Kurulum — Standard Edge (N100)

Bu rehber Standard Edge paketinin Intel N100 Edge Appliance üzerine kurulumunu kapsar. Standard Edge, portalı ve RADIUS sunucusunu tamamen yerinde çalıştırır; internet bağlantısı kesilse bile misafir Wi-Fi hizmeti kesintisiz sürer. Tahmini kurulum süresi 20–30 dakikadır.

Donanım Genel Bakış

Bileşen	Detay
İşlemci	Intel N100 (4 çekirdek, 3.4 GHz Burst, düşük güç tüketimi)
Bellek	16 GB DDR5
Depolama	1 TB NVMe SSD (LUKS şifreli)
Ağ Arayüzleri	2 × GbE (WAN + LAN)
Form Faktörü	Fanless, endüstriyel masa üstü / rack adaptörü opsiyonel
Güç	12 V DC, 36 W (fan yok — sessiz çalışma)
İşletim Sistemi	SiperOne Hardened Linux (dm-verity + LUKS + TPM)
Boyutlar	150 × 105 × 38 mm

:::info Neden N100? Intel N100, düşük güç tüketimi (~6 W TDP) ve yeterli işlem gücü sayesinde captive portal + RADIUS + log imzalama iş yüklerini rahatlıkla kaldırır. Fanless tasarım, otel lobisi veya teknik oda gibi sessizlik gerektiren ortamlarda idealdir. :::

---

Güvenlik Mimarisi

Standard Edge, donanım tabanlı güvenlik katmanları içerir:

dm-verity — İmzalı Root Dosya Sistemi

Root dosya sistemi salt okunur ve kriptografik olarak imzalanmıştır. Cihaz her başlatıldığında dm-verity, sistemin bütünlüğünü blok blok doğrular. Değiştirilmiş veya bozulmuş bir blok tespit edilirse cihaz boot etmez.

[Boot] → [GRUB + imzalı kernel] → [dm-verity doğrulama] → [Read-only rootfs]
                                           |
                                    Değişiklik tespit edilirse → PANIC / rollback

LUKS — Şifreli Depolama

Misafir log verileri, sertifikalar ve yapılandırma dosyaları LUKS2 şifreli bir bölümde saklanır. Disk fiziksel olarak çıkarılsa bile veriler TPM anahtarı olmadan okunamaz.

TPM — Anahtar Mühürleme

LUKS disk şifreleme anahtarı, cihazın TPM 2.0 çipine mühürlenir. Anahtar yalnızca aynı cihaz + aynı boot durumu kombinasyonunda açılabilir. Başka bir makineye disk takılsa anahtar erişilemez olur.

RAUC A/B OTA Güncellemeleri

Cihazda iki sistem bölümü (A ve B) bulunur. Güncelleme aktif olmayan bölüme yazılır; imza doğrulandıktan sonra yeni bölüme geçilir. Güncelleme başarısız olursa önceki bölüme otomatik geri dönülür.

Bölüm A (aktif) → Güncelleme B'ye yazılır → cosign imzası doğrulanır → B'ye geçiş
                                                      |
                                               İmza geçersiz → A'da kal

---

Adım 1: Fiziksel Kurulum

1. N100 Edge Appliance'ı uygun konuma yerleştirin (teknik oda, lobi dolabı veya rack).
   • Rack kullanımı için opsiyonel 1U rack adaptörü sipariş edilebilir.
   • Fanless cihaz için üst yüzey üzerini kapatmayın; pasif soğutma gerektirir.
2. ETH0 (WAN) portuna modem veya WAN switch kablosunu takın.
3. ETH1 (LAN) portuna LAN switch veya AP'yi bağlayın.
4. 12 V DC güç adaptörünü bağlayın.
5. Güç düğmesine basın — ön panel LED'i mavi yanacak.

:::warning Doğru Port Sırası ETH0 daima WAN, ETH1 daima LAN olarak yapılandırılmıştır. Ters bağlantı durumunda cihaz ZTP yapamaz; LED kırmızıya döner. :::

---

Adım 2: Cihaz İlk Açılış

Cihaz açıldıktan sonra şu sırayı izler:

1. BIOS POST (5 saniye)
2. GRUB: İmzalı kernel yüklenir
3. dm-verity: Root dosya sistemi doğrulanır (~15 saniye)
4. LUKS: TPM'den disk anahtarı alınır (şeffaf)
5. Sistem servisleri başlar
6. ZTP Agent: Enrollment token beklemeye başlar

Toplam boot süresi yaklaşık 45–60 saniyedir. Ön panel LED'i sürekli mavi yanıyorsa cihaz hazır demektir.

---

Adım 3: Zero Touch Provisioning (ZTP)

3a. Konsol'dan Enrollment Token Alın

1. https://console.siperone.com → Siteler → Yeni Site Ekle seçin.
2. Site bilgilerini doldurun (ad, adres, sektör).
3. Paket olarak Standard Edge seçin.
4. Lisans anahtarını girin → Kaydet.
5. Site oluşturulduktan sonra Cihaz Ekle → Edge Appliance (N100) seçin.
6. Konsol 12 haneli enrollment token üretir (örn. AXPR-7K9M-2LQN). Bu token 24 saat geçerlidir.

3b. Token'ı Cihaza Girin

N100 Edge, token girişi için iki yöntem sunar:

Yöntem A: Web Arayüzü (Önerilen)

Cihaz açılışta http://192.168.1.1:8080 adresinde geçici bir web arayüzü sunar. Aynı ağdaki bir bilgisayardan bu adrese gidin:

1. Enrollment token alanına 12 haneli kodu girin.
2. Kayıt Başlat düğmesine tıklayın.
3. Cihaz SiperOne ZTP sunucusuna bağlanır, yapılandırmasını çeker.

Yöntem B: USB Seri Konsol

# USB-TTL kablo ile /dev/ttyUSB0 veya /dev/ttyACM0'a bağlanın
screen /dev/ttyUSB0 115200

# ZTP prompt göründüğünde:
anchorspot-edge login: enroll
Enrollment Token: AXPR-7K9M-2LQN

:::tip Token Yenileme 24 saatlik token süresi dolmuşsa konsolda ilgili cihaz kaydına gidip Yeni Token Üret düğmesine tıklayın. :::

---

Adım 4: Otomatik Self-Provisioning

Token doğrulandıktan sonra cihaz otomatik olarak:

1. SiperOne PKI'dan mTLS istemci sertifikasını alır.
2. Site yapılandırmasını (SSID'ler, kimlik doğrulama yöntemleri, politikalar) çeker.
3. Yerinde RADIUS sunucusunu başlatır.
4. Yerinde captive portal servisini başlatır.
5. Log imzalama anahtarlarını oluşturur ve TPM'e mühürler.
6. Konsol ile gRPC tüneli kurar (yönetim ve analitik için).

Süreç genellikle 3–5 dakika sürer. Konsoldaki site sayfasında cihaz "Çevrimiçi — Edge Aktif" olarak görünür.

---

Adım 5: Yerinde Portal Çalışma Modunu Doğrula

Konsolda Siteler → [Site Adı] → Cihaz Durumu sayfasını açın:

Gösterge	Beklenen Değer
Bağlantı	Çevrimiçi
Portal Modu	Edge (Yerinde)
RADIUS Durumu	Aktif
Disk Şifrelemesi	LUKS Aktif
dm-verity	Doğrulandı
Son Sync	< 1 dakika önce

Bir test cihazı Wi-Fi'a bağlayın ve captive portalın açıldığını doğrulayın. Portal sayfası artık yerel ağdan yüklenir (internet bağlantısı kesilse bile açılır).

---

Adım 6: Kimlik Doğrulama, Marka ve Politikalar

Tüm yapılandırma bulut konsol üzerinden yapılır; cihaz gerçek zamanlı senkronize eder.

Konsol → Siteler → [Site Adı] menüsüne gidin:

• Kimlik Doğrulama: SMS OTP, WhatsApp, E-posta, Sponsor, Kupon, PMS, TC Kimlik — Standard paketle aynı
• Portal Tasarımı: Logo, renkler, KVKK metni, özel CSS
• SSID Yapılandırması: Her SSID için bağımsız politika
• Oturum Limitleri: Süre, bant genişliği, günlük kota
• Walled Garden: İzin verilen domain ve IP listesi

:::info Çevrimdışı Mod İnternet bağlantısı kesildiğinde konsol erişimi geçici olarak kesilir; ancak yerel RADIUS ve portal çalışmaya devam eder. Yeni kimlik doğrulama istekleri (SMS OTP, WhatsApp) internet gerektirdiğinden bu yöntemler çevrimdışı modda çalışmaz. Sponsor onayı ve kupon/voucher yöntemleri çevrimdışında da çalışır. :::

---

Çevrimdışı Süreklilik

Senaryo	Davranış
İnternet bağlı, konsol ulaşılabilir	Normal mod — tüm özellikler aktif
İnternet kesildi (ilk 4 saat)	RADIUS önbellekten oturum doğrular, portal açık çalışır
İnternet kesildi (4 saatten sonra)	Yeni oturum açılamaz; mevcut aktif oturumlar devam eder
İnternet geri geldi	Otomatik yeniden bağlanma, log sync, yapılandırma sync
Konsol erişilemez, internet var	Portal ve RADIUS çalışır; log'lar kuyrukta bekler, sync olunca gönderilir

---

OTA Güncelleme Süreci

Güncellemeler otomatik olarak gece 02:00–04:00 saatleri arasında uygulanır (yapılandırılabilir pencere).

Manuel Güncelleme Tetikleme

# Konsol üzerinden
Siteler → [Site] → Cihaz → Güncelleme Kontrol Et → Şimdi Güncelle

# SSH erişimi varsa (yönetim VLAN'dan)
ssh anchorspot@192.168.30.10
$ sudo rauc status
$ sudo rauc install https://updates.siperone.com/edge/latest.raucb

Güncelleme Akışı

1. RAUC: Güncelleme paketi indirilir
2. cosign: Paket imzası doğrulanır (SiperOne imzalama anahtarı)
3. İmza geçerliyse: Pasif bölüme (B) yazılır
4. dm-verity hash'leri yeniden hesaplanır
5. Reboot: Yeni bölüme (B) geçilir
6. Başarılı boot: B bölümü aktif olarak işaretlenir
7. Başarısız boot: A bölümüne otomatik geri dönülür

:::tip Güncelleme Penceresi Kritik ortamlarda (otel, hastane) güncelleme penceresini gece 03:00–04:00 olarak ayarlayın. Konsol → Ayarlar → Güncelleme Politikası menüsünden yapılandırabilirsiniz. :::

---

Sorun Giderme

Cihaz ZTP Yapamıyor

Belirti: Cihaz 5 dakika sonra hâlâ "Çevrimdışı" görünüyor.

1. ETH0 portuna WAN kablosu takılı mı? LED yanıp sönüyor olmalı.
2. Token doğru mu? Token büyük-küçük harf duyarlıdır; tire işaretlerine dikkat edin.
3. DNS çalışıyor mu? ZTP için ztp.siperone.com erişilebilir olmalı.
4. Güvenlik duvarı: Çıkış trafiğinde 443/tcp (HTTPS) ve 853/tcp (DNS over TLS) izinli mi?

# Geçici web arayüzünden (http://192.168.1.1:8080) ağ tanılama çalıştırın
Diagnostics → Connectivity Test → Run

dm-verity Boot Hatası

Belirti: Cihaz boot etmiyor, kırmızı LED.

Bu durum genellikle donanım arızası veya NVMe bozulmasından kaynaklanır. Cihazı kapatın, güç adaptörünü çıkartın, 30 saniye bekleyin ve tekrar açın. Sorun devam ederse SiperOne destek ekibine başvurun — disk imajı USB üzerinden yeniden yazılabilir.

RADIUS Yanıt Vermiyor

Belirti: Misafirler kimlik doğruladıktan sonra internete erişemiyor.

# SSH ile edge'e bağlanın
ssh anchorspot@<edge-ip>
$ sudo systemctl status radius-local
$ sudo journalctl -u radius-local -n 50

RADIUS servisi durmuşsa yeniden başlatın:

$ sudo systemctl restart radius-local

---

Sonraki Adım

• İlk Giriş ve Yapılandırma → — Konsol dashboard'u, marka özelleştirme, oturum limitleri, KVKK metni