Aansluiting op Telenet met meerdere VLAN's, gastnetwerk...

Hi Tweakers


Zoals beloofd even een beperkt verslag hoe ik het uiteindelijk uitgevoerd heb.

Keuze hardware

Ik heb op aanraden van jullie voor Ubiquiti gekozen en alles binnen de Unifi-lijn. Dit is dus concreet de USG, een 24-poorts switch en (voorlopig één) Unifi AP Pro.
Voor de router heb ik lang getwijfeld om toch de EdgeRouter te kiezen, omdat die meer waarde voor zijn geld leek. Uiteindelijk toch maar voor alles Unifi gekozen, zodat de configuratie zo eenvoudig mogelijk zou zijn en vanuit één controller alles geregeld kon worden.

Telenet installatie

Eerst en vooral te beginnen bij Telenet. Ik heb toch geen modem-only kunnen krijgen. De technieker die de installatie kwam uitvoeren zei deze niet bij zich te hebben (ik denk niet dat dat echt waar was). Hij zei wel dat ze deze enkel nog mogen geven bij een Business Fiber 240 abonnement.
Ik heb zelf weinig moeite gedaan om hem toch te overtuigen, daar ik denk dat het in mijn situatie uiteindelijk weinig zal uitmaken.

Voor wie toch absoluut een modem-only wenst, hierbij een truc die ik in een ander topic gelezen heb: Bestel Business Fiber 240, laat de omschakeling naar modem-only uitvoeren (mogelijks kost het je €85, maar dat lijkt willekeur te zijn wanneer wel/niet), schakel je abonnement terug om naar hetgeen je echt nodig hebt. Dan betaal je één maand het dure abonnement en heb je alsnog wat je wenst.

Eigen installatie

De kleuren staan voor de VLAN's:

• rood: 10 - TELENET
• oranje: untagged
• groen: 20 - private LAN
• blauw: 30 - publieke LAN

rood: 10 - TELENET

Daar ik nu toch een Telenet-router heb, kon ik evengoed alle vier de LAN-poorten van de router zelf gebruiken. Ik had de setup echter al op voorhand voorbereid en heb toch nog poorten over op de switch, dus het had geen zit de patch-kabels te veranderen. Bovendien staat het nu klaar voor mocht ik toch nog naar modem-only overschakelen.
Alle aangesloten toestellen krijgen nu een private ip-adres van de Telenet-router (digicorders krijgen ook een public).
Ter info, mocht ik een modem-only gekregen hebben, kreeg alles een public ip-adres.
WiFi heb ik volledig uitgeschakeld.

USG (router)

De router beschikt over twee WAN-poorten. Nu wordt alles over WAN1 gestuurd en fungeert WAN2 als failover. Ik vermoed dat in mijn setup WAN2 in realiteit geen enkel nut zal hebben.
De WAN-poorten staan standaard ingesteld om een ip te krijgen via DHCP, dus dit werkte meteen.
Voor het LAN had ik als default gateway gelukkig niet 192.168.1.1 gebruikt, waardoor ik nu geen conflict heb met de Telenet-router.
Ik heb no-ip.com gebruikt als dynamische dns provider. Deze staat standaard niet in de lijst, maar als je DynDNS selecteert moet het evengoed werken. (Ik heb het nog niet getest, want de setup voor de camera's is nog niet gebeurd).

Het enige waar ik hier niet 100% tevreden mee ben is de werking van de WAN-poorten. Ik had graag, zoals Toon-VA had aangegeven 2 verschillende publieke ip's op de WAN poorten. Dan kon ik het publieke verkeer over een ander ip sturen, dan het private. Dit kon niet omwille van:

• Mijn WAN's krijgen geen publiek ip, maar enkel een privaat, vanwege de Telenet-router. Hiervoor moet ik dus echt een modem-only hebben.
• De grafische interface voorziet niet in die optie (voor zover ik kon vinden). Je hebt de keuze tussen failover of load balance (met een percentage). Ik twijfel er niet aan dat het weldegelijk mogelijk is buiten de grafische interface om, maar zover wil ik voorlopig nog niet gaan.

Unifi 24-ports switch

Hier is het enkel kwestie van de juiste VLAN's aan de poorten toe te kennen. De switch zelf heb ik ook een fixed ip gegeven.

Unifi AP Pro

Ook deze heb ik een fixed ip gegeven.
De AP straalt twee netwerken uit, mijn private WiFi en een gastnetwerk. Ik maak gebruik van de ingebouwde guest-functie, zonder wachtwoord, maar met een landingspagina. Het gastennetwerk laat ik over een apart VLAN gaan, wat standaard niet het geval is, zodat een netwerkscan eigenlijk niets van mijn eigen aparaten mag detecteren. Verder staat guest issolation en dergelijke standaard aan. Toegang wordt telkens per 8 uur verleend.
Ik heb een beperking ingesteld voor zowel upload- als downloadsnelheid. Ik miste echter een optie om een limiet te zetten op het totaal volume. Zo had ik graag een optie om maximum x MB per client per 8 uur te kunnen downloaden ingesteld (ik weet dat dit sowieso niet waterdicht kan). Dit zou de buren kunnen weghouden, want ik ben vrij genereus geweest met de snelheid.
Naar ik las zou dit wel kunnen als je met vouchers werkt. Ik heb echter geen zin om telkens vouchers aan te maken voor iedere gast. Ik wou het gebruik zo eenvoudig mogelijk, daarom ook geen wachtwoord. Iedereen die binnenkomt moet zonder code of ook maar iets van info op het gastnetwerk kunnen.

Eén probleem dat ik wel opgemerkt heb en na wat research ben ik blijkbaar niet de enige. Nadat men de voorwaarden geaccepteerd heeft op de landingspagina, stuur ik de bezoeker automatisch door naar een website. Als deze website via https aangeroepen wordt, krijg je een waarschuwing van een onveilig certificaat te zien in de browser (ik heb het zelf niet onderzocht, maar blijkbaar wordt je terug naar het ip van de controller gestuurd i.p.v. effectief naar de gevraagde site). Meteen refreshen en je gaat alsnog gewoon verder. Dat maakt het voor mij onbruikbaar, daar het voor een gewone gebruiker totaal niet duidelijk is wat er aan de hand is.

Controller software

Ik heb de software op een PC geïnstalleerd die toch meestal aan ligt. Als deze uit staat, kan niemand toegang tot de landingspagina krijgen en dus ook geen toegang tot het gastennetwerk verschaffen. Wie reeds toegang heeft kan dit wel gebruiken tot dit vervalt (maximum 8 uur).
Gevolg is uiteraard dat ik ook geen logs heb wanneer deze PC niet aan staat.

De controller software draait op java (wat ik normaliter als de pest vermijd). Dan toch maar gedownload en geinstalleerd. De controller zelf heb ik als service laten draaien, maar hiervoor moet je de firewall wel aanpassen en de juiste poorten open zetten, anders vindt de controller de toestellen in jouw netwerk niet.
De huidige Java versie is 8 update 151. Hier zit één of andere bug in, waardoor de landingspagina voor het gastennetwerk niet werkt (probleem met gzip). Na wat zoeken dan gevonden dat een terugschakeling naar JRE8u144 het probleem verhelpt. Dit kun je gelukkig nog downloaden, mits je een oracle account hebt/aanmaakt.
Pas nadien vond ik dat de beta van JRE8u162 het probleem ook zou verhelpen (en die kun je downloaden zonder Oracle account). Ik heb het echter niet meer getest.

Mijn grootste zorg hier is dat ik deze PC eigenlijk in de private VLAN wil stoppen. Dit gaat natuurlijk niet omdat de portalpagina hierop draait en dus bereikbaar moet zijn vanuit het gastennetwerk. De enige oplossing lijkt dus een Cloud key, maar 100 euro om gewoon java te kunnen verwijderen en één PC in een ander VLAN stoppen lijkt mij nu ook wat overdreven. Bovendien heb ik dan nog een extra PoE-adapter nodig, want de switch beschikt niet over PoE.
Mocht iemand hier een alternatief voor weten, hoor ik het graag.

Fixed ip's

Alle netwerkapparatuur heeft een fixed ip gekregen, ingesteld op het toestel zelf.
Verder hebben enkele andere zaken ook een fixed ip gekregen, zoals de PC met de controller software (dit is niet echt nodig, maar ik vond het makkelijker), de camera recorder etc... Ik heb dit niet op de toestellen zelf ingesteld, maar via de controller. De toestellen zelf staan gewoon op DHCP, maar krijgen dus vanuit de router altijd hetzelfde ip. Ik vermoed dat dit op basis van MAC-adres werkt.
Hierbij vroeg ik mij af wat jullie mening hierover was. Als iemand het MAC-adres spooft, kan dit mogelijks problemen geven, maar dit kan evengoed als ze zelf een eigen ip configureren in hun toestel, dus daar maakt het weinig voor uit.
Het voordeel is natuurlijk dat je vanuit de controller één centraal punt hebt, waar je de ip-adressen configureert. Ook checkt het systeem of het gekozen ip wel binnen de juiste range ligt. En mocht je om wat voor reden dan ook de PC in kwestie ooit aan een ander netwerk aansluiten, dan hoef je de netwerkinstellingen niet te wijzigen, want die staan gewoon op DHCP.
Om één of andere reden ben ik niet overtuigd dat dit de "voorkeur" manier van werken is, binnen zo'n kleine omgeving als mijn thuisnetwerk, maar ik weet zelf niet waarom.

Port forwarding

Zoals hierboven al aangegeven heb ik een dynamisch ip, dat ik via no-ip.com wil benaderen. Voor mijn camera's zal ik een aantal poorten moeten forwarden. Ik vermoed dan ook dat ik de WAN van mijn USG op een fixed ip zal moeten zetten i.p.v. DHCP. De poortforwards zal ik dan zowel in de Unifi controller moeten instellen naar het ip van mijn camera recorder, als in de Telenet-router naar het WAN ip van de USG.
Ik moet hier nog aan beginnen, maar 'k heb hier echter geen haast bij.

Besluit

Het is werkbaar met de Telenet-router, maar verre van ideaal. Ik ben nog aan het twijfelen of ik de moeite ga doen om alsnog een modem-only te krijgen.
Op zich ben ik tevreden over de Ubiquiti hardware en controller, maar zou een volgende keer toch voor de EdgeRouter kiezen i.p.v. de USG. Ik heb even met de online demo gewerkt en heb het gevoel dat je de configuratie via de GUI zelf meer in de hand hebt. De tweede WAN-poort enkel voor het guest-VLAN configureren, zou daar een fluitje van een cent geweest zijn.
De Unifi-controller is bijzonder gebruiksvriendelijk, maar daardoor ook net iets te beperkt in mijn ogen. De portalpagina mag bijvoorbeeld nog iets meer customizable zijn, zonder meteen in de code te moeten duiken. Ook het https probleem lijkt mij een heel erg basis iets, maar zou toch al een tijdje gekend zijn.
100% overtuigd ben ik dus nog niet.
Voor de camera's heb ik voorlopig geen apart VLAN gemaakt en deze ga ik dus gewoon vanaf het internet bereikbaar maken. De suggestie van Toon-VA is ongetwijfeld een veel betere oplossing, maar mijn kennis (en tijd) is op dit moment onvoldoende om er mij mee bezig te houden. Dat wordt een projectje voor later.

ijske schreef op dinsdag 17 oktober 2017 @ 17:40:
[...]


ik stel wel voor een managed switch bij de modem voor , want heb je trunks nodig naar je accespoints (zodat je prive vlan & je gasten vlan beide door de AP's kunnen uitgezenden worden)

maar de kabel naar je woonkamer bv , mag gewoon untagged vlan zijn zodat digicorder & tv & ps4 enzo allemaal daar achter een unmanaged switch kan

je hangt je eigen apparaten aan de telenet modem, en je gasten smijt je achter een secundaire router (die jij dan kan managen)
die hebben dan een eigen "netwerk" en je kan daar nuts in gaan qua security


in het andere geval, wat anderen hier aanraden, word elke kabel waar een digibox aanhangt een trunkkabel , en heb je overal managed switchen nodig

(ter info ,telenet modems zijn geprogrammeerd de mac adressen van de digiboxen te herkennen, die krijgen aldus meerdere ip adressen)

Ik had jouw reactie verkeerd begrepen. Zoals je het voorsteld is het inderdaad mogelijk. Ik had echter kabels vanuit het verzamelpunt naar alle toestellen en had dus nergens aparte switchen nodig. Ook had ik wel zin om één netwerk te hebben dat ik volledig vanuit één omgeving kon beheren. Daarom vond ik de Unifi-oplossing wel beter.

Voor iemand die snel een eenvoudige oplossing wil (en eventueel de bestaande hardware wil hergebruiken) kan jouw oplossing evengoed een mogelijkheid zijn.

Groeten
Kurt