoner, laptops, surfplattor, osv.

  4. SURVEILLANCE: Har IP-kameror.

  5. IoT: Här hamnar alla enheter som inte behöver prata med något annat. Kindles, damsugare, etc.

  6. GUEST: Används bara för att få ett separat VLAN för gäst-WiFi.

Istället för att ha brandvägsregler för individuella enheter kan jag alltså specificera regler för varje VLAN. I mitt fall har jag följande konfig:

  • Gröna VLAN kan nå Internet och alla andra VLAN.

  • Gula VLAN kan nå Internet och alla VLAN förutom gröna.

  • Lila VLAN kan inte nå någonting förutom enheter i samma VLAN.

  • Röda VLAN kan nå Internet och enheter i samma VLAN.

Sen har jag ett fåtal undantag. Servern i det gröna VLANet hostar till exempel en del virtuella maskiner som jag vill kunna nå från det gula VLANet, så det finns specifika brandväggsregler för detta.

mDNS
Chromecasts (och många liknande prylar) använder  mDNS för att hitta enheter på nätverket. Trots att alla våra Chromecasts befinner sig i IoT-VLANet kan de fortfarande användas av enheter i de VLAN som har tillåtelse att initiera anslutningar till IoT-VLANet. Detta mha Avahi, som finns som paket till pfSense. Det är alltså möjligt att tillåta mDNS mellan VLAN utan att för den skulle tillåta andra anslutningar att initialiseras från ett VLAN till ett annat.

WiFi
Det jag gillar absolut mest med min setup är hur enkelt det är att skapa separata WiFi-nätverk. I UniFi's mjukvara har jag specificerat mina olika nätverk enligt följande:

och sen har jag helt enkelt skapat separata SSIDn för de VLAN jag vill ska ha WiFi. Eftersom all routing sker i routern (duh) styrs allting i pfSense. Toppensmidigt!

Gotchas

  • Mina IP-kameror ska fungera "lokalt", men de vägrar fungera om de inte får kontakt med sina NTP-servrar. Jag har alltså behövt öppna port 123 för utgående kommunikation från lila VLAN.

  • Lokal castning fungerar inte mellan VLAN. När en av mina enheter var på Home-WiFi gick det inte att casta lokal media från den till en Nest Mini-högtalare. Spotify osv. fungerade och enheterna anslöt till varandra, men just uppspelning fungerade inte. I mitt fall är det inget problem att båda enheterna bor på IoT-nätverket, så jag har inte grävt djupare i det här.

Slutplädering
Ett segmenterat nätverk gör det lättare att hålla ordning och reda på sina prylar. Det blir enklare att se vilka enheter som försöker ansluta till vad och du behöver inte drunkna i brandväggsregler och undantag från dessa.

Ett segmenterat är dessutom ett säkrare nätverk och gör det markant mycket svårare för en angripare att nå dina enheter.

Allt som allt tog det mig en dag att få allting att fungera. Ingenting var egentligen särskilt krångligt, men man behöver hålla tungan i rätt mun och förstå hur varje enhets VLAN-inställningar fungerar.

Permalänk
Medlem

Bra tråd! Hade själv velat göra det men har inte tagit tag i det. Hade precis köpt nya switchar innan jag hörde talas om VLAN och upptäckte då att switcharna inte hade support för VLAN.

Vilken hårdvara använder du? Hade velat sätta upp en PFsense burk men blir inte strömförbrukningen rätt hög? Tror min nuvarande Edgerouter drar mellan 5-10w.

Permalänk
Medlem

Grymt, har funderat på detta länge! Ska bli kul o följa tråden.

Permalänk
Medlem
Skrivet av Baxtex:

Vilken hårdvara använder du?

Routern köpte jag som sagt från TekLager. Den har en AMD GX-412TC SOC och 2GiB RAM.
Switch: TP-Link TL-SG108PE.
Accesspunkt: UniFi AC Lite.

Skrivet av Baxtex:

strömförbrukning

Jag har inte kollat.

Permalänk
Medlem

Kul snabbguide! Det enda jag inte förstår är säkerhetsgrejen. Om gula oavsett kan nå allt (förutom grön) och grön kan nå allt så känns det fortfarande sårbart? Eller tanken är kanske bara att dina IoT-grejer + gäst + övervakning ej ska vara sårbara?

Permalänk
Medlem

Vilken slump att denna tråd dök upp. Har precis flyttat och går och klurar på hur jag skall lösa nätverksbiten. Vill gärna ta det ett steg längre än att bara koppla in allt hej vilt och har siktet på VLAN likt dina. Är dock en riktig amatör när det kommer till nätverk så det blir mycket teori i början.

Tänkte börja med att flasha Merlin på min rt-ac86u, för det verkar ju vara en rätt bra uppgradering mot standard firmware. Har inte läst på helt men uppfattade det i alla fall som att VLAN skulle vara enklare att hantera då.

Vad skulle annars vara nästa steg om man vill gå mot ett lite mer seriöst nätverk? Ubiquiti nämns ju ofta men vad är det som gör det så bra?

Permalänk
Medlem

Hade varit intressant om du lägger din hårdvara längst upp -> Detta är det som gjort mig mest osäker för att sätta mig in i träsket med VLAN (Dvs, Managerbara Switchar).

Hade varit väldigt intressant att höra hur mycket det krävdes tidsmässigt, och om det finns några bekymmer du upplevts hittills?
(Jag har exempelvis ett par Deltaco IoT-swtiches som startar kaffebryggaren som helt sonika slutar fungera utan kontakt med internet, så har krävt lite skumma regler för att låta dem prata med nätet men inget annat)

Permalänk
Medlem
Skrivet av Pelegrino:

Kul snabbguide! Det enda jag inte förstår är säkerhetsgrejen. Om gula oavsett kan nå allt (förutom grön) och grön kan nå allt så känns det fortfarande sårbart? Eller tanken är kanske bara att dina IoT-grejer + gäst + övervakning ej ska vara sårbara?

Tanken är att de enheter som är viktigast att hålla säkra (grönt är viktigast, sen gul, sen röd) inte ska vara nåbara från ett mindre säkert VLAN.

Servern i grönt VLAN kan initiera anslutningar till alla enheter på hela nätverket, men enheter i andra VLAN än de gröna kan inte initiera anslutningar till servern. Skulle servern bli infekterad med virus, eller hackad, är hela nätverket kört; men upplägget ovan bygger på att de minst säkra enheterna (störst sannolikhet att inte få säkerhetsuppdateringar, osv.) bor i röda VLAN. Från de röda VLANen går det inte att initiera anslutningar till varken gula eller gröna VLAN.

Permalänk
Medlem
Skrivet av Baxtex:

Bra tråd! Hade själv velat göra det men har inte tagit tag i det. Hade precis köpt nya switchar innan jag hörde talas om VLAN och upptäckte då att switcharna inte hade support för VLAN.

Du behöver ju inte ha stöd för VLAN per port i switchen om du sköter det i din EdgeRouter. Sätt t.ex. port 2 till otaggat VLAN 20 och koppla in en switch i den så kommer allt du kopplar in i den switchen hamna på VLAN 20.

Ska du däremot ha allt i samma switch och på olika VLAN så får du nog köpa något som är lite mer företagsinriktat, men en gammal Ciscoburk kan man nog hitta på blocket i så fall

Skrivet av drwlz:

Vad skulle annars vara nästa steg om man vill gå mot ett lite mer seriöst nätverk? Ubiquiti nämns ju ofta men vad är det som gör det så bra?

Helt okej grejer till helt okej pris. Billigt nog för att en privatperson ska ha råd med det, och rejält nog för att små eller medelstora företag ska kunna köra dem. Däremot kan du som sagt säkert köpa andra saker begagnat som kommer fungera lika bra till ett säkert lägre pris, typ gamla Cisco/HP/Aruba-grejer.

Nackdelen med att köpa allt för "bra" grejer är ju däremot att en rackmonterad 48-portars PoE-switch dels är grovt överdimensionerad till en lägenhet och dels inte direkt är designad för att vara tyst så det är otroligt låg WAF på sånt

Permalänk
Medlem
Skrivet av drwlz:

Vad skulle annars vara nästa steg om man vill gå mot ett lite mer seriöst nätverk? Ubiquiti nämns ju ofta men vad är det som gör det så bra?

De ska ha trevliga användargränssnitt, och som med så mycket annat är det ofta nice att köra "samma överallt". Går man all-in Ubiquiti får man nog en väldigt trevlig (och dyr) helhetslösning!

Permalänk
Medlem
Skrivet av SuperSverker:

Hade varit intressant om du lägger din hårdvara längst upp -> Detta är det som gjort mig mest osäker för att sätta mig in i träsket med VLAN (Dvs, Managerbara Switchar).

Hade varit väldigt intressant att höra hur mycket det krävdes tidsmässigt, och om det finns några bekymmer du upplevts hittills?

Fixat

Permalänk
Medlem

Nice! Det närmsta jag kommit är att blockera kinesiska smarthome-adaptrar från internetåtkomst

Permalänk
Medlem
Skrivet av Icetec:

Du behöver ju inte ha stöd för VLAN per port i switchen om du sköter det i din EdgeRouter. Sätt t.ex. port 2 till otaggat VLAN 20 och koppla in en switch i den så kommer allt du kopplar in i den switchen hamna på VLAN 20.

Ska du däremot ha allt i samma switch och på olika VLAN så får du nog köpa något som är lite mer företagsinriktat, men en gammal Ciscoburk kan man nog hitta på blocket i så fall

Helt okej grejer till helt okej pris. Billigt nog för att en privatperson ska ha råd med det, och rejält nog för att små eller medelstora företag ska kunna köra dem. Däremot kan du som sagt säkert köpa andra saker begagnat som kommer fungera lika bra till ett säkert lägre pris, typ gamla Cisco/HP/Aruba-grejer.

Nackdelen med att köpa allt för "bra" grejer är ju däremot att en rackmonterad 48-portars PoE-switch dels är grovt överdimensionerad till en lägenhet och dels inte direkt är designad för att vara tyst så det är otroligt låg WAF på sånt

Ja det är problemet. 😂 ER sitter i källaren sen har dragit kablar till switchar. Just switchen på kontoret hade jag velat att en port som jobbdatorn använder kör ett VLAN och en annan port som speldatorn använder kör ett annat.

Permalänk
Medlem
Skrivet av Baxtex:

Ja det är problemet. 😂 ER sitter i källaren sen har dragit kablar till switchar. Just switchen på kontoret hade jag velat att en port som jobbdatorn använder kör ett VLAN och en annan port som speldatorn använder kör ett annat.

Sätt fasta IP-adresser på dem och använd brandväggen för att göra accesslistor om du vill ha dem separerade från varandra. Det är inte svårare än att sätta en explicit Deny från jobbdatorn till speldatorn eller vice versa beroende på vad du vill få ut från det. När det bara handlar om två datorer så är det ju inte allt för mycket jobb, jobbigare när det handlar om ett helt kontorsnät av grejer som ska köra DHCP med.

Permalänk
Medlem
Skrivet av Baxtex:

Ja det är problemet. 😂 ER sitter i källaren sen har dragit kablar till switchar. Just switchen på kontoret hade jag velat att en port som jobbdatorn använder kör ett VLAN och en annan port som speldatorn använder kör ett annat.

Finns ju små managerbara bordsswitchar också.

Permalänk
Medlem
Skrivet av Icetec:

Helt okej grejer till helt okej pris. Billigt nog för att en privatperson ska ha råd med det, och rejält nog för att små eller medelstora företag ska kunna köra dem. Däremot kan du som sagt säkert köpa andra saker begagnat som kommer fungera lika bra till ett säkert lägre pris, typ gamla Cisco/HP/Aruba-grejer.

Nackdelen med att köpa allt för "bra" grejer är ju däremot att en rackmonterad 48-portars PoE-switch dels är grovt överdimensionerad till en lägenhet och dels inte direkt är designad för att vara tyst så det är otroligt låg WAF på sånt

Skrivet av GLaDER:

De ska ha trevliga användargränssnitt, och som med så mycket annat är det ofta nice att köra "samma överallt". Går man all-in Ubiquiti får man nog en väldigt trevlig (och dyr) helhetslösning!

Dream Machine verkade smidig. Kanske kan bli en sån istället för att köpa allting separat

Permalänk
Medlem

Vad är detta för scam?

Permalänk
Medlem
Skrivet av ELF:

Vad är detta för scam?

Haha tyckte det var en rolig rubrik!

Permalänk
Medlem

Att segmentera upp sitt nät är helt rätt väg att gå!!
Har länge funderat på börja göra nån form av guider här men aldrig fått tummen ur, bra att nån annat fått det.

Då var det bara:
NAT
VPN
IPS/IDS
Antivirus
Lite routing
m.m. m.m. kvar då