Een privé VLAN opzetten

Ik heb een situatie waarin op dit moment een stock FritzBox van XS4ALL in gebruik is. Hierop zijn een aantal PC's en een Siemens VOIP centrale aangesloten (via een aantal switches). Een van de poorten loopt naar een appartement waar TV van XS4ALL aangesloten gaat worden, hier komt ook internet te liggen via dezelfde routerpoort.

Ik wil echter graag dat het appartement geen toegang heeft tot de rest van het netwerk. In de basis wil ik dus twee netwerksegmenten creëren waarbij het ene segment geen toegang heeft tot het andere. Ik neem aan dat ik hiervoor het beste VLAN's kan creëren. Mijn vraag is:

Waar moet ik op letten bij het aanschaffen van een switch die dit kan en zijn er nog speciale dingen waar ik op moet letten bij het instellen?

Dat is een goede vraag, ik heb geen idee of de FritzBox meerdere DHCP pools aankan. Kom er op terug.

Begrijp ik het goed als ik zeg dat VLAN ondersteuning in de eerste plaats op de router moet plaatsvinden en switches deze functionaliteit niet kunnen 'overnemen'?

[ Voor 45% gewijzigd door Guido1982 op 02-01-2019 12:12 ]

Ik heb net antwoord gehad van AVM (FritzBox fabrikant). Poort 4 van de FritzBox heeft een mogelijkheid om als 'gastnetwerk' ingesteld te worden. Helaas is het dan niet mogelijk een TV signaal door te geven, wat wel een vereiste is.

Heb een netwerk cursus op Udemy gevolgd (nog niet af gekeken) maar nog niet veel ervaring. Snap dat je inderdaad een L3 switch nodig hebt om de packets te kunnen manglen ipv de frameheaders. Ik weet alleen niet wat een trunk poort is.

Hoe zou ik twee subnets kunnen aanmaken? Ik moet dan ieder device subnetten maar hoe ga ik de gateway dan bereikbaar houden? Volgens mij kan ik de interfaces van de FritzBox geen aparte IP's toekennen.

Ik heb ondertussen meer informatie ingewonnen:

XS4ALL geeft aan dat ze aan de LAN zijde VLAN 4 (TV) en VLAN 6 (internet) 'zichtbaar' maken. Helaas ondersteunen ze 'bridgen' niet mee waardoor een eigen router installeren en ook nog steeds gebruik kunnen maken van het TV signaal lastig wordt.

Wat ik nu ga proberen is een Cisco SG350-10 achter de FritzBox hangen en daarin twee nieuwe VLAN's aanmaken, waarvan er één voor het appartement wordt en die zowel binnenkomende VLAN 4 als 6 doorkrijgt. De andere VLAN heeft alleen VLAN 6 nodig.

@Kasper1985 Wat afgenomen wordt is internet (ADSL), telefonie en televisie. Hierdoor wordt vervangen van de FritzBox dus lastig.

EDIT:
Ik vond ook nog dit topic: FritzBox 7490 met guest LAN én IPTV

[ Voor 6% gewijzigd door Guido1982 op 03-01-2019 14:39 ]

HKLM_ schreef op donderdag 3 januari 2019 @ 14:59:
[...]


Kijk anders nog eens hier is wel van KPN maar dat is xs4all ook eigenlijk: http://netwerkje.com/routed-iptv

Thanks!

Kasper1985 schreef op donderdag 3 januari 2019 @ 21:28:
Lastiger maar zeker niet onmogelijk :-)

https://kknaack.home.xs4all.nl/

Dat is voor een 7581 maar ik weet zeker dat het voor andere modellen ook te vinden moet zijn.

Kasper

Het is toevallig ook een 7581! Ik houd deze zeker in gedachten. Net een Cisco L3 switch besteld, dit weekend eens proberen of ik het aan het werk kan krijgen zonder de router te bridgen, maar tof!

De SG 350-10

Ik heb ondertussen wat filmpjes op de youtube universiteit bekeken wat betreft VLAN's. Toch snap ik het nog niet helemaal. Ik begrijp dat een trunkpoort een poort is die meerdere VLAN's kan doorgeven om het verspillen van fysieke poorten te voorkomen. Ik weet dat TV en internet achter de router (LAN zijde) op VLAN 4 en 6 binnenkomen maar snap nog niet hoe ik straks op de Cisco twee VLAN's moet aanmaken waar VLAN's 4 en 6 dan weer aan 'gekoppeld' worden zodat ze allebei wel toegang hebben tot VLAN's 4 en 6. Of zie ik het dan verkeerd en moet ik het concept anders zien. Ben niet op zoek naar hoe het op de Cisco exact ingesteld moet worden maar ik snap het principe nog niet.

Top, dank je!

ArisB schreef op maandag 7 januari 2019 @ 10:32:
Ik zit in een soort gelijke situatie. Ook XS4ALL, FB7581 en een gastenverblijf die zowel internet als TV moet hebben. Heb het tot nu toe nog niet voor elkaar gekregen.

Ik denk dat je nu de fout in gaat met betrekking tot de vlan's. De FB7581 heeft standaard aan de 'binnenkant' geen vlan's maar maakt gebruik van routed IPTV. Tenzij je hem in bridgemodus krijgt, dan heb je wel vlan's maar kan je vlan6 niet combineren met vlan4, die zul je gescheiden moeten houden.

Dus tenzij het een trunk is, kan een poort dus niet lid zijn van vlan's 4 en 6.

Zelf dacht ik dit op te lossen door de FB in bridge te zetten en dan daarachter een machine met PF-Sense.
Daarmee dan 3 netwerken creëren, 2 internetnetwerken in verschillende subnets en 1 iptv netwerk.
Dan zal ik wel 2 kabels naar het gasten verblijf moeten trekken, maar trunken kan eventueel ook.

Echter lees ik daarover dat de EPG dan vaak vastloopt en dat heeft dan weer een lage WAF en maakt de investering het niet waard

Top, dank voor je reply. Ik was ook al aan het nadenken over hoe je twee VLAN's naar het appartement moest krijgen inderdaad. Een extra kabel trekken wordt het niet, de bestaande kabel is door de grond helemaal naar het appartement getrokken en we hebben het echt over een meter of 50.

Zou ik inderdaad nog een switch aan de andere kant kunnen zetten die het trunk protocol (de tagged frames) kan ontcijferen?

Wat ik overigens niet helemaal begrijp is de term routed IPTV? Is het niet gewoon zo dat de streams als 'normale' TCP/UDP pakketten door worden gegeven en je eigenlijk dus gewoon alles over één VLAN zou moeten kunnen gooien? Ik bedoel heel plat gezegd kan je de ontvanger normaal ook gewoon in iedere LAN port van de FB prikken.

Ik geloof dat er ook VDSL gebruikt wordt maar weet ik even niet zeker.

Ik ben ook niet van plan meer om het gastennetwerk in te schakelen. Gewoon volledige netwerktoegang maar op een apart VLAN en dan een heel sterk wachtwoord op de FB zetten. Dan heeft het appartement theoretisch alleen toegang tot de FB maar dan moet een heel sterk wachtwoord geforced worden. Uiteraard de rest van het thuisnetwerk op een apart VLAN zodat het appartement de NAS en de rest van de PC's niet kan zien.

Twee subnets zou het mooiste zijn, maar ik denk niet dat de FB twee DHCP pools ondersteunt.

-- EDIT --
Als het allemaal aan elkaar geknutseld is in de FB zou ik dus gewoon één signaal naar het appartement moeten kunnen trekken waarna zowel TV als internet werkt.

[ Voor 13% gewijzigd door Guido1982 op 07-01-2019 11:44 ]

Jan-man schreef op maandag 7 januari 2019 @ 11:45:
Had veel simpeler kunnen opgelost worden met 2 x een managed 5 poort switch met 2 vlan erin.

Moet ik even kijken of ik het goed zeg.

-------------

Bij het modem poort 1 untagged vlan 99 en die gaat naar 1 van de open poorten voor de itv.

En poort 2 untagged vlan 88 gaat naar poort 4 voor gasten netwerk.

Poort 5 untagged vlan 99 en 88 en daar gaat de kabel voor het gastenverblijf in.

-----------------------

Bij het gasten verblijf gaat de inkomende kabel naar poort 5 met tagged vlan 99 en 88

Poort 1 geef je untagged vlan 99 en sluit je de tv op aan. Vlan 88 exclude je hier op poort 1.

Poort 2 tm 4 geef je untagged vlan 88 en zijn nu gasten netwerk. Vlan 99 exclude je hier op poort 2 tm 4.

--------------

Alleen even ervoor zorgen dat ze niet in de webinteraface kunnen komen en geen fysiek toegang hebben tot de switch zodat ze niet kunnen omdraaien.

Kan zijn dat ik tagged/untagged niet helemaal juist heb staan maar is alweer een tijdje geleden dat ik het heb gedaan.

Maar met die opstelling ben je met 4 tientjes klaar.

Heb jij het hier over een setup waarbij er een specifieke dedicated IPTV poort is?

Jan-man schreef op maandag 7 januari 2019 @ 11:50:
[...]


Nee je gaf aan dat je op poort 4 een gasten netwerk kunt zetten toch ?

De itv pluk je dan uit het open gedeelte.

Ah ja zo. Ik ga je reply nog eens goed doorlezen, thanks!

ewoutw schreef op maandag 7 januari 2019 @ 15:17:
[...]

De 7490 wordt door XS4ALL alleen geleverd op glas (ondanks het een xDSL modem is)
De 7340, 7360, 7369, 7390, 7490 en de 7581 ondersteunen allemaal ADSL, VDSL, en uitgezonderd van de 7340 ondersteunen ze zelfs VVDSL.
Voor B(V)VDSL heb je een 7369 of een 7581 nodig.
De 5490 die XS4ALL geleverd heeft kan allen op glas. De 7170 kan alleen ADSL aan.

Maar back tot topic. De fritz!box kent wel vlans maar ondersteund dat niet via de GUI. meschien dat het wel kan via de saven en restore config optie. Config met notepad aanpassen en terug zetten.


Je zou ook het iTV profiel kiezen en daar de TV op aansluiten. Dan hebben ze via de kabel geen internet. en het wifi gasten netwerk, Die houd ze uit je eigen apparaten.

Probleem is: ik heb maar één kabel naar het appartement, een tweede trekken is geen optie en wifi gaat het zeker niet redden tot daar.

Kasper1985 schreef op maandag 7 januari 2019 @ 19:24:
Zie trunk poorten als een transport poort. Een trunk poort transporteert meerdere vlans van de ene switch naar de andere.

Op zo'n poort kan je geen eindapparaat aansluiten. Een eindapparaat is een PC (even kort door de bocht want het kan natuurlijk wel) een printer een settopbox etc.

Het benodigde VLAN tag je op de poort. De volgende managed switch stel je exact hetzelfde in dus bijvoorbeeld

switch A poort 8 tag vlans 100 200 300

switch A poort 8 gaat naar switch B poort 1:

poort 1 switch B: tag vlans 100 200 300

Nu "leven" de vlans op de switch en die ziet de pakketjes toegevoegd aan vlans 100 200 en 300. Maar eind apparaten kunnen er nog niks mee.

Stel nu dat je een printer aan wilt sluiten die terecht moet komen in vlan 100 dan untag je vlan 100 op (bijvoorbeeld) poort 5 van switch B als je daar dan de printer op aansluit zit die ineens in vlan 100. Maar die printer zelf heeft geen flauw idee dat ie in vlan 100 zit die is vlan unaware.

Binnen in het VLAN wordt informatie meegestuurd, In dit geval voor de printer, bijvoorbeeld omdat op vlan 100 een dhcp server staat voor een bepaalde printer range.

Dit is bijvoorbeeld mijn setup:

[Afbeelding]

poort 1 is verbonden met de Fritzbox
poort 2 is verbonden met mijn router voor toegang tot VLAN 6 (internet) dat is dus een "access port" oftewel untagged
poort 11 & 12 zijn getagged met vlans 4 en 1.

poorten 11 en 12 gaan naar 2 managed switches waar zowel een settopbox als normale lan apparaten op aangesloten zitten vandaar dat daar vlan 4 en 1 op getagged zijn.

Top, goede uitleg!

-- EDIT --
Een vraag, ik zie dat je poort in tagged aansluit op je fritzbox, dus als trunkpoort. Snapt de fritzbox dat trunkprotocol dan?

[ Voor 3% gewijzigd door Guido1982 op 07-01-2019 20:19 ]

@Kasper1985 Thanks!

Ik heb een beetje een probleem met het bridgen van de router aangezien het niet om mijn huis gaat maar dat van m'n ouders. Het is ook een kantoor aan huis dus ik wil eigenlijk niet gaan bridgen op een locatie waar een bedrijf van afhankelijk is en ik niet altijd snel ter plekke kan zijn als er iets mis gaat.

Ik heb gisteren de Cisco aangesloten (L3 switch) aangesloten en een beetje zitten rommelen. In tegenstelling tot wat XS4ALL zegt komen er volgens mij aan de LAN zijde inderdaad helemaal geen VLAN's binnen. Zou ook nooit kunnen aangezien normale NIC's helemaal niet met tagged frames om kunnen gaan. Daarnaast staat alles in de Cisco standaard op VLAN 1 'geabonneerd' dus als er überhaupt al VLAN's 4 en 6 zouden zijn daar dan was er niets bereikbaar.

Nu was mijn eerste idee om twee UTP kabels te trekken naar de Fritzbox en die 'door te lussen' naar andere poorten op twee verschillende VLAN's zodat ik in essentie twee netwerken kreeg. Dat werkt niet aangezien maar één poort zich aanmeld met een IP op de Fritz. Ik zou de interfaces van de switch aparte IP's moeten kunnen meegeven maar niet met hetzelfde broadcast, dus eigenlijk subnetten binnen de switch.

Ik ben eigenlijk nu meer aan het denken aan een router achter de Fritz, waar ik twee subnets op aan kan maken (ik heb gewoon 254 hosts beschikbaar op het normale subnet dus dat moet te doen zijn) en de L3 switch terug te sturen. Gisteren nog mijn Udemy cursus networking aangeslingerd die behoorlijk uitgebreid is maar 55 uur videomateriaal is iets te veel voor één avond.

[ Voor 4% gewijzigd door Guido1982 op 10-01-2019 09:50 ]

@Kasper1985 Ik snap je opmerking t.a.v. van het inhuren van een pro. Ben zelf zelfstandig webdeveloper en beheer m'n eigen VPS server maar wil graag mijn netwerkkennis wat uitbreiden. Daarom ben ik ook de CCNA cursus aan 't volgen. Dit project leek me een uitgelezen kans om eens wat dingen in de praktijk te gaan brengen. Aangezien het niet om een groot bedrijf gaat (2 FTE en 3 PC's en een NAS) leek dit me een ideale sandbox.

Ik kan helaas fysiek geen tweede kabel daar krijgen, dat is ooit aangelegd/ingegraven over een flinke afstand dus dat is geen optie.

Ik heb inderdaad met een normale unmanaged switch de TV al prima aan het werk gekregen. Wat ik ga doen is de Cisco retourneren en een Draytek router achter de Fritzbox plaatsen. Dan ga ik subnetten. Heb even XS4ALL gebeld, de TV ontvanger moet in 192.168.178.0 blijven. Omdat het laatste octet 254 hosts toestaat kan ik dat wel weer subnetten in bijvoorbeeld:

192.168.178.16
192.168.178.32

enz. enz. met een masker van 28 bit (255.255.255.240). De Draytek ondersteunt dat ook. Ik denk dat ik de Fritz en de Draytek LAN op LAN ga aansluiten om dubbel NAT te voorkomen en 192.168.178.1 bij de subnets als gateway ga instellen. Ieder subnet heeft dan dus de Fritzbox als gateway maar is wel gescheiden. Zo kan alles internet houden en kan de TV ontvanger in het 24-bits 192.168.178.0 netwerk blijven.

Als ik me niet vergis deelt de Draytek ook DHCP pools uit, anders moet ik de PC's handmatig een IP adres en masker geven.

Netwerk theorie is prima te doen, in de praktijk brengen blijkt een stuk lastiger!

@Kasper1985
Het is ook gewoon omdat ik het leuk vindt om met subnets te spelen inderdaad, maar er is nog een ding, misschien denk ik er te moeilijk over maar:

Zolang ik de settopbox van de IPTV in hetzelfde VLAN of subnet houdt als de rest van het netwerk kan iemand theoretisch de UTP stekker uit die settopbox trekken (die staat gewoon los in het appartement), die in z'n laptop steken en dan zit hij/zij alsnog in hetzelde netwerk als bijvoorbeeld de NAS toch?

Je zegt

Vervolgens maak je een vlan 100 op de edge aan en zet je de internetverbinding op eth0 op dmv vlan 1

, hoe 'zet' je de internetverbinding op VLAN 100 d.m.v. VLAN 1 dan? Is daar intern een forwarding voor in te stellen?

@Kasper1985 Ik was inderdaad al een beetje bang dat ik met twee apparaten zou moeten gaan werken. Ik ga dit weekend eens met de Draytek aan de gang, zodra ik iets heb kom ik terug.

Njah het wordt vooral een beetje surfen e.d. denk ik. Komen vooral mensen in te zitten die even een half jaartje tijdelijke woonruimte moeten hebben.

@Kasper1985

Even een update:

Heb de draytek binnen en heb mij mij thuis al een beetje zitten spelen. Aangezien ik Ziggo heb, die met hetzelfde subnet werken kan ik het al een heel eind testen.

Twee LAN's aangemaakt, beide met een 28-bits subnet:
- 192.168.168.16 met de interface op 17 en DHCP aan met een pool van 13
- 192.168.168.32 met de interface op 33 en DHCP aan met een pool van 13

Twee VLAN's aangemaakt, 0 en 1

VLAN 1 mag op poorten 1 en 2 LAN 1 gebruiken
VLAN2 mag op poorten 3 en 4 LAN 2 gebruiken

Beetje lopen rommelen met mijn PC en laptop tussen de poorten prikken: beide pikken netjes een IP in de juiste range (afhankelijk van de poort waar je ze in stopt uiteraard) en kunnen elkaar alleen bereiken als ze binnen hetzelfde LAN/VLAN zitten (ik vraag me af wat nu precies de barriere oplevert maar het werkt tenminste zoals ik wil).

De Ziggo Box ding gebeuren zit met LAN-Ziggo <-> WAN Draytek met een UTP kabel op WAN 1 van de Draytek. WAN 1 heeft 192.168.178.1 als gateway. Ik kan met alle apparaten internet op, heb hier alleen geen IPTV dus dat wordt afwachten.

Wat ik eigenlijk graag wil is geen dubbele NAT maken, dus de Ziggo LAN <-> LAN met de Draytek verbinden. Ben er nog niet helemaal uit hoe dat moet. Kan wel in de routing table kijken (ik ben altijd beter met CLI dan met GUI's):

* 0.0.0.0/ 0.0.0.0 via 192.168.178.1 WAN1
C~ 192.168.178.16/ 255.255.255.240 directly connected LAN1
C~ 192.168.178.32/ 255.255.255.240 directly connected LAN2
C 192.168.178.0/ 255.255.255.0 directly connected WAN1

Als ik hier in de bovenste regel WAN1 verander in LAN 3 bijvoorbeeld (dus gewoon default gateway) dan zou ik toch alles naar 192.168.178.1 moeten kunnen routeren. Alleen kan ik geen derde LAN aanmaken met een subnet van 24 bits omdat ik die IP range al gebruikt heb. Mijn kennis schiet hier overduidelijk tekort....

Thanks voor de link!

@Kasper1985
Mijn idee - maar nogmaals ik vraag me inderdaad af of dat wel mogelijk is - was dat ik een poort (interface) van de Draytek op het 192.168.178.0 netwerk zou zetten door hem een fixed IP te geven in dat 24 bits netwerk en vervolgens de andere interfaces eigen netwerken aan te laten maken die dan weer de poort die LAN <-> LAN op de Fritz zit als gateway gebruikt via de static routing table.

Een update, ik heb het nu redelijk zoals ik het wil hebben:

Eerst geprobeerd via de 28 bits subnets. De IPTV werkte, maar haperde erg veel, na zappen had je drie seconden beeld en dan viel het signaal weg enz. enz. Het routeren werkt blijkbaar een dusdanige lag in de hand dat het niet lekker meer werkt.

Dus toen heb ik mijn insteek veranderd:

De IPTV box direct in de Fritz, en een tweede kabel LAN (Fritz) <-> WAN (Draytek). Vervolgens op de Draytek twee compleet nieuwe netwerken opgezet:

- Een voor het kantoor (inclusief de NAS) 192.168.1.0/24
- Een prive (zat vroeger allemaal op de Fritz) 192.168.2.0/24

Het hele kantoor inclusief NAS en printer op 192.168.1.0 gezet. In het 'normale' woongedeelte stond al een D-Link wireless router (die alleen voor wireless gebruikt werd), die zit op 192.168.2.0.

Die D-link staat toevalligerwijs weer in de buurt van het appartement en ik kon er een gastnetwerk op aanmaken dat ik 'appartement' genoemd heb met een apart wachtwoord. In het appartement heb je hierdoor Wi-Fi, weliswaar niet snel (het is sowieso een buitengebied) maar 15 mb/s down haal je wel. Omdat de D-link weer een eigen netwerk maakt (192.168.0.0) en het specifiek een gastnetwerk is kan je nooit bij de Draytek komen, en zelfs al kon dat, dan zit je nog op een ander VLAN.

Ja, het is driedubbele NAT voordat je met de WiFi bij het appartement komt maar zoals gezegd is het niet de verwachting dat daar serieuze gamers komen te zitten met port-forwarding behoeften.

De enige kwetsbaarheid die ik nog heb is dat je via de kabel die naar de IPTV box loopt nog wel in de Fritz kan komen, uiteraard moet je dan een vrij lastig wachtwoord weten te forcen maar alsnog. Je kunt echter nog steeds niet via de Fritz naar de Draytek aangezien die op de WAN poort aangesloten is en de gevoelige apparatuur in een compleet ander subnet leeft. Het beheerpaneel uitschakelen van de Fritz voor een bepaalde interface gaat helaas niet.

Al met al heeft het dus 200 euro excl BTW gekost om de bedrijfsgevoelige apparatuur voor het appartement onbereikbaar te maken, wat ik meer dan acceptabel vind.