Port-based VLAN, hoe doe ik het goed?

Ik ben op zoek naar een manier om een internetverbinding (Ziggo) bekabeld te delen met 8 appartementen. Dat kan natuurlijk door een domme switch aan de modem (Technicolor TC7210) te hangen en zo een voor iedereen toegankelijk netwerk te maken. Dat wil ik niet! Het enige dat gedeeld zou moeten worden is de internetverbinding en verder zou ieder appartement z'n eigen subnet moeten hebben, zodat men a) niet in elkaars routers of devices kan gaan neuzen, en b) een verkeerd aangesloten router (DHCP aan en via LAN-poort in netwerk gehangen) niet meteen het hele netwerk platlegt.

Om dit te bereiken moet ik volgens mij met VLANs werken. Ook denk ik te weten dat ik in de beschreven situatie het beste een port-based VLAN kan gebruiken. Dan nu mijn vragen:
1. Kan dat door deze switch te gebruiken: https://tweakers.net/pric.../tp-link-tl-sg1016de.html, of heb ik (daarnaast) een router nodig die VLANs begrijpt?
2. Als ik deze switch op de Ziggo modem aansluit, heb ik nog 15 poorten over... Kan ik aan elk van die 15 poorten een VLAN toewijzen, zodat op de switch aangesloten apparaten automatisch in een eigen subnet zitten? Of begrijp ik het concept dan verkeerd?
3. Als het inderdaad werkt zoals hierboven beschreven, is de Ziggo router nog steeds de gateway voor ieder subnet, toch? Betekent dit dat via deze router de verschillende subnetten elkaar nog steeds kunnen bereiken (dat is uiteraard niet de bedoeling), of zou die route dan eerst handmatig moeten worden aangemaakt?

Ik hoop dat mijn vragen duidelijk genoeg zijn en alvast bedankt voor het meedenken!

Bedankt voor de uitgebreide reacties!

Felyrion schreef op dinsdag 29 november 2016 @ 16:45:
1) Je zult de VLAN's ook op de uplink van de switch moeten hebben, dus zul je in ieder geval een router moeten hebben die VLAN's begrijpt. De switch die je linkt ken ik niet, maar aan de reviews te zien zal dat wel lukken.

Helder, en logisch! De Ziggo router doet dit inderdaad niet. Dat zou betekenen dat ik die in bridge-modus moet laten zetten en vervolgens een eigen router (https://tweakers.net/pric...biquiti-edgerouter-x.html?) en de genoemde switch zou kunnen gebruiken. Is het trouwens niet mogelijk om die router en switch functionaliteit in één device te krijgen? Er lijken geen routers te zijn met meer dan 8 poorten!

2) Ja, dat klopt, alleen zou ik zeggen dat iedere poort zijn eigen netwerk krijgt. Subnet is technisch gezien iets anders.
Je geeft voor elke poort een eigen (untagged) VLAN op en wat je daar op aansluit zal alleen op dat VLAN communiceren.

Hm, hier wreekt zich mijn beperkte kennis van netwerken. Ik noemde het subnet, omdat deze handleiding van Draytek het zo beschrijft!

EDIT (koppigheidsmodus):
En toch betwijfel ik of dat wat ik wil niet kan . Als ik dit verhaal lees, en vervolgens kijk naar de softwarefeatures van de genoemde switch, zou je toch haast denken dat alleen die switch genoeg moet zijn. Ik ben bang dat ik ongelijk heb , maar kan iemand uitleggen waarom?
/EDIT

3) Zie 1, ik denk niet dat je jouw geschetste situatie kunt realiseren op een standaard ziggo router.

Dat klopt dus, helaas.

ter aanvulling:
Ik heb zelf eens iets vergelijkbaars gedaan. Daar heb ik een virtuele PFSense firewall ingericht. Deze heb ik meerdere interfaces gegeven die elk in een eigen VLAN communiceren. Met firewall rules kun je dan netjes zelf bepalen welke interfaces met elkaar mogen babbelen.

Dit zou perfect zijn, maar ik zie dat het draaien van pfSense redelijk prijzige hardware vereist: met een Raspberry Pi (ARM) gaat het al niet lukken. Maar, ik hou dit in m'n achterhoofd als eventueel 'last resort'.

MaxTheKing schreef op dinsdag 29 november 2016 @ 17:20:
pfSense is inderdaad een goede oplossing voor deze situatie. VLAN's zijn makkelijk te maken en af te scheiden van elkaar (Firewall rules). Ook een voordeel is dat pfSense vrijwel op elk systeem kan draaien, zolang er maar 2 of meer LAN poorten aanwezig zijn.

Als er een goedkoop systeempje is, hoor ik het graag! Ik kan hier zelf ook nog wat beter naar zoeken.

MAX3400 schreef op dinsdag 29 november 2016 @ 17:25:
[...]

Tegenvraag: waarom?

Omdat het een pand betreft met slechts één AOP. Een soort studentenhuis dus met gedeelde voordeur, maar verder gescheiden appartementen/studio's.

Anders dan kostenoverwegingen, kan je dit alleen maar last op de hals halen. Want als Ziggo jou (als abonneehouder) op de hoogte stelt dat je verbinding geblokkeerd is omdat er spam is verstuurd, hoe los je dat op?

Dit probleem bestaat zowel met als zonder VLANs, dus eerlijk gezegd is deze hypothetische situatie wel wat offtopic. Nietemin iets om rekening mee te houden, maar gezien de omstandigheden zie ik weinig alternatieven.

Geen idee hoe snel de verbinding is maar als je "gemiddeld" van 3 devices in het huishouden naar zometeen 24 devices in alle huishoudens gaat, heb je zomaar kans dat je wel iets met traffic-management, QoS, etc moet gaan doen. Niet dat 1 persoon even 100GB aan "films" binnentrekt en de rest niet eens een mailtje kan versturen.

Zeker waar, en dit pleit weer meer voor een pfSense-achtige oplossing.

En als laatste tip: lees even de kleine letters en fair use policy van Ziggo. Iets zegt me dat je eenvoudigweg niet legaal bezig bent.

Ik snap wat je bedoelt, maar nogmaals: het gaat hier om inpandig gescheiden woonruimten.

[ Voor 7% gewijzigd door HenkDePoema op 29-11-2016 19:30 ]

CyBeR schreef op dinsdag 29 november 2016 @ 20:07:
Je kunt twee dingen doen, grofweg:

• Neem een L3 switch en laat die je interne routing doen (acl's om te zorgen dat je verschillende subnets niet bij elkaar kunnen, of juist wel) en één router die alle subnets routeert in een keer.
• Neem een L2 switch en stel een trunkpoort in naar een router die vervolgens een vlan-interface in elk vlan heeft zitten.

Optie 1 is het beste als je ook inter-vlanverkeer hebt. Als je daar helemaal niks van hebt is optie 2 waarschijnlijk wat goedkoper uit te voeren. Dat kan met elke managed switch en bijvoorbeeld een edgerouter van ubiquiti.

Dit biedt duidelijkheid, bedankt!
Optie 1 spreekt me het meeste aan, omdat ik dan met 1 device klaar ben (mits de Ziggo router die subnets kan routen, en daar ben ik niet zeker van).
Optie 2 is volgens mij 'zoals het hoort', maar ik probeer de aanschaf van 2 apparaten te vermijden . Overigens is er op geen enkele manier inter-vlanverkeer vereist.

Ik las iets over port isolation, een methode die volgens o.a. dit verhaal wordt gebruikt om netwerkverkeer dat via dezelfde switch loopt van elkaar te isoleren, zonder dat per fysieke poort een vlan ingericht hoeft te worden. Dat lijkt me wat ik moet hebben, tenzij dat verkeer op L3-niveau (in de Ziggo router) alsnog weer aan elkaar geknoopt wordt.
Deze switch ondersteunt ook port isolation en dat lijkt me, gezien de handleiding, wel rechttoe-rechtaan in te stellen. Is dit een reële 3e optie (als in: worden ip-conflicten als gevolg van verkeerd aangesloten routers hiermee voorkomen) of wil ik het dan echt te simpel oplossen?

Het moge duidelijk zijn, ik ben danig op zoek naar de eenvoudigste oplossing, die de aanschaf van extra hardware zoveel mogelijk onnodig maakt!

Brahiewahiewa schreef op woensdag 30 november 2016 @ 01:04:
Misschien moet je je doelstelling aanpassen. In de praktijk zal namelijk blijken dat iedereen wifi wil, voor telefoons, tablets en laptops. Dat zie ik in jou plan niet terug dus ik neem aan dat iedere bewoner daar zelf voor moet zorgen. Dan zit je dus binnen de kortste keren met minstens 8 ap's in het netwerk. En de meeste ap's zullen wifi-routers zijn, waarvan het routing gedeelte niet gebruikt wordt.

Dus ik zou zeggen: "hou het simpel". Biedt gewoon een onveilig gedeeld netwerk aan. Als een bewoner een veilig netwerk wil, sluit-ie er z'n eigen router op aan en als dubbel-NAT 'm irriteert dan is-ie ook vast wel slim genoeg om uit te vogelen hoe hij de tweede NAT kan voorkomen.

Het is inderdaad zo dat de meeste gebruikers een eigen (router als) AP neerzetten. Maar dit wordt niet altijd goed gedaan, waardoor er IP-conflicten ontstaan en soms het hele netwerk zonder internet komt te zitten. De verschillende gebruikers zien elkaar niet als huisgenoten (en zijn dat feitelijk ook niet), waardoor overleg hierover moeizaam verloopt.
Vandaar mijn zoektocht naar een foolproof systeem, waarbij in elk appartement de kabel vanaf de centrale switch naar eigen inzicht gebruikt kan worden, zonder de andere bewoners in de weg te kunnen zitten.

Op dat onveilige netwerk kun je dan meteen de servers zetten voor de bierlijst, het corvee rooster en het "wie kookt wanneer" schema

Dat zou in een studentenhuis goed kunnen, maar deze situatie is dus anders (sorry voor de onduidelijkheid)!

MaxTheKing schreef op woensdag 30 november 2016 @ 11:08:
Ik draai pfSense zelf op een Igel H700c Thin-Client, voor 2 tientjes op eBay gekocht. Even een Intel Dual Gigabit netwerkkaartje toegevoegd en done. Je hebt een super router. pfSense heeft helemaal geen krachtige hardware nodig om te draaien, waar je dus wel op moet letten is dat het systeem dat je koopt over minimaal 2 RJ-45 poorten beschikt.

Bedankt voor de tip! Dit lijkt inderdaad een van de weinige goedkope thin clients te zijn waar een extra netwerkkaart in geplaatst kan worden.

Trommelrem schreef op woensdag 30 november 2016 @ 11:20:
[...]
Waarom probeer je dan een probleem op te lossen door een ander probleem te creeeren?
Bij Ziggo heb je de keuze: /32 of /29. Voor zover ik weet bestaat er een aanvraagformulier voor /28 of iets anders. Dan hoef jij er geen werk in te steken, maar dan is het gewoon ieder voor zich en kun je ook niet achteraf supportgezeik krijgen.

Dit klinkt interessant, kun je hier meer over vertellen? Waar kan ik zo'n formulier vinden, en hoe zou dit er uit komen te zien in deze situatie?

mindwarper schreef op woensdag 30 november 2016 @ 12:08:
ik heb wat TS wil zellf gedaan inderdaad
1. Ziggo ubee modem in Bridge --> WAN port ASUS RT-AC68U
2. ASUS RT-AC68U met static IP route voor al mijn gebruikte IPv4 van VLAN subnets (ja 1 route, leve supernetting en CIDR) --> Cisco 3750G switch
3. dan in Cisco 3750G switch een aantal VLANs gemaakt met IP reeksen die ik wil gebruiken en dan ook wat ACLs gemaakt om het e.e.a. te blokkeren
4. en ook verder in woonkamer uplinks gemaakt van andere cisco 2960X switch naar deze 3750G en op deze L2 switch dan een antal ports enkel VLAN op gezet en voila, klaar

dat in een notendop
maar het goed inregelen en aanleggen kost wel wat goede netwerkkennis en tijd
maar dat vind ik nu leuk
het kost hier wellicht iets teveel om het allemaal uit de doeken te doen, dus als er meer info gewenst is kan ik dat natuurlijk geven

Bedankt voor dit voorbeeld! Het is misschien (en hopelijk ) wat complexer dan ik nodig heb, maar goed om te weten dat het kan en ik gebruik kan maken van jouw ervaring

Allen bedankt voor de reacties, en excuses voor de late terugkoppeling. We zijn eruit, het blijft zoals het was . Dus gewoon een domme switch aan de bestaande Ziggo router. Er is geen draagvlak voor een zakelijk (= duurder) abonnement, en ook niet voor de eenmalige investering in een VLAN-ondersteunende router en switch.

Toch zijn de geboden oplossingen interessant en vooral leerzaam. In deze casus is de netste oplossing om voor een /28-abbo te gaan (ik wist eerst niet wat dit inhield), maar eerlijk gezegd verbaast het me dat ik niet meer info heb kunnen vinden over mijn oorspronkelijke aanpak. Het zal allicht te maken hebben met het vermeende botsen van zo'n VLAN setup met de algemene voorwaarden van ISP's, en misschien ook dat dit wat meer richting professionele netwerkinrichting gaat. Die Mikrotik RB3011 schijnt wel een behoorlijke leercurve te hebben voor de niet-professionele netwerkbeheerder, al was ik waarschijnlijk niet voor teruggedeinsd!

Desalniettemin, mijn netwerkkennis is dankzij dit topic weer behoorlijk bijgespijkerd, en daarvoor dank!