Correcte manier om netwerk te scheiden

Heb je een switch die VLANs aankan, of wil je fysiek scheiden? Lees: heb je een managed switch?

[Voor 21% gewijzigd door r_bleumer op 26-02-2019 21:01]

Dit topic (in het Engels) moet je verder helpen:
https://community.ubnt.co...AN-s-to-work/td-p/1569519

En inderdaad wat @r_bleumer zegt, welke switch heb je? Overigens doen domme switches ook vaak VLAN doorgeven...

@lier Klopt, maar dan kun je bepaalde poorten niet op bepaalde vlans hangen, da's weer wat minder handig, moet je alle randapparatuur met het handje instellen, als dat al kan.

Laat ik beginnen met een vraag: Wat wil je nou eigenlijk precies? Ik kan me namelijk zo al twee verschillende scenarios voorstellen.

Bijvoorbeeld, je hebt voor kantoor en voor huis ieder een aparte internetverbinding, mischien een switch om de bedrade apparaten aan te hangen, en een AP om de draadloos te regelen. Dus ook verschillende SSIDs (draadloze netwerknamen), en als je hier bent log je hier en en als je daar bent log je daar in.

Of mischien heb je wel twee netwerkreeksen in gebruik, met een of twee internetverbindingen, maar met een samengevoegde netwerkinfrastructuur. En dus zenden al je APs elk de twee SSIDs uit en aan de hand daarvan zetten ze een apparaat in het ene of het andere lan. Maar ongeacht waar je bent kan een huis-apparaat altijd op het huis-lan en een kantoorapparaat altijd op het kantoor-lan. Dat doe je met onder andere de al genoemde VLANs, managed switches, en APs die meerdere SSIDs aankunnen.

Dus vertel eens wat meer over wat je met die scheiding wil bereiken en dan vooral hoe dat er in de praktijk zou moeten werken, meer dan de technische invulling.

Een managed L2 switch is niet "heel geavanceerd", da's een ding van een paar tientjes.

Letterlijk:
pricewatch: TP-Link TL-SG105E-Gigabit (5-poorts)

(De goedkoopste die ik kan vinden, verder geen idee hoe makkelijk dat ding te managen is maar het ís Layer 2 managed.)

Maar, dan heb je 2 gescheiden netwerken, klaar. Alsof je 2 switches neer zet die niet met elkaar verbonden zijn dus. Is dat wat je wil?

Begrijp ik het goed als je zegt dat er extern of intern mensen op je servers inloggen via RDP, die niet bij je privé spullen mogen en vice versa?

unezra schreef op woensdag 27 februari 2019 @ 06:52:
Een managed L2 switch is niet "heel geavanceerd", da's een ding van een paar tientjes.

Om even zout op deze slak te leggen: "Managed" en "smart managed" aka "webmanaged" zijn niet hetzelfde. Er zit nogal wat verschil in geavanceerdheid. Ga er maar vanuit dat goedkoop (en zonder serieele poort) hooguit "webmanaged" is, en dus niet "managed". Wat dat betreft werkt de terminologie tegen. (Het helpt ook niet dat pricewatch het onderscheid niet maakt.)

Begrijp ik het goed als je zegt dat er extern of intern mensen op je servers inloggen via RDP, die niet bij je privé spullen mogen en vice versa?

Preciezer: Waar zijn die mensen? Zitten de inloggers altijd op kantoor en is de privetoegang altijd vanuit thuis? Zo ja, dan hoeft TS geen samengevoegde infrastructuur te bouwen. Dan kun je dus vanuit thuis ook niet even meedoen met de RDP-inloggers.

cvgansewinkel schreef op woensdag 27 februari 2019 @ 00:36:
Als ik al weet of het mogelijk is en met wat dan kan ik daarop weer inspelen met bijv. een zakelijk internet (4G) abonnement voor op kantoor en voor thuis het bestaande abonnement

Dan zit je aan het eerste scenario van twee compleet apart opgezette netwerkjes zonder directe verbinding onderling. Geen extra geavanceerde features voor nodig.

Hopelijk is het een beetje duidelijk

Ik denk dat je nog even moet blijven nadenken en beschrijven wat je denkt nodig te hebben. En vooral ook hoe dat in de praktijk moet werken, vanuit gebruikersperspectief. "Ik plug hier in en ik kan daarbij maar niet daarbij", "ik maak contact met dit SSID en heb dan deze toegang, dit SSID is hier en niet daar (of: ... en ook daar) beschikbaar", dat soort scenarios.

Of je houdt het hierbij: Je maakt van kantoor en prive twee verschillende netwerk-huishoudens. Dan hoeft er verder niets ingewikkelds te gebeuren en heb je geen ingewikkelde apparatuur nodig.

IP-ranges zijn meestal vrij te kiezen binnen de perken van de prive-IP-ranges (b.v. 192.168.P.0/24 en 192.168.K.0/24 en je bent er) zolang er geen verbinding tussen die twee netwerkjes is.

Is die verbinding er wel, dan wordt het ingewikkelder. Dan heb je bijvoorbeeld een betere NATrouter nodig die 192.168.P.0/24 op een van z'n poortjes bedient en 192.168.K.0/24 op een ander. Dan stel je op de NATrouter filterregels in over hoeveel het ene met het andere netwerk mag praten.

Fysiek is het nog steeds redelijk simpel. Kabeltje naar Prive, kabeltje naar Kantoor, en dan een switch en/of een AP aan het andere eind van dat kabeltje.

Pas als je willekeurig per poortje P of K wil kunnen kiezen, of zelfs allebij tegelijk (en tagged) naar een AP wil sturen, heb je VLANs nodig, en dus een geavanceerdere switch. En dan ook een geavanceerde NATrouter die de verschillende subnetjes en VLANs tagged naar je geavanceerde switches kan sturen, en geavanceerde APs die met meerdere SSIDs en met VLAN tags kunnen omgaan.

Dus nog even doordenken. We hebben overigens ook nog het scenario van gasten die niet op Prive mogen komen en ook niet op Kantoor, maar alleen het internet op mogen. Dus mischien heb je nog een Gastnetwerk nodig, en zo ja waar moet dat precies beschikbaar zijn?

Teken er desnoods wat plaatjes bij, schrijf wat scenarios uit over wat wel moet en vooral ook wat niet hoeft te werken, en zo verder. Vergeet ook niet: Hoe ingewikkeld heb je het nodig en hoe ingewikkeld kun je (of je opvolger, etc.) aan qua opbouwen en onderhoud?

drie van acht schreef op woensdag 27 februari 2019 @ 08:01:
[...]
Om even zout op deze slak te leggen: "Managed" en "smart managed" aka "webmanaged" zijn niet hetzelfde. Er zit nogal wat verschil in geavanceerdheid. Ga er maar vanuit dat goedkoop (en zonder serieele poort) hooguit "webmanaged" is, en dus niet "managed". Wat dat betreft werkt de terminologie tegen. (Het helpt ook niet dat pricewatch het onderscheid niet maakt.)

Het maakt geen fluit uit of een switch webmanaged is of met een serieele poort is uitgerust. VLAN's snappen die L2 managed switches volgens mij allemaal, anders is het geen L2 managed switch.

De vraag is alleen of L2 managed voldoende is voor TS of niet.

[...]
Preciezer: Waar zijn die mensen? Zitten de inloggers altijd op kantoor en is de privetoegang altijd vanuit thuis? Zo ja, dan hoeft TS geen samengevoegde infrastructuur te bouwen. Dan kun je dus vanuit thuis ook niet even meedoen met de RDP-inloggers.
[...]
Dan zit je aan het eerste scenario van twee compleet apart opgezette netwerkjes zonder directe verbinding onderling. Geen extra geavanceerde features voor nodig.
[...]

Ik denk dat je nog even moet blijven nadenken en beschrijven wat je denkt nodig te hebben. En vooral ook hoe dat in de praktijk moet werken, vanuit gebruikersperspectief. "Ik plug hier in en ik kan daarbij maar niet daarbij", "ik maak contact met dit SSID en heb dan deze toegang, dit SSID is hier en niet daar (of: ... en ook daar) beschikbaar", dat soort scenarios.

Of je houdt het hierbij: Je maakt van kantoor en prive twee verschillende netwerk-huishoudens. Dan hoeft er verder niets ingewikkelds te gebeuren en heb je geen ingewikkelde apparatuur nodig.

IP-ranges zijn meestal vrij te kiezen binnen de perken van de prive-IP-ranges (b.v. 192.168.P.0/24 en 192.168.K.0/24 en je bent er) zolang er geen verbinding tussen die twee netwerkjes is.

Is die verbinding er wel, dan wordt het ingewikkelder. Dan heb je bijvoorbeeld een betere NATrouter nodig die 192.168.P.0/24 op een van z'n poortjes bedient en 192.168.K.0/24 op een ander. Dan stel je op de NATrouter filterregels in over hoeveel het ene met het andere netwerk mag praten.

Fysiek is het nog steeds redelijk simpel. Kabeltje naar Prive, kabeltje naar Kantoor, en dan een switch en/of een AP aan het andere eind van dat kabeltje.

Pas als je willekeurig per poortje P of K wil kunnen kiezen, of zelfs allebij tegelijk (en tagged) naar een AP wil sturen, heb je VLANs nodig, en dus een geavanceerdere switch. En dan ook een geavanceerde NATrouter die de verschillende subnetjes en VLANs tagged naar je geavanceerde switches kan sturen, en geavanceerde APs die met meerdere SSIDs en met VLAN tags kunnen omgaan.

Dus nog even doordenken. We hebben overigens ook nog het scenario van gasten die niet op Prive mogen komen en ook niet op Kantoor, maar alleen het internet op mogen. Dus mischien heb je nog een Gastnetwerk nodig, en zo ja waar moet dat precies beschikbaar zijn?

Teken er desnoods wat plaatjes bij, schrijf wat scenarios uit over wat wel moet en vooral ook wat niet hoeft te werken, en zo verder. Vergeet ook niet: Hoe ingewikkeld heb je het nodig en hoe ingewikkeld kun je (of je opvolger, etc.) aan qua opbouwen en onderhoud?

Jup.

Op de USG kan je ze scheiden: https://community.ubnt.co...bnets-on-USG/td-p/2248141 door de 2e lan port te gebruiken.

@heinoh Inderdaad.
Je hebt in principe geen "managed switches" nodig.
Je kunt op eth0 internet definieren op de USG,
eth1 voor je thuisnetwerk en eth2 voor je kantoorwerkzaamheden.
Bij ons bedrijf is dit respectievelijk Internet LAN en Voip LAN, beide met een andere range.
Zit hem in dit venster ;

Let wel op, enkel vlans aanmaken is niet genoeg. Standaard routeert je USG gewoon tussen subnets. Je moet dus in je firewall routing tussen vlans blokkeren.

Als je zoekt op "Willie Howe IOT UniFi" dan vind je wel een paar video's die je daarbij kunnen helpen.

Je kunt ook op de USG vlans aanmaken.
Als je dan een unifi switch koopt, en deze ook in de portal hangt, kun je via de portal heel gemakkelijk de vlan's toewijzen aan je kantoor en thuis poorten.


Als je doet wat @heinoh zegt, dan heb je wel het probleem, dat als je niet op 1 ap zowel het kantoor vlan((netwerk)), als het woonkamer vlan(netwerk) kan uitzenden. Dit wil je denk ik wel hebben, zodat je een optimale dekking kan krijgen door het hele gebouw/woonhuis.

Maak gewoon een apart netwerk (Corporate) aan in je Unifi setup, apart VLAN en set Guest aan.
Apparaten in dat VLAN kunnen vervolgens niet bij de apparaten in het "normale" VLAN.
Zo doe ik het ook, ik heb 3 VLANS, 1 normale, 1 voor guests en 1 voor IOT.

Wat heb je in het thuis netwerk draaien wat je afgeschermd wil hebben en hoe RDP? met wat? Maak eens een tekening van wat je wil. A krijg je het voor jezelf helder B wij begrijpen dan ook wat en waarom je iets wilt en kunnen je helpen.