NAS in beiden subnets gebruiken -> tips?

Kijk eens naar VLAN's.

MewBie schreef op dinsdag 3 juli 2018 @ 18:20:
Kijk eens naar VLAN's.

Kijk eens naar de firewall op de asus router kan je beter zeggen . Geen idee of je die makkelijk kan configureren maar als dat het geval is dan gaat het werken.

Op je Asus trap je een WiFi guest in de lucht voor je devices "links". Je router links vervang je door een switch. De NAS prik je op de switch met 2 ethernet-kabels en configureer je met aparte static IP's. Het ene IP (niet in 192.168 maar bijvoorbeeld 10.10) wordt dan door de Asus switch & Asus "genegeerd" qua routing; je IP-camera's geef je ook allemaal 10.10 met het goede subnet en ze zien alleen de Syno links.

Het andere IP van de Syno valt wel binnen 192.168 en kan gerouteerd worden naar rechts voor je backups en/of naar internet voor firmware etc.

Eventueel, voor 10000% zekerheid: de MAC-adressen van alle 10.10-apparaten in de blacklist gooien en dus nooit internet.

/edit: wil je dit allemaal niet, jouw Asus kan geen dubbele subnets aansturen. Dan moet je dat ding vervangen voor een "echtere" router zoals een Ubiquiti EdgeRouter of een Microtik. Dan kan je waarschijnlijk wel meerdere DHCP-scopes tegelijk aansturen en, waar nodig, routing van subnet A naar B per protocol en source/destination toestaan. De router zal dan iets duurder uitvallen maar dan hoef je links & rechts alleen nog maar "goedkopere" AP's te plaatsen, al dan niet met wired switch erin.

[ Voor 26% gewijzigd door MAX3400 op 03-07-2018 18:41 ]

Om in the haken op de "echtere" router; Ik weet het niet zeker van die 68U maar bijvoorbeelde de R7000 van Netgear kan je Tomato op draaien (hier is een nieuwe fork van die nog wel onderhouden wordt) en dan kan dit wel.

Voordat je een router aanschaft check even of er alternatieve firmware op draait naast Tomato is er ook nog dd-wrt en Openwrt (LEDE).

Inderdaad kan je dan ook met VLANs gaan werken. Echt advies over hoe dat in te stellen kan ik je niet bieden maar ik zou met aan zekerheid grenzende waarschijnlijkheid zeggen dat het met het gebruik van alternatieve firmware wel mogelijk moet zijn.

Kasper

Lijkt me een goede opstelling. Veel hangt af van de functionaliteiten van de router. Deze moet de mogelijkheid hebben om meerdere (Laag 3) interfaces te kunnen bevatten zodat je kan routeren tussen de verschillende subnets. Daarnaast moet er iets van firewalling inzitten (of access controll lists oid) waarmee je verschillende ip addressen uitelkaar kan houden en zelf kan bepalen wie met wie kan praten.

Meerdere DHCP scopes voor de verschillende subnets is ook handig om te hebben.

Vlans zou een mooie toevoeging zijn dat scheelt je mogelijk kabels trekken en extra switches maar dan moet je router en de switches wel overweg kunnen met vlan tags (dot1q). Zonder vlans moet je de netwerken ook fysiek van elkaar scheiden.

Mikrotik of Edgerouter, aparte vlans, en 1 of meerdere Unifi AC accespoints.

Daarmee kun je alles doen wat je wilt en relatief betaalbaar. Als je geen 500Mbit en tig firewalls wilt doen is een simpele HEX al voldoende ( pricewatch: MikroTik Routerboard RB750Gr3 - hEX )

MewBie schreef op dinsdag 3 juli 2018 @ 18:20:
Kijk eens naar VLAN's.

TS wil helemaal geen VLAN's. Hij wil om performance redenen twee verschillende netwerken.

Brahiewahiewa schreef op dinsdag 3 juli 2018 @ 22:06:
[...]

TS wil helemaal geen VLAN's. Hij wil om performance redenen twee verschillende netwerken.

Hij wil iets zonder actuele/berekende throughput te noemen; dat is dus erg lastig te beantwoorden. Weet ik veel of die IP cams hokitoki 720p25 doen in 120Kbit of dat ze 2160p60 op 100Mbit elk doen???

/edit: tegenwoordig heb je ook ethernet op 2.5 en 5Gbit; ook hierin heeft @FormallyUnknown nog 0 info gegeven welke standaarden er gewenst/minimaal aangekocht mogen worden.

[ Voor 17% gewijzigd door MAX3400 op 03-07-2018 22:09 ]

MAX3400 schreef op dinsdag 3 juli 2018 @ 22:07:
[...]

Hij wil iets zonder actuele/berekende throughput te noemen; dat is dus erg lastig te beantwoorden. Weet ik veel of die IP cams hokitoki 720p25 doen in 120Kbit of dat ze 2160p60 op 100Mbit elk doen???

En dat weet-ie mèt VLAN's wel?

Brahiewahiewa schreef op dinsdag 3 juli 2018 @ 22:10:
[...]

En dat weet-ie mèt VLAN's wel?

Ja & nee. Als je VLAN's "stacked" tot je maximale bandbreedte van je kabels, heb je geen issue. Maar als ik 2 VLAN's wil "stacken" terwijl over elke VLAN 750Mbit moet kunnen terwijl mijn kabel maar 1Gbit is, krijg ik performance issues.

Meten = weten, @FormallyUnknown

Ja, nee, sorry dat m'n chagrijnige antwoord jouw treft.
Mijn irritatie was ingegeven door de reacties boven de jouwe; waar men ongefundeerd VLAN loopt te roepen

Wat, VLANs zijn niet het antwoord op alles?

Maar even serieus, TS, al die youtube filmpjes zijn leuk maar je mist nog wat aan achtergrond. Zo lijkt het erop dat je voorstelt dubbel-NAT op je gasten en de cctv los te laten. Slordig. Is ook een security issue en maakt het het verschepen van data van fileserver naar cctv-nas lastiger. Waarom je gasten en cctv in een subnet wil hebben ontgaat me ook even, maar met deze opstelling kan het allemaal in je gewone lan meedoen onder het IPadres van die extra router (want NAT).

Wil je cctv afbakenen, zet het op een eigen subnet zonder gateway, en hang de nas met een pootje in dat subnet, en een pootje in je gewone subnet. Of je dat nu doet met een extra switch of een VLAN moet je zelf weten. Ook op de nas: Of je dat nou doet met een extra netwerkpoort of een tagged lijntje, net wat je handig vindt.

En dan maak je nog een apart gast-subnet aan. Daar zit dus echt niets anders in dan gasten en de gateway. Kun je op redelijke APs combineren met multi-SSIDs of door VLAN-assignment on logon. Hoef je dus geen aparte APs voor neer te zetten.

Als het om performance gaat, ga eens kijken over hoeveel data we het nou helemaal hebben. Zolang het bedraad is, gooi er een redelijke gigabit switch in en je moet echt je best doen om het vol te krijgen. Met wifi is dat anders, maar dat is tegelijkertijd behoorlijk locatieafhankelijk en dus onmiddelijk maatwerk. Wellicht aparte APs voor je cameras maar mischien beter gewoon wat meer draadjes te trekken, scheelt gedonder, want kanalen zijn schaars en je bent niet de enige gebruiker (of hoe groot is je huis?). Maar of dat nodig is, alweer, eerst kijken over hoeveel data en hoe die stromen nou helemaal lopen. Plaatje erbij, etc.

Brahiewahiewa schreef op dinsdag 3 juli 2018 @ 22:06:
[...]

TS wil helemaal geen VLAN's. Hij wil om performance redenen twee verschillende netwerken.

Hetzelfde verkeer gaat over hetzelfde kabeltje, of je nu je netwerken scheidt door middel van routers of VLAN. Tevens is netwerk load irrelevant, een beetje switch kan 100% capaciteit op elke port routeren.

Met VLAN's kun je het af met een router en een managed switch. Of het een oplossing voor TS is moet ie zelf bekijken, ik noem het alleen maar als mogelijk alternatief tot 2 routers en een switch.

Ik heb min of meer dezelfde setup als TS in mijn netwerk met Unifi apparatuur.
Heb subnet1 voor mijn normale verbruikers, subnet2 in een VLAN voor wat gespeel met VM's en guest wifi is een kwestie van aanzetten in de software. En subnet 1 en 2 kunnen gewoon met elkaar communiceren voor de VM's waar voor ik dat wil, anderen kunnen niet communiceren. Deze setup doet alles wat TS wilt en doet het gemakkelijk.

[ Voor 19% gewijzigd door MewBie op 03-07-2018 23:12 ]

Noch vlan's noch subnet's zijn een antwoordt op z'n issue.
Hij wil om performance reden z'n camera verkeer afscheiden.
Dat doe je door simpelweg een switch te gebruiken en niet door vlan's of subnets, want die hebben niets met verdelen van verkeerstromen te maken, dat zijn alleen virtuele c.q. logisch afschermingen.

Kortom hang de camera's aan een switch en de storage aan dezelfde switch en het dataverkeer komt nooit voorbij de backplane van die switch en die kan dat aan.

Tja, performance is nu juist geen reden om dat op een aparte switch te moeten hebben.

Al het verkeer van die camera's moet samen met het backup verkeer over die ene kabel naar de storage . Dat ene kabeltje is de bottleneck of je dit systeem nu op een aparte switch hangt of alles op 1 grote switch met de rest van je netwerk. De backplane van de switch gaat het probleem niet zijn.

Ben je niet een oplossing aan het bedenken voor iets wat geen probleem is, maar op zichzelf voldoende nieuwe problemen introduceert.
Vraag 1 is wat verwacht je van je camera's en ga je dat bereiken?
Vraag 2 vertrouw je je gasten of de beveiliging van je apparaten echt niet dat je ze wil scheiden?
Als je het echt wilt kies voor een router met meerdere poorten zodat je verkeer kan managen. Maar als jij bij de nas kan een ander het ook en gasten kunnen ook een netwerk kabeltje inprikken.