Multi SSID vs VLAN

De meeste access points/wifirouters die meerdere SSIDs kunnen uitzenden verbinden deze SSIDs allemaal met hetzelfde netwerk, of doen hooguit een gastnetwerk. Zulke gastnetwerken werken technisch waarschijnlijk wel met VLANs, maar niet op een manier die je zelf eenvoudig kunt instellen of een manier die werkt wanneer de wifirouter niet als router wordt gebruikt.

Met de Merlin firmware voor Asus apparatuur is het in ieder geval wel mogelijk om SSIDs aan specifieke VLANs te koppelen in AP modus, maar dit moet je wel via de CLI doen en zelf scripten/handmatig opnieuw instellen na reboot.

Het is dus zeker aan te raden om te kijken naar APs die expliciet aangeven VLANs te ondersteunen zoals het rijtje dat je zelf al noemt.

Sppak schreef op dinsdag 9 november 2021 @ 11:50:
Ik heb van Netgear nog een wnr3500lv2 en r6220 en van Asus de 87u liggen. Nu dacht ik daar misschien met dd-wrt/Merlin aan de slag te gaan, maar ik heb daar geen ervaring mee of daar vlan op wifi in zit. Hebben jullie daar ervaring mee? Anders moet ik over naar nieuwe AP's met vlan ondersteuning.

Standaard zal dat vermoedelijk niet werken. Met OpenWRT / DDWRT moet je zoiets prima kunnen instellen. Ik had dat althans een paar jaar geleden draaien op twee TP-link routers met ddWRT erop.

@Sppak Ik kan niet in je portemonnee kijken maar ik zou zelf gewoon de juiste hardware kopen die vlans en meerdere netwerken ondersteund out of the box.
Alternatieve firmware op je routers kan prima werken maar je bent erg afhankelijk van de devs die het ontworpen hebben en of het juist werkt per merk/hardware.

Zelf gebruik in Unifi hardware en het werkt allemaal prima met een side note dat IPTV beetje tricky kan zijn.

Belangrijkste is dat wel dat zowel de (W)ap en de router Vlans ondersteunen anders werkt het niet als je met Vlans.
Vraag is ook waarom wil je met Vlans gaan werken? Als je netwerken wil scheiden op basis van veiligheid dan pntkom je niet aan de Firewall regels, want Vlans alleen voorkomt niet dat verkeer niet met elkaar kan babbelen.

En eventueel je switches zullen ook vlans moeten ondersteunen.

Een router op een apart systeem draaien opnsense , en dan switches en aps voor de wifi. Dan heb je een mooie sluitende oplossing

[ Voor 51% gewijzigd door Valkyre op 09-11-2021 19:19 ]

Ik heb niet zo heel veel moeite om met verschillende vendoren te werken, maar als je echt naar 1 ecosysteem wilt wat in zijn geheel singlepane geconfigureerd en beheerd kan worden kom je bij fortinet uit (fortigate / fortiswitch / fortiap)

kosz schreef op woensdag 10 november 2021 @ 11:45:
Ik heb niet zo heel veel moeite om met verschillende vendoren te werken, maar als je echt naar 1 ecosysteem wilt wat in zijn geheel singlepane geconfigureerd en beheerd kan worden kom je bij fortinet uit (fortigate / fortiswitch / fortiap)

Er zijn er wel meer, van Mikrotik tot en met HPE (Aruba) en Cisco (Meraki).

Zoals altijd komt het neer op de trio prijs, functionaliteit en gemak. Choose any two

Edit: kijk ook eens naar TP-Link Omada. Zit heel erg in zelfde vijver te vissen als Ubiquiti. Ontwerpkeuzes soms wat minder gelikt, maar in ieder geval een aanzienlijk groter bedrijf erachter voor support.

[ Voor 17% gewijzigd door dion_b op 10-11-2021 12:21 ]

Sppak schreef op dinsdag 9 november 2021 @ 20:06:
Ik wil inderdaad zaken gaan scheiden, zoals IoT zaken niet bij de rest hebben etc. Daarom staan mijn zinnen ook al redelijk op het hele spul vernieuwen.

Ik heb momenteel pfsense draaien sinds enkele weken, maar ben er nog niet over uit of het blijvend is. Want dan zit je uiteindelijk nog steeds met verschillende zaken, ondanks dat het erg krachtig is.

Unifi blijft aanlokkelijk, maar ik blijf huiverig voor de issues en twijfelachtige bedrijfsvoering. De andere merken die ik noemde, daar heb ik geen router/firewall kunnen vinden. Of dat nou aan hun cloud constructie ligt weet ik niet. Maar gevoelsmatig heb ik het liefste alles lokaal draaien.

Ik had exact dezelfde wens; scheiden van eigen verkeer, kids, IoT/Domotica en gasten. Ik heb een aantal TPLink EAP225/245 in huis gehaald voor meerdere SSID's naar aparte vlans uit te koppelen. Accesspoints hangen aan een TPlink managed switch (EUR 35) en uiteindelijk een EdgerouterX om alles te koppelen. Met accesslists houdt die de vlans uit elkaar.

Geen centraal management dus, maar na installatie weinig noodzaak om 'eraan te zitten'. Daarnaast wil ik de vrijheid te kunnen mixen met apparatuur van verschillende leveranciers als ik dat wil.

Voelde jaren terug als behoorlijk overkill; vandaag de dag erg blij mee gezien we steeds meer apparaten in huis hebben . . .

Tja wat is mixen. Opnsense/TP-Link managed switches en ubiquiti wifi access points. Het was even uitzoeken, want 1e keer vlans etc. Maar nu is het prima te managen. Alles ingested, van alle configs een backup.

Sppak schreef op donderdag 11 november 2021 @ 19:08:
Fortinet is voor thuis way too much, dat gaat m niet worden. Dat ik op een onderdeel van de driehoek moet inleveren vind ik prima, maar op de een of andere manier lijk ik steeds tegen de merken zelf aan te blijven hikken.

Ubiquiti staat niet echt bekend om hun goede ondersteuning en beloften omtrent functionaliteiten en uitspraken/updates (phone-home, updates etc), wat dus een gebrek aan vertrouwen geeft. TP-Link loop ik als Chinees bedrijf ook niet echt warm van, hoewel ik me ervan bewust ben dat het waarschijnlijk een vooroordeel is. Bij Meraki, HPE en Netgear heb ik nog niet precies helder of er abonnementen aan hangen en wat ze aan firewall/router hebben.

Ik las nog dat niet elke fabrikant vlan op dezelfde manier implementeert, wat bij het mixen van merken mogelijk kan gaan irriteren. Nu zit ik waarschijnlijk ook in het kamp van eenmalig goed configureren en dan niet (veel) meer nodig hebben, maar als ik daar nu rekening mee kan houden is dat natuurlijk mooi meegenomen.

Ik heb aardig wat apparatuur gezien maar 802.1q anders doen ken ik alleen van het oude cisco ISL.

Verder sluit dit aan bij wat Dion_b zegt , prijs functie en gemak, pick 2.

Sppak schreef op donderdag 11 november 2021 @ 19:08:
Fortinet is voor thuis way too much, dat gaat m niet worden. Dat ik op een onderdeel van de driehoek moet inleveren vind ik prima, maar op de een of andere manier lijk ik steeds tegen de merken zelf aan te blijven hikken.

Ubiquiti staat niet echt bekend om hun goede ondersteuning en beloften omtrent functionaliteiten en uitspraken/updates (phone-home, updates etc), wat dus een gebrek aan vertrouwen geeft. TP-Link loop ik als Chinees bedrijf ook niet echt warm van, hoewel ik me ervan bewust ben dat het waarschijnlijk een vooroordeel is. Bij Meraki, HPE en Netgear heb ik nog niet precies helder of er abonnementen aan hangen en wat ze aan firewall/router hebben.

Cisco/Meraki: ga maar uit van abonnementen

HPE: iig de meer SOHO/MKB gerichte Aruba dingen (Instant On) nog niet direct, maar voor support, zeker als je wat hoger in productportfolio gaat (ik denk hier aan mijn AP 534 op het werk) mag je wel een abo nemen. Netgear: geen abo nodig.

Verder mbt China: kijk eens waar genoemde andere merken hun spullen laten bouwen, je HPE en Cisco dingen komen er net zo goed vandaan. Als je echt paranoide wilt zijn is er uitermate weinig verschil tussen Made in China door een Chinees merk en Made in China door een Amerikaans merk. Bedenk ook dat China misschien geopolitek een groter risico is, maar jij bent niet de Pentagon of de AIVD, jij bent een particulier in NL, en hoogstwaarschijnlijk zijn RU ransomware eikeltjes een veel groter gevaar dan potentieel meeluisteren (maar verder niets doen) door de Chinese overheid.

IMHO veel relevanter: hoe beheer je die dingen en wie heeft er toegang toe?

Veel van de meer low-end consumenten/kleinzakelijk georienteerde apparaten zijn 'cloud managed', waarbij er dus een cloud service (9 van de 10 keer AWS of Azure) toegang heeft tot jouw apparatuur. Al vertrouw je zowel de service als wat je vendor erop doet, feit dat het toegang heeft vergroot de attack surface van jouw opstelling, en er hoeft maar een keer een finke inbraak te zijn bij je vendor een wie weet wie toegang heeft tot jouw zooi.

Keerzijde: je geeft aan 'klaar te zijn' met 'hobby geklooi'. Reality-check dan - tenzij je volledig bij bent op actuele security situatie en toepassing ervan op jouw apparatuur ben je waarschijnlijk zelf zwakste schakel in je beveiliging. Een en ander uit handen geven aan een partij die je vertrouwt is waarschijnlijk beter dan op jezelf vertrouwen als je er niet continu mee bezig wilt zijn.

Ik las nog dat niet elke fabrikant vlan op dezelfde manier implementeert, wat bij het mixen van merken mogelijk kan gaan irriteren. Nu zit ik waarschijnlijk ook in het kamp van eenmalig goed configureren en dan niet (veel) meer nodig hebben, maar als ik daar nu rekening mee kan houden is dat natuurlijk mooi meegenomen.

Makkelijkste is en blijft beheer van alles uit zelfde omgeving. Dat is niet voor niets wat nagenoeg alle partijen je aanbieden. Is natuurlijk ook mooi vanuit oogpunt van vendor lock-in dus ze hebben er zelf ook alle belang bij

[ Voor 6% gewijzigd door dion_b op 12-11-2021 16:33 ]