Sign in Subscribe

IOT seadmete segmenteerimine pfSense lahendusega

IOT seadmete segmenteerimine pfSense lahendusega
Photo by Andres Urena / Unsplash

Lugu kuidas panin seadmed mida ma ei usalda eraldiseisvasse võrku.

Miks üldse soov tekkis? Olen enda olemusest veidi paranooiline ja ei tahtnud et hiina tolmuimeja Xiaomi ja HP printer koguks infot minu “trusted” võrgust ja edastaks seda kuhuiganes nad tahavad. Koguaeg oli soov neid panna eraldiseisvasse segmenti, kus oleks need seadmed nagu puuris ja saaks ligipääsu ainult väljapoole.

Mis sai selleks tehtud:

  • Eraldiseisev VLAN tagiga 200 ja nimega IOT

Parent interface, ehk võrguinterface millega see VLAN seotud on igc0, seesama millest pritsib ka minu sisevõrk

  • Interface’ile määratud ip: 10.10.40.1 maskiga 255.255.255.0 ehk /24
  • Seadistatud DHCP vahemik 10.10.40.10 - 10.10.40.20. Meelega tegin nii et vahemik on kitsas, kuna seadmeid on vähe. DNS resolveriks on 10.10.40.1 mis lahendab nimesid müüri enda resolveri kaudu.
  • Unifi Network äppis ütlesin switchile et VLAN 200 on olemas, sellega iga pordile lisandub vlan 200 tag.
  • Kuna printer ja tolmuimeja ühenduvad võrku üle wifit siis tehtud uus SSID, SSID tehtud meelega peidetuks. Levib ainult 2,4 Ghz sagedustel
  • Iot vlani puhul tehtud müüri reeglid selliselt et sellest saaks ainult väljapoole. Enne pandud deny reeglid et ei saaks sisevõrku ja igalepoole muujale.

Esialgu tundus et kõik on korras sain tolmuimejat võrku lisatud ja printeri sain seejärel samamoodi pandud sinna võrku. Tolmuimeja toimib, läbi äppi käskluste edastamine toimib korrektselt. Printeriga aga tekkis mure, kuna minu kodus on enamasti Apple seadmed. Õunad suhtlevad printeriga Bonjour protokolli kaudu, mis sõltub väga suures osas mDNS protokollist. Mdns võrkude vahel ei toiminud.

Leidsin siin sellise lahenduse, et paigaldasin pfSensisse AVAHi package’i mis soodustab mDNSi nö sildamist VLANide vahel. Seadistuste puhul sain inspiratsioni Tom Lawrency videost. Link: https://youtu.be/HW9mUrF1ZgU?si=QGg_6MP6IjykOHcO

Avahi package sai seadistatud nii et valisin välja LAN ja IOT interface’id mille vahel hakkavad mDNS päringud liikuma, kõik muud seadistused jäetud samaks.

Lõpptulemus oli selline et Bonjour protokoll toimib ja printimine toimib.