Domotica scheiden van de rest van het netwerk

Ik ben momenteel bezig mijn netwerk wat anders in te richten. Nou heb ik nog een 2e router liggen, die ik in wil gaan zetten om mij domotica Wifi te scheiden van de rest. Ik vroeg mij alleen af of ik dan het beste deze router als accespoint in kan zetten, of is het beter om het domotica deel te scheiden van mijn reguliere netwerk en zo ja, wat is hier dan slim in? Gewoon een router achter de reguliere router en dan de firewall dicht zetten? Ik was even benieuwd of er hier mensen zijn die iets vergelijkbaars hebben gedaan, Of heeft iedereen de domotica gewoon in hun reguliere netwerk zitten?

Dobey schreef op woensdag 12 juni 2019 @ 07:17:
Ik zou eerder kiezen voor het gebruik van VLANs op je bestaande router (mits mogelijk). Dan kan je er een losse DHCP reeks aan toe kennen. Domoticz server in je normale LAN en wat FW poorten openen van ene VLAN naar andere VLAN.

Dat gaat helaas niet op mijn router. Wel heb ik een switch die VLAN ondersteuning heeft, maar dan moet ik nog een losse DHCP in gaan richten.

Dobey schreef op woensdag 12 juni 2019 @ 08:25:
[...]


Yep met alleen een switch gaat dat niet lukken. Daar kan je hooguit aangeven, dit poortje zit in dit VLAN. Maar 2 routers is ook niet ideaal.

Weet niet wat voor een router je hebt maar wellicht dat je hem kan voorzien van DD-WRT of OpenWRT.. Dat geeft je vaak wel meer mogelijkheden.

Heb een experiabox, denk niet dat KPN het leuk gaat vinden als ik daar DD-WRT op ga zetten Wat volgens mij ook helemaal niet mogelijk is.

Nou zou ik die experiabox kunnen vervangen, maar buiten dat hij geen VLAN ondersteund en maar max 10 DHCP reserveringen aan kan werkt hij prima. Daarnaast ga ik denk ik ook weer overstappen eind van het jaar.

Zou ik niet alleen het LAN deel van die 2e router kunnen gebruiken en die dan verbinden met bijvoorbeeld poort 1 van de switch, Domoticz op poort 2 van de switch en de overige poorten voor mijn reguliere LAN. Als ik dan op de switch poort 1 configureer voor een domotica VLAN, poort 3 t/m 8 voor het reguliere netwerk VLAN en beide VLAN's dan op poort 2. Is dat mogelijk?

Ben zelf niet heel erg thuis in VLAN's, maar het klinkt werkbaar. Maar wellicht zie ik iets over het hoofd of mis ik bepaalde VLAN kennis

Dobey schreef op woensdag 12 juni 2019 @ 09:47:
[...]


ExperiaBox

Je zou je eigen router achter de Experiabox kunnen knopen en vanaf daar alles zelf te regelen. Dan is je Experiabox niks anders dan je toegang tot het internet (en je telefonie).

Dat is ook nog een optie, maar dan krijg je NAT achter NAT, dat is geen wenselijke situatie, toch?

Wat je beschrijft zou in essentie kunnen werken echter het idee van VLANs is dat je het via de firewall kan scheiden. Dit is voor bepaalde apparatuur (neem ESPeasy als voorbeeld) noodzakelijk kwaad omdat je die niet aan het internet geknoopt wil hebben en ook niet de mogelijkheid wil geven om deze te kunnen benaderen vanaf de je normale LAN.

Ok, dus als ik je goed begrijp, heb je met mijn "oplossing" niet de mogelijkheid om de firewall te gebruiken en dus krijg je geen goede scheiding?

Mijn situatie is als volgt:
Los VLAN voor ESP spulletjes.
Deze mogen alleen vanaf VLAN x naar de Domoticz server over poort 80, verkeer terug is niet mogelijk.

Maar moet Domoticz de boel niet aan kunnen sturen? Hoe doe je dat dan als alles dicht zit?

Kasper1985 schreef op zondag 16 juni 2019 @ 10:52:
VLANS zijn hier idd top voor. Mocht je besluiten er iets voor aan te schaffen dan kan je een router uit de Edge lijn van Ubiquiti overwegen. De Experibox is gemakkelijk te vervangen voor een edge router zonder dubbel NAT. Ervan uitgaande dat je glas en geen dsl hebt.
De edge routers zijn redelijk makkelijk in te stellen en er zijn talloze youtube filmpjes en posts over te vinden.

Deze dingen zijn relatief goedkoop en geven toch (semi) professionele mogelijkheden.

Ik zal eens gaan kijken. Het probleem is alleen, dat ik overweeg om eind van het jaar over te stappen. Dan moet ik wel zeker weten dat die Edge router ook bij de nieuwe provider het modem/router kan vervangen.

prein2 schreef op dinsdag 18 juni 2019 @ 15:22:
om hoeveel 'onveilige' apparaten gaat het. Ik heb er thuis 2, die heb ik dan ook middels een aparte firewall rule op MAC adres uitgesloten van het internet. Ik snap ook wel dat het beheer hiervan lastiger wordt als je 10-tallen van dit soort apparaten hebt, die je ook nog eens regelmatig wisselt.

Dat is inderdaad ook nog wel een optie. Alleen heeft die experiabox een beperking tot 10 DHCP reserveringen en is er qua firewall ook niet al te veel in te stellen. Maar wellicht kan ik dan voor nu iig tijdelijk die router er even tussen zetten en dan zien we eind van het jaar wel weer verder

prein2 schreef op dinsdag 18 juni 2019 @ 22:29:
[...]


Goede vraag voor de TS! In mijn geval ging het specifiek om Chinese ip cameras die nogal wat traffic genereren richting China.. Dat heb ik dus geblokkeerd.. Meer niet.


Vraag me inderdaad af waar TS naar op zoek is. Zo'n verhaal over eigen apparatuur is prima als je er ook tijd in wilt steken voor beheer, al is dat misschien minimaal. Dus: wat is de behoefte?

Ook in mijn geval gaat het om iets uit China In dit geval de Xiaomi gateway, 2 Yeelights & een Chinese ip camera. Daarnaast wil ik graag een aparte Wifi zodat mijn domotica & overige devices geen "last" hebben van elkaar. Maar dat laatste hoeft dus niet in een apart gescheiden netwerk.