Mikrotik - odseparowanie IoT - VLANy czy inna metoda?

Question

Cześć, Podpowiedzcie proszę jak odseparować urządzenia IoT w domowej sieci na mikrotiku? Używam testowo: hAP lite ze switchem: Atheros8227 który wg. dokumentacji nie obsługuje reguł. Niestety nie mogę też użyć najprostszego rozwiązania jakim jest np. Guest WiFi bo urządzenia są daleko i gdzie...

przeqpiciel · Accepted Answer

1. fajnie jednak jakbyś miał coś madrzejeszego, i na nim skonfigurowal sobie access porty, wtedy przypiszesz, że np. port 1,2,3 to vlan 100, pozostale porty to vlan 200, do portu możesz podpiąc głupiego switcha i bedzie juz sepracja. Kod: text Rozwiń Zaznacz wszystko Kopiuj do schowka                 +-----------------------------------------------------------------------------------------+                 |                                 Router z obsluga VLAN                                   |                 |                                                                                         |                 |                                                                                         |                 |                                                                                         |                 +-----------------------------------------------------------------------------------------+                 +----------+ +----------+ +----------+ +----------+ +----------+ +----------+ +----------+                 | VLAN 100 | | VLAN 100 | | VLAN 100 | | VLAN 200 | | VLAN 200 | | VLAN 100 | | VLAN 200 |                 |  Port 1  | |  Port 2  | |  Port 3  | |  Port 4  | | Port 5   | |  Port 6  | | Port 7   |                 +---+------+ +-----+----+ +----------+ +----+-----+ +-----+----+ +----+-----+ +----+-----+                     |              |                        |             |           |            |                     |              |                        |             |      +----+-----+      |                     |        +-----+------------+           |             |      |  IoT     |      |                     |        |   urzadzenie IoT |           |             |      |          |      |                     |        |                  |           |             |      +----------+      | +-------------------+--+     +------------------+           |             |                        | |  glupi switch        |                                 +--+-------------+------------------------+---+ |                      |                                 |                                             | +---+------+------+----+                                 |       Komputery w sieci                     |     |      |      |                                      |                                             |     |      |      |                                      |                                             |     |      |      |                                      |                                             |     |      |      |                                      |                                             |     |      |      |                                      +---------------------------------------------+  +--+------+------+---+  |    Inne urzadzenia |  |    IoT             |  |                    |  +--------------------+ 2. ja to ugrałem poprzez postawienie we włansje sieci HomeAssistant, jako centralki dla urzadzeń IoT, komunikuje mi się to przez różne adaptery z urządzeniami korzystającymi z protokołów ZigBee (jak żarówki ikea), z-wave (głowice termostatyczne danfoss), ethernet z kontrolerami pasków LED oraz alarm Satel, wszystkie urzadzenie potrafiące protokół IP, nie mają prawa wyjścia na świat, a jedynie mogą gadać z HA, do tego wyłącznie HA ma wystawiony interfejs po VPN na świat abym mógł się podłączyć zdalnie i nikt nie powołany mi tam nie grzebał + login/hasło 3. tak, mam osobny ssid dla urzadzeń gadających po wifi i sam bym tak rekomendował 4. nie bardzo mi się ten pomysł widzi Dodano po 9 [minuty]: - nie zamierzam się ustosunkowywać do interfejsów graficznym. - INPUT, OUTPUT, FORWARD są to jedynie łańcuchy w całym przepływie pakietu IP w trakcie jego przetwarzania przez system. - nat to nat, source nat (snat) czy destination nat (dnat) to nadal jest nat z tym ze okreslasz w ktorym to jest kierunku

przeqpiciel · Accepted Answer

To jest jak najbardziej zrozumiałe, robisz segment sieci dla komputerów i osobny dla IoT Sonofa (przynajmniej ich gniazdko ) flashowałem innym oprogramowaniem przez co uzyskałem to co oferuje, a zaczęło gadać wyłącznie z moim Home Assistant, być może suple też się da przeprogramować. To zależy co chcesz zrobić. Jeśli zapewnić wyłącznie komunikację, to nie baw się w VLANy, natomiast jeżeli mówimy o poprawnej i książkowej konfiguracji i podejściu do tematu IoT ... no to wtedy separujemy IoT od sieci komputerowej. EDIT masz juz jednego mikrotika, szkoda ze nie masz rowniez mikrotikow w miejscu asusow - to by o wiele ulatwilo temat o ile ten switch nie ruszalby pola vlan id w pakietach

IC_Current · Accepted Answer

Dobrze rozumiesz. Albo po dwa przewody i różne porty MT, albo VLANy, jeden przewód j jeden port switcha czy MT.

IC_Current · Accepted Answer

VLANy sprawdzisz jakimś skanerem portów. Poza tym możesz nadać na próbę wszystkim hostom adresację IP z jednej puli. Te w różnych VLANach nie powinny się ze sobą komunikować pomimo zbieżnej adresacji IP. Test robisz tak, że najpierw urządzenia podłączasz w jednym VLANie i sprawdzasz między nimi komunikację (np ping), potem przenosisz do oddzielnego VLANu i znowu sprawdzasz komunikację (powinna zaniknąć).

przeqpiciel · Accepted Answer

poklikalismy wczoraj z kolega via anydesk. na talerzu zostala utworzona odrebna siec wifi, ktora jest skonfigurowana do gadania wylacznie z konkrentym VLANem, natomiast router asusa, którego posiada wyłącznie pod IoT wpieliśmy prosto do MT, który został dołączony do bridge'a gdzie jest cały VLAN dla IoT.

Promuję tematy:
22.04.2020 Jak uruchomić usługę w swojej sieci i wystawić to na świat - zapraszamy!!!

spy · Answer

VLAN jest na warstwie 2 TCP i ma sens wtedy, gdy switche i inne urządzenia wspierają vlany. Stosuje się je po to, by odseparować poszczególne __segmenty sieci__ z różnych powodów. W twoim przypadku powinno wystarczyć odseparowanie na warstwie 3, czyli na każdym urządzeniu ustawiasz albo osobną podsieć (np. 10.10.1.x, 10.10.2.x), albo tę samą podsieć z inną maską i odpowiednim IP ( https://www.nhgeorgia.com/blog/the-art-of-the-subnet-cheat-sheet ). Oczywiście router nie może między tymi sieciami przerzucać ruchu. Na zewnątrz urządzenia możesz wystawić używając wirtualnych serwerów, port mappingu czy ja to tam się nazywa w microtiku, czyli np. na 1.2.3.4:7777 --> 10.10.1.5/30 , 1.2.3.4:7779 --> 10.10.1.23/30

Pewnie można to zrobić jeszcze na 2 lub 3 inne sposoby.

Patrząc z innej strony... Po co separować te urządzenia, skoro są przypięte do JEDNEGO routera przez niezarządzalny switch? Przecież chyba nie zrobią sobie krzywdy nawzajem, bo nie komunikują się ze sobą. Jaka jest szansa włamania się do poszczególnych IoT, aby należało je separować vlanami?

Promuję tematy:
28.04.2022 Multimetry na DTM0660L/DM1106EN - modyfikacje

przeqpiciel · Answer

Aby mieć tę pewność, że urządzenia nie gadają z chinami, że nikt nie powołany nie dostanie się do urzadzenia i je nie przekonfiguruje. Sam wolę się zabezpieczyć przed faktem, niż po fakcie. Ba nawet mam odrebny SSID dla tych urzadzeń, które mają tylko wifi natomiast tam hasło składa się z $(pwgen 32 1) Dodano po 30 : może, od tego jest router aby przewalać pakiety z sieci do sieci Dodano po 46 : 1. Mikrotik 2. Tak jak wszędzie - NAT

spy · Answer

Od tego nie jest VLAN, tylko reguła na firewallu. Cudownie. Prościej ukryć SSID niż stosować wieloznakowe, skomplikowane hasła. Nie może! Jak urządzenia nie mają się widzieć, czyli mają być odseparowane, to routing między sieciami ma nie działać. Znajdź taką zakładkę np w GUI TP-linka. Powodzenia. A potem wyjaśnij mi czym się różnią reguły INPUT, OUTPUT, FORWARD od czego jest NAT, DNAT, SNAT i jak się robi markowanie pakietów. Aż się nie mogę doczekać nowej interpretacji tej samej wiedzy.

spy · Answer

Pfff... To może warto zacząć. Po to są, aby nie bawić się w przypominanie sobie składni poleceń i GUI są nieocenione przy one-time setup. Acha, zapomniałeś o markowaniu pakietów, no i jeszcze mógłbyś dorzucić tagowanie. @karolczyzycki, możesz też zerknąć na Dosyć przystępnie wyjaśnione.

IC_Current · Answer

@spy Bzdury gadasz z tym ukrywaniem SSID i niestosowaniem VLANòw. Stosowanie jednego ukrytego SSID przed niczym nie zabezpiecza. Wynosisz laptopa poza dom, a on ciągle poszukuje tej ukrytej sieci. Wystarczy teraz mu tylko podstawić dowolny AP z nazwą o jaką prosi i już masz wykonany atak MITM. Tym sposobem właśnie obniżasz bezpieczeństwo swojej sieci. Tylko stosowanie WPA2 z AES i niesłownikowymi hasłami ma sens. Brak stosowania VLANÒW skutkuje możliwością bezpośredniej komunikacji na poziomie warstwy drugiej i stosowanie nawet różnych sieci warstwy trzeciej niczego nie ogranicza. Dalej masz bezpośrednie połączenie po adresach MAC, czy używając broadcastu. @karolczyzycki Jak chcesz w miarę bezpieczną sieć, to musisz zainwestować w zarządzalny switch i dodatkowe AP (lub AP z możliwością tworzenia wirtualnych BSSID) dla IoT. Wtedy urządzenia IoT instalujesz na oddzielnym VLANie i oddzielnym BSSID. Na Mikrotiku też tworzysz dwa oddzielne VLANy i listami kontroli dostępu obcinasz ruch między tymi podsieciami. Zezwalasz tylko na bezwzględnie potrzebne połączenia. Jeśli nie potrzebujesz komunikacji pomiędzy siecią domową a IoT, to dodatkowo na Mikrotiku wdrażasz VRF i wtedy masz kompletną separację pomiędzy sieciami zarówno na drugiej jak i trzeciej warstwie. Teraz zaoszczędzisz a za parę lat możesz obudzić się z poważnymi problemami.

karolczyzycki · Answer

Dziękuję za dyskusję z tyloma pomysłami. Nie spodziewałem się że ten temat jest aż tak złożony. Dodam więcej szczegółów nt. obecnej konfiguracji.

@spy

Cytat:
Po co separować te urządzenia

Może źle się wyraziłem, chcę zrobić VLAN po to żeby odseparować całe IoT od reszty sieci, nie miałem zamiaru robić osobnego VLANu dla każdego urządzenia IoT.

@przeqpiciel

Cytat:
Aby mieć tę pewność, że urządzenia nie gadają z chinami

Ale urządzenia typu SONOF, czy SUPLA chyba w standardzie gadają z Chinami. Nie mam ich wystawionych na zewnątrz, a działają z WANu.
Z tego co wiem to one łączą się z serwerem X, aplikacja w telefonie łączy się z tym samym serwerem i tam sobie gadają.

W tej chwili urządzenia IoT wołają mnie o klucz mojego WiFi, wiem że to źle, ale tego bez osobnego AP nie załatwię więc chciałem chociaż odebrać im możliwość komunikacji z moją siecią.

@IC_Current
Dziękuję za podpowiedź, to jest już ostatni etap, do którego dążę.
W tej chwili zainwestowałem w sieć strukturalną, na urządzenia przyjdzie pora, a teraz chciałbym chociaż połowicznie zabezpieczyć sieć przed IoT zanim przejdę do kolejnego etapu.

W tej chwili stan mam taki jak poniżej:
1. MikroTik bez reguł VLAN
2. Nezarządzalny Switch
3. AP jako ASUSy z wyłączonym DHCP

Co mogę zrobić dla zabezpieczenia mając taki stan jak wyżej?
Z ASUSów wiele nie wycisnę, widziałem że mają sieć dla gości, ale jeśli włączę opcję blokuj dostęp do Intranetu, to nie mam Internetu w ogóle. W sumie logiczne bo IP nadaje MikroTik.

Nadal nie rozumiem dlaczego niewystarczające jest zrobienie statycznego IP dla każdego z IoT, i zablokowanie możliwości komunikacji tego IP z innymi moimi sprzętami (wiem że jest to karkołomne, ale dla w/w sprzętu chyba jedyne wyjście).

IC_Current · Answer

Nie da się ustawić statycznego IP na urządzeniu i zablokować komunikację z innym urządzeniem poprzez MT z prostego powodu - w sieci Ethernet komunikacja odbywa się za pośrednictwem adresów MAC a nie IP, do tego ramki są przesyłane bezpośrednio pomiędzy rozmawiającymi urządzeniami bez pośrednictwa routera. Przez router są przesyłane tylko pakiety do innej sieci (do Internetu lub innego VLANu) i tylko takie pakiety na routerze możesz sobie blokować. W skrócie - bez VLANòw lub fizycznie rozdzielnych sieci (osobne switche i AP) nie ma separacji ruchu.

karolczyzycki · Answer

Czy dobrze rozumiem że mam dwa wyjścia? Ważne w tym momencie bo jeszcze nie zakończyłem tematu instalacji.

albo AP z obsługą VLANów (np. prosty MT) i MT jako główny (na różnych portach różne VLANy, ewentualnie switch zarządzalny żeby mieć więcej portów)
albo do każdego z punktów domu np. pięter powinienem mieć 2 przewody pod dwa różne AP (jakieś zwykłe) i jeden dla IoT i drugi na mojej sieci a sprawę VLANów załatwią osobne przewody wpięte w osobne porty w głównym MT.

przeqpiciel · Answer

Mikrotik potrafi rozglaszac 2 ssid w jednym czasie. Do tego jak juz masz jednego to zakup kolejnych ma tym wiekszy sens, ze mozesz skonfigurowac capsmana na nich wszystkich dzieki czemu z jednego miejsca zarzadzasz cala siecia wifi jak i dostajesz prosty roaming.

Promuję tematy:
22.04.2020 Jak uruchomić usługę w swojej sieci i wystawić to na świat - zapraszamy!!!

karolczyzycki · Answer

Na MT byłoby łatwiej skonfigurować, rozbudowa w ten sposób to będą są większe koszt samego MT, bo proste MT nie mają dobre go zasięgu, musiałbym podłączać zewnętrzne anteny. Czy masz jakiś inny pomysł na to? Ja mam dość trudną infrastrukturę do pokrycia i musiałbym to mieć skalowalne w przyszłości. W tej chwili IoT może być w zasięgu jednego AP, ale później jak rozumiem główny MT jako router i proste MT jako AP + antena?

przeqpiciel · Answer

Nie wiem jaką powierzchnię masz do pokrycia. Ja mam 2x70mkw, przez strop wifi nie leci wiec 2 MT robią mi poprostu za AP, bez jakichkolwiek zewnetrznych anten

karolczyzycki · Answer

Do pokrycia mam mniej więcej tyle samo, ale u mnie mury są takie że nawet AP Ubiquiti w centralnym punkcie nie dał rady.
Dlatego decyzja była taka żeby zrobić cat.6 w kilka punktów a tam proste AP (spróbuję z MT).

Jak mogę sprawdzić czy VLANy skonfigurowałem poprawnie? Najprościej chyba zrobić nmapem skan portów i nie powinienem widzieć żadnych inny hostów niż te w VLANie tak? Czy jakoś jeszcze inaczej mogę potwierdzić?

karolczyzycki · Answer

Ponawiam próbę połączenia UniFi AC lite i Mikrotika,.
Czy ktoś ma może gotową instrukcję 'taką od zera' jak zrobić podstawowego VLANa dla gości/IoT?

Znalazłem tylko jedno źródło, ale ze względu na język filmu to ostateczność:

https://www.youtube.com/watch?v=0f9j5DHltyI

karolczyzycki · Answer

Witam ponownie,
Po czasie pojawił się problem. Po planowanym zaniku zasilania, sieć dla IoT (v-lanowa) nie dostaje IP.
Konfiguracja w UniFi się rozleciała, przywróciłem do fabrycznych, i stworzyłem dwie sieci: UniFi i vlan.
Jak zaznaczę dla sieci 'vlan' 'Użyj Vlan' to nie dostaję IP (brak internetu), po odznaczeniu wszystko gra.

Konfiguracja sieci jest taka jak była:
1. Do mikrotika wpiąłem AP pod ETHER2 (inne sprzęty które używają VLANu są podłączone pod ETHER 3 i 4)
2. VLAN jest z ID 100
3. W UniFi ustawiłem Użyj Vlan 100

Sprawdziłem ponownie następujące punkty:
1. VLAN ustawiony:

/interface vlan
add interface=ether3 name=ether3_vlan100 vlan-id=100
add interface=ether4 name=ether4_vlan100 vlan-id=100

2. Mam pulę:

/ip pool
add name=dhcp_pool2 ranges=10.0.100.2-10.0.100.254

3. Mam server DHCP:

/ip dhcp-server
add address-pool=dhcp_pool2 disabled=no interface=br_vlan100 name=dhcp1

4. Porty pod VLANa (używam ich do innego rotuera):

/interface bridge port
add bridge=br_vlan100 interface=ether4
add bridge=br_vlan100 interface=ether4_vlan100
add bridge=br_vlan100 interface=ether3_vlan100

5. Adresy są:

/ip address
add address=10.0.100.1/24 interface=br_vlan100 network=10.0.100.0

6. Sieć:

/ip dhcp-server network
add address=10.0.100.0/24 dns-server=10.0.100.1 gateway=10.0.100.1

Doradźcie proszę co może być nie tak?

karolczyzycki · Answer

Problem rozwiązany, błąd był w połączeniu. Pomogło rozłączenie i połączenie wszystkiego ponownie.

[Rozwiązano] Mikrotik - odseparowanie IoT - VLANy czy inna metoda?

Post #1

Post #2

Post #3

Post #4

Post #5

Post #6

Post #7

Post #8

Post #9

Post #10

Post #11

Post #12

Post #13

Post #14

Post #15

Post #16

Post #17

Post #18

Post #19

Post #20

Post #21

Podsumowanie tematu