WiFi voor groot huis met loods/kantoor - Netwerken

woensdag 4 juli 2018 00:06

Acties:

while(alive) {breathe();}

Topicstarter

Ik wil een netwerk aanleggen in een huis met internet aansluiting (glasvezel 500mbit) .

Nu is dit een oud huis, dus kabels trekken kan niet overal.

Nu lees ik heel veel over mesh netwerken en de goede ervaringen ermee. Dat spreekt me wel aan.
Maar ik vraag me af of zo'n mesh netwerk wel past voor mijn eisen en hoe jullie het zouden regelen en welke software/firmware/feature vereisten dat zou hebben.

Ik twijfel een beetje of dit aankoop advies is, het is meer een vraag naar benodigde technieken, en daarna ga ik pas de apparatuur erbij zoeken.

Here it goes lijstje requirements:
* Het wordt een KPN verbinding en de Experia Box wil ik er tussenuit hebben (Dat is mij op een andere plek ook gelukt. Met een Asus RT-AC68U met DD-WRT erop, super stabiel).
* Ik heb een lijstje van de volgende SSID's nodig, en deze moeten separaat zijn, dus devices op de 1 moeten geen devices op de ander kunnen vinden:

MyIOTWifi (Wellicht AP-Isolation?)
MyGuestWifi (Wellicht AP-Isolation?)
MyCompanyWifi (Normaal Wifi, maar wel separaat)
MyHomeWifi (Normaal Wifi, maar wel separaat)

* Totale woonoppervlakte is ~ 1000m^2
* Totale kantooroppervlakte is ~ 200m^2
* Kantoor staat los van huis. Kabeltrekken tussen kantoor en huis is nog onduidelijk of dat mogelijk is.
* Ik kan waarschijnlijk niet wired bij elk mesh/ap komen

Welke technieken zouden jullie toepassen?
Mesh of klassiek AP? Gaat dat lekker worden als AP's niet wired zijn?
Bij mesh, hoe gaat dat met multiple SSID en AP-Isolation?

Graag tips hoe dit aan te pakken.

life would be much easier if we had the source code.

woensdag 4 juli 2018 02:18

Acties:

shure-fan

Komt de interwebs verbinding binnen bij het huis of het bedrijfsgedeelte? Is het een zakelijke of consumenten lijn?

Is het bedrijf afhankelijk van een goede internet verbinding? Of geen het geen problemen als deze er een dag uit ligt?

Voip enthousiastelling, Liever een kabel dan wifi

woensdag 4 juli 2018 02:35

Acties:

johnkeates

Ik zou een gateway neerzetten die meerdere subnets los van elkaar kan NAT'en en firewallen. Bijvoorbeeld een random Qotom doosje of zelfs een NUC met een managed switch zodat je met 1 poort kan werken. Daar pleur je dan OPNSense of pfSense op en stel je een setje VLANs in. Daarna kan je met bijv. Ubiquiti AP's 4 SSID's maken die allemaal op hun eigen VLAN zitten, en dan ben je er wel.

[ Voor 3% gewijzigd door johnkeates op 04-07-2018 02:36 ]

woensdag 4 juli 2018 06:53

Acties:

unezra

Ceci n'est pas un sous-titre.

johnkeates schreef op woensdag 4 juli 2018 @ 02:35:
Ik zou een gateway neerzetten die meerdere subnets los van elkaar kan NAT'en en firewallen. Bijvoorbeeld een random Qotom doosje of zelfs een NUC met een managed switch zodat je met 1 poort kan werken. Daar pleur je dan OPNSense of pfSense op en stel je een setje VLANs in. Daarna kan je met bijv. Ubiquiti AP's 4 SSID's maken die allemaal op hun eigen VLAN zitten, en dan ben je er wel.

*brrrrr*

Als je toch wil firewallen, zet er dan een EdgeRouter neer of zoiets:
https://www.deciso.com/product-catalog/

Vlans zijn leuk, maar ik zou zeker niet een "vuile" en "schone" verkeersstroom over 1 fysieke interface duwen.

Ná Scaoll. - Don’t Panic.

woensdag 4 juli 2018 07:56

Acties:

Frogmen

Tussen huis en kantoor kan je ook prima met een specifieke wifi set een gerichte verbinding maken. Welke is afhankelijk van je budget en je kennis maar zowel Ubiquiti als Mikrotik hebben er leuk spul voor. Vraag me alleen af wat het nut en of noodzaak is van die vergaande seperatie. Uiteindelijk wil je vervolgens weer communicatie tussen sommige segmenten. BV met je telefoon je verlichting sturen etc.
Maak eerst eens een plaatje met je devices en wat met elkaar moet kunnen praten. Vervolgens op een tekening waar je je AP wil plaatsen kabels hebt of kan trekken etc..
Als je dat hebt kom je vanzelf al dichter bij de oplossing. Nu is het voor ons glazen bol kijken met heel veel aannames.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

woensdag 4 juli 2018 08:16

Acties:

unezra

Ceci n'est pas un sous-titre.

Eens met @Frogmen maar by all means, als je ook maar enigzins de kans hebt bedraad aan te sluiten: Bedraad aansluiten.

Dat kost wat, maar met 1200m2 aan ruimte gok ik zo dat je niet meer kijkt op een paar duizend € meer of minder.

Da's best een forse vloer en die ontsluit je niet met 2 budget AP's.

Kortom, maak een tekening met met bijvoorbeeld Sweet Home 3D:
https://sourceforge.net/projects/sweethome3d/

Of beter nog, een WiFi heatmapper (Aruba heeft er een gratis op de website staan). Dan kun je meteen de hele situatie intekenen, goed inschatten wáár je AP's moeten komen te hangen, hoe veel je er nodig hebt, etc.

Hoe dan ook: Met een paar honderd € ben je er niet. Ook niet als je het zelf doet. Op die oppervlakte ben je dat alleen al kwijt aan je bekabeling.

Ná Scaoll. - Don’t Panic.

woensdag 4 juli 2018 09:14

Acties:

johnkeates

unezra schreef op woensdag 4 juli 2018 @ 06:53:
[...]

*brrrrr*

Als je toch wil firewallen, zet er dan een EdgeRouter neer of zoiets:
https://www.deciso.com/product-catalog/

Vlans zijn leuk, maar ik zou zeker niet een "vuile" en "schone" verkeersstroom over 1 fysieke interface duwen.

Dat is niet logisch, ga je dan in plaats van VLANs voor elk WiFi netwerk losse AP's ophangen? En ga je dan ook voor elk netwerk losse switches gebruiken?

woensdag 4 juli 2018 09:30

Acties:

unezra

Ceci n'est pas un sous-titre.

johnkeates schreef op woensdag 4 juli 2018 @ 09:14:
[...]
Dat is niet logisch, ga je dan in plaats van VLANs voor elk WiFi netwerk losse AP's ophangen? En ga je dan ook voor elk netwerk losse switches gebruiken?

Dat is het punt niet.

Je hebt het hier over een firewall. Die heeft een vuile en een schone kant.
Je wil de vuile en schone kant in principe niet over 1 fysieke interface duwen. (Al was het alleen al omdat je de maximale throughput op dat moment grofweg halveert.)

Dat je met vlans zaken scheid snap ik, maar ook daar moet je goed opletten wat je wel en niet over 1 fysieke interface zet. Er in ieder geval over nadenken.

Hoe dan ook, het gaat hier over 1200m2 met een kantoor van 200m2. Dat is deels bedrijfsmatig. Daar ga je niet met hobbyknutsel werken zoals pfsense op een NUC, raspi of iets anders. Daar zet je minimaal iets van een Ubiquiti EdgeRouter van een paar tientjes neer. Beter, goedkoper én voorzien van meer dan 1 interface.

Ná Scaoll. - Don’t Panic.

woensdag 4 juli 2018 09:36

Acties:

terror538

unezra schreef op woensdag 4 juli 2018 @ 09:30:
[...]

Dat is het punt niet.

Je hebt het hier over een firewall. Die heeft een vuile en een schone kant.
Je wil de vuile en schone kant in principe niet over 1 fysieke interface duwen. (Al was het alleen al omdat je de maximale throughput op dat moment grofweg halveert.)

Dat je met vlans zaken scheid snap ik, maar ook daar moet je goed opletten wat je wel en niet over 1 fysieke interface zet. Er in ieder geval over nadenken.

Hoe dan ook, het gaat hier over 1200m2 met een kantoor van 200m2. Dat is deels bedrijfsmatig. Daar ga je niet met hobbyknutsel werken zoals pfsense op een NUC, raspi of iets anders. Daar zet je minimaal iets van een Ubiquiti EdgeRouter van een paar tientjes neer. Beter, goedkoper én voorzien van meer dan 1 interface.

Ik noem PFsense of OPNsense nou niet bepaald hobbyknutsel. Beiden leveren ook hardware uit die ook zeker niet meer hobby te noemen is.
Ook je mening over interfaces deel ik maar gedeeltelijk; je kan prima low bandwidth datastromen combineren middels vlans op 1 interface.
/alles/ over 1 interface is inderdaad geen goed idee, maar met bv een Intel 4xgbit kaartje kan er prima een firewall draaien die 1 wan verbinding ophoudt en meerdere vlans.

too weird to live too rare to die

woensdag 4 juli 2018 09:54

Acties:

unezra

Ceci n'est pas un sous-titre.

terror538 schreef op woensdag 4 juli 2018 @ 09:36:
[...]
Ik noem PFsense of OPNsense nou niet bepaald hobbyknutsel. Beiden leveren ook hardware uit die ook zeker niet meer hobby te noemen is.

Klopt. Dat heb ik dus ook niet gezegd.
Zie: https://www.deciso.com/product-catalog/

Wat wél hobbyknutsel is, is dit op een single-NIC doosje zetten zoals een NUC of een raspi die daar totaal ongeschikt voor zijn.

Ook je mening over interfaces deel ik maar gedeeltelijk; je kan prima low bandwidth datastromen combineren middels vlans op 1 interface.

Klopt, maar net een firewall heeft én het probleem dat je vuil en schoon verkeer hebt én dat alles beide interfaces passeert. (Nja, bijna alles dan, er word natuurlijk een en ander aan de buitenkant tegen gehouden.)

Een firewall met 1 interface is geen firewall. Net zoals dat een router met 1 interface geen router is. Je kunt het er voor in zetten, in testsetups kan het nuttig zijn, zelfs in een hobbysetup kom je er mee weg. Niet in een bedrijfssetup waar TS het over heeft.

/alles/ over 1 interface is inderdaad geen goed idee, maar met bv een Intel 4xgbit kaartje kan er prima een firewall draaien die 1 wan verbinding ophoudt en meerdere vlans.

Zeker en meer en meer firewalls zijn gewoon x86 based. (Niet allemaal overigens, Fortinet heeft ASICS based firewalls. Dat heeft in specifieke situaties voordelen.)

Bedrijfsmatig duwen we ook zat in vlans over fysieke interfaces maar we scheiden verkeersstromen wel. Zowel op bandbreedte behoefte als op functionaliteit. DMZ verkeer gaat zo min mogelijk over dezelfde interfaces als niet-DMZ verkeer, om een voorbeeld te noemen. Alleen daar waar het niet redelijkerwijs anders kan, combineren we het dan enkel op heel specifieke plekken waar als je daar sleutelt, je toch al extra goed op let.

Human-error zit in een *heel* klein hoekje. 1 tikfout en met je single-NIC firewall drop je al het vuile verkeer ZO je LAN op. Alleen al daarom is dat een slecht idee.

Ná Scaoll. - Don’t Panic.

woensdag 4 juli 2018 10:04

Acties:

johnkeates

unezra schreef op woensdag 4 juli 2018 @ 09:30:
[...]

Dat is het punt niet.

Je hebt het hier over een firewall. Die heeft een vuile en een schone kant.
Je wil de vuile en schone kant in principe niet over 1 fysieke interface duwen. (Al was het alleen al omdat je de maximale throughput op dat moment grofweg halveert.)

Dat je met vlans zaken scheid snap ik, maar ook daar moet je goed opletten wat je wel en niet over 1 fysieke interface zet. Er in ieder geval over nadenken.

Hoe dan ook, het gaat hier over 1200m2 met een kantoor van 200m2. Dat is deels bedrijfsmatig. Daar ga je niet met hobbyknutsel werken zoals pfsense op een NUC, raspi of iets anders. Daar zet je minimaal iets van een Ubiquiti EdgeRouter van een paar tientjes neer. Beter, goedkoper én voorzien van meer dan 1 interface.

De EdgeRouter is een slecht voorbeeld hier, dat ding werkt op een single WAN-LAN NAT zonder speciale rules redelijk, maar in alle andere gevallen gaan ze op hun gat om dat ze dan de NAT offload engine op de SoC niet meer kunnen gebruiken.

Daarnaast heeft een firewall helemaal niet per definitie een 'vuile' en 'schone' kant, en heb je met VLANs de filtering van de netwerken ook zonder firewall op orde: de trunk poorten lekken niks tussen VLANs en de access ports geven je alleen het netwerk wat je ingesteld hebt, niks meer.

Dat je op een NUC met 1 poort meer dan de helft van de bandbreedte kwijt raakt als je daar WAN+LAN overheen laat lopen is nogal logisch, maar dat is alleen een probleem als je perse constant die 500Mbit glaslijn wil voltrekken. De NUC is ook niet de eerste keuze in dit geval, maar slecht een van de opties.

Wat je nodig hebt voor zo'n prosumer setup is iets in de range van een mobile i3, goede netwerkkaarten zodat je geen gerommel met slechte ASICs hebt en het liefste iets embedded, zodat je niet random onderdelen bij elkaar aan het schrapen bent.

Bijvoorbeeld:
https://nl.aliexpress.com...g/108231_32829499825.html

Er zijn natuurlijk altijd mensen die nog bang zijn om rechtstreeks bij een ODM te kopen in China, en liever via een middleman vergelijkbare spullen van een vergelijkbare ODM in China kopen, dan kan je bijvoorbeeld voor een Atom C-series SuperMicro gaan:

https://www.supermicro.co...U/5019/SYS-5019A-FTN4.cfm

Kost wel het drievoudige zonder dat je daadwerkelijk 'meer' krijgt, tenzij je veel met de klantenservice wil bellen ;-)

Uiteindelijk maakt de specifieke hardware niet zo veel uit. Kwestie van software uitzoeken en dan komt het wel goed. OPNSense, pfSense, Sophos UTM, alles kan.

[ Voor 12% gewijzigd door johnkeates op 04-07-2018 10:09 ]

woensdag 4 juli 2018 10:04

Acties:

thelightning

unezra schreef op woensdag 4 juli 2018 @ 09:30:
[...]

Dat is het punt niet.

Je hebt het hier over een firewall. Die heeft een vuile en een schone kant.
Je wil de vuile en schone kant in principe niet over 1 fysieke interface duwen. (Al was het alleen al omdat je de maximale throughput op dat moment grofweg halveert.)

Dat je met vlans zaken scheid snap ik, maar ook daar moet je goed opletten wat je wel en niet over 1 fysieke interface zet. Er in ieder geval over nadenken.

Hoe dan ook, het gaat hier over 1200m2 met een kantoor van 200m2. Dat is deels bedrijfsmatig. Daar ga je niet met hobbyknutsel werken zoals pfsense op een NUC, raspi of iets anders. Daar zet je minimaal iets van een Ubiquiti EdgeRouter van een paar tientjes neer. Beter, goedkoper én voorzien van meer dan 1 interface.

Bedankt voor je input. Maar beter zeg je niets.

Hoe denk je dat een Software Defined *anything* of een Cloud IaaS omgeving eruit ziet? Allemaal losse hardware met losse poortjes? Hou toch op man. Jou manier van denken is 1990's.
-1 voor deze reactie

[ Voor 11% gewijzigd door thelightning op 04-07-2018 10:06 ]

woensdag 4 juli 2018 10:08

Acties:

unezra

Ceci n'est pas un sous-titre.

thelightning schreef op woensdag 4 juli 2018 @ 10:04:
[...]

Bedankt voor je input. Maar beter zeg je niets.

Hoe denk je dat een Software Defined *anything* of een Cloud IaaS omgeving eruit ziet? Allemaal losse hardware met losse poortjes? Hou toch op man. Jou manier van denken is 1990's.
-1 voor deze reactie

En jij denkt dat in een SaaS, IaaS, whatever-aaS omgeving, er nergens aan de buitenkant nog hardwarematige firewalls en routers staan? Dit gaat om een edge. Natuurlijk zet je daar geen single-interface firewall neer. Nooit.

Ná Scaoll. - Don’t Panic.

woensdag 4 juli 2018 10:10

Acties:

johnkeates

unezra schreef op woensdag 4 juli 2018 @ 10:08:
[...]

En jij denkt dat in een SaaS, IaaS, whatever-aaS omgeving, er nergens aan de buitenkant nog hardwarematige firewalls en routers staan? Dit gaat om een edge. Natuurlijk zet je daar geen single-interface firewall neer. Nooit.

Dit gaat niet om een 'edge', dit gaat om prosumer-tweaker router-gateway-firewall doos zonder SLA of iets dergelijks at best. Daar is trouwens niks mis mee.

[ Voor 6% gewijzigd door johnkeates op 04-07-2018 10:11 ]

woensdag 4 juli 2018 10:13

Acties:

unezra

Ceci n'est pas un sous-titre.

johnkeates schreef op woensdag 4 juli 2018 @ 10:10:
[...]

Dit gaat niet om een 'edge', dit gaat om prosumer-tweaker at best. Daar is trouwens niks mis mee.

Wel degelijk gaat het hier om een edge.
TS heeft een bedrijfs/thuisnetwerk, dat verbonden moet worden met de buitenwereld.

Daar zet je edgespullen neer.

Dus ja, het is prosumer, dus hang je er prosumer spul neer. Geen NUC met firewall. Met OpnSense/pfSense is echt helemaal niets mis, ik kan me zelfs een use-case voorstellen waar je dat op een x86 doos draait. Het is puur dat op een NUC zetten met 1 NIC dat ik een ongelooflijk slecht idee vind. (Ook omdat een NUC absoluut niet geschikt is voor dit soort spul. Het is een lightweight, ultrasmall workstation. Niets meer, niets minder. Voor minder dan het geld van die NUC koop je een Ubiquity EdgeRouter. Sterker nog, voor het geld van een beetje NUC koop je een fatsoenlijke instap Fortigate.)

Ná Scaoll. - Don’t Panic.

woensdag 4 juli 2018 10:30

Acties:

johnkeates

unezra schreef op woensdag 4 juli 2018 @ 10:13:
[...]

Wel degelijk gaat het hier om een edge.
TS heeft een bedrijfs/thuisnetwerk, dat verbonden moet worden met de buitenwereld.

Daar zet je edgespullen neer.

Dus ja, het is prosumer, dus hang je er prosumer spul neer. Geen NUC met firewall. Met OpnSense/pfSense is echt helemaal niets mis, ik kan me zelfs een use-case voorstellen waar je dat op een x86 doos draait. Het is puur dat op een NUC zetten met 1 NIC dat ik een ongelooflijk slecht idee vind. (Ook omdat een NUC absoluut niet geschikt is voor dit soort spul. Het is een lightweight, ultrasmall workstation. Niets meer, niets minder. Voor minder dan het geld van die NUC koop je een Ubiquity EdgeRouter. Sterker nog, voor het geld van een beetje NUC koop je een fatsoenlijke instap Fortigate.)

Haha fortinet producten

Je kan het wel heel cool een edge willen noemen, maar het gaat hier niet om een of ander spannend enterprise netwerk. Het is gewoon een case waar een CPE het normaal zou afhandelen, maar een tweaker wat meer wil en je meerdere subnets wil maken met wat firewall rules.

Daarnaast is er niks mis met een NUC, een single interface die zowel al je LAN subnets als je WAN verbinding doet, en is de hardware van zo'n beetje alles NUCs beter dan de meeste embedded crap die je in de instappers van 99% van de netwerk vendors koopt in het 200-euro segment. En dan vooral ook de voedingen. Tenzij je goed kan beargumenteren waarom dat in dit geval niet zo zou zijn weet ik niet wat je op het moment denkt toe te voegen aan de discussie.

Stel dat je denkt dat er nog een afweging tussen onderhoud en SLA's enz gemaakt moet worden, dan zou je daar nog wat vragen over kunnen stellen (aan cariba), maar de meerwaarde van een of andere vendor die het allemaal magisch gaat regelen is met de huidige set aan gegevens nagenoeg nul. Stel dat het geen tweaker was, er geen plannen waren voor uitbreiding en het een beetje set-and-forget achtig zou moeten zijn, dan kan je natuurlijk altijd nog een Ubiquiti setup maken, gooi je gewon een setje UniFi AP's, UniFi PoE switch, ER (lite zelfs), CloudKey en een bende CAT5e neer en je bent er. Maar dat lijkt niet echt de insteek te zijn hier.

[ Voor 44% gewijzigd door johnkeates op 04-07-2018 10:41 ]

woensdag 4 juli 2018 11:47

Acties:

unezra

Ceci n'est pas un sous-titre.

Right.

Even los van wat ik van je oplossing en argumentatie vind @johnkeates, dwalen we *compleet* af van TS's vraag en vullen met zijn allen dingen in die we nog helemaal niet weten.

Kortom: Ik denk dat we moeten wachten tot TS aan komt met een tekening en een meer concrete vraag, zodat we werkelijk kunnen bepalen wat een goede oplossing is.

Ik stel voor dat we op TS wachten. Wij gaan het niet eens worden.

Ná Scaoll. - Don’t Panic.

woensdag 4 juli 2018 13:27

Acties:

Ben(V)

Ik zal maar even inhaken op wat TS vraagt in plaats van een duicussie over iets heel anders te houden.
De basic vraag was mesh of AP's.

Antwoordt:
Mesh is niets meer en niets minder dan een mooie markting kreet voor wifi repeaters en we weten allemaal wat voor ondingen dat zijn.
Dus als je de keuze hebt ga beslist voor een of meerder AP's.

Niet te veel en ook de power goed afregelen want de meeste problemen met wifi ontstaan door AP's en routers die veel te veel vermogen uitzenden in verhouding tot wat devices doen en dan krijg je een eenwegs verbinding waar dus geen spat data overheen komt.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

donderdag 5 juli 2018 00:24

Acties:

johnkeates

unezra schreef op woensdag 4 juli 2018 @ 11:47:
Right.

Even los van wat ik van je oplossing en argumentatie vind @johnkeates, dwalen we *compleet* af van TS's vraag en vullen met zijn allen dingen in die we nog helemaal niet weten.

Kortom: Ik denk dat we moeten wachten tot TS aan komt met een tekening en een meer concrete vraag, zodat we werkelijk kunnen bepalen wat een goede oplossing is.

Ik stel voor dat we op TS wachten. Wij gaan het niet eens worden.

Meer data van de TS zou wel helpen ja