家庭网络改造!

新年好!

除夕早上起来发现有未知设备连接到局域网中,估计是哪个亲戚来串门,用万能钥匙之类的软件把密码分享出去了。未知设备是两个机顶盒和一部电视机,手动微笑。

随着家里IoT设备的不断增多,原有的单ssid已经满足不了原来越复杂的使用和安全需求了。尤其是当密码泄露后重新设置ssid或(和)密码,二三十个IoT设备逐个修改配置无疑非常麻烦。

于是何不正好趁着这次机会,好好优化一下家里的无线网络?

基于IoT设备的安全考虑,决定建立一个IoT专用ssid,将IoT设备、网络打印机、网络附加存储都连接到这里,这个ssid可以直接放到br-lan。

基于密码被分享后的安全隐患考虑,将访客网络独立出来,放到一个新建的、与br-lan接口网段不同的另一静态接口br-guest,将这个接口绑定到新建名为guestzone。使用luci-app-sqm以及simplest.qos对br-guest限速。

最后是自用的不限速无限制的ssid。

除了访客网络以外,其它设备都下发ipv6地址。

接口配置
接口配置

配置802.11r方便在不同的ap之间切换;配置802.11w加密管理帧;802.11w我没开强制使用,因为强制加密后用于测试的三部华为手机均无法连接,小米8/8lite/9/9se、红米k20、surface pro6均能正常连接。此外,MIUI漫游策略非常不积极,我感觉像是能用就不切换,信号强度掉到-75bBm也不会切换,即使旁边有另一个-25dBm的强信号 。不像华为那样对使用了802.11r fast transition的AP切换得非常积极(常常-65bBm就切换了)。

继续手动微笑。

802.11r配置
802.11r配置

小米9se MIUI11 802.11r漫游测试结果(长图,点击打开)

小米9se Pixel Experience 漫游测试(长图,点击打开)

使guestzone区域仅接受传出;将数据转发到wan区域;丢弃guestzone向其它任何区域发送的去往192.168.0.0/16地址块的全部数据包。

luci实在方便,简单的控制规则可以比较友好地配置,不用手写iptables。

防火墙guestzone区域
防火墙guestzone区域
iptables
iptables

最后把zerotier的POSTROUTING链来源限制到lan内。

发表评论

发表评论

*

÷ 1 = five