Inrichting thuisnetwerk met VLANs - Netwerken

zondag 27 oktober 2019 17:22

Acties:

0 Henk 'm!

Topicstarter

Ik ben bezig mijn thuisnetwerk aan het herinrichten met VLANs. Er komen nieuwe managed switches en een router met VLAN ondersteuning. Ik had de volgende indeling bedacht:

VLAN 10 = Prive computers, portables en NAS
VLAN 20 = Zakelijke computers en portables
VLAN 30 = Windows PC die absoluut alleen met het internet mag verbinden (met mogelijkheid dit te filteren)
VLAN 40 = Printer (deze mag niet naar het internet verbinden)
VLAN 50 = Internet-only voor smart TV, chromecast en spelcomputers
VLAN 60 = Gast internet (alleen op draadloos)

Ik dacht VLANs te begrijpen als manier om netwerksegmentatie aan te brengen zodat IP range x nooit naar IP range y kan verbinden. Maar er zijn wat functionele problemen met een harde scheiding:
- VLAN 10, 20 en 30 moeten wel kunnen printen, maar de printer zelf mag niet het internet op (om het ongewild lekken van zakelijke gegevens te voorkomen)
- De Chromecast op VLAN 50 mag streamen van internet maar mag geen toegang hebben tot andere apparaten in het netwerk. Hoe bedien je de chromecast dan vanaf VLAN10?

Hoe werken dit soort dingen in een VLAN constructie?

"Kill one man, and you are a murderer. Kill millions of men, and you are a conqueror. Kill them all, and you are a god." -- Jean Rostand

zondag 27 oktober 2019 17:30

Acties:

0 Henk 'm!

Andre_J

Je bent op de goede weg, echter moet je inderdaad nog meer.
Routing/Firewall is nodig om te zeggen wat van wie waarheen mag.

zondag 27 oktober 2019 17:32

Acties:

+1 Henk 'm!

KrazyJay

杰

Ik denk dat je het jezelf wel moeilijk aan het maken bent.

Maar goed. Heb je al nagedacht over je subnetten? Welke IP range in welk VLAN komt? Ben je bereid onderling routeringen op te zetten, en eventueel te NATten?

Ik zou de oefening herbekijken. Begin met het onderscheid te maken met wat waar toegang toe moet hebben, en bedenk je of het de moeite waard gaat zijn. M.a.w. heb je zin om een middagje te gaan troubleshooten als er iets plots niet meer werkt als er ergens een foutje gemaakt wordt?

Als je er toch verder mee wilt, zou ik een andere indeling maken, gericht vanuit het praktische. Een apart VLAN om een printer niet met het internet te verbinden is niet handig, je kiest voor routeringen en eventueel NATting terwijl je hetzelfde kan bereiken met een printer een IP reservering te geven vanuit je DHCP en er in je Firewall een policy op kunt zetten. Voor een bedrijfsnetwerk zal ik inderdaad met VLANs werken (en heb ik dat dan ook gedaan), maar voor thuis is het een overkill.

Praktisch denkend, zou ik kijken naar twee of eventueel drie VLANs. Eén voor prive ( vlan 8 ), één voor de gasten ( vlan 16 ) en eventueel een derde voor je Chromecast ( vlan 24 ). De rest is gewoon vanop je firewall in te regelen.

zondag 27 oktober 2019 17:32

Acties:

0 Henk 'm!

mkroes

Dat niet alleen. De chromecast moet 'gezien worden' door de apparaten die moeten kunnen streamen.
Waarom niet deze apparaten een vast ip toekennen en hier regels voor opstellen? Dit maakt het een stuk makkelijker.

zondag 27 oktober 2019 17:39

Acties:

0 Henk 'm!

Nickname55

Ik weet niet over wat voor printer het gaat, maar bij normale consumenten printers is het lastig deze in een ander subnet te hebben dan de pc. De printer word dan niet automatisch gevonden in Windows, je moet dan handmatig het ip invoeren. Sommige officiele drivers van printerfabrikanten kun je niet eens installeren, omdat die de printer zelf op willen zoeken. Die printer vinden ze dan niet, waarmee de installatie afgebroken word. Sommige functies werken niet, zoals het scannen vanaf printer naar pc.

[ Voor 26% gewijzigd door Nickname55 op 27-10-2019 17:41 ]

Euhm... \n ...

zondag 27 oktober 2019 18:17

Acties:

0 Henk 'm!

Soldaatje

mkroes schreef op zondag 27 oktober 2019 @ 17:32:
Dat niet alleen. De chromecast moet 'gezien worden' door de apparaten die moeten kunnen streamen.
Waarom niet deze apparaten een vast ip toekennen en hier regels voor opstellen? Dit maakt het een stuk makkelijker.

Dan zou je een soort gateway moeten hebben tussen de Chromecast en de apparaten die mogen streamen.
Of dat überhaupt mogelijk is zou ik niet weten eigenlijk maar misschien kan het wel door de juiste pakketten te 'natten'.

zondag 27 oktober 2019 18:18

Acties:

+1 Henk 'm!

Archie_T

Je kan zeker wel je VLANs opzetten zoals jij het wil... Maar zoals al gezegd, je krijgt problemen met de Chromecast en andere spullen die mDNS doen. Gewoon alles wat je wil bereiken in één VLAN en Guest afscheiden is veel handiger. Mocht je toch de uitdaging aan willen gaan kijk dan naar mDNS proxies op je netwerk. Het is zeker lastig maar wel leuk om te klussen

zondag 27 oktober 2019 20:21

Acties:

0 Henk 'm!

Nickname55

Archie_T schreef op zondag 27 oktober 2019 @ 18:18:
... mDNS proxies ...

Heb je hier een linkje van? Nadere info? Ik ben zelf ook wel eens aant klooien geweest met avahi op mn pfsense router, maar dat is op niets uitgelopen. Er is echt heel weinig goede info over te vinden. Als je gaat googlen, dan vind je veel forum topic overal heen, nergens echt goede oplossingen.

Euhm... \n ...

zondag 27 oktober 2019 21:41

Acties:

0 Henk 'm!

Lawwie

Het beste bier, brouw je zelf!

Router on a stick principe, verkeer gaan routeren tussen VLANs in. Dan middels een firewall regels opzetten om te voorkomen dat je printer bijv het internet op kan.

zondag 27 oktober 2019 21:59

Acties:

+1 Henk 'm!

jvanhambelgium

Voor al je functionele requirements zijn VLAN helemaal niet nodig en gaat je een hoop werk bezorgen...
Afhangkelijk welke producten je gebruikt voor wireless is een "Guest" SSID meestal al ge-isoleerd van andere systemen op je LAN. Een aparte VLAN is geen must.
Stop gewoon alles in 1 VLAN, zorg dat je systemen statische IP's hebben (of maak reservaties in je DHCP zodat alles altijd dezelfde IP's heeft en filter op FIREWALL vlak gewoon af wat je wil.

Zo heb ik op m'n firewall policies zodat m'n "Smart" TV niet zomaar naar Internet kan etc.
Soortgelijk kan je perfect met vb je printer regelen.

dinsdag 29 oktober 2019 17:41

Acties:

0 Henk 'm!

Archie_T

Nickname55 schreef op zondag 27 oktober 2019 @ 20:21:
[...]

Heb je hier een linkje van? Nadere info? Ik ben zelf ook wel eens aant klooien geweest met avahi op mn pfsense router, maar dat is op niets uitgelopen. Er is echt heel weinig goede info over te vinden. Als je gaat googlen, dan vind je veel forum topic overal heen, nergens echt goede oplossingen.

Duurde even maar ik gebruik zelf een FortiGate 60E en die heeft deze functionaliteit ingebouwd. Het gaf wel wat problemen met bijvoorbeeld Sonos maar er is genoeg documentatie over deze firewall te vinden op het internet. Volgens mij heb je op Linux ook mDNS proxies maar daar heb ik dus zelf geen ervaring mee.

dinsdag 29 oktober 2019 19:21

Acties:

+1 Henk 'm!

serial_killa159

Nickname55 schreef op zondag 27 oktober 2019 @ 20:21:
[...]

Heb je hier een linkje van? Nadere info? Ik ben zelf ook wel eens aant klooien geweest met avahi op mn pfsense router, maar dat is op niets uitgelopen. Er is echt heel weinig goede info over te vinden. Als je gaat googlen, dan vind je veel forum topic overal heen, nergens echt goede oplossingen.

Als het gaat over pfSense zijn de tutorials van Tom Lawrence op youtube wel goed.

Discogs collection

dinsdag 29 oktober 2019 20:50

Acties:

0 Henk 'm!

nike

serial_killa159 schreef op dinsdag 29 oktober 2019 @ 19:21:
[...]

Als het gaat over pfSense zijn de tutorials van Tom Lawrence op youtube wel goed.

De videos van Tom zijninderdaad super. Erg duidelijk en veel van geleerd.

-edit-

dinsdag 29 oktober 2019 21:08

Acties:

0 Henk 'm!

donald_dick

Printer zonder gateway instellen.

wie de bal kaatst, kan hem gekorrigeert terug verwachten

dinsdag 29 oktober 2019 21:26

Acties:

0 Henk 'm!

jvanhambelgium

donald_dick schreef op dinsdag 29 oktober 2019 @ 21:08:
Printer zonder gateway instellen.

Is ook een optie, maar als alles via DHCP loopt niet zo evident.
Als je statisch werkt kan je inderdaad de Internet toegang blokkeren door gewoon geen gateway in te geven...

Ik heb hier tientallen devices thuis, alles via DHCP met uiteindelijk ook vaste IP's gebaseerd op de MAC-adressen van de apparaten. (=reservaties)

woensdag 30 oktober 2019 14:10

Acties:

0 Henk 'm!

mindwarper

Bij mij thuis heb ik mijn thuis netwerk ook opgedeeld met VLANs inderdaad.
Heb het gedaan met Cisco switches (ja ik ben netwerkbeheerder van beroep) waarvan 1 dus mijn L3 switch (doet ook DHCP voor de VLANs) is en verdere in mijn netwerk de switches geconfigureerd als L2 switches...

Heb op mijn L3 switch een ACL gemaakt op de VLANs inbound welke VLANs bij welke mogen en op welke TCP/UDP port(s) e.d. meer.
Bijvoorbeeld dat PC uit VLAN 20 bij mijn IP Phone in VLAN 80 kan maar dan alleen op HTTP en rest denied (impliciet deny niet gebruikt omdat ik daarvoor al een permit ip any any gebruik), om maar een klein voorbeeldje te geven…

code:

ip access-list extended <ACL-naam>
 remark *** ALLOW ONLY HTTP ACCESS FROM 1 VLAN 20 HOST to IP Phone VLAN 80 ***
 permit tcp host 192.168.20.2 host 192.168.80.1 eq www log-input
 remark *** DENY ALL OTHER VLANs IPv4 TRAFFIC to VLAN 80 ***
 deny ip 192.168.0.0 0.0.255.255 192.168.80.0 0.0.0.3 log-input
 remark *** ALLOW ALL OTHER IPv4 TRAFFIC ***
 permit ip any any
 remark *** END - <ACL-naam> ***

Dan ACL voor betreffend VLAN toekennen op inbound traffic voornamelijk

code:

1
2
3

interface vlan80
 ip address 192.168.80.2 255.255.255.252
 ip access-group <ACL-naam> in

Hoe ik het heb gedaan wil ik best eens uit de doeken doen, maar gaat voor nu hier beetje ver om dat allemaal in detail uit te leggen.
Als er behoefte voor is kan ik wel eens een High Level overzichtje geven hoe dat er nu bij mij uitziet.

[ Voor 43% gewijzigd door mindwarper op 30-10-2019 14:33 ]

Enthoo Primo || Ryzen 9 5900X || Asus VIII Dark Hero || TridentZ Royal Silver F4-3600C14D-32GTRS Samsung B-Die || Radeon 6800 XT || Kraken X73 w/ 6x NF-A12x25 || 2x WD Black SN850 1TB || WD-HGST 6TB en 18TB || Seasonic Prime Titanium Ultra 1kW