Toon posts:

Netwerk en wifi selectief scheiden

Pagina: 1
Acties:

dinsdag 30 maart 2021 14:29

Acties:
  • 0 Henk 'm!
  • Kaastosti
  • Registratie: Juni 2000
  • Nu online

Kaastosti

Vrolijkheid alom!

Topicstarter
Om maar meteen met de echt vraag te beginnen:

Naar welke techniek moet ik kijken om meer grip te krijgen op mijn toch enigszins aan elkaar geknoopte netwerk? Met wat duwtjes in de juiste richting ga ik daar vast uitkomen, maar weet niet waar te beginnen.

En dan wat context:

Niet alle apparaten die netwerk en internet toegang kunnen krijgen, hebben dat ook echt nodig. In veel gevallen is dat zelfs niet wenselijk, in ieder geval niet zonder grenzen. Vanaf mijn desktop wil ik overal bij, maar de Honeywell thermostaat heeft echt geen toegang tot mijn server nodig.

Tijd dus om de boel eens goed op te zetten. Al jaren draai ik DD-WRT op een router (Linksys WRT3200ACM), waar verschrikkelijk veel mee kan, maar waar ik slechts een klein deel van begrijp. Het goed opzetten van een netwerk is meer dan een paar kabeltjes prikken ;)

Om er een praktijk voorbeeld in te gooien... ik heb Shelly switches. Prachtig spul, dat op mijn lokale netwerk moet werken, maar (vind ik) echt geen internet toegang nodig heeft. Een wifi netwerk met alleen lokaal toegang (en zelfs dan eigenlijk beperkt).

Versimpeld ziet mijn netwerk er op dit moment zo uit:
Afbeeldingslocatie: https://tweakers.net/i/YjLPcHMFxl_cMTwfP3CqcUknvpI=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/ItA8tJmr5NcfRjsp9kFhR1aY.jpg?f=user_large
Aan de overige poorten van de switches (Netgear 8 en 16 poort), zitten alle LAN poorten in huis en een server.

De wifi punten zijn van Ubiquiti UniFi units die ik via de controller software zo heb ingericht dat ze drie SSID's de wereld in sturen. Enkel met een wachtwoord, nu nog zonder inperkingen. Om de configuratie niet moeilijker te maken dan nodig staat Wifi op de router zelf uit.

Is wat ik wil met deze setup eigenlijk wel mogelijk, of moet ik dan toch echt met dedicated VLAN poorten op m'n router gaan werken? Kan dit ook softwarematig zonder al het verkeer onder een vergrootglas te hoeven leggen?

Een vergissing is menselijk, maar om er echt een puinhoop van te maken heb je een computer nodig.

dinsdag 30 maart 2021 14:38

Acties:
  • 0 Henk 'm!
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 06-05 22:31

jvanhambelgium

Je hoeft helemaal niet met VLAN's aan de slag te gaan om te bekomen wat je wil.

1) Voor je "Internet" SSID deel je gewoon via DHCP een bepaalde IP-range uit ? (vb 192.168.1.0/24) met de nodige zaken als DNS-servers etc.

2) Voor je "lokaal" SSID kan je ook DHCP doen vb 192.168.2.0/24) maar hier geef je geen optie "router" / "gateway" mee. Toestellen kunnen dus alvast niet naar Internet.
Veiligheidshalve kan je op de WRT nog filteren : source=192.168.2.0/24=drop

3) Voor je "Guest" SSID kan je op de Unify sowieso al zelf beperkingen zetten. Je kan voor de Guest zelfs gewoon uit de "internet" range 192.168.1.0/24"' uitdelen, enkel nu wat beperkingen zetten.
Da's eigenlijk ni meer als een iptables op je AP's die lokaal op de AP reeds gaat filteren, maar wel voldoende eigenlijk.


Bovenstaande is wat simpel weergegeven en geen exact leidraad, eerder een idee dat je kan volgen.

dinsdag 30 maart 2021 14:44

Acties:
  • 0 Henk 'm!
  • Kaastosti
  • Registratie: Juni 2000
  • Nu online

Kaastosti

Vrolijkheid alom!

Topicstarter
Dank! Simpel is goed, dan kan ik het vervolgens zelf zo lastig gaan maken als ik wil :)

Dus filtering puur op basis van IP range. Dat geeft in ieder geval een stuk meer flexibiliteit, daarmee kan ik ook nog wat andere specifieke(re) smaakjes introduceren. En dan me weer eens verdiepen in iptables, dat is een beetje weggezakt.

Een vergissing is menselijk, maar om er echt een puinhoop van te maken heb je een computer nodig.

dinsdag 30 maart 2021 18:23

Acties:
  • 0 Henk 'm!
  • Kaastosti
  • Registratie: Juni 2000
  • Nu online

Kaastosti

Vrolijkheid alom!

Topicstarter
jvanhambelgium schreef op dinsdag 30 maart 2021 @ 14:38:
2) Voor je "lokaal" SSID kan je ook DHCP doen vb 192.168.2.0/24)
Dit lijkt toch niet helemaal lekker te werken.

Mijn router geeft adressen uit in de 192.168.1.0/24 range.
Vervolgens heb ik nu in de UniFi controller twee netwerken.
A - Een DHCP Relay voor 192.168.1.0/24
B - Een DHCP Server voor 192.168.2.0/24 voor alleen lokaal

Wifi "internet" is onderdeel van netwerk A
Wifi "lokaal" is onderdeel van netwerk B

Nu zie ik in de controller bij de clients dat alles binnen netwerk A gewoon netjes een IP krijgt. Ook static IP's die vanuit de router worden uitgedeeld blijven gewoon werken.

Echter alle clients die op netwerk B zitten krijgen geen IP toegewezen. De AP zelf heeft natuurlijk vanaf de router een IP gekregen. Kan die vervolgens zelf doodleuk in een ander subnet IP adressen uit gaan delen? Ik zie dat ze wel verbinden met netwerk B, maar daar houdt vervolgens alles op.

Als ik bij de 'Fixed IP' optie voor een device kijk, lees ik dat specifiek dat alleen kan met een USG. Geldt zoiets dan wellicht ook voor een functie als DHCP, ook al staat dat nergens?

Een vergissing is menselijk, maar om er echt een puinhoop van te maken heb je een computer nodig.

dinsdag 30 maart 2021 19:55

Acties:
  • 0 Henk 'm!
  • Faifz
  • Registratie: November 2010
  • Laatst online: 06-05 18:42

Faifz

jvanhambelgium schreef op dinsdag 30 maart 2021 @ 14:38:
Je hoeft helemaal niet met VLAN's aan de slag te gaan om te bekomen wat je wil.
Tuurlijk wel. Het probleem ligt aan het feit dat je maar 1 broadcast domein hebt. DHCP begint met een broadcast message en aangezien er 2x DHCP servers zijn, is het een kwestie van welke zal antwoorden.

Normaal stel je default gateways in per interface/poort op een router, dus in principe zijn het layer 3 interfaces. Maar met consumenten routers zijn de poorten eerder een switch, dus een layer 2 interface. Met layer 3 interfaces kan je bv op poort 1 een default-gateway instellen van 192.168.1.1/24 en op poort 2 192.168.2.1/24. In dat geval hang je een aparte switch achter elke poort van de router en zo heb je alsnog twee verschillende broadcast domeinen zonder VLAN's.

dinsdag 30 maart 2021 20:49

Acties:
  • 0 Henk 'm!
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 06-05 22:31

jvanhambelgium

Een alternatief dan : zorg dat je al je apparaatjes van via DHCP gewoon een vast IP geeft gebaseerd op hun MAC adres. (doe ik ook).
Voorzie dan gewoon de nodige filtering/FW op je DD-WRT.

En hou het simpel : voorzie 192.168.1.0/24 waarbij je de DHCP "pool" vb van IP 1 -> 100 ofzo doet.
Zet al de rest "vast" gebaseerd op hun MAC van 110 -> 253

De SSID "Internet" is een gewoon standaard WLAN netwerk, WPA2/3. DHCP zal ofwel iets uit de pool geven of fix IP geven als je de MAC's erin gestopt hebt.

Vervolgens op Unify, de "SSID Gasten" die "Open" is (geen WPA2) maak je gewoon met "post-authorization" restrictions op 192.168.1.0/24 , dus de "Guest" kunnen al nergens aan je interne spulletjes. Ja DNS en DHCP gaan er altijd nog door etc. Ze zullen via DHCP, aangezien je hun MAC's niet weet een "pool" IP krijgen. Dit filter je echter niet af in DD-WRT dus ze mogen op Internet. (na authenticatie hé, ik veronderstel dat Guest toch enige vorm van toegangscontrole heeft)

Voor die "SSID Lokaal" maak je ook een SSID met WPA2 key aan, ook type "apply guest policies"
Echter ook hier weer post-autho filter zodat de "SSID Lokaal" dingetjes zoals je thermostaat niet naar interne dingen hosts kunnen. Doen ze poging om "Internet" te bereiken filter je dat gewoon af op de DD-WRT aangezien je perfect weet welke IP's ze hebben.(aangezien je ook de MAC's weet en MAC <> IP mappings voorzien hebt)
Een WPA2-key is het enige dat de buren vb zal tegenhouden om op deze SSID te verbinden.


Toegegeven, scenario's hierboven zijn wat verder gezocht, maar toch denk ik dat het mogelijk is de doelstelling te bereiken zonder VLAN te moeten gebruik.Ik heb in de praktijk nog niet getest een SSID te gebruiken met WPA2 sleutel maar wel met "apply guest policies" opties wat je toelaat wat IPtables filters te zetten om ze niet op je lokale netwerk toe te laten.


EDIT : Je kan precies maar 1 Guest-policy zetten, dus als je huidige "Gasten" netwerk zo'n mooie HTML-login pagina heeft gaat het hier niet lukken op deze manier. Is je "gasten" lan eerder gewoon WPA2 sleuteltje dat je aan de gasten meegeeft kan het wel eens werken. Je zet op je guest-policy dan gewoon "no authentication" (want die dwing je af via de WPA2 key)

[ Voor 8% gewijzigd door jvanhambelgium op 30-03-2021 21:05 ]

dinsdag 30 maart 2021 21:20

Acties:
  • 0 Henk 'm!
  • Kaastosti
  • Registratie: Juni 2000
  • Nu online

Kaastosti

Vrolijkheid alom!

Topicstarter
Haha gelukkig, het lag niet aan mij dat dit niet lekker in elkaar paste. Op de router zelf kan ik met want iptables aanpassingen inderdaad de LAN poorten splitsen, maar daarmee maak ik het mezelf wel heel lastig. Helemaal als ik vervolgens met een AP op 1 poort verschillende SSID's uit wil zenden die dan in hun eigen DHCP range moeten vallen.

Het is wellicht niet heel dynamisch of mooi, maar dan is de workaround met vaste IP's op basis van MAC adres een werkende optie. En uiteraard WPA2, want anders hoeft iemand alleen maar een MAC adres te klonen en klaar.

Het "gasten" netwerk van UniFi is een vreemde eend in de bijt, omdat ze daar inderdaad een mooi portaaltje omheen hebben gebouwd. Dat gaan we toch niet gebruiken, dan net zo goed een normaal WPA2 beveiligd netwerk van maken. Het "post-authorization" stukje moet ik me nog even in verdiepen, maar dan heb ik in ieder geval een richting.

Een vergissing is menselijk, maar om er echt een puinhoop van te maken heb je een computer nodig.

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq