Los IOT/Domotica netwerk gerealiseerd. Wat nu.

Pagina: 1
Acties:

Vraag


Acties:
  • 0 Henk 'm!

  • Speeddragon
  • Registratie: Augustus 2005
  • Laatst online: 21-05 23:16
Ik ga binnenkort beginnen met wat IoT/Domotica spullen, en wilde vanaf het begin mijn netwerk een klein beetje op orde hebben. Er zijn genoeg guides die uitleggen hoe je een los netwerkje kan opzetten om dit te scheiden. Ik had nog een oude router liggen dus o gezegd is zo gedaan. Ik heb nu nog even geen geld over voor een router met VLlan optie.

Configuratie:
Main netwerk: Zyxel van t-mobile (daar wil ik de computers/smartphones e.d op houden)
IOT netwerk: Oude TP-Link met OpenWRT en eigen SSID

Main Zyxel heeft het ip bereik 192.168.1.x, deze via lan aangesloten op de wan poort van een oude WRD4300 van Tp-link met openwrt op ander ip segment gezet 192.168.2.x.


Maar waar veel van deze tutorials niet op ingaan is: Wat daarna?
Ik begreep dat apparaten die zijn verbonden met mijn Main netwerk nu niet de apparaten in het IOT netwerk zouden moeten zien en uitlezen en vice versa, maar ze wel internet verbinding hebben om eventueel te praten met cloud diensten.

Echter heb ik een testje gedaan die andere resultaten gaf:
Op dit moment zitten mijn Chromecasts nog op het Main netwerk (misschien blijven ze daar ook wel, dat ligt aan de uitkomst van de rest van mijn vragen). Nu heb ik voor een test mijn Smartphone verbonden met het IoT netwerk, en die ziet de Chromecast op het main netwerk wel..

Dit zou toch niet moeten kunnen, of heb ik de theorie niet goed begrepen en heb ik nu eigenlijk geen scheiding? En is daar nog meer voor nodig?

EDIT: Ik zie nu dat ik vanuit mijn IOT netwerk wel de webinterface van de Main router kan benaderen. Maar vanuit het Main netwerk niet die van het IOT netwerk. (dit klopt ook volgens een vorig topic dat ik geopend heb).
Het lijkt mij dus bijna veiliger om de Zyxel het IoT netwerk te maken, en de TP-link het main netwerk. Dan kan ik vanaf mijn Main netwerk dus wel bij het IoT netwerk, maar niet andersom? Het nadeel lijkt me dan weer dat als ik iets blokker in de firewall van de Zyxel, dit ook gelijk geblokkeerd is op de TP-link. De zyxel is immers ook het modem.


Wat was eigenlijk mijn vraag
In de ideale situatie liefst zou ik dus de IoT devices e.d allemaal op het IoT netwerk hebben. Maar ik moet wel in staat zijn om van uit mijn Main netwerk deze IoT devices te bedienen. Ik wil niet elke keer van netwerk moeten wisselen om op de interface van Home Assistant te komen(of een chromecast te bedienen).

Moet ik dan denken aan Port forwarding, of Firewall regels? Ik weet even niet in welke hoek ik het moet zoeken.

Misschien dat de Chromecasts ook wel een geval apart zijn, en ik ze in mijn main netwerk moet houden..

[ Voor 13% gewijzigd door Speeddragon op 01-12-2020 14:59 ]

Heel veel lurken, heel weinig posten..

Alle reacties


Acties:
  • 0 Henk 'm!

  • Arthion-nl
  • Registratie: April 2018
  • Laatst online: 18-05 19:32
@Speeddragon

Je hebt dus een nat achter een nat geconfigureerd (router achter router?) Waarbij de TP link de 2e router is met een eigen netwerk?

Als dit zo is het niet vreemd dat je vanuit je TP-Link router wel je apparaten op je main netwerk kan zien omdat je TP-Link al jou verkeer naar de main netwerk routert via de wan.

Vanuit je main netwerk kan je niks op je TP-Link netwerk zien omdat de firewall van de TP-Link dit tegenhoud maar andersom kan altijd. Dit is het grote nadeel van de router achter router configuratie omdat dit maar voor de helft de werkt. Theoretisch gezien zou jij je situatie dus moeten omdraaien waarbij je main netwerkwerk loopt op de TP- Link router.

Er zijn hier verschillende oplossingen voor met wat jij wil realiseren zoals;

-Met vlans/firewall/regels gaan werken waarbij je wel apparatuur nodig hebt die dit allemaal ondersteunen.(virtuele afscheiding)
-Een NUC aanschaffen waarbij elke poort een fysieke scheiding heeft waarbij je de TP link dan als AP kan inzetten. Op poort 1 zet je een switch voor je main netwerk/ap en op poort 2 zet je de TP link met eigen wifi.
- de boel omdraaien waarbij je TP-Link dus je main wordt en dus het 2e netwerk wordt. Hou wel rekening mee dat dit iets complexer kan worden wanneer je wil port forwarden maar is niet te moeilijk

Acties:
  • 0 Henk 'm!

  • Speeddragon
  • Registratie: Augustus 2005
  • Laatst online: 21-05 23:16
@Arthion-nl Bedankt voor je reactie. Het kopt inderdaad dat ik een nat achter nat heb geconfigureerd.

Op dit moment wil ik nog even geen geld uitgeven aan echt degelijke netwerkapparatuur waarbij het mogelijk is om vlans te maken. Dit is eigenlijk iets wat ik zou willen doen als ik een keer een woning kan kopen, en dan alles gelijk naar eigen smaak kan inrichten.

Voor nu lijkt het me dus het makkelijkste om de boel om te draaien. De Zyxel modemrouter wordt het IoT netwerk, en de TP-Link het Main netwerk. Dan kan ik ook makkelijk bij de interface van home assistant, en werken de Chromecasts ook goed.

Het enige nadeel lijkt me dan wel dat wanneer ik op de IoT Zyxel een poort blokker om een IoT device toegang tot het internet te ontzeggen, dit ook meteen voor mijn main netwerk zo is. (die hangt daar namelijk achter).

Zou je de NUC oplossing misschien nog eens kunnen toelichten? Ik kan deze niet helemaal in perspectief plaatsen! Hoe ik het nu begrijp brengt dit het probleem mee dat het erg lastig wordt om vanuit de main iets te bedienen op het IoT netwerk.


Als ik het goed begrijp wordt het nooit geweldig, maar misschien net wat veiliger dan alles op 1 hoop gooien?

Heel veel lurken, heel weinig posten..


Acties:
  • 0 Henk 'm!

  • Arthion-nl
  • Registratie: April 2018
  • Laatst online: 18-05 19:32
Speeddragon schreef op dinsdag 1 december 2020 @ 15:17:
@Arthion-nl Bedankt voor je reactie. Het kopt inderdaad dat ik een nat achter nat heb geconfigureerd.

Op dit moment wil ik nog even geen geld uitgeven aan echt degelijke netwerkapparatuur waarbij het mogelijk is om vlans te maken. Dit is eigenlijk iets wat ik zou willen doen als ik een keer een woning kan kopen, en dan alles gelijk naar eigen smaak kan inrichten.

Voor nu lijkt het me dus het makkelijkste om de boel om te draaien. De Zyxel modemrouter wordt het IoT netwerk, en de TP-Link het Main netwerk. Dan kan ik ook makkelijk bij de interface van home assistant, en werken de Chromecasts ook goed.
FF wel een disclaimer hierop ik weet niet 100% zeker veilig is want ik dacht zo wanneer er een netwerk sniffer op netwerk 1 zit zou je theoretisch non encrypted verkeer naar router 2 kunnen uitlezen. Durf niet met 100% dit te zeggen of dit zou lukken maar er zijn hier wel meer netwerk geeks aanwezig die dit zouden kunnen uitsluiten.
Het enige nadeel lijkt me dan wel dat wanneer ik op de IoT Zyxel een poort blokker om een IoT device toegang tot het internet te ontzeggen, dit ook meteen voor mijn main netwerk zo is. (die hangt daar namelijk achter).
Als je poorten in de zyxel sluit doe je dit meestal specifiek op intern IP adres. Dus als jou IoT apparaat ip 192.168.1.10 heeft kan alle poorten sluiten specifiek voor allleen dit adres i.p.v. alle verkeer. Als je meerdere IoT apparaten hebt kan dit ff wat werk zijn maar is te doen.
Zou je de NUC oplossing misschien nog eens kunnen toelichten? Ik kan deze niet helemaal in perspectief plaatsen! Hoe ik het nu begrijp brengt dit het probleem mee dat het erg lastig wordt om vanuit de main iets te bedienen op het IoT netwerk.
Op een NUC draai je dus router software waarbij elke ethernet poort een eigen netwerk krijgt waar standaard is ingesteld dat geen enkele poort met elkaar mag praten tenzij je anders handmatig aangeeft.
Je zou dan speciefiek jou telefoon bijvoorbeeld toegang kunnen geven dat deze wel met beide netwerk kan praten.

Het is omgedraaide wereld van normale router waarbij alle verkeer met elkaar mag communiceren tenzij anders handmatig is ingevuld ( vaak met vlan).

Acties:
  • 0 Henk 'm!

  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 10:18
Denk dat je het gewoon moet houden zoals je nu hebt.
Als je niet wilt dat je vanaf het Zylex netwerk bij je Iot netwerk mag komen moet je gewoon de ddwrt firewall van die TP-link al dat binnenkomende verkeer laten blokkeren.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.


Acties:
  • 0 Henk 'm!

  • Arthion-nl
  • Registratie: April 2018
  • Laatst online: 18-05 19:32
Ben(V) schreef op dinsdag 1 december 2020 @ 15:38:
Denk dat je het gewoon moet houden zoals je nu hebt.
Als je niet wilt dat je vanaf het Zylex netwerk bij je Iot netwerk mag komen moet je gewoon de ddwrt firewall van die TP-link al dat binnenkomende verkeer laten blokkeren.
Daar ligt nou juist het probleem niet omdat de firewall dit standaard blokkeert. Het probleem is dat juist in zijn huidige setup dat IoT apparaten wel de main kan bereiken maar niet andersom.

Hij wil praktisch precies het omgekeerde waarbij de main wel IOT mag benaderen maar niet andersom.

Acties:
  • 0 Henk 'm!

  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 10:18
Als die Tp-link achter die Zylex hangt zoals in zijn eerste post kan hij zonder port forwarding niet het Iot netwerk bereiken, wil hij dat wel dan moet hij in die TP-link een portforward doen naar het ipadres:port dat hij wil bereiken.
Als hij ook bijvoorbeeld die chromecast wil blokkeren vanuit z'n iot netwerk dan kan dat in de firewall van de tp-link gedaan worden.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.


Acties:
  • 0 Henk 'm!

  • Speeddragon
  • Registratie: Augustus 2005
  • Laatst online: 21-05 23:16
@Ben(V)

Configuratie:
Main netwerk: Zyxel modem van t-mobile (daar wil ik de computers/smartphones e.d op houden)
IOT netwerk: Oude TP-Link met OpenWRT en eigen SSID

Lan van de Zyxel op Wan van de TP-Link
Dit is zoals ik het origineel voor ogen had.

Ik heb gemerkt dat ik dan vanuit de TP-link wel bij de spullen in de Zyxel kan komen (dus van mijn IoT netwerk in mijn main netwerk). Maar niet andersom (dus van mijn main in mijn IoT).

Terwijl ik dit liever andersom zou zien, vandaar dat @Arthion-nl , adviseerde dit om te draaien.

Ik begrijp van jou dat als ik mijn originele idee voor ogen had, ik dus in de TP-Link aan port forwarding moet doen?

Maar is het dan niet alsnog simpeler om het om te draaien, ik wil namelijk niet dat het IoT netwerk, (de TP-Link iin het originele idee), alles kan zien in het Main netwerk (de Zyxel in het originele idee).

Heel veel lurken, heel weinig posten..


Acties:
  • 0 Henk 'm!

  • Arthion-nl
  • Registratie: April 2018
  • Laatst online: 18-05 19:32
@Ben(V) Als je heel goed had gelezen heb ik dit al gezegd dat vanaf zijn main router 1 dus niet het netwerk (IoT) kan bereiken omdat de firewall dit blokkeerd.
Speeddragon is op zijn IoT netwerk (netwerk 2) gaan zitten en kon de chromecast die op netwerk 1 zien en dit klopt ook omdat alle verkeer van TP-link wel alle netwerkapparaten in netwerk 1 kan zien en bereiken.

IoT mag dus niet het het main netwerk bereiken maar de main netwerk mag dus wel de IoT netwerk bereiken.
Dit kan hij goedkoop bereiken door de situatie dus om te draaien waarbij TP-links als 2e netwerk zijn private netwerk wordt en zijn IoT het eerste netwerk wordt.

Acties:
  • 0 Henk 'm!

  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 10:18
@Arthion-nl
Als jij goed gelezen had wat ik schreef wist je dat ik het over de situatie had die TS als eerste beschreef en dat is de Tp-link achter de Zylex te plaatsen en met de firewall van de Tp-link te voorkomen dat vanuit het Iot netwerk het Zylex netwerk te bereiken is.

Ddwrt heeft een prima firewall die je daar voor kunt gebruiken en dat is een veel beter afscherming dan alleen op routering te vertrouwen want dat is simpel te omzeilen.

Er zijn uiteraard meerdere manieren om dat te realiseren maar in mijn ogen is dit de netste, simpelste en veiligste oplossing.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.


Acties:
  • 0 Henk 'm!

  • Arthion-nl
  • Registratie: April 2018
  • Laatst online: 18-05 19:32
@Ben(V)

Lees nou eens je eigen eerste post;
Ben(V) schreef op dinsdag 1 december 2020 @ 15:38:
Denk dat je het gewoon moet houden zoals je nu hebt.
Als je niet wilt dat je vanaf het Zylex netwerk bij je Iot netwerk mag komen moet je gewoon de ddwrt firewall van die TP-link al dat binnenkomende verkeer laten blokkeren.
By Default is dit al ingesteld bij een router dat inkomend verkeer (ongevraagde verkeer) wordt geblokkeerd tenzij je de firewall handmatig uitzet of regels aanmaakt hiervoor.
Dit is zijn huidige situatie en hij wil dit omgedraaid hebben dus zo houden zoals het nu is lost zijn probleem niet op.

Tenzij je bij de firewall van de TP-Link dit exact kan omdraaien zou hij dus gehele netwerk situatie moeten omdraaien.

Let wel op zijn chromecast is dan ook wel een IoT apparaat maar die heeft hij dus in zijn main netwerk zitten en heeft deze getest of hij deze kon bereiken vanaf zijn IoT netwerk wat dus ook lukte en wat dus niet de bedoeling is !!

Acties:
  • 0 Henk 'm!

  • Speeddragon
  • Registratie: Augustus 2005
  • Laatst online: 21-05 23:16
Ik denk dat ik jullie beiden begrijp. Het is net een andere opzet. @Ben(V) denkt dat ik met de TP-Link meer kan instellen en beveiligen en zou die daarom voor IoT houden. Dan heb ik nog wel wat andere puntjes te tacklen. als communiceren vanuit mijn main netwerk naar het IoT netwerk. Dat wordt verdiepen in Statische IP adressen & firewall rules..


@Arthion-nl , ik ben er nu dus wel achtergekomen dat zodra de chromecast uit en aan is geweest hij niet meer zichtbaar is in de huidige configuratie.

Misschien moet ik gewoon wat gaan proberen.

Heel veel lurken, heel weinig posten..


Acties:
  • 0 Henk 'm!

  • Arthion-nl
  • Registratie: April 2018
  • Laatst online: 18-05 19:32
@Speeddragon probeer eens apparaten te pingen vanuit je IoT netwerk. Hou wel rekening mee dat windows bijv dit al standaard blokeert.
Als je kan pingen betekend dat er geen blokkade is maar goed in principe kan je vanuit je IoT netwerk sowieso je main gebruiken tenzij je regels maakt in je TP-Link over uit gaande verkeer.

Je chromecast zie je mogelijk nu niet omdat hij broadcast in een andere netwerk en deze broadcast kan hij niet sturen naar je IoT netwerk. Als je de IP weet van je chromecast kan je mogelijk wel casten naar je Chromecast als je dit maar verteld waar hij zich begeeft.
Pagina: 1