Twee WLAN's met verschillende DNS servers

Ik probeer het volgende voor elkaar te krijgen:



Met de pijltjes probeer ik duidelijk te maken:

- Alle devices op WLAN 1 kunnen 'praten' met devices op WLAN 2 en vice versa;
- Alle devices op LAN kunnen praten met devices op WLAN 1 en WLAN 2, en vice versa;
- Alle devices op LAN, WLAN 1 en WLAN 2 hebben toegang tot WAN;

Het gaat er dus puur om dat devices op WLAN 1 en WLAN 2 naar respectievelijk een DNS op het WAN en een DNS op het LAN (pihole adblocker) worden gestuurd, verder alles 'normaal'.

Wat heb ik:
- zojuist twee wireless access points aangeschaft (Unifi AC Lite) waarmee ik verschillende SSID's kan 'hangen' aan VLAN ID's;
- een router die ik kan flashen met custom firmware waarna ik e.e.a. met VLAN's moet kunnen doen.

Wat heb ik niet:
- enig verstand van VLAN's en de configuratie daarvan.

Ik vermoed dat de sleutel om bovenstaande config te realiseren wel in de juiste setup van VLAN's ligt? Is het mogelijk mij een uitleg te geven van de juiste setup (schematische setup)? Is hier nog verdere informatie voor nodig? (Router heeft 1 WAN poort en 4 gebruikte LAN poorten, voor wat het waard is. Wireless gedeelte van de router gaat uit zodra de twee nieuwe WAP's er aan hangen)

Stap 2, implementatie hiervan in mijn hard- en software, probeer ik dan zelf te doen.

Ik heb gegoogled uiteraard maar kom er nog niet uit.

Router: ASUS RT AC68U, firmware wordt DD-WRT of FreshTomato (afhankelijk van wat de uitleg gaat zijn, hoop ik dat 1 van deze twee de juiste mogelijkheden biedt. Merlin (huidig) gaat t niet worden obv wat ik zo snel heb kunnen googlen).

Een van de twee WAP's komt aan een unmanaged switch te hangen die op zijn beurt weer naar de router gaat. Ik begrijp dat ik deze door een managed switch zal moeten vervangen.... maar laat ik het eerst voor 1 WAP (die direct aan de router hangt) voor elkaar proberen te krijgen). Voor de duidelijkheid: beide SSID's zullen op beide WAP's bestaan.

EDIT: mbt Merlin moet er eea via SSH -> robocfg het eea te doen zijn, maar dan weet ik nog steeds niet het schema / idee dat ik probeer te implementeren.

[ Voor 47% gewijzigd door clem op 16-05-2021 15:46 ]

Brahiewahiewa schreef op zondag 16 mei 2021 @ 17:39:
[...]

Die externe DNS van WLAN1 gaat natuurlijk nooit de hostnames op WLAN2 kunnen resolven.
Dus daar moet je nog iets voor verzinnen, of accepteren dat je alleen op ip-niveau kunt connecten

Daar had ik niet aan gedacht, maar gaat geen probleem zijn. Op WLAN1 zit een device die per ip address wordt benaderd, op LAN bedraad een paar per ip adres en een aantal VM's die per hostname worden benaderd.... Maar die worden nu ook resolved ongeacht of ik wel of niet van pihole gebruik maak? Zal we per ongeluk iets ingesteld hebben cq van een knop afgebleven zijn waardoor dat werkt.

Inmiddels draait FreshTomato op de router.

Ik kan in de GUI van FreshTomato VLAN's aanmaken, en verschillende LAN's met eigen DHCP pool maar gek genoeg niet per LAN (althans niet in de GUI) een DNS instellen. Standaard kan alleen per WAN een DNS ingesteld worden.

Wat ik zou kunnen doen (gebruikmakend van alleen de GUI):

Op de router:
LAN 1 geen adblock: IP x.x.1.1 DHCP pool x.x.1.2-254
LAN 2 adblock: IP x.x.2.1 DHCP pool x.x.2.2-254
WAN: DNS die verwijst naar de pihole
VLAN vid 10: gebridged naar LAN1, getagged op poorten waar WAP binnenkomt (al dan niet met nog een switch ertussen)
VLAN vid 20 gebridged naar LAN2, getagged op poorten waar WAP binnenkomt (al dan niet met nog een switch ertussen)

Op de twee WAP's:
SSID "x", VLAN vid 10 toekennen
SSID "x_adblock" VLAN vid 20 toekennen

Op de managed switch ( <- heb ik nog niet) waar 1 van de 2 WAP op aangesloten zal zijn:
VLAN vid 10 en 20 taggen op poorten waar de WAP op aangesloten is en op de poort die naar de router gaat?

Op pihole: group policy die voor alle IP's met x.x.2.2-254 de adblocker activeert, alle overige IP adressen wordt geen gebruik gemaakt van de block-lijsten.

1. Gaat dit werken?
2. Dit is obv mijn beperkte kennis niet hoe het 'heurt'. De pi loopt om onduidelijke redenen nog wel s vast, en dan ligt meteen al mn verkeer stil. Het liefst regel ik in de router zelf per VLAN een DNS... met firewall en/of commandline instructies zou dit mogelijk moeten zijn maar geen idee wat ik dan moet doen, in de eerste plaats omdat het 'grote plaatje' van wat ik dan moet inrichten en aanmaken aan VLAN's, bridges, trunk ports, tagging etc me nog niet duidelijk is); Wat is nu het 'grote' plaatje?
3. Hoe zorg ik dat apparaten op de verschillende subnetten x.x.1.x en x.x.2.x met elkaar kunnen blijven praten? Zodat ik met een telefoon die op x.x.2.x zit wel nog de Volumio die op x.x.1.x zit kan bedienen bijvoorbeeld.

Dank voor je reactie Faitz.

De AP's komen op verschillende plekken in het huis te hangen. Ik wil immers niet op zolder alleen WiFi zonder ads (of geblokte sites, whatever) , en op de begane grond met😬

Per WAP gaan er dus twee vlans het LAN op richting de router. Twee ssid's in het WLAN (dus per WAP 2xssid, niet 1 ssid per WAP) , 1 VLAN per ssid.

In de standaard asus firmware is er niets aan VLAN's in te stellen. In de Freshtomato GUI wel. Ik hoor wat je zegt over dhcp/dns, maar het is toch echt zo dat in de Freshtomato GUI de dns op WAN niveau wordt bepaald, en de dhcp pool per LAN. Met extra configuraties in textvelden in de GUI en/of via SSH moet het alsnog mogelijk zijn de dns per lan in te stellen. Misschien moet ik op zoek naar een firmware met een GUI waar het wel allemaal in kan.

Waar ik het meest mee geholpen ben is uitleg over hoe de configuratie die ik probeer te bewerkstelligen er uit ziet, in text of schemavorm, die ik dan weer kan vertalen naar een setup in een router. Ik had gehoopt dat dat voor de netwerk experts hier appeltje eitje zou zijn😊 maar misschien snap ik er zo weinig van dat mijn vraag ook niet duidelijk genoeg is.

Inmiddels voor een deel opgelost, als test met de wifi van de router zelf (dus nog niet met de WAP's) werkt dit. Heb nu 2 SSID's. SSID 1 = ongefilterd, SSID 2 = gefilterd door pihole. Hopelijk lukt het me (tips welkom) om deze config aan te passen van (router + router wifi) naar (router + 2 WAP's die beiden SSID 1 en 2 uitzenden).

In Merlin had dit ook gekund met SSH en commandline gekunstel, maar dan had ik de setup in de GUI nergens terug kunnen vinden. In freshtomato vergt dit ook nog de nodig 'custom' config teksten, maar daarvoor zijn gewoon velden aanwezig in de GUIl.

In freshtomato, obv dit reddit draadje.

WAN: automatische DNS (dus van buiten)

LAN0 br0 192.168.178.1 dhcp pool 192.168.178.2-254
LAN1 br1 192.168.188.1 dhcp pool 192.168.188.2-254

SSID 1 : naar br0
SSID 2 : naar br1 (<- dit in menu Advanced -> Virtual wireless)

Pi-hole heeft statische lease op br0, 192.168.178.161

Advanced -> DHCP/DNS ->

• "intercept DNS port" = AAN
• Dnsmasq custom config = "
  code:
  

  1	dhcp-option=br1,6,192.168.178.161

  " - hiermee zeg ik kennelijk dat alles op br1 als DNS server de pihole moet gebruiken. Weet niet zeker wat de intercept doet.

Administration -> Scripts -> Firewall:
- als ik het goed begrijp, sommige apps hebben hardcoded DNS kennelijk, dit stukje code zorgt ervoor er altijd van de pihole gebruik wordt gemaakt op br1?

Advanced -> LAN Access ->

• src LAN0 (br0) dst LAN1 (br1) = aan,
• src LAN (br1) dst LAN0 (br0) = aan.

Dit zorgt ervoor dat telefoon op SSID 2 (pihole dns) en daarmee op br1, nog kan praten met bijv. Volumio op br0.

TO DO:
- 1 vlan van de WAP's bridgen naar br0
- 1 vlan van de WAP's bridgen naar br1
- zorgen dat de vlan goed 'binnenkomen' op de router. Tussen een van de twee WAPs en de router zit nog switch, dit zal een managed switch moeten worden. Iets met taggen, trunken?
- wireless op de router uitzetten

[ Voor 13% gewijzigd door clem op 19-05-2021 17:41 ]