Enda en lørdagsmorgen uten tømmermenn, ørkenkjeft og selvmedlidelse er her, og jeg har merket meg at WIFI-nettet mitt fungerer utmerket. Dette kan jeg selvfølgelig ikke leve med. Hvorfor nøye seg med noe som fungerer utmerket når en har både tid og mulighet til å gjøre det hele hundre ganger mer komplekst, og utsatt for feil?
Jeg har opp igjennom brukt utallige løsninger for mitt WIFI-nettverk. Alt fra 3-4 trådløse, gamle routere satt opp som aksesspunkter med og uten VLAN, enkle routere satt opp i forskjellige VLAN, Google WIFI, noe Cisco Meraki WIFI, og mange andre tilsvarende, dårlige konfigurasjoner. Det siste før jeg gikk over til dagens løsning var Google Wifi. Dette er i og for seg et supert produkt – enkelt å sette opp og administrere, utmerket hastighet, og meshingen er kanon. Bakdelen er at det er veldig låst. For å benytte seg av mesh-funksjonaliteten, kreves det at en av «puckene» er satt opp som en router med NAT og lignende. For de fleste er ikke dette noe problem, men for meg ble dette svært begrensende. Dette innebærer at det ikke er mulig å bruke den eksisterende nettverksinfrastrukturen til ting som DHCP, og det tar bort en del av kontrollen over eget nettverk. Heldigvis hadde min mor elendig WIFI-dekning i huset sitt, og jeg kunne derfor bli kvitt utstyret og heller gå til innkjøp av noe mer passende.
Valget falt naturligvis på Unifi. Jeg kjøpte to aksesspunkter, ett UAP-AC-LR, og ett UAP-AC-Lite-aksesspunkt. Disse er drevet av PoE, og er ment for montering i tak. Jeg har montert ett aksesspunkt i stuen, og ett i hybelen i kjelleren.
Til styring har jeg selvsagt også en Unifi Network Controller. Denne er installert på en virtuell Windows-server jeg ellers bruker til management og lignende. Dette gir meg et fantastisk brukergrensesnitt hvor jeg har full kontroll på alle enheter, og det er enkelt å gjøre endring i konfigurasjonen til alle enhetene samtidig og deretter pushe dette til aksesspunktene. Arbeidsplassen min har et lager ca 30 km fra der jeg bor, og her er det også montert et aksesspunkt som forsyner netthungrige elektrikere med Internett i lunchpausene. Dette aksesspunktet er også koplet opp mot min kontroller for enkel administrasjon og overvåking. Det hele fungerer aldeles utmerket. Unifi anbefales på det sterkeste!
Mine aksesspunkter her hjemme er satt opp til å levere 4 WIFI-nett. Hvert av disse WIFI-nettene forsynes igjen via en trunk til switchen med 4 taggede VLAN for separering av trafikk og sikring av nettverket. Et nettverk for PCer som skal ha ubegrenset tilgang til nettverket, ett for IoT, ett HotSpot for gjester, og ett eget for hybelleiligheten.
Alle nettverkene bortsett fra HotSpot-nettverket var i utgangspunktet satt opp med WPA, HotSpot-nettet var åpent med en Captive Portal der du må bruke en kupongkode for å få tilgang i 4 timer. Alt dette fungerte utmerket, men jeg ville gjerne sikre nettet enda litt mer. Heldigvis har Unifi støtte for Radius og WPA-Enterprise.
Som Radius-server bruker jeg NPS (Network Policy Server) på en domenekontroller. Dette er innebygget i Windows, og er en lek å sette opp.
Enkelt forklart må man etablere et tilitsforhold mellom Radius-serveren og aksesspunktene. Dette gjøres ved å legge inn IP/Hostname på aksesspunktene i NPS, samt å opprette en delt nøkkel som bare Radius og aksesspunktene vet hva er.
Jeg har lagt inn Unifi-kontrolleren også, ikke sikker på om dette er nødvendig men det kan umulig skade.
Sertifikater er også en viktig del av dette, og siden jeg allerede har en PK-Infrastruktur på plass med en CA som utsteder sertifikater til alle enheter internt i nettverket bestemte jeg meg for å bruke denne. Når en enhet logger på for første gang og er medlem av AD-domenet her hjemme har den allerede root-sertifikat fra min CA, og stoler på sertifikatet fra Radius. Er klienten ikke domenemedlem må root-sertifikatet først installeres/bekreftes.
Når konfigurasjonen i NPS er ferdig gjenstår det bare å opprette en Radius-profil i Unifi Controller, og aktivere dette som godkjenningsmetode for de netverkene jeg ønsker.
