November 30, 2021
  • 6:27 am WWW-sivun vektorigrafiikan tallentaminen kuvatiedostoksi
  • 3:26 pm Windows Terminal – Microsoft 365 -hallinnan helpottaminen PowerShell-profiilein
  • 11:10 pm Microsoft 365 – Salasanan resetointi itsepalveluna (SSPR)
  • 9:12 pm Exchange Online – Roskapostin estäminen top-level domainin (TLD) perusteella
  • 11:26 pm Windows 10 – Fiddler Web Debugger Proxyn asennus ja käyttöönotto

Johdanto

Kuvaan tässä kotiverkkoni nykyisen konfiguraation omaa dokumentaatiotani varten. Jos konfiguraatiossa on jotain pahasti pielessä, olet tervetullut huomauttamaan asiasta kommenttiosiossa. Verkko koostuu seuraavista laitteista:

  • Ubiquiti EdgeRouter X (reititin)
  • Netgear GS108Ev3 (hallittava kytkin)
  • Ubiquiti UniFi UAP-AC-Lite (langaton AP)

 

Verkko on jaettu viiteen virtuaalisen lähiverkkoon (VLAN), joiden välisiä yhteyksiä on rajattu reitittimen palomuurisäännöillä. VLAN-verkkojen välinen reititys toteutettiin Router on a stick -tavalla, eli kytkimen ja reitittimen välillä on yksi Trunk-linkki, joka kuljettaa useiden eri VLAN-verkkojen liikennettä ali-interfacejen kautta. Hallittavan kytkimen ja langattoman AP:n välillä on toinen Trunk, joka kuljettaa eri langattomien verkkojen VLAN-liikenteen. Langattomia verkkoja on kokonaisuudessaan kolme.

Kaikki verkkolaitteet ovat samassa ylläpitoverkossa VLAN99. Siirrän henkilökohtaisen koneeni kyseiseen verkkoon ainoastaan, kun minun tulee tehdä muutoksia verkon konfiguraatioon. Muulloin se on täysin erillään kotiverkkoni päätelaitteista.

Verkkolaitteiden ylläpito-osoitteet:

DeviceVLANIPv4 AddressSubnet MaskDefault GatewayDescription
EdgeRouterXVLAN9910.0.99.1255.255.255.0n/aMaintenance
NetgearSWVLAN9910.0.99.100255.255.255.010.0.99.1Maintenance
UAP-AC-LiteVLAN9910.0.99.200255.255.255.010.0.99.1Maintenance

Reititin: Ubiquiti EdgeRouter X

VLAN-verkot:

Hinnastaan huolimatta EdgeRouter X sisältää monia yrityslaitteista tuttuja ominaisuuksia. Reitittimen interfacelle eth1 on luotu viisi virtuaalista ali-interfacea, jotka kuuluvat omiin VLAN-verkkoihinsa. VLAN-verkot jakautuvat seuraavasti:

  • VLAN10 – Pyhahima Internal (verkko kodin luotetuille kiinteille laitteille, kuten pöytäkoneelle)
  • VLAN20 – Pyhahima Internal WLAN (verkko kodin luotetuille langattomille laitteille, kuten kannettavalle tietokoneelle)
  • VLAN30 – Pyhahima IoT (verkko kodin IoT-laitteille: Raspberry Pi, ESP-12E jne.)
  • VLAN40 – Pyhahima Guest (vierasverkko)
  • VLAN99 – Maintenance (verkon ylläpitoa varten)

 

Jokaiselle on luotu oma ali-interface eth1-interfacen alaisuuteen. Ali-interfacen numero täsmää VLAN-verkon numeron kanssa:

Esimerkki VLAN10-verkon ja sen ali-interfacen eth1.10 tiedoista:

Reitittimen osoitetaulukko näyttää tältä:

InterfaceIPv4 AddressSubnet MaskDefault GatewayDescription
Eth1.1010.0.10.1255.255.255.0N/APyhahima Internal (VLAN10)
Eth1.2010.0.20.1255.255.255.0N/APyhahima Internal WLAN (VLAN20)
Eth1.3010.0.30.1255.255.255.0N/APyhahima IoT (VLAN30)
Eth1.4010.0.40.1255.255.255.0N/APyhahima Guest (VLAN40)
Eth1.9910.0.99.1255.255.255.0N/AMaintenance (VLAN99)

Reititin loi itse automaattisesti reitityssäännöt verkkoja varten:

DHCP:

Jokaiselle VLAN-verkolle on luotu omat DHCP-poolit, joista ne jakavat IP-osoitteet verkkoon kuuluville päätelaitteille. Esimerkki VLAN10-verkon DHCP-poolista:

Kaikki DHCP-poolit:

DHCP PoolSubnetRange StartRange StopNetwork
VLAN10-Pyhahima-Internal-DHCP10.0.10.0/2410.0.10.510.0.10.254Pyhahima Internal
VLAN20-Pyhahima-Internal-WLAN-DHCP10.0.20.0/2410.0.20.510.0.20.254Pyhahima Internal WLAN
VLAN30-Pyhahima-IoT10.0.30.0/2410.0.30.510.0.30.254Pyhahima IoT
VLAN40-Pyhahima-Guest10.0.40.0/2410.0.40.510.0.40.25Pyhahima Guest
VLAN99-Maintenance10.0.99.0/2410.0.99.510.0.99.25Maintenance
Palomuuri:

VLAN-verkkojen ali-interfaceihin on myös konfiguroitu palomuurisäännöt, jotka rajoittavat pääsyä tietyistä verkoista toisiin. Verkot saavat liikennöidä sisäverkossa seuraavasti:

  • VLAN10: Pääsy VLAN20.
  • VLAN20: Pääsy VLAN10.
  • VLAN30: Ei pääsyä muihin VLAN-verkkoihin.
  • VLAN40: Ei pääsyä muihin VLAN-verkkoihin.
  • VLAN99: Pääsy VLAN10, 20, 30 ja 40.

 

Jokaista VLAN-verkkoa varten on luotu uusi sääntölista (ruleset), joiden oletustoiminto on pudottaa paketit (drop).

VLAN10 sääntölista:

  • Listan ensimmäinen sääntö sallii kaikki protokollat, joiden tila on joko “Established” tai “Related”. “Established” tarkoittaa kaikkea sitä liikennettä, joka on jo assosioitu johonkin olemassa olevaan yhteyteen, jossa liikennettä on kulkenut molempiin suuntiin. “Related” tarkoittaa kaikkea sitä liikennettä, joka on seurausta uudesta yhteydestä, mutta joka on assosioitu jo olemassa olevaan yhteyteen liittyväksi.
  • Listan toinen sääntö sallii kaikki protokollat verkosta 10.0.99.0/24, eli ylläpitoverkosta (VLAN99), jolla on pääsy kaikkiin muihin VLAN-verkkoihin.
  • Listan kolmas sääntö sallii kaikki protokollat verkosta 10.0.20.0/24, eli luotetusta langattomasta lähiverkosta Pyhahima Internal WLAN (VLAN 20).

 

VLAN20 sääntölista:

VLAN20 sääntölista on lähes identtinen VLAN10:n kanssa, mutta tässä kolmas sääntö sallii kaikki protokollat verkosta 10.0.10.0/24, eli luotetusta kiinteästä lähiverkosta Pyhahima Internal (VLAN10). VLAN10 ja 20 voivat siis kommunikoida esteettä keskenään.

 

VLAN30 sääntölista:

  • Listan ensimmäinen sääntö sallii kaikki protokollat, joiden tila on joko “Established” tai “Related”.
  • Listan toinen sääntö sallii kaikki protokollat verkosta 10.0.99.0/24, eli ylläpitoverkosta (VLAN99), jolla on pääsy kaikkiin muihin VLAN-verkkoihin.

 

VLAN40 sääntölista:

VLAN40 sääntölista on identtinen VLAN30:n kanssa. Säännöissä ei ole eroa.

 

VLAN99 sääntölista:

  • Listan ensimmäinen sääntö sallii kaikki protokollat, joiden tila on joko “Established” tai “Related”.
  • Muita sääntöjä ei tarvita, sillä pääsyä ylläpitoverkkoon muista verkoista ei ole.

Lopuksi kukin sääntölista määriteltiin toimimaan kunkin VLAN-verkon ali-interfacessa seuraavan esimerkin mukaisesti:

Eli VLAN10:n sääntölistan mukaiset säännöt pätevät kaikkeen eth1.10-interfacelta ulospäin suuntautuvaan (outbound) liikenteeseen. Kyseessä on siis se liikenne, joka lähtee reitittimen virtuaalisesta interfacesta eth1.10 kyseistä VLAN10-verkkoa kohti (reitittimeltä VLAN10-verkon laitteille).

HUOM: Jotta kykenin testaamaan VLAN-verkkojen välisiä sääntöjä, jouduin ottamaan Windows 10:n palomuurin pois molemmilta eri verkoissa VLAN 10 ja 20 olevilta testikoneilta. Ilmeisesti Windowsin palomuuri estää oletuksena paketit verkoista, jotka eivät ole samassa sisäverkossa. Windowsin palomuuria varten tulee siis tehdä omat säännöt.

Hardware Offloading:

Reitittimessä on otettu laitteistopohjainen offloading käyttöön. Tällöin reititin suorittaa toimintojaan suoraan fyysistä rautaansa hyödyntäen, eikä ohjelmallisesti pelkän prosessorin toimesta.

Toiminto otettiin käyttöön SSH-yhteydellä seuraavia komentoja käyttäen:

configure
set system offload hwnat enable
commit
save
exit

Reitittimen hallinnan rajoittaminen

Oletuksena reitittimen hallintaan pääsee käsiksi kaikkien VLAN-verkkojen default gateway -osoitteista sekä reitittimen julkisesta IP-osoitteesta. Webhallinta ja SSH-yhteydet kannattaa rajoittaa siten, että niihin päästään vain hallintaverkon interfacen IP-osoitteesta.

Määritykset otettiin käyttöön SSH-yhteydellä seuraavia komentoja käyttäen:

configure
set service gui listen-address 10.0.99.1
set service ssh listen-address 10.0.99.1
commit
save

Nuo muutokset tarkoittavat sitä, että graafiseen käyttöliittymään ja SSH-yhteyteen pääsee ainoastaan eth1.99-interfacen IP-osoitteen 10.0.99.1 kautta. Tuo siis estää pääsyn julkisesta verkosta, mutta ei vielä rajoita yhdistämistä sisäverkon toisesta VLAN:ista, kunhan käyttäjä vain tietää oikean IP-osoitteen. Täydellinen eristys edellyttäisi vielä LOCAL-palomuurisäännöt kunkin VLAN-verkon interfacea varten, sillä tekemäni palomuurisäännöt interfaceihin (eth1.XX/OUT) eivät estä suoraan itse interfacelle kohdistuvaa liikennettä.


Kytkin: NetGear GS108E-300PES

Kytkimen portit on konfiguroitu NetGearin ProSafe Plus Configuration Utilityn kautta seuraavasti:

PortModeVLANs (T/U)
1AccessVLAN10 (Untagged)
2AccessVLAN10 (Untagged)
3AccessVLAN10 (Untagged)
4TrunkVLAN20 (Tagged)
VLAN30 (Tagged)
VLAN40 (Tagged)
VLAN99 (Untagged)
5AccessVLAN30 (Untagged)
6AccessVLAN30 (Untagged)
7AccessVLAN 99 (Untagged)
8TrunkVLAN10 (Tagged)
VLAN20 (Tagged)
VLAN30 (Tagged)
VLAN40 (Tagged)
VLAN99 (Tagged)

Eniten ongelmia tuotti portin 4 konfigurointi, joka toimi Trunk-porttina ja oli kiinni langattomassa AP:ssa. Ubiquitin UniFi UAP-AC-Litellä oli VLAN99-verkon IP-osoite 10.0.99.200. Siihen ei saatu yhteyttä UniFi Controller -ohjelmistosta, joka oli asennettu samassa verkossa olleelle pöytäkoneelle. Aluksi kaikkiin portin 4 VLAN-verkkoihin oli laitettu 802.1Q VLAN -tagit. UniFi AP ei kuitenkaan ollut itse tietoinen siitä, mihin VLAN-verkkoon sen tulisi kuulua, eikä siltä kytkimelle lähtevä liikenne siten kuulunut mihinkään VLAN-verkkoon. Ongelma korjaantui poistamalla tagi VLAN99-verkon liikenteestä kyseisessä Trunk-portissa 4. Sitten portin 4 PVID:ksi asetettiin 99 (native VLAN). Tällöin kaikki liikenne, jossa ei ole tagia, katsotaan kuuluvan native VLAN99:een. Yhteys UniFi Controllerin ja AP:n kanssa alkoi muutoksen jälkeen toimimaan.

VLAN-verkot eri porteissa:

PVID-asetukset kullekin portille (native VLAN):


Langaton AP: Ubiquiti UniFi UAP-AC-Lite

Ubiquiti UniFi UAP-AC-Liten AP on konfiguroitu pöytäkoneelle asennetun UniFi Controller -ohjelmiston kautta. Laitteelle on annettu staattinen IP-osoite VLAN99-verkosta.

Langattomalle AP:lle on luotu kolme WLAN-verkkoa, joista jokainen kuuluu omiin VLAN-verkkoihinsa:

Esimerkki Pyhahima Internal WLAN -verkon asetuksista:


TÄTÄ DOKUMENTTIA SAA KOPIOIDA JA MUOKATA GNU GENERAL PUBLIC LICENSE (VERSIO 3 TAI UUDEMPI) MUKAISESTI. HTTP://WWW.GNU.ORG/LICENSES/GPL.HTML
MARKUS PYHÄRANTA
Markus Pyhäranta

4 COMMENTS

  1. J-P Ilomäki Posted on June 28, 2020 at 11:06 am

    Mielenkiintoinen teksti ja auttoi jonkin verran tuossa verkon asettelussa. Tuli hankittua Ubiquiti UniFi Security Gateway -reititin eikä verkko sen jälkeen oikein toimi. Onko kokemusta Security Gateway tuotteesta

    Reply
    1. Markus Pyhäranta Posted on June 28, 2020 at 1:12 pm

      Hei,

      Ei valitettavasti ole kokemusta. EdgeRouterilla on oma hallintakäyttöliittymänsä, kun taas UniFi Security Gatewayta hallitaan UniFi Controllerin kautta. On vaikea kommentoida, miksi verkko ei toimi USG:n kanssa tietämättä tarkempia tietoja konfiguraatiosta. Vika tulisi kuitenkin rajata systemaattisesti johonkin tiettyyn konfiguraation komponenttiin, palomuurisääntöön tms. Esimerkiksi:

      – Saako reititin julkisen IP-osoitteen operaattorin DHCP-palvelimelta?
      – Reitittääkö mikään sisäverkon laite reitittimen kautta julkiseen internettiin?
      – Reitittävätkö sisäverkon laitteet keskenään?
      – Reitittivätkö sisäverkon laitteet ylipäätänsä reitittimelle asti?
      – Onko verkko segmentoitu useaan virtuaaliseen lähiverkkoon (VLAN), ja jos kyllä, niin miten ne on määritetty liikennöimään keskenään?
      – Onko välissä hallitsematon tai hallittu kytkin? Jos laitat päätelaitteen kiinni suoraan reitittimeen ja jätät kytkimen välistä, toimiiko yhteys tuolloin?
      – Oletko testannut yhteyttä pingaamalla vain IP-osoitetta, jotta tiedät, ettei kyse ole vain nimipalvelun (DNS) toimimattomuudesta?

      Oheiselta Ubiquiti-foorumilta voi yrittää kysellä lisäneuvoja ja siellä varmasti voidaan opastaa tarkemmin: https://community.ui.com/questions

      Reply
  2. Pepe Kallioinen Posted on October 31, 2020 at 3:08 pm

    Moi – ilahduin kun löysin suomenkielisen sivustosi. Olen hankkimassa Ubiquiti EdgeRouter X -reitittintä. Haluan parantaa kotiverkkomme suojausta erillisellä palomuurilla. Mutta, minulla ei ole it-alan osaamista. Siksi olen etsinyt netistä helppoa ymmärrettävää tietoa Ubiquiti-tyyppisen palomuurireitittimen asentamisesta tai pitäisikö puhua konfiguroimisesta. Tai oikeastaan etsin ihan selkeää perustietoa mitä pitää ottaa huomioon kun tällainen palomuuri otetaan käyttöön. Opastaako laitteen asennusohjelmisto mitä pitää tehdä? Kotiverkossamme on kiinteässä yhteydessä pari Applen kannettavaa, Android-televisio, Linux-pohjainen tallentava digiboksi ja wifinä Applen Airport Express. Myös pesukoneemme on wifi-yhteydessä kun sitä käytetään. Yhteys ulkomaailmaan tapahtuu kuituverkon avulla.

    Reply
  3. jaMO Posted on February 14, 2021 at 11:32 pm

    Kiitos Markus detaljeista ohjeista!

    Rakensin niihin pohjautuen taloyhtiöömme DNA Koti5G-yhteydenjaon.
    Koska halusin itselleni kaksi eth-porttia (toinen sisään ja toinen varastoon palvelimeen) jouduin käyttämään switch0, jonka konfiguroin “VLAN awareksi”, käytännössä muuten sama, mutta eth1 ja eth2 niputettiin switch0:n alle, jotta niihin sai levitettyä halutut VLANit.
    Seuraavaksi homma jatkuu Ubiquiti AP Liten saapuessa WLAN konfiguroinnilla.

    Pienen lisäyksen suosittelen tekemään, nimittäin lisäämään Firewall/NAT osioon masqueraden eli source NATin sisäverkon liikenteelle, jotta liikenne sisältä toimii myös ulospäin.

    Käytössäni on Ubiquitin 5- ja 8-porttisia kytkimiä ja niiden VLANien määrittely tuotti hieman tuskaa, mutta lopulta sekin selvisi, miten portit pitää konfiguroida Trunkiksi ja management Laniksi, jotta ne saa näkyviin Ubiquitin Controlleriin.

    Reply
LEAVE A COMMENT