Ev Ağınızı Geliştirme: İleri Düzey Ağ İpuçları
Ev ağınızı daha verimli kullanmak, NAS cihazınızdan en iyi şekilde yararlanmak, basit bir sunucu kurmak veya akıllı ev cihazlarınızı daha iyi kontrol etmek mi istiyorsunuz? O zaman bu ileri düzey ağ ipuçları tam size göre.
Eğer makul güçlü bir yönlendiriciniz varsa ancak ayarlarında eksik olan daha gelişmiş özellikler merakınızı uyandırıyorsa, hemen yeni bir yönlendirici satın almanıza veya kendiniz bir tane inşa etmenize gerek yok. Alternatif yazılımlar bu konuda size büyük ölçüde yardımcı olabilir.
Alternatif Yönlendirici Yazılımları
- Openwrt: En eski açık kaynaklı yönlendirici yazılım projelerinden biri olan Openwrt, farklı üreticilere ait birçok yönlendirici modeline kurulabilmesi için hala geliştirilmektedir.
- DD-WRT: Bir zamanlar popüler olan DD-WRT projesi uzun süredir güncellenmemektedir.
- Tomato: Bir diğer popüler seçenek olan Tomato ise uzun yıllar önce geliştirilmesi durduruldu.
- Freshtomato: Tomato’nun bir varyantı olan Freshtomato hala geliştirilmeye devam ediyor ve mantıklı bir alternatif olabilir.
- Asuswrt-Merlin: Asus yönlendirici kullanıcıları için, Asuswrt-Merlin projesi, mevcut sistemle aynı kullanıcı arayüzüne sahip ancak bir dizi ek özellik ve ayar sunar. Bu, alternatif yazılımlara başlamanın kesinlikle en kolay yoludur.
Openwrt, VLAN ve Akıllı Kuyruk Yönetimi gibi gelişmiş hizmet kalitesi özellikleri gibi özellikler için destek sunan en yetenekli seçenektir. Ancak, kurulumu biraz daha karmaşıktır ve yeni başlayanlar için daha dik bir öğrenme eğrisine sahiptir.
Ayrı Cihazlarla Daha Fazla Kontrol
İş yerlerinde, ağın farklı bölümleri için her biri kendi görevinde uzmanlaşmış ayrı cihazlar kullanmak yaygındır. Wi-Fi için erişim noktaları, farklı cihazları (erişim noktaları dahil) Ethernet üzerinden bağlamak için anahtarlar ve yerel ağı internete bağlamak için bir yönlendirici. Güvenlik duvarları genellikle yönlendiricilere yerleşiktir, ancak ayrı cihazlar olarak da kullanılabilirler.
Bu ayrım, birleşik bir yönlendirici/anahtar/erişim noktasına kıyasla daha fazla uğraş gerektirse de, özellikle farklı türlerde çok sayıda cihazınız varsa, evlerde bile kullanışlı olabilir.
Merak ediyorsanız ve denemek istiyorsanız, mevcut yönlendiricinizi (veya bir mesh yönlendirici setiniz varsa) bir erişim noktası olarak ayarlayarak bunu nispeten ucuza yapabilirsiniz. Çoğu yönlendiricide bu ayar bulunur.
Ardından, istediğiniz herhangi bir açık yönlendirici işletim sistemini, ister elinizde bulunan eski bir bilgisayara, ister yeni ve ucuz bir bilgisayara kurun. Örneğin, Openwrt Raspberry Pi’de iyi çalışır, ancak Intel veya AMD işlemcili bir mini PC’de Pfsense veya Opnsense gibi daha gelişmiş bir işletim sistemini de tercih edebilirsiniz. İhtiyacınız olan tek şey en az iki Ethernet konektörü ve makul derecede güçlü bir işlemci. Raspberry Pi için, HAT+ adı verilen ek bir konektör edinebilirsiniz. Çift 2,5 gigabit konektörlü modeller mevcuttur.
Son olarak, bir anahtar edinin ve hem eski yönlendiricinizi veya yönlendiricilerinizi hem de yeni yönlendiricinizi ona bağlayın. Duvarınızdan gelen ve normalde yönlendiricinin WAN konektörüne bağladığınız kabloyu, yeni yönlendiricide farklı bir bağlantı noktasına bağlayın. Openwrt veya seçtiğiniz herhangi bir sistemin ayarlarında, iki konektörün sırasıyla WAN ve LAN olarak davranmasını sağlayın.
Intel NUC gibi bir mini PC’deki donanım, herhangi bir tüketici yönlendiricisine göre önemli ölçüde daha güçlüdür ve örneğin gelişmiş güvenlik özelliklerini çalıştırmayı mümkün kılar.
VLAN ile Ağınızı Bölümlere Ayırın
Eğer bugün yönlendiricinizde misafir ağı kullanıyorsanız, VLAN adı verilen bir teknolojiyle nelerin mümkün olduğuna dair bir fikir edinmişsinizdir. VLAN, ağ üzerindeki trafiği ayırarak farklı amaçlar için ayrı tutulmasını sağlar. Bu temel bir düzeyde yapılır ve yönlendiricilerde, anahtarlarda ve Wi-Fi erişim noktalarında ayarlanır.
Farklı VLAN’ler oluşturarak, farklı cihazlar farklı adres alanlarında ve güvenlik duvarında farklı kural kümeleriyle ayrı tutulabilir. Ev kullanıcıları arasında, belki de en yaygın kullanım durumu, IoT (Nesnelerin İnterneti) yani akıllı ev cihazları için bir VLAN oluşturmaktır.
Bu, bağlı bir cihazın hacklenmesi veya zaten kötü amaçlı yazılım içermesi durumunda, evdeki diğer cihazları korumayı ve internetle hiçbir ilgisi olmayan cihazlar için internet erişimini engellemeyi kolaylaştırır.
Kendi evimde, örneğin Ring gibi çeşitli üreticilerin sürekli olarak farklı müşterilerin kameralarını karıştırdığını ve müşterilerin birbirlerinin evlerinden video izleyebildiğini duyduğunuz kameralar gibi, üreticinin sunucularına bağlanmak isteyen tüm akıllı ev cihazları için interneti kapattım.
Kameralarımı yerel olarak Home Assistant akıllı ev merkezi ve Scrypted yazılımını kullanarak, Apple’ın Homekit’ini uzaktan kumanda için kullanıyorum, çünkü çeşitli az çok bilinmeyen üreticilere kıyasla Apple’a daha çok güveniyorum. VLAN olmadan, bu çok daha karmaşık ve daha az güvenli olurdu.
Bir diğer yaygın kullanım, internete açık olması gereken sunucular için sözde askeri arındırılmış bölge (DMZ)’dir. Örneğin, siz ve/veya çocuklarınız ve torunlarınızın birbirleriyle oynayabilmesi için bir Minecraft sunucusu çalıştırdığınızı ve dışarıdan erişilebilir olmasını istediğinizi varsayalım. Bir DMZ-VLAN ile, sunucunun ağın geri kalanına erişmesini engelleyecek şekilde güvenlik duvarını ayarlayarak bunu makul derecede güvenli bir şekilde yapmak kolaydır.
VLAN kurmak gerçekten süper karmaşık değil, ancak bunu nasıl yapacağınız farklı yönlendirici işletim sistemlerinde büyük ölçüde farklılık gösteriyor ve adım adım bir açıklama bu makalenin geri kalanını kaplardı. Eğer ilgileniyorsanız, kullandığınız sistemdeki VLAN kılavuzlarını, örneğin Youtube’da aramanızı tavsiye ederim.
Openwrt için, Open Source’un bu kılavuzu hem video hem de metinle harika.
Ethernet kablosuyla bağlanan cihazlarla VLAN kullanmak istiyorsanız, sözde yönetilen bir anahtar, yani ağ üzerinden erişebileceğiniz basit bir işletim sistemi ve ayarlara sahip bir anahtar edinmek iyi bir fikirdir.
Ubiquiti’nin Unifi’si, ağ meraklıları arasında popüler bir ürün hattıdır ve bu tür anahtarlara ek olarak, farklı WLAN’leri kullanacak cihazlar için ayrı kablosuz ağlar oluşturmayı kolaylaştıran Wi-Fi erişim noktaları da sunar. Bu, bağlantı kurulan cihazların internetle ve ağın diğer bölümleriyle nasıl iletişim kurabileceğine dair kuralları belirlediğiniz daha gelişmiş bir misafir ağı biçimi gibi çalışır.
Evimde, her biri farklı bir VLAN’e bağlı olan üç Wi-Fi ağı var, bunlardan ikisi sanal: biri ailenin çeşitli telefonları ve bilgisayarları için, biri akıllı ev cihazları için ve biri misafirler için. Ayrıca kabloyla yönetilen bir anahtara bağlı birkaç akıllı ev merkezi var. Anahtarın ayarlarında, bu belirli konektörleri kablosuz akıllı ev ağıyla aynı VLAN’i kullanacak şekilde ayarladım.
Söylediğim gibi, akıllı ev cihazlarının genellikle internet erişimi yoktur ve yalnızca Multicast DNS (MDNS) adı verilen bir şey aracılığıyla normal ağla iletişim kurmalarına izin verilir; bu, örneğin birisi zili çaldığında Apple’ın Homekit’i aracılığıyla güncelleme almak için gereklidir.
Pi-Hole ile Ağınızın Tamamını Reklamlardan ve İzleyicilerden Koruyun
Mobil cihazlarda ve bilgisayarlarda, reklamları ve özellikle web izlemeyi durduran içerik engelleyicileri kurmak nispeten kolaydır. Ancak TV’lerde ve diğer cihazlarda bu nadiren mümkündür. Tüm ev ağını bu tür cihazlar dahil olmak üzere etkili bir şekilde korumanın bir yolu Pi-Hole kullanmaktır.
Pi-Hole, kötü amaçlı, uygunsuz veya istenmeyen alan adlarının engellenmesiyle yerel bir DNS sunucusudur. Engelleme listelerine bir veya daha fazla bağlantı eklersiniz ve gerisini Pi-Hole halleder. Reklamcılık, izleme, kötü amaçlı yazılım, pornografi ve diğer çeşitli şeyler için özel listeler vardır. Adı Raspberry Pi’den geliyor ve çok düşük sistem gereksinimleriyle, küçük bilgisayarın eski bir modeli için harika bir kullanım durumudur.
Pi-Hole gibi kendi DNS sunucunuz olduğunda, evinizdeki cihazların diğer DNS sunucularına bağlanmasını engellemek iyi bir fikir olabilir. Bunu yönlendiricinizdeki güvenlik duvarıyla yapabilirsiniz.
Geleneksel bir güvenlik duvarı için, bu iki kural içerir. Birincisi, bağlantı noktası 53’teki TCP ve UDP üzerinden tüm trafiği engelleyen ve ikincisi, aynı trafiğe Pi-Hole hedefiyle izin veren. Bunu tam olarak nasıl yapacağınız farklı üreticiler arasında farklılık gösterir.
Asus yönlendiricilerde, Güvenlik Duvarı altındaki Ağ Hizmetleri Filtresi sekmesini kullanın. İşlevi etkinleştirin ve filtre tablosunun İzin Listesi türünde olduğundan emin olun. Ardından aşağıdaki resimde gösterildiği gibi dört kural doldurun. 192.168.0.99’u Pi-Hole’unuzun IP adresiyle değiştirin. Biraz ters çevrilmiş kurallar, Pi-Hole için bağlantı noktası 53 dahil olmak üzere tüm cihazlar için bağlantı noktası 53’teki UDP dışındaki tüm trafiği açacaktır.
Ayrıca yönlendiricinin kendisini WAN altında Pi-Hole’un IP adresini DNS olarak ve LAN > DHCP Sunucusu altında DHCP aracılığıyla bağlanan cihazlar için DNS sunucusu olarak kullanacak şekilde ayarlamalısınız.
Bu çözümün dezavantajı, sabit kodlu DNS sunucularına sahip cihazların düzgün çalışmamasıdır, çünkü kurallar yalnızca diğer DNS sunucularına olan bağlantıları engeller ve tüm DNS trafiğini Pi-Hole’a iletmez. Alternatif yazılım Asuswrt-Merlin’e geçerseniz (yukarıya bakın), bunun yerine LAN > DNS Filtresi işlevini kullanabilirsiniz. Genel Filtre Modunu Yönlendirici olarak ayarlayın ve Pi-Hole’un IP adresinden gelen trafiği filtrelememek için bir kural ekleyin.
Bugün, bazı cihazlar ve bireysel programlar ve uygulamalar, normal DNS’nizi DNS over HTTPS (DoH) tekniğiyle atlayarak normal bağlantı noktası 53 engellemeyi etkisiz hale getiriyor. Bu, bilinen DoH sunucularının bir engelleme listesiyle kısmen durdurulabilir (işte bir örnek https://github.com/dibdot/DoH-IP-blocklists/blob/master/doh-domains.txt), ancak bu bir kedi fare oyunudur.
VPN Sunucusu ile Güvenli Uzaktan Erişim
Bir NAS cihazı satın aldınız veya örneğin oyun veya medya akışı için bir tür sunucu mu kurdunuz? O zaman bunlara evde olmadığınız zamanlarda dışarıdan erişmenin mümkün olup olmadığını merak etmiş olabilirsiniz. Yönlendiricideki bağlantı noktalarını açmak, botlar sürekli olarak olası giriş noktaları için ağı taradığı için risklidir.
Daha güvenli bir yol, kendi VPN sunucunuzu çalıştırmak ve bunun için yalnızca bir bağlantı noktası açmaktır. Bazı yönlendiriciler, başlamayı kolaylaştıran ve ev ağındaki hizmetlere güvenli erişim sağlayan yerleşik bir VPN sunucusuyla birlikte gelir.
Bir dizi farklı VPN protokolü vardır. Geçmişte PPTP ve L2TP yaygındı, ancak ilki güvensiz ve daha yeni teknolojiler ikincisinden daha iyi. Bugün Openvpn ve Wireguard en yaygın olanlarıdır.
Daha yeni Asus yönlendiriciler, aralarından seçim yapabileceğiniz çeşitli farklı teknolojilere sahip yerleşik bir VPN sunucusuna sahiptir. İşte tüm trafiği tünelden göndermeden ev ağınızdaki cihazlara bağlanabilmeniz için Wireguard’ı nasıl kuracağınız.
Şimdi, cep telefonunuzdaki Wireguard uygulamasından tarayabileceğiniz bir QR kodu görüntüleyecek, böylece evinize kolayca bağlanabilirsiniz. Ayrıca, QR kodlarını tarayamayan cihazlarda bağlantıyı eklemek için ayarları dışa aktarabilirsiniz.
İsterseniz, İzin Verilen IP’leri (İstemci) 0.0.0.0/0’da bırakabilirsiniz ve bağlandığınız cihazdan gelen tüm trafik tünel üzerinden gönderilir ve ardından eviniz ticari bir VPN hizmeti gibi davranır. Bu, yurtdışında olsanız ancak evdeymişsiniz gibi göz atmak istiyorsanız veya reklamları ve diğer şeyleri engelleyen bir Pi-Hole sunucunuz varsa ve nerede olursanız olun kullanmak istiyorsanız işinize yarayabilir.
