Yleistä
Jo jonkin aikaa on ollut ajatuksena laittaa kotonani verkkoasioita paremmalle jamalle ja aina vähän kerrallaan näin olen tehnytkin.
Olen aikaisemmin hankkinut jo gigabittisiä Zyxelin switchejä olohuoneen puolelle ja myöskin jo kauan aikaa sitten olen hankkinut kotiini Jensen Omni Mesh -järjestelmän (lue täältä) joka on itselläni yhä käytössä. Molemmat ovat siis olleet peruskäytössä varsin toimivia ja tehneet sen mitä niiltä olen odottanutkin.
Verkossa olevien laitteiden kasvun myötä tarpeeni verkkojen konfigurointiin on kuitenkin laajentunut ja monipuolistunut jonka vuoksi tarvetta on ollut saada verkkoani hieman fiksummaksi konfiguroitavaksi.
Oma verkko IoT-laitteille ja käytännön haasteet
Käytännön tasolla ajatuksena on ollut tarve saada eristettyä kotona IoT-laitteet (mm. Robotti-imuri, Hue-valot, Sonos-kaiuttimet ja monet muut) kokonaan omaan verkkoon siten että niiden käytettävyys kotona ei kuitenkaan kärsi.
Syynä tälle päämäärälleni on tietoturva. Monet IoT-laitteet eivät ole kovinkaan tunnettuja hyvästä tietoturvastaan (ainakaan halvimmat idän ihmeet) jonka vuoksi on hyvä mikäli nämä laitteet saa pois pyörimästä samasta verkosta jossa kotini muut laitteet ovat ja ainoastaan sallia pääsy ja näkyvyys eksplisiittisesti tietyiltä laitteilta tiettyihin laitteisiin, ei kerralla jokaiselta vekottimelta kaikkiin muihin laitteisiin.
Ongelmahan olisi tietenkin helposti kierrettävissä siten että luo vain kaksi erillistä WLAN-verkkoa ja tunkee älylaitteet sinne, mutta tässä vaiheessa käytettävyyden ja käytännöllisyyden voi samantien unohtaa. Esimerkiksi jos haluan katsoa kännykälläni verkkolevylläni olevia valokuvia tai videoita pitäisi kännykkä aina vaihtaa verkosta toiseen.
Kännykän tapauksessa tämän ehkä vielä jaksaisi sietää, mutta vaikkapa Apple TV:n ja verkkolevyn ollessa eri verkoissa ei enää käytettävyydestä voi puhua saman päivän aikana ja kummankin laitteen hyödyt jäisivät käyttämättä.
Tietoturvasta mainintana vielä sen verran että jopa FBI suosittelee älylaitteiden laittamista omaan verkkoon (lue uutinen aiheesta täältä ja toinen uutinen täältä) joten siitä voi jokainen päätellä itse kuinka hyvä idea on pitää kaikki verkon laitteet kotona samassa verkossa keskenään 🙂
Tekninen ratkaisu lyhyesti kuvaten
Tapa millä tätä käytännön haastetta lähdin ratkaisemaan oli luoda kaksi erillistä VLANia (ei siis WLAN vaan VLAN). Toiseen VLANiin menee kodin normaalit tietokoneet tai muut sellaiset (PC, mäkit ja verkkolevy) ja toiseen sitten kaikki muut.
Valitettavasti omistamani laitteet eivät ymmärtäneet VLANeista sen enempää kuin sika satelliitista (tai ainakaan niitä en päässyt konfiguroimaan tarpeeksi monipuolisesti omiin tarpeisiini) joten lompakon nyörejä joutui raottamaan useamman laitteen osalta.
Viimeisen parin kuukauden aikana kaupasta on tullut kannettua useampia Ubiquityn vekottimia joilla tätä asiaa pääsin laittamaan kuntoon. Ubiquity Security Gateway, Ubiquity Unifi 8 porttinen 60W PoE -kytkin sekä Ubiquity Cloud Key. Viimeinen näistä listan laitteista ei toki ole välttämätön, mutta elämääni helpottaakseni hankin sen samaan syssyyn viimeisimmällä käynnilläni Verkkokaupalla.
Ubiquityn hallintapaneelista loin perusverkon lisäksi IoT-nimisen VLANin. Unifin ohjelmoitavassa switchissä pystyi sen jälkeen määrittämään porttikohtaisesti mihin VLANiin vekottimet menevät.
Koska Jensenin mesh-verkko menee fyysisesti kiinni tuohon switchiin pystyin määrittämään suoraan tuolle portille IoT-alueen. Käytännössä siis jokainen laite mikä nyt yhdistyy langattomasti Mesh-verkkooni päätyy IoT-alueelle ja saa sieltä sen mukaisen IP-osoitteen DHCP:llä – robotti-imuri, Sonoksen kaiuttimet, Hue-valot, TV, tabletit, kännykkä yms.
Tämän lisäksi myös Apple TV ja Pioneerin vahvistin menee fyysisesti kiinni tuohon switchiin joissa olen vain näihin portteihin myös määrittänyt että ne menevät IoT-alueelle.
Kun laitteet oli jaettu karkeasti eri VLANeihin täytyi vielä Unifin palomuurista käydä konfiguroimassa inter-VLAN routing pois käytöstä. Laitoin kaikki IoT-verkosta tulevat yhteydet varsinaiseen pääverkkooni suoraan droppiin jonka jälkeen erikseen kävin aukaisemassa tietyiltä laitteilta pääsyn VLANista toiseen ja niissäkin ainoastaan niihin laitteisiin joihin erikseen haluan.
Tähän mennessä ratkaisu on toiminut. Muutamat laitteet vielä odottaa konfiguroimistaan, mutta tästä hän hyvä jatkaa 🙂
Leave a Reply