Toon posts:

AP en unmanaged switch achter VLAN router

Pagina: 1
Acties:

Onderwerpen

Switch Vlan

Vraag

zondag 27 december 2020 17:26

Acties:
  • +2 Henk 'm!
  • Stevvh
  • Registratie: Juli 2010
  • Laatst online: 20-01-2023

Stevvh

Topicstarter
Op verzoek van @rens-br een nieuw draadje :) Thanks Rens, ben vrij nieuw als actieve gebruiker van het Tweakersforum.

Het volgende:

Momenteel deel ik mijn internet met een paar buren en heb ik mijzelf in een subnet geplaatst zodat mijn apparaten en IoT niet zichtbaar/bestuurbaar is door de buren.
Hiervoor heb ik een router aangesloten op een van de lan poorten van de expeiabox, de IP in de DMZ geplaatst en de eigen router netjes ingesteld met alle veiligheidsprotocollen.

De buren zijn geen gebruikers van IoT apparaten en niet handig genoeg om elkaar het leven zuur te maken door elkaars apparaten te benaderen en te willen inbreken dus die zitten allemaal in het subnet van de experiabox. Het is een vredige aangelegenheid hier ;)

Nu is de situatie iets veranderd met een nieuwe buurvrouw die ook graag gebruik maakt van mijn internet maar wél IoT apparaten wil en gaat gebruiken. Echter kan ik niet nóg een subnet aanmaken omdat je in de Experiabox geen 2e DMZ kunt instellen. De beste optie is VLAN en ik ben dus nu bezig met het inlezen op VLAN en krijg eindelijk een beetje een idee hoe alles in elkaar steekt. Helaas beschikt de router RT-AC53 niet over een VLAN optie en moet ik iets nieuws.

Mijn idee is om aan de Experiabox een router met VLAN optie aan te sluiten, bijvoorbeeld een Ubiquiti EdgeRouter 10X. Daarmee komt de huidige (wireless) router te vervallen. Ik stel op de verschillende poorten van de EdgeRouter diverse gewenste VLAN's in om het netwerk te scheiden in een VLAN voor mijn buurvouw en een voor mijzelf. (De rest van de buren zit op een gast-netwerk instelling van de router en zijn daar content mee)

Vraag: Als ik die oude router als AP instel en aan de gewenste poort van de EdgeRouter hang, zitten dan alle apparaten (zowel bedraad als draadloos) in dat ene VLAN?
En kan ik aan de poort met de VLAN voor mijzelf mijn unmanaged switch hangen en er van uit gaan dat alles wat op die switch zit in dat toegewezen VLAN blijft?

Thanks alvast!

[ Voor 0% gewijzigd door Stevvh op 27-12-2020 17:26 . Reden: Tag vergeten ]

Stevvh

Beste antwoord (via Stevvh op 28-12-2020 23:32)

maandag 28 december 2020 16:26

  • Felyrion
  • Registratie: November 2001
  • Laatst online: 16:42

Felyrion

goodgoan!

Dit is een 'domme' AP die VLAN's niet snapt. Dus als deze op een untagged poort van de managed switch wordt aangesloten met bv VLAN2 dan blijven alle apparaten die met dat AP verbinden in die VLAN2 zitten toch?
Dat klopt ja.
Bedoel je daarmee dat ze alleen in dat VLAN kunnen communiceren? Met andere woorden:
- Kunnen ze dús de apparaten in het andere VLAN niet zien? (want dat is het hele doel)
- Of betekent dat óók dat ze niet het internet op kunnen omdat ze VLAN niet snappen? Of zorgt de managed switch daar voor?
Omdat die eerste untagged poort op de router in dit geval alle verkeer van zijn untagged VLAN van VLAN tags stript, en alle andere niet doorlaat zal er inderdaad alleen in het eigen VLAN gecommuniceerd kunnen worden.
-Je conclusie is mogelijk niet juist, omdat er via de router gecommuniceerd kan worden als er geen firewall regels zijn die dit voorkomen. De router kent beide subnets, dus die gat doen wat routers doen, routeren tussen de twee subnets. VLANs zorgen er wél voor dat je niet stiekum in VLAN 1 jezelf een IP kunt geven uit VLAN 2 en dan gewoon communiceren met VLAN 2 zonder tussenkomst van de router.
Voor wat betreft je laatste punt daar zul je geen last van hebben als er geen gekke dingen worden ingesteld.
Ik heb in het schema toch de switch er in gelaten omdat ik die nu toch al in huis heb gehaald en dat ik die ook moet instellen maakt me vaardiger in netwerk, dus dat zie ik als winst.

Omdat het achter een untagged poort niet uit maakt wat er gebeurt, lijkt het mij afdoende als ik één poort untagged VLAN20 voor de buurvrouw instel en met een kabel naar haar toe breng. Dan kan zij daar achter aansluiten wat ze wil, ze krijgt van mij een (domme) AP met 4 fysieke poorten waarmee ze alles kan verbinden aansluiten. Voor mezelf stel ik twee untagged poorten in met VLAN30 en hang daar aan wat ik zelf wil.

En in die constructie kunnen apparaten in geen enkel geval elkaar zien als ze in een verschillend VLAN met subnet zitten toch? Of kunnen ze elkaar uiteindelijk tóch vinden via de router?
Die constructie zou inderdaad prima moeten zijn. Maar inderdaad, ze zouden via de router/firewall kunnen communiceren. Maar daar heb je controle over. Je kunt in de firewall regels opstellen zodat subnet 1 niet met subnet 2 mag communiceren.
Ik snap waarom het lijkt dat ik wat zaken door elkaar heen haal. Ik begrijp het verschil tussen een VLAN en een subnet wel. Echter zorgt dit óók weer voor vragen, want bij het creëren van een VLAN in de EdgeRouterX geef je elke VLAN ook een eigen IP adres én een eigen DHCP. Het lijkt er dan op dat dit een combinatie is van VLAN én subnetting. (?)
Ik ben natuurlijk ook nog steeds aan het door googlen, youtube en lezen. Kom er net achter dat in de constructie die te zien is in mijn diagram, met de edgerouterX, het dus een combinatie van subnetting en VLAN is. Klopt dat?

Nouja, veel vragen maar bij elk antwoord wordt ik een beetje slimmer. ;)
Je schema is inderdaad zoals ik hem ook zou doen ongeveer. Op deze manier kan verkeer van de buurvrouw nooit bij jou terecht komen zonder tussenkomst van de firewall. Als ze een IP in jouw reeks instelt ook niet, want ze zal dan niet bij de gateway kunnen komen.
Met de juiste firewall regels kun je nu instellen wat wél en wat niet mag qua communicatie tussen de subnets.

Het is inderdaad een combinatie. Op deze manier kun je ook die twee DHCP's tegelijk op één switch hebben. Zonder VLANs gaat dat nooit.


Nog een kleine onderzoekstip om het wellicht in perspectief te kunnen plaatsen: het OSI model.
Droge stof soms, maar het laat zien wat er aan de hand is.
Deze bestaat uit 7 lagen:

Afbeeldingslocatie: https://tweakers.net/i/4BAALpshKQgifHH1LHCdRi8YLGU=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/99S4ffSPYhaWokEE5Z5mOoPG.png?f=user_large

Laag 1 is de meest fysieke, de netwerk touwtjes in feite.

Laag 2 is de data link laag. Hier wordt gecommuniceerd met MAC adressen, vaak via broadcasts. Hier bevinden zich de VLAN's. Het wordt bijna een fysiek gescheiden netwerk.
Hier bevind zich ook het DHCP protocol. Een pc roept middels zijn MAC adres over het hele netwerk (binnen zijn VLAN dus haha) of hij een IP adres mag om in laag 3 te kunnen communiceren. De DHCP vangt dit op en antwoord met een IP adres en bijbehorende zaken (gateway, netmask).

Laag 3 is de netwerk laag. Hier bevinden zich dus de subnets en IP verkeer. Hier bevinden zich ook de routers. Als je een ping doet, dat gaat dat over laag 3.

Laag 4 is TCP/UDP etc. dat is om verkeer goed te laten verlopen. Ligt dicht tegen 3 aan.

De hogere lagen gaan richting de applicaties die informatie willen versturen.


Dit laat zien waarom het nuttig is om in laag 2 al die scheiding aan te brengen. Anders kun je op die laag alsnog over het hele netwerk communiceren.
Met juist ingestelde VLANs is je router/firewall het enige punt waar je netwerken samen komen.

Excuses voor de wellicht wat (te) lange antwoorden. Ik vind het altijd wel leuk om het een beetje te proberen te ontleden :P

sleep: a completely inadequate substitute for caffeine

Alle reacties

zondag 27 december 2020 18:00

Acties:
  • 0 Henk 'm!
  • Stevvh
  • Registratie: Juli 2010
  • Laatst online: 20-01-2023

Stevvh

Topicstarter
Aanvullende vraag: Heb ik het goed begrepen dat alleen een managed switch (TP-Link TP-SG108E) op een LANpoort van de Experiabox niet voldoende is om het netwerk achter die switch in VLAN's onder te verdelen?
Want als dat wel blijkt te kunnen ben ik natuurlijk snel klaar. :)

[ Voor 33% gewijzigd door Stevvh op 27-12-2020 18:30 ]

Stevvh

zondag 27 december 2020 18:57

Acties:
  • 0 Henk 'm!
  • ijske
  • Registratie: Juli 2004
  • Laatst online: 10-09 17:46

ijske

als het fysiek aparte kabels zijn (dus 1 kabeltje van de hoofdrouter naar je buurvrouw) , dan kan je prima poort1 op je router aan vlan1 toekennen, en poort 2 aan vlan2 (met allerlei domme of slimme switches erachter)

wil je echter dat alle accespoints alle vlans simultaan gaan uitzenden ,word het wel even een pak andere mouwen en kan je is testen.. unmanaged switches laten trouwens alle vlan pakketjes door... die is nie slim genoeg om vlan tags te lezen , die ziet enkel zender en ontvanger in het pakket en geeft het gewoon door

zondag 27 december 2020 19:30

Acties:
  • 0 Henk 'm!
  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 16:33

Ben(V)

Je kunt ook gewoon een router plaatsen, daar is geen dmz voor nodig, je doet dan gewoon dubbel Nat geen enkel probleem.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

maandag 28 december 2020 00:33

Acties:
  • 0 Henk 'm!
  • Stevvh
  • Registratie: Juli 2010
  • Laatst online: 20-01-2023

Stevvh

Topicstarter
ijske schreef op zondag 27 december 2020 @ 18:57:
als het fysiek aparte kabels zijn (dus 1 kabeltje van de hoofdrouter naar je buurvrouw) , dan kan je prima poort1 op je router aan vlan1 toekennen, en poort 2 aan vlan2 (met allerlei domme of slimme switches erachter)

wil je echter dat alle accespoints alle vlans simultaan gaan uitzenden ,word het wel even een pak andere mouwen en kan je is testen.. unmanaged switches laten trouwens alle vlan pakketjes door... die is nie slim genoeg om vlan tags te lezen , die ziet enkel zender en ontvanger in het pakket en geeft het gewoon door
Dank voor je antwoord! Even ter bevestiging:
  1. Alle apparaten die dus draadloos verbinden met de AP die in VLAN2 zit blijven in VLAN2 zitten en kunnen dus niet de apparaten zien die verbinden met een AP in VLAN1?
  2. Het feit dat een unmanaged switch de tags niet leest betekent niet dat de VLAN structuur daarmee teniet wordt gedaan?
  3. Het eerste scenario wat je beschrijft is wat ik wil, dan ben ik er dus met een VLAN router? Of kan alleen een managed switch de taak van het verdelen in VLAN's ook op zich nemen?
    Ik heb namelijk al een TP Link (SG108e) in huis gehaald omdat ik dacht dat alleen een managed switch afdoende was.
Ben(V) schreef op zondag 27 december 2020 @ 19:30:
Je kunt ook gewoon een router plaatsen, daar is geen dmz voor nodig, je doet dan gewoon dubbel Nat geen enkel probleem.
Dat principe heb ik geprobeerd maar kan zaken wel erg ingewikkeld maken als ik poorten moet forwarden of p2p games wil spelen op mijn PC die dan in zo'n subnet zit. Dus daarom heb ik daar destijds niet voor gekozen.

Stevvh

maandag 28 december 2020 03:50

Acties:
  • +2 Henk 'm!
  • Felyrion
  • Registratie: November 2001
  • Laatst online: 16:42

Felyrion

goodgoan!

Het is (mogelijk) iets complexer dan je schetst. Je hebt ook nog te maken met tagged en untagged VLAN verkeer.
Daarnaast lijkt je subnets en vlans wat door elkaar te gebruiken. Een vlan is geen (directe) oplossing voor het feit dat je niet nog een subnet aan kunt maken. Je hebt sowieso een router nodig die meerdere subnets aan kan op verschillende interfaces (poorten). Dat die VLANs snapt is slechts een bonus als je vervolgens nog andere infrastructuur deelt (zoals een switch). Zodat je daar ook de scheiding kunt aanbrengen.

Grofweg is het zo dat wanneer een poort op een router of switch geconfigureerd staat als untagged poort, al het verkeer over die poort untagged (dus gestript van VLAN tags) in het gespecificeerde VLAN terecht komt. Alle netwerk pakketjes hebben daarna dus geen VLAN tag meer bij zich. Daarmee kun je dus achter die poort rustig "domme" netwerk apparatuur plaatsen wat zich niet bewust is van VLAN's en dan zal dat zich allemaal in datzelfde VLAN bevinden, en niet zomaar (buiten de router om) met andere VLAN's kunnen communiceren.
Een netwerkpoort kan in principe (logischerwijs) maar één untagged VLAN hebben.

Je kunt een poort ook instellen voor tagged VLAN verkeer. Deze poort zal verkeer van alle VLANs doorlaten die je daarop instelt. Apparatuur daarachter zal dan wél VLANs moeten snappen, anders kunnen ze niks met dat verkeer. Dus zet je daarachter weer een switch dat VLAN's snapt, dan kun je daarop weer VLANs uitsplitsen over de verschillende poorten bijvoorbeeld.


Om één en ander helder te krijgen zou ik een schema opstellen van hoe je het voor je ziet.

Om te antwoorden op je punten:
1) Ja, mits deze zich bevind achter een untagged poort op dat VLAN. Als er tagged verkeer is en de AP snapt VLANs, dan kan deze clients bedienen voor beide VLAN's.
2) Nee, zelfde idee, als deze achter een poort zit met untagged VLAN 1, kan alleen in dat VLAN gecommuniceerd worden.
3) Ja, in principe wel. Mits je wel de meerdere poorten van je router gescheiden kunt houden (poort 1 van router > poort 1 van switch met untagged VLAN 1, poort 2 van router > poort 2 van switch met untagged VLAN 2, en dan vervolgens de switchpoorten verdelen onder de VLANs.

Binnen je router komen altijd je netwerken samen en zul je op basis van firewall regels de boel moeten dichttimmeren.

Maar nogmaals, ik denk dat je wat zaken door elkaar heen haalt.
Het kan zo simpel zijn als een fatsoenlijke router aanschaffen of bouwen en dan gewoon elke poort zijn eigen subnet geven en daarachter gewoon een draad naar de bewuste bewoner (die daarachter lekker zelf moet weten wat ie doet). Binnen de router (firewall) timmer je eventueel communicatie onderling dicht. Geen VLAN nodig. Dat heb je eigenlijk alleen nodig als je ook switches etc. intern met elkaar deelt.

[ Voor 9% gewijzigd door Felyrion op 28-12-2020 03:54 ]

sleep: a completely inadequate substitute for caffeine

maandag 28 december 2020 09:28

Acties:
  • 0 Henk 'm!
  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 16:33

Ben(V)

Stevvh schreef op maandag 28 december 2020 @ 00:33:

Dat principe heb ik geprobeerd maar kan zaken wel erg ingewikkeld maken als ik poorten moet forwarden of p2p games wil spelen op mijn PC die dan in zo'n subnet zit. Dus daarom heb ik daar destijds niet voor gekozen.
Waarom twee keer port forwarden moeilijker is dan een keer snap ik niet.
En ik kan je verzekeren dat vlan's een stuk gecompliceerder zijn.

Overigens kun je natuurlijk ook zelf rechtstreeks op je Isp router gaan zitten en de medegebruikers ieder achter een eigen router zetten.
Dit hebben dan wat consequenties van hun gratis internet.
Zo te horen hebben die ook minder behoefte aan portforwardings.

[ Voor 27% gewijzigd door Ben(V) op 28-12-2020 09:38 ]

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

maandag 28 december 2020 11:19

Acties:
  • +1 Henk 'm!
  • Stevvh
  • Registratie: Juli 2010
  • Laatst online: 20-01-2023

Stevvh

Topicstarter
Ben(V) schreef op maandag 28 december 2020 @ 09:28:
[...]


Waarom twee keer port forwarden moeilijker is dan een keer snap ik niet.
En ik kan je verzekeren dat vlan's een stuk gecompliceerder zijn.

Overigens kun je natuurlijk ook zelf rechtstreeks op je Isp router gaan zitten en de medegebruikers ieder achter een eigen router zetten.
Dit hebben dan wat consequenties van hun gratis internet.
Zo te horen hebben die ook minder behoefte aan portforwardings.
Ik ben niet voor één gat te vangen Ben. Dus hoewel ik begrijp dat het makkelijk is om iemand die er nog niet zoveel kaas van heeft gegeten als jullie met een makkelijke oplossing naar huis te sturen is dat niet wat ik wil. Ik wil het begrijpen en dan meteen goed doen. Anders leer ik het nooit.
Felyrion schreef op maandag 28 december 2020 @ 03:50:
Om één en ander helder te krijgen zou ik een schema opstellen van hoe je het voor je ziet.
Goede tip, dat praat inderdaad makkelijker.
Allereerst bedankt voor je uitgebreide antwoord. Ik begrijp het meteen een stuk beter en ook waarom er verschil is tussen tagged en untagged poorten. Nog wat vervolgvragen op je antwoorden:
Om te antwoorden op je punten:
1) Ja, mits deze zich bevind achter een untagged poort op dat VLAN. Als er tagged verkeer is en de AP snapt VLANs, dan kan deze clients bedienen voor beide VLAN's.
Dit is een 'domme' AP die VLAN's niet snapt. Dus als deze op een untagged poort van de managed switch wordt aangesloten met bv VLAN2 dan blijven alle apparaten die met dat AP verbinden in die VLAN2 zitten toch?
2) Nee, zelfde idee, als deze achter een poort zit met untagged VLAN 1, kan alleen in dat VLAN gecommuniceerd worden.
Bedoel je daarmee dat ze alleen in dat VLAN kunnen communiceren? Met andere woorden:
- Kunnen ze dús de apparaten in het andere VLAN niet zien? (want dat is het hele doel)
- Of betekent dat óók dat ze niet het internet op kunnen omdat ze VLAN niet snappen? Of zorgt de managed switch daar voor?
3) Ja, in principe wel. Mits je wel de meerdere poorten van je router gescheiden kunt houden (poort 1 van router > poort 1 van switch met untagged VLAN 1, poort 2 van router > poort 2 van switch met untagged VLAN 2, en dan vervolgens de switchpoorten verdelen onder de VLANs.
Ik heb in het schema toch de switch er in gelaten omdat ik die nu toch al in huis heb gehaald en dat ik die ook moet instellen maakt me vaardiger in netwerk, dus dat zie ik als winst.

Omdat het achter een untagged poort niet uit maakt wat er gebeurt, lijkt het mij afdoende als ik één poort untagged VLAN20 voor de buurvrouw instel en met een kabel naar haar toe breng. Dan kan zij daar achter aansluiten wat ze wil, ze krijgt van mij een (domme) AP met 4 fysieke poorten waarmee ze alles kan verbinden aansluiten. Voor mezelf stel ik twee untagged poorten in met VLAN30 en hang daar aan wat ik zelf wil.

En in die constructie kunnen apparaten in geen enkel geval elkaar zien als ze in een verschillend VLAN met subnet zitten toch? Of kunnen ze elkaar uiteindelijk tóch vinden via de router?
Maar nogmaals, ik denk dat je wat zaken door elkaar heen haalt.
Het kan zo simpel zijn als een fatsoenlijke router aanschaffen of bouwen en dan gewoon elke poort zijn eigen subnet geven en daarachter gewoon een draad naar de bewuste bewoner (die daarachter lekker zelf moet weten wat ie doet). Binnen de router (firewall) timmer je eventueel communicatie onderling dicht. Geen VLAN nodig. Dat heb je eigenlijk alleen nodig als je ook switches etc. intern met elkaar deelt.
Ik snap waarom het lijkt dat ik wat zaken door elkaar heen haal. Ik begrijp het verschil tussen een VLAN en een subnet wel. Echter zorgt dit óók weer voor vragen, want bij het creëren van een VLAN in de EdgeRouterX geef je elke VLAN ook een eigen IP adres én een eigen DHCP. Het lijkt er dan op dat dit een combinatie is van VLAN én subnetting. (?)
Ik ben natuurlijk ook nog steeds aan het door googlen, youtube en lezen. Kom er net achter dat in de constructie die te zien is in mijn diagram, met de edgerouterX, het dus een combinatie van subnetting en VLAN is. Klopt dat?

Nouja, veel vragen maar bij elk antwoord wordt ik een beetje slimmer. ;)

Diagram:
Afbeeldingslocatie: https://tweakers.net/i/PoeBQtnaIYGgNnODgVMGpnnkP_A=/800x/filters:strip_exif()/f/image/cjEqAvtrDGDmDMPP4FTl3Tlm.png?f=fotoalbum_large

[ Voor 6% gewijzigd door Stevvh op 28-12-2020 11:38 . Reden: Ik leerde weer wat nieuws xD ]

Stevvh

maandag 28 december 2020 16:26

Acties:
  • Beste antwoord
  • +2 Henk 'm!
  • Felyrion
  • Registratie: November 2001
  • Laatst online: 16:42

Felyrion

goodgoan!

Dit is een 'domme' AP die VLAN's niet snapt. Dus als deze op een untagged poort van de managed switch wordt aangesloten met bv VLAN2 dan blijven alle apparaten die met dat AP verbinden in die VLAN2 zitten toch?
Dat klopt ja.
Bedoel je daarmee dat ze alleen in dat VLAN kunnen communiceren? Met andere woorden:
- Kunnen ze dús de apparaten in het andere VLAN niet zien? (want dat is het hele doel)
- Of betekent dat óók dat ze niet het internet op kunnen omdat ze VLAN niet snappen? Of zorgt de managed switch daar voor?
Omdat die eerste untagged poort op de router in dit geval alle verkeer van zijn untagged VLAN van VLAN tags stript, en alle andere niet doorlaat zal er inderdaad alleen in het eigen VLAN gecommuniceerd kunnen worden.
-Je conclusie is mogelijk niet juist, omdat er via de router gecommuniceerd kan worden als er geen firewall regels zijn die dit voorkomen. De router kent beide subnets, dus die gat doen wat routers doen, routeren tussen de twee subnets. VLANs zorgen er wél voor dat je niet stiekum in VLAN 1 jezelf een IP kunt geven uit VLAN 2 en dan gewoon communiceren met VLAN 2 zonder tussenkomst van de router.
Voor wat betreft je laatste punt daar zul je geen last van hebben als er geen gekke dingen worden ingesteld.
Ik heb in het schema toch de switch er in gelaten omdat ik die nu toch al in huis heb gehaald en dat ik die ook moet instellen maakt me vaardiger in netwerk, dus dat zie ik als winst.

Omdat het achter een untagged poort niet uit maakt wat er gebeurt, lijkt het mij afdoende als ik één poort untagged VLAN20 voor de buurvrouw instel en met een kabel naar haar toe breng. Dan kan zij daar achter aansluiten wat ze wil, ze krijgt van mij een (domme) AP met 4 fysieke poorten waarmee ze alles kan verbinden aansluiten. Voor mezelf stel ik twee untagged poorten in met VLAN30 en hang daar aan wat ik zelf wil.

En in die constructie kunnen apparaten in geen enkel geval elkaar zien als ze in een verschillend VLAN met subnet zitten toch? Of kunnen ze elkaar uiteindelijk tóch vinden via de router?
Die constructie zou inderdaad prima moeten zijn. Maar inderdaad, ze zouden via de router/firewall kunnen communiceren. Maar daar heb je controle over. Je kunt in de firewall regels opstellen zodat subnet 1 niet met subnet 2 mag communiceren.
Ik snap waarom het lijkt dat ik wat zaken door elkaar heen haal. Ik begrijp het verschil tussen een VLAN en een subnet wel. Echter zorgt dit óók weer voor vragen, want bij het creëren van een VLAN in de EdgeRouterX geef je elke VLAN ook een eigen IP adres én een eigen DHCP. Het lijkt er dan op dat dit een combinatie is van VLAN én subnetting. (?)
Ik ben natuurlijk ook nog steeds aan het door googlen, youtube en lezen. Kom er net achter dat in de constructie die te zien is in mijn diagram, met de edgerouterX, het dus een combinatie van subnetting en VLAN is. Klopt dat?

Nouja, veel vragen maar bij elk antwoord wordt ik een beetje slimmer. ;)
Je schema is inderdaad zoals ik hem ook zou doen ongeveer. Op deze manier kan verkeer van de buurvrouw nooit bij jou terecht komen zonder tussenkomst van de firewall. Als ze een IP in jouw reeks instelt ook niet, want ze zal dan niet bij de gateway kunnen komen.
Met de juiste firewall regels kun je nu instellen wat wél en wat niet mag qua communicatie tussen de subnets.

Het is inderdaad een combinatie. Op deze manier kun je ook die twee DHCP's tegelijk op één switch hebben. Zonder VLANs gaat dat nooit.


Nog een kleine onderzoekstip om het wellicht in perspectief te kunnen plaatsen: het OSI model.
Droge stof soms, maar het laat zien wat er aan de hand is.
Deze bestaat uit 7 lagen:

Afbeeldingslocatie: https://tweakers.net/i/4BAALpshKQgifHH1LHCdRi8YLGU=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/99S4ffSPYhaWokEE5Z5mOoPG.png?f=user_large

Laag 1 is de meest fysieke, de netwerk touwtjes in feite.

Laag 2 is de data link laag. Hier wordt gecommuniceerd met MAC adressen, vaak via broadcasts. Hier bevinden zich de VLAN's. Het wordt bijna een fysiek gescheiden netwerk.
Hier bevind zich ook het DHCP protocol. Een pc roept middels zijn MAC adres over het hele netwerk (binnen zijn VLAN dus haha) of hij een IP adres mag om in laag 3 te kunnen communiceren. De DHCP vangt dit op en antwoord met een IP adres en bijbehorende zaken (gateway, netmask).

Laag 3 is de netwerk laag. Hier bevinden zich dus de subnets en IP verkeer. Hier bevinden zich ook de routers. Als je een ping doet, dat gaat dat over laag 3.

Laag 4 is TCP/UDP etc. dat is om verkeer goed te laten verlopen. Ligt dicht tegen 3 aan.

De hogere lagen gaan richting de applicaties die informatie willen versturen.


Dit laat zien waarom het nuttig is om in laag 2 al die scheiding aan te brengen. Anders kun je op die laag alsnog over het hele netwerk communiceren.
Met juist ingestelde VLANs is je router/firewall het enige punt waar je netwerken samen komen.

Excuses voor de wellicht wat (te) lange antwoorden. Ik vind het altijd wel leuk om het een beetje te proberen te ontleden :P

sleep: a completely inadequate substitute for caffeine

maandag 28 december 2020 23:38

Acties:
  • 0 Henk 'm!
  • Stevvh
  • Registratie: Juli 2010
  • Laatst online: 20-01-2023

Stevvh

Topicstarter
@Felyrion, bedankt dat je de tijd neemt om het even wat te ontleden. Wordt zéér gewaardeerd.

Ik heb inmiddels ook wat duidelijke video's gevonden nu ik weet waar ik op moet zoeken. Hierin worden de firewallregels voor een EdgeRouterX behandeld die mogelijk maken wat ik wil. LINK LINK

Ik heb direct een EdgeRouterX besteld en weet nu hoe ik het aan moet pakken.
Nog één vraag: zou jij de EdgeRouterX aansluiten in de DMZ van de EB? De EB blijf ik namelijk wel gewoon gebruiken voor de IPTV en de vaste telefoon en met een DMZ voorkom ik problemen met een dubbele NAT situatie waarin P2P verkeer weer lastig is. Zelf ben ik geen gamer (meer) maar ik weet niet wat de andere gebruikers graag doen.

Nogmaals bedankt! Ik ben weer wijzer dan dat ik voor de kerst was... ;)

Stevvh

dinsdag 29 december 2020 00:03

Acties:
  • +1 Henk 'm!
  • Felyrion
  • Registratie: November 2001
  • Laatst online: 16:42

Felyrion

goodgoan!

Graag gedaan!

En ik zou hem denk ik inderdaad achter de DMZ zetten gezien je overige wensen. Ik ken alleen niet de DMZ implementatie van een Experiabox, dus dat is een beetje gissen. Er willen nog wel eens wat beperkingen in zitten. Maar ik vermoed dat het meeste zal werken.

Succes! En laat nog even horen hoe het ging tzt :)

sleep: a completely inadequate substitute for caffeine

zondag 24 januari 2021 00:50

Acties:
  • +1 Henk 'm!
  • Stevvh
  • Registratie: Juli 2010
  • Laatst online: 20-01-2023

Stevvh

Topicstarter
Ik had beloofd nog even te laten weten hoe het nu gegaan is.
Heeft wat voeten in de aarde gehad, de aanschaf van een EdgeRouterX, twee managed switches en uiteindelijk ook een Unifi AP om twee buren die alleen maar WiFi gebruiken ook van een eigen VLAN te kunnen voorzien. Verder veel leeswerk over VLAN's, PVID's, trunkports, IMGP snooping en firewallrules.

Al met al heeft dat zijn vruchten afgeworpen want de situatie zoals ik in de afbeelding zal bijvoegen wordt binnenkort uitgebreid met nóg een VLAN voor een andere buur die ook wil meedelen. Mooi, want dan wordt het voor mij weer 'goedkoper' :P

Ook het apart houden van IPTV verkeer d.m.v. VLAN bevalt goed, dat scheelt extra kabels trekken :*)

Afbeeldingslocatie: https://tweakers.net/i/8mZPVQQcPz-R9urErMY2S1Ztqi8=/800x/filters:strip_icc():strip_exif()/f/image/Lts070P7M4gLXG40j7fR6E9D.jpg?f=fotoalbum_large

Stevvh

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq