Gasten VLAN met accesspoints

Ik wil graag met mijn bestaande hardware onderstaande situatie creëren.

Lijnen zijn bekabeld, en streepjes draadloos.

Het idee is dus om een gasten ssid aan te maken op mijn access points. De gasten kunnen op internet en ze kunnen elkaar zien. Volgens mij kan ik ze dan het beste in een eigen vlan stoppen. Verder moeten wij zelf overal bij kunnen, zoals nas en printer. Dus wij komen in een eigen vlan.

Nu is dit een leuk hobby projectje. Ik weet zelf nog heel weinig van VLANs. Waar ik naar op zoek ben is een stappenplan op hoofdlijnen. Kan dit uberhaupt met deze hardware? De ziggo modem ondersteunt in ieder geval geen VLANs. Wat moet ik ongeveer op welk apparaat instellen?

Op internet is natuurlijk veel te vinden over VLANs, maar net niet wat ik zoek (of ik herken het niet als zodanig).

• Volgens mij moet ik 2 VLAN IDs verzinnen (niet zijnde 1 of 2). Ik kan vrij eenvoudig 2 nieuwe SSID's aanmaken. Het lijkt er op dat ik die via een unmanaged bridge interface aan een bepaald VLAN kan koppelen. Maar dan houdt het wel een beetje op.
• Momenteel gebruik ik de Ziggo modem ook als router. Ik weet ook niet precies wat ik daar mee aanmoet. Moet ik die in bridge mode laten zetten, en alles (dhcp, firewall) overlaten aan de openwrt router?

Kortom, een zetje in de goede richting zou welkom zijn.

Will_M schreef op zondag 5 april 2020 @ 11:27:
Voor zover ik weet kan het 'Ziggo' modem/router apparaat niet meerdere VLAN's aan de LAN kant hosten (en dus ook niet meerdere netwerken inclusief eigen DHCP Scope herbergen). Je zal dus sowieso dát apparaat in Bridge modus moeten zetten zodat 'ie alleen nog maar als modem / koppelvlak tussen jouw eigen router én het Ziggo netwerk gaat functioneren.

Verder zou ik persoonlijke de 'Gasten' op het gastnetwerk niet met elkaar laten 'babbelen'... Gast verkeer hoeft alléén maar naar het internet te kunnen (IMHO).

OK, thanks.

Dan is stap 1 waarschijnlijk om de openwrt router fatsoenlijk in te richten (qua firewall), zodat deze direct van buiten benaderd kan worden. Dat nog even los van VLANs.

Ik wil de gasten met elkaar laten praten van wege de kinderen en hun vriendjes. Zij kunnen bijvoorbeeld makkelijk Minecraft met elkaar spelen als ze op hetzelfde netwerk zitten.

Will_M schreef op zondag 5 april 2020 @ 11:43:
Als je het helemaal 'netjes' wilt doen dan laat je het Ziggo modem / router apparaat overigens gewoon staan zoals 't ding nu staat (en dus niet als Bridge laten werken) én zorg je ervoor dat er routes komen welke het verkeer tussen je eigen WRT router dat Ziggo apparaat afhandelen... Qua beheer haal je jezelf dan wat extra werk op je hals maar middels een 'Dubbele NAT' creëer je meteen een DMZ waar je ook voordelen uit kunt halen.

Qua werk doe ik dat soort dingen de hele dag, alleen dan met 'iets' professionelere apparatuur van o.a. Cisco, Check Point, F5, Fortigate, Palo Alto ....

OK. Dan laat ik het Ziggo ding zoals het is. Ik stel me voor dat het wel nuttig is mijn eigen router een vast IP te geven in het Ziggo netwerk, en DHCP van Ziggo maar uit te zetten. Het nadeel van dubbele NAT lijkt mij vooral de portforwarding? Dat doe ik verder niet heel vaak (alleen voor de home assistent app). Dus ik denk dat het extra beheer wel meevalt.

OK.Ik heb het bovenstaande plaatje ingericht.

Op dit moment met een dubbele nat. Dat geeft tot nu toe geen problemen, anders dan een dubbele port forward. Dat kan voorlopig wel zo blijven.

Dan is nu het idee om een gasten VLAN aan te maken. Ik heb geen goed beeld hoe ik dit moet aanpakken. Kan iemand mij een zetje in de juiste richting geven? Wat moet ik ongeveer op welk device instellen?

FreakNL schreef op zondag 12 april 2020 @ 14:43:
In theorie moet je vanaf de managed switch een trunk naar je access-points pleuren en moet je op je access-points VLANS aan SSIDs koppelen. Ik weet hoe dat met Cisco en Meraki (en mix-match) werkt, maar bij jouw apparatuur weet ik dat niet.. Maar dat valt vast uit te zoeken?

Ik denk dat het me lukt om vlans aan de ssids te koppelen op de access points.
Ik weet niet zo goed wat ik op de managed switch moet doen.
Moet ik ook nog iets op de router doen?

Mijzelf schreef op zondag 12 april 2020 @ 15:26:
Open OpenWRT maak je de SSID's aan. Hoe de netwerk interface heet kan per router verschillen. Ik heb 3 SSID's en hun netwerkinterface is wlan0, wlan0-1 en wlan0-2. Die heb ik gebridged met eth0.1, eth0.5 en eth0.6. Daarmee gebruiken ze de vlan's 1, 5 en 6. Dat is zowel in de router als in de accespoint. In de switch configutatie (router en accesspoint) moet je de vlans getagd naar buiten sturen, en een kabeltje ertussen. Een eventuele switch in het midden hoeft niet managed te zijn, zolang hij jumboframes ondersteund.
In de router hang je een DHCP server aan iedere bridge, die verschillende ip ranges gebruiken. Dat is het zo ongeveer.

Ah, dit is precies de informatie die ik zoek. Ik begrijp alleen niet goed wat ik bij switch moet invullen.

Momenteel staat er dit. Ik heb wel geprobeerd een VLAN 10 toe te voegen. Maar het werd erg trial and error. De resultaten variëren tussen "het vlan werkt niet" en "ik kan de hele router niet meer benaderen".

Volgens mij proberen de mensen van openwrt mij hier ook iets duidelijk te maken: https://openwrt.org/toh/avm/avm_fritz_box_4040#vlan_setup . Ik kan de wan poort niet gebruiken? Maar ik begrijp niet wat voor consequenties dat heeft. Momenteel zit de kabel vanaf de modem in de wan poort. Als ik hem in een Lan poort doe, dan heb ik geen internet meer.

[ Voor 3% gewijzigd door KopjeThee op 12-04-2020 16:52 ]

ijske schreef op zondag 12 april 2020 @ 18:53:
ik zou op je router op je uplink poort volgende instellen
vlan 1 untagged
vlan 10 Tagged
(beide vlans dienen wel een eigen DHCP te draaien offcourse)

Mijzelf schreef op zondag 12 april 2020 @ 18:59:
Er vanuit gaand dat LAN 1 naar je switch/accesspoint gaat, moet je een VLAN toevoegen, bevoorbeeld 10, die zet je tagged voor CPU en LAN 1, en off of tagged voor alle andere poorten.

Ik heb op enig moment alleen bovenstaande wijziging gemaakt op mijn router. Dus VLAN 10 toegevoegd. Wat ik niet begrijp is dat mijn wifi verbinding daarna zegt dat ik verbonden ben zonder internet. Ik heb dan wifi via 1 van de access points, en met een bestaande ssid via VLAN 1. Daarvoor had ik wel gewoon toegang tot internet. Doe ik dan al iets fout?

ijske schreef op maandag 13 april 2020 @ 08:45:
dat is prima.. hoe staat je switch ?
uplink poort moet net hetzelfde staan aan beide kanten
de poort waar je laptop aanhangt moet dan ook "untagged" staan op je vlan naar keuze

check ook in je router even of er wel een internet-routering is van wan naar naar vlan1 (zal vast wel maar check het even) dat is voor elke router anders dus die weet ik niet vanbuiten

Thanks. Ik ga dat even uitzoeken. Ik vind het wel vreemd. Eerst stond er alleen VLAN 1, allemaal untagged. Dit werkte met internet. Nu heb ik alleen de regel van VLAN 10 toegevoegd, waar ik nog niets mee doe, en dan heb ik geen internet verbinding meer. Ik zou verwachten dat die extra regel nog nergens invloed op zou hebben.

Mijzelf schreef op maandag 13 april 2020 @ 11:05:
[...]

Begrijp ik het goed? De oude situatie is 1 router en 1 accesspoint, alleen VLAN 1 geconfigureerd/in gebruik, en alles werkt, wifi via router en AP.
Enige verandering: VLAN 10 toegevoegd in de switch van de router.
Gevolg: De wifi op de router heeft geen internet meer, de wifi op de AP wel.

Als dat zo is is het heel vreemd. De switch settings in de router hebben in theorie helemaal niets te maken met de wifi. Een blik in de wiki zegt dat VLAN 1 en 2 'speciaal' zijn en vermeden moeten worden. Hier wil iemand de gast lan op de switch naar buiten brengen, en dat lukt uiteindelijk door niet VLAN 1 en een andere te bebruiken, maar VLAN 100 en 101. Aangezien VLAN 100 untagged naar buiten gaat merk je buiten de router niets van deze merkwaardige oplossing.

De oude situatie is zoals het plaatje in de OP. Maar dan zonder iets van VLAN ingericht. Standaard staat openwrt wel op VLAN met alleen ID 1. Dit werkt.

Op de switch van de router heb ik alleen die regel voor VLAN 10 toegevoegd. Save and apply, en dan zegt mijn telefoon aan een wifi access point: verbonden zonder internet.

Misschien heeft het toch iets met de speciale status van VLAN 1 te maken of zo.

Bedankt voor de link. Ik zal deze eens gaan bekijken. Misschien kan dit überhaupt niet met VLAN ID 1 (en 2). Daar is iets onduidelijk bijzonders mee.

Mijzelf schreef op maandag 13 april 2020 @ 11:17:
Zie ik het goed dat je de wifi in de router helemaal niet gebruikt? Niet dat dat ook maar iets veranderd aan het probleem, gewoon nieuwsgierig.

Ja klopt die staat in de meterkast, en geeft toch slecht bereik. Ik heb de default aanwezige ssids verwijderd van de radio's.

Mijzelf schreef op maandag 13 april 2020 @ 11:05:
[...]

Begrijp ik het goed? De oude situatie is 1 router en 1 accesspoint, alleen VLAN 1 geconfigureerd/in gebruik, en alles werkt, wifi via router en AP.
Enige verandering: VLAN 10 toegevoegd in de switch van de router.
Gevolg: De wifi op de router heeft geen internet meer, de wifi op de AP wel.

Als dat zo is is het heel vreemd. De switch settings in de router hebben in theorie helemaal niets te maken met de wifi. Een blik in de wiki zegt dat VLAN 1 en 2 'speciaal' zijn en vermeden moeten worden. Hier wil iemand de gast lan op de switch naar buiten brengen, en dat lukt uiteindelijk door niet VLAN 1 en een andere te bebruiken, maar VLAN 100 en 101. Aangezien VLAN 100 untagged naar buiten gaat merk je buiten de router niets van deze merkwaardige oplossing.

Ik heb weer eea geprobeerd.
Ik het in de switch op de router VLAN 1 in 10 veranderd. Nog steeds alles untagged. Dat geeft geen probleem. Dat had ik ook eigenlijk niet verwacht, zonder enige tagging.

Het valt me wel op dat in de lan interface nog altijd sprake is van eth0 en geen eth0.10. Dat had ik eigenlijk verwacht.

Als ik daarna in de switch een VLAN 20 aanmaak, met CPU en lan 1 tagged en de rest off, dan raak ik blijkbaar de verbinding kwijt, want openwrt revert de wijzigingen na een timeout. Ik zou verwachten dat het gewoon zou moeten kunnen.

Ik begin me af te vragen of het toch iets met die wan / eth1 poort te maken heeft waar openwrt het over heeft in https://openwrt.org/toh/avm/avm_fritz_box_4040#vlan_setup .

Overigens kan ik in de switch op een accesspoint wel VLAN 10 en 20 opgeven met deze instellingen. Ik kan gewoon mijn normale ssid gebruiken. Ik kan ook een ssid (gast) aan eth0.20 hangen daar. Helaas kan ik gast natuurlijk niet gebruiken, omdat ik op mijn router niet zover kom dat ik DHCP kan inregelen.

ijske schreef op maandag 13 april 2020 @ 15:01:
ik heb er nog is over gedacht...
zou het kunnen dat je je ETH0/WAN en je LAN niet beide in dezelfde VLAN's mag steken ,omdat dan je traffiek gaat loopen intern ?

Misschien. Ik heb te weinig begrip van deze materie om dat te kunnen beoordelen. Als dat zo is, wat moet ik dan doen?

ook heb je geen vlan10 nodig op je WAN kant offcourse :-)

Luci laat wan/eth1 überhaupt niet zien in de switch. Dus ik zou het niet eens kunnen taggen volgens mij.

Op dit moment gaat de kabel van de Ziggo modem/router naar de wan poort van mijn 4040 router. Ik twijfel of dit goed is icm vlans op deze router. Omdat ze hier zeggen
https://openwrt.org/toh/avm/avm_fritz_box_4040#vlan_setup "The easiest way is to completely forget about the WAN and threat the device as if it had only 4 LAN ports. It is even possible to remove the WAN interface and WAN Firewall settings for this port."

sowieso als je verkeer getagged naar je switch sturen, moet de switch dat weten dat het getagged binnenkomt.. de switch kan de tag eruithalen zodat elk dom apparaat er wat van kan maken

OK, wat betekent dat voor mijn configuratie?

Mijzelf schreef op maandag 13 april 2020 @ 15:37:
[...]

Nee, dat moet je zelf veranderen. De setup kan niet raden wat jij wilt/aan het doen bent.

Maar bij het aanmaken van VLAN 20 wordt wel automatisch een eth0.20 gemaakt. Maar bij VLAN 10 geen eth0.10. Misschien omdat alle poorten untagged zijn.

ijske schreef op maandag 13 april 2020 @ 15:44:
[Afbeelding]

Thanks! Dit komt aardig overeen met mijn beeld. Alleen gaat het bij mij al mis bij het opgeven van de vlans in de switch sectie van mijn router. Als ik het zo opgeef, dan raak ik de verbinding met internet kwijt.

Will_M schreef op maandag 13 april 2020 @ 15:39:
Het OSI model is dood, láng leve het OSI model!!

Hoera!