Izolowanie sieci LA...
 
Powiadomienia
Wyczyść wszystko

UWAGAStrona oraz Forum Smart'ny Dom nie będzie dostępne 23 Grudnia 2024 ze względu na przenoszenie serwisu na mocniejszą maszynę.

W tym czasie polecam poświęcenie swojego czasu na pomoc partnerowi w przygotowaniu udanych Świąt 😉

Za niedogodności z góry przepraszam, admin

Kontakt

Izolowanie sieci LAN/WIFI dla urządzeń IoT

5 Wpisów
3 Użytkownicy
0 Reactions
5,213 Wyświetleń
nextanimal
(@nextanimal)
Wpisów: 22
Praktykant
Autor tematu
 

Hej,

jestem nowy na forum choć obserwuję go już od dłuższego czasu. Zainteresowałem się tematyką inteligentnych budynków bo sam mam nadzieję niedługo przeprowadzić się do nowobudowanego domu i chciałbym go nieco "nauczyć" ;). 

Nie mam jakiś wielkich wymagań. Głownie chodzi mi o wygodę we włączaniu/wyłączaniu niektórych gniazdek/oświetlenia, otwieranie bramy, może obsługa domofonu najlepiej wszystko obsłużone w OpenHAB na telefonie lub/i tablecie na ścianie (jako główny Dashboard w domu)... Wybór padł chyba na OpenHab (mówię chyba bo wciąż to testuję) uruchomiony na RPi3B+ i firmware AFE na Sonofach i Shelly 1 (już nabyte). Dodatkowo myślę o jakimś module do RPi żeby obsłużyć Modbus, który umożliwiłby mi sterowanie przyszłym rekuperatorem.

Mój setup nie będzie zbyt skomplikowany: Router LTE, 48 portowy switch do którego będą podpięte 3 AccessPointy PoE (na OpenWRT) i kilka Sonoffów Basic i Shelly 1 po WiFi no i RPi3 z OpenHabian

Ale wracając do tematu wątku... ostatnio zastanawiam się jak choć trochę zabezpieczyć sieć w której są urządzenia IoT a które mogą być bardziej podatne na jakieś ataki czy włamy.

Mój router daje możliwość ustawienia Guest Network i izolacji jej względem LAN/Main WiFi. Niestety router LTE będzie bardziej jako brama do netu i DHCP, a jego lokalizacja może w znaczny sposób ograniczyć jego zasięg WiFi.

Myślałem też o ustawieniu dodatkowego Radia na AccessPointach ale to spowodowało by dodatkowe 3 serwery DHCP w sieci i nie koniecznie się sprawdzi jeśli RPi będzie podpięte po LAN a nie WiFi.

Czy ktoś z Was mógłby mi podpowiedzieć jakieś rozwiązanie?

 

 
Dodane : 10/01/2019 12:17 pm
Flaoo
(@flaoo)
Wpisów: 32
Praktykant
 

Hej,

opiszę jak ja mam rozwiązanie to u siebie, może wpadniesz na jakiś pomysł.

Internet mam od Orange i używam funbox, który jest serwerem DHCP dla sieci domowej(komputery, konsole, telefony...). Do funbox'a podłączone mam dwa TP-LINK TL-WA901ND, które mają ustawione dwa SSID'y - jeden dla sieci domowej, drugi dla całej masy czujników i urządzeń "smart domu". Sieć domowa na ustawiony Vlan0, sieć IOT ma Vlan10. DHCP dla IOT(Vlan10) skonfigurowany mam na serwerze OpenHab. OH ma jedną kartę sieciową z dwoma IP - dla sieci domowej(potrzebne do wyjścia na "świat") i IP dla IOT(osobne DHCP). Wszystko wpięte w funbox + rozszerzone o jeden gigaswitch 8portowy. Nie używam zarządzalnych switchy do sterowania Vlan'ami. Sieć domowa oddzielona od smart home. IOT nie mają wyjścia na świat.

Mam nadzieję, że w miarę zrozumiale napisałem.

 
Dodane : 10/01/2019 3:39 pm
nextanimal
(@nextanimal)
Wpisów: 22
Praktykant
Autor tematu
 

Hej, dzięki. U mnie sprawa wygląda troszkę inaczej ponieważ mój główny router LTE (TP-Link Archer MR200) będzie podpięty pod switch, do switcha chcę podpiąć trzy AccessPointy (Meraki MR18 na OpenWRT) i Raspberry Pi. Wszystkie accesspointy będą siały tym samym SSID (dwa na parterze jeden na piętrze)

 
Dodane : 11/01/2019 9:38 am
Flaoo
(@flaoo)
Wpisów: 32
Praktykant
 

Moje APki również sieją tymi samymi SSID'ami x2.

AP1 ma SSID "domowy" i SSID "smart"

AP2 ma SSID "domowy" i SSID "smart"

"domowy" ma swój DHCP(Vlan0), "smart" ma swój DHCP(Vlan10)

Dlatego wybrałem właśnie ten model TP-linka bo można do 4(jak dobrze pamiętam) ssidów różnych ustawić, ale żeby była izolacja trzeba ustawić VLAN i używać switcha zarządzalnego z możliwością ustalenia osobnych DHCP na każdego VLAN'a.

Taki sprzęt do domowego użytku jest jak dla mnie kosztowny i wymyśliłem inne rozwiązanie.

Sprawdź czy może Twoje AP'ki mają funkcję Multi-SSID. Nie znam OpenWRT, nie wypowiem się, ale soft możliwości ma raczej duże.

 
Dodane : 11/01/2019 7:03 pm
lukas121
(@lukas121)
Wpisów: 543
Ekspert Zasłużony dla Forum Donator 2K19
 

Ja nie separowałem żadnych urządzeń z afe czy innym softem bo nie widzę takiej potrzeby. Jak nie wystawisz portu 80 czy 1883 mqtt na zewnątrz to nikt ci na nie nie wejdzie.

 
Dodane : 11/01/2019 7:50 pm
Udostępnij: