Firewall pre IoT a SmartHome

Dobrý deň,
pripravujem sieť pre použitie SmartHome. Zvažujem použiť Turris Omnia, no pred tým, než investujem 300€ do routra by som sa chcel uistiť, že bude možné nastaviť firewall, tak ako si predstavujem.

Väčšina zariadení bude pripojená cez Wifi, plus niektoré zariadenia budú pripojené káblom (PC, tlačiaren, media centrum, …). Moja idea ja tá, aby som mohol mať niečo ako skupiny zariadení (môžno by to išlo cez firewall zóny?)

  1. Každé nové zariadenie bude mať by default prístup na internet, ale nie do LAN. V drvivej miere pôjde o guest zariadenia.

Manuálne, cez MAC adresu, alebo prípadne po priradení statickej adresy na danú MAC adresu v DHCP môžem zariadenie zaradiť do príslušnej kategórie.

  1. Domáca skupina - zariadenia s plným prístupom do LAN aj do WAN
  2. IoT zariadenia vyžadujúce internet - prístup na internet a v rámci lokálnej siete na konkrétnu IP adresu, kde bude bežať broker
  3. IoT zariadenia nevyžadujúce internet - prístup len na Brokera
  4. Broker samotny bude v ramci domacej skupiny, alebo bude mat vlastnu skupinu, ktora bude mat velmi podobne nastavenia.

Bude takéto nastavenie možné?

Zdar,

Podľa môjho skromného názoru je niečo takéto možné (asi ideálne využitím rôznych VLAN) pričom takmer nezáleží či to bude Turris Omnia/Mox alebo router za 50 Eur na ktorom beží Openwrt. Ak sa rozhoduješ kúpiť Turris iba z tohto jediného dôvodu tak odporúčam ísť radšej do toho riešenia za “50 Eur”. Výhody Turris OS a teda aj HW sú myslím v inom (aktualizácie, Sentinel, RAM a výkon na LXC a podobne).
Zámer, ktorý si naznačil mi príde celkom fajn. Jeho realizácia bude ale bez potrebných sieťových a Linux/OpenWrt znalostí asi komplikovanešia.

Posledný osobný názor na záver - pokiaľ je cieľom bezpečnosť tak postaviť jej implementáciu na báze MAC adries resp. statických IP alebo rezerváciách mi príde ako streliť si do vlastnej nohy hneď na štarte.

Zdravím,
VLAN bol samozrejme môj prvý nápad ak to ale chápem dobre, musel by som vysielať 4 SSID. Omnia ma samozrejme zaujala aj dalšími funkciami (najmä aktualizácie, Sentinel a OpenVPN priamo na routri), ešte som ale nedospel k rozhodnutiu na koľko sú pre mňa dôležité.

Čo sa týka znalostí, tak linux nie je problém. OpenWrt je pre mňa nová technológia a znalosti so sietariny si budem musieť dosť výrazne oprášiť. Takže som otvorený akýmkoľvek návrhom.

Cieľom je okrem bezpečnosti (aspoň základnej) sa niečo naučiť :slight_smile:

Aký je problém vysielať 4 ssid? Ešte by bola možnosť dynamickych VLAN na jednom ssid v kombinácii s 802.1x ale štyri ssid mi nepríde nič hrozné.

Asi to problém nie je. Len mi to prišlo dosť a skôr sa bojím toho, či v budúcnosti neprídem na to, že budem potrebovať ešte niečo navyše a ten počet by narastal. Ale pri hlbšom zamyslení to je asi naozaj správnejšia cesta.