Aansluiting op Telenet met meerdere VLAN's, gastnetwerk...

Hi Tweakers

Het doel

Er komt een nieuwe netwerkinstallatie in een nieuw huis met wel wat camera's, domotica, PC's, digitale TV, twee access points (waarschijnlijk zelfs drie, later mogelijks vier) en een gastnetwerk. Ik wil dit alles dus een beetje deftig beveiligd hebben.

Het gastnetwerk hoeft in principe slechts vanaf één AP uitgezonden te worden. Het is weinig waarschijnlijk dat dit ook op de bovenverdiepingen gebruikt zal worden, maar ik wil de mogelijkheid niet uitsluiten. Zeker omdat er later misschien nog een AP buiten in de tuin gehangen zal worden.

• Het gastnetwerk moet VOLLEDIG gescheiden zijn van het eigen netwerk.
• Hiermee mag enkel op internet gesurft kunnen worden (en e-mail etc.), maar vreemde poorten en dergelijke wil ik kunnen blokkeren.
• Verder wil ik een limit op MAC-adres ofzo, zodat de buren niet permanent op onze verbinding zitten (waterdicht zal dat wel niet zijn).
• Een in te stellen limiet op snelheid is mooi meegenomen.
• Bij de eerste maal connecteren moet men op een pagina komen met de algemene voorwaarden die men moet accepteren. Dit is niet noodzakelijk, maar zou wel leuk zijn.
• Ik ben in eerste instantie niet van plan er een wachtwoord op te zetten, maar misschien verander ik later van idee, waarbij ik dan iedere maand het wachtwoord wijzig.
• Ik wil volledige logs van de connecties en het verbruik hebben, zodat mocht er toch iemand dagelijks de verbinding gebruiken, ik dit eenvoudig kan zien en acties ondernemen.

De ISP is Telenet (Vlaanderen) (zie ook opmerking boven de schets!).
Verder komen alle UTP-kabels samen op één punt op een patchplaat.

Budget vormt op zich geen probleem, maar het moet natuurlijk wel een beetje verantwoord zijn.

Ik heb een min of meer uitgewerkt idee in mijn hoofd, maar alvorens de hardware aan te kopen, wil ik dit toch even bij de specialisten (jullie dus) verifiëren.

Mijn idee/oplossing

Werken met VLAN's lijkt mij de te volgen weg. Ik heb in het verleden wel al eens wat configuraties op een access point met VLAN's aangepast, maar nog nooit zelf helemaal een VLAN geconfigureerd. Mijn (professionele) netwerkkennis is eerder basis.

Mijn eerste idee was om te werken met een managed switch en daarop de VLAN's en DHCP in te stellen (en DHCP van de router uitschakelen). Na wat zoekwerk, blijkt echter dat de router dit ook moet ondersteunen (omwille van NAT ofzo). Ik vrees echter dat dit met de router die Telenet zelf installeert niet mogelijk is (alhoewel ik dit niet zeker ben).
Is er iemand die hier ervaring mee heeft (specifiek met de Telenet router)?


Voor wie niet vertrouwd is met de ISP Telenet, moet je toch enkele zaken weten:

• Je krijgt een router met modem van Telenet zelf. Deze kun je NIET vervangen door een eigen toestel. Je kan deze ook niet zomaar beheren via ip (192.168.0.1), maar moet inloggen op mijn.telenet.be om deze te beheren. Zonder internetverbinding, kan je dus ook je eigen router niet configureren.
• Digitale TV werkt gewoon over coax-kabel. Het is dus geen IPTV (bij mijn weten). De netwerkkabel vanaf de digibox naar de router dient enkel voor het interactieve gedeelte (video on demand etc.).
• De digibox (TV) krijgt twee ip-adressen toegekend. Eén in jouw interne netwerkrange en een publiek ip rechtstreeks van Telenet zelf. Daarom zegt Telenet dat deze steeds rechtstreeks met de router verbonden moet zijn (geen AP's of managed switches tussenin), alhoewel een unmanaged switch tussenin wel kan.
  Het lijkt mij echter dat, mits de juiste configuratie, het weldegelijk mogelijk moet zijn de digiboxen na een managed switch te zetten, vraag is echter of het nodig is in mijn geval.
• Technische vragen aan Telenet zelf stellen heeft weinig zin, daar in de verkooppunten enkel verkopers zitten (hadden nog nooit van VLAN gehoord). Ook telefonisch is de kans klein dat je bij iemand terecht komt die begrijpt waarover het gaat. Daarom hoop ik op wat Tweakers met de nodige kennis en ervaring.

Toestel A is dus de aansluiting op de kabel van Telenet (modem/router van Telenet).

Vervolgens zou ik rechtstreeks daaraan de eigen router koppelen en hierin de VLAN's etc. configureren. ( toestel B )
De beide TV's worden rechtstreeks aangesloten op de Telenet router (rood alternatief in de schets, negeer de groene lijnen) (reden: zie opmerking over Telenet boven de schets).
Verder wordt geen enkel toestel rechtstreeks op de Telenet router aangesloten.

Alle andere toestellen en AP's worden op de eigen router ( B ) aangesloten.
WiFi op toestel A wordt volledig uitgeschakeld.

Mijn vragen hierbij:

• Is dit veilig?
  • Daar de digiboxen sowieso een publiek IP krijgen, lijkt het mij voor deze toestellen weinig uit te maken. Ik heb echter geen idee wat het private ip-adres voor invloed kan hebben.
  • Het is tenslotte ook maar TV, dus daar lig ik het minst wakker van. Tenminste als het geen kwetsbaarheid vormt voor de rest van het netwerk.
  • Zijn de VLAN's hierdoor effectief volledig gescheiden of zal die Telenet-router die er nog voor staat roet in het eten gooien?
• Daar er twee routers na elkaar staan, zal er dubbel NAT-translation optreden. Voor zover ik hier en daar rondgelezen heb, is dat meestal niet erg. (heb hier vroeger ook nog nooit problemen mee ondervonden)
  Om dit te vermijden heb ik begrepen dat ik het ip van router B kan instellen in de DMZ van router A.
  • Klopt dit, of moet er nog iets extra gebeuren?
  • Kan dit met Telenet? (Dacht van wel, maar ben niet zeker)
  • Ik verlies dan wel de firewall functionaliteit van router A, maar heb die nog steeds in router B, dus dat zou weinig moeten uitmaken.

Alternatief moet alles achter de eigen router ( toestel B ) komen (groen alternatief in de schets, negeer de rode lijnen).

In dit geval doet de router van Telenet helemaal niets. Telenet zou ook een modem-only-toestel hebben (toestel A ). Tijdens de installatie door Telenet zou je kunnen vragen dat men dit installeert i.p.v. de gebruikelijke router/modem combinatie. Ik had er voordien nog nooit van gehoord en ken ook niemand die dit heeft.
Ik heb echter geen flauw idee wat het weglaten van de Telenet-router van invloed heeft voor de digitale TV.
Heeft iemand hier ervaring mee?
Ik loop liever geen risico dat dit theoretisch mogelijk moet zijn, maar in de praktijk dan niet blijkt te werken.

Aangezien er in dit scenario slechts één router is, lijkt mij de voorgestelde setup wel volledig waterdicht

Andere alternatieven

Maak ik het nodeloos ingewikkeld en zijn er andere alternatieven voor handen, stel gerust voor.

Hardware

• Raden jullie aan om te werken met één merk voor routers, switches en AP's of maakt het niet uit?
  Eén voordeel dat ik zie om voor één merk te kiezen is single-point-of-setup-mogelijkheid.
• Als ik zelf een router die VLAN ondersteunt moet kopen, neem ik dan best één met 24 poorten zodat ik er meteen genoeg heb, of raden jullie een kleinere router aan met daarna een managed switch met voldoende poorten. Zoals gezegd, de kabels komen toch allemaal op één punt uit.
  Op de plaats waar de router hangt, hoeft geen draadloos signaal voor handen te zijn, dus deze hoeft niet over een ingebouwd AP te beschikken. Het mag natuurlijk wel!
• Als jullie specifieke merken of toestellen aan- of afraden, feel free to post (maar het hoeft niet echt).

Alvast bedankt

Kurt De Naeyer

Bedankt voor de reactie DennusB, maar een kleine voorwaarde die ik niet vermeld had, is dat ik donkerkleurige AP's wil. Die witte vallen iets te hard op tegen de achtergrond waar ik ze wil hangen.
Dit is geen harde eis. Desnoods ga ik er even met een zwarte spuitbus overheen. De functionaliteit primeert uiteraard.


Mijn grootste vraag blijft echter, is die situatie met twee routers een goede en waterdichte oplossing.

Oké @DenBenny, geweldig om te horen dat het dus kan met die modem-only. (Hopelijk lukt het mij dan ook)

Nog even voor de zekerheid, gaat het dan zo bij jou?

Telenet modem-only --> Edge Router WAN (tagged met eigen VLAN id, bvb 31) --> Edge Switch --> digiboxen/digicorders (eveneens VLAN 31)

Of is het:

Telenet modem-only --> Edge Router WAN (tagged met eigen VLAN id, bvb 31) --> Edge Switch --> digiboxen/digicorders (eigen VLAN, bvb 32)
waarbij 31 en 32 onbeperkt kunnen communiceren

Ik heb de Edgemax even opgezocht en het grootste verschil lijkt er op dat je iets meer mogelijkheden hebt dan de Unify-serie, daar waar de unify focust op installatiegemak en de verschillende devices beter out-of-the-box samenwerken.
Tenzij ik nog andere verschillen vindt, denk ik dat ik beter af zal zijn met de Unify-toestellen.


@Toon-VA, oké, dat lijkt mij min of meer hetzelfde verhaal. De optie Dynamic DNS is inderdaad zeer interessant (ik ging er eigenlijk van uit dat dat ondertussen wel op de meeste routers aanwezig is, maar ik zal er toch even extra op letten)

Telenet moet nog langs komen voor de installatie en men heeft mij wel verzekerd dat de technieker steeds een modem-only bij heeft, dus daar ben ik wel gerust in.

De camera's zelf hebben hun eigen fysiek gescheiden netwerk, dus daar hoef ik geen zorgen over te maken. Enkel de recorder hangt in het netwerk, maar daar zag ik tot nu toe geen reden om die op een apart VLAN te stoppen. Ik wil hem sowieso vanaf internet kunnen bereiken.
Als ik hem toch in een apart VLAN stop, brengt dat dan eigenlijk voordelen met zich mee? Ik wil hem kunnen bereiken vanaf mijn privé VLAN, dus de verbindingen tussen privé VLAN en camera recorder VLAN moet ik toch open zetten (misschien slechts enkele poorten), tenzij ik permanent over internet ga, maar dat lijkt mij ook nutteloos.


Ik wacht nog even af in de hoop dat er nog enkele anderen hun ervaring delen.

Kurt

quote:

DenBenny schreef op maandag 16 oktober 2017 @ 20:00:
Ik heb destijds bij de installatie gewoon een modem only gevraagd, dit was geen probleem (ik heb nooit zo'n modem-router-wifi spul van Telenet gewild). De installateur heeft deze toestellen normaal gezien bij.

Mijn modem only ethernet poort is verbonden met mijn switch op een appart VLAN met een 6-tal (untagged) poorten. Op deze poorten zitten mijn digicorder en de "WAN" poort van mijn Edgerouter.
De andere poort van mijn Edgrouter (LAN) is een trunk waarop 4 VLANs lopen, deze gaat naar een trunk poort op switch (het VLAN met het signaal van de Telenet modem zit hier natuurlijk niet mee op).
De Edgerouter zit dus tussen het telenet VLAN (WAN) en mijn overige 4 VLANs (LAN).

Ik heb ook een appart VLAN voor mijn IPcams. De cams kunnen niet aan mijn netwerk maar ik kan wel aan de cams vanuit het private VLAN.

quote:

Snake schreef op maandag 16 oktober 2017 @ 20:48:
Bij Telenet met modem only moet je
code:

1 2	Modem -> Switch -> eigen router -> TV

Dit moest, anders rkeeg ik geen TV (verder als 3 dagen voor op te nemen en TV on demand). Als iemand anders de oplossing weet hoe Telenet zijn digicorders werkt, tell me!

En voor de rest: UniFi. Period. Niets is beter momenteel. En je APs bruin spuiten met een spuitbus!

Oké, beide antwoorden samen deden mij plots beseffen hoe het in elkaar zat. Eigenlijk best wel logisch als je er over nadenkt.

@ijske liet mij trouwens nog weten dat je DHCP niet kunt uischakelen bij Telenet (ook niet bij modem-only). Dat lijkt mij echter geen probleem, daar ik de VLAN's wel in een ander subnet gooi en voorbij de WAN van de router maakt het toch niets meer uit.
Met jullie voorgestelde setup krijgen de digiboxen (eigenlijk alles in untagged VLAN) hun ip vanaf de Telenet modem en de rest vanaf de eigen router. (in theorie denk ik dat dit moet werken)

Kurt

quote:

ijske schreef op maandag 16 oktober 2017 @ 19:42:
ik zou wel je voor een modem+router versie kiezen ... simpelweg vanwege de digitaal tv mogelijkheden (bv opnames sharen , swipen etc)

eerste vragen :
- heb jij aparte draden liggen voor accespoints ?
- gaan gasten ooit bekabeld nodig hebben ?

ik zou alles gewoon op de modem gooien (dan heb je ook niet overal managede switches nodig)
enkel heb je een apart simpel routertje nodig , wat je gasten afhandeld, 1 gemanegde switch in je rack en gemanagde accespoints.

Ik heb inderdaad aparte UTP-kabels getrokken vanuit het verzamelpunt naar de plaatsen waar ik een AP ga ophangen.
Gasten gaan nooit bekabeld connecteren (ik zie toch geen reden op dit moment)


Ik denk jouw setup te begrijpen.

Telenet router + modem --> alle eigen toestellen, eventueel via unmanaged switch
...................................... --> aparte router voor gasten (WAN poort van deze router aan LAN van Telenet router)

Voor zover mijn kennis van netwerken gaat, heb je slechts gedeeltelijke afscherming op die manier.

Vanaf privé toestellen naar gasttoestel --> via WAN poort van router, dus afgeschermd
Vanaf gast toestel naar privé --> Telenet router ziet gastrouter als een gewoon LAN toestel en vertrouwt dit dus ook.

De beveiliging loopt dus slechts in één richting en dan net de verkeerde. Dit lijkt mij dus niet waterdicht.

Of ben ik hier verkeerd?

quote:

Toon-VA schreef op maandag 16 oktober 2017 @ 21:13:
[...]


Het guest netwerk word geconfigureerd op je router in een aparte range/vlan. Deze gebruik je ook op de AP,s maar je kan in je router d.m.v. firewall zeggen dat VLAN Guest/Netwerk Guest enkel naar WAN mag en niet naar LAN. Hierdoor zorg je er voor dat niemand op de guest naar je NAS kan connecteren en je vakantiefoto's gaat bekijken.

Inderdaad, dat begrijp ik, maar met wat ijske voorstelde (geen managed switch en enkel de Telenet router gebruiken) zou dat niet mogelijk geweest zijn.
Zijn voorstel is op zich niet slecht, maar ik denk dat het niet 100% mijn doel bereikt. Wat jij en @DenBenny voorstellen lijkt mij beter en zie ik op dit moment als de ideale oplossing voor mij.


Alvast bedankt allemaal

Ik ga nu even mijn hardware uitzoeken, maar met hetgeen ik vandaag al over de Unify's gelezen heb, denk ik wel dat deze het worden.

Eens de finale installatie gebeurd is (binnen enkele weken pas), post ik zeker nog eens een update met hoe de uiteindelijke werkende oplossing er uit ziet. (of hoe ik compleet gefaald ben )

Groeten
Kurt

Hi Tweakers


Zoals beloofd even een beperkt verslag hoe ik het uiteindelijk uitgevoerd heb.

Keuze hardware

Ik heb op aanraden van jullie voor Ubiquiti gekozen en alles binnen de Unifi-lijn. Dit is dus concreet de USG, een 24-poorts switch en (voorlopig één) Unifi AP Pro.
Voor de router heb ik lang getwijfeld om toch de EdgeRouter te kiezen, omdat die meer waarde voor zijn geld leek. Uiteindelijk toch maar voor alles Unifi gekozen, zodat de configuratie zo eenvoudig mogelijk zou zijn en vanuit één controller alles geregeld kon worden.

Telenet installatie

Eerst en vooral te beginnen bij Telenet. Ik heb toch geen modem-only kunnen krijgen. De technieker die de installatie kwam uitvoeren zei deze niet bij zich te hebben (ik denk niet dat dat echt waar was). Hij zei wel dat ze deze enkel nog mogen geven bij een Business Fiber 240 abonnement.
Ik heb zelf weinig moeite gedaan om hem toch te overtuigen, daar ik denk dat het in mijn situatie uiteindelijk weinig zal uitmaken.

Voor wie toch absoluut een modem-only wenst, hierbij een truc die ik in een ander topic gelezen heb: Bestel Business Fiber 240, laat de omschakeling naar modem-only uitvoeren (mogelijks kost het je €85, maar dat lijkt willekeur te zijn wanneer wel/niet), schakel je abonnement terug om naar hetgeen je echt nodig hebt. Dan betaal je één maand het dure abonnement en heb je alsnog wat je wenst.

Eigen installatie

De kleuren staan voor de VLAN's:

• rood: 10 - TELENET
• oranje: untagged
• groen: 20 - private LAN
• blauw: 30 - publieke LAN

rood: 10 - TELENET

Daar ik nu toch een Telenet-router heb, kon ik evengoed alle vier de LAN-poorten van de router zelf gebruiken. Ik had de setup echter al op voorhand voorbereid en heb toch nog poorten over op de switch, dus het had geen zit de patch-kabels te veranderen. Bovendien staat het nu klaar voor mocht ik toch nog naar modem-only overschakelen.
Alle aangesloten toestellen krijgen nu een private ip-adres van de Telenet-router (digicorders krijgen ook een public).
Ter info, mocht ik een modem-only gekregen hebben, kreeg alles een public ip-adres.
WiFi heb ik volledig uitgeschakeld.

USG (router)

De router beschikt over twee WAN-poorten. Nu wordt alles over WAN1 gestuurd en fungeert WAN2 als failover. Ik vermoed dat in mijn setup WAN2 in realiteit geen enkel nut zal hebben.
De WAN-poorten staan standaard ingesteld om een ip te krijgen via DHCP, dus dit werkte meteen.
Voor het LAN had ik als default gateway gelukkig niet 192.168.1.1 gebruikt, waardoor ik nu geen conflict heb met de Telenet-router.
Ik heb no-ip.com gebruikt als dynamische dns provider. Deze staat standaard niet in de lijst, maar als je DynDNS selecteert moet het evengoed werken. (Ik heb het nog niet getest, want de setup voor de camera's is nog niet gebeurd).

Het enige waar ik hier niet 100% tevreden mee ben is de werking van de WAN-poorten. Ik had graag, zoals Toon-VA had aangegeven 2 verschillende publieke ip's op de WAN poorten. Dan kon ik het publieke verkeer over een ander ip sturen, dan het private. Dit kon niet omwille van:

• Mijn WAN's krijgen geen publiek ip, maar enkel een privaat, vanwege de Telenet-router. Hiervoor moet ik dus echt een modem-only hebben.
• De grafische interface voorziet niet in die optie (voor zover ik kon vinden). Je hebt de keuze tussen failover of load balance (met een percentage). Ik twijfel er niet aan dat het weldegelijk mogelijk is buiten de grafische interface om, maar zover wil ik voorlopig nog niet gaan.

Unifi 24-ports switch

Hier is het enkel kwestie van de juiste VLAN's aan de poorten toe te kennen. De switch zelf heb ik ook een fixed ip gegeven.

Unifi AP Pro

Ook deze heb ik een fixed ip gegeven.
De AP straalt twee netwerken uit, mijn private WiFi en een gastnetwerk. Ik maak gebruik van de ingebouwde guest-functie, zonder wachtwoord, maar met een landingspagina. Het gastennetwerk laat ik over een apart VLAN gaan, wat standaard niet het geval is, zodat een netwerkscan eigenlijk niets van mijn eigen aparaten mag detecteren. Verder staat guest issolation en dergelijke standaard aan. Toegang wordt telkens per 8 uur verleend.
Ik heb een beperking ingesteld voor zowel upload- als downloadsnelheid. Ik miste echter een optie om een limiet te zetten op het totaal volume. Zo had ik graag een optie om maximum x MB per client per 8 uur te kunnen downloaden ingesteld (ik weet dat dit sowieso niet waterdicht kan). Dit zou de buren kunnen weghouden, want ik ben vrij genereus geweest met de snelheid.
Naar ik las zou dit wel kunnen als je met vouchers werkt. Ik heb echter geen zin om telkens vouchers aan te maken voor iedere gast. Ik wou het gebruik zo eenvoudig mogelijk, daarom ook geen wachtwoord. Iedereen die binnenkomt moet zonder code of ook maar iets van info op het gastnetwerk kunnen.

Eén probleem dat ik wel opgemerkt heb en na wat research ben ik blijkbaar niet de enige. Nadat men de voorwaarden geaccepteerd heeft op de landingspagina, stuur ik de bezoeker automatisch door naar een website. Als deze website via https aangeroepen wordt, krijg je een waarschuwing van een onveilig certificaat te zien in de browser (ik heb het zelf niet onderzocht, maar blijkbaar wordt je terug naar het ip van de controller gestuurd i.p.v. effectief naar de gevraagde site). Meteen refreshen en je gaat alsnog gewoon verder. Dat maakt het voor mij onbruikbaar, daar het voor een gewone gebruiker totaal niet duidelijk is wat er aan de hand is.

Controller software

Ik heb de software op een PC geïnstalleerd die toch meestal aan ligt. Als deze uit staat, kan niemand toegang tot de landingspagina krijgen en dus ook geen toegang tot het gastennetwerk verschaffen. Wie reeds toegang heeft kan dit wel gebruiken tot dit vervalt (maximum 8 uur).
Gevolg is uiteraard dat ik ook geen logs heb wanneer deze PC niet aan staat.

De controller software draait op java (wat ik normaliter als de pest vermijd). Dan toch maar gedownload en geinstalleerd. De controller zelf heb ik als service laten draaien, maar hiervoor moet je de firewall wel aanpassen en de juiste poorten open zetten, anders vindt de controller de toestellen in jouw netwerk niet.
De huidige Java versie is 8 update 151. Hier zit één of andere bug in, waardoor de landingspagina voor het gastennetwerk niet werkt (probleem met gzip). Na wat zoeken dan gevonden dat een terugschakeling naar JRE8u144 het probleem verhelpt. Dit kun je gelukkig nog downloaden, mits je een oracle account hebt/aanmaakt.
Pas nadien vond ik dat de beta van JRE8u162 het probleem ook zou verhelpen (en die kun je downloaden zonder Oracle account). Ik heb het echter niet meer getest.

Mijn grootste zorg hier is dat ik deze PC eigenlijk in de private VLAN wil stoppen. Dit gaat natuurlijk niet omdat de portalpagina hierop draait en dus bereikbaar moet zijn vanuit het gastennetwerk. De enige oplossing lijkt dus een Cloud key, maar 100 euro om gewoon java te kunnen verwijderen en één PC in een ander VLAN stoppen lijkt mij nu ook wat overdreven. Bovendien heb ik dan nog een extra PoE-adapter nodig, want de switch beschikt niet over PoE.
Mocht iemand hier een alternatief voor weten, hoor ik het graag.

Fixed ip's

Alle netwerkapparatuur heeft een fixed ip gekregen, ingesteld op het toestel zelf.
Verder hebben enkele andere zaken ook een fixed ip gekregen, zoals de PC met de controller software (dit is niet echt nodig, maar ik vond het makkelijker), de camera recorder etc... Ik heb dit niet op de toestellen zelf ingesteld, maar via de controller. De toestellen zelf staan gewoon op DHCP, maar krijgen dus vanuit de router altijd hetzelfde ip. Ik vermoed dat dit op basis van MAC-adres werkt.
Hierbij vroeg ik mij af wat jullie mening hierover was. Als iemand het MAC-adres spooft, kan dit mogelijks problemen geven, maar dit kan evengoed als ze zelf een eigen ip configureren in hun toestel, dus daar maakt het weinig voor uit.
Het voordeel is natuurlijk dat je vanuit de controller één centraal punt hebt, waar je de ip-adressen configureert. Ook checkt het systeem of het gekozen ip wel binnen de juiste range ligt. En mocht je om wat voor reden dan ook de PC in kwestie ooit aan een ander netwerk aansluiten, dan hoef je de netwerkinstellingen niet te wijzigen, want die staan gewoon op DHCP.
Om één of andere reden ben ik niet overtuigd dat dit de "voorkeur" manier van werken is, binnen zo'n kleine omgeving als mijn thuisnetwerk, maar ik weet zelf niet waarom.

Port forwarding

Zoals hierboven al aangegeven heb ik een dynamisch ip, dat ik via no-ip.com wil benaderen. Voor mijn camera's zal ik een aantal poorten moeten forwarden. Ik vermoed dan ook dat ik de WAN van mijn USG op een fixed ip zal moeten zetten i.p.v. DHCP. De poortforwards zal ik dan zowel in de Unifi controller moeten instellen naar het ip van mijn camera recorder, als in de Telenet-router naar het WAN ip van de USG.
Ik moet hier nog aan beginnen, maar 'k heb hier echter geen haast bij.

Besluit

Het is werkbaar met de Telenet-router, maar verre van ideaal. Ik ben nog aan het twijfelen of ik de moeite ga doen om alsnog een modem-only te krijgen.
Op zich ben ik tevreden over de Ubiquiti hardware en controller, maar zou een volgende keer toch voor de EdgeRouter kiezen i.p.v. de USG. Ik heb even met de online demo gewerkt en heb het gevoel dat je de configuratie via de GUI zelf meer in de hand hebt. De tweede WAN-poort enkel voor het guest-VLAN configureren, zou daar een fluitje van een cent geweest zijn.
De Unifi-controller is bijzonder gebruiksvriendelijk, maar daardoor ook net iets te beperkt in mijn ogen. De portalpagina mag bijvoorbeeld nog iets meer customizable zijn, zonder meteen in de code te moeten duiken. Ook het https probleem lijkt mij een heel erg basis iets, maar zou toch al een tijdje gekend zijn.
100% overtuigd ben ik dus nog niet.
Voor de camera's heb ik voorlopig geen apart VLAN gemaakt en deze ga ik dus gewoon vanaf het internet bereikbaar maken. De suggestie van Toon-VA is ongetwijfeld een veel betere oplossing, maar mijn kennis (en tijd) is op dit moment onvoldoende om er mij mee bezig te houden. Dat wordt een projectje voor later.

quote:

ijske schreef op dinsdag 17 oktober 2017 @ 17:40:
[...]


ik stel wel voor een managed switch bij de modem voor , want heb je trunks nodig naar je accespoints (zodat je prive vlan & je gasten vlan beide door de AP's kunnen uitgezenden worden)

maar de kabel naar je woonkamer bv , mag gewoon untagged vlan zijn zodat digicorder & tv & ps4 enzo allemaal daar achter een unmanaged switch kan

je hangt je eigen apparaten aan de telenet modem, en je gasten smijt je achter een secundaire router (die jij dan kan managen)
die hebben dan een eigen "netwerk" en je kan daar nuts in gaan qua security


in het andere geval, wat anderen hier aanraden, word elke kabel waar een digibox aanhangt een trunkkabel , en heb je overal managed switchen nodig

(ter info ,telenet modems zijn geprogrammeerd de mac adressen van de digiboxen te herkennen, die krijgen aldus meerdere ip adressen)

Ik had jouw reactie verkeerd begrepen. Zoals je het voorsteld is het inderdaad mogelijk. Ik had echter kabels vanuit het verzamelpunt naar alle toestellen en had dus nergens aparte switchen nodig. Ook had ik wel zin om één netwerk te hebben dat ik volledig vanuit één omgeving kon beheren. Daarom vond ik de Unifi-oplossing wel beter.

Voor iemand die snel een eenvoudige oplossing wil (en eventueel de bestaande hardware wil hergebruiken) kan jouw oplossing evengoed een mogelijkheid zijn.

Groeten
Kurt