Toon posts:

VLAN vraag Edgerouter X i.c.m. managed switches

Pagina: 1
Acties:

Vraag


  • floppydriver
  • Registratie: September 2022
  • Laatst online: 22:03
Dag, ik heb een vraag over het aanmaken van VLAN's in een nieuw netwerk. Wat ik zou willen heb ik onderstaand overzicht gepoogd inzichtelijk te maken:


De Edgerouter X draait nu prima op glasvezel-internet van T-Mobile (aangesloten op de GPON terminal). Op interface eth0 is een vlan 300 aangemaakt, dat werkt goed.

Nu heb ik door 2 loze leidingen (1 boven, 1 beneden) een CAT8 installatiekabel getrokken, meer kabels passen er niet in. Er is per verdieping dus 1 wandcontactdoos waarop een switch (op eth1 en eth2 van de Edgerouter) aangesloten kan worden.
Nu wil ik op die verdiepingen een aantal VLAN's gebruiken om o.a. WiFi in een ander VLAN te zetten, zodat deze bv. niet bij de VM's van de hypervisor kan komen. En dat werklaptops en IoT devices niet met elkaar in aanraking komen.
Op beide verdiepingen moet 1 gedeeld VLAN komen t.b.v. de access points.

Het idee was om op eth3 op de Edgerouter een aansluiting te houden waarmee ik met een PC de Edgerouter en switches kan beheren. Op eth1 en eth2 kun je daar dan niet via HTTPS en SSH bij de router komen.

Is dit mogelijk zoals ik dit voor ogen heb? En waar ga ik de VLAN's aanmaken? Op de Edgerouter of op de switches? De firewall-regels voor de VLAN's moet ik dan in de Edgerouter maken lijkt me.

Bedankt voor jullie input!

Beste antwoord (via floppydriver op 19-02-2023 20:50)


  • Jay-B
  • Registratie: Mei 2007
  • Laatst online: 22:22
floppydriver schreef op vrijdag 10 februari 2023 @ 21:28:
Dit ga ik proberen bedankt voor de tip.
Hoe sta ik toe dat apparaten die via WiFi verbonden zijn met vlan 900 kunnen communiceren met de bedrade printer op vlan 903?
Dit vlan 903 moet dan wel benaderbaar zijn voor een select aantal apparaten waarvan ik de IP adressen weet (static leases) zonder dat bv alle werklaptops en wifi clients erbij kunnen.
Er zijn meerdere wegen naar Rome. In de basis is het efficiënter om hosts met dezelfde rechten te groeperen in een VLAN. Dat zou normaal gesproken ook gebeuren als je LAN niet virtueel zou zijn. Dat maakt niet alleen je firewall ruling simpeler ook kan je in de toekomst makkelijker nieuwe regels toevoegen om de juiste scheiding tussen hosts al is gemaakt. Je zou er dus voor kunnen kiezen om de hosts die niet mogen printen in en ander VLAN te gooien. Hierdoor hoef je niet te klungelen met statische IP leases en is je oplossing robuuster en makkelijker uit te breiden.

Alle reacties


  • lier
  • Registratie: Januari 2004
  • Laatst online: 21:32

lier

MikroTik nerd

floppydriver schreef op vrijdag 10 februari 2023 @ 12:36:
Is dit mogelijk zoals ik dit voor ogen heb?
Ja
En waar ga ik de VLAN's aanmaken? Op de Edgerouter of op de switches?
Beiden
De firewall-regels voor de VLAN's moet ik dan in de Edgerouter maken lijkt me.
Lijkt mij ook ;)

Eerst het probleem, dan de oplossing


  • floppydriver
  • Registratie: September 2022
  • Laatst online: 22:03
Bedankt voor je reactie.
Op de Edgerouter moet ik dan dus op bv eth1 vlan’s 900, 901 én 902 toevoegen en op de switch per poort 1 vlan toewijzen? Dan kan ik ze dus in aparte IP ranges krijgen en voor die hele groep waar alle apparaten binnen VLAN X onder vallen regels toevoegen?

  • valkenier
  • Registratie: Maart 2000
  • Laatst online: 27-03 11:00
Je kan toch een trunk opzetten naar de switches, en daar weer splitsen?

  • floppydriver
  • Registratie: September 2022
  • Laatst online: 22:03
Dit ga ik proberen bedankt voor de tip.
Hoe sta ik toe dat apparaten die via WiFi verbonden zijn met vlan 900 kunnen communiceren met de bedrade printer op vlan 903?
Dit vlan 903 moet dan wel benaderbaar zijn voor een select aantal apparaten waarvan ik de IP adressen weet (static leases) zonder dat bv alle werklaptops en wifi clients erbij kunnen.

[Voor 9% gewijzigd door floppydriver op 10-02-2023 21:28]


  • nelizmastr
  • Registratie: Maart 2010
  • Laatst online: 15:25

nelizmastr

Goed wies kapot

floppydriver schreef op vrijdag 10 februari 2023 @ 21:28:
Dit ga ik proberen bedankt voor de tip.
Hoe sta ik toe dat apparaten die via WiFi verbonden zijn met vlan 900 kunnen communiceren met de bedrade printer op vlan 903?
Dit vlan 903 moet dan wel benaderbaar zijn voor een select aantal apparaten waarvan ik de IP adressen weet (static leases) zonder dat bv alle werklaptops en wifi clients erbij kunnen.
Dat wordt een firewall regel maken die toegang tot de printer danwel het VLAN toestaat van alleen die IP’s. Daaronder een drop all zoals gebruikelijk voor de rest.

I reject your reality and substitute my own


Acties:
  • Beste antwoord
  • 0Henk 'm!

  • Jay-B
  • Registratie: Mei 2007
  • Laatst online: 22:22
floppydriver schreef op vrijdag 10 februari 2023 @ 21:28:
Dit ga ik proberen bedankt voor de tip.
Hoe sta ik toe dat apparaten die via WiFi verbonden zijn met vlan 900 kunnen communiceren met de bedrade printer op vlan 903?
Dit vlan 903 moet dan wel benaderbaar zijn voor een select aantal apparaten waarvan ik de IP adressen weet (static leases) zonder dat bv alle werklaptops en wifi clients erbij kunnen.
Er zijn meerdere wegen naar Rome. In de basis is het efficiënter om hosts met dezelfde rechten te groeperen in een VLAN. Dat zou normaal gesproken ook gebeuren als je LAN niet virtueel zou zijn. Dat maakt niet alleen je firewall ruling simpeler ook kan je in de toekomst makkelijker nieuwe regels toevoegen om de juiste scheiding tussen hosts al is gemaakt. Je zou er dus voor kunnen kiezen om de hosts die niet mogen printen in en ander VLAN te gooien. Hierdoor hoef je niet te klungelen met statische IP leases en is je oplossing robuuster en makkelijker uit te breiden.

  • Frogmen
  • Registratie: Januari 2004
  • Niet online
Bedenk wel dat airprint zich waarschijnlijk niet laat routeren dus ik zou die printer wel in hetzelfde netwerk zetten. Net als veel Iot devices laat zich allemaal minder makkelijk routeren. Bedenk het zijn thuis producten.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


  • Zenix
  • Registratie: Maart 2004
  • Nu online

Zenix

BOE!

Frogmen schreef op zaterdag 11 februari 2023 @ 12:35:
Bedenk wel dat airprint zich waarschijnlijk niet laat routeren dus ik zou die printer wel in hetzelfde netwerk zetten. Net als veel Iot devices laat zich allemaal minder makkelijk routeren. Bedenk het zijn thuis producten.
Dit inderdaad zelfde met bijvoorbeeld chromecast.

  • boomer21
  • Registratie: Mei 2015
  • Laatst online: 14:42
Frogmen schreef op zaterdag 11 februari 2023 @ 12:35:
Bedenk wel dat airprint zich waarschijnlijk niet laat routeren dus ik zou die printer wel in hetzelfde netwerk zetten. Net als veel Iot devices laat zich allemaal minder makkelijk routeren. Bedenk het zijn thuis producten.
Volgens mij werkt mdns repeater wel goed met AirPrint ( multicast) hoef je niks in te stellen met firewall rules .

YouTube: IOT Across Subnets with EdgeRouter
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee