احصل على المزيد من شبكتك المنزلية: 5 نصائح متقدمة للمتشددين

هل ترغب في القيام بشيء أكثر مع شبكتك المنزلية؟ أم أنك تعمل بالفعل باستخدام جهاز NAS، أو خادم بسيط من نوع ما، أو مجموعة من الأدوات المنزلية الذكية التي ترغب في الحصول على مزيد من التحكم فيها؟ انضم إلينا للحصول على هذه المجموعة من نصائح الشبكات المتقدمة.

مقالات أخرى في هذه السلسلة:

1. قم بالتبديل إلى برنامج جهاز التوجيه البديل

هل لديك جهاز توجيه قوي بشكل معقول ولكنك أصبحت مهتمًا بالميزات المتقدمة المفقودة من الإعدادات؟ لا تحتاج بالضرورة إلى شراء جهاز توجيه جديد أو إنشاء جهاز توجيه خاص بك، ولكن يمكن للبرامج البديلة أن تقطع شوطًا طويلاً.

يعد Openwrt واحدًا من أقدم مشاريع برامج التوجيه مفتوحة المصدر، ولا يزال قيد التطوير بحيث يمكن تثبيته على العديد من نماذج أجهزة التوجيه من مختلف الشركات المصنعة.

منذ فترة طويلة، كان DD-WRT شائعًا، ولكن لم يتم تحديث هذا المشروع لفترة طويلة. وكانت الطماطم خيارًا شائعًا آخر، لكنها ماتت منذ سنوات عديدة. Freshtomato هو اسم البديل الذي استمر ولا يزال من الممكن أن يكون بديلاً معقولاً.

بالنسبة للمستخدمين الذين لديهم جهاز توجيه Asus، يوجد مشروع Asuswrt-Merlin بنفس واجهة المستخدم مثل النظام المجمع، ولكن مع عدد من الميزات والإعدادات الإضافية. إنها بالتأكيد أسهل طريقة لبدء استخدام البرامج البديلة.

يعد Openwrt الخيار الأكثر قدرة، مع دعم ميزات مثل VLAN والمتقدمة جودة الخدمة ميزات مثل إدارة قائمة الانتظار الذكية. ومع ذلك، فهو أيضًا أصعب قليلاً في التثبيت ويحتوي على منحنى تعليمي أكثر حدة للمبتدئين.

2. جهاز توجيه/جدار حماية منفصل وشبكة Wi-Fi

تستخدم أماكن العمل دائمًا أجهزة منفصلة لأجزاء مختلفة من الشبكة، كل منها متخصص في مهمته الخاصة. نقاط وصول لشبكة Wi-Fi، ومفاتيح لتوصيل أجهزة مختلفة (بما في ذلك نقاط الوصول) عبر Ethernet، وجهاز توجيه لربط الشبكة المحلية بالإنترنت. غالبًا ما تكون جدران الحماية مدمجة في أجهزة التوجيه، ولكن يمكن أيضًا أن تكون أجهزة منفصلة.

من الواضح أن هذا التقسيم يتطلب المزيد من العبث أكثر من جهاز التوجيه/المحول/نقطة الوصول المدمجة، ولكن الإعداد يمكن أن يكون مفيدًا حتى في المنازل، خاصة إذا كان لديك العديد من الأجهزة من مختلف الأنواع.

إذا كنت فضوليًا وترغب في تجربتها، فيمكنك القيام بذلك بتكلفة زهيدة نسبيًا عن طريق الاحتفاظ بجهاز التوجيه الحالي (أو أجهزة التوجيه الشبكية إذا كان لديك مجموعة منها)، مضبوطًا ليكون بمثابة نقطة وصول. تحتوي معظم أجهزة التوجيه على هذا الإعداد.

بعد ذلك، تقوم بتثبيت أي نظام تشغيل موجه مفتوح من اختيارك، إما على جهاز كمبيوتر قديم لديك أو جهاز كمبيوتر جديد رخيص الثمن – يعمل Openwrt بشكل جيد على Raspberry Pi، على سبيل المثال، ولكن يمكنك أيضًا استخدام نظام تشغيل أكثر تقدمًا مثل Pfsense أو Opnsense على جهاز كمبيوتر صغير مزود بمعالج Intel أو AMD. كل ما تحتاجه هو موصلي Ethernet على الأقل ومعالج قوي إلى حد معقول. بالنسبة لـ Raspberry Pi، يمكنك الحصول على موصل إضافي بما يسمى HAT+. هناك نماذج بموصلات مزدوجة 2.5 جيجابت.

أخيرًا، احصل على مفتاح وقم بتوصيل كل من جهاز التوجيه أو أجهزة التوجيه القديمة وجهاز التوجيه الجديد به. الكبل من الحائط الذي تقوم بتوصيله عادةً بموصل WAN الخاص بجهاز التوجيه، يمكنك توصيله بمنفذ مختلف في جهاز التوجيه الجديد. في إعدادات Openwrt أو أيًا كان ما اخترته، يمكنك بعد ذلك ضبط الموصلين للعمل كشبكة WAN وشبكة LAN على التوالي.

تعد الأجهزة الموجودة في جهاز كمبيوتر صغير مثل Intel NUC أقوى بكثير من أي جهاز توجيه للمستهلك وتتيح تشغيل ميزات الأمان المتقدمة، على سبيل المثال.

3. تجزئة الشبكة باستخدام VLAN

إذا كنت تستخدم شبكة الضيف على جهاز التوجيه الخاص بك اليوم، فقد تعرفت على ما هو ممكن باستخدام تقنية تسمى VLAN. تقوم شبكة VLAN بفصل حركة المرور على الشبكة بحيث يمكن فصلها لأغراض مختلفة. يتم ذلك على المستوى الأساسي ويتم إعداده في أجهزة التوجيه والمحولات ونقاط وصول Wi-Fi.

من خلال إنشاء شبكة محلية ظاهرية (VLAN) مختلفة، يمكن إبقاء الأجهزة المختلفة منفصلة في مساحات عناوين مختلفة وبمجموعات مختلفة من القواعد في جدار الحماية. ربما تكون حالة الاستخدام الأكثر شيوعًا بين المستخدمين المنزليين هي إنشاء شبكة VLAN لإنترنت الأشياء – إنترنت الأشياء، أي الأدوات المنزلية الذكية.

وهذا يجعل من السهل حماية الأجهزة الأخرى في المنزل في حالة اختراق جهاز متصل أو يحتوي بالفعل على برامج ضارة، كما يسهل حظر الوصول إلى الإنترنت للأجهزة التي لا علاقة لها بالإنترنت.

في منزلي، قمت بذلك لإيقاف تشغيل الإنترنت لجميع الأجهزة المنزلية الذكية، مثل الكاميرات التي ترغب في الاتصال بخوادم الشركة المصنعة – ربما سمعت عن كيفية قيام Ring، على سبيل المثال، بخلط مختلف الأشياء بشكل متكرر كاميرات العملاء حتى يتمكن العملاء من مشاهدة الفيديو من منازل بعضهم البعض.

أستخدم الكاميرات الخاصة بي محليًا باستخدام مركز المنزل الذكي Home Assistant وبرنامج Scrypted، مع Homekit من Apple للتحكم عن بعد لأنني أثق في Apple أكثر من العديد من الشركات المصنعة غير المعروفة إلى حد ما. وبدون شبكة VLAN، سيكون هذا أكثر تعقيدًا وأقل أمانًا.

الاستخدام الشائع الآخر هو ما يسمى بالمنطقة المنزوعة السلاح (DMZ) للخوادم التي يجب أن تكون مفتوحة على الإنترنت. على سبيل المثال، لنفترض أنك قمت بتشغيل ملف ماين كرافت الخادم بحيث يمكنك أنت و/أو أطفالك وأحفادك اللعب مع بعضكم البعض، وتريد أن يكون الوصول إليه متاحًا من الخارج. باستخدام شبكة DMZ-VLAN، من السهل القيام بذلك بطريقة آمنة بشكل معقول عن طريق تعيين جدار الحماية لمنع الخادم من الوصول إلى بقية الشبكة.

الشروع في العمل مع شبكة محلية ظاهرية (VLAN).

لا يعد إعداد VLAN أمرًا معقدًا للغاية، ولكن كيفية القيام بذلك تختلف اختلافًا كبيرًا باختلاف أنظمة تشغيل جهاز التوجيه وسيتناول الوصف خطوة بخطوة بقية هذه المقالة. نصيحتي إذا كنت مهتمًا هي البحث عن أدلة لشبكة VLAN على النظام الذي تستخدمه، على سبيل المثال على Youtube.

بالنسبة لـ Openwrt، يعد هذا الدليل من Open Source رائعًا، مع كل من الفيديو والنص.

إذا كنت تريد استخدام شبكة محلية ظاهرية (VLAN) مع الأجهزة التي تتصل بكابل Ethernet، فمن الجيد الحصول على ما يسمى تمكنت التبديل، وهو محول ذو نظام تشغيل بسيط وإعدادات يمكنك الوصول إليها عبر الشبكة.

يعد Ubiquiti's Unifi خط إنتاج شائعًا بين عشاق الشبكات، وبالإضافة إلى هذه المحولات، فإنه يوفر أيضًا نقاط وصول Wi-Fi تجعل من السهل إنشاء شبكات لاسلكية منفصلة للأجهزة التي ستستخدم شبكات WLAN مختلفة. وهو يعمل كشكل أكثر تقدمًا من شبكات الضيوف، حيث يمكنك تعيين القواعد لكيفية اتصال الأجهزة المتصلة بالإنترنت وأجزاء أخرى من الشبكة.

لدي في منزلي ثلاث شبكات Wi-Fi، اثنتان منها افتراضيتان، كل واحدة منهما متصلة بشبكة محلية ظاهرية مختلفة: واحدة للهواتف وأجهزة الكمبيوتر المختلفة الخاصة بالعائلة، وواحدة للأدوات المنزلية الذكية وواحدة للضيوف. لدي أيضًا اثنين من محاور المنزل الذكي متصلة بواسطة كابل بمحول مُدار. في إعدادات المحول، قمت بضبط تلك الموصلات المعينة لاستخدام نفس شبكة VLAN مثل الشبكة المنزلية الذكية اللاسلكية.

كما قلت، عادةً لا تتمتع الأجهزة المنزلية الذكية بإمكانية الوصول إلى الإنترنت ولا يُسمح لها إلا بالاتصال بالشبكة العادية عبر ما يسمى Multicast DNS (MDNS)، وهو مطلوب في حالتي للحصول على التحديثات عبر Homekit من Apple، على سبيل المثال عندما شخص ما يرن جرس الباب.

4. Pi-Hole لحظر الإعلانات والتتبع عبر الشبكة

على الهواتف المحمولة وأجهزة الكمبيوتر، من السهل نسبيًا تثبيت أدوات حظر المحتوى التي توقف الإعلانات وخاصة تتبع الويب. لكن هذا نادرًا ما يكون ممكنًا على أجهزة التلفاز والأدوات الذكية الأخرى. طريقة واحدة للحماية الفعالة كامل الشبكة المنزلية بما في ذلك هذه الأجهزة مزودة بـ Pi-Hole.

Pi-Hole هو خادم DNS محلي يحظر المجالات الضارة أو غير المناسبة أو غير المرغوب فيها. يمكنك إضافة رابط واحد أو أكثر إلى قوائم الحظر، وسيتكفل Pi-Hole بالباقي. هناك قوائم محددة للإعلانات والتتبع والبرامج الضارة والمواد الإباحية وغيرها الكثير. يأتي الاسم من Raspberry Pi، ومع متطلبات النظام المنخفضة جدًا، فهو حالة استخدام رائعة لطراز أقدم من الكمبيوتر الصغير.

إيقاف خدمات DNS الأخرى

عندما يكون لديك خادم DNS خاص بك مثل Pi-Hole، فقد يكون من الجيد حظر الأجهزة في منزلك من الاتصال بخوادم DNS الأخرى. يمكنك القيام بذلك باستخدام جدار الحماية الموجود في جهاز التوجيه الخاص بك.

بالنسبة لجدار الحماية التقليدي، فإنه يتضمن قاعدتين. واحد يمنع كل حركة المرور عبر TCP وUDP على المنفذ 53 والآخر يسمح بنفس حركة المرور مع الوجهة Pi-Hole. تختلف كيفية القيام بذلك بالضبط بين الشركات المصنعة المختلفة.

على أجهزة توجيه Asus، استخدم عامل تصفية خدمات الشبكة علامة التبويب تحت جدار الحماية. قم بتنشيط الوظيفة وتأكد من أن جدول التصفية من النوع قائمة السماح. ثم املأ القواعد الأربع كما هو موضح في الصورة أدناه. استبدل 192.168.0.99 بعنوان IP الخاص بـ Pi-Hole. ستفتح القواعد المعكوسة قليلاً كل حركة المرور باستثناء UDP على المنفذ 53 لجميع الأجهزة، وكذلك المنفذ 53 لـ Pi-Hole.

يجب عليك أيضًا ضبط جهاز التوجيه نفسه لاستخدام عنوان IP الخاص بـ Pi-Hole كـ DNS ضمن الشبكة الواسعةوكخادم DNS للأجهزة المتصلة عبر DHCP ضمن الشبكة المحلية > خادم DCHP.

المشكلة في هذا الحل هي أن الأجهزة ذات خوادم DNS المشفرة لن تعمل بشكل صحيح، حيث أن القواعد تمنع فقط الاتصالات بخوادم DNS الأخرى ولا تقوم بإعادة توجيه كل حركة مرور DNS إلى Pi-Hole. إذا قمت بالتبديل إلى البرنامج البديل Asuswrt-Merlin (انظر أعلاه)، فيمكنك استخدام الشبكة المحلية > عامل تصفية DNS وظيفة بدلا من ذلك. تعيين وضع التصفية العالمية ل جهاز التوجيه وأضف قاعدة لعدم تصفية حركة المرور من عنوان IP الخاص بـ Pi-Hole.

واليوم، تتجاوز بعض الأجهزة والبرامج والتطبيقات الفردية DNS العادي الخاص بك باستخدام تقنية DNS عبر HTTPS (DoH)، مما يجعل حظر المنفذ العادي 53 غير فعال. يمكن إيقافه جزئيًا باستخدام قائمة حظر لخوادم DoH المعروفة (إليك مثال https://github.com/dibdot/DoH-IP-blocklists/blob/master/doh-domains.txt)، ولكنه قطة- لعبة والفأرة.

5. قم بالوصول إلى منزلك من الخارج بشكل آمن باستخدام خادم VPN

هل اشتريت جهاز NAS أو قمت بإنشاء خادم من نوع ما، على سبيل المثال للألعاب أو بث الوسائط؟ إذن ربما تساءلت عما إذا كان من الممكن الوصول إليها من الخارج، عندما لا تكون في المنزل. يعد فتح المنافذ في جهاز التوجيه للسماح لنفسك بالدخول أمرًا محفوفًا بالمخاطر، حيث تقوم الروبوتات بفحص الشبكة باستمرار بحثًا عن نقاط الدخول المحتملة.

الطريقة الأكثر أمانًا هي تشغيل خادم VPN الخاص بك وفتح منفذ واحد فقط له. تأتي بعض أجهزة التوجيه أيضًا مزودة بخادم VPN مدمج يسهّل البدء ويوفر وصولاً آمنًا إلى الخدمات الموجودة على الشبكة المنزلية.

هناك مجموعة من بروتوكولات VPN المختلفة. في الماضي، كان PPTP وL2TP شائعين، لكن الأول غير آمن والتقنيات الأحدث أفضل من الثانية. اليوم، Openvpn وWireguard هما الأكثر شيوعًا.

تحتوي أجهزة توجيه Asus الأحدث على خادم VPN مدمج به العديد من التقنيات المختلفة للاختيار من بينها. فيما يلي كيفية إعداد Wireguard حتى تتمكن من الاتصال بالأجهزة الموجودة على شبكتك المنزلية، دون إرسال كل حركة المرور عبر النفق.

1. افتح إعدادات جهاز التوجيه وانقر فوق VPN في القائمة على اليسار.
2. انقر فوق وايرجارد VPN.
3. انقر فوق زر علامة الجمع الموجود على اليمين عميل VPN في أسفل اليمين.
4. أدخل اسمًا للمستخدم وانقر فوق المزيد من الإعدادات من موقع إلى موقع.
5. يمكنك المغادرة العنوان و عناوين IP المسموح بها (الخادم) كما هي، ولكن إذا كنت تريد فقط إرسال حركة المرور إلى شبكتك المحلية في المنزل عبر نفق VPN، فقم بالتغيير عناوين IP المسموح بها (العميل) إلى نطاق عناوين شبكتك المحلية، على سبيل المثال 192.168.0.0/24 إذا كانت جميع الأجهزة في منزلك لها عناوين تبدأ بـ 192.168.0. إذا كان لديك عنوان 192.168.1، فسيكون 192.168.1.0/24 وهكذا. انقر يتقدم.

سيعرض الآن رمز QR الذي يمكنك مسحه ضوئيًا من تطبيق Wireguard على هاتفك المحمول للاتصال بسهولة بمنزلك. يمكنك أيضًا تصدير الإعدادات لإضافة الاتصال على الأجهزة التي لا يمكنها مسح رموز QR.

إذا كنت تفضل ذلك، يمكنك المغادرة عناوين IP المسموح بها (العميل) عند 0.0.0.0/0 وسيتم إرسال كل حركة المرور من الجهاز الذي تتصل به عبر النفق، ومن ثم سيعمل منزلك مثل خدمة VPN التجارية. يمكن أن يكون هذا مفيدًا إذا كنت بالخارج ولكنك تريد التصفح كما لو كنت في المنزل، أو إذا كان لديك خادم Pi-Hole الذي يحظر الإعلانات والأشياء الأخرى وتريد استخدامه بغض النظر عن مكان وجودك.