Yritetäänpä saada täältä toimivia ja turvallisia verkon kehitysohjeita. Ongelma operaattorien IP-raja 5 laitetta/liittymä. Tässä oma kokoonpanoni: Talo on uusi kellari + 2 kerrosta, kellarissa ristikytkentäkeskus sahkökaapissa, ja ethernet-verkko kaapeloitu keskukselta koko taloon. Laitteet jotka tarvitsee IP:n: Telian Inteno DG301 ADSL-modeemi Yksi pöytä-PC Playstation Telian IPTV NAS Ubiquiti UAP-AC-PRO wifi 2 krs Ubiquiti UAP-AC-PRO wifi kellarissa Sinisellä olevat on kytkemättä, koska voin kytkeä vain 5. Eli laitteita 2 liikaa johtuen operaattorista. Oikea ratkaisu tietty olisi modeemi riittävällä määrällä portteja, ja yritysliittymä, niin ei tarvisi alkaa "kikkailemaan". Telia on operaattorini, ja heidän tekninen tuki esittää että laitetaan yhteen modeemin porttiin reititin jonka perään sitten muutama laite. Tämä pitäisi Telian ohjeen mukaan tehdä siten että kyseinen reititin-portti asetetaan siltaavaksi. Kysymys 1: aiheuttaako tämä yhden modeemin portin siltaavaksi asetus tietoturvariskin, ja jos aiheuttaa niin miten se voidaan eliminoida? F-Securen tuen kommentti asiaan on: En minäkään DMZ asetusta suosittele käyttöön. Taisivat käsittää Telialla vähän väärin. Syy miksi kysyin F-Securelta on että heidän Freedome aiheuttaa vähän netin tökkimistä, ja tähän taas F-Secure neuvoo: ota käyttöön ja määritä reitittimen IPSec VPN Passthrough -toiminto. Minulla on F-Securen Total-paketti (Safe+Freedome) PC:llä, mutta ei taida riittää kun verkossa vaikka mitä muitakin laitteita Kysymys 2: olen kuullut huhuja, että siltaus aiheuttaa siltauksen perässä olevan laitteen siirtyvän verkon ulkopuolelle, jolloin niiden hallinta esim. verkossa olevalla PC:llä tai älypuhelimella ei onnistu. Onko tämä totta? Esim. NAS on tärkeää olla hallittavissa PC:llä ja luurien appeilla koska sinne ladataan valokuvat ja videot perheen luureista, eli NAS ja PC ainakin pitää olla suoraan modeemiporteissa kytkettyinä. Jos huhu on totta, niin nämä wifi-laitteet ja TV:n ja pleikan voisi laittaa reitittimen perään, mutta tietoturva pitäisi saada säilymään.
Mikähän modeemi on kyseessä? Normaalisti kotiverkko toimii nat:in kautta jolloin modeemi yhdistää laitteet yhteen ip-osoitteeseen. Vai onko jokin syy 5:lle ulkoiselle IPsoitteelle?
Telian Inteno DG301 on modeemi. Telian tekninen tuki sanoo että heidän kuluttajaliittymään voi suoraan kytkeä 5 laitetta, ja tämä heidän modeemi on yksi viidestä, joten jäljelle jää 4 omia laitteita suoraan kytkettäväksi modeemiin. Intenossa on siis 4 porttia, ja kun Telian tuen mukaan järjestelmää voi laajentaa vain reitittimellä kytkettynä yhteen modeemin neljästä portista, niin tämä reititin-portti Intenossa on nyt se kysymys: miten se saadaan turvalliseksi kun se pitäisi sillata heidän ohjeistuksen mukaan. Tätä F-Securen tekninen tuki kommentoi: En minäkään DMZ asetusta suosittele käyttöön. Joissakin tapauksissa, esimerkiksi kotiverkoissa, sinun on ehkä avattava modeemin palomuurista porttiyhteyksiä, jotta voit muodostaa yhteyden Freedomiin. Jos modeemi tukee niin ota käyttöön ja määritä reitittimen IPSec VPN Passthrough -toiminto tutustumalla reitittimen dokumentaatioon ja seuraamalla reitittimen erityisiä ohjeita. xxx xxx Senior Technical Support Engineer F-Secure Corporation
Vaikka Intenossa on vain 4 fyysistä sisäverkon liitäntäpaikkaa, se osaa NAT-moodissa aika varmasti antaa IP-osoitteita useammallekin laitteelle. Helpoin ratkaisu ongelmaasi on tällöin ostaa gigabitin kytkin (~toistin), ja laittaa se kiinni DG301:en johonkin LAN-porttiin. Hinnat pyörii n. 40€ hujakoilla, löytyy sekä 5- että 8-porttisia (että isompiakin) malleja. Kytkin toimii ikään kuin sähköverkon 1+N jatkopistorasia, eli yksinkertaisesti vain liität talon runkoverkon Ethernet-slotit piuhoilla kytkimen vapaisiin portteihin. Osan taloverkon piuhoista voi silti myös kiinnittää suoraan DG301:een, niiden pitäisi silti olla samassa DG301:n muodostamassa verkossa (olettaen että kaikki DG301:n LAN-portit on NAT-moodissa). Kytkimen/kytkimiä voi toki sijoittaa muuallekin taloon. Olennaista tässä on varmistaa, että DG301 on konfiguroitu NAT-moodiin (eli se muodostaa oman talon sisäisen aliverkon). Tällöin DG301 varaa operaattorilta tasan yhden IP-osoitteen, ja LAN-puolelle muodostuu toinen, suojattu aliverkko. Netissä löytyi jotain konfigurointiohjeita liittyen siihen miten DG301:n neljäs portti konfiguroitaisiin siltaavaksi, mutta tämä ei ole tarpeen tässä tapauksessa.
Hyvin selitetty. Noin se käsittääkseni menee, eli Inteno vie vain yhden ulkoisen IP-osoitteen noista viidestä, ja Intenoon kytketyt muut laitteet saavat omat sisäiset IP-osoitteensa Intenolta.
Kiitos laut, tällä ohjeella toimii. Kytkin ZyXEL GS1200-8HP -8-porttisen kytkimen Intenon porttiin 3, ja Intenon porttiin 4 Telia IPTV:n koska IPTV:n ei tarvitse olla kytkimen muodostamassa verkossa. Ja Intenossa DMZ disabloituna. Aiemmin testasin mielenkiinnosta Telia IPTV Intenon portissa 4 jossa DMZ auki, mutta ei toimi, ja Telian tukikin vahvisti että se voi toimia. Kuitenkin Telian tekninen tuki ohjeisti että juuri kytkin pitäisi olla tuossa Intenon 4-portissa jossa DMZ auki. Testasin tätäkin, ja kävi niin että kun säädin DMZ auki, niin tämän jälkeen Inteno käynnistyy uudelleen, mutta minulla se ei tunninkaan odottelun jälkeen käynnistynyt vaan jouduin johdon irroittamalla käynnistämään sen ja vasta sitten DMZ oli auki. Tuo tunnin juttu huolestutti sen verran että palautin topologian tähän ensin mainittuun toimivaan tilaan: kytkin Intenon porttiin 3, Telian IPTV Intenon porttiin 4 DMZ disabloituna. Ja kaikki toimii. Sitä jäin miettimään että aiheutuuko tällä topologialla ja asetuksilla kaksi perättäistä palomuuria, jos tulee niin en ainakaan ole huomannut vielä sen oireita. [EDIT] Otin vielä kerran yhteyttä Telian tukeen, sattumalta sama tyyppi kuin joka eilen opasti ottamaan DMZ auki. Paljastui että tämä henkilö oli huolimattomuuttaan ajatellut että verkkolaajennukseni tehty reitittimellä, vaikka olin maininnut eilen moneen kertaan että tämä tehty kytkimellä. Eli asia on kunnossa ja tämän ketjun voi merkitä ratkaistuksi.
Hyvä että et jättänyt kytkintä DMZ-porttiin -- kytkimeen liitetyt talon sisäverkon laitteet kun olisivat (asia yksinkertaistaen ilmaistuna) siirtyneet DMZ-alueelle, eli olleet Internettiin päin ainoastaan kunkin laitteen oman palomuurin suojaamia. Jollei ymmärrä erittäin hyvin mitä on tekemässä, Internettiin kytketyn ADSL-modeemin *sillattuun* tai *DMZ-porttiin* ei kotioloissa kannata kytkeä kytkintä tai hubia/toistinta. Kytkimissä ei ole palomuuriominaisuutta (siinä merkityksessä missä sanaa "palomuuri" yleensä käytetään). Termeistä -- googlaa esim. "reititin kytkin toistin hub", tai katso vaikka http://www.webopedia.com/DidYouKnow/Hardware_Software/router_switch_hub.asp
Tässä vastaus viimeisimpäänkin epäilyyni, johon laut vastasikin: kytkintä käytettäessä verkkolaajennus kannattaa tehdä pitäen verkon modeemi NAT-moodissa, tällöin tämä ensimmäinen modeemi myös huolehtii palomuurista, ja päätelaitteiden on vain huolehdittavava perustietoturvasta
