vlan management vraag

maandag 4 mei 2020 00:54

Acties:

0 Henk 'm!

Topicstarter

beste tweakers,
Ik vraag me af of ik mijn switchen en router goed heb geconfigureerd.
Ik heb 3 netwerken.
192.168.1.1/24
VLAN 10 192.168.10.1/24
Vlan 20 192.168.20.1/24
Het VLAN 20 netwerk is voor IoT, het VLAN 10 netwerk voor camera's en nas (surveillance station) en een native netwerk waar mijn pc is zit.
Met mijn pc wil ik in alle apparaten kunnen komen om te beheren.
Ik heb alles gemaakt zoals op de tekening is te zien.
Het werkt ook zo, maar ik vraag me af zijn de switchen goed ingesteld?
De switch op de zolder staat nog niet ingesteld zoals het in de tabel staat, omdat ik niet he trisico wil lopen dat ik dadelijk nergens meer in kan. De switch staat nog in de default dus geen VLAN's ingesteld.
Heb van 2 switchen de configuratie bijgevoegd.
Mijn vraag is dus eigelijk of VLAN 1 (waar de "management" pc inhangt) de PVID op 1 moet blijven, en poorten welke zijn geconfigureerd in een VLAN of deze bij VLAN 1 als "not member"
Nu is VLAN1 bij alle switchen untagged en PVID1
Hoop dat jullie hier wijs uit kunnen worden

Afbeeldingslocatie: https://tweakers.net/i/_43tWhtrXB0YtR6FB3S1vBNM6H0=/800x/filters:strip_exif()/f/image/CgqY0r6JYURrGCnls5YaVeCJ.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/xouZVDfVjRPwO4ckqmfqZbUAG8w=/800x/filters:strip_icc():strip_exif()/f/image/rtGrB24bX2mwetkq6zQEgzRa.jpg?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/1qQ2kzQ0uwwsyYndwQ_t8N0VIMA=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/JtCUJAvJA2F5l91Q94M2J2L6.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/WDyEBtnxvV1e-iyDGhwphZGD0oQ=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/Vj9tdhiwmwRARTAuSGn7aVPs.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/99llJyM_MhKG79GorGPfq0e2des=/800x/filters:strip_exif()/f/image/3Hacr8my2biZvwvAnUDS59NQ.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/J9gpFpx4dQgVjYsPySLLFCfZKY0=/800x/filters:strip_exif()/f/image/ru0n0PuTf8KylDXKLZr1AZXE.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/1n5V4Fa3yp9GI09F94JId7wjORU=/800x/filters:strip_exif()/f/image/hMywalxn0WjsgRoGSrzJ96u6.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/EvfNZyzylK1YMjHLJeng8h2y16M=/800x/filters:strip_exif()/f/image/KLEIwfqqgBvXBsbBSMKjycVK.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/lpCR8sImEPl17tzEZQqxKZNfKNc=/800x/filters:strip_exif()/f/image/nbxUImTsvmt9CMLgGjNdOuEn.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/dLlmmWnjK3QDgs94fVreTeMZ5LI=/800x/filters:strip_icc():strip_exif()/f/image/YNub5e0445oh4Tl0YLsqWOBO.jpg?f=fotoalbum_large

[ Voor 4% gewijzigd door antonlamers op 09-05-2020 16:18 . Reden: nieuw screenshot ]

maandag 4 mei 2020 06:22

Acties:

0 Henk 'm!

Arthion-nl

Antonlamers,

Ik ga vanuit dat jij een vlan scheiding maakt om je IoT apparaten af te zonderen van het overige interne verkeer?
Als je een stukje extra veiligheid wil en er voor zorgen dat IoT niet kan communiceren met een andere vlan zoals waar je pc en mobiele devices inzitten, zul je wel firewall regels moeten maken om dit ter voorkomen.
Vlans alleen zorgt er niet voor dat IoT verkeer niet kan communiceren met rest van de (V)lans.

Hier heb je filmpje van Crosstalk Solutions hoe je IoT Vlan kan isoleren van de rest van het netwerk.

Betreft de indeling op je switches heb ik zo niet op aan te merken.

maandag 4 mei 2020 06:33

Acties:

0 Henk 'm!

jan99999

Hier nog een tip.
Als je klaar bent, gebruik Angry IP Scanner om je netwerk te scannen.
Ik heb ook vlans, en nadat ik een handleiding gebruikt had, kon Angry IP Scanner wel de ip's bereiken die eigenlijk afgeschermd zouden moeten zijn. Dus handleidingen zijn vaak niet uitgebreid genoeg.

Zelf heb ik een pfsense , hier moest nog de firewall ingesteld worden, dus managed switch alleen is niet genoeg.

maandag 4 mei 2020 18:30

Acties:

0 Henk 'm!

ijske

ik neem aan dat je switch altijd een ip adres krijgt van het untagged vlan van je uplinkpoort ..
je kan ook nooit meerdere untagged vlans op 1 poort hebben... :-)

dus zolang je de untagged vlan1 op al die switch trunks niet weghaalt (of op tagged zet) , lijkt het alsof mij dat hij altijd bereikbaar blijft ...

maar voor mij is het nog altijd vallen & opstaan

maandag 4 mei 2020 21:31

Acties:

0 Henk 'm!

ChaserBoZ_

Mgt vlan op die dingen is inderdaad untagged op vlan1, hoe onhandig dat ook vaak zal zijn . . .

'Maar het heeft altijd zo gewerkt . . . . . . '

maandag 4 mei 2020 22:40

Acties:

0 Henk 'm!

Kasper1985

Edit: nvm niet goed gekeken.

In de edge router idd nog firewall regels toevoegen. :-)

[ Voor 75% gewijzigd door Kasper1985 op 04-05-2020 22:42 ]

maandag 4 mei 2020 22:56

Acties:

0 Henk 'm!

KrazyJay

杰

Ik zou 1 untagged vlan per poort gebruiken. Het untagged vlan zou hetzelfde moeten zijn als de pvid. Het management vlan is meestal vlan 1 bij zulk materiaal, dus tussen de switches in zou ik vlan 1 untagged houden met pvid 1. Ik zie hier en daar in je tabellen vlan 20 als pvid staan terwijl vlan 20 tagged is voor dezelfde poorten. Ik weet niet of dat een onduidelijkheid is in je tekening. Ten laatste zijn de meeste consumer devices inclusief computers niet vlan aware. Dus juiste vlan untaggen op die poorten en daar ook hetzelfde pvid instellen.

Voor de rest inderdaad goed opletten of en wat je tussen de vlans wilt laten lopen. Het is niet enkel je firewall die je in moet stellen, maar kijk ook even je statische routes en ACLs na. Al naar NAT gekeken?

woensdag 6 mei 2020 08:31

Acties:

0 Henk 'm!

antonlamers

Topicstarter

De trunk poort staat ook op pvid 1. Het was een foutje in de tabel. Poort 4 van switch meterkast staat op untagged. Met de firewall heb ik nog niets gedaan. Het enige wat ik tot nu toe wil is dat ieder zijn eigen netwerk heeft. De rest komt later.
Als ik maar met de pc vanaf netwerk 192.168.1/24 bij alles kan komen.
tzt als ik dit voor elkaar heb dan wil ik met de firewall aan de slag, dat niet als ik ben ingelogt op het IoI netwerk dat ik dan ook bijvoorbeeld bij de NAS kan komen.

woensdag 6 mei 2020 08:37

Acties:

0 Henk 'm!

FireDrunk

Wat ik even niet snap is, of je Management PC in alle VLAN's moet zitten, en *zelf* met alle VLAN's moet kunnen praten? (Lees: Multihomen)
OF
Wil je dat de Management PC via de EdgerouterX als enige *mag* praten met alle VLAN's?

[ Voor 4% gewijzigd door FireDrunk op 06-05-2020 08:37 ]

Even niets...

woensdag 6 mei 2020 11:50

Acties:

0 Henk 'm!

antonlamers

Topicstarter

FireDrunk schreef op woensdag 6 mei 2020 @ 08:37:
Wat ik even niet snap is, of je Management PC in alle VLAN's moet zitten, en *zelf* met alle VLAN's moet kunnen praten? (Lees: Multihomen)
OF
Wil je dat de Management PC via de EdgerouterX als enige *mag* praten met alle VLAN's?

Het mooiste zou zijn dat de management pc in alle VLAN's zit maar dit is zeker niet mogelijk.
Als de management met alle VLAN kan praten en zo de apparaten kan instellen is ook goed.

woensdag 6 mei 2020 11:54

Acties:

0 Henk 'm!

FireDrunk

Als je je PC wil multihomen, moet je denk ik virtuele NIC's aanmaken voor elk VLAN, niet elke Netwerkkaart kan dat (de professionele versies van Intel Netwerkkaarten kunnen dat volgens mij in Windows). De Onboard Realtek, i217/218 en Marvell kaartjes kunnen het voor zover ik weet in ieder geval niet.

Dat betekend dus dat je echt moet gaan routeren. Jouw PC krijgt dus verbinding met IP adressen in andere VLAN's door middel van je default gateway. Je PC gaat pakketten bestemd voor andere VLAN's naar de default gateway sturen, welke deze voor jou in dat andere VLAN bezorgd.

Hoe je dat in je EdgerouterX inricht weet ik niet (geen ervaring met dat specifieke device), maar je moet routering aan zetten, en firewall's aan/uit zetten voor netwerken / devices.

Je kan bijvoorbeeld een default deny any/any op alle interfaces / vlan's zetten, en alleen een allow voor het (vaste) ip adres van jouw eigen management pc. Daarmee is hij de enige die door de router heen kan.

Let wel op, default deny any/any op alles is complex, want dan moet je alle andere verbindingen met rules open zetten. Denk aan uitgaand internet verkeer, dhcp, dns etc voor je hele huishouden.

Even niets...

woensdag 6 mei 2020 12:01

Acties:

0 Henk 'm!

antonlamers

Topicstarter

FireDrunk schreef op woensdag 6 mei 2020 @ 11:54:
Als je je PC wil multihomen, moet je denk ik virtuele NIC's aanmaken voor elk VLAN, niet elke Netwerkkaart kan dat (de professionele versies van Intel Netwerkkaarten kunnen dat volgens mij in Windows). De Onboard Realtek, i217/218 en Marvell kaartjes kunnen het voor zover ik weet in ieder geval niet.

Dat betekend dus dat je echt moet gaan routeren. Jouw PC krijgt dus verbinding met IP adressen in andere VLAN's door middel van je default gateway. Je PC gaat pakketten bestemd voor andere VLAN's naar de default gateway sturen, welke deze voor jou in dat andere VLAN bezorgd.

Hoe je dat in je EdgerouterX inricht weet ik niet (geen ervaring met dat specifieke device), maar je moet routering aan zetten, en firewall's aan/uit zetten voor netwerken / devices.

Je kan bijvoorbeeld een default deny any/any op alle interfaces / vlan's zetten, en alleen een allow voor het (vaste) ip adres van jouw eigen management pc. Daarmee is hij de enige die door de router heen kan.

Let wel op, default deny any/any op alles is complex, want dan moet je alle andere verbindingen met rules open zetten. Denk aan uitgaand internet verkeer, dhcp, dns etc voor je hele huishouden.

Dat wordt me te complex, vover rijkt mijn kennis ook niet.
Waar ik ook een beetje mee zit is dat bij het native VLAN alles op 1 staat. alle poorten zijn ook untagged. Moet dat ook zo en moeten niet de poorten welke in een ander VLAN zitten als not member worden gezet.

woensdag 6 mei 2020 12:07

Acties:

0 Henk 'm!

FireDrunk

Tagged vs Untagged -> expliciet een specifiek VLAN tag er op zetten.
Member van een VLAN -> deze poort *mag* in dit VLAN communiceren.

Poorten kunnen dus bijvoorbeeld TAGGED zijn op een specifiek VLAN, maar MEMBER zijn op andere VLAN's.
Dat betekend dat als je er een apparaat aan hangt dat geen VLAN praat, het VLAN tag wat op TAGGED staat expliciet door de switch toegevoegd wordt.

Als je TRUNK's gebruikt, heb je vaak 1 VLAN (vaak VLAN 0 of 1) als TAGGED staan, dat is dan eigenlijk gewoon de 'default' voor verkeer wat niet getagged is. Of je dat nodig hebt is relatief.

Wil je de poorten die je in de andere VLAN's stopt, expliciet verbieden om in VLAN 1 te communiceren, moet je ze op TAGGED zetten en MEMBER maken van het VLAN waar ze in moeten zitten.

Wil je de default zetten, maar het wel mogelijk maken dat er ander verkeer over heen kan, kan je ze TAGGED zetten van hun 'toegewezen' VLAN, en member maken van andere VLAN's.

Mijn setup thuis is iets anders, maar vergelijkbaar:

Ik heb VLAN 0 (geen VLAN) voor mijn 'gewone' thuis netwerk. Dat is de default, en daar is verder niets speciaals aan. Daarnaast heb ik VLAN's, elke poort op elke switch is MEMBER van alle VLAN's, en elk apparaaat *mag* dus in dat VLAN praten, als dat apparaat dat kan.

Ik heb namelijk helemaal geen VLAN's om beveiligingsredenen, maar om testnetwerken te scheiden van mijn thuisnetwerk. Als ik een test VM op spin op mijn server, wil ik niet dat die meteen ruzie gaat maken met de Netflix Stream die mijn vrouw aan het kijken is

In al mijn switches zijn alle poorten dus op UNTAGGED gezet, en zijn alle poorten MEMBER van alle VLANS's. Mijn router (pfSense) functioneert als gateway tussen al deze VLAN's. Mijn router heeft dan ook 4 virtuele interfaces voor elk van de bestaande VLAN's, en routeert tussen deze VLAN's voor alles in de andere netwerken.

Super veilig? Nee, want je kan zelf je VLAN kiezen als apparaat, maar dan moet je wel fysieke toegang hebben. Zo heb ik bijvoorbeeld een Gast WIFI netwerk op een extra VLAN dmv mijn Ubiquity Access Points.
Knappe kop als je daar uit breekt.

Even niets...

woensdag 6 mei 2020 12:44

Acties:

0 Henk 'm!

Arthion-nl

FireDrunk schreef op woensdag 6 mei 2020 @ 12:07:

Member van een VLAN -> deze poort *mag* in dit VLAN communiceren.

Super veilig? Nee, want je kan zelf je VLAN kiezen als apparaat, maar dan moet je wel fysieke toegang hebben. Zo heb ik bijvoorbeeld een Gast WIFI netwerk op een extra VLAN dmv mijn Ubiquity Access Points.
Knappe kop als je daar uit breekt.

Niet zo heel moeilijk wanneer je niks in de controller hebt geregeld dat guest niet mogen communiceren met anderen. Vlan zelf voorkomt juist niet dat devices wel/niet met elkaar mogen communiceren want dit wordt geregeld via de Firewall regels.

Als voorbeeld mijn Asus RT ac5300 kan ik op de gasten netwerk een keuze maken om het netwerk te isoleren van het netwerk of juist niet. Vlan zelf isoleert niet en mijn router kent dit ook niet maar vele routers/ap kennen wel firewall regels via guest netwerk om dit te blokkeren.

Ik heb nu zelf unfi ap ac pro en hier draai ook guest wifi maar heb ik geen vlan maar het verkeer is wel geisoleerd onder in de instellingen. Alle verkeer via ac pro mag niet verder communiceren met mij enige subnet die ik heb.

woensdag 6 mei 2020 12:47

Acties:

0 Henk 'm!

FireDrunk

Correct, bij mij wordt die scheiding op mijn pfSense doos geregeld. In principe is er geen verkeer mogelijk tussen LAN en "VLAN"'s, tenzij expliciet toegestaan door mijn firewall.
Ik heb een deny any/any op alle interfaces behalve mijn LAN interface, waardoor je dus niet zomaar tussen VLAN's kan communiceren.

Even niets...

donderdag 7 mei 2020 19:13

Acties:

0 Henk 'm!

antonlamers

Topicstarter

FireDrunk schreef op woensdag 6 mei 2020 @ 12:07:
Tagged vs Untagged -> expliciet een specifiek VLAN tag er op zetten.
Member van een VLAN -> deze poort *mag* in dit VLAN communiceren.

Poorten kunnen dus bijvoorbeeld TAGGED zijn op een specifiek VLAN, maar MEMBER zijn op andere VLAN's.
Dat betekend dat als je er een apparaat aan hangt dat geen VLAN praat, het VLAN tag wat op TAGGED staat expliciet door de switch toegevoegd wordt.

Als je TRUNK's gebruikt, heb je vaak 1 VLAN (vaak VLAN 0 of 1) als TAGGED staan, dat is dan eigenlijk gewoon de 'default' voor verkeer wat niet getagged is. Of je dat nodig hebt is relatief.

Wil je de poorten die je in de andere VLAN's stopt, expliciet verbieden om in VLAN 1 te communiceren, moet je ze op TAGGED zetten en MEMBER maken van het VLAN waar ze in moeten zitten.

Wil je de default zetten, maar het wel mogelijk maken dat er ander verkeer over heen kan, kan je ze TAGGED zetten van hun 'toegewezen' VLAN, en member maken van andere VLAN's.

Mijn setup thuis is iets anders, maar vergelijkbaar:

Ik heb VLAN 0 (geen VLAN) voor mijn 'gewone' thuis netwerk. Dat is de default, en daar is verder niets speciaals aan. Daarnaast heb ik VLAN's, elke poort op elke switch is MEMBER van alle VLAN's, en elk apparaaat *mag* dus in dat VLAN praten, als dat apparaat dat kan.

Ik heb namelijk helemaal geen VLAN's om beveiligingsredenen, maar om testnetwerken te scheiden van mijn thuisnetwerk. Als ik een test VM op spin op mijn server, wil ik niet dat die meteen ruzie gaat maken met de Netflix Stream die mijn vrouw aan het kijken is

In al mijn switches zijn alle poorten dus op UNTAGGED gezet, en zijn alle poorten MEMBER van alle VLANS's. Mijn router (pfSense) functioneert als gateway tussen al deze VLAN's. Mijn router heeft dan ook 4 virtuele interfaces voor elk van de bestaande VLAN's, en routeert tussen deze VLAN's voor alles in de andere netwerken.

Super veilig? Nee, want je kan zelf je VLAN kiezen als apparaat, maar dan moet je wel fysieke toegang hebben. Zo heb ik bijvoorbeeld een Gast WIFI netwerk op een extra VLAN dmv mijn Ubiquity Access Points.
Knappe kop als je daar uit breekt.

Dan heb ik nog heel wat uit te zoeken met de verschillende mogelijkheden. Mij gaat het eerste instantie ook (nog) niet Voor beveiliging, maar meer ok de verschillende type apparaten te scheiden.

zaterdag 9 mei 2020 16:17

Acties:

0 Henk 'm!

antonlamers

Topicstarter

even nog ter aanvulling wat me net binnenschiet
het "management" lan is nie tlid van een vlan, want in de router staat switch0
bi jde vlans staat switch0.10 en 0.20
heb hiervan ook een screenshot toegevoegd

Vraag

Alle reacties