Helyi hálózatnak(LAN) nevezzük az egy fizikai helyen (iroda, otthon, stb..) található összekapcsolt eszközök (routerek, switchek, szerverek, számítógépek stb..) csoportját. A LAN egyetlen szórási tartomány (broadcast domain), beleértve az adott szórási tartomány összes eszközét. A szórási tartomány azon eszközök csoportja, amelyek broadcast keretet fogadnak egymástól. (cél MAC: FFFF.FFFF.FFFF).
A szabványos 2. rétegű hálózaton a switch-hez csatlakozó összes állomás(host) ugyanannak a szórási tartománynak a tagja, a szórási tartományokat pedig csak a routerek tudják fizikailag elkülöníteni a különböző switch-eken keresztül. A switch elsődleges feladata, hogy fogadja a bejövő kereteket, majd továbbítsa azokat a megfelelő célállomásra. A switch-ek nyilvántartást vezetnek a MAC címekről, ez az úgynevezett "MAC address table", ami társítja a forrás MAC címet azzal az interfésszel, amelyen a keretet fogadta. Ez a tábla dinamikusan változik, a bejegyzések törlődnek inaktivitás esetén, egy bizonyos idő elteltével (általában 300mp) Talán egy példán keresztül kicsit szemléletesebb lesz, az alábbi képen az egyik switchem MAC táblája látható, a "0/1"-es interfészre leszűrve.

A wireless LAN-t általában a helyi hálózatok határainak kiterjesztéseként használják, hogy lehetővé tegyék a felhasználóknak a vezetékes hálózathoz csatlakozást egy hozzáférési ponton(Access Point) keresztül. Az AP kapcsolatot biztosít a vezeték nélküli és a vezetékes Ehternet hálózat állomásai között. Az AP átviteli közeg konverziót végez, a vezetékes hálózatból érkező Ethernet kereteket 802.11 keret formátummá alakítja mielőtt a vezeték nélküli hálózatba továbbítja őket, a WLAN-ból érkező 802.11 kereteket pedig Ethernet keretekké alakítja mielőtt továbbítja a vezetékes hálózat irányába.

Egy hozzáférési pontot(AP) és az általa kiszolgált/vezérelt állomások csoportját Basic Service Set-nek nevezzük:

A BSS-et az a terület határolja, ahol az AP jele még használható.Ezt alap szolgáltatási területnek (Basic Service Area) vagy cellának is nevezik. A cellában zajló kommunikáció irányítását az AP látja el, amely eldönti ki és mikor kommunikálhat. A vezeték nélküli hálózat egyetlen BSS-ből is állhat, de gyakoribb a több BSS-ből álló rendszerek megvalósítása, ahol a hozzáférési pontok valamilyen gerinchálózaton (Distribution System) keresztül kapcsolódnak egymáshoz. Ezt a több hozzáférési ponttal rendelkező topológiát kiterjesztett szolgáltatáskészlet (Extended Service Set)-ként definiálja a szabvány:

A Power Over Ethernet egyszerűsíti a csatlakoztatott eszköz adat és áramellátásának folyamatát azáltal, hogy az elektromos energiát az Ethernet kábelen keresztül biztosítja.
Ez a bejegyzés a PoE típusok közötti különbségekkel foglalkozik elsősorban az Ubiquiti eszközök vonatkozásában.

Active és Passive PoE:
PoE-kompatibilis eszközök lehetnek tápellátást szolgáltató Power Sourcing Equipment (röviden PSE) és tápellátást igénylő Powered Device (röviden PD) eszközök, illetve bizonyos esetben mindkettő. A legtöbb PSE eszköz hálózati switch vagy PoE injektor, a PD eszközök nagy része VoIP telefon, WiFi access point és IP-kamera.

Az Ubiquiti eszközök kétféle PoE kimeneti módot használhatnak:
-Active PoE: A feszültségre amelyre a fogadó eszköznek (PD) szüksége van, egyeztetve van az eszközök között. A kimeneti módok például IEEE 802.3af, 802.3at és 802.3bt
-Passive PoE: A kimeneti feszültség rögzített, nincs egyeztetés az eszközök között. A kimeneti módok például 24V, 48V és 54V.

A tűzfalak olyan hálózati biztonsági rendszerek, amelyek figyelik, nyomon követik és szabályozzák a hálózati forgalmat. Általában a bejövő, kimenő és helyi (azaz magának a tűzfalnak szánt) forgalomra vonatkoznak. A legkorábbi tűzfalak úgynevezett Stateless tűzfalak, amik az OSI 2. 3. és 4. rétegének információ alapján szűrik a csomagokat, például a forrás és cél címek vagy port számok alapján.
A Stateful tűzfal nyomon követi a kapcsolatok állapotát a forrás-cél IP , port és a kapcsolatjelzők alapján. Valójában csak a TCP kapcsolatok állapotát tudja követni, mert a TCP használ jelzőket (flag) a csomag fejlécekben. Nézzünk meg példának egy TCP alapú kommunikációt. (3-way handshake diagram) A kliens gép megnyit egy weboldalt. Amikor a tűzfal látja a kliens kezdeti csomagját, rögzíti a forrás-cél IP címeket, portszámokat és a TCP SYN jelzőt. Amikor a kiszolgáló válaszol SYN-ACK üzenettel, a tűzfal megkeresi az állapot táblázatában, hogy van-e egyező bejegyzés a kapcsolathoz. Mivel már rögzítette a SYN-t a klienstől, így a csomag edélyezett lesz. Ha a tűzfal RST vagy FIN-ACK csomagot lát, megjelöli a kapcsolat állapotát törlésre, és az ehhez kapcsolódó minden jövőbeni csomag elutasításra kerül. Az UDP folyamatok esetében nyomon követi a forrás-cél IP-címeket és portokat, és időtúllépési értéket társít az utolsó csomag alapján, hogy eltávolíthassa az elavult munkamentet az állapot táblából. Az UDM/USG a fejlettebb Stateful tűzfalat használja.

Az előző bejegyzésemben szereplő Github repo frissítése sajnos megszűnt, a Wireguard-ból azóta pedig jelentek meg új verziók, ezért némileg frissítem a leírást is, egy kicsit talán egyszerűbb telepítési módszerrel.
Illetve így egy esetleges EdgeOS firmware update után sem kell újratelepítenünk semmit, és a konfgurációnk is megmarad.

Letöltjük a telepítő scriptet szintén a Github-ról, majd futtathatóvá tesszük:
curl -sSL https://github.com/mafredri/vyatta-wireguard-installer/raw/master/wireguard.sh -o /config/scripts/post-config.d/wireguard.sh
chmod +x /config/scripts/post-config.d/wireguard.sh

Telepítsük a wireguard csomagot:
cd /config/scripts/post-config.d/
./wireguard.sh install
A script az alábbi parancsokkal használható még:
Commands:
check Check if there's a new version of WireGuard (without installing)
install Install the latest version of WireGuard
upgrade Upgrade WireGuard to the latest version
remove Remove WireGuard
self-update Fetch the latest version of this script
help Show this help
version Show the version of this tool

Options:
--no-cache Disable package caching, cache is used during (re)install

Ubiquiti Edgerouter IPv6 beállítása a Digi/Telekom hálózatán:

Én egy ER-Lite-ot használtam a beállításhoz ahol az interfészek:

eth0: WAN
eth1: LAN

A tűzfalunknak el kell dobnia minden bejövő kapcsolatot az internet felől, kivétel ez alól az established/related, icmpv6, és a dhcpv6:

configure
set firewall ipv6-name WANv6_IN default-action drop
set firewall ipv6-name WANv6_IN description 'WAN inbound traffic forwarded to LAN'
set firewall ipv6-name WANv6_IN enable-default-log
set firewall ipv6-name WANv6_IN rule 10 action accept
set firewall ipv6-name WANv6_IN rule 10 description 'Allow established/related sessions'
set firewall ipv6-name WANv6_IN rule 10 state established enable
set firewall ipv6-name WANv6_IN rule 10 state related enable
set firewall ipv6-name WANv6_IN rule 20 action drop
set firewall ipv6-name WANv6_IN rule 20 description 'Drop invalid state'
set firewall ipv6-name WANv6_IN rule 20 state invalid enable
set firewall ipv6-name WANv6_LOCAL default-action drop
set firewall ipv6-name WANv6_LOCAL description 'WAN inbound traffic to the router'
set firewall ipv6-name WANv6_LOCAL enable-default-log
set firewall ipv6-name WANv6_LOCAL rule 10 action accept
set firewall ipv6-name WANv6_LOCAL rule 10 description 'Allow established/related sessions'
set firewall ipv6-name WANv6_LOCAL rule 10 state established enable
set firewall ipv6-name WANv6_LOCAL rule 10 state related enable
set firewall ipv6-name WANv6_LOCAL rule 20 action drop
set firewall ipv6-name WANv6_LOCAL rule 20 description 'Drop invalid state'
set firewall ipv6-name WANv6_LOCAL rule 20 state invalid enable
set firewall ipv6-name WANv6_LOCAL rule 30 action accept
set firewall ipv6-name WANv6_LOCAL rule 30 description 'Allow IPv6 icmp'
set firewall ipv6-name WANv6_LOCAL rule 30 protocol ipv6-icmp
set firewall ipv6-name WANv6_LOCAL rule 40 action accept
set firewall ipv6-name WANv6_LOCAL rule 40 description 'allow dhcpv6'
set firewall ipv6-name WANv6_LOCAL rule 40 destination port 546
set firewall ipv6-name WANv6_LOCAL rule 40 protocol udp
set firewall ipv6-name WANv6_LOCAL rule 40 source port 547
set firewall ipv6-receive-redirects disable
set firewall ipv6-src-route disable
set interfaces ethernet eth0 pppoe 0 firewall in ipv6-name WANv6_IN
set interfaces ethernet eth0 pppoe 0 firewall local ipv6-name WANv6_LOCAL

Ez a bejegyzés elsősorban azoknak szól, akik WireGuard VPN-t szeretnének használni, hogy mobil eszközről elérjék az otthoni hálózatukat, illetve idegen WiFi hálózathoz csatlakozva is biztonságban szeretnék tudni személyes adataikat, amiket a böngészés során esetleg megadnak.

De mi is az a WireGuard, és miért ezt válasszam? A honlapjuk szerint: "...A WireGuard egy rendkívül egyszerű, mégis gyors és modern VPN, amely a legkorszerűbb kriptográfiát használja. Jelentősen jobban teljesít, mint az OpenVPN. Eredetileg a Linux kernelhez készült, de mostanra már sokféle platformra (Windows, macOS, BSD, iOS, Android) és széles körben telepíthető. Jelenleg még fejlesztés alatt áll, de már a legbiztonságosabb, legkönnyebben használható és legegyszerűbb VPN-megoldásnak tekinthető az iparágban..."

Nem hangzik rosszul! De lássuk hogyan teljesít a gyakorlatban.
Én eddig az Edgerouter Lite-on(ami egy 1/1Gbps optika mögött van) L2TP/IPsec VPN-t használtam, elsősorban a sebessége miatt, ami a gyakorlatban ~50Mbps-t jelentett. Ez nagyjából ötszöröse amit OpenVPN-el sikerült elérnem AES-256-CBC/SHA256 párossal. Ami viszont mindig problémás volt nálam(iOS készülékeken) mindkét VPN esetén, az alvó módból visszatérés utáni automatikus újracsatlakozás sebessége, illetve annak hiánya. Az eddig olvasottak alapján bizakodóan vágtam bele a konfigurálásba.