Toon posts:

Netwerk splitsen voor o.a. Home Assistant

Pagina: 1
Acties:

  • hneel
  • Registratie: Maart 2001
  • Laatst online: 22:24

hneel

denkt er het zijne van

Topicstarter
We hebben nu nog gewoon 1 netwerk, maar ik zou dat willen splitsen.
- Allereerst een Guest netwerk voor Wifi. Voor mensen die op bezoek komen, en op internet willen. Deze moeten dan bv geen connectie kunnen maken met bv de PC's in het netwerk.
- IoT. Denk aan bv temperatuur sensortjes, Energy Plugs, maar ook bv wasmachines. Bij deze wil ik juist niet dat naar buiten kunnen communiceren, maar wel met Home Assistant.
- De z.g. Power Users. De PC's bijvoorbeeld. Die moeten natuurlijk wel naar buiten kunnen, maar ik wil bv ook vanaf mijn PC verbinding kunnen maken met Home Assistant. En dat laatste is waarvan ik niet weet hoe. Op het gebied van subnets/vlan e.d. ben ik nog een noob.

Op zich kan ik van buitenaf ook al wel bij Home Assistant, via een duckdns adres, en er staat een NAT poort naartoe. Maar als ik thuis ben lijkt het me beter om gewoon intern te kunnen verbinden ipv via een verbinding buitenom.
Home Assistant draait hier nu op een NUC met een LAN aansluiting.

Hoe zoiets op te zetten?

  • nelizmastr
  • Registratie: Maart 2010
  • Laatst online: 22:01

nelizmastr

Goed wies kapot

Dat wordt een opstelling met VLAN's en firewall regels.

Gastenwifi is vaak wel te organiseren op de gemiddelde consumenten WiFi router,
maar een dedicated WiFi en LAN netwerk voor IoT met firewall regels die e.e.a. regelen
gaat dan lastiger worden.

Laten we bij het begin beginnen:

Hoe zit je netwerk eruit nu? Welke apparatuur heb je al?
Wat is je budget om het geheel op te zetten?

Voor je plan ga je namelijk e.e.a. nodig hebben:

- Switches met VLAN ondersteuning
- Router/firewall met VLAN ondersteuning en opties voor firewall regels
- Access points met VLAN ondersteuning

I reject your reality and substitute my own


  • Tom. C
  • Registratie: Maart 2010
  • Laatst online: 00:52
Welke netwerkapparatuur heb je nu tot je beschikking? En hoeveel tijd ben je bereid om er in te gaan steken?
Zodra je je bezig gaat houden met dit soort zaken wordt je netwerk meteen een stuk complexer en zul je je inderdaad eerst nog moeten gaan verdiepen in subnets en vlans.

Ik heb gekozen voor een combinatie van OPNsense en Ubiquiti AP's om de scheiding zoals jij die beschrijft te realiseren. Daarnaast voor bedrade devices een switch met VLAN ondersteuning. Dat vereist zowel financieel als qua tijd een investering maar het belangrijkste is denk ik dat je het leuk moet vinden om ermee aan de slag te gaan. Vooral OPNsense kan een beetje overwhelming zijn maar er zijn voor beide producten voldoende guides te vinden op het internet.

Ryzen 5950X | Asus X570 Dark Hero | F4-3600C16D-32GTZN | TUF RTX 3080TI | Lian-Li PC011 Dynamic | Alienware AW3420DW | Thrustmaster T300 RS | ClubSport Pedals V3 | Megane Renault Sport RS 250


  • Umbrah
  • Registratie: Mei 2006
  • Laatst online: 00:40

Umbrah

The Incredible MapMan

Wat voor meuk heb je momenteel? Met iets als Ubiquity kun je vrij eenvoudig meerdere wifi netwerken opzetten, frequenties tunen, en zelfs een guest hotspot met evt. vouchercodes op een landing page (zoals hotels) maken, met geknepen bandbreedte/isolatie/alles. Daar zijn subnets/vlans niet direct bij nodig, omdat je op wifi iets hebt wat client isolation heet.

Dat zal voor WiFi based IOT (iets wat ik ontwijk ook omdat wifi genoeg andere problemen heeft, zigbee heeft mijn voorkeur) anders zijn, daar zul je waarschijnlijk wel met een vlan moeten werken, met een eigen DHCP server, waar HA als enige "bridge" op verschijnt. Denk echter wel na over firmware upgrades.

  • hneel
  • Registratie: Maart 2001
  • Laatst online: 22:24

hneel

denkt er het zijne van

Topicstarter
Even uit mijn hoofd (ben momenteel niet thuis):

- Het modem heeft zeer beperkte instel mogelijkheden. De Wifi hiervan gebruiken we niet. Wel gebruiken we deze voor dhcp.
- In de woonkamer staat een TP-link Wifi-6 acces point.
- In de rest van het huis staan een aantal MikroTik access points. Hiervan weet ik dat er behoorlijk veel in te stellen is.
- switches zijn een allegaartje. Veel zijn al wat ouder. Alles unmanaged.

Vanavond zal ik wat speciefiekers doorgeven

  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 22:41
In de dhcp server van je router kun je er voor zorgen dat een macadres altijd hetzelfde ipadres krijgt.
Doe dat voor al jouw eigen devices ( niet je telefoons vergeten).
Zorg ervoor dat je iot devices in een bepaalde reeks zitten en blokkeer deze reeks richting het internet (Mac filter of ip filter)

Gebruik voor gasten een eigen SSID en iprange in de dhcp server en zorg ervoor dat die alleen het internet op mogen.

Je hebt dus helemaal geen lastige zaken zoals vlan's nodig.

[Voor 6% gewijzigd door Ben(V) op 05-01-2023 14:44]

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.


  • nelizmastr
  • Registratie: Maart 2010
  • Laatst online: 22:01

nelizmastr

Goed wies kapot

hneel schreef op donderdag 5 januari 2023 @ 12:01:
Even uit mijn hoofd (ben momenteel niet thuis):

- Het modem heeft zeer beperkte instel mogelijkheden. De Wifi hiervan gebruiken we niet. Wel gebruiken we deze voor dhcp.
- In de woonkamer staat een TP-link Wifi-6 acces point.
- In de rest van het huis staan een aantal MikroTik access points. Hiervan weet ik dat er behoorlijk veel in te stellen is.
- switches zijn een allegaartje. Veel zijn al wat ouder. Alles unmanaged.

Vanavond zal ik wat speciefiekers doorgeven
Denk dat je met de Mikrotiks wel goed zit. Dat spul kan ongeveer alles inderdaad.

De rest gaat als je de VLAN route op wilt niet kunnen wat je dan nodig hebt. Daar moeten dan managed switches voor komen en idealiter een router die het verkeer over de verschillende subnets die je aan de VLAN's koppelt regelt, incl. filterregels voor internetverkeer van IoT en gastenwifi.

I reject your reality and substitute my own


  • Tarquin
  • Registratie: Januari 2002
  • Laatst online: 26-01 10:28
Ben(V) schreef op donderdag 5 januari 2023 @ 13:13:
In de dhcp server van je router kun je er voor zorgen dat een macadres altijd hetzelfde ipadres krijgt.
Doe dat voor al jouw eigen devices ( niet je telefoons vergeten).
Zorg ervoor dat je iot devices in een bepaalde reeks zitten en blokkeer deze reeks richting het internet (Mac filter of ip filter)
Oh? Ik zat juist te denken aan een apart wifi netwerk waarop alle IOT zich dan abbonneert. Dan kun je toch dynamische adressen blijven gebruiken en hoef je voor een nieuw apparaat alleen maar te kiezen bij welk netwerk hij hoort.

  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 22:41
Dynamische adressen voor iot is nooit slim,.
Dat regel je in de dhcp server door aan hun mac adres een vast ip adres toe te kennen.
Dan heb je een centraal punt waar je alles regelt en weet je ook wat het ipadres van elk device is.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.


  • Greatsword
  • Registratie: Februari 2010
  • Niet online

Greatsword

"...Terra Incognita..."

@hneel Ik kan deze tutorial aanraden als je voor een Ubiquiti setup gaat. Alles wordt stap voor stap uitgelegd en alles wat je wilt wordt daar besproken en toegepast.

“…There is nothing either good or bad, but thinking makes it so…”


  • hneel
  • Registratie: Maart 2001
  • Laatst online: 22:24

hneel

denkt er het zijne van

Topicstarter
Hier het beloofde overzicht:
- modem = Genexis Platinum-7840.
- Wifi AP Woonkamer = TP-link RE505X
- 3 overige AP's = Mikrotik Hap Lite / Hap AC2

Ik denk dat ik sowieso eerst ga beginnen met een Wifi Guest netwerk. Als dat lukt ga ik eens verder kijken naar het IoT gebeuren.

  • deHakkelaar
  • Registratie: Februari 2015
  • Laatst online: 23:01
Ben(V) schreef op donderdag 5 januari 2023 @ 18:49:
Dynamische adressen voor iot is nooit slim,.
Dat regel je in de dhcp server door aan hun mac adres een vast ip adres toe te kennen.
Dan heb je een centraal punt waar je alles regelt en weet je ook wat het ipadres van elk device is.
Waarom is dit niet slim en wat is de noodzaak om DHCP reserveringen hiervoor op te voeren?

Mijn DHCPv4 service is namelijk deterministisch waardoor alle clients zoiezo elke keer hetzelfde IP krijgen toegewezen.
Ik hoef die IP's ook niet te weten omdat alles op hostnaam verbindt en niet op IP niveau.

There are only 10 types of people in the world: those who understand binary, and those who don't


  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 22:41
Uiteraard is een dhcp server nooit deterministisch, dat is gewoon toeval en afhankelijke hoe en wat op welk moment uit of aan staat.
Zet alles maar een uit (dus je devices en je dhcp server) en start de dhcp server op dan krijgt het eerste device dat opstart het eerste ipadres uit de dhcp range.

En iot devices hebben ook nogal eens de neiging helemaal geen hostnamen te hebben of anders niet op standaard manieren te adverteren.
En switches werken al helemaal nooit met hostnamen.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.


  • deHakkelaar
  • Registratie: Februari 2015
  • Laatst online: 23:01
Ben(V) schreef op vrijdag 6 januari 2023 @ 09:41:
Uiteraard is een dhcp server nooit deterministisch, dat is gewoon toeval en afhankelijke hoe en wat op welk moment uit of aan staat.
pi@ph5b:~ $ man dnsmasq
[..]
       --dhcp-sequential-ip
              Dnsmasq is designed to choose IP addresses for DHCP clients
              using a hash of the client's MAC address. This normally al‐
              lows a client's address to remain stable long-term, even if
              the  client   sometimes allows its DHCP lease to expire. In
              this default mode IP addresses are distributed  pseudo-ran‐
              domly  over  the  entire available address range. There are
              sometimes circumstances (typically server deployment) where
              it  is  more  convenient to have IP addresses allocated se‐
              quentially, starting from the lowest available address, and
              setting  this  flag enables this mode. Note that in the se‐
              quential mode, clients which allow a lease  to  expire  are
              much  more  likely  to  move IP address; for this reason it
              should not be generally used.

Menig thuis routertje draait dnsmasq.
Ben(V) schreef op vrijdag 6 januari 2023 @ 09:41:
En iot devices hebben ook nogal eens de neiging helemaal geen hostnamen te hebben of anders niet op standaard manieren te adverteren.
Ik neem je woord voor dat maar dit is dan wel prut in mijn ogen ;)
Ben(V) schreef op vrijdag 6 januari 2023 @ 09:41:
En switches werken al helemaal nooit met hostnamen.
Ik begrijp niet helemaal wat dit ermee te maken heeft?
Mij gaat het er gewoon om dat ik voor normaal gebruik nooit IP addressen gebruik maar namen om te verbinden.

There are only 10 types of people in the world: those who understand binary, and those who don't


  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 22:41
In consumenten router wordt dnsmasq nooit gebruikt in hun dhcp server.

Een dhcp server vaste ipadressen voor al je vaste devices uit te laten geven werkt altijd en je hebt meteen een plek waar alles vastligt en tevens heb je een garantie dat het nooit wijzigt.

En als er iets onbetrouwbaar is dan is het wel het gebruik van hostnamen plus dat het ook nog eens netwerk overhead geeft wat elke keer dat je een hostnaam gebruikt moet het netwerk gescande worden of die bestaat en welk ipdadres daar bij hoort.

Een switch heeft een ARP tabel waar hij de gebruikte ipadressen in bijhoud zodat hij altijd meteen weet waar het verkeer naartoe moet, als je hostnamen gebruikt moet dat eerst resolved worden.

En als je hostnamen gebruikt en de dhcp server geeft wel een ander ipadres aan dat device dan moet je overal je DNS cache gaan flushen voor je dat device weer kunt bereiken via zijn naam.

Alleen devices waar je dingen kunt instellen zoals, computers, printers, scanners enz kun je een hostname geven, maar dat moet je dan wel doen en als het dan toch moet kun je het beter in de dhcp server doen zodat het centraal geregeld is en je niet al je devices af moet gaan.

Bij Iot devices maar ook andere devices kan dat vaak niet dus die hebben of geen hostname of allemaal dezelfde hostname gebaseerd op het type.

[Voor 19% gewijzigd door Ben(V) op 06-01-2023 13:23]

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.


  • deHakkelaar
  • Registratie: Februari 2015
  • Laatst online: 23:01
Ben(V) schreef op vrijdag 6 januari 2023 @ 13:16:
In consumenten router wordt dnsmasq nooit gebruikt in hun dhcp server.
M'n Asus router:
dehakkelaar@RT-N66U:/tmp/home/root# ps
[..]
20525 nobody    1040 S    dnsmasq --log-async

Geloof zelfs dat OpenWRT en nog een paar dnsmasq toepassen.
Van de wiki:
Consequently, it "is present in a lot of home routers and certain Internet of Things gadgets"[4] and is included in Android.
Wikipedia: dnsmasq
Ben(V) schreef op vrijdag 6 januari 2023 @ 13:16:
Een dhcp server vaste ipadressen voor al je vaste devices uit te laten geven werkt altijd en je hebt meteen een plek waar alles vastligt en tevens heb je een garantie dat het nooit wijzigt.
Ik probeer juist duidelijk te maken dat ik dat helemaal niet nodig vind dat alle IP's vast blijven.
Ben(V) schreef op vrijdag 6 januari 2023 @ 13:16:
En als er iets onbetrouwbaar is dan is het wel het gebruik van hostnamen plus dat het ook nog eens netwerk overhead geeft wat elke keer dat je een hostnaam gebruikt moet het netwerk gescande worden of die bestaat en welk ipdadres daar bij hoort.
Daar is cache voor.
Ben(V) schreef op vrijdag 6 januari 2023 @ 13:16:
Een switch heeft een ARP tabel waar hij de gebruikte ipadressen in bijhoud zodat hij altijd meteen weet waar het verkeer naartoe moet, als je hostnamen gebruikt moet dat eerst resolved worden.
En?
Ik heb liever gemak dan dat ik IPv4's moet onthouden laat staan IPv6 adressen.
Ben(V) schreef op vrijdag 6 januari 2023 @ 13:16:
En als je hostnamen gebruikt en de dhcp server geeft wel een ander ipadres aan dat device dan moet je overal je DNS cache gaan flushen voor je dat device weer kunt bereiken via zijn naam.
Met dnsmasq worden client DNS records (A, AAAA en PTR) automatisch aangemaakt voor de duratie van de DHCP lease.
Dus als de DHCP lease is verlopen, verlopen ook de DNS records en zal een host weer z'n DNS cache moeten verversen.

Ik merk dat je argumenten hebt toegevoegd aan je laatste bericht.
Ook deze argumenten vind ik niet doorslaggevend om nou voor van alles een administratie bij te houden ... KISS.

EDIT: Ow je kunt via DNS ook alias/CNAME records aanmaken.
Dus een makkelijke alias naar bv een moeilijke IoT hostnaam die niet te wijzigen valt.
En de TTL wordt dan overgenomen van het werkelijke DNS record.

[Voor 3% gewijzigd door deHakkelaar op 06-01-2023 14:23]

There are only 10 types of people in the world: those who understand binary, and those who don't


  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 22:41
Je kunt van alles, je kunt ook een DNS server in je lan opzetten.
Daar gaat het hier helemaal niet over.

Wat jij denk goed te doen moet je helemaal zelf weten, ik geef gewoon advies aan gemiddelde consumenten die iets komen vragen en bij mijn weten was jij niet de TS van dit topic.

En wat jij roept is voor mensen die ook goed kunnen googlen of er zelf voldoende verstand van hebben, maar voor de gemiddelde consument is ip in de dhcp server vastzetten het beste advies en dit is het laatste wat ik in deze zinloze discussie er over zeg.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee