Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Vraag


  • SVMartin
  • Registratie: november 2005
  • Niet online
Beste mede-tweakers,

Ik heb conceptueel vanuit mijn werk wel wat ervaring met netwerken, voornamelijk omdat ik te maken heb met collega's/leveranciers die een netwerk hebben ingericht en/of onderhouden. Ik heb echter geen hands-on kennis en hoop daarom op feedback op het volgende plan.

Omdat ik het interessant/leuk vind, maar ook omdat er inmiddels twee (jonge) kinderen zijn, wil ik graag mijn thuis netwerk beter beveiligen. Dit zou ik doen door:
  1. Een dedicated pfsense firewall i.p.v. de firewall in mijn asus wifi router
  2. Gebruik van snort/suricata i.p.v. de embedded trend micro oplossing van dezelfde asus wifi router
  3. Netwerksegmentering
Ik woon in een rijtjeshuis met begane grond en 2 verdiepingen. Op de eerste verdieping zijn de slaapkamers van de kinderen, op de tweede verdieping de ouderslaapkamer en werkkamer.

Huidige situatie: meterkast ziggo modem in bridge -> asus wifi router (dhcp/trend-micro ids/ips) -> kabel naar 2e verdieping -> asus wifi router.

Op de werkkamer staat ook een NAS (zelfbouw op basis van Truenas en een supermicro mobo met 4 netwerk interfaces) waarop een mediaserver en pihole draaien. Op de werkkamer een vaste desktop en netwerkprinter, verder zijn er in huis telefoons, tablets, laptops en in de woonkamer een mediacenter (netflix en samba share op de nas) en een receiver (internetradio en mediaserver op de nas).

Er is op dit moment nog geen access point of switch op de 1e verdieping, maar die moet er in de toekomst waarschijnlijk wel komen. Binnenkort worden zonnepanelen geplaatst, waarbij direct een extra netwerkkabel van de meterkast naar de tweede verdieping kan worden getrokken.

Mijn plan is als volgt.

Meterkast: ziggo modem in bridge, verbonden met pfsense dedicated firewall/router. Hiervoor bijvoorbeeld een Protectli FW4B met 4GB geheugen. Hierop kan pfsense draaien met suricata en pfblockerng (zodat pihole op de nas uit kan).

Vervolgens gaan er vanuit pfsense drie netwerkkabels:
  1. begane grond naar access point
  2. de huidige kabel naar de 2e verdieping loopt via een slaapkamer op de eerste verdieping. Hier knip ik hem door en gebruik hem voor het netwerk op de 1e verdieping. Het deel naar de 2e verdieping verdwijnt.
  3. de nieuwe netwerkkabel naar de 2e verdieping
Op de begane grond gebruik ik voorlopig mijn huidige asus wifi router in AP mode, maar vervang die op termijn naar een AP geplaatst in de woonkamer. Voeding via een PoE adapter in de meterkast. De huidige wifi router draait al asus merlin en heeft daarmee volgens mij de mogelijkheid om twee SSID's in verschillende vlans te zetten.

Op de eerste verdieping vooralsnog niets, maar op termijn een managed switch en AP.

Op de tweede verdieping een managed switch en vooralsnog huidig asus wifi router in AP mode, hier is maar 1 ssid in 1 vlan nodig.

De managed switches kunnen volgens mij eenvoudige layer 2 switches zijn, bijv. de netgear gs308e-100pes. De AP's moeten dus SSID's aan VLAN's kunnen kopppelen.

Wat ik graag zou willen weten/bevestigd zien:
  1. Is dit een voor de hand liggende ontwerp? Zo niet, waarom niet en wat dan wel?
  2. Kan ik hiermee inderdaad apparaten in verschillende VLAN's zetten, maar toch ook als het nodig is een gaatje prikken? (dus uit VLAN x is het toegestaan om te verbinden op poort 1234 van ip 1.2.3.4 in VLAN y)
  3. Ik ben niet op zoek naar maximale performance, maar ik wil ook geen grote bottlenecks introduceren. Doe ik dat hier? En is zo'n simpele netgear van een paar tientjes voldoende? (ik heb nu een ziggo complete met 250/25 en dat is eigenlijk meer dan ik nodig heb; op de NAS staan voornamelijk foto's en video's die worden bekeken/afgespeeld)
  4. Moet op een AP voor elk VLAN een eigen SSID aangemaakt worden, of kun je dat ook doen op basis van mac adressen? In het eerste geval: hoeveel SSID's kun je op een betaalbaar (150 euro) AP kwijt?
  5. Het klopt toch dat ik op mijn nas VM's kan koppelen aan een netwerkkaart en dus op een VLAN, maar ook op de VM een VLAN kan zetten en ze allemaal over dezelfde fysieke netwerkinterface laten lopen? (de switch moet dan ook op die poort die vlans afhandelen)
Alvast bedankt voor alle feedback/input!

Alle reacties


  • johnkeates
  • Registratie: februari 2008
  • Laatst online: 08-04 10:01
Ik zou niet voor pfSense gaan maar voor OpnSense, en niet voor Protectli maar voor Qotom. Verder is het prima op die manier op te zetten.

AP's met goed werkende SSID-VLAN mappings zijn er in veel soorten en smaken; een betaalbare oplossing kan je in de UniFi lijn van Ubiquiti vinden. Als je genoeg hebt aan 802.11ac is een AP AC Lite al meer dan genoeg. Daar neem je dan 2 of 3 van. Een switch die gewoon L2 netwerken en VLANs doet (basis managed switch of zelfs zo'n 'smart managed' ding is dan al genoeg).

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
              ┌──────────┐
              │          │
              │ Ziggo    │
              │          │
              └─────┬────┘
                    │
                    │
              ┌─────▼────┐
              │          │
              │ OpnSense │
              │          │
              └──────┬───┘
                     │
                     │
                     │
                     │
              ┌──────▼───┐
              │          │
              │ Switch   │
              │          │
              └───┬──────┘
                  │
     ┌────────────┼──────────────┐
     │            │              │
     │            │              │
┌────▼────┐  ┌────▼────┐  ┌──────▼───┐
│         │  │         │  │          │
│ AP 1    │  │ AP 2    │  │ NAS e.d. │
│         │  │         │  │          │
└─────────┘  └─────────┘  └──────────┘


Je maakt dan op je firewall/routing/gateway device je interfaces, NAT, DHCP, DNS enz. configuraties.
Bijv:

eth1 - Management - 10.0.24.0/24
VLAN 100 - Prive - 10.0.26.0/24
VLAN 200 - IoT - 10.0.28.0/24
VLAN 300 - Gastnetwerk - 10.0.30.0/24

Die VLANs zijn 'interfaces' die op een 'echte' interface gestapeld zijn als 802.1q tags, bijv. in het volgende scenario:
  1. eth0 - WAN (Ziggo) als DHCP client
  2. eth1 - LAN interface, firewall rule er op die niks mag behalve bij de firewall komen als terugval optie
  3. eth1.100 (dat is dan VLAN 100 op netwerkpoort eth1)
  4. eth1.200 (dat is dan VLAN 200 op netwerkpoort eth1)
  5. eth1.300 (dat is dan VLAN 300 op netwerkpoort eth1)
Je kan dan in je firewall de rules zo maken ter illustratie:
  1. eth1.100 mag naar internet, mag DHCP, mag DNS en mag naar eth1.200 en eth1.300 en mag naar de kale eth1 interface
  2. eth1.200 mag naar internet, mag DHCP, mag DNS zolang het naar de Pi-hole is, verder niks
  3. eth1.300 mag naar internet, mag DHCP, mag DNS zolang het naar de Pi-hole is, en mag naar eth1.200 alle adressen met poort 443 en 22, verder niks
Op je switch kan je dan bijv. het volgende doen:
  1. VLAN ID 1 untagged (vaak je default en 'native' VLAN ID) als management lan op poort 1
  2. VLAN ID 100, 200 en 300 tagged op poort 1 (dat betekent dat pakketjes voor die VLANs op die poort heen en weer mogen tussen je firewall en de switch)
  3. op poort 2 en 3 dan VLAN 100 untagged en 200 en 300 tagged maar niet VLAN 1, daar prik je je AP's op in
  4. op poort 4 dan alleen VLAN 100 untagged, daar prik je je NAS op in
Als je dan met je 'privé' SSID zit kan je bij alle apparaten op alle netwerken zolang jij de connectie initieert. Als je dan je smart toaster op je IoT netwerk hebt kan die wel naar internet maar verder niks. Je zou ook AP isolation kunnen overwegen zodat ie ook niet met andere apparaten op hetzelfde netwerk kan praten.
Als je gasten hebt kunnen ze wel naar internet maar niet bij je andere apparaten.

Stel dat je nog andere bedrade apparatuur hebt, bijv. een TV, dan maak je op je switch een poort vrij met het juiste VLAN, bijv. 200 untagged zodat je TV denkt dat ie gewoon op een netwerk zit, maar eigenlijk gewoon 'gevangen' zit in het IoT netwerk. Of een PC voor jezelf, die zet je dan op een poort met VLAN 100 untagged, dan zit die in je eigen netwerk waar je alles vanaf kan doen.

[Voor 97% gewijzigd door johnkeates op 20-03-2021 18:03]


  • jvanhambelgium
  • Registratie: april 2007
  • Laatst online: 12-06 21:29
"gasten" VLAN hoeft niet echt, je moet een beetje kijken naar de features op je AP.
Met Unify bijvoorbeeld kan je perfect een "Guest" SSID maken en vervolgen op je AP enkele regeltjes meegeven zodat geconnecteerde gebruikers niet naar je interne IP's kunnen etc.

  • johnkeates
  • Registratie: februari 2008
  • Laatst online: 08-04 10:01
jvanhambelgium schreef op zaterdag 20 maart 2021 @ 18:47:
"gasten" VLAN hoeft niet echt, je moet een beetje kijken naar de features op je AP.
Met Unify bijvoorbeeld kan je perfect een "Guest" SSID maken en vervolgen op je AP enkele regeltjes meegeven zodat geconnecteerde gebruikers niet naar je interne IP's kunnen etc.
Het is geen 'magie' he, je bent letterlijk een 2e firewall 'op' de AP aan het draaien. En voor je andere netwerken (als je er dus meer dan 2 hebt) werkt dat ook al niet. Een Guest profile op een netwerkdefinitie in de UniFi controller doet ook niet zo heel veel voor non-wired devices, en als je je gasten bijv. niet met elkaar wil laten praten, en niet met andere complete netwerken maar wel met internet en bijv. ook met een printer, dan werkt het al niet meer.

  • SVMartin
  • Registratie: november 2005
  • Niet online
@johnkeates en @jvanhambelgium bedankt voor jullie input!

Met wat slapeloze nachten door zieke kinderen duurde het even, maar ik ben wat verder!

Ik heb inmiddels een PC Engine APU4D4 firewall aangeschaft. Ik heb hiervoor gekozen omdat deze (1) snel genoeg zou moeten zijn, (2) niet duurder is dan een qotom via ali, (3) in ieder geval snel geleverd kan worden, (4) in hoeverre je dat ook kunt beoordelen: meer europees dan chinees is (5) veel gebruikt en prima gedocumenteerd lijkt te zijn en tot slot (6) ook op coreboot werkt.

Voor wie dit leest en ook op zoek is: ik heb hem aangeschaft bij Meconet, een Duits bedrijfje. Die had alles op voorraad tegen een nette prijs, en alles is na betaling ook netjes en snel verzonden en aangekomen. Een msata SSD heb ik bij Amazon gekocht, bij Meconet het bordje, voeding, behuizing en kabel voor seriele poort naar USB.

Wat betreft die documentatie: ik bleek niet de enige te zijn die bij het starten van de installer vanaf een USB stick tegen een probleem aan liep. Dat blijkt te komen door 'iets' in de combinatie van USB3, FreeBSD en de bios. Uiteindelijk heb ik als oplossing een SD kaartje geplaatst en daar vandaan de installatie op de SSD gezet.

Of je nu pfsense of opnsense kiest, ik had het liefst echt een project gekozen vanuit de community met vrije software. Nu kies je tussen netgate en deciso, een apache of een bsd licentie. Ik heb voor pfsense gekozen, maar heb ipfire nog overwogen. Dat lijkt echter gedoe te zijn met vlans buiten de standaard configuratie en dus heb ik dat idee laten varen.

@johnkeates In het schema dat je tekent is de opzet Ziggo-firewall-1xswitch-clients. Ik ben echter van plan Ziggo-firewall-3xswitch-clients. Dat is ook de reden dat ik de APU4d4 met 4 LAN poorten heb gekozen, ik kan er 3 switches aan hangen. Op elke verdieping van de woning komt dan 1 switch te hangen met daarachter pc's/access points. Het zou kunnen dat ik op de begane grond geen switch plaats, maar de enige client (een AP) direct op de firewall aan sluit. Zijn dit allemaal logische mogelijkheden?

  • johnkeates
  • Registratie: februari 2008
  • Laatst online: 08-04 10:01
Zijn allemaal logische mogelijkheden. Behalve pfSense dan, ik zou toch voor OpnSense gaan om dat daar een echte community bij zit en bij pfSense niet (meer). De licenties kloppen allebei wel, maar bij pfSense wordt men erg pushy en ongelukkig als je niet hun hardware koopt, en bij OpnSense maakt het wat minder uit; de community en tools enz. zitten gewoon op het FOSS domein en niet op het corp domein enz.

Stel dat je overweegt om toch geen BSD-based distro te draaien dan kan je behalve ipfire nog even kunnen kijken naar OpenWRT op x86 (werkt beter en doet meer dan je zou denken) of anders VyOS.

Qua switching kan je op elke poort wel los een switch aansluiten, maar het is niet zoals bij consumenten apparaten dat die intern op een on-board switch zitten, dat zijn 'losse' netwerkpoorten. Dan moet je dus een software-switch maken en ze aan elkaar knopen als verkeer van poort 1 naar poort 2 moet kunnen. Qua performance niet aan te raden, hoewel dat als de CPU niet te zwaar belast wordt nog wel moet lukken.
(ethernet frames op poort 1 gaan dan naar de CPU, de CPU kopieert ze dan, en stuurt ze naar poort 2 bijv. het werkt wel, maar is niet helemaal zoals het bedoeld is)

[Voor 90% gewijzigd door johnkeates op 01-04-2021 22:50]


Acties:
  • +1Henk 'm!

  • Frogmen
  • Registratie: januari 2004
  • Niet online
Ben ik nou gek of vooral een geboren optimist, wat ik binnen je ontwerp mis is een startvraag. Waarom en waartegen wil je je beschermen. Je bent nu een fort aan het bouwen om je waartegen te beschermen?
Als je het leuk vindt prima maar ga niet roepen dat het nodig is. Ik lees namelijk nergens dat er ook maar 1 poort open staat. Kortom de standaard Ziggo router voldoet ook en deze heeft zelfs een gastnetwerk heb je ook geen Vlans nodig. Een extra AP boven voldoet en die PI hole kan je houden.
Kortom je investeert en verbruikt extra stroom om spoken buiten te houden, als je het leuk vindt vooral doen het is een hobby, maar nodig is het niet.
Dit schrijf ik niet om jouw af te kraken iedereen mag zijn eigen keuzes maken, maar er lezen hier teveel mensen mee die vervolgens denken dat iedereen met een NAS dit thuis ook nodig heeft. Net als dat iedereen rondom zijn huis camera's nodig heeft en een alarm systeem.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


  • jvanhambelgium
  • Registratie: april 2007
  • Laatst online: 12-06 21:29
Klopt wel ergens. Ik ben beroepsmatig ook wel "wat" met security bezig, maar thuis heb ik gewoon een "flat" LAN zonder VLAN's etc.
Heb een standaard Unify "Guest" netwerkje.

Wel een goed ingeregelgde Mikrotik-FW, voldoende "logging" en alle apparaten waar mogelijk "hardened" (zoals geen standaard login, complex passwords etc)

  • dion_b
  • Registratie: september 2000
  • Laatst online: 17:09

dion_b

Moderator Harde Waren

say Baah

Frogmen schreef op vrijdag 2 april 2021 @ 10:48:
Ben ik nou gek of vooral een geboren optimist, wat ik binnen je ontwerp mis is een startvraag. Waarom en waartegen wil je je beschermen. Je bent nu een fort aan het bouwen om je waartegen te beschermen?
Als je het leuk vindt prima maar ga niet roepen dat het nodig is. Ik lees namelijk nergens dat er ook maar 1 poort open staat. Kortom de standaard Ziggo router voldoet ook en deze heeft zelfs een gastnetwerk heb je ook geen Vlans nodig. Een extra AP boven voldoet en die PI hole kan je houden.
Kortom je investeert en verbruikt extra stroom om spoken buiten te houden, als je het leuk vindt vooral doen het is een hobby, maar nodig is het niet.
Dit schrijf ik niet om jouw af te kraken iedereen mag zijn eigen keuzes maken, maar er lezen hier teveel mensen mee die vervolgens denken dat iedereen met een NAS dit thuis ook nodig heeft. Net als dat iedereen rondom zijn huis camera's nodig heeft en een alarm systeem.
Inderdaad. Kan goed zijn dat er een goede reden is, maar het hebben van twee jonge kinderen is dat niet.

Bedenk sowieso dat sinds jaar en dag social engineering de #1 kwetsbaarheid is in ieder netwerk. Gedrag van je gebruikers (die jonge kinderen!) is een veel groter risico dan welke technische aangelegenheid ook.

Overigens, iets wat ik zou doen *als* ik het zo zou proberen aan te pakken is de IoT vooral geen internettoegang te geven.

Mbt:
Moet op een AP voor elk VLAN een eigen SSID aangemaakt worden, of kun je dat ook doen op basis van mac adressen? In het eerste geval: hoeveel SSID's kun je op een betaalbaar (150 euro) AP kwijt?
Bij WPA2-PSK kun je per SSID maar een VLAN bedienen, met WPA2-Enterprise kun je in de RADIUS server aangeven welke client op welke VLAN terecht moet komen. Moet je natuurlijk wel een RADIUS server draaien ;)

Er zijn ook proprietary oplossingen om met een enkele SSID verschillende passphrases te gebruiken die elk naar een eigen VLAN wijzen, maar het soort AP dat dat doet is waarschijnlijk niet binnen budget O-)


Mbt aantal SSID's: hangt af van je instellingen. SSID's worden aangekondigd in beacons, per SSID moet je AP een beacon uitzenden en die nemen zendtijd in beslag. Bij default instellingen (100ms beacon interval, min 1Mbps data rate in 2.4GHz en 6Mbps data rate in 5GHz) kost een beacon je in de 2.4GHz 3% van zendtijd en in de 5GHz 0.5% van zendtijd. 3 SSID's kosten je dus 9% van zendtijd in 2.4GHz en 1.5% van zendtijd in 5GHz. Dat is te overzien, maar je kunt het makkelijk verkleinen. Hogere beacon interval instellen kan in bijna elke AP. Tot 300ms zul je normaliter geen problemen merken, daarmee heb je de impact al door drie gedeeld, dus 1% per SSID in 2.4GHz en 0.17% in 5GHz.
Effectiever - en ook op andere vlakken nuttiger - is de minimum data rates verhogen. Hoe hoog mogelijk is hangt af van hoe goed je dekking is, maar 12Mbps zou in beide banden nagenoeg altijd mogelijk moeten zijn. Daarmee heb je de impact in 2.4GHz met factor 12 verlaagd en in 5GHz met een factor 2, waarmee het echt verwaarloosbaar wordt tenzij je met tientallen SSID's gaat werken. Minimum data rates verlagen is een wat zeldzamere feature, maar bijvoorbeeld de al genoemde UniFi APs ondersteunen het. Let op dat soms de beacons alsnog met 1Mbps verstuurd worden, bij UniFi is er een aparte schakelaar om dat vooral niet te doen....

Soittakaa Paranoid!


  • SVMartin
  • Registratie: november 2005
  • Niet online
Het heeft even geduurd, maar met het gezinsleven blijft er weinig hobby tijd over :-)

Inmiddels draait de APU4d4 met pfsense tussen het ziggo modem en de asus rt-68u welke in AP-mode staat. Deze asus verzorgt het wifi op de begane grond, en hier vandaan loopt de kabel naar de 2e verdieping waar een asus ac-56u wederom in AP mode staat. PFSense doet inmiddels een aantal dingen, waaronder uiteraard verkeer van buiten tegenhouden (op 1 forwarding rule van een specifiek source ip adres na), dhcp, dns, pfblockerng-devel, suricata, dynamic dns. Er moet nog wel een hoop gefinetuned worden, en stapje voor stapje wil ik toewerken aan het 'eindresultaat' (voor zover dat bestaat).

Voor wie dit leest en eenzelfde setup voor ogen heeft, dit heeft mij wat tijd gekost:
- bij de APUd4d liep ik er tegenaan dat er een bug in bios/freebsd zit waardoor vanaf de usb stick de installatie van pfsense (zal voor opnsense niet anders zijn vermoed ik) niet wil doorstarten. Workaround is om een (micro)SD kaartje te gebruiken ipv een usb stick.
- wanneer je zo'n asus wifi router gebruikt in AP-mode moet je niet de WAN, maar een LAN poort verbinden met de apu4d4.

@johnkeates Wederom dank voor je input! Ik heb inmiddels dit gevonden over pfsense/opnsense, erg interessant: https://teklager.se/en/pfsense-vs-opnsense/ Misschien had ik toch voor opnsense moeten kiezen, misschien switch ik nog wel eens. Toen ik met de eerste configuratie aan de slag ging kwam ik erachter dat ik niet 1 ip-range vanuit dhcp beschikbaar kon stellen op verschillende interfaces, wat weer leidde tot het inzicht dat zo'n software switch niet handig is voor de performance. Ga ik dus anders doen!

@Frogmen Terechte vraag, zeker om te voorkomen dat iedereen die dit leest denkt dat hij het ook zo ingewikkeld moet maken. Laten we het voorop stellen; ik vind het ook gewoon leuk en dat is voor mij voldoende verantwoording. Dat het awareness/social engineering risico groot is ben ik mij ook van bewust, en ben ook (via werk) wijzer geworden vanuit o.a. ISO27001 certificering. Wat dat betreft zie ik in gasten en de kinderen (en hun vriendjes/vriendinnetjes) juist een groot risico omdat zij nog niet tegen de muur zijn opgelopen :-) En als het zover is zou ik graag zoveel mogelijk het netwerk gesegmenteerd hebben. En ja, dat kan ook voldoende op eenvoudigere manieren, maar hey, daar verdwijnt dan wel de fun factor :)

btw, de hoeveelheid stroom valt relatief erg mee t.o.v. de desktop/scherm van het thuiswerken, de oude plasma tv en de hoeveelheid was die er hier doorheen gaat O-)

@dion_b Dank voor je input over wifi, weer wat geleerd! Zo'n radius server klinkt interessant, ik schrijf hem gewoon bij het wensenlijstje :)

Tot slot, dit lijkt een mooie lijst voor wie denkt dat het veiliger moet maar het simpel wil houden: https://us-cert.cisa.gov/ncas/tips/ST15-002 (mist het guest netwerk en misschien een oplossing over IOT)

En een mooi linkje over netwerksegmentatie thuis: https://www.blackhillsinf...me-network-design-part-2/

En leuke ervaring om te lezen:
https://dontpaniclabs.com...st-network-security-home/
https://dontpaniclabs.com...ork-security-home-part-2/

Ik zal proberen om hier zo af en toe de vorderingen te delen!
Pagina: 1


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True