La configuración inicial de la red consta de dos ASUS ExpertWiFi EBM68 configurados como una red AiMesh, con la conectividad Wi-Fi configurada a través del asistente inicial como suele ser habitual en todos los modelos del fabricante. El menú principal del EBM68 es el siguiente:
Si nos vamos a la sección de «AiMesh» podemos ver que el segundo ExpertWiFi EBM68 se encuentra perfectamente conectado al primero, con la máxima velocidad, ideal para obtener el mejor rendimiento inalámbrico y cableado posible.
En cuanto a la configuración de los SSID principales, consta de un SSID por cada banda de frecuencias, así que tenemos el band-steering desactivado. Al tener un SSID por cada banda de frecuencias, podemos saber en todo momento a qué banda de frecuencias estamos conectados. La configuración que tenemos en estos SSID es la siguiente:
- Wi-Fi Agile Multiband: habilitado
- Target Wake Time: habilitado.
- Ancho de canal: 40MHz en la banda de 2.4GHz, y automático en las bandas de 5GHz, pero los 160MHz habilitado siempre.
- Método de autenticación: WPA3-Personal para todas las bandas de frecuencias.
En las siguientes imágenes podéis ver la configuración que tenemos actualmente, una configuración que nos permitirá conectar ordenadores, smartphones y tablets relativamente recientes, pero que no permitirá que conectemos dispositivos antiguos o de domótica, ya que usamos la seguridad WPA3-Personal y no lo soportarán.
Una vez que ya hemos visto la configuración inicial de la red ExpertWiFi, os vamos a enseñar cómo crear una red Internet de las Cosas a través de la red Auto-definida.
Crear la Red Internet de las Cosas
El fabricante ASUS tiene diferentes perfiles predefinidos que podemos elegir, dependiendo de cómo queramos realizar la configuración, podemos elegir entre un perfil u otro. No todos los perfiles disponen de las mismas posibilidades a nivel de configuración, así que debemos elegir la red sabiendo previamente qué nos vamos a encontrar.
Cuando creamos una «Red Internet de las Cosas«, vamos a poder configurar los siguientes aspectos:
- Nombre de red (SSID): podemos configurar y poner el nombre de la red Wi-Fi que nosotros queramos.
- Seguridad inalámbrica: podemos poner la contraseña que queramos, eso sí, siempre será WPA2-Personal de forma predeterminada, aunque luego también podemos elegir una combinación de WPA2/WPA3 pero no os lo recomendamos elegir para la domótica, porque podría impedir la conexión de ciertos dispositivos.
- Wi-Fi banda: podemos elegir la banda de frecuencias donde crear esta red. Podemos elegir 2.4GHz, 5GHz o ambos, en el caso de elegir ambos tendremos Smart Connect, lo que también podría ocasionar problemas a los dispositivos de domótica. Teniendo en cuenta que la mayoría de los clientes soportan solamente la banda de 2.4GHz, elegiremos esta para funcionar. Si quieres conectar equipos a la de 5GHz, puedes crear otra red de Internet de las Cosas secundaria.
- AiMesh mode: podemos elegir en qué nodos AiMesh queremos generar la red WiFi, lo habitual es crear este perfil en todos los equipos de la red, y así tendremos roaming WiFi por si hay dispositivos en movimiento.
- Programación Wi-Fi: tenemos la posibilidad de programar el encendido y apagado de la red WiFi. Esto puede ser útil por si creamos una red con cámaras IP, apagarla cuando estamos en casa, y encenderla cuando nos vayamos fuera. En nuestro caso, dejaremos la red de IoT siempre habilitada.
Dentro de la configuración del perfil, en la sección de «Red / Configuración avanzada«, tendremos dos opciones adicionales:
- Ocultar SSID: nos permite ocultar la red WiFi, es posible que tengas problemas a la hora de conectar clientes de domótica, además, no aporta ninguna seguridad adicional.
- Definir AP Aislado: tenemos la posibilidad de activar el aislamiento del AP, para evitar que los clientes inalámbricos se comuniquen con otros equipos inalámbricos. Esto es útil para añadir una capa de seguridad a la red inalámbrica. En caso de que haya un intruso, no podrá conectarse directamente con los equipos de domótica.
En esta red de IoT también tenemos la posibilidad de habilitar el cliente VPN de Fusion VPN, de esta forma, antes de que salgan a Internet los dispositivos conectados a esta red, pasará todo el tráfico por el servidor VPN remoto que hayamos configurado. Esta opción de VPN es muy interesante siempre que los dispositivos tengan soporte con el Cloud, aunque debemos saber que añadirá una latencia adicional a las comunicaciones, por lo que puede que no sea una buena idea activarlo.
Un aspecto muy importante de la red Internet de las Cosas, es que todos los clientes que se conecten aquí, tendrán el mismo direccionamiento que la red principal y habrá comunicación con la red principal sin problemas. Esta red es como crear un SSID adicional en la red principal, pero dedicado específicamente para la red de domótica. Con este perfil no tenemos ninguna VLAN configurada con segmentación de tráfico, es algo que debes tener en cuenta antes de crear una red de este tipo.
Si quieres tener la red de domótica aislada de la red principal y que no haya comunicación entre ambas, entonces tendrás que crear una red de otro tipo, como la red personalizada que os vamos a enseñar a crear a continuación.
Crear Red personalizada
Si quieres crear una red nueva para la domótica, que esté totalmente aislada de la red principal en una VLAN nueva y una nueva subred, entonces tendrás que crear una red personalizada. Después de crearla, la decisión de permitir o no acceso a la intranet es tuya, ya que simplemente con activar una opción podrás hacer que haya comunicación con la red principal (intranet).
Cuando creamos una «Red Personalizada«, vamos a poder configurar los siguientes aspectos:
- Nombre de red (SSID).
- Seguridad inalámbrica.
- Wi-Fi banda.
- Programación Wi-Fi.
- Limitador de ancho de banda: tenemos la posibilidad de limitar el ancho de banda de toda la red, con el objetivo de que no haya problemas de cara a ancho de banda por la red principal. En nuestro caso, no tenemos habilitada esta opción.
- Acceso a Intranet: este perfil permite la creación de VLANs, entonces podemos permitir o no el acceso a la intranet. Si tenemos el interruptor apagado, no habrá comunicación entre la red principal y la de domótica, que es lo que realmente queremos en este ejemplo. Si activamos el interruptor sí tendremos comunicación, aunque cada red tenga su propio direccionamiento IP y también VLAN.
Dentro de la configuración del perfil, en la sección de «Red / Configuración avanzada«, tendremos opciones adicionales al perfil anterior de red Internet de las Cosas, os explicamos las opciones nuevas:
- Habilitar servidor DHCP: en la red de la domótica es necesario tener el servidor DHCP, así que lo activamos.
- Dirección IP LAN: es la dirección IP del router cuando estamos en la nueva subred creada específicamente para la red local.
- Máscara de subred: generalmente será 255.255.255.0 para conectar hasta 253 clientes inalámbricos o cableados.
- Identificador de VLAN: ASUS pone por defecto el VLAN ID 52 a la red personalizada, pero podemos cambiar este identificador en cualquier momento. No es necesario que lo cambies.
- Ocultar SSID.
- Servidor DNS: podemos configurar los servidores DNS que nosotros queramos, este servidor lo usarán solamente los dispositivos que se conecten en la red de domótica.
- Definir AP Aislado.
En este caso tampoco tendría sentido usar un servidor VPN remoto para reenviar todo el tráfico de red hasta ahí, para posteriormente salir a Internet. Además, al hacer esto estaremos añadiendo una latencia adicional, así que debes tenerlo en cuenta.
Cuando creamos una red personalizada y creamos una VLAN, podemos configurar también el comportamiento de la red cableada. Imaginemos que conectamos todos los dispositivos como sensores, relés Wi-Fi, cámaras IP y muchos otros dispositivos a esta red de domótica, y queremos controlar todos los dispositivos de forma centralizada con Home Assistant que está instalado en un mini PC. En este caso, tendrías que configurar uno de los puertos Gigabit Ethernet para dar acceso al Home Assistant a esa VLAN en concreto que hemos creado.
Para poder hacer esto, nos vamos a la sección de «Configuración / LAN / VLAN«, dentro de este menú, en la pestaña de VLAN podemos ver todos los puertos de la LAN que tenemos tanto en el router principal como en los diferentes nodos AiMesh. Si queremos conectar el mini PC que tiene instalado Home Assistant al puerto LAN1 del router, entonces tenemos que realizar la siguiente configuración:
- Router AiMesh: LAN1
- Modo: access
- SDN Profile: RedesZone_Personalizado
Cuando conectemos el mini PC a este puerto, automáticamente obtendremos una dirección IP 192.168.52.X en lugar de la habitual 192.168.50.X, ya que estamos en una nueva subred creada específicamente para la domótica.
Si tienes un switch gestionable que soporte VLANs, y el mini PC lo tienes conectado a este switch gestionable, entonces en el router ASUS tendrás que configurar un enlace troncal y pasar todas o solamente una VLAN como tagged (con etiqueta).
- Router AiMesh: LAN1
- Modo: Trunk
- SDN Profile: Allow all, o bien elegir el perfil RedesZone_Personalizado
Posteriormente, en el switch gestionable tendrás que crear el VLAN ID 52, en el puerto que se conecta con el router ASUS tendrás que configurar también un trunk, y posteriormente en el puerto Ethernet donde conectes el mini PC tendrás que configurarlo como acceso y usando el VLAN ID 52 para que todo funcione correctamente.
Tal y como podéis ver, la red personalizada nos proporcionará segmentación de tráfico, pudiendo o no acceder desde la red de domótica a la red principal. Lo normal si creas este tipo de red es que no habilites la comunicación, de tal forma que estén completamente aisladas entre sí.
Conclusiones
ASUS ExpertWiFi no solamente son equipos para pequeñas y medianas empresas, también es perfecto para usuarios domésticos «avanzados» que quieren segmentar su red inalámbrica y cableada adecuadamente, creando diferentes perfiles de red con la funcionalidad SDN del fabricante. Lo mejor es que la forma de creación las diferentes redes es bastante sencilla, ya que tenemos un asistente de configuración con las opciones básicas muy intuitivo, y una vez creado el perfil, podemos entrar de lleno en las configuraciones avanzadas para ajustar los parámetros que nosotros queramos.
Recuerda que no todos los perfiles disponen de las mismas opciones de configuración. La diferencia más importante entre la red Internet de las Cosas y la red personalizada son las VLANs, en la primera no tenemos la posibilidad de segmentar el tráfico de red en VLANs, todos los clientes inalámbricos se conectarán directamente a la red principal y tendremos comunicación con todos los dispositivos. En el segundo caso, sí tenemos segmentación del tráfico de red en VLANs, esto es perfecto para tener la mejor seguridad posible y que todos los dispositivos de domótica estén aislados de la red principal.
