Netwerkinrichting: clients isoleren?

dinsdag 13 september 2022 22:16

Acties:

0 Henk 'm!

Topicstarter

Hallo allen,
Ik heb een vraag: ik krijg binnenkort een nieuwe T-Mobile Thuis aansluiting, en zou dat als moment gebruiken om mijn hele netwerk anders in te richten. Ik ben ook van plan nieuwe AP's te kopen, en wil eventuele eisen daarom meenemen.

Situatie: glasvezel aansluiting op een router met SFP poort of rechtstreeks op de standaard meegeleverde ZyXel T-54.

Apparaten in huis:
- TV's (bedraad en WiFi)
- Desktop (bedraad)
- Laptops werk (bedraad en WiFi)
- Laptop privé (WiFi)
- iPhones (WiFi)
- iPad (WiFi)
- Android tablet (WiFi)
- Chromecast (WiFi)
- Speakers (o.a. Sonos, WiFi)
- Robotstofzuiger en andere 'smart' gadgets (WiFi)
- Nog aan te schaffen Zigbee gateway (WiFi)
- Nog aan te schaffen PV-omvormer (WiFi)

Ik wil dat alle laptops, telefoons, etc. gewoon naar buiten toe het internet op kunnen.
Waar de uitdaging in zit: ik wil de clients als het ware isoleren. Werklaptops van verschillende bedrijven hoeven elkaar niet te zien, kunnen de ander niets overdragen, de omvormer kan wel het internet op voor updates en pushen van statistieken, maar kunnen werklaptops lokaal niet op inloggen. Etc. etc. Een simpele LAN scan hoeft niet een hele lijst te genereren met alles dat op dit moment in huis hangt.

Nu kan je bij een aantal AP's wel wireless isolation aanzetten, maar dan kunnen de telefoons bijvoorbeeld de Chromecast of Sonos speaker niet meer vinden. En werken met VLAN's is een optie maar een aantal mesh AP's die ik online vond ondersteunen dit niet.

Ik zoek dus een manier om alles te isoleren, met uitzondering van vooraf gedefinieerde regels zoals:
- iPhones mogen wel met Sonos, TV, Chromecast, Robotstofzuiger verbinden
- Desktop/laptops mogen wel met de printer verbinden

Hoe kan ik dit inrichten? Dus alles isoleren, tenzij. Ik kan natuurlijk van alle apparaten die vast zitten in huis op basis van het MAC-adres een static lease geven, dat maakt het indelen van regels wel wat makkelijker. Vergt wat beheer, maar dat is te doen.

Momenteel gebruik ik een Edgerouter X met 3 VLAN's waar iedere werklaptop bedraad los op verbinden zit. Die zien elkaar niet meer en kunnen wel het internet op, maar alles dat draadloos is verbonden kan overal heen op het netwerk. Zou dit graag anders inrichten. Hebben jullie tips & tricks? Dank!

woensdag 14 september 2022 01:40

Acties:

0 Henk 'm!

dion_b

Moderator Harde Waren

say Baah

Momenteel gebruik ik een Edgerouter X met 3 VLAN's waar iedere werklaptop bedraad los op verbinden zit. Die zien elkaar niet meer en kunnen wel het internet op, maar alles dat draadloos is verbonden kan overal heen op het netwerk. Zou dit graag anders inrichten. Hebben jullie tips & tricks? Dank!

Vrij simpel: aparte SSID's per VLAN. Dan hou je alles op z'n plek.

Je eis is dan ook AP's die dat ondersteunen. Ubiquiti's UniFi doen dat alvast, maar aangezien UniFi en Edge niet met elkaar praten is er in beginsel geen reden om het bij Ubiquiti te zoeken. Je kunt bijvoorbeeld ook kijken naar TP-Link Omada of HPE Aruba InstantOn.

Oslik blyat! Oslik!

woensdag 14 september 2022 08:54

Acties:

0 Henk 'm!

floppydriver

Topicstarter

Dank voor je reactie! In de nieuwe opzet hoeft het niet per se dezelfde router te zijn als nu. Als een andere geschikter is voor deze vraag en goed werkt met de AP’s dan is dat prima.

Mij is alleen onduidelijk hoe een AP dat bedraad is aangesloten meerdere VLAN’s kan uitgeven terwijl deze op 1 poort aangesloten is waaraan 1 VLAN is gekoppeld. Begrijp ik dat verkeerd?

woensdag 14 september 2022 09:02

Acties:

0 Henk 'm!

Tribunus

Een SSID per vlan kan, maar als je daarmee 5 of 6 SSID's gaat maken zou ik daarvan wegblijven. Hoe meer SSID's hoe vervuilder de lucht is. SSID of 3 is prima maar zou er niet veel meer maken (iets met airtime)

Voor het AP: Deze sluit je aan op een trunk poort van een switch / router waar meerdere vlans over kunnen worden getransporteerd. Je kan dan op het wireless gedeelte (AP) client isolation aanzetten op de SSID's. Dan pak je nog 1 of 2 extra vlans voor de bedrade clients.

Als je eenmaal die scheiding hebt gemaakt (verschillende laag 3 netwerken) kan je met een firewall de verkeersstromen gaan beveiligen. Hier zijn legio oplossingen voor. Edgerouter kan, zelfbouw kan en uiteraard kan een firewall van bijv. Fortinet ook maar dat ligt aan het budget ;-)

Static dhcp leases gaan niets voor je doen als alles in hetzelfde vlan hangt.

woensdag 14 september 2022 09:05

Acties:

+1 Henk 'm!

laurens0619

floppydriver schreef op woensdag 14 september 2022 @ 08:54:
Dank voor je reactie! In de nieuwe opzet hoeft het niet per se dezelfde router te zijn als nu. Als een andere geschikter is voor deze vraag en goed werkt met de AP’s dan is dat prima.

Mij is alleen onduidelijk hoe een AP dat bedraad is aangesloten meerdere VLAN’s kan uitgeven terwijl deze op 1 poort aangesloten is waaraan 1 VLAN is gekoppeld. Begrijp ik dat verkeerd?

Je hebt untagged en tagged vlans.
Waarschijnlijk heb je nu een poort untagged gemaakt, dat betekent dat ieder (vlan unaware) apparaat wat erop gaat in dat vlan zal landen. Logischerwijs kun je altijd maar 1 untagged vlan aan 1 poort koppelen

Je kan echter ook vlans op een poort taggen bv untagged vlan 1 en tagged vlan 2,3,4. Als je dan een kabel erin stopt dan zit die standaard in het untagged vlan 1. Echter als je apparaat vlans kan, dan kan die ook vlan 2,3,4 joinen.

Op windows stel je dat in op je netwerkadapter, bij een accesspoint geef je het vlan ID aan bij een SSID wat je aanmaakt. JE krijgt dus per vlan een ssid op je accesspoint

CISSP! Drop your encryption keys!

woensdag 14 september 2022 09:58

Acties:

0 Henk 'm!

dion_b

Moderator Harde Waren

say Baah

Tribunus schreef op woensdag 14 september 2022 @ 09:02:
Een SSID per vlan kan, maar als je daarmee 5 of 6 SSID's gaat maken zou ik daarvan wegblijven. Hoe meer SSID's hoe vervuilder de lucht is. SSID of 3 is prima maar zou er niet veel meer maken (iets met airtime)

Klopt, maar dat valt - zeker met deze categorie AP - prima te beheersen.

Per default zendt een WiFi AP elke 100ms een beacon uit per SSID, en doet dat in 2.4GHz met 1Mbps data rate, en in 5GHz met 6Mbps data rate. Impact in 2.4GHz is dat je per SSID 3% van airtime kwijt bent, in 5GHz 0.5%.

Er zijn twee knoppen waar je (met AP in categorie waar je voor je VLAN eis naar kijkt) aan kunt draaien om dat te verlagen:
- beacon interval verlengen
- management frames (waaronder beacons) op hogere data rate versturen

Mbt beacon interval zie je dat developers terughoudend zijn om daaraan te rommelen, maar er is - ook in wetenschappelijke literatuur - nooit een probleem ermee gevonden met intervals onder de 350ms _{en dat ging over locatiebepaling in supermarkten op basis van WiFi, niet basic connectivity}. Ik draai sinds jaar en dag op 300ms en heb nooit problemen gehad ermee. Daarmee is de impact bij voorbaat al 1/3, dus 1% in 2.4GHz en 0.18% in 5GHz.

Mbt hogere data rates voor management frames riskeer je bij slechte dekking dat je geen verbinding krijgt waar het echt brak is. Maar een data rate van onder de 12Mbps is sowieso bij benadering onbruikbaar. Ik heb alle WiFi-b rates in kunnen stellen (dus 1, 2, 5.5 en 11Mbps) zonder problemen. Met WiFi-a/g rates ging het goed totdat mijn zoontje onze oude Wii uit jaar kruik (2007 ofzo) aan wilde sluiten.Die wilde pas verbinden toen ik het in 2.4GHz verlaagd naar 11Mbps. Als je geen museumstukken aansluit kun je rustig naar 24Mbps gaan bij goede dekking. Maar zelfs met 11Mbps heb je dus al factor 11 verlaging tov default, en dan zou het 0.09% impact per SSID in 2.4GHz opleveren. Dan kun je al flink vooruit

Voor het AP: Deze sluit je aan op een trunk poort van een switch / router waar meerdere vlans over kunnen worden getransporteerd. Je kan dan op het wireless gedeelte (AP) client isolation aanzetten op de SSID's. Dan pak je nog 1 of 2 extra vlans voor de bedrade clients.

Als je eenmaal die scheiding hebt gemaakt (verschillende laag 3 netwerken) kan je met een firewall de verkeersstromen gaan beveiligen. Hier zijn legio oplossingen voor. Edgerouter kan, zelfbouw kan en uiteraard kan een firewall van bijv. Fortinet ook maar dat ligt aan het budget ;-)

Static dhcp leases gaan niets voor je doen als alles in hetzelfde vlan hangt.

Yup.

Alles wat hier beschreven is kan prima op huidige EdgeRouter. Enige reden om iets anders te nemen zou zijn om alles in zelfde ecosysteem (UniFi, Omada etc) te doen, maar eerlijk is eerlijk, dat gaat verder geen vooruitgang opleveren.

Trouwens ander 'ecosysteem' voor zowel AP als router dat vrijwel zeker goedkoopst is en meeste features biedt, maar wel steilste leercurve heeft: Mikrotik.

Als je fors geinteresseerd bent in netwerken en bereid bent diep te duiken om te leren is dat een goede optie. Zo niet: niet doen. Mikrotik doet veel dingen, maar je ontzorgen is er nadrukkelijk niet een van.

Oslik blyat! Oslik!

woensdag 14 september 2022 10:16

Acties:

+1 Henk 'm!

laurens0619

Los van wat er technisch mogelijk is:
Het is een populair onderwerp op tweakers om vlans aan te maken en hier devices in te stoppen waarna vervolgens weer allerlei exclusions erop te zetten om communicatie mogelijk te maken.
Als het je gaat "omdat het kan", moet je het gewoon doen

Maar risico technisch gezien ga je veel meer bereiken door je apparaten adequaat te beveiligen (geen open shares, windows updates draaien etc) en je iot apparaten van internet af te sluiten/regel maken dat ze alleen met het eigen backend mogen communiceren.

Het scenario "een iot apparaatis gehackt en infecteert nu een ander apparaat op mijn netwerk" is een thuissituatie niet echt aannemlijk. 9/10 keer misbruiken ze een gehackt iot apapraat om je internet verbinding te misbruiken.

CISSP! Drop your encryption keys!

Vraag

Alle reacties