Ubiquiti setup VLAN - IPCam / NAS / PC afschermen van elkaar - Netwerken

vrijdag 18 september 2020 13:44

Acties:

jeroenk13

Topicstarter

-

[ Voor 113% gewijzigd door jeroenk13 op 13-12-2025 13:13 ]

vrijdag 18 september 2020 14:13

Acties:

Rikkert070

Als je een router / modem van de ISP hebt gaat het al niet werken. Zorg dat je een bridged modem hebt met eigen router om de VLANS te definiëren en de bijbehorende DHCP scopes aan te maken. Daarna kun je op basis van VLANS en de bijbehorende netwerken Firewall rules aanmaken zodat VLAN 10 niet bij 20 kan etc.

Ja, double NAT werkt ook maarja wil je dat.

De switch doet geen routering dus daar zet je enkel je port op tagged/untagged VLAN.

Heb zelf een Edgerouter X achter een ziggo modem staan met de setup die zoals boven staat geschetst, recent neergezet. Enkel met een Procurve switch maar dat maakt verder niet uit.

Zolang je jouw VLAN configuratie correct werkt direct aangesloten op de router dan zul je het daarna werkend moeten krijgen als je verbonden bent met de switch. Als die connectie werkt voor alle VLANS zal ik verder gaan kijken naar de routering / firewalling van het netwerk.

Hoop dat je er wat aan hebt en laat even weten hoe of wat.

vrijdag 18 september 2020 14:14

Acties:

Paul

Een VLAN (802.1q) is laag 2 in het OSI-model, terwijl de apparaten die je wil gebruiken alleen / vooral laag 3 doen (IP-adressen). Met één apparaat in meerdere VLANs zitten is vaak erg lastig. Zie het als het hebben van meerdere netwerkkaarten. Je TV, je telefoon en je ISP router (als dat een standaard Ziggo- of KPN-ding is) gaan dat sowieso niet kunnen.

Als je switch "port-based VLANs" ondersteunt dan kan het wel. Dan kun je echt aangeven: "Deze poort mag met deze poorten communiceren, en met die poorten mag dat niet."

Wil je toch met VLANs werken dan kun je het beste een router kopen die daar mee overweg kan, en daarin firewall-regels maken.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

vrijdag 18 september 2020 15:37

Acties:

jeroenk13

Topicstarter

[b]Paul in "Ubiquiti setup VLAN - IPCam / NAS / PC afschermen van elkaar"
Als je switch "port-based VLANs" ondersteunt dan kan het wel. Dan kun je echt aangeven: "Deze poort mag met deze poorten communiceren, en met die poorten mag dat niet."

Is de router dan de beperkende factor in dit verhaal of zal het met port-based VLANs wel gewoon kunnen werken ?

Rikkert070 schreef op vrijdag 18 september 2020 @ 14:13:
Als je een router / modem van de ISP hebt gaat het al niet werken. Zorg dat je een bridged modem hebt met eigen router om de VLANS te definiëren en de bijbehorende DHCP scopes aan te maken. Daarna kun je op basis van VLANS en de bijbehorende netwerken Firewall rules aanmaken zodat VLAN 10 niet bij 20 kan etc.

Ja, double NAT werkt ook maarja wil je dat.

De switch doet geen routering dus daar zet je enkel je port op tagged/untagged VLAN.

Heb zelf een Edgerouter X achter een ziggo modem staan met de setup die zoals boven staat geschetst, recent neergezet. Enkel met een Procurve switch maar dat maakt verder niet uit.

Zolang je jouw VLAN configuratie correct werkt direct aangesloten op de router dan zul je het daarna werkend moeten krijgen als je verbonden bent met de switch. Als die connectie werkt voor alle VLANS zal ik verder gaan kijken naar de routering / firewalling van het netwerk.

Hoop dat je er wat aan hebt en laat even weten hoe of wat.

Het is een router van de provider met niet heel veel opties. Wel wordt de router gebruikt voor VoIP.
Zonder verandering van de router met VLAN ondersteuning wordt het een lastig verhaal ?

[ Voor 59% gewijzigd door jeroenk13 op 18-09-2020 20:36 ]

vrijdag 18 september 2020 17:28

Acties:

Paul

Hoewel er 'VLAN' in de naam staat is "port-based VLAN" geen 802.1q, en als men het over VLANs heeft dan heeft men het eigenlijk uitsluitend over 802.1q

Met port-based VLANs maak je op de switch een tabelletje van welke poorten waarmee mogen praten. Gewoon, hard, poort 1 is wel verbonden met poort 2 maar niet met poort 3. Hierdoor is het ook niet nodig om een router te hebben die VLANs ondersteund, en hoef je je niet (sterker nog, moet je juist niet) bezighouden met verschillende subnetten.

Ik kan bij Unifi echter zo niks terugvinden over port based vlan. Wel over port isolation, maar dat doet zo te zien niet wat je wil.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

vrijdag 18 september 2020 18:33

Acties:

ewoutw

Je maakt een denkfout. End-devices hebben maar 1 vlan (uitzonderingen daargelaten). Dus je zal ergens een device moeten hebben wat het verkeer tussen 2 vlans routeert. Normaliter een router dus. Maar ik ken geen isp-routers de vlan configuratie ondersteunen. Binnen UniFi heb je de usg, of de dreammachine. Maar er zijn genoeg routers op de markt die het ook kunnen.

Maar je kan zeker met een router het inregenen zoals je dat wil.

[ Voor 8% gewijzigd door ewoutw op 18-09-2020 18:35 ]

zaterdag 19 september 2020 08:18

Acties:

jeroenk13

Topicstarter

Paul schreef op vrijdag 18 september 2020 @ 17:28:
Hoewel er 'VLAN' in de naam staat is "port-based VLAN" geen 802.1q, en als men het over VLANs heeft dan heeft men het eigenlijk uitsluitend over 802.1q

Met port-based VLANs maak je op de switch een tabelletje van welke poorten waarmee mogen praten. Gewoon, hard, poort 1 is wel verbonden met poort 2 maar niet met poort 3. Hierdoor is het ook niet nodig om een router te hebben die VLANs ondersteund, en hoef je je niet (sterker nog, moet je juist niet) bezighouden met verschillende subnetten.

Ik kan bij Unifi echter zo niks terugvinden over port based vlan. Wel over port isolation, maar dat doet zo te zien niet wat je wil.

Het plaatje wat ik geschetst heb zou in theorie wel mogelijk zijn met een ISP router in combinatie met een layer 3 switch met 802.1q VLAN ondersteuning ?

Ik zie dat alleen het duurdere segment van Ubiquiti switches layer 3 is.

https://tweakers.net/pric...-jetstream-t1500g-8t.html dan zou het hier in principe al mee kunnen ? (Random uitgezocht hoor)

zaterdag 19 september 2020 10:46

Acties:

Paul

Als je de switch laat routeren dan kan het inderdaad wel, maar de switch die je linkt doet op L3/L4 alleen QoS en IGMP, deze switch kan niet routeren. 'Echte' L3 switches (en dus geen marketing "we doen ICMP snooping, dat kunnen we als L4 op de doos zetten!!!1") zitten allemaal in het hogere segment.

Daarnaast kan een L3 switch over het algemeen wel zorgen dat je van het ene subnet/VLAN naar het andere subnet/VLAN komt, maar zorgen dat je IP-cam wel bij het een kan maar niet bij het andere, daar zijn ze niet zo goed in (als ze het al kunnen).

Ik heb (net als @Rikkert070 eerder in dit topic) een EdgeRouter achter mijn Ziggo-modem, daarmee kan het wel. Dan laat je de routering over aan de router en hoeft de switch alleen te switchen. Wel zou ik dan je NAS in hetzelfde VLAN zetten als je PC en TV, zodat het verkeer van/naar de NAS niet gerouteerd hoeft te worden.

Zou ik het nu opnieuw moeten doen dan zou ik denk ik voor een Unifi USG gaan ivm de integratie met de andere UniFi spullen.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

zaterdag 19 september 2020 11:44

Acties:

Jay-B

Misschien is het een beetje mierenneuken maar het plaatje zorgt bij sommigen misschien ook wel voor verwarring. Het lijkt op een Layer 2 tekening maar is in feite een Layer 3 access control beschrijving (vandaar ook de terechte opmerking van @ewoutw). Ik denk niet dat je echt de intentie had om de NAS, TV en Computer in meerdere VLANS te zetten toch (De TV kan dit waarschijnlijk niet eens)?

Als je het niet te complex wil maken maar wel volledige controle wil houden dan is het toch echt het beste om de ISP router in bridge te zetten en een gedegen router erachter te hangen welke VLANS ondersteunt. Laat het routeren en access control aan de router over. Die is hiervoor gemaakt en doet het in een klein netwerk als deze met twee vingers in de neus. Ook kan je op een later moment vrij makkelijk een aanpassing maken.

Vervolgens verdeel je de apparaten in groepen met dezelfde rechten (dat is de hele gedachte achter VLANS). In jouw geval zou ik dan 4 VLANS verwachten (ik geef ze bewust even geen naam omdat dit voor verwarring kan zorgen en baseer dit nu puur op jouw plaatje):

VLAN A: NAS en TV
VLAN B: Computer
VLAN C: IP camera
VLAN D: Mobiel

Er moet een trunk komen tussen je nieuwe router en de switch uiteraard. Tussen de switch en de Unify AP lijkt een trunk niet noodzakelijk daar je enkel maar 1 VLAN bedient middels de AP. Uiteindelijk valt en staat alles natuurlijk met het correct opzetten van de ACL in de router.

[ Voor 45% gewijzigd door Jay-B op 19-09-2020 12:14 ]

zaterdag 19 september 2020 14:20

Acties:

Arthion-nl

@jeroenk13

Als je een nou bijv. een edgerouter achter je eigen router zet (voorkeur isp router volledig weg of anders bridge) zou je deze link gebruiken om je netwerken te scheiden.

Veel gemaakte fout is dat mensen denken dat een switch met Vlans voldoende is om netwerken te scheiden.

Je hebt scheiden en "scheiden" met behulp van Vlans.

Met Vlans kan verschillende virtuele netwerkjes maken(subnets) en dit is een vorm van netwerk scheiden.
Maar je kan dus ook er voor zorgen dat sommige Vlans niet met elkaar kunnen babbelen en dit doe je doormiddel van Firewally policys op te zetten. (scheiden dus).

In jou persoonlijke situatie heb je een router nodig die met vlans werkt en hier firewall policys op kan zetten.
Tevens alle verkeer komt altijd weer samen bij de router en als deze het niet begrijpt hoe moet de switch zijn werk dan uitvoeren...

Ubiquiti setup VLAN - IPCam / NAS / PC afschermen van elkaar

Onderwerpen

Vraag

Alle reacties