[Advies] Aanschaf en inrichten Wifi middels Ubiquiti Unifi

woensdag 11 juli 2018 10:06

Acties:

0 Henk 'm!

Topicstarter

Graag zou ik middels dit topic advies en input vragen over een aantal zaken waar ik tegenaan loop bij de installatie van mijn wifi-netwerk. Ik heb reeds eerder bij vrienden een keer een Ubiquiti Unifi systeem bestaande uit drie accespoints geinstalleerd.

Nu wil ik thuis graag ook 2 stuks Ubiquiti UniFi AP-AC Lite installeren. Mijn modem is een Experiabox V10. Tot zover duidelijk, echter wil ik er graag een gast netwerk bij opzetten, waarbij de gebruikers alleen internet toegang hebben met een beperkte bandbreedte. Mijn NAS, printer, thermostaat en zonnepanelenomvormer e.d. wil ik uitsluiten van het gastnetwerk.

Voor zover ik inmiddels begrijp kan ik dit realiseren door gebruik te maken van VLAN's. Mijn "corporate" netwerk geef ik dan geen VLAN tag mee volgens mij (die heeft dan toegang tot alle VLAN's?), mijn gastnetwerk wel een VLAN tag en eventueel een IOT netwerk met verborgen SSID weer een andere VLAN tag.

Daarna wordt het onduidelijk voor mij. Zoals ik het lees en begrijp, moet ik een Edgerouter er tussen hangen om daar diezelfde VLAN's op in te stellen met elk hun eigen DHCP instellingen. De Ubiquiti apparatuur matched deze VLAN's op de AP en op de Edgerouter dan met elkaar?

Wat voegt een USG hier nog aan toe? Alleen DPI en Firewall?

Tot slot heb ik dan mijn TV-decoder. Traditioneel moet deze altijd op poort 4 van mijn modem (zowel bij KPN, Telfort als NLE zo dacht ik). Deze laat ik nog steeds buiten de Unifi apparatuur langs lopen naar mijn modem? Is dit ook een veilige oplossing gezien de VLAN's?

Alvast bedankt voor de input.

Aan mijn posts kunnen geen rechten worden ontleend.

woensdag 11 juli 2018 10:49

Acties:

0 Henk 'm!

RobertMe

Ubiquiti
Accesspoints
Ubiquiti UniFi AP-AC LITE

50Miles schreef op woensdag 11 juli 2018 @ 10:06:
Nu wil ik thuis graag ook 2 stuks Ubiquiti UniFi AP-AC Lite installeren. Mijn modem is een Experiabox V10. Tot zover duidelijk, echter wil ik er graag een gast netwerk bij opzetten, waarbij de gebruikers alleen internet toegang hebben met een beperkte bandbreedte. Mijn NAS, printer, thermostaat en zonnepanelenomvormer e.d. wil ik uitsluiten van het gastnetwerk.

Dit kun je doen door bij het WLAN aan te zetten dat het een gastnetwerk betreft, en dan ben je klaar. Het UAP doet dan zelf het firewall gebeuren.

Voor zover ik inmiddels begrijp kan ik dit realiseren door gebruik te maken van VLAN's.

Dit kun je toevoegen als extra "laag", maar is niet verplicht. Echter is dit wel nodig als je gebruik wilt maken van vaste aansluitingen die ook als "gast" moeten werken.

Mijn "corporate" netwerk geef ik dan geen VLAN tag mee volgens mij (die heeft dan toegang tot alle VLAN's?), mijn gastnetwerk wel een VLAN tag en eventueel een IOT netwerk met verborgen SSID weer een andere VLAN tag.

Standaard hebben alle VLANs onderling toegang tot elkaar en doet je router de routering tussen de verschillende VLANs/subnetten. Bij een gastnetwerk maak je vervolgens zelf firewall regels aan om die toegang tot de andere VLANs/subnetten te blokkeren.

Daarna wordt het onduidelijk voor mij. Zoals ik het lees en begrijp, moet ik een Edgerouter er tussen hangen om daar diezelfde VLAN's op in te stellen met elk hun eigen DHCP instellingen. De Ubiquiti apparatuur matched deze VLAN's op de AP en op de Edgerouter dan met elkaar?

Je hoeft niet perse een EdgeRouter te hebben. Wat je wel moet hebben is een router die VLANs ondersteund. VLANs werken vervolgens op basis van dat elk ethernet pakket wat over de kabel gaat een nummertje bevat wat het VLAN aangeeft. Deze nummertjes komen dan dus overeen met wat je in zowel de router als het UAP hebt ingesteld.

Wat voegt een USG hier nog aan toe? Alleen DPI en Firewall?

Een USG voegt niks toe maar is een alternatief. I.p.v. een EdgeRouter kun je ook voor een USG gaan. Een USG 3p (het goedkoopste model) is qua hardware ook identiek aan een EdgeRouter Lite, alleen de behuizing en software zijn anders. Waarbij het belangrijkste verschil dus de afwijkende software is en je de USG exclusief via de controller beheert (i.p.v. via een eigen webinterface).

Tot slot heb ik dan mijn TV-decoder. Traditioneel moet deze altijd op poort 4 van mijn modem (zowel bij KPN, Telfort als NLE zo dacht ik). Deze laat ik nog steeds buiten de Unifi apparatuur langs lopen naar mijn modem? Is dit ook een veilige oplossing gezien de VLAN's?

Wat je sowieso altijd kunt doen is de (extra) router (EdgeRouter of USG) achter de ExperiaBox plaatsen en dan bv in de DMZ zetten van je ExperiaBox. Afhankelijk van je type internet is het daarnaast AFAIK ook mogelijk om, bij glasvezel, de ExperiaBox helemaal er tussenuit te halen (bij DSL kan dit denk ik niet omdat je dan geen ethernet hebt aan de WAN kant?). Maar dit vereist wel veel (extra) configuratie om IPTV werkend te krijgen (en te houden).

TL;DR: Koop alleen de UAP AC Lites (+ evt CloudKey), maak het (gast)netwerk aan en plaats het vinkje om aan te geven dat het een gastnetwerk betreft. Dan heb je gewoon een veilig gastnetwerk zonder dat apparaten verbonden met dat netwerk toegang hebben tot je "privé apparaten".

woensdag 11 juli 2018 11:08

Acties:

0 Henk 'm!

50Miles

Topicstarter

RobertMe schreef op woensdag 11 juli 2018 @ 10:49:
[...]

Dit kun je doen door bij het WLAN aan te zetten dat het een gastnetwerk betreft, en dan ben je klaar. Het UAP doet dan zelf het firewall gebeuren.

[...]

Dit kun je toevoegen als extra "laag", maar is niet verplicht. Echter is dit wel nodig als je gebruik wilt maken van vaste aansluitingen die ook als "gast" moeten werken.

[...]

Standaard hebben alle VLANs onderling toegang tot elkaar en doet je router de routering tussen de verschillende VLANs/subnetten. Bij een gastnetwerk maak je vervolgens zelf firewall regels aan om die toegang tot de andere VLANs/subnetten te blokkeren.

[...]

Je hoeft niet perse een EdgeRouter te hebben. Wat je wel moet hebben is een router die VLANs ondersteund. VLANs werken vervolgens op basis van dat elk ethernet pakket wat over de kabel gaat een nummertje bevat wat het VLAN aangeeft. Deze nummertjes komen dan dus overeen met wat je in zowel de router als het UAP hebt ingesteld.

[...]

Een USG voegt niks toe maar is een alternatief. I.p.v. een EdgeRouter kun je ook voor een USG gaan. Een USG 3p (het goedkoopste model) is qua hardware ook identiek aan een EdgeRouter Lite, alleen de behuizing en software zijn anders. Waarbij het belangrijkste verschil dus de afwijkende software is en je de USG exclusief via de controller beheert (i.p.v. via een eigen webinterface).

[...]

Wat je sowieso altijd kunt doen is de (extra) router (EdgeRouter of USG) achter de ExperiaBox plaatsen en dan bv in de DMZ zetten van je ExperiaBox. Afhankelijk van je type internet is het daarnaast AFAIK ook mogelijk om, bij glasvezel, de ExperiaBox helemaal er tussenuit te halen (bij DSL kan dit denk ik niet omdat je dan geen ethernet hebt aan de WAN kant?). Maar dit vereist wel veel (extra) configuratie om IPTV werkend te krijgen (en te houden).

TL;DR: Koop alleen de UAP AC Lites (+ evt CloudKey), maak het (gast)netwerk aan en plaats het vinkje om aan te geven dat het een gastnetwerk betreft. Dan heb je gewoon een veilig gastnetwerk zonder dat apparaten verbonden met dat netwerk toegang hebben tot je "privé apparaten".

Zeer duidelijk verhaal. Bedankt! Twee vragen dan nog:

Mocht ik een derde (verborgen) SSID aanmaken voor mijn IOT apparaten, dan heeft het gastnetwerk daar dus ook geen toegang toe? Denk een open deur, maar ik vraag toch even

.

Een USG heeft dus ook router functionaliteit? Voor DPI e.d. is het wellicht leuk om deze er tussen te zetten.

Aan mijn posts kunnen geen rechten worden ontleend.

woensdag 11 juli 2018 11:14

Acties:

0 Henk 'm!

RobertMe

Ubiquiti
Accesspoints
Ubiquiti UniFi AP-AC LITE

50Miles schreef op woensdag 11 juli 2018 @ 11:08:
[...]

Zeer duidelijk verhaal. Bedankt! Twee vragen dan nog:

Mocht ik een derde (verborgen) SSID aanmaken voor mijn IOT apparaten, dan heeft het gastnetwerk daar dus ook geen toegang toe? Denk een open deur, maar ik vraag toch even .

Zelf niet geprobeerd met twee gastnetwerken, maar ik zou er wel vanuit gaan ja dat die onderling ook afgeschermd zijn. Volgens mij zit er gewoon een restrictie op dat er alleen verkeer "naar het internet" mag zijn, of beter gezegd, een restrictie dat er geen verkeer mag zijn naar 192.168.X.Y (en de andere private IP ranges). Dus dan is automatisch ook het verkeer tussen het echte gastnetwerk en het IoT netwerk geblokkeerd.

Een USG heeft dus ook router functionaliteit? Voor DPI e.d. is het wellicht leuk om deze er tussen te zetten.

De USG "heeft geen router functionaliteit" maar is een router

Zoals gezegd zijn de EdgeRouter Lite en USG 3p inwisselbaar. Enige verschil is dat je de EdgeRouter rechtstreeks via zijn webinterface beheert (of via de CLI) en de USG via de UniFi Controller. Zo heeft de EdgeRouter dus ook DPI (al voordat dit op de USG zat).

woensdag 11 juli 2018 11:22

Acties:

0 Henk 'm!

50Miles

Topicstarter

RobertMe schreef op woensdag 11 juli 2018 @ 11:14:
[...]

Zelf niet geprobeerd met twee gastnetwerken, maar ik zou er wel vanuit gaan ja dat die onderling ook afgeschermd zijn. Volgens mij zit er gewoon een restrictie op dat er alleen verkeer "naar het internet" mag zijn, of beter gezegd, een restrictie dat er geen verkeer mag zijn naar 192.168.X.Y (en de andere private IP ranges). Dus dan is automatisch ook het verkeer tussen het echte gastnetwerk en het IoT netwerk geblokkeerd.

[...]

De USG "heeft geen router functionaliteit" maar is een router Zoals gezegd zijn de EdgeRouter Lite en USG 3p inwisselbaar. Enige verschil is dat je de EdgeRouter rechtstreeks via zijn webinterface beheert (of via de CLI) en de USG via de UniFi Controller. Zo heeft de EdgeRouter dus ook DPI (al voordat dit op de USG zat).

Top! Dan kom ik er wel uit

.

Aan mijn posts kunnen geen rechten worden ontleend.

Onderwerpen