zondag 5 februari 2017 15:49

Acties:
  • 0 Henk 'm!
  • Jan1974
  • Registratie: September 2012
  • Laatst online: 01-08-2020

Jan1974

Topicstarter
Wij hebben een vakantieverblijf, ons kantoor en onze woning op 1 netwerk zitten. Ik wil het netwerk gaan aanpassen en vraag daarom jullie mening.

Wij hebben netwerk met wifi via 5 unifi ap's met daarop 2 SSID's. Eentje voor onszelf en een tweede gast SSID met daarop via de unifi controller guest restrictions (Post-Authorization Restrictions for 192.168.0.0/16). Daarmee kunnen de gasten op het wifi onze apparatuur niet zien en ook elkaar niet.

Even samengevat:
  • Draytek Vigo 2925n router
  • Unmanged Netgear switches
  • 5 Unifi ap’s
  • NAS
  • Printers
  • our private workstations
  • Unifi controller
Op zich werkt het zo allemaal, maar steeds meer gasten brengen apparatuur mee op hun vakantie zoals apple tv, sonos geluidssysteem, videoserver, etc. In de huidige situatie kan de verschillende apparatuur elkaar niet zien en dat levert dus een probleem. Ze kunnen bijvoorbeeld dus geen video streamen van hun iphone naar hun apple tv e.d.

Ik wil ons netwerk nu aanpassen. Mijn idee is om de unmanaged switches te vervangen door Netgear GS108Ev3 managed switches. (mooiste zou wellicht zijn om ubiquiti switches te kopen, maar dat wordt me wat te kostbaar. Heb er 6 nodig).

Vervolgens wil ik 3 vlan's aanmaken op de draytek router en de switches. In de unifi controller stel ik de ap's in om vlan id 2 te gebruiken voor onze prive SSID en vlan id 3 voor het guest SSID.
  • Vlan1 met dhcp 192.168.1.x voor een default / admin vlan met daarop de managed switches, de unifi controller de unifi ap’s
  • Vlan2 met dhcp 192.168.2.x voor onze eigen macs, de NAS, printers, diverse webcams, etc.
  • Vlan3 met dhcp 102.168.3.x het gasten wifi.
Op deze manier kunnen de gasten hun apparatuur onderling zien en niet onze apparatuur.


Mijn vragen:
  • Gaat het lukken met de Netgear GS108Ev3 switches of kan ik toch beter wat meer investeren?
  • Is dit de juiste oplossing of hebben jullie nog suggesties / correcties?
  • Om de boel te kunnen beheren, denk ik dat ik via draytek inter vlan routing een link moeten maken tussen vlan1 en vlan2?

zondag 5 februari 2017 17:19

Acties:
  • 0 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 23:16

lier

MikroTik nerd

Volgens mij kan het veel eenvoudiger (als de gasten alleen van WiFi gebruik kunnen maken):

- twee netwerken (default en vlan tagged)
- huidige unmanaged switches behouden
- vlan tagged netwerk voor guest gebruiken (1 ssid voor eigen netwerk, andere ssid gekoppeld aan vlan voor gastennetwerk).

Eerst het probleem, dan de oplossing

zondag 5 februari 2017 18:55

Acties:
  • 0 Henk 'm!
  • NL_Scratch
  • Registratie: Juli 2009
  • Laatst online: 23-09 20:24

NL_Scratch

Ik denk dat je probleem nu komt door client isolation. Eigenlijk is dit ook wel gewenst want al je gasten nemen ook van alles mee waarvan het maar weer de vraag is wat er allemaal op staat en open staat.

zondag 5 februari 2017 19:43

Acties:
  • 0 Henk 'm!
  • Jan1974
  • Registratie: September 2012
  • Laatst online: 01-08-2020

Jan1974

Topicstarter
mijn huidige switches zijn niet geschikt voor vlan. Dus dan werkt de oplossing van "lier" toch niet?

zondag 5 februari 2017 19:53

Acties:
  • 0 Henk 'm!
  • Jeroen_ae92
  • Registratie: April 2012
  • Laatst online: 15:49

Jeroen_ae92

als ik het goed begrijp wil je dat het GUEST netwerk zich identiek gedraagt als het normale LAN netwerk met enkel de wens/eis dat de gasten niet op het normale, privé, LAN kunnen komen. Maar dat een gast van bungalow A muziek kan afspelen op de Sonos van bungalow B is prima? Want dat is wat er gaat gebeuren als je client isolation uit gaat zetten. Dit lijkt me zeer onwenselijk en kan zelfs tot frustratie van je gasten leiden.

Ik mis even de situatie schets maar moet ik het zien als camping of vaste bungalows? En zijn het dat Outdoor AP's of indoor AP's.

Als het losse bungalows zijn, dan maak je per bungelow 1 AP met 3 SSID's.
1: Prive wifi
2: Guest wifi met client isolation en vouchers van mij part
3: bungalow nummer met uniek WW en zonder client isolation
Per SSID maak je ook een VLAN en om zo het verkeer logisch te scheiden van elkaar en deze firewall je van elkaar. Indien je 5 bungalows hebt, dan dien je dus 7 VLANnen te hebben. Namelijk:
1: Prive wifi
2: Guest wifi
3: bungalow 1
4: bungalow 2
etc.

U+

zondag 5 februari 2017 19:53

Acties:
  • 0 Henk 'm!

Verwijderd

Beide netwerken moeten VLAN's hebben. Die gastennetwerk kan je eventueel ene hotspot opzetten, of anders routeren. Maar VLAN's en andere subnetten zijn essentieel (bv. 192.168.45.0/24 voor prive en 10.0.0.0/24 voor gasten). Gebruik ook een hoog VLAN nummer (bv. VLAN 3487 voor prive en 1935 voor gasten).

Ik weet niet of Ubiquiti client isolation standaard aan heeft staan, maar je moet het wel aan hebben staan voor de gasten. Als zij dan zeuren dat hun apparaten niet elkaar zien, is hun probleem.

Wil je dat ook toelaten, dan moet je met unieke passwords / codes gaan werken (en deze uitgeven). Dan ben je een stuk verder.

En wat Jeroen zegt is ook een idee. Alleen zou ik privé SSID helemaal weglaten in de bungalows. Hebben ze niet nodig, en is overbodig. Straks gaat een scriptkiddie een brute force op de AP doen, en laat de PC een paar dagen achter elkaar aanstaan..... Geheid dat hij er door komt als het een simpel wachtwoord is zoals "huisvanpieter156". Heb je daarentegen een wachtwoord als

3twxRb&#oOJNuHsg2E\fXvBDC7!y,VpU90edQiqZ5hmS1TPlraFn-zj%+WGKc/8

Tja, knappe kop als hij daar doorkomt. Maar het is voor jouw ook niet werkbaar.

Ik zou zeggen, zet Privé netwerk uit.

[ Voor 31% gewijzigd door Verwijderd op 05-02-2017 19:59 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq