Netwerk splitsen voor o.a. Home Assistant

donderdag 5 januari 2023 11:15

Acties:

0Henk 'm!

denkt er het zijne van

We hebben nu nog gewoon 1 netwerk, maar ik zou dat willen splitsen.
- Allereerst een Guest netwerk voor Wifi. Voor mensen die op bezoek komen, en op internet willen. Deze moeten dan bv geen connectie kunnen maken met bv de PC's in het netwerk.
- IoT. Denk aan bv temperatuur sensortjes, Energy Plugs, maar ook bv wasmachines. Bij deze wil ik juist niet dat naar buiten kunnen communiceren, maar wel met Home Assistant.
- De z.g. Power Users. De PC's bijvoorbeeld. Die moeten natuurlijk wel naar buiten kunnen, maar ik wil bv ook vanaf mijn PC verbinding kunnen maken met Home Assistant. En dat laatste is waarvan ik niet weet hoe. Op het gebied van subnets/vlan e.d. ben ik nog een noob.

Op zich kan ik van buitenaf ook al wel bij Home Assistant, via een duckdns adres, en er staat een NAT poort naartoe. Maar als ik thuis ben lijkt het me beter om gewoon intern te kunnen verbinden ipv via een verbinding buitenom.
Home Assistant draait hier nu op een NUC met een LAN aansluiting.

Hoe zoiets op te zetten?

donderdag 5 januari 2023 11:40

Acties:

0Henk 'm!

nelizmastr

Goed wies kapot

Dat wordt een opstelling met VLAN's en firewall regels.

Gastenwifi is vaak wel te organiseren op de gemiddelde consumenten WiFi router,
maar een dedicated WiFi en LAN netwerk voor IoT met firewall regels die e.e.a. regelen
gaat dan lastiger worden.

Laten we bij het begin beginnen:

Hoe zit je netwerk eruit nu? Welke apparatuur heb je al?
Wat is je budget om het geheel op te zetten?

Voor je plan ga je namelijk e.e.a. nodig hebben:

- Switches met VLAN ondersteuning
- Router/firewall met VLAN ondersteuning en opties voor firewall regels
- Access points met VLAN ondersteuning

I reject your reality and substitute my own

donderdag 5 januari 2023 11:40

Acties:

0Henk 'm!

Tom. C

Welke netwerkapparatuur heb je nu tot je beschikking? En hoeveel tijd ben je bereid om er in te gaan steken?
Zodra je je bezig gaat houden met dit soort zaken wordt je netwerk meteen een stuk complexer en zul je je inderdaad eerst nog moeten gaan verdiepen in subnets en vlans.

Ik heb gekozen voor een combinatie van OPNsense en Ubiquiti AP's om de scheiding zoals jij die beschrijft te realiseren. Daarnaast voor bedrade devices een switch met VLAN ondersteuning. Dat vereist zowel financieel als qua tijd een investering maar het belangrijkste is denk ik dat je het leuk moet vinden om ermee aan de slag te gaan. Vooral OPNsense kan een beetje overwhelming zijn maar er zijn voor beide producten voldoende guides te vinden op het internet.

donderdag 5 januari 2023 11:49

Acties:

0Henk 'm!

Umbrah

The Incredible MapMan

Wat voor meuk heb je momenteel? Met iets als Ubiquity kun je vrij eenvoudig meerdere wifi netwerken opzetten, frequenties tunen, en zelfs een guest hotspot met evt. vouchercodes op een landing page (zoals hotels) maken, met geknepen bandbreedte/isolatie/alles. Daar zijn subnets/vlans niet direct bij nodig, omdat je op wifi iets hebt wat client isolation heet.

Dat zal voor WiFi based IOT (iets wat ik ontwijk ook omdat wifi genoeg andere problemen heeft, zigbee heeft mijn voorkeur) anders zijn, daar zul je waarschijnlijk wel met een vlan moeten werken, met een eigen DHCP server, waar HA als enige "bridge" op verschijnt. Denk echter wel na over firmware upgrades.

donderdag 5 januari 2023 12:01

Acties:

0Henk 'm!

hneel

denkt er het zijne van

Topicstarter

Even uit mijn hoofd (ben momenteel niet thuis):

- Het modem heeft zeer beperkte instel mogelijkheden. De Wifi hiervan gebruiken we niet. Wel gebruiken we deze voor dhcp.
- In de woonkamer staat een TP-link Wifi-6 acces point.
- In de rest van het huis staan een aantal MikroTik access points. Hiervan weet ik dat er behoorlijk veel in te stellen is.
- switches zijn een allegaartje. Veel zijn al wat ouder. Alles unmanaged.

Vanavond zal ik wat speciefiekers doorgeven

donderdag 5 januari 2023 13:13

Acties:

0Henk 'm!

Ben(V)

In de dhcp server van je router kun je er voor zorgen dat een macadres altijd hetzelfde ipadres krijgt.
Doe dat voor al jouw eigen devices ( niet je telefoons vergeten).
Zorg ervoor dat je iot devices in een bepaalde reeks zitten en blokkeer deze reeks richting het internet (Mac filter of ip filter)

Gebruik voor gasten een eigen SSID en iprange in de dhcp server en zorg ervoor dat die alleen het internet op mogen.

Je hebt dus helemaal geen lastige zaken zoals vlan's nodig.

[Voor 6% gewijzigd door Ben(V) op 05-01-2023 14:44]

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

donderdag 5 januari 2023 14:26

Acties:

0Henk 'm!

nelizmastr

Goed wies kapot

hneel schreef op donderdag 5 januari 2023 @ 12:01:
Even uit mijn hoofd (ben momenteel niet thuis):

- Het modem heeft zeer beperkte instel mogelijkheden. De Wifi hiervan gebruiken we niet. Wel gebruiken we deze voor dhcp.
- In de woonkamer staat een TP-link Wifi-6 acces point.
- In de rest van het huis staan een aantal MikroTik access points. Hiervan weet ik dat er behoorlijk veel in te stellen is.
- switches zijn een allegaartje. Veel zijn al wat ouder. Alles unmanaged.

Vanavond zal ik wat speciefiekers doorgeven

Denk dat je met de Mikrotiks wel goed zit. Dat spul kan ongeveer alles inderdaad.

De rest gaat als je de VLAN route op wilt niet kunnen wat je dan nodig hebt. Daar moeten dan managed switches voor komen en idealiter een router die het verkeer over de verschillende subnets die je aan de VLAN's koppelt regelt, incl. filterregels voor internetverkeer van IoT en gastenwifi.

I reject your reality and substitute my own

donderdag 5 januari 2023 18:16

Acties:

0Henk 'm!

Tarquin

Ben(V) schreef op donderdag 5 januari 2023 @ 13:13:
In de dhcp server van je router kun je er voor zorgen dat een macadres altijd hetzelfde ipadres krijgt.
Doe dat voor al jouw eigen devices ( niet je telefoons vergeten).
Zorg ervoor dat je iot devices in een bepaalde reeks zitten en blokkeer deze reeks richting het internet (Mac filter of ip filter)

Oh? Ik zat juist te denken aan een apart wifi netwerk waarop alle IOT zich dan abbonneert. Dan kun je toch dynamische adressen blijven gebruiken en hoef je voor een nieuw apparaat alleen maar te kiezen bij welk netwerk hij hoort.

donderdag 5 januari 2023 18:49

Acties:

0Henk 'm!

Ben(V)

Dynamische adressen voor iot is nooit slim,.
Dat regel je in de dhcp server door aan hun mac adres een vast ip adres toe te kennen.
Dan heb je een centraal punt waar je alles regelt en weet je ook wat het ipadres van elk device is.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

donderdag 5 januari 2023 18:58

Acties:

0Henk 'm!

Greatsword

"...Terra Incognita..."

@hneel Ik kan deze tutorial aanraden als je voor een Ubiquiti setup gaat. Alles wordt stap voor stap uitgelegd en alles wat je wilt wordt daar besproken en toegepast.

“…There is nothing either good or bad, but thinking makes it so…”

donderdag 5 januari 2023 20:13

Acties:

0Henk 'm!

hneel

denkt er het zijne van

Topicstarter

Hier het beloofde overzicht:
- modem = Genexis Platinum-7840.
- Wifi AP Woonkamer = TP-link RE505X
- 3 overige AP's = Mikrotik Hap Lite / Hap AC2

Ik denk dat ik sowieso eerst ga beginnen met een Wifi Guest netwerk. Als dat lukt ga ik eens verder kijken naar het IoT gebeuren.

vrijdag 6 januari 2023 06:07

Acties:

0Henk 'm!

deHakkelaar

Ben(V) schreef op donderdag 5 januari 2023 @ 18:49:
Dynamische adressen voor iot is nooit slim,.
Dat regel je in de dhcp server door aan hun mac adres een vast ip adres toe te kennen.
Dan heb je een centraal punt waar je alles regelt en weet je ook wat het ipadres van elk device is.

Waarom is dit niet slim en wat is de noodzaak om DHCP reserveringen hiervoor op te voeren?

Mijn DHCPv4 service is namelijk deterministisch waardoor alle clients zoiezo elke keer hetzelfde IP krijgen toegewezen.
Ik hoef die IP's ook niet te weten omdat alles op hostnaam verbindt en niet op IP niveau.

There are only 10 types of people in the world: those who understand binary, and those who don't

vrijdag 6 januari 2023 09:41

Acties:

0Henk 'm!

Ben(V)

Uiteraard is een dhcp server nooit deterministisch, dat is gewoon toeval en afhankelijke hoe en wat op welk moment uit of aan staat.
Zet alles maar een uit (dus je devices en je dhcp server) en start de dhcp server op dan krijgt het eerste device dat opstart het eerste ipadres uit de dhcp range.

En iot devices hebben ook nogal eens de neiging helemaal geen hostnamen te hebben of anders niet op standaard manieren te adverteren.
En switches werken al helemaal nooit met hostnamen.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

vrijdag 6 januari 2023 12:54

Acties:

0Henk 'm!

deHakkelaar

Ben(V) schreef op vrijdag 6 januari 2023 @ 09:41:
Uiteraard is een dhcp server nooit deterministisch, dat is gewoon toeval en afhankelijke hoe en wat op welk moment uit of aan staat.

pi@ph5b:~ $ man dnsmasq
[..]
       --dhcp-sequential-ip
              Dnsmasq is designed to choose IP addresses for DHCP clients
              using a hash of the client's MAC address. This normally al‐
              lows a client's address to remain stable long-term, even if
              the  client   sometimes allows its DHCP lease to expire. In
              this default mode IP addresses are distributed  pseudo-ran‐
              domly  over  the  entire available address range. There are
              sometimes circumstances (typically server deployment) where
              it  is  more  convenient to have IP addresses allocated se‐
              quentially, starting from the lowest available address, and
              setting  this  flag enables this mode. Note that in the se‐
              quential mode, clients which allow a lease  to  expire  are
              much  more  likely  to  move IP address; for this reason it
              should not be generally used.

Menig thuis routertje draait dnsmasq.

Ben(V) schreef op vrijdag 6 januari 2023 @ 09:41:
En iot devices hebben ook nogal eens de neiging helemaal geen hostnamen te hebben of anders niet op standaard manieren te adverteren.

Ik neem je woord voor dat maar dit is dan wel prut in mijn ogen

Ben(V) schreef op vrijdag 6 januari 2023 @ 09:41:
En switches werken al helemaal nooit met hostnamen.

Ik begrijp niet helemaal wat dit ermee te maken heeft?
Mij gaat het er gewoon om dat ik voor normaal gebruik nooit IP addressen gebruik maar namen om te verbinden.

There are only 10 types of people in the world: those who understand binary, and those who don't

vrijdag 6 januari 2023 13:16

Acties:

0Henk 'm!

Ben(V)

In consumenten router wordt dnsmasq nooit gebruikt in hun dhcp server.

Een dhcp server vaste ipadressen voor al je vaste devices uit te laten geven werkt altijd en je hebt meteen een plek waar alles vastligt en tevens heb je een garantie dat het nooit wijzigt.

En als er iets onbetrouwbaar is dan is het wel het gebruik van hostnamen plus dat het ook nog eens netwerk overhead geeft wat elke keer dat je een hostnaam gebruikt moet het netwerk gescande worden of die bestaat en welk ipdadres daar bij hoort.

Een switch heeft een ARP tabel waar hij de gebruikte ipadressen in bijhoud zodat hij altijd meteen weet waar het verkeer naartoe moet, als je hostnamen gebruikt moet dat eerst resolved worden.

En als je hostnamen gebruikt en de dhcp server geeft wel een ander ipadres aan dat device dan moet je overal je DNS cache gaan flushen voor je dat device weer kunt bereiken via zijn naam.

Alleen devices waar je dingen kunt instellen zoals, computers, printers, scanners enz kun je een hostname geven, maar dat moet je dan wel doen en als het dan toch moet kun je het beter in de dhcp server doen zodat het centraal geregeld is en je niet al je devices af moet gaan.

Bij Iot devices maar ook andere devices kan dat vaak niet dus die hebben of geen hostname of allemaal dezelfde hostname gebaseerd op het type.

[Voor 19% gewijzigd door Ben(V) op 06-01-2023 13:23]

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

vrijdag 6 januari 2023 13:37

Acties:

+1Henk 'm!

deHakkelaar

Ben(V) schreef op vrijdag 6 januari 2023 @ 13:16:
In consumenten router wordt dnsmasq nooit gebruikt in hun dhcp server.

M'n Asus router:

dehakkelaar@RT-N66U:/tmp/home/root# ps
[..]
20525 nobody    1040 S    dnsmasq --log-async

Geloof zelfs dat OpenWRT en nog een paar dnsmasq toepassen.
Van de wiki:

Consequently, it "is present in a lot of home routers and certain Internet of Things gadgets"[4] and is included in Android.

Wikipedia: dnsmasq

Ben(V) schreef op vrijdag 6 januari 2023 @ 13:16:
Een dhcp server vaste ipadressen voor al je vaste devices uit te laten geven werkt altijd en je hebt meteen een plek waar alles vastligt en tevens heb je een garantie dat het nooit wijzigt.

Ik probeer juist duidelijk te maken dat ik dat helemaal niet nodig vind dat alle IP's vast blijven.

Ben(V) schreef op vrijdag 6 januari 2023 @ 13:16:
En als er iets onbetrouwbaar is dan is het wel het gebruik van hostnamen plus dat het ook nog eens netwerk overhead geeft wat elke keer dat je een hostnaam gebruikt moet het netwerk gescande worden of die bestaat en welk ipdadres daar bij hoort.

Daar is cache voor.

Ben(V) schreef op vrijdag 6 januari 2023 @ 13:16:
Een switch heeft een ARP tabel waar hij de gebruikte ipadressen in bijhoud zodat hij altijd meteen weet waar het verkeer naartoe moet, als je hostnamen gebruikt moet dat eerst resolved worden.

En?
Ik heb liever gemak dan dat ik IPv4's moet onthouden laat staan IPv6 adressen.

Ben(V) schreef op vrijdag 6 januari 2023 @ 13:16:
En als je hostnamen gebruikt en de dhcp server geeft wel een ander ipadres aan dat device dan moet je overal je DNS cache gaan flushen voor je dat device weer kunt bereiken via zijn naam.

Met dnsmasq worden client DNS records (A, AAAA en PTR) automatisch aangemaakt voor de duratie van de DHCP lease.
Dus als de DHCP lease is verlopen, verlopen ook de DNS records en zal een host weer z'n DNS cache moeten verversen.

Ik merk dat je argumenten hebt toegevoegd aan je laatste bericht.
Ook deze argumenten vind ik niet doorslaggevend om nou voor van alles een administratie bij te houden ... KISS.

EDIT: Ow je kunt via DNS ook alias/CNAME records aanmaken.
Dus een makkelijke alias naar bv een moeilijke IoT hostnaam die niet te wijzigen valt.
En de TTL wordt dan overgenomen van het werkelijke DNS record.

[Voor 3% gewijzigd door deHakkelaar op 06-01-2023 14:23]

There are only 10 types of people in the world: those who understand binary, and those who don't

vrijdag 6 januari 2023 14:44

Acties:

0Henk 'm!

Ben(V)

Je kunt van alles, je kunt ook een DNS server in je lan opzetten.
Daar gaat het hier helemaal niet over.

Wat jij denk goed te doen moet je helemaal zelf weten, ik geef gewoon advies aan gemiddelde consumenten die iets komen vragen en bij mijn weten was jij niet de TS van dit topic.

En wat jij roept is voor mensen die ook goed kunnen googlen of er zelf voldoende verstand van hebben, maar voor de gemiddelde consument is ip in de dhcp server vastzetten het beste advies en dit is het laatste wat ik in deze zinloze discussie er over zeg.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

Pagina: 1

Reageer

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden