Sisäverkon rakentelua

Elisan FTTH kytkimeen, jossa omana VLANinaan. Kytkimessä trunkkeina bidi-valokuiduilla kiinni WLAN-tukiasemat. Tukiasemissa virtuaalisina WLANeina omissa VLANeissaan iot-, valvonta- sunmuut laitteet toisistaan erotettuina.

Niinikään kytkimessä trunkeilla virtualisointikone 2x10G -liittymillä. Lisäksi kytkimessä kiinni toinen virtualisointikone toisessa rakennuksessa 2x10G bidi-kuiduilla.

Reitittimet, palomuurit sunmuu virtuaalikoneina, niin kuin kaikki muutkin “laitteet”. Huoltotilanteessa käynnistetään kakkosvirtualisointikone ja live-migratoidaan “palomuurit” ja “reitittimet” sinne huollon ajaksi, josta taas livenä takaisin huollon loputtua.

Kuitua joka huoneeseen ja rakennukseen. Varalla cat6a:ta.

Itellä tosiaan Edgerouter X nyt kohta pari vuotta porskuttanut keskeisenä osana sisäverkkoa ja oon ollut tyytyväinen 🙂 Uskoisinkin siis että tuolla Litellä saat parannusta hyvinkin aikaiseksi tuohon.

Työpaikan VPN ja esim tuo Netflix voi kiukustua  mikäli sulla IP vaihtelee noiden kahden linjan välillä, eli jos tuo sattuu heittelemään datapaketteja vähän vaihdellen molemmille linjoille. Melkein kannattaakin aika suorilta pistää sitten noissa reititys päälle siten että käyttelevät vain toista kaistoista niin ei ainakaan IP osoitteen vaihtelu triggeröi ongelmia. Alkuasennukseen tsekkasin vinkit aikanaan  http://thecyberfusion.com/edgerouter-x-setup-installation-diy/ ohjeesta, noilla pääs nopsaan tekemään perussetit kuntoon ja sen jälkeen tarpeen mukaan oon käyny viilailemassa porttiohjauksia tai muuta

Kerrompa omia kokemuksia omasta sisäverkosta. Itselläni on kotona KAMO, jossa Fritz!Boxin 6490 -malli. Kolmiossa oli aikaisemmin ongelmaa WLAN:n kanssa pelkän modeemin WLAN:n varassa yhdessä huoneessa toisella puolella taloa. Ongelmia esiintyi erityisesti silloin, kun jokin suoraan verkkopiuhalla modeemiin kytketty laite käynnistettiin toisella puolella taloa. Aiemmin tässä vaiheessa piti siirtyä modeemin lähettyville käyttämään läppäriä.

Hankin tähän TP-Linkin Deco M3 -MESH-laitteita 2 kpl. Fritz!Boxista otin WLAN:n pois käytöstä ja kodin langattoman verkon hoitaa tuo MESH-laitteisto. Toimivuus on parantunut huomattavasti, ja enää ei tarvitse läppärin kanssa kävellä ympäri asuntoa. 🙂 Melko yksinkertainen sisäverkko itselläni, mutta toimii nyt täysin ongelmitta!

Jos modeemi on vaihtunut , niin sinun pitää ilmoittaa uuden modeemin MAC-osoite Elisalle , että laite pääse verkkoon.

Koronakevät innoitti hieman virittelemään verkkoa. Nyt konfiguraatio on seuraava:

1. Liittymä: Elisa FTTH 1000/100, DKT päätelaite
2. Palomuuri/reitin: Siirryin pois Debianista ja asensin tilalle OPNsensen, joka on FreeBSD-järjestelmään perustuva reititin/palomuuritoimintoihin keskittyvä käyttis ja tarjoaa samalla mukavan web-käyttöliittymän. Reitittimen rautana on Shuttle DS77U3.
3. VLANeja on käytössä 5 (en yritä tässä perustella miksi)
4. Reitittimen perässä on HPE:n reitittävä PoE-kytkin
5. PoE:n perässä on Ubiquitin UAP-AC-Pro tukiasemia sekä CAT6 verkkoa
6. Lisäksi sisäverkosta löytyy kaksi NASsia ja VMWare ESXi jossa ajelen useampaakin virtuaalikonetta sekä Unifi controlleria.

Liikenne menee ethernetillä Elisan liittymästä miellyttävät 950/100 tasaisesti kellon ympäri. 

Reitittimen tarjoama OpenVPN 4096bit salauksella on myös ollut hyvin suorituskykyinen. Menee käytännössä tuon 100 Mbps mitä liittymän kaista tarjoaa eikä purkki ole vielä edes liian tiukalla kuormalla 

Joo, aikaa ja rahaa tähän on palanut ihan tarpeeksi. @sakarialanne jo aiemmin mainitsema siisti langaton mesh-ratkaisu alkaa houkuttelemaan.

Mutta eikös ne just ole parhaita harrastuksia jotka vievät kaiken ajan ja rahan 

Mulla on tähän asti ollut Cisco kaapelimodeemi sillattuna (50/10 liittymä) ja Asus RT-AC66U reititin hoitamassa reitityksen (ja rinnalla halpa reititin IOT-laitteiden liikennettä hoitamassa. Kaapelimodeemiin on myös  IPTV-boksi kytkettynä. 

Nyt minulla on on vapautumassa huawei B715 4G-purkki ja tuplalaajakaistan 4G-liittymä. Tässä paikassa jopa ruuhka-aikaan sillä pääsee 100M downloadiin, varmaan enemmänkin tulisi. Asus-reitittimessä on kuormanjako toimintoa, joka ilmeisesti jakelee “paketteja” jollain logiikalla kahden yhteyden välillä. Olen nyt testaillut tuota kuormanjakoa ja ongelmai on olut. Työpaikan kone veti Microsoft-tilin tukkoon, mutta muutin reittityssääntöjä, että käyttää vain toista yhteyttä. Oman koneen opiskeluihin liittyvän Microsoft-tilin kanssa pientä häikkää, hoitui reitityssäännöllä. Vowifi-puhelut eivät toimi, hoituisi reitityssäännöillä, IPTV pätkii kun vaihtaa yhteyttä, hoituisi….

Eli onko olemassa jotain hyväksi havaittua kuormanjako-reititintä tai vastaavaa, joka toimisi fiksummin kuin Asus (joka on reitittimenä hyvä), jotta voisi kummankin yhteyden nopeudet hyödyntää ilman pätkimisiä. Tuossa B715 on ilmeisesti “sillattu”-tila mahdollinen, mutta ilmeisesti ei ole kovinkaan hyvin toteutettu, joten kannattaako sitä laittaa sillattuun tilaan?

Kun laittaa googleen hakusanan “load balancing router” niin ainakin tällainen löytyy. Itsellä ei laitteesta ole käytännön kokemusta.

https://www.tp-link.com/fi/business-networking/load-balance-router/tl-er5120/

https://tietokonekauppa.fi/products/92501/Verkko/Reitittimet_ja_modeemit/WLAN_Reitittimet/TL_ER5120/TP_LINK_TL_ER5120_reititin_kuorman_tasaukseen_MultiWAN_Gigabit_Load_Balance_Broadband_Router

PS. TeleWellillä mennään täälläkin.

Meillä on nyt Elisan 250/50 M kuitu-eth -talolaajakaista kerrostalossa. Koko verkkorepertuaari on Ubiquitin ja sitä hallitaan Cloud Keyllä, jotta kaikki on samassa näkymässä. Verkossa on vähän sitä sun tätä:

• langalla NAS, tulostin, TV, valojen säätö, läppäri jne
• langattomasti kodinkoneita, ilmalämpöpumppu, lämmön säätimiä, luurit, täppärit jne

Verkossa on nyt vajaat 30 laitetta. Nopeutta nostettiin tänä vuonna, kun Elisalta löytyi tämä 250/Viihde-kombo ja saatiin se pienen väännön jälkeen. Nopeuteen ollaan tyytyväisiä eikä ongelmia ole ilmennyt.  Kun lisäksi on Kaapeli-tv, niin paketti on aika pitkälti kasassa.

Toimiiko vowifi-puhelut tuolla miten hyvin?

Vowifi käyttää ipsec-protokollaa, joten ohjaa kaikki ipsec-liikenne tasaimen säännöillä yhdelle yhteydelle. Tai ainakin, jos tämä on tasaimessasi mahdollista. Osassa reitittimistä käyttöliittymä saattaa olla rajoittunut ainoastaan tcp- ja udp-protokolliin, mikä ei riitä ipsecin tapauksessa.

Jos tasain ei taivu ipsec-ohjaukseen, voit toki tehdä säännön operaattorin ims-yhdyskäytävän ip-osoitteella. Mutta tämä osoite voi joskus ruma päivä muuttua, jolloin tasaussäännön joutuu päivittämään.

Nyt tuli tämän pitkän etätyörupeaman enismmäinen koronauhri. Asus-reititin tuli vanhaksi ja lakkasi toimimasta, toisin alkoi oireilemaan aiemmin mutta uudelleenkäynnistys oli se viimeinen teko. Nyt mennään poikkeusjärjestelyillä, muuta uudelle reitittimelle kuorman tasauksella olisi tarve. Asuksen jokin uudempi malli menisi, kun käyttöliittymä ja muut metkut ovat jo tuttuja. Mutta jotakin muutakin voisi säätää. Tosin reilun kuukauden kuluttua loppuu nykyinen tuplalaajakaistasoppari ja riippuu Elisasta millaista jatkoa kauppaavat. Kaapelimodeemikin alkaa olemaan iäkäs, joten sekin jossain vaiheessa menee vaihtoon. 

Totta, Huawein mobiilireitittimet eivät tosiaan taivu pelkiksi langattoman lähiverkon tukiasemiksi. Ne toimivat kunnolla ainoastaan saadessaan toimia samalla reitittimenä.

Minulla oli pari vuotta sitten käytössä hieman erikoinen kahden yhteyden systeemi. Teltonika RUT550 hoiti nopean 4G-yhteyden yksityisellä ip-osoitteella ja Huawei B315 hitaan 4G-yhteyden julkisella ip-osoittella. Molemmat reitittimet olivat samassa aliverkossa, ainoastaan eri osoitteissa.

RUT550 toimi verkon dhcp-palvelimena ja jakoi yhdyskäytävän osoitteeksi oman osoitteensa. Dhcp:tä käyttävät laitteet kytkeytyivät internettiin siis nopealla yksityistä ip-osoitetta käyttävällä liittymällä.

Parissa julkista ip-osoitetta tarvitsevassa laitteessa ip-asetukset oli tehty käsin ja yhdyskäytäväksi oli asetettu B315 osoite. Nämä laitteet kytkeytyivät internettiin siis hitaalla julkista ip-osoitetta käyttävällä liittymällä.

Koska Teltonika RUT550 langaton lähiverkko ei tahdo jaksaa kuulua kolmen huoneen päähän, käytin lisäksi vanhaa ADSL-modeemia A-Link RR24AP(i+) langattomana tukiasemana.

Kokeillessani, voisinko jättää tuon RR24AP(i+) pois ja käyttää B315 sekä 4G-reitittimenä että langattomana tukiasemana, törmäsin heti outoihin ongelmiin.

Huawei B315 suodattaa DHCP:n pois eri verkkoliitäntöjensä väliltä. Täten, B315 langattomaan lähiverkkoon kytkeytyneet laitteet eivät saaneet ip-osoitetta RUT550 dhcp-palvelimelta. Kun laitteeseen naputteli ip-asetukset käsin, se toimi myös B315 langattoman lähiverkon kautta.

Olisin varmaan tyytynyt tähän ja naputellut ip-osoitteet käsin langattomiin laitteisiin. Mutta yksi laitteista sattuu olemaan Microsoft Lumia 950, johon ip-asetuksia ei voi syöttää käsin.

Mielessä kävi myös vaihtaa nopea ja hidas sim-kortti ristiin RUT550 ja B315 välillä, mutta silloin RUT550 hoitama VPN-yhteys olisi pudonnut hitaan liittymän puolelle. B315 ei ole VPN-ominaisuutta.

Kun B315 käyttö langattomana tukiasemana epäonnistui, palasin kolmen purkin RUT550, B315 ja RR24AP(i+) käyttöön.

Tämän jälkeen törmäsin toiseen mielenkiintoiseen omituisuuteen verkossani. B315 asetuksista löytyy dhcp päälle/pois-valinta. Tämä toimii IPv4:lle. Mutta IPv6-osoitteet B315 jakaakin slaac:lla eikä dhcp:llä. Slaac:lle B315:ssa sen sijaan ei ole mitään asetusta, joten B315 jakoi edelleen IPv6 osoitteet slaac:lla.

Muissa laitteissani tämä ei olisi ollut iso ongelma, sillä niistä saa joko IPv6 kytkettyä pois päältä tai asetettua ip-asetukset käsin. Mutta Lumia 950 osoittautui jälleen ongelmatapaukseksi.

Se haki kyllä kiltisti nopean internet-yhteyden asetukset dhcp:llä IPv4:lle. Mutta IPv6:lle se otti slaac:lla B315 hitaan yhteyden käyttöön. Kun kummassakaan, ei B315 eikä Lumia 950, ole IPv6:lle mitään asetuksia, niin lopputulos oli, että yritin katsella YouTube-videoita 0,128 Mbit/s nopeudella.

Jonkin aikaa eristin Lumia 950 omaan aliverkkoonsa vanhalla Bandluxe R300 3G-reitittimellä. Purkin 3G:tä en käyttänyt, ainoastaan reititintä ja langatonta lähiverkkoa.

Nyt erillinen etähallintaliittymä julkisella ip-osoitteella on jo historiaa. Siirsin etähallinnat kulkemaan VPN-yhteyden yli ja irtisanoin hitaan liittymän.

Kommentoin tuota Ubiquiti puolta, HostFi palvelua en suosittele, ( lue: tietomurto ) sen sijaan, noi CloudKey, CloudKey 2 /2+, UDM,UDM-Pro ihan varteenotettavia, jos tykkää toki uudesta dashboardista ( oma mp: aivan hirveä)

Itseänikin puraisi 2018 Unifi kärpänen, kyllästyin wanhaan Bevanin nikotteluun, ja jatkuvaan kaatumiseen ( 70 laitetta parhaimillaan, kun ajetaan pxe imageja, proxydhcp) ongelmaksi muodostui wlanin kantama 64,5” asunnossa, on kohtia jossa ei kantamaa ollenkaan, ulkona 100 metrin päässä täydet palkit ( talo on muuten selektiivilaseilla oleva tuhti elementtitalo, kunnassa jossa miljardöörit ja miljoona omaisuuksia omistavat tappelevat yhdetä tontista. ) mutta asiaan.
Ostin 2018 ensin Unifi Ac-Ap-Liten, standalone moodissa, Maaliskuussa 2019 tuli sitten käytetty Ac-Ap-Pro, standalone modessa, pariksi  Unifi US-24 verkkikseltä 30 metrin sc-sc kuidun kanssa.

Toukokuussa sainkin CloudKeyn ja Unifi Security GateWayn, käytettyä tottakai kierrätys kunniaan.
verkon conffaus uuteen malliin, ja ihmettelemään laitteiden suorituskykyä.

Olihan tuo hidas noilla 10/ 100 / 1000 porteilla ids / ips ohjuksilla. laajakaistana kuitenkin ns. Elisa Laajakaista Super ( nykyään saunalahti kotikuitu) 250 / 50.

No sillä hitaalla purkilla jälleen heittää vesilintua, UDM ei kelpaa, ei sovi mallinsa perusteella kuvioon, UDM-Pro on saatava. ja sillä mennään tänäänkin.
Odotellaan uudempaa Unifi UDM-Pro-SE-mallia vielä saapuvaksi. Mökilläkin, kun olisi 100 / 100 kuitu tarjolla.