Nastavení SOHO sítě

[zire]

Ahoj,

sháním zkušenější adminy, kteří by mi dali zpětnou vazbu na návrh sítě a nastavení některých souvisejících služeb. Rozsahem se bavíme o rezidenčním domě / SOHO. Netvořím to na zelené louce, bude to upgrade.

Kabeláž mám natahanou, a mám i nějakou představu, co bych zde chtěl mít zprovozněné. Něco si dokážu obstarat sám, něco ne, bude to asi trochu dobrodružné. (Tématicky to má dost široký záběr, tudíž bych za výpomoc byl ochotný i něco zaplatit, ale nevím, na koho se obrátit.)

Stav současný:

Internet mám od "wifináře", k němuž se připojuju CPE anténou. Za anténou mám starý Mikrotik router, který slouží jako gateway a wifi AP, za ním je 16x GbE switch, a do switche už je připojené vše ostatní na jedné sdílené LANce - media server, desktopy, další wifi APčka a bezpečnostní kamery.

Tohle je nevyhovující a rád bych to překopal.

Stav kýžený:

• Gateway/firewall/router:
  
  • Neadekvátní Mikrotik zahodím a nahradím silnější krabičkou. Už dávněji jsem koupil Protectli VP2420, abych na něm mohl v Proxmoxu nahodit KVMky.
  • VM 1: pfSense/OPNsense jakožto firewall, DNS resolver a DHCP server. (Kdyby eventuálně zbyl CPU výkon, tak možná později i nějaké IDS/IPS... uvidím.)
  • VM 2: Linuxový Docker host pro některé ostatní služby: Unifi Controller, Home Assistant a nějaké další. Možná i VPN endpoint, v případě, že bych volil Wireguard.
  • Tohle je pro mě zřejmě největší kámen úrazu: správné nastavení pfSense a síťových rozhraní VMek, aby si správně povídaly mezi sebou i se zbytkem sítě, a zároveň jsem tam nenatropil nějaké bezpečnostní díry.
• VLANky:
  
  • Základní koncepční otázka: nakolik se lze spolehnout, jakožto bezpečnostní opatření, na segmentaci sítě VLANkami? Je i nějaký jiný best practice?
  • Chci rozdělit současnou jednu síť na: 1. interní, 2. kamery, 3. smarthome, 4. guest. Kromě interní by každá měla být patřičně omezená, kupříkladu kamerová VLAN by měla vidět pouze na media server a nikam jinam. Switch je manažovaný Ubiquiti, měl by to umět. (Co se wifi týče, viz níže.)
  • Zajímalo by mě, zda-li je k něčemu 802.1x (bez EAP-TLS, RadSecu apod - musí si to umět povídat s "blbými" zařízeními typu kamery.)
• Přístup zvenčí: klasické téma.
  
  • OpenVPN, Wireguard, nějaký Zero Trust...?  Na co dávat pozor, v rámci hardeningu?
  • Mám přikoupit soukromou IP, nebo použít nějakou cloudovou VPSku jakožto bastion/jump server? Je to fuk?
  • Jsem rozpolcen klasicky protichůdnými požadavky na bezpečnost a snadnost použití. Líbí se mi myšlenka autentizace HW tokenem typu Yubikey. V bývalé práci to skrz PKCS11 fungovalo s SSH, ale jestli totéž půjde s VPN, mi není jasné. Možná se budu muset spokojit s nějakou jinou MFA.
• Wifi:
  
  • Kvůli sjednocené administraci, spolehlivému roamingu a i z dalších důvodů zvažuju investici do sjednocení wifi APček. Kloním se k Ubiquiti, z Mikrotiků si trochu trhám vlasy.
  • Líbila by se mi varianta tří SSID s různou mírou autentizace: "full access" (RADIUS, user+pass+certifikát), "limited" (klasické WPA s heslem), a "guest" pro všechno ostatní - pokud to budu schopný ponastavovat dle představ. Tři SSID by snad ještě měly být únosné, aby síť nezačala haprovat.

Jak vidno, je toho vcelku hodně. Je to spíš bucket list, nepočítám, že se mi všechno z toho povede nasadit, jak si teď představuju, ale rád bych to zkusil.

Uvítám jakoukoli zpětnou vazbu Ať už na jednotlivé detaily, nebo na celý koncept jako takový.

[Reklama]

[themanfromearth]

Já bych začal nákresem toho, co potřebuješ. Podle mě chceš nějaký nesmysl. Do běžné budovy přivede ISP konektivitu a v případě většího projektu dodá i nějaký ten mozek. Ten je rozvlanovaný do jednotlivých bytů a nájemníci si řeší ty svoje soho a svojí wifi.  Tvoje role jako správce budovy je nula, maximálně dodat ty kabely. Pokud tedy nechceš dělat isp přímo ty. Pak platí řečené, jen mozek je tvůj. Počítej s tím, že si každý nájemním stejně přinese router a udělá si svojí síť. Ty kamery a případně nějaký smart home nemá s rezixenční částí nic společného.

[Zopper]

@themanfromearth OP nezní, jako že to chce poskytovat dál, ale že si chce líp vyřešit svou domácí síť, ve které má i kamery, co mu hlídají vchod a garáž. Nic o nějakém poskytování připojení nájemníkům tam není.

@zire: Pokud tě to baví, chceš si s tím hrát, a jsi si jistý, že to dokážeš nastavit a udržovat tak, že Wife Approval Factor nebude problém, tak si tam dej všechno. Ale přijde mi to na domácí síť poněkud překombinované: Je riziko, že nějaký útočník bude mít přístup k ethernet portům a píchat do nich vlastní škodlivá zařízení, abys musel řešit radius? Ve firmách, úřadech a podobně určitě ano. Ale doma? A tak dál. Disclaimer: já měl kdysi podobně velké plány a nakonec jsem se zatím nedokopal ani k těm VLANům, které jako jediné mi přijdou jako rozhodně doporučeníhodné.

Nějakou veřejnou IP potřebovat určitě budeš, pokud nechceš spoléhat na server třetí strany. Teoreticky to může být i nějaká ta malá virtuálka v cloudu, jak píšeš, ale přijde mi to jako zbytečná komplikace. (A otvíráš síť pro útok z toho datacentra.) Stačí rozumný VPN protokol a nic dalšího ven nevystavovat: Wireguard vypadá celkem fajn, akorát jsem na něj přešel z L2TP, a m.j. je pro něj klientská aplikace pro iOS, která umí držet permanentní VPN "všude kromě domácí wifi".

[Zopper]

Jo a ještě poznatek: Ony všechny ty síťové krabičky typu kamery, wifi zásuvky a tak dál můžou přestat fungovat (v lepším případě, člověk to zjistí hned), nebo se začít chovat divně (horší případ, zabiješ dva týdny hledáním problému), když se nedostanou na internet. Protože si třeba nepamatují čas a pokaždé ho stahují z nějakého ntp serveru, neřeknou, že je problém, a prostě začnou počítat čas od timestampu 0 (zdravím do IKEA). Což těm snahám o izolaci taky háže klacek pod nohy.

[🇺🇦 GPU]

Kdo se o to bude starat a všechno to udržovat aktuální, nedej bože aby se to vysralo až nebudeš doma a nehrála ani televize... Jaký voser bude připojovat nová zařízení na Wi-Fi a podobně...

[Reklama]

[pepa novak]

tu je návod, ako si to urobiť sám na Ubiquiti EdgeRouterX: https://github.com/mjp66/Ubiquiti

[Jose D]

Neadekvátní Mikrotik zahodím a nahradím silnější krabičkou. Už dávněji jsem koupil Protectli VP2420, abych na něm mohl v Proxmoxu nahodit KVMky

kromě nějakých výjimek se ti nikdy nevyplatí míchat hlavní router/firewall a VM hosting na jednom fyzickém boxu.

(a když už to ze speciálních důvodů mícháš, tak se moc moc hodí out-of-band router, který tam máš pro případ maintenance virtualizačního prostředí s hlavním routerem )

Jestli ti nevyhovuje starý mikrotik, tak si tam dej nový. Ty jejich současné fanless ARM boxy jsou super, a v tebou popisovaným prostředí tím uroutuješ všechno s rezervou.

Plus bonus je, že když to uhnije, tak to 1:1 vyměníš za novější box kterej s tím bude kompatibilní a jen tam naleješ backup. V momentě nějakejch routovacích/fw virtuálek na jakémsi hardware co bylo před X lety cool jsi v případě poruchy v háji.

ten zbytek..  vlan.. venkovni pristup MFA, wifi....  asi se ti na to vyplatí založit extra posty, takhle v jednom threadu se mi do toho nechce investovat čas, protože v tom bude guláš, srry.,

[zire]

@Jan Ťulák:

@themanfromearth OP nezní, jako že to chce poskytovat dál, ale že si chce líp vyřešit svou domácí síť, ve které má i kamery, co mu hlídají vchod a garáž. Nic o nějakém poskytování připojení nájemníkům tam není.

Správně.

@zire: Pokud tě to baví, chceš si s tím hrát, a jsi si jistý, že to dokážeš nastavit a udržovat tak, že Wife Approval Factor nebude problém, tak si tam dej všechno. Ale přijde mi to na domácí síť poněkud překombinované.

Taky převážně správně. Do jistý míry mě to baví, jinak by to samozřejmě nešlo. WAF se taky snažím zohledňovat, a konec konců i Personal Approval Factor musím zohledňovat - stav perpetuální polorozbitosti eventuálně odradí sebevášnivějšího bastlíře.

Ad statická adresa: jsem tomu i nakloněn - veřejná adresa a jeden dobře zabezpečený port otevřený do světa. Řešení typu jumpserver jsem viděl v korporátních prostředích, ale přijde mi to jako přežitek - intuitivně v tom nevidím žádný extra přínos.

Jo a ještě poznatek: Ony všechny ty síťové krabičky typu kamery, wifi zásuvky a tak dál můžou přestat fungovat, nebo se začít chovat divně, když se nedostanou na internet.

V případě kamer: přes to nejede vlak ¯\_(ツ)_/¯. (Prostě fungovat budou, nebo koupím jiné.) Ostatní "hloupé" krabičky tohoto typu mě až tak netrápí, snažím se jim vyhýbat. (Myšlenka smart home je v zárodcích - uvidím, jak to dopadne.)

@pepa novak - velmi zajímavé, děkuju. Těch 250 stran je masakr, rozhodně mám co študovat. (Akorát: ZIP s DOCXem v Gitu... až jsem se orosil. )

@Jose D

kromě nějakých výjimek se ti nikdy nevyplatí míchat hlavní router/firewall a VM hosting na jednom fyzickém boxu.

Je to trochu exotika, souhlasím. Já bych to ani nenazýval bona fide VM hostingem - kdyby existovalo něco ekvivalentní pfSensu na Linuxu, tak se na celou virtualizaci samozřejmě vybodnu. Nabízí se VyOS, ale něco mi říká, že pokud se vydám touto cestou, tak si z toho za půl roku hodím mašli a stejně to nepofachá Proto tahle krkolomnost. Nevylučuju možnost, že od toho eventuálně ustoupím a že pro gateway použiju dedikované železo od renomovaného výrobce, ale prozatím si to nechávám jako variantu B.

Ad Mikrotiky - vím, že vyrábí velmi schopné produkty za super ceny. Akorát já jsem z toho jejich management UI trochu na prášky. Možná se to za ty roky nějak proměnilo, ale moc tomu nevěřím.

Ad dlouhodobá spolehlivost/trvanlivost - dobrá připomínka, beru na vědomí. Nicméně, nastavení pfSense, případně i celá virtuálka a nastavení Proxmoxu se dá backupovat stejně, jako setup Mikrotiku. Že to v případě poruchy poběží na jiném železe podle mě nevadí, dokud je stejná platforma a stejné (nebo aspoň ekvivalentní) NIC. Pokud to nebude opravdu totožný stroj, pak ani v jednom případě to nebude dokonalé 1:1, vždy tam bude potřeba nějakého dodrátovávání. Ale souhlasím, že u Mikrotiků té roboty asi bude ve finále méně.

Ad guláš - možná později založím separátní vlákna ohledně wifi a zabezpečení přístupu zvenčí.

Ad překombinovanost (obecná námitka v reakcích) - chápu. Jak jsem ale poznamenal v OP, pojímám to zeširoka a postupně to budu ořezávat. Jasné, že některé nápady poletí do koše. Zde zvažuju, které to budou.

[jjrsk]

Základní koncepční otázka: nakolik se lze spolehnout, jakožto bezpečnostní opatření, na segmentaci sítě VLANkami? Je i nějaký jiný best practice?

To dost zalezi na tom, jak moc to chces zabezpecit.

1) mas tupy switch bez managementu = chova se to jako by tam zadny vlan nebyl. Vice ruznych rozsahu na stejnem vlanu se bude chovat presne stejne. Tudiz ses zavislej na tom, jestli si zarizeni neprideli IPcko z jineho rozsahu, a pripadne jestli neotravi switch, a neziska komunikaci co nema videt tak.

2) mas switch s managementem, ktery vlany umi. Tady ses na tom uz trochu lip, protoze muzes (a mel bys) fixne per port rict, ktera vlana na nem je, nebo ktere na nem akceptujes. Ma to samozrejme ty konotace, ze pak nemuzes jen tak cokoli zapojit kamkoli. Zaroven plati, ze pokud taguje zarizeni, tak to si samozrejme muze nastavit vlanu jakou chce a pokud ji port akceptuje, tak to pojede.

3) zprovoznis si IEEE 802.1X = kazdy zarizeni se nejdriv musi vuci siti nejak autentizovat, a ty mu potom vlan muzes pridelit podle toho. Typicky k tomu potrebujes radius server. Tohle rusi ty predchozi nevyhody, pripojit to muzes kam chces a zarizeni ktere by se vzpiralo proste nebude fungovat, ale potrebujes dalsi infrastrukturu + specielne dost SOHO zarizeni to nejspis nebude vubec umet.

[.]

Podle úvodního dotazu je to nějaká běžná domácí síť, u které je aktivních možná 30 koncových zařízení max., takže proč z toho dělat vědu? Strčit tam úplně obyčejný TP-Link Archer AX20 (umí i OpenVPN server), na něm případně zapnout QoS s preferencí nějakých vybraných koncových zařízení, kde je to žádoucí a vymalováno. VLANy, firewally a další kraviny budou akorát nesmyslné komplikace o ničem.

WiFi AP přes Ubiquiti UniFi.

A samozřejmě od ISP veřejná IPv4, ideálně pevná.