Alternativní firmware ve spínačích Sonoff

Prvním předpokladem pro napojení Sonoff produktů na HomeAssistent je nahrání modifikovaného firmware Sonoff-Tasmota, který jsem již důsledně popsal. Pokud jste to zatím neudělali koukněte na článek a vrhněte se na to.

Alternativa alternativy – ESPHome

Sonoff-Tasmota je skvělý firmware, ale není jediný. Poměrně mladší ESPHome je čistě orientovaný na integraci pro HomeAssistent, což sebou přinaší určité plusy i mínusy. Minimálně pro přehled doporučuji se kouknout i na tuhle alternativu popsanou v 6. části. 

MQTT – Mosquitto broker

Druhým předpokladem je instalace MQTT brokeru, který hraje roli určitého prostředníka mezi firmwarem Sonoff-Tasmota a HomeAssistantem a to za pomocí technologie MQTT, která je navržena speciaálně pro IoT.

Pokud máme HomeAsisstant nainstalován jako Hass.io docker image (více o tomhle typu je v předchozím díle) je přidání MQTT brokeru hračka.

V hlavním menu HomeAssistanta najdeme Hass.io a přepneme se do modulu Add-On Store.

V menu pak máme hned dvě možnosti:

1. Mosquitto broker – rozšíření z oficiálního repozitáře, které obsahuje Mosquitto MQTT brokera.
2. MQTT Server & Web client – rozšíření z komunitního ropozitáře, které kromě Mosquitto MQTT brokera obsahuje také webové rozhraní Hivemq pro monitorování a posílání MQTT zpráv.

My si zatím vybereme možnost první, i když druhá možnost je zajímavější. Museli bychom ale nastavit SSL komunikaci, což plánuju sepsat v samostatném článku o vzdáleném přístupu, kde už je to nutnost.

Pokud se nyní pokusíme k MQTT brokeru připojit tak dostaneme chybu Not authorized to connect.

Nyní máme dvě možnosti:

1. použijeme přihlašování do MQTT stejné jako do HomeAssistant
2. nadefinujeme speciálního uživatele, které se použije pro MQTT v konfiguraci addonu

Pro první možnost nic upravovat nemusíme – jen použijeme správné uživatelské jméno a heslo. U druhé možnosti změníme konfiguraci:

{
  "logins": [
    {
      "username": "nasuzivatel",
      "password": "naseheslo"
    }
  ],
  "anonymous": false,
 ...
}

V sekci logins nastaveníme username a password. 

Po použité správného uživatelského jména a hesla bychom již měli být schopni se k brokeru připojit.

Alternativní MQTT

Pokud z jakéhokoliv důvodu nechcete využít addon HomeAssistanta a máte NAS server od Synology, pak se koukněte na článek jak na to v tomhle případě.

Nastavení Sonoff-Tasmota

Připojíme se na webové rozhraní Sonoff-Tasmota konkrétního zařízení, které chceme nastavit. V menu pak vybereme Nastavení -> Nastavení MQTT.

Do pole Server vyplníme IP adresu Mosquitto brokeru (HomeAsistenta). Port můžeme nechat tak jak je, pokud jsme ho nezměnili v konfiguraci addonu a do pole uživatel/heslo vypníme učet pod kterým jsme nastavili MQTT zprávy.

Pole Topic nastavíme unikátně v rámci všech přístrojů a budeme ho potřebovat hned v dalším kroku pro nastavení HomeAsisstenta.

Nastavení uložíme a jdeme na další krok.

Konfigurace HomeAssistenta

V případě Hass.io máme v podstatě dvě možnosti

1. Použití addonu s webových rozhraním pro konfiguraci
2. Použití addonu na nastavení sdílení složky s konfigurací

Konfigurace přes webové rozhraní

Podobně jako jsme doinstalovali addon pro MQTT můžeme doinstalovat webové rozhraní pro konfigurátor. Najdeme ho v oficiálním repozitáři pod názvem Configurator.

Pro úspěšný start budeme muset změnit v CONFIG sekci heslo (atribut password) a pro jistotu zkontrolujte i povolené sítě:

 "allowed_networks": [
    "192.168.0.0/16",
    "10.2.1.0/24"
  ],

Poté už stačí jen kliknout na Open Web Ui, zadat uživatelské jméno a heslo a UI se načte.

V levém horním rohu klikněte na ikonku složky a najděte soubor configuration.yaml. Tohle je hlavní konfigurační soubor celého HomeAssistenta.

Konfigurace přes sdílenou složku

Instalace sdílení je možné opět udělat pomocí addonu Hass.io. V oficiálním repozitáři si najdeme balíček Samba.

Před úspěšným startem budeme potřeba opět změnit sekci CONFIG a konkrétně nastavit heslo (password) + síť (allow_hosts).

{
  "workgroup": "WORKGROUP",
  "username": "hassio",
  "password": "hassio",
  "interface": "",
  "allow_hosts": [
    "10.2.1.0/24"
  ]
}

Po startu bychom již na svém počítači měli vidět v okolních počítačích i stroj na kterém běží HomeAssistant – v mém případě orangepizeroplu. Pro přihlášení použijeme uživatele a heslo z konfigurace addonu.

Ve sdílené složce s názvem config pak nejdeme všechny potřebné soubory. Jak bylo zmíněno výše pro nás je hlavním souborem configuration.yaml.

Výhodou použití sdílení je souborový přístup k souborům z počítače na kterém pracujeme – můžeme tak například použít náš oblíbený editor – např. Visual Studio Code.

Nevýhou však je, že narozdíl od webového konfigurátoru nám editor zajistí pouze základní syntaktické chyby – webový toho umí odhalit více -> tohle už neplatí, jak popisuji v článku, je možné nyní použít plugin do Visual Studio Code a základní kontroly a navíc doplňování bude fungovat.

Přidání MQTT do HomeAssistenta

Že MQTT broker funguje jsme si vyzkoušeli výše. Nastavíme tedy jeho konfiguraci do HomeAssistanta tak aby s ním uměl komunikovat.

Jak vidíte níže, některé hodnoty začínají řetězcem !secret. Je to z toho důvodu, že tyto hodnoty uložíme do jiného souboru secrets.yaml. To se hodí zejména pokud chceme konfigurací s někým sdílet a vyvarujeme se tak sdílení i přihlašovacích údajů.

mqtt:
    broker: !secret mqtt_broker
    port: !secret mqtt_port
    client_id: home-assistant
    keepalive: 60
    username: !secret mqtt_username
    password: !secret mqtt_password
    birth_message: 
        topic: "tele/hass/LWT"
        payload: "Online"
        qos: 1
        retain: true
    will_message:
        topic: "tele/hass/LWT"
        payload: "Offline"
        qos: 1
        retain: true

Po úpravě konfiguračního souboru je potřeba HomeAssistent restartovat a funkčnost propojení si můžeme otestovat pomocí Subscribe na všechny zprávy a měli bychom vidět tzv. birth_message z HomeAssistenta.

V nastavení a Integraci bychom pak měli vidět položku MQTT: configuration.yaml, což nám říká, že používáme integraci přes konfigurační soubor.

Update: Alternativní způsob přidání MQTT do Hass.io

Po shlédnutí videa o budoucnosti HomeAssistenta jsem si všiml jedné věci, že u některých služeb jde nově integraci přidat přímo v Nastavení namísto nutnosti ruční konfigurace v Configuration.yaml. Naštěstí toto se týká i addonu pro MQTT.

Pokud máte tedy přidán MQTT jak je popsáno výše měli byste v menu Nastavení -> Integrace vidět v sekci Objeveno i položku MQTT s tlačítkem Konfigurovat.

Po kliknutí na konfigurovat se objeví následující dialog:

který potvrdíme pomocí Submit. Položka MQTT se nám pak ihned přesune do sekce Zkonfigurováno a co je super, že není potřeba restartovat HomeAssistent. Do budoucna by takovýchto integrací „na kliknutí“ mělo přibývat, což je supr.

Přidání tlačítka do HomeAssistanta

Už máme nastaveno téměř vše kromě propojení MQTT zpráv ze Sonoff firmwaru a HomeAssistenta.

Původně jsem zde měl řešení s manuální konfigurací, které už je z dnešního pohledu poněkud zbytečně zdlouhavé, jelikož Tasmota přímo podporuje automatické přidávání zařízení do HomeAssistanta.

Jedinou věcí co je pro to potřeba udělat je nastavit přes konzoli Tasmoty tento příkaz:

SetOption19 1

Jakmile toto uděláme najdeme v HomeAssistantovi v menu Nastavení / Integrace sekci MQTT broker:

… a po kliknutí uvidíme všechny automaticky zaregistrované zařízení pod tímto brokerem.

Po rozkliknutí konkrétního zařízení pak můžeme vidět i všechny entity, které byly automaticky vytvořeny. Například na obrázku níže se jedná o seznam pro Sonoff Basic běžící na Tasmotě:

Původní manuální řešení

Tuto sekci zde nechávám v případě potřeby přidat zařízení manuálně.

To uděláme v sekci switch – kde jsou definovány přepínače. U nastavení zpráv je důležité zejména správě nastavit tzv. topic, který jsme nastavovali v Sonoff firmwaru. Ten dáme doprostřed definice všech topiců pro HomeAssistenta.

Zároveň v závislosti na verzi a jazyku Sonoff firmwaru se může lišit formát payloadů pro zapnutí a vypnutí a také texty oznamujicí návratový stav. Níže uvedené konfigurace je platná minimálně pro verzi 6.3.0 v české verzi.

switch:
    - platform: mqtt
      name: "lamp_bed_right"
      state_topic: "stat/sonoff-01/RESULT"
      value_template: '{{ value_json["POWER1"] }}'
      command_topic: "cmnd/sonoff-01/POWER"
      availability_topic: "tele/sonoff-01/LWT"
      payload_on: "ON"
      payload_off: "OFF"
      payload_available: "Aktivní"
      payload_not_available: "Neaktivní"

Jelikož jsme měnili konfigurační soubor zrestartujeme HomeAssistenta a nyní už bychom měli vidět novou sekci spínač a v ní novou položku. Pomocí přepínače vpravo pak můžeme zapínat / vypínat Sonoff spínač.

Toliko k obecnému postupu napojení Sonoff produktů. Pokud Vás to zaujalo a nevíte, který konkrétní produkt si vybrat pak koukněte na mé souhrny – 1. část a 2. část.

Konfigurační soubor obsahující vše zatím popsané v této sérii článků můžete zkouknout na mém Github repozitáři.

V další části už třetí jsme se podívali jak to celé propojit s ekosystémem a hlasovým ovládáním od Applu, tj. na Homekit.

Kompletní série o HomeAsistantovi obsahuje následující články:

• 1. část – Instalace HomeAsisstent
• 2. část – Integrace Sonoff s firmware Sonoff-Tasmota
• 3. část – Integrace Homekit
• 4. část – Integrace Sonoff s firmware Sonoff-Tasmota – 2 část
• 5. část – Integrace s Wemos D1 a senzory teploty
• 6. část – Integrace Sonoff s firmware ESPHome
• 7. část – Integrace Sonoff POW s firmware ESPHome
• 8. část – Integrace LED Magic Home s firmware ESPHome
• 9. část – Integrace Xiaomi Mijia a Aqara
• 10. část – Integrace vlastní Zigbee gateway
• 11. část – Vzdálený přístup do Hass.io z Internetu
• 12. část – zobrazení senzorových data pomocí InfluxDB a Grafany
• 13. část – Hass.io Add-ony, které používám
• 14. část – Integrace Xiaomi Mi Flora
• 15. část – Integrace Withings (Nokia)
• 16. část – náhrada SQLite databází MySQL
• 17. část – HACS Add-ony – instalace a konfigurace
• 18. část – Integrace Sonoff s firmware eWeLink
• 19. část – nová integrace Sonoff pro HA
• 20. část – měření spotřeby
• 21. část – automatické zálohy a obnovení ze zálohy
• 22. část – napojení hlasového asistenta Amazon Alexa
• 23. část – automatické zálohy na síťový sdílení disk (Samba)
• 24. část – Bluetooth zařízení a ESPHome proxy
• 25. část – nefunkční aktualizace HomeAssistanta
• 26. část – integrace SwitchBot produktů
• 27. část – integrace fotovoltaiky Growatt

The post Centrum chytré domácnosti – HomeAssistant (Hass.io) – 2 část – Integrace Sonoff appeared first on blog.vyoralek.cz.

Pokud zatím netušíte co šifrované připojení přes VPN je, pak si nejprve zkoukněte starší článek Bezpečně na internetu – připojení přes VPN.

Článek popisuje nastavení pro službu NordVPN, nicméně lze použít i obecně, jelikož využívá velmi rozšířenou OpenVPN službu.

Vypnutí VPN serveru

Pokud jste na NASce službu OpenVPN serveru nepoužívali, pak můžete tuhle část přeskočit.

Jelikož na Synology nelze mít OpenVPN službu zároveň jako klienta (NordVPN používá tento mód) a server bude potřeba nejprve vypnout službu OpenVPN serveru pokud ji máte aktivovanou.

To můžete zjistit v Centrumu balíčku a vyhledáním „VPN“. Balíček buď vypněte a nebo úplně odinstalujte.

Přidání VPN profilu

1. Spustíme si ovládací panely -> „Síť“ a záložku „Síťové rozhraní“, kde klikneme na „Vytvořit“ -> „Vytvořit profil VPN“.

1. Na další obrazovce zvolíme možnost třetí, tj. OpenVPN s importem konfigurace z .ovpn souboru.

1. Soubor .ovpn získáte z archívu https://nordvpn.com/api/files/zip ve kterém je nyní aktuálně přes 8tis. položek.

Českých serverů je v seznamu 30 přičemž vždy ve variantě přes TCP a UDP – obecně je doporučována spíše varianta UDP – a jeden tedy zvolíme.

1. Vyplníme libovolně název profilu a zadáme uživatelské jméno a heslo, které používáme k přihlašování na NordVPN službu. Pomocí procházet pak přidáme konfigurační soubor z předchozího kroku.

Certifikát ani pokročilé funkce vyplňovat nemusíme a můžeme tak kliknout na „další“.

1. Zatrhneme všechny možnosti – ve stručnosti přesměrujeme veškerý provoz na šifrované připojení, umožníme použítí tohoto připojení i ostatním zařízením a povolíme znovupřipojení při přerušení.

Navázání šifrovaného připojení

V seznamu Síťových rozhraní nám přibyde nová položka s VPN a stačí už jen kliknout na připojit.

Po připojení vidíme základní údaje a pokud by došlo k přerušení měla by se automaticky VPNka obnovit – mám vyzkoušeno a funguje to výborně.

Alternativní řešení

Existuje i alternativní cesta a to nastavit šifrované připojení už na úrovni routeru, tedy nejbližší brány do Internetu a pak nemusíte nastavovat VPNky na všech jednotlivých zařízeních zvlášť, ale pouze jednou právě na routeru.

Nicméně je potřeba mít poněkud sofistikovanější a výkonější router, který funkci VPN klienta zvládá, což zatím nemám. Pokud by se to v budoucnosti změnilo tak o tom sepíšu bližší informace.

Btw. NordVPN má ještě stále akci na 66% slevu při objednávce na 2 roky přesto tento link – za sebe mohu s klidným svědomím doporučit.

The post Šifrované OpenVPN připojení na NAS Synology appeared first on blog.vyoralek.cz.

Instalace z balíčků

Mosquitto není součástí standardních balíčků a tak pokud jsme to už neudělali dříve musíme neprve přidat zdroj balíčků ze stránek synocommunity.com

V seznamu balíčků si pak najdeme Mosquitto a nainstalujeme běžným způsobem. Po instalaci bude služba ve stavu „Zastaveno“ a pokud se ji pokusíme ručně spustit tak dostaneme informace, že „Služba balíčku nebyla spuštěna“.

Úprava skriptu pro úspěšný start

Přihlasíme se přes ssh klienta na Synology a do shellu dáme následující příkazy:

cd /var/packages/mosquitto/scripts
sudo vi start-stop-status

a ve skriptu start-stop-status zakomentujeme řádek s názvem uživatele:

#!/bin/sh

# Package
PACKAGE="mosquitto"
DNAME="Mosquitto"

# Others
INSTALL_DIR="/usr/local/${PACKAGE}"
PATH="${INSTALL_DIR}/bin:${PATH}"
#USER="mosquitto" <--- TENTO RADEK ZAKOMENTUJEME
MOSQUITTO="${INSTALL_DIR}/sbin/mosquitto"
PID_FILE="${INSTALL_DIR}/var/mosquitto.pid"
CFG_FILE="${INSTALL_DIR}/var/mosquitto.conf"

Vrátíme se do menu s balíčky a pokusíme se spustit službu znovu a nyní by už mělo být vše vpořádku

Konfigurace

Ukážeme si jak změnit nastavení tak, aby bylo nutné se k MQTT přihlašovat pomocí uživatelského jména a hesla.

Hlavní konfigurační soubor mosquitto.conf se nachází ve složce /usr/local/mosquitto/var a upravíme jej takto:

allow_anonymous false
password_file /usr/local/mosquitto/etc/mosquitto/pwfile

Oba klíče by už v souboru měly být, takže je stačí odkomentovat a nastavit hodnoty.

Přepneme se do adresáře /usr/local/mosquitto/bin a zadáme příkaz:

sudo ./mosquitto_passwd -c /usr/local/mosquitto/etc/mosquitto/pwfile <uzivatel>

a poté budete vyzváni k zadání hesla.  Pro aplikování změn zrestartujeme Mosquitto prostřednictvím správce balíčků.

Otestování konfigurace

Pro odzkoušení, že jsme vše nastavili správně potřebujeme nějakého MQTT klienta. Já používám MQTT.fx, který je multiplatformní a poměrně dobře se s ním dělá.

Nejprve nastavíme parametry MQTT Brokeru a vyplníme i záložku „User Credentials“, kam zadáme jméno uživatele a heslo, které jsme si vygenerovali výše.

Pokud vše funguje měli bychom po stisknutí na „Connect“ vidět vpravo zelenou bublinu.

Status si můžeme ověřit i pomocí obrazovky „Broker Status“.

Abychom si vyzkoušeli i opačný scénář, tj. že v případě špatných přistupových údajů se nebudeme schopni na MQTT brokera napojit změníme konfiguraci na nesprávný údaj v uživatelském jméně nebo hesle.

Měli bychom dostat informaci, že uživatel nebyl autorizován a spojení bylo odmínuto – červená bublina vpravo.

The post MQTT server Mosquitto na NAS Synology appeared first on blog.vyoralek.cz.

Pro tento účet na protokolu TCP/IP slouží tzv. DNS – Domain Name Server, který při zadání textové adresy vrátí zpět aktuální číselnou IP adresu. Všichni to známe z prostředí Internetu, kde do prohlížeče nedatlujeme IP adresy serverů, ale hezké textové url.

Jak si takovou funkcionalitu nastavit pro domácí síť si nyní popíšeme v příkladě použití NAS serveru od Synology.

Instalace DNS Serveru

V Centrumu balíčků Synology bychom měli mít už v základu možnost instalace balíčku DNS Server. Na ten klikneme a dalším krokem už je rovnou konfigurace.

Konfigurace DNS Serveru

Vytvoření lokální domény

Prvním krokem bude vytvoření lokální domény. Určitým standardem je pojmenovat tuto doménu jako „local“.

Pokud potřebujeme můžeme si ji rozšířit i o subdoménu, např. „flora.local“. Pak budou mít všechny stroje v této doméně adresu jako např. „server.flora.local“.

Pokud si subdoménu nepřidáme, pak to bude rovnou „server.local“.

Otevřeme si aplikaci DNS Server a klikneme na „Zóny“/ Vytvořit / Hlavní zóna a vyplnímě následující:

• Typ domény – předávací zóna
• Název domény – local, nebo cokoliv dle našeho uvážení
• Hlavní server DNS – IP adresa NAS Synology
• Necháme zatržené jen „omezit aktualizaci zóny“

Nastavení předávání DNS

Jelikož budeme zřejmě chtít zachovat překlad adres nejen pro naši lokální doménu, ale i pro celý Internet, je potřeba nastavit ještě předávání dotazů na další DNS servery.

Celý princip je jednoduchý – DNS dotaz se nejprve předá na internet a pokud se korektně nezpracuje pak se ho pokusí vyhodnotit náš DNS server. Internetové adresy jsou tak přeloženy pomocí DNS serverů na internetu a naše lokální naším lokálním DNS serverem.

Klikneme na záložku „Překlad“ a nastavíme:

• Povolit služby překladu – ano
• Povolit předávání – ano
• Předávání 1: První DNS server z internetu – typicky DNS server vašeho poskytovatele připojení k Internetu
• Předávání 2: Druhý DNS server z internetu – můžeme použít například veřejné DNS servery Googlu – 8.8.8.8 nebo 4.4.4.4
• Zásady předávání – nejdříve předat

Přidání DNS záznamů

DNS Server máme nastavený, ale ještě budeme muset přidat ručně mapování IP adres na textové formy.

To uděláme kliknutím na naši doménu v přehledu zón, kde vybereme „Vytvořit“ a zvolíme typ záznamu.

Pro většinu účelu si vystačíme s třemi typy:

1. A – základní mapování textové hodnoty na IP adresu
2. CNAME – „alias“, tímto typem můžeme přiřadit více textových hodnot jednomu zařízení, bez toho abychom museli neustále psát IP adresu – což se hodí v případě změny IP adresy
3. NS – odkaz na DNS server

Příklad přidávání záznamu typu A

Nastavení klientské strany

Jakmile máme server nastavený, potřebujeme ještě nastavit aby klientské počítače toto DNS začaly defaultně používat, což můžeme udělat dvěmi způsoby:

1. Pomocí nastavení DNS serveru v DHCP pokud jej používáme.
   
2. Ručním nastavení na klientské straně – v sekci DNS ručně napíšeme IP adresu našeho DNS serveru
   

Otestování funkčnosti

Pro testování DNS je zřejmě nejlepším prostředkem konzolová aplikace „nslookup“, kterou byste měli mít na svém PC/laptopu už v základu.

Prvním užitečným příkazem je „server“, který nám vrátí výchozí DNS server – pokud je vše dobře nastavené, měli bychom dostat IP adresu NAS serveru.

nslookup
> server
Default server: 10.2.1.11
Address: 10.2.1.11#53

Druhou možnosti je zadání textové hodnoty zařízení v síti a měli bychom dostat jeho IP reprezentaci a plný název (vč. domény).

> router
Server:		10.2.1.11
Address:	10.2.1.11#53

Name:	router.local
Address: 10.2.1.1

Zároveň můžeme zkusit dotaz na nějaké webový server na Internetu a měli bychom održet tzv. neautoritivní odpověď.

> blog.vyoralek.cz
Server:		10.2.1.11
Address:	10.2.1.11#53

Non-authoritative answer:
Name:	blog.vyoralek.cz
Address: 185.28.101.94

The post Lokální DNS server na Synology NAS appeared first on blog.vyoralek.cz.

Co budeme potřebovat?

Základním předpokladem je, že musíme mít AP/Router, který vůbec WPA Enterprise ověřování podporuje. Pokud používáte zařízení od Ubiqiti pak se celé řešení zjednodušuje díky Unifi controlleru, který umí nastavit všechny AP z jednoho místa.

Druhým předpokladem je RADIUS server na síti. Možností jak ho zprovoznit je opět více, např. jako servisu na routeru Ubiquiti USG, na NAS serveru od Synology, jako službu na Windows Serveru atd.

[eckosc_status_message title=“Upozornění“ icon=““ type=“warn“ message=“Nezapomeňte, že musíte všechny AP, které budou RADIUS používat pro ověřování přidat do seznamu klientů RADIUS serveru“]

Níže uvedený návod je pak pro produkty od Ubiqiti, nicméně princip je poměrně obecný a odlišnosti by neměly být velké.

Vytvoření nové WiFi s WPA Enterprise ověřováním

Spustíme si Unifi controller, v Settings vybereme Wireless Networks a klikneme na Create new wireless network.

Zadáme následující nastavení:

1. New/SSID – název nové WiFi sítě
2. Enabled – nacháme zatrhnuto
3. Security – vybereme WPA Enterprise
4. RADIUS Profile – vybereme profil pro již existující RADIUS server, popř. vytvoříme nový
5. ostatní necháme beze změny a dáme Save

Nějakou dobu potrvá zpropagování změny na všechny AP, ale jakmile to bude hotovo, měli bychom vidět novou WiFi.

Připojení se k WiFi

Postup připojení není nějak extrémně odlišný, jen místo zadání pouze hesla budeme muset zadat dvojici Username/Password – tedy náš uživatelský účet na Radius.

Pokud využíváme např. Radius na Synology pak to bude stejný účet jako se přihlašujeme na NASku.

Po kliknutí na Join nám vyskočí ještě jedna neobvyklá hláška v podobě informace o certifikátu. Tu jen potvrdíme pomocí Continue a měli bychom být připojení.

Proč použít WPA Enteprise

V klasickém domácím použití nejsou přínosy až tak velké, ale benefit ocení zejména ve firmách,

Např. každý nový zaměstnanec má možnost přihlásit se do firemní WiFi stejným účtem jako do domény, bez toho aniž by mu někdo sděloval heslo.

Podobně když naopak odchází není potřeba se strachovat, že by se připojoval do WiFi i nadále jelikož jednoduše zakážeme účet v doméně a automaticky má zrušený i přístup do WiFi.

The post Ubiquiti – AP – Zabezpečená WiFi s RADIUS ověřováním appeared first on blog.vyoralek.cz.

Návod je sepsán pro Unifi Controller ve verzi 5.6.12

Možnost 1 – Synology RADIUS Server

Výhodou tohoto řešení je sdílení seznamu uživatelů mezi Synology NAS serverem a Ubiquiti USG VPN serverem. Pro přístup k VPN tak není potřeba zakládat uživatele, pokud je již nastavený na NAS serveru, ale stačí nastavit RADIUS server na NASu a pak na USG přidat nový RADIUS profil.

Instalace a nastavení RADIUS serveru na NAS

Ta je poměrně jednoduchá a jedinou věcí co je potřeba přidat je klientské zařízení USG s následujícími hodnotami:

• Název – pojmenování klientského zařízení, např. „Router“
• IP adresa – IP adresa USG Routeru
• Maska podsítě – Maska podsítě USG Routeru
• Sdílený tajný klíč – jakýkoliv tajný klíč, který později nastavíme v USG
• Zatrhneme povolit

Vytvoření RADIUS profilu na USG

Dalším krokem je „spárování“ RADIUS serveru na NASu s USG. K tomu nám poslouží RADIUS profil, jehož přidání najdeme v Unifi controlleru v sekci „Profiles“, kde klikneme na „Create new radius profile“ a vyplníme následující hodnoty:

• Profile Name – název profilu, např. „NAS“
• VLAN Support – necháme nezatržené
• RADIUS Auth Server
  • IP Address – zadáme IP adresu NAS serveru (Radius serveru)
  • Port – zadáme 1812, pokud jsme nezměnili v nastavení – na NASu sekce „Běžná nastavení“ – „Port ověřování“
  • Password/Shared Secret – zadáme „Sdílený tajný klíč“ vyplněný v RADIUS serveru
• Accounting – necháme nezatržené

Možnost 2 – RADIUS server na USG

Pokud máte některou z posledních verzích Unifi controlleru, pak byste v sekci „Services“ měli vidět záložku „RADIUS“, u které zatím svítí „BETA“, nicméně už je funkční.

Vytvoření Radius uživatele

Prvním krokem při použití RADIUSu na USG je vytvoření účtu uživatele, který použijeme pro přihlašování k VPN. Vyplníme následující:

• Name – název uživatele
• Password – heslo
• VLAN – necháme prázdné
• Tunnel Type – 2 – Layer Two Tunneling Protocol (L2TP)
• Tunnel Medium Type – 1 – IPv4 (IP version 4)

Zapnutí RADIUS serveru

V sekci RADIUS se překlikneme na druhou záložku „Server“ a nastavíme:

• Enable Radius Server – přepneme na ON
• Secret – zadáme nějaký tajný kód, který bude společný pro všechny uživatele
• Clients – necháme zatržené
• Authentication Port – nechápe výchozí port
• Accouting Port – necháme výchozí port
• Accounting Interim Interval – necháme výchozí hodnotu
• Tunneled Reply – necháme ON

V sekci RADIUS profilů bychom nyní měli vidět „Nas“ pokud jsme použili volbu první a nebo „Default“ pokud jste použili možnost druhou.

Definice VPN sítě

Dalším krokem je vytvoření VPN sítě a proto se přepneme do sekce „Networks“ a vypníme:

• Name – název sítě, např. VPN
• Purpose – vybereme „Remote User VPN“
• VPN Type – vybereme „L2TP Server“
• Pre-Shared Key – vypníme heslo, které jsme nastavení na RADIUS serveru (to společné pro všechny uživatele)
• Gateway/Subnet – vypníme adresu rozsahu VPN sítě – zobrazí se nám počet IP adres a IP rozsah
• Name server – můžeme zadat pokud potřebujeme vlastní DNS servery
• RADIUS Profile – vybereme profil podle možnost, kterou jsme použili – viz. výše

Po přidání bychom měli vidět novou síť jako purpose „Remote User VPN (L2TP)“.

To je vše co je potřeba udělat na serverové straně. Veškeré nastavení Firewallu za nás udělá přímo USG.

The post Ubiquiti – USG – Nastavení L2TP VPN serveru appeared first on blog.vyoralek.cz.