Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

Inrichting netwerk

Pagina: 1
Acties:

Vraag


  • Lennyz
  • Registratie: januari 2010
  • Laatst online: 13:16
Goedemorgen,

Ik heb even hulp nodig met het inrichten van een netwerk. Alle routers gaan op OpenWRT draaien. De situatie:

Het internet komt van router 1. Van deze router gebruik ik één port (port4) om deze aan te sluiten op router2. De overige drie porten mogen geen toegang hebben tot router2. Deze drie porten (port 1 t/m 3) mogen wel met elkaar communiceren. Dit betekent volgens mij dat ik dan de slag moet met VLAN.

Aan router 2 hangen beveiligingscamera's en pc's. De beveiligingscamera's en pc's moeten ook strikt gescheiden zijn. Dit betekent volgens mij ook dat deze in een apart VLAN moeten hangen. Het liefste wil ik ook nog dat ik uitsluitend port 1 van router 2 (waar de beveiligingscamera's mee is verbonden) met een site-to-site Wireguard verbinding laat maken met een externe locatie. Kan dit met uitsluitend één port?

Hoofdvraag:

Heb ik het zo goed uitgedacht? Zie ik iets over het hoofd en/of kunnen sommige dingen slimmer?

Schema:

[Voor 5% gewijzigd door Lennyz op 09-03-2021 08:29]

Alle reacties


Acties:
  • +1Henk 'm!

  • LanTao
  • Registratie: juni 2008
  • Niet online
Ja, dit lijkt me geen probleem.

Ik denk dat het helpt om dit in drie verschillende domeinen te visualiseren.
  1. Layer 1: alle apparaten verbonden aan een van de twee switches, en die ook onderling verbinden
  2. Layer 2: scheiden van functies in VLANs (10, 20, 30)
  3. Layer 3: IP-adressen toevoegen aan elk VLAN en het opzetten van ACL's (firewall rules) om verkeer tussen de netwerken te beperken
Bijvoorbeeld, je kan router1 opzetten met drie IP subnets, een voor elk VLAN 10, 20, 30. Zeg 192.168.<vlan>.0/24. OpenWRT zal per VLAN een virtuele interface aanmaken waar poorten in gebridged worden.

router2 kan je dan opzetten als switch met een IP-adres in een van de VLANs zodat je 'm nog kan beheren maar met DHCP-functionaliteit uitgeschakeld.

De poorten aan beide zijde van de link tussen de twee routers zal 802.1Q-tagged in de aan beide kanten benodigde VLANs worden.

Op router1 zet je een firewall policy dat alleen WireGuard-verkeer van en naar VLAN10 toestaat en de rest weigert, dat verkeer in VLAN20 en VLAN30 toestaat, en dat verkeer naar het Internet NAT.

  • Lennyz
  • Registratie: januari 2010
  • Laatst online: 13:16
LanTao schreef op dinsdag 9 maart 2021 @ 17:42:
Ja, dit lijkt me geen probleem.

Ik denk dat het helpt om dit in drie verschillende domeinen te visualiseren.
  1. Layer 1: alle apparaten verbonden aan een van de twee switches, en die ook onderling verbinden
  2. Layer 2: scheiden van functies in VLANs (10, 20, 30)
  3. Layer 3: IP-adressen toevoegen aan elk VLAN en het opzetten van ACL's (firewall rules) om verkeer tussen de netwerken te beperken
Bijvoorbeeld, je kan router1 opzetten met drie IP subnets, een voor elk VLAN 10, 20, 30. Zeg 192.168.<vlan>.0/24. OpenWRT zal per VLAN een virtuele interface aanmaken waar poorten in gebridged worden.

router2 kan je dan opzetten als switch met een IP-adres in een van de VLANs zodat je 'm nog kan beheren maar met DHCP-functionaliteit uitgeschakeld.

De poorten aan beide zijde van de link tussen de twee routers zal 802.1Q-tagged in de aan beide kanten benodigde VLANs worden.

Op router1 zet je een firewall policy dat alleen WireGuard-verkeer van en naar VLAN10 toestaat en de rest weigert, dat verkeer in VLAN20 en VLAN30 toestaat, en dat verkeer naar het Internet NAT.
Dank je wel voor je heldere uitleg. Dan kan ik net zo makkelijk in plaats van router 2 een managed switch gebruiken toch?

Acties:
  • +1Henk 'm!

  • Nox
  • Registratie: maart 2004
  • Laatst online: 20:51

Nox

Noxiuz

Lennyz schreef op dinsdag 9 maart 2021 @ 20:43:
[...]


Dank je wel voor je heldere uitleg. Dan kan ik net zo makkelijk in plaats van router 2 een managed switch gebruiken toch?
Dat kan, is zelfs sort of aanbevolen. Je hebt dan alleen geen wireless mogelijkheden.

Overlever van KampeerMeet 4.1
All your Acer belongs to /dev/null


Acties:
  • +1Henk 'm!

  • LanTao
  • Registratie: juni 2008
  • Niet online
Lennyz schreef op dinsdag 9 maart 2021 @ 20:43:
Dan kan ik net zo makkelijk in plaats van router 2 een managed switch gebruiken toch?
Ja, dat kan. Ik dacht dat je de OpenWRT devices al in bezit had en je ze daarom hiervoor willen gebruiken.

(Je hebt nog steeds een router nodig om verkeer tussen VLANs en de buitenwereld te regelen.)

  • Lennyz
  • Registratie: januari 2010
  • Laatst online: 13:16
Nox schreef op dinsdag 9 maart 2021 @ 21:07:
[...]

Dat kan, is zelfs sort of aanbevolen. Je hebt dan alleen geen wireless mogelijkheden.
LanTao schreef op dinsdag 9 maart 2021 @ 21:27:
[...]

Ja, dat kan. Ik dacht dat je de OpenWRT devices al in bezit had en je ze daarom hiervoor willen gebruiken.

(Je hebt nog steeds een router nodig om verkeer tussen VLANs en de buitenwereld te regelen.)
Ik wist niet precies of ik vlan10 ook met de vpn kan verbinden op router1. In dat geval heb ik namelijk maar één router nodig en gebruik ik wel een managed switch.

Nu alleen nog uitvogelen welke port ik op tagged/untagged moet gaan zetten in Openwrt en hoe precies ik de firewall moet instellen.

Acties:
  • +1Henk 'm!

  • s3.
  • Registratie: januari 2006
  • Laatst online: 20-06 13:33
Poorten die met endpoints zijn verbonden zet je op untagged. Poorten tussen switches/routers op tagged omdat ze meerdere VLAN's vervoeren.
Op router 2 heb je de endpoints gevisualiseerd, dus dan zouden port1 en port2 untagged zijn en port4 tagged.

Uitzondering zou bijvoorbeeld zijn indien je meerdere endpoints hebt achter 1 port die op verschillende VLAN's zitten. Bijvoorbeeld op port3 een IP phone via VLAN 50 en daarachter weer een computer lust op VLAN 20. Dan zou je in dat geval port3 op tagged zetten met VLAN 20 en VLAN 50, waarbij je op de endpoints wel VLAN instelt. Dus op de telefoon geef je 'aan' dat hij op VLAN 20 zit en in de NIC van je computer VLAN 50.

Wanneer je untagged gebruikt, dan hoef je geen VLAN in te stellen op je endpoints.

[Voor 57% gewijzigd door s3. op 09-03-2021 21:48]


  • Lennyz
  • Registratie: januari 2010
  • Laatst online: 13:16
s3. schreef op dinsdag 9 maart 2021 @ 21:43:
Poorten die met endpoints zijn verbonden zet je op untagged. Poorten tussen switches/routers op tagged omdat ze meerdere VLAN's vervoeren.
Op router 2 heb je de endpoints gevisualiseerd, dus dan zouden port1 en port2 untagged zijn en port4 tagged.

Uitzondering zou bijvoorbeeld zijn indien je meerdere endpoints hebt achter 1 port die op verschillende VLAN's zitten. Bijvoorbeeld op port3 een IP phone via VLAN 50 en daarachter weer een computer lust op VLAN 20. Dan zou je in dat geval port3 op tagged zetten met VLAN 20 en VLAN 50, waarbij je op de endpoints wel VLAN instelt. Dus op de telefoon geef je 'aan' dat hij op VLAN 20 zit en in de NIC van je computer VLAN 50.

Wanneer je untagged gebruikt, dan hoef je geen VLAN in te stellen op je endpoints.
Zou het dan zo ingesteld moeten worden?

Router 1 (Openwrt)

CPU (eth0) LAN 1 LAN 2 LAN 3 LAN4 WAN
1 tagged untagged untagged untagged off off
2 tagged off off off off untagged
10 tagged off off off tagged off
20 tagged off off off tagged off

Managed switch:

Port 1 Untagged > Vlan 10
Port 2 Untagged > Vlan 20

De opmaak valt een beetje weg: Een screenshot ervan:

[Voor 3% gewijzigd door Lennyz op 10-03-2021 08:42]

Pagina: 1


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True