VLAN in thuisnetwerk

VLANs moet je zien als truuk zodat een switch kan doen alsof'ie verschillende switches is. Dus gedachtenexperiment: Je hebt vier switches, eentje voor de sensoren, eentje voor de cameras, eentje voor je NAS, en eentje voor de rest. Hoe ga je verkeer van elke switch verder behandelen? Hoe "vloeit" de data waarvandaan en waarheen?

De klassieke benadering is dat je iedere gedachten-switch (dus ook ieder VLAN) van een apart subnetje voorziet en zo de boel op de router aanelkaar routeert. Maarja, dat moet je router dus wel kunnen. Een HTK-speeltje als wat ISPs meestal uitgeven kan dat vaak niet, of het is dichtgezet met de ISP-firmware.

Voor het geval cameras zou ik het anders aanpakken: Je NAS met een pootje in je PC-VLAN, want hij moet toch met de PCs praten, en met het andere pootje in het camera-VLAN. Die cameras hoeven verder niet met het internet te praten, alleen maar met de NAS, dus dat hoeft niet verder aanelkaar gerouteerd te worden. Hoe je dat met de sensors wil doen, beantwoord eerst deze vraag: Wie praat er hoe met die sensors?

Los van de vraag of het kan met de spullen die je hebt, wat is je doel? Wat wil je concreet bereiken?

Nee, zoals @Anoniem: 718429 al uitlegt, voor VLANs heb je een router nodig. Alleen een switch is dus niet voldoende.
Daarnaast zit door je huidige constructie je desktop “vast” aan het “native” LAN van je AP.
Tenzij je op je desktop een VLAN-id wil instellen, zul je daar dus ook rekening mee moeten houden.

waal70 schreef op dinsdag 29 januari 2019 @ 18:48:
Nee, zoals @Anoniem: 718429 al uitlegt, voor VLANs heb je een router nodig. Alleen een switch is dus niet voldoende.

Niet helemaal.
Je hebt een Layer 3 switch, een MLS nodig. Ofwel, een switch die ook (een beetje) kan routeren.

unezra schreef op dinsdag 29 januari 2019 @ 20:45:
[...]


Niet helemaal.
Je hebt een Layer 3 switch, een MLS nodig. Ofwel, een switch die ook (een beetje) kan routeren.

Dat hangt van de specifieke implementatie van de switch af. InterVLAN kunnen routeren zegt nog niet dat hij ook bijvoorbeeld DHCP voor de VLANs kan regelen.

Ik ben uitgegaan van de in het plaatje genoemde unifi/ubiquiti switch. Ook al is dat een L3 switch, die moet in dit verhaal ook nog met minimaal een component moet worden uitgebreid.

Gezien de unifi voorkeur is hier wellicht een USG3 een zinnige toevoeging, die TS de kop niet zal kosten.

bartje006 schreef op dinsdag 29 januari 2019 @ 18:39:
Dat het veiliger is. Dat de sensoren niet op bv. de NAS kunnen kijken.

en waarom is dat veiliger. Zijn de sensoren gevaarlijk voor je nas?
Bovendien wil je dat diverse apparaten kunnen praten met apparaten in andere vlans.

Persoonlijk zie ik geen meerware in vlans in huis netwerken. Maak een thuiswerk niet echt veiliger.

bartje006 schreef op dinsdag 29 januari 2019 @ 18:39:
Dat het veiliger is. Dat de sensoren niet op bv. de NAS kunnen kijken.

Maar je wil de sensoren met een app op je NAS gaan bedienen Sorry maar lees je even goed in over VLAN's en het nut of noodzaak ervan. Vooral in thuis situaties is het echt niet handig of leuk, Anders gezegd je moet er alleen aan beginnen thuis als je het leuk vindt om te doen. Anders kost het alleen geld en ergernis.
De crimineel die bij jouw thuis komt doet geen moeite om je camera's uit te zetten.

Zoals @Anoniem: 718429 zegt, doe even alsof je VLAN's aparte switches zijn en maak de tekening uit je OP nog eens, maar dan op die manier. Zet ook de verschillende subnets bij de verschillende VLAN's (hoeft natuurlijk niet, je kunt ook VLAN spanning subnets maken, maar dat lijkt me in dit geval zijn doel voorbij te schieten).

Kijk vervolgens eens wie met wie moet kunnen communiceren en bedenk wat daarvoor nodig gaat zijn, om dat te regelen. (Denk hierbij aan routering onderling, ACL's voor de netwerken onderling, routering naar buiten, ACL's voor naar buiten, hoe ga je de andere netwerken naar buiten toe NAT'en (je Ziggo router gaat dat vast niet ondersteunen), etc).

Het kan zijn dat je dan tot de conclusie komt dat het niet nodig is, of je niet de kennis of apparatuur hebt, om dit te gaan regelen. Mocht je het dan alsnog willen, dan heb je een solide basis om het te gaan inrichten en op het knooppunt van je netwerken het juiste apparaat te gaan bedenken.

@bartje006 een apart vlan voor je domotica is op zich handig en wat je nodig hebt is een managed switch 99,9% kans dat je per poort de vlan kan instellen.

Maar begrijp wel dat je het wel complex maakt. en als je de managed switch vanaf je (huis)netwerk wilt bedienen dan is dat meteen de zwakste schakel. want ook je gezinslid/hacker kan er ook bij en aanpassen.
En als je bv je smart zooi wilt updaten of bedienen(app op de gsm) vanaf of via het "normale" vlan moet je ook een gat maken in de beveiliging.

Onverstandig is het niet, maar houd er wel rekening mee dat je gewoon extra uitdagingen krijgt

Vlans thuis kunnen prima! ligt er maar net aan hoe je het wilt en welke apparatuur je gebruikt. Zelf werk ik alleen met cisco dus zou ik het op een van deze 2 manieren doen. Ook wat verstand is wel verreist

Router on a stick (oud maar ey t werkt). De Vlans dus op sub-interfaces doen. Er gaat dus een kabel uit je switch (waar de vlans op staan) naar je router toe en van die poort worden soort van (virtuele) interfaces van gemaakt. Hierop stel je de gateway etc in. Vergeet het DOT1Q protocol niet aan te zetten.

L3 Vlan Switching. Hiervoor heb je een speciale switch nodig die dus ook een beetje op laag 3 functioneerd. hierdoor hoef je niet allemaal sub-interfaces te maken en hoeft het verkeer dus niet helemaal langs je router.
Dit wordt ook het meest gebruikt in bedrijven.
Voor de vlans :

Vlan 10
Vlan 20
Vlan 30 etc etc
Vlan 99 voor management en Vlan 1 voor Native VLAN.

Weet wel dat je standaard modem/router dit allemaal niet ondersteund dus je kan hem in bridge zetten of je doet een kabel vanuit de poort naar je andere nieuwe router toe en zet op de ziggo router de APs uit.

Echter als je niet weet wat je doet gaat heel je netwerk niet werken Je kan het daarom altijd even testen in Packet Tracer, GNS3.

DHCP!!!! komt hier ook nog eens bijkijken want per vlan moet je natuurlijk een apart subnet hebben en dus ook een aparte DHCP pool maken

Helaas zie ik dat je ubiquity gebruikt en ik zelf heb daar nog nooit mee gewerkt dus daarmee kan ik je niet helpen… Als er vragen zijn hoor ik het vanzelf!

[ Voor 15% gewijzigd door NoahPA op 30-01-2019 21:43 ]

waal70 schreef op dinsdag 29 januari 2019 @ 18:48:
Nee, zoals @Anoniem: 718429 al uitlegt, voor VLANs heb je een router nodig. Alleen een switch is dus niet voldoende.
Daarnaast zit door je huidige constructie je desktop “vast” aan het “native” LAN van je AP.

Het lijkt erop dat de desktop draadloos is aangesloten. Je kunt in het AP een VLAN koppelen aan een ssid.

Frogmen schreef op woensdag 30 januari 2019 @ 09:20:
[...]

Maar je wil de sensoren met een app op je NAS gaan bedienen

Dat is toch niet met elkaar in tegenspraak? Bij de intervlan-routing kun je een firewall neerzetten die alleen verkeer van de sensoren doorlaat als dat een antwoord is op verkeer van de NAS, en het overige verkeer van de sensoren blokkeert.

Het hoeft allemaal niet duur te zijn. Zet een edgerouter tussen je modem en je switch en je kunt beginnen met experimenteren.

Bij kika werkt dat maar bij een fatsoenlijk systeem wordt ook de status retour gestuurd en heb je dus twee-weg verkeer. Ondertussen ben je dan dus de poorten van de sensoren naar de NAS open aan het zetten. Tuurlijk kan er theoretisch van alles maar als je redelijk spul koopt is het risico te verwaarlozen. Je moet je afvragen hoe slim het is om chinees spul te kopen op alibaba om vervolgens nogmaals x uit te geven om de risico's ervan weg te nemen.