WiFi, säkerhet och access - frågor
Jag har börjat fundera på hur jag ska ändra mitt nätverk hemma för att kunna dela tillgång till vissa resurser men inte andra samt lite kring säkerhet för detta.
Jag har tidigare satt upp gästnät hemma för att kunna ge internetaccess till dem som kommer på besök och sen haft skrivare och NAS på "hemmanätet" vilket har varit fullt tillräckligt.
Nu (eller för en tid sedan...) har vi skaffat Sonoshögtalare och Chromecast och har även ibland haft behov av att gäster kunnat använda skrivaren.
Vad jag skulle vilja ha är ett sätt att boende i huset kan använda wifi för att komma åt alla resurser - NAS, skrivare, högtalare, Chromecast (och internet såklart.. ) men kanske begränsa så att "bara" jag kommer åt routern. Sen vill jag att ungdomarna ska kunna ta hem kompisar och dela nätverket med dem så att dessa kan komma åt Sonoshögtalare, Chromecast och skrivare men inte NAS och interwebs. (Kanske vill man även bandbreddsbegränsa lite på enskilda användare...)
Som det är nu så har jag kopplat upp Sonoshögtalare och Chromecast till gästnätet vilket gör att jag måste byta nät så fort jag vill använda dem själv. (Jag vet, det är ett I-landsproblem...men ändå...)
Jag vill gärna kunna komma åt NASen från andra platser och även i framtiden kunna koppla in kamera/-or som eventuellt kan accessas från telefon när jag är utanför hemmet. Funderar även på att koppla upp TV:n som är "smart" men inte ny (dvs jag vet hur säker den är, kanske kan köra sladd för den)
När jag jobbar hemma behöver jag koppla upp ett par datorer och telefoner som bara behöver internettillgång och kanske tillgång till skrivare. Sambon behöver "bara" internet men ungdomarna behöver internet och skrivare med sina laptops.
Skrivaren kan kopplas upp till wifi (med WPA2) och har även en inbyggd accesspunkt (sic!) som bara kan använda WEP... APn i skrivaren verkar inte kunna stängas av utan att stoppa anslutning till wifi - det verkar som om man måste stänga ner radion helt. (och nej en ny skrivare är inte aktuellt just nu
) så möjligen blir den också trådansluten.
Jag har börjat kolla lite efter en guide på nätet för hur man ska tänka för att konfigurera sitt hemmanät för lite olika användningsfall men hittar inget som känns klockrent. Det är vissa som pratar om gästnät, vissa pratar om segmentering med VLAN, DMZ och så vidare som jag inte har koll på.
Nätet är just nu uppbyggt med UniFi USG Security Gateway med Cloud key (äldre modell) och en 16 portars switch och just nu 2 UniFi APs som ska bli 4 (lägger till en i källaren och en ute samt att det finns ett antal Ethernetuttag så rimligen ska det finnas en rimlig lösning inom räckhåll. Jag vet bara inte vad som är "bäst" i form av någorlunda enkel konfiguration som en lagom datorkunnig men inte nätverksspecialist kan fixa som ger önskad access och säkerhet.
Någon vänlig själ som kan peka i "rätt riktning" - gärna till en guide som beskriver lite vad de olika lösningarna har för begränsningar och för- och nackdelar samt helst en bild som visar hur de tänker? När jag väl har förståelse för vilket sätt jag ska välja så får jag surfa vidare på hur det ska göras i min utrustning. Jag gissar att jag även borde titta på brandväggsinställningar och "sån't"...
Om det är något jag glömt att beskriva för att kunna förstå vad jag vill uppnå så säg till så kompletterar jag beskrivningen.
Jag har tidigare satt upp gästnät hemma för att kunna ge internetaccess till dem som kommer på besök och sen haft skrivare och NAS på "hemmanätet" vilket har varit fullt tillräckligt.
Nu (eller för en tid sedan...) har vi skaffat Sonoshögtalare och Chromecast och har även ibland haft behov av att gäster kunnat använda skrivaren.
Vad jag skulle vilja ha är ett sätt att boende i huset kan använda wifi för att komma åt alla resurser - NAS, skrivare, högtalare, Chromecast (och internet såklart.. ) men kanske begränsa så att "bara" jag kommer åt routern. Sen vill jag att ungdomarna ska kunna ta hem kompisar och dela nätverket med dem så att dessa kan komma åt Sonoshögtalare, Chromecast och skrivare men inte NAS och interwebs. (Kanske vill man även bandbreddsbegränsa lite på enskilda användare...)
Som det är nu så har jag kopplat upp Sonoshögtalare och Chromecast till gästnätet vilket gör att jag måste byta nät så fort jag vill använda dem själv. (Jag vet, det är ett I-landsproblem...men ändå...)
Jag vill gärna kunna komma åt NASen från andra platser och även i framtiden kunna koppla in kamera/-or som eventuellt kan accessas från telefon när jag är utanför hemmet. Funderar även på att koppla upp TV:n som är "smart" men inte ny (dvs jag vet hur säker den är, kanske kan köra sladd för den)
När jag jobbar hemma behöver jag koppla upp ett par datorer och telefoner som bara behöver internettillgång och kanske tillgång till skrivare. Sambon behöver "bara" internet men ungdomarna behöver internet och skrivare med sina laptops.
Skrivaren kan kopplas upp till wifi (med WPA2) och har även en inbyggd accesspunkt (sic!) som bara kan använda WEP... APn i skrivaren verkar inte kunna stängas av utan att stoppa anslutning till wifi - det verkar som om man måste stänga ner radion helt. (och nej en ny skrivare är inte aktuellt just nu
) så möjligen blir den också trådansluten.Jag har börjat kolla lite efter en guide på nätet för hur man ska tänka för att konfigurera sitt hemmanät för lite olika användningsfall men hittar inget som känns klockrent. Det är vissa som pratar om gästnät, vissa pratar om segmentering med VLAN, DMZ och så vidare som jag inte har koll på.
Nätet är just nu uppbyggt med UniFi USG Security Gateway med Cloud key (äldre modell) och en 16 portars switch och just nu 2 UniFi APs som ska bli 4 (lägger till en i källaren och en ute samt att det finns ett antal Ethernetuttag så rimligen ska det finnas en rimlig lösning inom räckhåll. Jag vet bara inte vad som är "bäst" i form av någorlunda enkel konfiguration som en lagom datorkunnig men inte nätverksspecialist kan fixa som ger önskad access och säkerhet.
Någon vänlig själ som kan peka i "rätt riktning" - gärna till en guide som beskriver lite vad de olika lösningarna har för begränsningar och för- och nackdelar samt helst en bild som visar hur de tänker? När jag väl har förståelse för vilket sätt jag ska välja så får jag surfa vidare på hur det ska göras i min utrustning. Jag gissar att jag även borde titta på brandväggsinställningar och "sån't"...
Om det är något jag glömt att beskriva för att kunna förstå vad jag vill uppnå så säg till så kompletterar jag beskrivningen.
Det där riskerar bli hur rörigt som helst, en mardröm att administrera.
Kommer ungdomarnas kompisar missbruka skrivaren? Inte troligt. Är det ett problem att sambon kommer åt högtalarna (förutom dålig musiksmak)
Klart enklast (och good enough hemma) skulle jag säga ett nät och jobba med lösenord på NASen för där tänker jag finns saker att skydda.
Alternativet är att hitta konfiguration så du kommer åt sakerna på gästnätet från ditt mer skyddade nät. Då kan gäster och tveksam utrustning samsas i gästnätet.
Kommer ungdomarnas kompisar missbruka skrivaren? Inte troligt. Är det ett problem att sambon kommer åt högtalarna (förutom dålig musiksmak)
Klart enklast (och good enough hemma) skulle jag säga ett nät och jobba med lösenord på NASen för där tänker jag finns saker att skydda.
Alternativet är att hitta konfiguration så du kommer åt sakerna på gästnätet från ditt mer skyddade nät. Då kan gäster och tveksam utrustning samsas i gästnätet.
Det ska vara fullt möjligt med den utrustningen du har och segmentera med VLAN, egentligen rätt simpelt.
Men det som kommer ställa till det rejält är Sonos och AirPlay med SSDP och Multicast TTL =1 mellan VLAN.
Men det som kommer ställa till det rejält är Sonos och AirPlay med SSDP och Multicast TTL =1 mellan VLAN.
Ganska omfattande finjustering av brandväggen i routern skulle kunna lösa allt det där, förutsatt att enkom du har adminåtkomst till routern och eventuellt förregistrering av MAC:adresser. Alternativt några subnät inkl brandväggsinställningar, men då är du nästan inne och snuddar på lika administrativa mardrömmar som internetleverantörer kör i sina interna nät. Minus gruppolicies-delen.
Skulle röstat på manuellt lägga in de mac-adresser som behöver åtkomst och sen styrt det i brandväggen, lite förarbete för varje men minst huvudvärk i längden för ett hemnät
Skulle röstat på manuellt lägga in de mac-adresser som behöver åtkomst och sen styrt det i brandväggen, lite förarbete för varje men minst huvudvärk i längden för ett hemnät
Ja, jag är ju inte expert på nätverk och konfiguration av dem så jag ville fråga för att se om det fanns/finns något enkelt sätt att sätta upp det för att uppnå målet, som är ett hyfsat säkert men ändå lättanvänt nät.M Mellanbarn skrev:
Det är egentligen ett i-landsproblem jag vill lösa; att slippa byta nätverk för att kunna spela media...
Det du skriver på slutet är just det jag vill göra. Jag vet bara inte hur just nu...
Oj, nu blev det ett ytterligare ämne att läsa på... protokoll för UPnP... 😁sunnis skrev:
Jag får surfa lite och se om någon sida kan förklara det du tar upp.
Ja, det är bara jag som har adminåtkomst - finns ingen annan som är intresserad... "det ska bara funka" och säkerhetstänkandet lämnar i övrigt en del att önska när det gäller delning av konton etc.namnbyte skrev:
Jag skulle kunna vitlista macadresser för dem som behöver tillgång till vissa saker, det blir inte allt för många eller för föränderligt.
Kanske får läsa på lite om brandväggar.
Jag ser ju den här övningen som ett tillfälle att lära mig lite om nätverk och säkerhet utan att bli certifierad eller lägga all fritid på det 🤪 och samtidigt göra hemnätverket lite säkrare och ändå lättanvänt.
Det finns en uppsjö med guider för Unifi därute och här har du en hur man kan separera sitt nät med VLAN.
https://lazyadmin.nl/home-network/unifi-vlan-configuration/
https://lazyadmin.nl/home-network/unifi-vlan-configuration/
Det är ju inte UPnP heller utan hur AirPlay och Sonos har byggt sin kommunikation hur enheter ska kunna identifieras i nätverket, tyvärr som det är designat så blir det rätt knepigt att routa detta mellan olika VLAN. Absolut görbart men det kräver en del funktioner för att det ska fungera. Ingen aning om man ens kan göra detta i UniFi gui, eller om man behöver in i CLI och knacka in funktionen där.T Testarn skrev:
Men å andra sidan är det är en ganska kul utmaning.
Men är gästnät eget vlan? Jag vill minnas att dom använder samma ip-adresser.
Jag skulle absolut lägga krut på att säkra upp de osäkra enheterna (uppdatera + starka lösenord + ingen smb v1 för fildelning) och sedan slå ihop allt till ett nät.
Med VLAN, DMZ och olika gästnät riskerar du skapa ett komplicerat nätverksmonster som kräver stora insatser för varje ny enhet som tillkommer.
Med VLAN, DMZ och olika gästnät riskerar du skapa ett komplicerat nätverksmonster som kräver stora insatser för varje ny enhet som tillkommer.
OK, då tror jag att det får vara... såå mycket tid har jag inte att lägga på det här så att jag behöver en "utmaning" 🤪
Jag försöker hålla firmware uppdaterat där det går och ha starka lösenord. Så mycket fildelning handlar det inte om utom till/från NAS och där krävs inloggning för de dom har access och även där har vissa konton bara läsrättigheter 😉Unikt namn skrev:
Det verkar på de svar jag fått hittills som att jag antingen kör ett gästnät med det mesta på (Sonos, Chromecast, skrivare, mobiler) och ett annat för känsligare saker (vissa pc/laptop, NAS) eller bara ett hemmanät och sen sätta upp ett VLAN för IoT när det blir aktuellt.
Just nu är det "egentligen" bara NAS och en PC som är känsliga och för NASen är det ändå konton för access och PCn delar inget med andra enheter.
Tack!P paralun skrev:
Vid en snabb koll så ser det här ut att vara precis sådana tips som jag sökte!
Jag har sökt en del innan men bara hittat enkla guider om att sätta upp en router eller väldigt avancerade genomgångar av företagsnätverk.
Jag ska läsa igenom en gång till och se om det fungerar för mig.
