:strip_icc():strip_exif()/u/16677/crop5db01361a1e1e_cropped.jpeg?f=community)
Asustor AS6704T (32GB, 4x16TB MG08), OpenWrt (3x GL.iNet Flint 2 MT6000), Lyrion Media Server, Odroid H2/N2+/C4/C2, DS918+ (4x8TB WD RED)
Vraag
Alle reacties
Asustor AS6704T (32GB, 4x16TB MG08), OpenWrt (3x GL.iNet Flint 2 MT6000), Lyrion Media Server, Odroid H2/N2+/C4/C2, DS918+ (4x8TB WD RED)
:strip_exif()/u/108168/koebjieste21.gif?f=community)
Asustor AS6704T (32GB, 4x16TB MG08), OpenWrt (3x GL.iNet Flint 2 MT6000), Lyrion Media Server, Odroid H2/N2+/C4/C2, DS918+ (4x8TB WD RED)
/u/35508/crop61e6aa7b579e2_cropped.png?f=community)
:strip_icc():strip_exif()/u/77100/crop5fea1dd581b0b_cropped.jpeg?f=community)
Asustor AS6704T (32GB, 4x16TB MG08), OpenWrt (3x GL.iNet Flint 2 MT6000), Lyrion Media Server, Odroid H2/N2+/C4/C2, DS918+ (4x8TB WD RED)
Asustor AS6704T (32GB, 4x16TB MG08), OpenWrt (3x GL.iNet Flint 2 MT6000), Lyrion Media Server, Odroid H2/N2+/C4/C2, DS918+ (4x8TB WD RED)
/u/79923/DUT11.png?f=community)
Asustor AS6704T (32GB, 4x16TB MG08), OpenWrt (3x GL.iNet Flint 2 MT6000), Lyrion Media Server, Odroid H2/N2+/C4/C2, DS918+ (4x8TB WD RED)
Verwijderd
Is een work-around. Maar je bent wel afhankelijk van de Philips server. En als je een IoT device bewust geen internettoegang geeft verlies je een bedieningmethode via je netwerk. Allemaal niet rampzalig zou ik zeggen, het zijn lampen. Je kunt overigens ook nog investeren in de batterijloze Hue tap, dan doet de Hue bridge in essentie alleen nog maar Zigbee.
De meeste mensen hebben thuis geen domein-naam server (DNS) draaien. In een DNS zoek je op welk IP-adres er hoort bij een domeinnaam. Jij typt www.abc.xyz en de DNS zoekt voor jou het IP-adres 123.456.789.101. Dat is met name van belang voor het internet.
In een thuissetting kan het lastig worden om een apparaat te vinden. Zeker als je geen toegang hebt tot de router. Een oplossing daarvoor is multicast DNS. De genoemde Hue bridge gebruikt dat, maar bijvoorbeeld ook Bonjour van Apple.
Een apparaat (bijvoorbeeld een smartphone) zet met multicast als het ware een luide netwerkstem op, en probeert uit te zoeken “waar” het aparaat met die mDNS naam (bijvoorbeeld een Chromecast of Hue bridge) zich bevindt. Een deel van die oproep komt in dat subnet ook bij hosts die er niks mee te maken hebben, maar die zullen dat negeren. Een mDNS naam herken je standaard aan de “.local” naamgeving.
Als je in een geisoleerd VLAN een multicast bericht verstuurt, blijft het binnen dat VLAN (dat was ook de bedoeling van je isolatie). Je moet het mDNS bericht dus herhalen naar een ander (of alle) andere VLANs. Avahi is een service die dat doet. Aangezien mDNS werkt via UDP over port 5353 moet je firewall dat verkeer tussen je VLANs wel toestaan.
Een terechte vraag, maar het antwoord stond wel (verstopt) in de OP van de TS. Samengevat: de “S” in IoT staat voor Security
Er is wat mij betreft veeel te weinig aandacht vanuit de industrie om IoT te isoleren. Apple gaat een poging wagen als ik het goed begrijp. Maar ze hebben vreemd genoeg net hun eigen routers eruit gegooid.
Ik heb het voorbeeld al eens eerder gebruikt, maar wat zou je ervan vinden als er dagelijks een medewerker van een buitenlands bedrijf in je woonkamer, met jouw telefoon staat te bellen naar iemand in het buitenland, en daar versleuteld communiceert over de dingen die hij ziet in je woonkamer zoals de temperatuur, of de hoeveelheid stroom, of wat hij ook maar wil? Of af en toe zijn wachtwoord of dat van jouw SSID laat slingeren? Of (als hij dat zou willen of daartoe wordt gedwongen door een ander) even kan meeluisteren met je gesprekken in de woonkamer?
edit: toevoeging noodzaak IoT isolatie en UDP en woord geisoleerd voor VLAN
[ Voor 22% gewijzigd door Verwijderd op 24-08-2019 23:53 ]
/u/17901/glenfiddich.PNG?f=community)
Ik ga dit topic even volgen
Ben er zelf gisteren ook mee begonnen, en ondanks dat ik toch best goed thuis ben in de IT (hobbymatig dan) vind ik het toch best pittig. Veel gelezen over VLANs maar het leek wel Chinees, begreep er aanvankelijk weinig van. Uiteindelijk begonnen met een paar basic YouTube video's waarin puur het concept en de werking van VLANs uitgelegd wordt en dat is erg verhelderend en leerzaam geweest.
Ook bij mij is het bedoeld om zaken van elkaar te scheiden om veiligheidsredenen: eigen netwerk, gastennetwerk, en netwerk(en) voor smart apparaten. Het heeft me een middagje gekost maar nu heb ik dan eindelijk twee werkende netwerken die van elkaar gescheiden zijn (apparaten uit verschillende netwerken onderling niet te pingen). Best trots op mezelf
Ik gebruik Ubiquity apparatuur (USG+switch+AP).
Ben er zelf gisteren ook mee begonnen, en ondanks dat ik toch best goed thuis ben in de IT (hobbymatig dan) vind ik het toch best pittig. Veel gelezen over VLANs maar het leek wel Chinees, begreep er aanvankelijk weinig van. Uiteindelijk begonnen met een paar basic YouTube video's waarin puur het concept en de werking van VLANs uitgelegd wordt en dat is erg verhelderend en leerzaam geweest.
Ook bij mij is het bedoeld om zaken van elkaar te scheiden om veiligheidsredenen: eigen netwerk, gastennetwerk, en netwerk(en) voor smart apparaten. Het heeft me een middagje gekost maar nu heb ik dan eindelijk twee werkende netwerken die van elkaar gescheiden zijn (apparaten uit verschillende netwerken onderling niet te pingen). Best trots op mezelf
Ik gebruik Ubiquity apparatuur (USG+switch+AP).
Catch a smile out there!
Allereerst: dank voor je antwoord: behoorlijk verduidelijkend!
Mijn doel is om ervan te leren en mijn netwerk beter/veiliger op te zetten.
Mijn doel is om ervan te leren en mijn netwerk beter/veiliger op te zetten.
Even opgezocht: Zigbee is ook weer een communicatieprotocol. Dat gaat dan dus buiten het (wifi)netwerk om?
Snap ik, al zijn er toch best wat mensen die een Pi-Hole hebben inmiddels, maar dat veroorzaakt niet direct problemen, toch?
Ik probeer me een situatie te bedenken wanneer dat het geval zou zijn. OK, als je zelf de boel verneukt (zoals ik wellicht), maar normaal gesproken toch niet? Alles in 1 VLAN.
Dit snap ik (denk ik). Maar waarom gaat zo'n mDNS systeem meteen roeptoeteren i.p.v. eerst op de 'normale' manier een DNS request te doen. Nu wordt er moedwillig een goed opgezet netwerk genegeerd.
Dit snap ik ook (denk ik). Poort 5353 heb ik open gezet, zonder het gewenste resultaat (Hue in IoT VLAN bedienen met iPad in LAN VLAN).
Precies dit dus. Mocht ik ooit Wifi-IoT dingen krijgen die niet bedraad aangesloten kunnen worden, dan krijgen ze een eigen Wifi-netwerkje.[...]
Een terechte vraag, maar het antwoord stond wel (verstopt) in de OP van de TS. Samengevat: de “S” in IoT staat voor Security
Er is wat mij betreft veeel te weinig aandacht vanuit de industrie om IoT te isoleren. Apple gaat een poging wagen als ik het goed begrijp. Maar ze hebben vreemd genoeg net hun eigen routers eruit gegooid.
Ik heb het voorbeeld al eens eerder gebruikt, maar wat zou je ervan vinden als er dagelijks een medewerker van een buitenlands bedrijf in je woonkamer, met jouw telefoon staat te bellen naar iemand in het buitenland, en daar versleuteld communiceert over de dingen die hij ziet in je woonkamer zoals de temperatuur, of de hoeveelheid stroom, of wat hij ook maar wil? Of af en toe zijn wachtwoord of dat van jouw SSID laat slingeren? Of (als hij dat zou willen of daartoe wordt gedwongen door een ander) even kan meeluisteren met je gesprekken in de woonkamer?
Asustor AS6704T (32GB, 4x16TB MG08), OpenWrt (3x GL.iNet Flint 2 MT6000), Lyrion Media Server, Odroid H2/N2+/C4/C2, DS918+ (4x8TB WD RED)
Asustor AS6704T (32GB, 4x16TB MG08), OpenWrt (3x GL.iNet Flint 2 MT6000), Lyrion Media Server, Odroid H2/N2+/C4/C2, DS918+ (4x8TB WD RED)
Asustor AS6704T (32GB, 4x16TB MG08), OpenWrt (3x GL.iNet Flint 2 MT6000), Lyrion Media Server, Odroid H2/N2+/C4/C2, DS918+ (4x8TB WD RED)
/u/172597/crop5e1225c8b1011.png?f=community)
No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.
Ik denk dat het niet zo zeer is dat er weinig over VLANs gepraat wordt, maar om dat het net een stapje te ver is voor de consument. Die denken dat een VLAN een magisch 2e netwerk is en hebben niet door dat een VLAN feitelijk niks anders is dan een tag op een ethernet frame.
En dan heb je nog de vendors die het woord VLAN voor random zaken inzetten terwijl dat al lang geen simpel VLAN meer is, maar bijv. een L2 netwerk, met daar boven op een subnet, NAT, DHCP, Firewall, Routing, en samen een verdor-specifieke benaming als 'zone' of 'segment' label mee krijgt. Zonder te weten wat dat alles is kan je er als beginner weinig automatisch 'goed' mee doen. Zelfs de switch vendors kunnen het er niet over eens worden hoe je de poorten benoemt in bepaalde VLAN tagging configuraties.
En om het allemaal nog een stukje ranziger te maken: je gebruikt eigenlijk al een VLAN, maar zelfs daar kunnen hardware en software het niet over eens zijn, laat staan de vendors. Pak de concepten van een physical VLAN ID, VLAN 1 en untagged er bij, dat zegt ook niet eens definitief wat er nou in je ethernet frame staat, en zegt ook niks over wat 'de andere kant' er voor mening over heeft.
Een 'untagged' frame zou de hele Q header tussen de SRC MAC en EtherType niet moeten hebben, maar wordt vooral door de mediamarkt-klasse apparatuur gewoon toegevoegd met VLAN ID 1. En dan heb je het PVID verzinsel wat standaard niet hoort te bestaan maar gewoon 'insert Q tag with VLAN ID into frames with no tag" doet, maar elke vendor er z'n moeder denkt dat het nodig is om daar dan maar een losse naam voor te maken, naast het de benaming 'untagged' die voor ingress frames hetzelfde doet (want een untagged VLAN port zet ingress frames op de VLAN queue van het van en daar door komen ze gewoon doodleuk getagd en wel op je andere poorten terug).VLANs, op ethernet niveau, zonder vendor meuk, is extreem simpel. Gooi je alle onzin die de laatste 20 jaar bijbracht is er bij, dan is het voor een beginner niet te doen. En dan krijgen we deze topics waarbij de topicstarter hier bijna bang is om het te vragen
/rant
Wat dit topic betreft: begin simpel!
In OpnSense een 2e interface maken, en daar een VLAN interface op bijmaken. Geef die VLAN een leuk nummertje, bijv 200. Dan kan je nooit per ongeluk een '1' intypen die vaak misbruikt wordt in switch firmware, en ook geen '2' (want visueel zie je snel zat dat het te kort voor 200 is), zodat je in elk geval ook niet per ongluk op een VLAN van je provider zit (die gebruiken zelf nog wel eens VLANs aan de LAN kant (en WAN kant!) voor IPTV en VoIP, vaak ID's onder de 10)
Daarna tussen je switch en je OpnSense een kabel trekken op die 2e interface die je gemaakt hebt (fysieke poort).
Daarna op je switch ergens uitzoeken waar je kan instellen welke VLAN ID's er allemaal moeten bestaan. Je kan waarschijnlijk iets als 'create vlan' doen, en daar maak je een VLAN aan die je '200' noemt en ID 200 heeft.
Daarna heb je meestal iets als een poort configuratie, of VLAN configuratie, of mapping. Een ding waar je kan kiezen wat een poort met een VLAN moet doen. Kies twee poorten uit: de poort die je net in je firewall geprikt hebt en een poort die je nog niet in gebruik had. Zet allebei die poorten op tagged 200 of member 200 of 'insert vendor naam' 200. Dit zorgt er voor dat als er een ethernet frame arriveert op zo'n poort en er een VLAN ID tag aan vast zit je switch weet dat ie niet in de prullenbak moet maar door mag.
Je kan, als je computer dat snapt, je computer-netwerk-kaart op VLAN 200 zetten en een netwerkkabel in die extra poort die je ook in VLAN 200 had staan stoppen. Klaar! VLAN 200 van je computer poort, naar switch poort, naar de andere switch poort naar de firewall poort is nu functioneel. Je kan nu waarschijnlijk nog niks, want op je firewall moet je in je VLAN interface nog een assignment doen dat er IPv4 overheen mag, en dat je poort een adres heeft en dat er DHCP en NAT op mag en dat er traffic door de firewall mag passeren. Daarna kan je behalve ethernet ook andere dingen doen zoals TCP/IP wat wel praktisch is voor DNS en HTTP en TLS.
Als je dit alles al hebt (en zo ver was je waarschijnlijk al) heb je ook een testconfiguratie waarmee je je andere apparatuur kan testen. Stel dat je nu bijv. je OpenWRT AP ook op dat VLAN wil hebben en je die ook tagged zo wil benutten, dan kan je die netwerkpoort tagged laten staan, je OpenWRT AP instellen, netwerkkabel in je poort prikken en dan ben je meteen klaar. Je kan je switch poort ook up untagged VLAN ID 200 zetten en dan denkt je OpenWRT dat is gewoon op een kale netwerkpoort zit met standaard ethernet frames zonder Q-tag.
Ik heb het zelf opgezet met een isolatienetwerk waar je niks kan (ook niet onderling) zodat een apparaat nooit per ongeluk op een bestaand netwerk komt en ook niet op internet kan. Daar staan alle switchpoorten standaard op. Dan heb ik een untagged client isolated netwerk waarbij clients wel naar internet kunnen maar niet naar elkaar (een beetje vergelijkbaar met de meeste gastnetwerken), dan een untagged lan netwerk voor apparaten die onderling wel moeten communiceren, dan een untagged iot netwerk voor alle troep die niet te vertrouwen is, en een tagged management netwerk waarmee je op de management interfaces van de apparatuur komt, en die staat op 2 poorten aan die normaal niet ingeplugd zijn. Is het totaal onnodig voor thuisgebruik? Eigenijk wel, een standaard gastnetwerk is al genoeg, want eigenlijk moet alles wel met internet communiceren en wil je eigenlijk helemaal geen onbetrouwbare iot spullen hebben, ik zet m'n lampen wel met de hand aan en uit...
[ Voor 81% gewijzigd door johnkeates op 25-08-2019 00:23 ]
Asustor AS6704T (32GB, 4x16TB MG08), OpenWrt (3x GL.iNet Flint 2 MT6000), Lyrion Media Server, Odroid H2/N2+/C4/C2, DS918+ (4x8TB WD RED)
Pagina: 1