IoT eszkoz a halozaton

 ( tigrincs | 2017. augusztus 31., csütörtök - 11:11 )

Sziasztok,

Arra esetleg valakinek van otlete ,hogyan lehet elszeparalni egy IoT eszkozt a halozaton? Lehetoleg az alabbi eszkozok segitsegevel :)

Jelenleg egy szolgaltatoi modem/router (Huawei HG635) illetve 3 managed switch all rendelkezesemre:

NetGear ProSafe GS108PE
NetGear ProSafe GS110TP-200EUS
HPE PS1810-8G

Ha berakom az eszkozt kulon VLAN-ba az eleg vagy router oldalon is erdemes lenne jobban korlatozni?

Vagy vegyek egy normalis routert is? (ha ez lenne a konkluzio akkor ehhez is szeretnek segitseget kerni)

Az elerni kivant eredmenyek:

-Az IoT eszkoz tudjon egy adott internetes IP cim fele kommunikalni de ne lasson ra a belso halozatra egy ip kivetelevel.
-Belso halozatrol is elerheto legyen (ez ellentmondas az elozo kitetellel de akkor kellene mukodnia ha masik belso eszkozrol kezdemenyezik a kommunikaciot)
-Ha az eszkozt eltavolitjak masik eszkozt ne lehessen csatlakoztatni (ha jol latom ez megoldhato valamelyik NetGear eszkozzel)

Jelenleg igy nez ki a halozat: (a fekete vonal az ket kulon szintet hivatott abrazolni a hazban)

https://ibb.co/chEYu5

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

A legtöbb gagyi router a zinternetet és a belső hálót is 'csak' VLAN-nal választja el egymástól. A kevésbé gagyi is max 2 ethernet interface-szel rendelkezik, szóval nem igazán van más megoldás a VLAN-on kívül.

A megnevezett eszközt nem ismerem, de ha ez rá is igaz (99% hogy igen), akkor nem tudod 'jobban' korlátozni.

Tehát, csinálsz neki külün VLAN-t a routeren, és a VLAN-ok között tűzfalazol, azaz azt engeded és abba az irányba amelyikbe csak kívánod. Ehhez (az általad vázolt felállás esetén) a switcheknek nem is kell hogy VLAN képesek legyenek.

Az utolsó pont megvalósítására maximum MAC szűréssel lehet próbálkozni, de ha az új eszköz is azt a MAC címet veszi fel, akkor nem nyertél.

Ja, és ha a router a szolgáltatóé, akkor azon Ő a főnök: tehát azt csinál rajta amit akar. Te azon csak vendég vagy. Emiatt én biztosan nem használnám semmire, csak a mindenképp szükséges modem funckióra.

--
zrubi.hu

A szolgaltatoi router egy regi szolgaltatasbol maradt ram (nem volt meg tul sok idom nezelodni es lecserelni)

Szoval jelenleg ahogy a kepen is latszik van egy szolgaltatoi eszkoz bridge modban es mogotte a Huawei csak tarcsaz.

Szeretnem elkerulni azt a lehetoseget is hogy az eszkozt lehuzzak es masikat raknak a helyere szoval ezt valahogyan mindenkeppen korlatozni szeretnem. (ha nagyon akarjak kivitelezheto)

Szeretnem elkerulni azt a lehetoseget is hogy az eszkozt lehuzzak es masikat raknak a helyere szoval ezt valahogyan mindenkeppen korlatozni szeretnem. (ha nagyon akarjak kivitelezheto)

Ezellen amit tehetsz:
- MAC szűrés
- vandalproof kamera
- elérhetetlen helyre telepíted
- egymást figyelő kamerák

(illetve ezek tetszőleges - és/vagy az esetedben megvalósítható - kombinációja)

--
zrubi.hu

Idézet:
Szeretnem elkerulni azt a lehetoseget is hogy az eszkozt lehuzzak es masikat raknak a helyere szoval ezt valahogyan mindenkeppen korlatozni szeretnem. (ha nagyon akarjak kivitelezheto)

A switchek tudnak MAC szűrést.

De szerintem a router miatt bukta, nincs rá OpenWRT és kétlem, hogy a gyári firmware enged VLAN-okat kialakítani.

A router az nem gond. Ha kell akkor veszek egyet csak nem tudom milyet kene venni (pilotavizsgasat nem szeretnek)

Az sem baj ha van benne VPN tamogatas 2,4 es 5 GHz (stabilitas a leglenyegesebb nem szeretnem ha allandoan ujra kene inditgatni pl Asus csoda routerek)
hajlando lennek akar valami SOHO vagy business routerert is fizetni (mondjuk 100K -ig)

Masik megoldas lehet, hogy van egy Gen8 microserverem (16G) esetleg az routolhatna?

csak nem tudom milyet kene venni

Olyat, amin fut az OpenWRT.

Ez egy elég jó darab:
WRT1200AC

Megy rá OpenWRT/LEDE, de a gyári firmware is egész értelmes.

A mikroserver (vagy bármi egyéb x86-os hardver alapú megoldás) egész más kategória, ott megcsinálhatod rendesen külön interfészekkel, nem kell VLAN-ra bíznod a dolgot. De ehhez nyilván érteni kell. A hardverhez és a szoftveres részéhez egyaránt. És rengeted időt kell rááldozni, és sokat is fogyaszt, és hangos is.

A WiFi mondjuk szerintem teljesen külön téma, igaz aszappantartó routerekben alap (spórolás miatt), de azokat biztosan nem tudod elhelyezni úgy, hogy a kábelezés is értelmesen megoldható legyen, a WIFI jel is jó legyen, és ne legyen útban sem.
Ezek miatt én már régóta külön PoE-s AP-t (ami a plafonon van) használok a WiFi szórásra, és a (fent nevezett) routert (LEDE firmware-rel) csak ethernet routolásra és VPN elérésre. Ez meg eldugva jól a modemmel, switchekkel, szüntementessel és a sok kábellele együtt.

--
zrubi.hu

Elvben ennyi, de a gagyi router-ek nem hogy VLAN-t, de még több LAN oldali IP tartományt sem tudnak kezelni, pláne nem kifinomultan tűzfalazni közöttük.

Tehát az első cél egy rendes router, ami ezeket meg tudja oldani. Az már ízlés és pénztárca kérdése, hogy OpenWRT-t húzol egy olcsó SoHo routerre, veszel egy megfelelő kapacitású Mikrotik-et, vagy PC-n route-olsz Linux-al (mondjuk, utóbbit már nem javasolnám senkinek).

Az eszköznek külön VLAN, azon külön IP subnet, az érintett switch portokon MAC szűrés (hogy más eszközt oda ne lehessen dugni - a kamera lehúzását max. monitorozni és risztani tudod)

Ezek után a router tűzfalában minden forgalmat le tudsz szabályozni, amit szeretnél, de a megfogalmazásodból ítélve ennek a résznek majd olvass kicsit utána! :)

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Én előszedtem a régi routerem, bedugtam a másik LAN portjára és a mögé tettem az IoT-s, Smart Home-os kütyüket. A régi routeren egyszerűen MAC address alapján tudom tiltani az internet elérést és a belső hálóra se látnak rá az eszközök.

MODding | Asztali PC | Személyes weboldalam
'Everybody loves LEDs'

Ha VLANozni akarsz, akkor olyan routerre, ami tud a LAN oldalon vlanokat kezelni, szinte biztosan szükséged lesz, illetve mivel kell átjárás a két hálózat között, ezért valamiféle tűzfal szerűt is kell tudni raknia a kettő közé.

Azzal esetleg lehet játszani, hogy legalább az egyik netgear leírásán láttam, hogy ő egyébként tud static routeolni, meg még valami ACL support is van benne, tehát olyasmit lehet csinálni, hogy ő mint router játszik, az IoT vlanról a router nem is tud, csak annyit, hogy az annak adott új címtartományt rá kell routeolni a switch rendes vlanos címére. (illetve nyilván hajlandónak kell lennie azt a tartományt is natolni az internet fele). Szintén ott ACLekkel megoldható kéne legyen, hogy csak az érje el az IoT eszközt, akinek szabad. Viszont azoknak tudni kell, hogy a route a switchen keresztül mutat. (Mert ha a rendes router meg is oldja, hogy visszaküldi, a switchnek, ő már a vissza csomagot direktben fogja küldeni, ami, még ha megy is, simán vezethet mindenféle anomáliákhoz). DHCPt az IoT networkön így nem tudsz csinálni (hacsak a netgear nem ad azt is).

Ami egyébként ilyenkor jó lenne, az a Private VLAN intézménye, ami port alapon tud szeparálni, tipikusan úgy működik, hogy midenki csak az uplink porttal tud kommunikálni, illetve azokkal, akik vele egy communityben vannak. Viszont így IP szinten maradhat ugyanaz a hálózat.

---
Illetve azt bedobom még, hogy egyébiránt ha több IoT eszköz van, azok egymástól való izolációján is érdemes lehet gondolkodni, nem jó, ha a tvn keresztül nyomják meg a riasztót mondjuk....

Update

Melohelyrol szereztem egy Netgear SRX 5308 routert. Should do the VLAN trick \o/