Toon posts:

Inrichting netwerk

Pagina: 1
Acties:

Vraag

dinsdag 9 maart 2021 08:26

Acties:
  • 0Henk 'm!
  • Lennyz
  • Registratie: Januari 2010
  • Laatst online: 23-05 10:32

Lennyz

Topicstarter
Goedemorgen,

Ik heb even hulp nodig met het inrichten van een netwerk. Alle routers gaan op OpenWRT draaien. De situatie:

Het internet komt van router 1. Van deze router gebruik ik één port (port4) om deze aan te sluiten op router2. De overige drie porten mogen geen toegang hebben tot router2. Deze drie porten (port 1 t/m 3) mogen wel met elkaar communiceren. Dit betekent volgens mij dat ik dan de slag moet met VLAN.

Aan router 2 hangen beveiligingscamera's en pc's. De beveiligingscamera's en pc's moeten ook strikt gescheiden zijn. Dit betekent volgens mij ook dat deze in een apart VLAN moeten hangen. Het liefste wil ik ook nog dat ik uitsluitend port 1 van router 2 (waar de beveiligingscamera's mee is verbonden) met een site-to-site Wireguard verbinding laat maken met een externe locatie. Kan dit met uitsluitend één port?

Hoofdvraag:

Heb ik het zo goed uitgedacht? Zie ik iets over het hoofd en/of kunnen sommige dingen slimmer?

Schema:

[Voor 5% gewijzigd door Lennyz op 09-03-2021 08:29]

Alle reacties

dinsdag 9 maart 2021 17:42

Acties:
  • +1Henk 'm!
  • LanTao
  • Registratie: Juni 2008
  • Niet online

LanTao

Ja, dit lijkt me geen probleem.

Ik denk dat het helpt om dit in drie verschillende domeinen te visualiseren.
  1. Layer 1: alle apparaten verbonden aan een van de twee switches, en die ook onderling verbinden
  2. Layer 2: scheiden van functies in VLANs (10, 20, 30)
  3. Layer 3: IP-adressen toevoegen aan elk VLAN en het opzetten van ACL's (firewall rules) om verkeer tussen de netwerken te beperken
Bijvoorbeeld, je kan router1 opzetten met drie IP subnets, een voor elk VLAN 10, 20, 30. Zeg 192.168.<vlan>.0/24. OpenWRT zal per VLAN een virtuele interface aanmaken waar poorten in gebridged worden.

router2 kan je dan opzetten als switch met een IP-adres in een van de VLANs zodat je 'm nog kan beheren maar met DHCP-functionaliteit uitgeschakeld.

De poorten aan beide zijde van de link tussen de twee routers zal 802.1Q-tagged in de aan beide kanten benodigde VLANs worden.

Op router1 zet je een firewall policy dat alleen WireGuard-verkeer van en naar VLAN10 toestaat en de rest weigert, dat verkeer in VLAN20 en VLAN30 toestaat, en dat verkeer naar het Internet NAT.

dinsdag 9 maart 2021 20:43

Acties:
  • 0Henk 'm!
  • Lennyz
  • Registratie: Januari 2010
  • Laatst online: 23-05 10:32

Lennyz

Topicstarter
LanTao schreef op dinsdag 9 maart 2021 @ 17:42:
Ja, dit lijkt me geen probleem.

Ik denk dat het helpt om dit in drie verschillende domeinen te visualiseren.
  1. Layer 1: alle apparaten verbonden aan een van de twee switches, en die ook onderling verbinden
  2. Layer 2: scheiden van functies in VLANs (10, 20, 30)
  3. Layer 3: IP-adressen toevoegen aan elk VLAN en het opzetten van ACL's (firewall rules) om verkeer tussen de netwerken te beperken
Bijvoorbeeld, je kan router1 opzetten met drie IP subnets, een voor elk VLAN 10, 20, 30. Zeg 192.168.<vlan>.0/24. OpenWRT zal per VLAN een virtuele interface aanmaken waar poorten in gebridged worden.

router2 kan je dan opzetten als switch met een IP-adres in een van de VLANs zodat je 'm nog kan beheren maar met DHCP-functionaliteit uitgeschakeld.

De poorten aan beide zijde van de link tussen de twee routers zal 802.1Q-tagged in de aan beide kanten benodigde VLANs worden.

Op router1 zet je een firewall policy dat alleen WireGuard-verkeer van en naar VLAN10 toestaat en de rest weigert, dat verkeer in VLAN20 en VLAN30 toestaat, en dat verkeer naar het Internet NAT.
Dank je wel voor je heldere uitleg. Dan kan ik net zo makkelijk in plaats van router 2 een managed switch gebruiken toch?

dinsdag 9 maart 2021 21:07

Acties:
  • +1Henk 'm!
  • Nox
  • Registratie: Maart 2004
  • Laatst online: 01:21

Nox

Noxiuz

Lennyz schreef op dinsdag 9 maart 2021 @ 20:43:
[...]


Dank je wel voor je heldere uitleg. Dan kan ik net zo makkelijk in plaats van router 2 een managed switch gebruiken toch?
Dat kan, is zelfs sort of aanbevolen. Je hebt dan alleen geen wireless mogelijkheden.

Overlever van KampeerMeet 4.1
"Als David Attenborough een film van jou zou moeten maken zou hij het moeilijk krijgen." - TDW

dinsdag 9 maart 2021 21:27

Acties:
  • +1Henk 'm!
  • LanTao
  • Registratie: Juni 2008
  • Niet online

LanTao

Lennyz schreef op dinsdag 9 maart 2021 @ 20:43:
Dan kan ik net zo makkelijk in plaats van router 2 een managed switch gebruiken toch?
Ja, dat kan. Ik dacht dat je de OpenWRT devices al in bezit had en je ze daarom hiervoor willen gebruiken.

(Je hebt nog steeds een router nodig om verkeer tussen VLANs en de buitenwereld te regelen.)

dinsdag 9 maart 2021 21:32

Acties:
  • 0Henk 'm!
  • Lennyz
  • Registratie: Januari 2010
  • Laatst online: 23-05 10:32

Lennyz

Topicstarter
Nox schreef op dinsdag 9 maart 2021 @ 21:07:
[...]

Dat kan, is zelfs sort of aanbevolen. Je hebt dan alleen geen wireless mogelijkheden.
LanTao schreef op dinsdag 9 maart 2021 @ 21:27:
[...]

Ja, dat kan. Ik dacht dat je de OpenWRT devices al in bezit had en je ze daarom hiervoor willen gebruiken.

(Je hebt nog steeds een router nodig om verkeer tussen VLANs en de buitenwereld te regelen.)
Ik wist niet precies of ik vlan10 ook met de vpn kan verbinden op router1. In dat geval heb ik namelijk maar één router nodig en gebruik ik wel een managed switch.

Nu alleen nog uitvogelen welke port ik op tagged/untagged moet gaan zetten in Openwrt en hoe precies ik de firewall moet instellen.

dinsdag 9 maart 2021 21:43

Acties:
  • +1Henk 'm!
  • s3.
  • Registratie: Januari 2006
  • Laatst online: 04-06 12:16

s3.

Poorten die met endpoints zijn verbonden zet je op untagged. Poorten tussen switches/routers op tagged omdat ze meerdere VLAN's vervoeren.
Op router 2 heb je de endpoints gevisualiseerd, dus dan zouden port1 en port2 untagged zijn en port4 tagged.

Uitzondering zou bijvoorbeeld zijn indien je meerdere endpoints hebt achter 1 port die op verschillende VLAN's zitten. Bijvoorbeeld op port3 een IP phone via VLAN 50 en daarachter weer een computer lust op VLAN 20. Dan zou je in dat geval port3 op tagged zetten met VLAN 20 en VLAN 50, waarbij je op de endpoints wel VLAN instelt. Dus op de telefoon geef je 'aan' dat hij op VLAN 20 zit en in de NIC van je computer VLAN 50.

Wanneer je untagged gebruikt, dan hoef je geen VLAN in te stellen op je endpoints.

[Voor 57% gewijzigd door s3. op 09-03-2021 21:48]

woensdag 10 maart 2021 08:25

Acties:
  • 0Henk 'm!
  • Lennyz
  • Registratie: Januari 2010
  • Laatst online: 23-05 10:32

Lennyz

Topicstarter
s3. schreef op dinsdag 9 maart 2021 @ 21:43:
Poorten die met endpoints zijn verbonden zet je op untagged. Poorten tussen switches/routers op tagged omdat ze meerdere VLAN's vervoeren.
Op router 2 heb je de endpoints gevisualiseerd, dus dan zouden port1 en port2 untagged zijn en port4 tagged.

Uitzondering zou bijvoorbeeld zijn indien je meerdere endpoints hebt achter 1 port die op verschillende VLAN's zitten. Bijvoorbeeld op port3 een IP phone via VLAN 50 en daarachter weer een computer lust op VLAN 20. Dan zou je in dat geval port3 op tagged zetten met VLAN 20 en VLAN 50, waarbij je op de endpoints wel VLAN instelt. Dus op de telefoon geef je 'aan' dat hij op VLAN 20 zit en in de NIC van je computer VLAN 50.

Wanneer je untagged gebruikt, dan hoef je geen VLAN in te stellen op je endpoints.
Zou het dan zo ingesteld moeten worden?

Router 1 (Openwrt)

CPU (eth0) LAN 1 LAN 2 LAN 3 LAN4 WAN
1 tagged untagged untagged untagged off off
2 tagged off off off off untagged
10 tagged off off off tagged off
20 tagged off off off tagged off

Managed switch:

Port 1 Untagged > Vlan 10
Port 2 Untagged > Vlan 20

De opmaak valt een beetje weg: Een screenshot ervan:

[Voor 3% gewijzigd door Lennyz op 10-03-2021 08:42]

Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee