Vlan setup idee toetsen

Pagina: 1
Acties:

Vraag


Acties:
  • 0 Henk 'm!

  • Nasizen
  • Registratie: Augustus 2015
  • Laatst online: 24-06 12:51
Hallo allen,

Na jaren nadenken, inlezen en bekijken van video's, nu besloten om eindelijk een VLAN op te zetten. :)

Maar voordat ik eindelijk start heb ik even een concept geschetst voor mijn situatie. Deze wil ik graag toetsen bij jullie. Mijn reden voor gebruik van VLAN is veiligheid. Voor nu wil ik een webcam (voor de babykamer) op een aparte VLAN plaatsen.
In de toekomst komt waarschijnlijk ook ander IoT apparatuur bij (op een aparte VLAN dan waarschijnlijk).

Vragen:
- Wat vinden jullie van deze situatie? (Ben ik compleet, of ander advies?)
- Klopt het dat alleen een EdgeRouter X voldoende is om een VLAN op te zetten in mijn situatie?

De gewenste situatie:
Afbeeldingslocatie: https://tweakers.net/i/uQRA3eVYV0gocr-4hkqiD5ZUVYY=/800x/filters:strip_exif()/f/image/2wH0k6xvTsPFTFFgcKKzi1oq.png?f=fotoalbum_large

Alle reacties


Acties:
  • +2 Henk 'm!

  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 10:53

MasterL

Moderator Internet & Netwerken
Met jouw EdgeRouter X kan je zoveel VLANS aanmaken als je wil daar zal de bottleneck niet zitten.
In plaats van denken in VLANS zou je meer moeten denken in segmenten, welk netwerk moet toegang hebben tot welk netwerk (of welke devices).
Zitten er bijvoorbeld switches tussen de router en de devices? Deze moet(en) dan ook VLANS snappen.

Als voorbeeld:
Welke reden heb je om VLAN 1 te scheiden van VLAN 3?
Als je deze alsnog wil scheiden welke protocollen/poorten wil je alsnog kunnen bereiken?
Ik neem bijvoorbeeld aan dat je vanaf jouw "VLAN 1" (wifi?) alnog je camera wil kunnen bekijken op VLAN3 of wellicht chromecast o.i.d. wil gebruiken op devices in VLAN3.

Alles kan maar je krijgt uiteindelijk te maken met (veel) firewall rules, mdns repeaters etc als je teveel wil isoleren. Niet dat dit slecht is maar het brengt wellicht teveel (onnodige) complexiteit.

Acties:
  • +1 Henk 'm!

  • SniperGuy
  • Registratie: Juli 2001
  • Laatst online: 09-07 19:06
Ik zou (zeker een IPcam) ook een VLAN maken voor IOT zonder Internet dingen.
Zo voorkom je dat die cam (om wat voor reden dan ook) het internet opgaat. Vaak is dat voor een IPcam helemaal geen internet nodig.
Vanaf je VLAN1 kan je dan FW rules instellen dat je toch met een app de beelden kan bekijken.
Als je er van buiten (via internet) toch bij wil kunnen kan je altijd een VPN opzetten.

Acties:
  • 0 Henk 'm!

  • Nasizen
  • Registratie: Augustus 2015
  • Laatst online: 24-06 12:51
SniperGuy schreef op woensdag 28 december 2022 @ 13:18:
Ik zou (zeker een IPcam) ook een VLAN maken voor IOT zonder Internet dingen.
Zo voorkom je dat die cam (om wat voor reden dan ook) het internet opgaat. Vaak is dat voor een IPcam helemaal geen internet nodig.
Vanaf je VLAN1 kan je dan FW rules instellen dat je toch met een app de beelden kan bekijken.
Als je er van buiten (via internet) toch bij wil kunnen kan je altijd een VPN opzetten.
Bedankt voor het advies. ik zal toch een aparte VLAN maken voor enkel de webcam. Die hoeft inderdaad geen verbinding te maken met het internet.
Ik wil de webcam alleen vanuit mijn internet netwerk (VLAN 1) kunnen benaderen.

Acties:
  • 0 Henk 'm!

  • Nasizen
  • Registratie: Augustus 2015
  • Laatst online: 24-06 12:51
MasterL schreef op woensdag 28 december 2022 @ 13:12:
Met jouw EdgeRouter X kan je zoveel VLANS aanmaken als je wil daar zal de bottleneck niet zitten.
In plaats van denken in VLANS zou je meer moeten denken in segmenten, welk netwerk moet toegang hebben tot welk netwerk (of welke devices).
Zitten er bijvoorbeld switches tussen de router en de devices? Deze moet(en) dan ook VLANS snappen.

Als voorbeeld:
Welke reden heb je om VLAN 1 te scheiden van VLAN 3?
Als je deze alsnog wil scheiden welke protocollen/poorten wil je alsnog kunnen bereiken?
Ik neem bijvoorbeeld aan dat je vanaf jouw "VLAN 1" (wifi?) alnog je camera wil kunnen bekijken op VLAN3 of wellicht chromecast o.i.d. wil gebruiken op devices in VLAN3.

Alles kan maar je krijgt uiteindelijk te maken met (veel) firewall rules, mdns repeaters etc als je teveel wil isoleren. Niet dat dit slecht is maar het brengt wellicht teveel (onnodige) complexiteit.
Bedankt voor de bevestiging, ik ga dan de EdgeRouter X aanschaffen.
Ja vanuit VLAN 1 zou ik inderdaad VLAN 3 willen benaderen om beelden te bekijken van de webcam.

Ik trouwens nog 1 unmanaged switch die ik vergeten was in mijn schema. Ik zal even kijken hoe ik dat ga aansluiten (voor of na de ER-X). Ik zal beginnen door de router aan te schaffen en van daaruit verder te gaan met stoeien. :)

Acties:
  • +1 Henk 'm!

  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 10:53

MasterL

Moderator Internet & Netwerken
Hou wel rekening met het OSI model, als je VLANS gaat gebruiken (L2) "moet" je deze ook deze ook in een ander "broadcast domain" (lees subnet) plaatsen. Connecties tussen subnets (inter vlan routing) gaan via de router (EdgeRouter). Deze worden dus ook firewalled.

  • SniperGuy
  • Registratie: Juli 2001
  • Laatst online: 09-07 19:06
MasterL schreef op woensdag 28 december 2022 @ 14:04:
Hou wel rekening met het OSI model, als je VLANS gaat gebruiken (L2) "moet" je deze ook deze ook in een ander "broadcast domain" (lees subnet) plaatsen. Connecties tussen subnets (inter vlan routing) gaan via de router (EdgeRouter). Deze worden dus ook firewalled.
Dat gaat met Ubiquiti spul allemaal redelijk simpel ;)

  • Accretion
  • Registratie: April 2014
  • Laatst online: 07:02

Accretion

⭐⭐⭐⭐⭐ (5/5)

Je hebt ook WiFi accesspoints welke voor elk VLAN een afzonderlijk netwerk kan uitzenden?

  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 10:12
Lijkt mij dat je niet goed over het nut van vlan's hebt nagedacht.
Van vlan's wordt helemaal niets zomaar iets veiliger, maar beperkt wel je functionaliteit.

Als je bijvoorbeeld de iot in een eigen vlan zet houd dat meteen in dat je die vanuit andere vlan's ook niet meer kunt besturen en monitoren.
Maar dingen die je wel zou willen scheiden stop je in hetzelfde vlan, want thuiswerken hoort normaal gesproken niet in het vlan voor prive.

Mijn gevoel is dat je vlan's wil omdat je het leuk vind, niet omdat je het nodig zou hebben.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.


  • Nasizen
  • Registratie: Augustus 2015
  • Laatst online: 24-06 12:51
Ben(V) schreef op donderdag 29 december 2022 @ 11:16:
Lijkt mij dat je niet goed over het nut van vlan's hebt nagedacht.
Van vlan's wordt helemaal niets zomaar iets veiliger, maar beperkt wel je functionaliteit.

Als je bijvoorbeeld de iot in een eigen vlan zet houd dat meteen in dat je die vanuit andere vlan's ook niet meer kunt besturen en monitoren.
Maar dingen die je wel zou willen scheiden stop je in hetzelfde vlan, want thuiswerken hoort normaal gesproken niet in het vlan voor prive.

Mijn gevoel is dat je vlan's wil omdat je het leuk vind, niet omdat je het nodig zou hebben.
Het lijkt mij dat door het beperken van functionaliteit op VLAN3 door o.a. de toegang van de webcam te
beperken tot enkel het interne netwerk het wel veiliger gemaakt, dan geen VLANs te gebruiken.
En vanuit VLAN 1 wil ik wel VLAN 3 kunnen benaderen, maar VLAN 3 hoeft VLAN 1 niet "uit zichzelf" te benaderen.
Zie ook opmerking van o.a. SniperGuy hierboven.

En privé werk ik veilig, mijn werklaptop kan makkelijk op mijn privé netwerk, die is voldoende beveiligd.

Het lijkt mij daarom wel nodig (en leuk) om dit op te zetten.

Heb jij een beter idee om de situatie veiliger te maken?

  • Nasizen
  • Registratie: Augustus 2015
  • Laatst online: 24-06 12:51
Accretion schreef op donderdag 29 december 2022 @ 09:16:
Je hebt ook WiFi accesspoints welke voor elk VLAN een afzonderlijk netwerk kan uitzenden?
Wat bedoel je hierme? I.p.v. de ER-X een WiFi accesspoints aanschaffen om daarop aparte VLANS te maken?

Acties:
  • +1 Henk 'm!

  • lier
  • Registratie: Januari 2004
  • Laatst online: 09-07 17:59

lier

MikroTik nerd

Hierbij "my 2 cents":

VLAN ID 1 is het default ID, als je met meerdere VLAN's gaat werken zou ik deze niet gebruiken.

Zoals @Ben(V) al terecht opmerkt, VLAN's an sich maken en netwerk niet veilig. Scheiding echter wel.
Ben(V) schreef op donderdag 29 december 2022 @ 11:16:
Als je bijvoorbeeld de iot in een eigen vlan zet houd dat meteen in dat je die vanuit andere vlan's ook niet meer kunt besturen en monitoren.
Hier ben ik het dan weer niet mee eens...je firewall bepaalt wat doorgegeven/tegengehouden wordt. Wellicht dat dit voor Ubiquiti anders werkt. Ken hun routers niet zo goed.
Nasizen schreef op donderdag 29 december 2022 @ 11:42:
Wat bedoel je hierme? I.p.v. de ER-X een WiFi accesspoints aanschaffen om daarop aparte VLANS te maken?
Per VLAN een SSID. Daarvan weet ik dan weer wel dat het door Ubiquiti ondersteund wordt.

Eerst het probleem, dan de oplossing


  • Nasizen
  • Registratie: Augustus 2015
  • Laatst online: 24-06 12:51
lier schreef op donderdag 29 december 2022 @ 12:14:
Hierbij "my 2 cents":

VLAN ID 1 is het default ID, als je met meerdere VLAN's gaat werken zou ik deze niet gebruiken.

Zoals @Ben(V) al terecht opmerkt, VLAN's an sich maken en netwerk niet veilig. Scheiding echter wel.


[...]

Hier ben ik het dan weer niet mee eens...je firewall bepaalt wat doorgegeven/tegengehouden wordt. Wellicht dat dit voor Ubiquiti anders werkt. Ken hun routers niet zo goed.


[...]

Per VLAN een SSID. Daarvan weet ik dan weer wel dat het door Ubiquiti ondersteund wordt.
Waarvoor dient de default VLAN1 dan? Is dit alleen voor "admin" zaken?

En klopt.. de firewall rules zal ik dan moeten instellen. Ik zal hier nog verder in moeten duiken..
Heeft de ER-X een standaard firewall? Of moet ik iets van pfSense gebruiken?

Acties:
  • +1 Henk 'm!

  • lier
  • Registratie: Januari 2004
  • Laatst online: 09-07 17:59

lier

MikroTik nerd

https://help.ui.com/hc/en...al-LANs-VLANs-and-Tagging

De ER-X heeft vast een firewall (wat bedoel je met standaard), geen idee hoe deze ingesteld moet worden.

Eerst het probleem, dan de oplossing


Acties:
  • +1 Henk 'm!

  • nelizmastr
  • Registratie: Maart 2010
  • Laatst online: 07:50

nelizmastr

Goed wies kapot

Nasizen schreef op donderdag 29 december 2022 @ 11:42:
[...]


Wat bedoel je hierme? I.p.v. de ER-X een WiFi accesspoints aanschaffen om daarop aparte VLANS te maken?
Als je IoT devices over WiFi verbinden moet je WiFi access point wel snappen dat je een IoT VLAN hebt, hetzelfde geldt voor gasten WiFi apparaten, anders komen ze in "VLAN 1" terecht volgens je huidige schets. Je kunt daar dit niet de WiFi van de KPN box voor gebruiken maar zult daar losse access points voor moeten aanschaffen met VLAN ondersteuning.
Alle prosumer/zakelijke AP's van Aruba, TP-Link Omada, Cisco, Ruckus en Ubiquiti (Unifi/Amplifi) kunnen dat.

[ Voor 4% gewijzigd door nelizmastr op 29-12-2022 15:33 ]

I reject your reality and substitute my own

Pagina: 1