:strip_icc():strip_exif()/u/30425/crop5906f20a03bb0_cropped.jpeg?f=community)
Mijn huidige thuisnetwerk is best 13-in-een-dozijn. Mijn ISP heeft een modem/router/access-point in bruikleen gegeven, en naast een handjevol bekabelde apparaten hangt er een tweede access-point aan die op zolder staat. Nu denk ik er steeds vaker aan om het hele netwerk opnieuw op te bouwen. De hoofdredenen zijn:
1) het modem (of eigenlijk: ingebouwde AP) heeft tamelijk schrale wifi-prestaties;
2) het tweede access point was bij de aanschaf, zo'n tien jaar geleden, al bepaald geen topmodel, dus de prestaties zijn minstens even schraal als die van de AP van het modem;
3) daarnaast hangt zowel bekabeld als via de wifi een allegaartje aan (IoT) apparaten aan het netwerk, en wil ik die uit veiligheidsoogpunt scheiden van de rest van de apparaten.
Over het laatste: fabrikanten van IoT-apparaten hebben nu zelden veel aandacht voor veiligheidsaspecten, en daarnaast maak ik regelmatig zelf domotica-sensoren op basis van de ESP8266-chip/microprocessor. De firmware staat het niet toe de boel volledig dicht te timmeren: eenmaal verbonden met de wifi kan iedereen een SSH-sessie starten (er is geen authenticatie). Ik wil uitsluiten dat iemand mijn netwerk binnenkomt via zulke sensoren of apparaten.
Op YouTube zag ik een interessante video van SuperHouse over het inrichten van je netwerk met de Uniquity Unifi-serie. Daarin wordt eigenlijk precies besproken wat ik wil (al is dit deel alleen de installatie, en is het vervolg over de instellingen aangekondigd maar uitgebleven
). En de Unifi-productlijn ziet er ook nog eens strak uit en kan bovenal met controller software centraal worden beheerd. Geweldig! Alleen nogal een vendor lock-in: de controller software wordt waardeloos als je noodgedwongen een niet-Unifi apparaat aanschaft.
Als ik het goed begrijp, werk ik toe naar de volgende setup:
1. Modem in bridge-modus;
2. Router (managed);
3. Switch;
4.a. AP;
4.b. AP.
Met mijn wensen over het scheiden van LAN en IoT-LAN, zit ik automatisch in VLAN-sferen. Als ik het goed begrijp, regelt de router uiteindelijk de VLAN's en moeten de switch en AP's dat ondersteunen (in die zin dat ze ook de VLAN-tags doorgeven).
Met Unifi-producten kom ik uit op het volgende:
- Unifi Security Gateway;
- Unifi 8-poorts switch (PoE);
- Unifi AP-AC Lite (2x).
Prijskaartje: 375,00 euro (exclusief platform om de centrale controller-software op te draaien).
Met een mix-and-match, kom ik uit op:
- Ubiquity Edgerouter X;
- TP-Link TL-SG108PE 8-poorts switch (PoE);
- TP-link EAP225 AP (2x).
Prijskaartje: 262,00 euro (zonder de mogelijkheid van centrale controller software).
Het prijsverschil is dus "kaal" 113,00 euro, maar voor een controller platform (Pi, behuizing en SSD) reken ik op nog eens 60,00 euro. De controller software is mij geen verschil van 173,00 euro waard.
Nu is mijn vraag: doet deze setup wat ik wil? Zijn de alternatieven inderdaad gelijkwaardig (minus de centrale controller software, natuurlijk)? Zowel de Unifi AP's als de TP-Link AP's ondersteunen meerdere SSID's waaraan een VLAN-tag kan worden gehangen. Is mijn veronderstelling juist dat als een AP een apparaat verbindt op SSID-1, waaraan op de AP VLAN-tag 1 is gekoppeld, de router dit ook ziet als VLAN-1?
Kortom: zie ik iets over het hoofd?
1) het modem (of eigenlijk: ingebouwde AP) heeft tamelijk schrale wifi-prestaties;
2) het tweede access point was bij de aanschaf, zo'n tien jaar geleden, al bepaald geen topmodel, dus de prestaties zijn minstens even schraal als die van de AP van het modem;
3) daarnaast hangt zowel bekabeld als via de wifi een allegaartje aan (IoT) apparaten aan het netwerk, en wil ik die uit veiligheidsoogpunt scheiden van de rest van de apparaten.
Over het laatste: fabrikanten van IoT-apparaten hebben nu zelden veel aandacht voor veiligheidsaspecten, en daarnaast maak ik regelmatig zelf domotica-sensoren op basis van de ESP8266-chip/microprocessor. De firmware staat het niet toe de boel volledig dicht te timmeren: eenmaal verbonden met de wifi kan iedereen een SSH-sessie starten (er is geen authenticatie). Ik wil uitsluiten dat iemand mijn netwerk binnenkomt via zulke sensoren of apparaten.
Op YouTube zag ik een interessante video van SuperHouse over het inrichten van je netwerk met de Uniquity Unifi-serie. Daarin wordt eigenlijk precies besproken wat ik wil (al is dit deel alleen de installatie, en is het vervolg over de instellingen aangekondigd maar uitgebleven
). En de Unifi-productlijn ziet er ook nog eens strak uit en kan bovenal met controller software centraal worden beheerd. Geweldig! Alleen nogal een vendor lock-in: de controller software wordt waardeloos als je noodgedwongen een niet-Unifi apparaat aanschaft.Als ik het goed begrijp, werk ik toe naar de volgende setup:
1. Modem in bridge-modus;
2. Router (managed);
3. Switch;
4.a. AP;
4.b. AP.
Met mijn wensen over het scheiden van LAN en IoT-LAN, zit ik automatisch in VLAN-sferen. Als ik het goed begrijp, regelt de router uiteindelijk de VLAN's en moeten de switch en AP's dat ondersteunen (in die zin dat ze ook de VLAN-tags doorgeven).
Met Unifi-producten kom ik uit op het volgende:
- Unifi Security Gateway;
- Unifi 8-poorts switch (PoE);
- Unifi AP-AC Lite (2x).
Prijskaartje: 375,00 euro (exclusief platform om de centrale controller-software op te draaien).
Met een mix-and-match, kom ik uit op:
- Ubiquity Edgerouter X;
- TP-Link TL-SG108PE 8-poorts switch (PoE);
- TP-link EAP225 AP (2x).
Prijskaartje: 262,00 euro (zonder de mogelijkheid van centrale controller software).
Het prijsverschil is dus "kaal" 113,00 euro, maar voor een controller platform (Pi, behuizing en SSD) reken ik op nog eens 60,00 euro. De controller software is mij geen verschil van 173,00 euro waard.
Nu is mijn vraag: doet deze setup wat ik wil? Zijn de alternatieven inderdaad gelijkwaardig (minus de centrale controller software, natuurlijk)? Zowel de Unifi AP's als de TP-Link AP's ondersteunen meerdere SSID's waaraan een VLAN-tag kan worden gehangen. Is mijn veronderstelling juist dat als een AP een apparaat verbindt op SSID-1, waaraan op de AP VLAN-tag 1 is gekoppeld, de router dit ook ziet als VLAN-1?
Kortom: zie ik iets over het hoofd?
Privacy-adepten vinden op AVGtekst.nl de Nederlandse AVG-tekst voorzien van uitspraken en besluiten.