EdgeRouter4/Netgear/UbiquitiWifi - VLAN opzet - Netwerken

Vraag

dinsdag 19 oktober 2021 17:04

Acties:

0 Henk 'm!

Topicstarter

Goedemiddag allen!

In de afgelopen week zijn wij aangesloten op het glasvezelnetwerk van KPN. Nu is dit gedaan omdat we stabieler internet wouden en we er een leuke korting mee krijgen op de verschillende abonnementen. Deze actie heeft ons gelijk doen besluiten om het netwerk wat beter op te zetten.

Het is de wens om te werken met verschillende VLAN's. Dit omdat we niet willen dat de telefoon in VLAN 10 kan streamen naar een Chromecast in VLAN 30. De wens is om de verschillende apparaten in de VLAN's volledig gescheiden te houden van de apparaten in de andere VLAN's. Onder aan deze post vind je een plaatje van hoe we het graag willen. Daar vind je ook de hardware die we gebruiken.

Alle apparaten die we hebben staan ook in het plaatje
...

Het is mij gelukt om de Experiobox uit de setup te halen en dat allemaal door de Ubiquiti te laten doen. De Experiobox ondersteund geen VLAN's dus vandaar deze actie. Nu lukt het mij alleen niet om de VLAN op te zetten. Ik snap het gewoon niet na vele uren filmpjes/googlen.

Kunnen jullie mij vertellen of deze setup mogelijk is? En wellicht hoe ik dat kan doen? IMAGE deleted for security reasons
...

[ Voor 18% gewijzigd door luckymentrix33 op 22-10-2021 11:25 ]

Alle reacties

dinsdag 19 oktober 2021 17:29

Acties:

0 Henk 'm!

Faifz

Dus laten we zeggen dat Eth1 op de Edgerouter verbindt met je GS116Ev2 switch. Je maakt enkele sub-interfaces aan op Eth1 (Edgerouter).

Eth1 (Geen IP of dergelijke)
Eth1.10 - 192.168.10.1/24 (VLAN ID 10)
Eth1.20 - 192.168.20.1/24 (VLAN ID 20)
Eth1.30 - 192.168.30.1/24 (VLAN ID 30)

De interface die uw GS116Ev2 met de Edgerouter verbindt, configureer je als een trunk. Je tagged VLAN 10 tot en met 30. Dit doe je ook voor de interfaces die de GS116Ev2 en GS105Ev2 met elkaar verbinden. In totaal stel je 3x trunk links in.

Voor de endpoints, zoals je PC's etc, stel je ze in als een untagged (of access) poort voor bv VLAN 10. Die GS105Ev2 in het rood op de tekening, behandel het als een gewone endpoint en op die switch stel je natuurlijk geen trunk in. In principe configureer je niks op de rode GS105Ev2.

Vergeet wel de VLAN ID's niet aan te maken op beide switches.

[ Voor 15% gewijzigd door Faifz op 19-10-2021 17:32 ]

dinsdag 19 oktober 2021 17:47

Acties:

0 Henk 'm!

luckymentrix33

Topicstarter

Oke voor het eerste gedeelte in de edgerouter heb ik de volgende instellingen. De meeste zijn gedaan om alles aan de praat te krijgen voor KPN (zonder experiabox). De drie gearceerden zijn de VPN's, Is alles daarmee op de edgerouter goed ingesteld? **Image deleted for security reasons**

Op de EdgeRouter heb ik ook DHCP ingesteld voor 10, (hetzelfde voor 20 en 30)

Afbeeldingslocatie: https://tweakers.net/i/3p9CJgacQPnZZOnd96nzNvb35TI=/800x/filters:strip_exif()/f/image/gbevElISXMOlWTv8Sl5ZOOtW.png?f=fotoalbum_large

[ Voor 45% gewijzigd door luckymentrix33 op 22-10-2021 11:24 ]

dinsdag 19 oktober 2021 19:09

Acties:

0 Henk 'm!

luckymentrix33

Topicstarter

Image deleted for security reasons

[ Voor 104% gewijzigd door luckymentrix33 op 22-10-2021 11:24 ]

dinsdag 19 oktober 2021 20:27

Acties:

0 Henk 'm!

Faifz

luckymentrix33 schreef op dinsdag 19 oktober 2021 @ 17:47:
Oke voor het eerste gedeelte in de edgerouter heb ik de volgende instellingen. De meeste zijn gedaan om alles aan de praat te krijgen voor KPN (zonder experiabox). De drie gearceerden zijn de VPN's, Is alles daarmee op de edgerouter goed ingesteld?

Sub-interfaces zijn prima. Alleen zou ik het adres op de parent interface (eth1) weghalen wanneer alles zou werken. Persoonlijk heb ik nooit VLAN's geconfigureerd op netgear switches, maar kan je wel wat richtlijnen geven als je VLAN's nog niet zou begrijpen.

Tagged = Trunk en kan meerdere VLAN ID's bevatten dus bv een range van VLAN 10-100 (meestal tussen routers en switches)
Untagged = Access en bevat enkel alleen maar een single VLAN ID (meestal gebruikt voor endpoints)

Een interface kan ofwel een trunk link zijn of een access poort. Niet beide.

Je komt waarschijnlijk ook die term PVID voor, wat ik erg belachelijk vind. Als je untagged/access VLAN 10 doet, stel je die PVID ook in als 10.

dinsdag 19 oktober 2021 20:29

Acties:

0 Henk 'm!

luckymentrix33

Topicstarter

Heb op dit moment alle poorten getest op de Netgear GS116Ev2 getest en de IP-toewijzing lijkt goed.

Op poorten 3 tot en met 15 krijg ik IP adres 192.168.20.x
Op poort 16 krijg ik ip adres 192.168.30.x

Er is alleen iets wat nog niet werkt: op het 30 VLAN kan ik bij apparaten op de 20 VLAN. Moet daar nog iets voor ingesteld worden? Als deze switch werkt ga ik testen op de Netgear GS105Ev2

Instellingen tot nu toe op de GS116Ev2 :

Afbeeldingslocatie: https://tweakers.net/i/f_1nbwU1B3jOcBICOkxp4BuCXV0=/800x/filters:strip_exif()/f/image/RMQ1yx5CqjUrySpboNDNJkcw.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/nGqmxSyIVjqdpB4OuqxlK8R4IcE=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/vGdNg3CVgDEdZnLU7eYJyFN3.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/3pjXAo_q63u3X5rQfe6yl9EKALo=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/37R9cw2Yi02dsA0wIwG3jleE.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/3S5OtQwAoT3AcktvHy_qbv4kz1Q=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/XoWHTJXXodUYHrAO49cc8Ayl.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/zfvbv9d9EWta_6mBiIwmtLsZlcE=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/rXunk6ikSsXvW5dgkSeKbsgA.png?f=user_large

dinsdag 19 oktober 2021 20:57

Acties:

0 Henk 'm!

Faifz

luckymentrix33 schreef op dinsdag 19 oktober 2021 @ 20:29:
Er is alleen iets wat nog niet werkt: op het 30 VLAN kan ik bij apparaten op de 20 VLAN. Moet daar nog iets voor ingesteld worden?

Omdat traffic van VLAN 30 gerouted wordt naar VLAN 20. VLAN's bieden enkel alleen maar L2 isolatie en wanneer je er een router (L3) toevoegt valt die isolatie helemaal weg. Je stelt gewoon firewall regels in op de edgerouter logischerwijze.

[ Voor 5% gewijzigd door Faifz op 19-10-2021 20:57 ]

dinsdag 19 oktober 2021 21:17

Acties:

0 Henk 'm!

luckymentrix33

Topicstarter

Hmm, hoe kan ik dat dan wel regelen?

dinsdag 19 oktober 2021 21:26

Acties:

0 Henk 'm!

_trickster_

Je zou eens moeten kijken naar je Firewall regels in de edge router op je Eth1.10 eth1.20 etc

Daar blokeer je de traffic mee.

Bijvoorbeeld op in eth1.10 :
10.10.*.*/22 accept all
10.0.0.0/8 drop

dinsdag 19 oktober 2021 21:32

Acties:

+1 Henk 'm!

Will_M

Intentionally Left Blank

Wat heeft de keuze van het merk te maken met de opzet van VLAN's? Als je die 'dingen' alleen maar aanmaakt omdat je er ooit wat over gelezen hebt dan lijkt me de keuze niet zo heel erg logisch.

Boldly going forward, 'cause we can't find reverse

dinsdag 19 oktober 2021 21:50

Acties:

0 Henk 'm!

luckymentrix33

Topicstarter

Will_M schreef op dinsdag 19 oktober 2021 @ 21:32:
Wat heeft de keuze van het merk te maken met de opzet van VLAN's? Als je die 'dingen' alleen maar aanmaakt omdat je er ooit wat over gelezen hebt dan lijkt me de keuze niet zo heel erg logisch.

Begrijp je vraag in deze niet helemaal, kan je die verder toelichten?

dinsdag 19 oktober 2021 22:12

Acties:

0 Henk 'm!

Will_M

Intentionally Left Blank

luckymentrix33 schreef op dinsdag 19 oktober 2021 @ 21:50:
[...]

Begrijp je vraag in deze niet helemaal, kan je die verder toelichten?

Je maakt nu keurig Virtuele Netwerken (VLAN's) aan welke het Gateway Adres op één en de zelfde L3-Router hebben liggen. Als je niets doet met een Firewall dan routeert dat L3 apparaatje alles gewoon net alsof je één groot subnet hebt.

Boldly going forward, 'cause we can't find reverse

dinsdag 19 oktober 2021 22:39

Acties:

0 Henk 'm!

luckymentrix33

Topicstarter

Will_M schreef op dinsdag 19 oktober 2021 @ 22:12:
[...]

Je maakt nu keurig Virtuele Netwerken (VLAN's) aan welke het Gateway Adres op één en de zelfde L3-Router hebben liggen. Als je niets doet met een Firewall dan routeert dat L3 apparaatje alles gewoon net alsof je één groot subnet hebt.

Haha daar ben ik nu ook achter, duurde mij alleen een paar uur langer. Ben mij nu aan het verdiepen in de FIrewall policies en firewall/NAT groups zoals Trickster schreef.

_trickster_ schreef op dinsdag 19 oktober 2021 @ 21:26:
Je zou eens moeten kijken naar je Firewall regels in de edge router op je Eth1.10 eth1.20 etc

Daar blokeer je de traffic mee.

Bijvoorbeeld op in eth1.10 :
10.10.*.*/22 accept all
10.0.0.0/8 drop

Iemand ideeën welke regels ik allemaal moet instellen? De lijst hierboven is niet compleet denk ik?

dinsdag 19 oktober 2021 22:39

Acties:

0 Henk 'm!

_trickster_

Will_M schreef op dinsdag 19 oktober 2021 @ 22:12:
[...]
Je maakt nu keurig Virtuele Netwerken (VLAN's) aan welke het Gateway Adres op één en de zelfde L3-Router hebben liggen. Als je niets doet met een Firewall dan routeert dat L3 apparaatje alles gewoon net alsof je één groot subnet hebt.

Precies dit,
kijk anders even naar mijn vorige post, als je daar wat van snapt moet het je verder op weg helpen.
Als je nog niet bekend bent met de Firewall rules zou ik je eventueel een schop in de goede richting kunnen geven @luckymentrix33

dinsdag 19 oktober 2021 22:42

Acties:

0 Henk 'm!

luckymentrix33

Topicstarter

_trickster_ schreef op dinsdag 19 oktober 2021 @ 22:39:
[...]

Precies dit,
kijk anders even naar mijn vorige post, als je daar wat van snapt moet het je verder op weg helpen.
Als je nog niet bekend bent met de Firewall rules zou ik je eventueel een schop in de goede richting kunnen geven @luckymentrix33

Please kick me? $_/-\o_$

Vind op internet veel handleidingen maar die zijn allemaal met een webserver de toegang tot websites levert. Ik heb geen webserver wil alleen "inter vlan communicatie limiteren".

[ Voor 18% gewijzigd door luckymentrix33 op 19-10-2021 22:46 ]

woensdag 20 oktober 2021 12:33

Acties:

0 Henk 'm!

Faifz

luckymentrix33 schreef op dinsdag 19 oktober 2021 @ 22:42:
[...]

Please kick me? $_/-\o_$
Vind op internet veel handleidingen maar die zijn allemaal met een webserver de toegang tot websites levert. Ik heb geen webserver wil alleen "inter vlan communicatie limiteren".

Firewall regels worden verwerkt van boven naar onder. De eerste regel die een match is voor die bepaalde traffic wordt gebruikt en al die andere regels zijn dan niet meer relevant.

Ik denk dat jij gewoon traffic van VLAN 10 naar VLAN 30 wil blokkeren. Als je het in beide richtingen wil, ga je 2x regels moeten toevoegen. Maak de volgende regel aan:

Source: 192.168.10.0/24
Destination: 192.168.30.0/24
Action: drop

En dan een andere regel:
Source: 192.168.30.0/24
Destination: 192.168.10.0/24
Action: drop

Heel belangrijk: plaats deze twee regels helemaal bovenaan. De rule order is belangrijk zoals ik eerder heb gezegd.

woensdag 20 oktober 2021 15:28

Acties:

0 Henk 'm!

Frogmen

Je weet toch hopelijk wel dat jouw dure AP's ook meerdere SSID's met VLAN ondersteunen. Wat ik mij vooral afvraag waarom wil je dit en loop je niet heel snel tegen zaken aan die straks niet meer werken.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

woensdag 20 oktober 2021 23:40

Acties:

0 Henk 'm!

luckymentrix33

Topicstarter

Frogmen schreef op woensdag 20 oktober 2021 @ 15:28:
Je weet toch hopelijk wel dat jouw dure AP's ook meerdere SSID's met VLAN ondersteunen. Wat ik mij vooral afvraag waarom wil je dit en loop je niet heel snel tegen zaken aan die straks niet meer werken.

Als ik alleen VLAN instel op die AP's dan werkt het toch niet? De router en switches moeten toch ook ingesteld worden? En op sommige switches zitten niet alleen wireless apparaten, maar ook bekabelde..

Ik ben dus vooral op zoek naar verschillende geïsoleerde segmenten. Dus verschillende segmenten die wel internettoeggang hebben maar niet elkaar kunnen benaderen.

[ Voor 13% gewijzigd door luckymentrix33 op 20-10-2021 23:41 ]

woensdag 20 oktober 2021 23:50

Acties:

0 Henk 'm!

Frogmen

Klopt maar in je tekening staan 5 AP's getekend maar of je hebt een heel erg groot huis of je doet begrijpt het niet. Je kan ook op de andere Switches toch Vlan's instellen? Volgens mij snap je het verschil niet helemaal tussen het fysieke LAN en het virtuele LAN.
Als niet al je switches managed zijn en VLAN's ondersteunen zou ik daar eerst in investeren. En nog even verder inlezen in het hele principe.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

vrijdag 22 oktober 2021 11:24

Acties:

0 Henk 'm!

luckymentrix33

Topicstarter

Daar doe je een aantal verkeerde aannames. Tuurlijk snap ik het verschil tussen fysieke lan en virtuele lan.
Het is inderdaad een groot huis met een grote garage en grote buitenruimte.

En alle switches zijn al managed (zoals je kon lezen uit de modelnummers).

Het probleem zat hem in de sub-interfaces. Deze waren niet prima. Stonden op .1 ipv .254. Inmiddels alles werkend zoals ik het wens.

Pagina: 1

Reageer