Příspěvky

1

Sítě / Re:Nastavení SOHO sítě

« kdy: 27. 02. 2024, 19:59:19 »

@Jan Ťulák:

@themanfromearth OP nezní, jako že to chce poskytovat dál, ale že si chce líp vyřešit svou domácí síť, ve které má i kamery, co mu hlídají vchod a garáž. Nic o nějakém poskytování připojení nájemníkům tam není.

Správně.

@zire: Pokud tě to baví, chceš si s tím hrát, a jsi si jistý, že to dokážeš nastavit a udržovat tak, že Wife Approval Factor nebude problém, tak si tam dej všechno. Ale přijde mi to na domácí síť poněkud překombinované.

Taky převážně správně. Do jistý míry mě to baví, jinak by to samozřejmě nešlo. WAF se taky snažím zohledňovat, a konec konců i Personal Approval Factor musím zohledňovat - stav perpetuální polorozbitosti eventuálně odradí sebevášnivějšího bastlíře.

Ad statická adresa: jsem tomu i nakloněn - veřejná adresa a jeden dobře zabezpečený port otevřený do světa. Řešení typu jumpserver jsem viděl v korporátních prostředích, ale přijde mi to jako přežitek - intuitivně v tom nevidím žádný extra přínos.

Jo a ještě poznatek: Ony všechny ty síťové krabičky typu kamery, wifi zásuvky a tak dál můžou přestat fungovat, nebo se začít chovat divně, když se nedostanou na internet.

V případě kamer: přes to nejede vlak ¯\_(ツ)_/¯. (Prostě fungovat budou, nebo koupím jiné.) Ostatní "hloupé" krabičky tohoto typu mě až tak netrápí, snažím se jim vyhýbat. (Myšlenka smart home je v zárodcích - uvidím, jak to dopadne.)

@pepa novak - velmi zajímavé, děkuju. Těch 250 stran je masakr, rozhodně mám co študovat. (Akorát: ZIP s DOCXem v Gitu... až jsem se orosil. )

@Jose D

kromě nějakých výjimek se ti nikdy nevyplatí míchat hlavní router/firewall a VM hosting na jednom fyzickém boxu.

Je to trochu exotika, souhlasím. Já bych to ani nenazýval bona fide VM hostingem - kdyby existovalo něco ekvivalentní pfSensu na Linuxu, tak se na celou virtualizaci samozřejmě vybodnu. Nabízí se VyOS, ale něco mi říká, že pokud se vydám touto cestou, tak si z toho za půl roku hodím mašli a stejně to nepofachá Proto tahle krkolomnost. Nevylučuju možnost, že od toho eventuálně ustoupím a že pro gateway použiju dedikované železo od renomovaného výrobce, ale prozatím si to nechávám jako variantu B.

Ad Mikrotiky - vím, že vyrábí velmi schopné produkty za super ceny. Akorát já jsem z toho jejich management UI trochu na prášky. Možná se to za ty roky nějak proměnilo, ale moc tomu nevěřím.

Ad dlouhodobá spolehlivost/trvanlivost - dobrá připomínka, beru na vědomí. Nicméně, nastavení pfSense, případně i celá virtuálka a nastavení Proxmoxu se dá backupovat stejně, jako setup Mikrotiku. Že to v případě poruchy poběží na jiném železe podle mě nevadí, dokud je stejná platforma a stejné (nebo aspoň ekvivalentní) NIC. Pokud to nebude opravdu totožný stroj, pak ani v jednom případě to nebude dokonalé 1:1, vždy tam bude potřeba nějakého dodrátovávání. Ale souhlasím, že u Mikrotiků té roboty asi bude ve finále méně.

Ad guláš - možná později založím separátní vlákna ohledně wifi a zabezpečení přístupu zvenčí.

Ad překombinovanost (obecná námitka v reakcích) - chápu. Jak jsem ale poznamenal v OP, pojímám to zeširoka a postupně to budu ořezávat. Jasné, že některé nápady poletí do koše. Zde zvažuju, které to budou.

2

Sítě / Nastavení SOHO sítě

« kdy: 22. 02. 2024, 21:04:10 »

Ahoj,

sháním zkušenější adminy, kteří by mi dali zpětnou vazbu na návrh sítě a nastavení některých souvisejících služeb. Rozsahem se bavíme o rezidenčním domě / SOHO. Netvořím to na zelené louce, bude to upgrade.

Kabeláž mám natahanou, a mám i nějakou představu, co bych zde chtěl mít zprovozněné. Něco si dokážu obstarat sám, něco ne, bude to asi trochu dobrodružné. (Tématicky to má dost široký záběr, tudíž bych za výpomoc byl ochotný i něco zaplatit, ale nevím, na koho se obrátit.)

Stav současný:

Internet mám od "wifináře", k němuž se připojuju CPE anténou. Za anténou mám starý Mikrotik router, který slouží jako gateway a wifi AP, za ním je 16x GbE switch, a do switche už je připojené vše ostatní na jedné sdílené LANce - media server, desktopy, další wifi APčka a bezpečnostní kamery.

Tohle je nevyhovující a rád bych to překopal.

Stav kýžený:

• Gateway/firewall/router:
  
  • Neadekvátní Mikrotik zahodím a nahradím silnější krabičkou. Už dávněji jsem koupil Protectli VP2420, abych na něm mohl v Proxmoxu nahodit KVMky.
  • VM 1: pfSense/OPNsense jakožto firewall, DNS resolver a DHCP server. (Kdyby eventuálně zbyl CPU výkon, tak možná později i nějaké IDS/IPS... uvidím.)
  • VM 2: Linuxový Docker host pro některé ostatní služby: Unifi Controller, Home Assistant a nějaké další. Možná i VPN endpoint, v případě, že bych volil Wireguard.
  • Tohle je pro mě zřejmě největší kámen úrazu: správné nastavení pfSense a síťových rozhraní VMek, aby si správně povídaly mezi sebou i se zbytkem sítě, a zároveň jsem tam nenatropil nějaké bezpečnostní díry.
• VLANky:
  
  • Základní koncepční otázka: nakolik se lze spolehnout, jakožto bezpečnostní opatření, na segmentaci sítě VLANkami? Je i nějaký jiný best practice?
  • Chci rozdělit současnou jednu síť na: 1. interní, 2. kamery, 3. smarthome, 4. guest. Kromě interní by každá měla být patřičně omezená, kupříkladu kamerová VLAN by měla vidět pouze na media server a nikam jinam. Switch je manažovaný Ubiquiti, měl by to umět. (Co se wifi týče, viz níže.)
  • Zajímalo by mě, zda-li je k něčemu 802.1x (bez EAP-TLS, RadSecu apod - musí si to umět povídat s "blbými" zařízeními typu kamery.)
• Přístup zvenčí: klasické téma.
  
  • OpenVPN, Wireguard, nějaký Zero Trust...?  Na co dávat pozor, v rámci hardeningu?
  • Mám přikoupit soukromou IP, nebo použít nějakou cloudovou VPSku jakožto bastion/jump server? Je to fuk?
  • Jsem rozpolcen klasicky protichůdnými požadavky na bezpečnost a snadnost použití. Líbí se mi myšlenka autentizace HW tokenem typu Yubikey. V bývalé práci to skrz PKCS11 fungovalo s SSH, ale jestli totéž půjde s VPN, mi není jasné. Možná se budu muset spokojit s nějakou jinou MFA.
• Wifi:
  
  • Kvůli sjednocené administraci, spolehlivému roamingu a i z dalších důvodů zvažuju investici do sjednocení wifi APček. Kloním se k Ubiquiti, z Mikrotiků si trochu trhám vlasy.
  • Líbila by se mi varianta tří SSID s různou mírou autentizace: "full access" (RADIUS, user+pass+certifikát), "limited" (klasické WPA s heslem), a "guest" pro všechno ostatní - pokud to budu schopný ponastavovat dle představ. Tři SSID by snad ještě měly být únosné, aby síť nezačala haprovat.

Jak vidno, je toho vcelku hodně. Je to spíš bucket list, nepočítám, že se mi všechno z toho povede nasadit, jak si teď představuju, ale rád bych to zkusil.

Uvítám jakoukoli zpětnou vazbu Ať už na jednotlivé detaily, nebo na celý koncept jako takový.

3

Sítě / Re:Doporučte firewall/router pro pfSense/OPNsense

« kdy: 15. 02. 2024, 20:07:32 »

Já zvolil právě Protectli VP2420. Taky mi není jasné, čím to nesplňuje uvedená kritéria. Leda cenou, ale zas tak daleko těm 300 EUR to není.

Uvažoval jsem velmi podobně, jako OP.
HW: aspoň 4 GbE porty, x64 s podporou virtualizace, hodně paměti, pasivní chlazení a rozumný form factor.
SW: Proxmox jako hypervisor a v něm jedna KVMka s pfSensem, a druhá KVMka s Linuxem jakožto Docker host.

Ad "zadní vrátka"/Čína: je to dražší než eBay/Ali apod., ale zas levnější než třeba Netgear. Přišlo mi to jako strpitelný kompromis. Železo je samozřejmě jasná Čína, ale tomu se těžko vyhýbá. Aspoň do toho v tom Německu ládujou Coreboot a zdá se, že si za těmi produkty stojí.

Mám to bez TPM, nevidím v tom užitek. (Potenciální alternativa: Nitrokey HSM.)

Odroid jsem v době mé koupě neměl na radaru. Možná bych byl svoji volbu přehodnotil... nevím.

Bohužel jsem i po několika měsících nebyl schopný rozchodit síťový setup, jak bych chtěl. Nekonečný čas jsem strávil sprovozňováním bondingu mezi Protectli a switchem... bez úspěchu, pak jsem na to přestal mít čas a od té doby na to padá prach Ale rád bych se k tomu eventuálně vrátil.

4

O serveru Root.cz / Re:Geniální registrační systém na root.cz

« kdy: 16. 08. 2022, 10:17:08 »

Pohlo se to nějak? Zaregistroval jsem se původně přes MojeID a už toho lituju - registrace uvízla v nějakém polohotovém stavu a teď ani nejsem schopný účet zrušit, bo prostě nemám lokální heslo. Mám pocit, že to bude analogický problém, jako zmiňoval OP.

A přihlášení na portálu mě taky nepřihlásí na fórum.