Netwerk idee

Vraag;

Ik mijn netwerk thuis beter inrichten. Ben al bezig met ideeën, maar denk dat dit in 1e instantie toch nog iets te ingewikkeld is. Ik vermoed dat ik tzt wel met vLan 's wil gaan werken, dus die optie wil ik al wel rekening mee houden in de opzet (o.a. hardware).

Wie wil eens meekijken / mee denken en goede tips geven?

Eisen:
- gescheiden 'gast' netwerk; geen verkeer naar andere netwerken (* alleen wifi)
- voorrang/bandbreedte voor 'kantoor' apparaten (* wifi en bedraad)
- scheiden van 'kantoor' netwerk; geen toegang vanuit andere netwerken. Andersom wel (evt. via de buitenkant; VPN?)
- cloud opslag (onderdeel van de 3-2-1 backup) voor 'kantoor'
- Firewall
- thuis en kantoor kan door het hele huis WIFI verbinden en inprikken


Wensen
- camera 's op compleet apart en gescheiden netwerk, want chinese meuk (* Wifi + POE camera)
- IOT/Domotica remote inloggen, maar wel veilig! Dus VPN server? (future)
NB: IOT/Domotica/Camera kunnen beperkt tot de hoofdswitch (dus daar isoleren)


Wat heb ik:
- NUC VMWare host
- pfsense (virtual box)
- managed (vLan) switches
- 1x Unify AP die meerdere SSID 's ondersteund en vLAns
- €€€ voor een router/AP/iets anders


Nu is mijn idee als volgt:

- Firewall (VM) heeft één WAN IP en meerdere LAN IP adressen;
- geeft meerdere DHCP subnet IP adressen aan diverse clients uit afhankelijk van welke SSID
- routeert het verkeer en firewalled
(er is alleen geen scheiding als je bedraad verbind)

EDIT
Fuuu.. ben ik al de hele ochtend bezig, maar dit gaat niet lukken natuurlijk!
Meerdere Subnets door DHCP uitgeven op 1 netwerk. Misschien wel op de AP 's, maar bedraad never nooit niet.

Terug naar de tekentafel! (Toch denk ik dat de opzet niet gek is )



Ik denk dat het gaat werken

Gaan ze elkaar kunnen 'zien'? Ja, maar niet eenvoudig
Is dit superveilig en foul & future -proof? Nee


TLDR:
VMHOST (Esxi)
- één vSwitch0 waarop portgroups: (WAN, DMZ, MANAGEMENT, GAST, KANTOOR, HOME)
- Firewall PFSense met 1x WAN vNIC en 4x LAN vNIC (management, 1x DMZ 3x Firewalled LAN)
- VPN server in DMZ (future)

Een eigen gasten netwerk:
- SSID: 'GAST'
* eigen subnet [GAST] 192.168.178.x /24
* op hoofdswitch 3 poorten isololeren (?):
* hierop ook de Wifi camera + 1 bedraad poortje voor de POE camera, beiden met static lease
* hierop ook Philips HUE op 1 bedraad poortje met static lease
* hierop ook Domoticz server op 1 bedraad poortje met static lease en een random poort voor remote access

- SSID: 'KANTOOR'
* eigen subnet met DHCP [KANTOOR] 192.168.2.x /24
* alle poorten op de switches ( > isolated zetten / VLAN o.i.d. (future)

- SSID: 'HOME'
* eigen subnet met DHCP [HOME] 192.168.3.x /24
* alle poorten op de switches ( >VLAN o.i.d. (future)

- Subnet: 'MANAGEMENT'
* eigen subnet met DHCP for ease of use [MANAGEMENT] 192.168.0.x /24
* alle poorten op de switches (> isolated zetten / PVID / VLAN o.i.d. (future)

[ Voor 13% gewijzigd door bord4kop op 17-03-2023 12:30 ]

ok, dank voor de snelle reacties!

Dan zou het er zo uit kunnen zien?


Edit:
Waarbij Vlan0 en Vlan10 wel bij elkaar kunnen "kijken". maar Vlan 20 t/m 50 wel "fysiek" gescheiden zijn.

En dan moet ik in VMWare de Vlan0, Vlan10, Vlan20, Vlan30 en Vlan50 aanmaken en beschikbaar / koppelen aan de diverse vNICs.
Plus de Vlans 20 t/m 50 koppelen (taggen?) aan de nic van Vlan0 om vanuit 'management' netwerk bij alle netwerken te kunnen neem ik aan?

[ Voor 7% gewijzigd door bord4kop op 17-03-2023 13:31 ]

Das een goeie! Zeker voor VLAN50 want AP2 zit "twee switches verderop"

En als ik ergens m'n netwerk kabel inprik -dus op één van de switches- dan kan ik ook uitkomen op Vlan20, of vlan30 (En VLAN10 om management te kunnen doen). Toch?

PS: vond deze uitleg en deze uitleg wel handig. Voor wie hier ook mee begint
EDIT en deze uitleg maakte veel duidelijk!

NB: Dat moet ik overigens ook uitzoeken; hoe kunnen we dat -automatisch- scheiden?
"kantoor" apparaten naar > VLAN20 maar de Playstation van de kinderen, TV, etc naar > VLAN30..
statis leases? MAC leases? <= uitzoek werk
EDIT ^^ door Vlans te configgen op bijv poort 2-5 (VLAN20) en poort 6-8 (VLAN30) en daar in te prikken uiteraard


En dan zou het er ongeveer zo uit moeten zien?

[ Voor 57% gewijzigd door bord4kop op 20-03-2023 10:37 ]

nu nog even een praktische vraag;

Ik kan uplink poorten configureren op de switches. Maar slechts 1 per switch.

vraag 1: moet de uplink poort voor inkomend in switch of juist als uitgaand naar de volgende switch, dus rest van het LAN?
en meteen vraag 2: moet ik de snelste NIC van de Router / Firewall aan de LAN kant of WAN kant zetten?
De ene NIC is 1 Gb de andere 2,5Gb. Ik denk de snelste aan de LAN kant, want de Ziggo box (WAN) kan maar max 1Gb aan. Terwijl de LAN kant meerdere netwerken/VLAN 's moet verwerken.

Wat is nou het handigste:
De uplink als binnnenkomende poort op de switch;

[ Router/Firewall ] --- [ uplink poort 1 <> poort 2- 8 ] ---- [ uplink poort 1 <> poort 2- 8 ] -- [ AP ]

of
De uplink als uitgaande poort op de switch;

[ Router/Firewall ] --- [ poort 1-7 <> uplink poort 8 ] ---- [ poort 1-7 <> uplink poort 8 ] -- [ AP ]

of

De uplink zoveel mogelijk aan elkaar (binnen & uitgaand) op de switch;

[ Router/Firewall ] --- [ poort 1-7 <> uplink poort 8 ] ---- [ uplink poort 1 <> poort 2- 8 ] -- [ AP ]

[ Voor 11% gewijzigd door bord4kop op 18-03-2023 09:11 ]

thanks voor de quick reply!


Het zijn allenmaal Zyxel GS21200 (-5of -8) switches. Dit is de config van mijn 3e switch. Hierop zitten de 'HOME' en 'KANTOOR' clients en het 2e AP:





En de VLAN config:

[ Voor 13% gewijzigd door bord4kop op 18-03-2023 09:51 ]

Ik wordt er lichtelijk leip van ik krijg op de testmachine totaal niet wat ik verwacht. En al helemaal geen connectie naar internet.

Hier de config;

VMWare Host:
2 vSwitches aan twee fysieke NICs
diverse Portgroups met de VLAN 's





en van de pfsense VM (FW1)





PFsense VM:
WAN kant zit op de WAN vNic (en dus op vSwitch1)
Alle LAN vNICs zitten op vSwitch0





en de DHCP server van VLAN50 (GAST) (de andere zijn gelijk):



Op de pfsense doos heb ik verder nog geen instellingen gezet. Alles -standaard- met de setup/config via de webclient.
Met de 'diagnostic' test optie heb ik getest en kan ik naar internet (heb alle LAN en VLAN opties als 'source adress' getest).


Switch:
Hier de laatste instellingen op de switch.
(De "management laptop" zit op poort 1. De VMware host zit met de LAN kant in poort 2).

Ik heb allerlei configs in de switch gezet om uit te proberen. Dus met een 2e laptop een kabel in poort 3 t/m 8 geprikt (ipconfig /release && ipconfig /renew).
De resultaten staan in het plaatje erboven;
(poort 8 was te verwachten dat er een 192.168.2.x adres geleased zou worden, de internet connectie was wel een verassing.. )

[ Voor 5% gewijzigd door bord4kop op 19-03-2023 12:33 ]

jadjong schreef op zondag 19 maart 2023 @ 16:00:
[...]

WAN VLAN kan je natuurlijk vervangen door een losse vSwitch met 2e fysieke netwerkkaart als dat makkelijker is.
[Afbeelding]

Simpele opstelling, uitbreiden naar wens.

Hoe meer ik naar deze plaat kijk, hoe meer ik ervan overtuigd ben dat ik dit 1-op-1 kan plotten op mijn situatie.

Met andere woorden; dank! Ik ga dit nabouwen bij mij

En ook dat is gelukt!

Unifi is even zoeken om werkend te krijgen. Zeker als je -zoals ik- de AP 's zelf op een apart 'management' VLAN wil hebben.

Het is gelukt met instellen door de laptop met de Controller(-software) ook 'hard' in het management VLAN te plaatsen. Daarna werkt het voor de WLAN clients prima.
Maar helaas zie ik ze offline in de controller software. Ik denk dat dát ook oplosbaar is door een VM management machine te maken in het management VLAN.


maar goed. de AP zelf zijn daarentegen uitstekend!

Thanks @jadjong
Dat heeft wel geholpen in achterhalen van de juiste oplossing!
Omdat Ziggo om de één of andere reden mijn router niet fully in bridge heeft gezet, heb ik ook mijn oude Wifi nog. Dus ik kon daarop connecten. En toen met een beetje kunst en vliegwerk kon ik daarna de hele handel omzetten.

Dat geldt overigens ook voor de HUE bridge. Kreeg met geen mogelijkheid verbinding, (omdat de bridge geen internet connectie had).
Ook met de (factory-)reset knop bleef het ding toch op zijn 'oude' subnet hangen. Daar kwam ik met deze link achter. Dat was een fijne, want de meeste artikelen/blogs die ik raadpleegde voor hulp, vermelden alleen dezelfde bullcrap; reset bridge, reset modem etc..

Achteraf bleek overigens dat het ding geen VLAN tagging aankan. Op de switch een untagged poort gemaakt met een default vlan in het gasten netwerk. En toen deed ie het wel! (misschien zeg ik het fout, maar ik denk dat jullie wel begrijpen wat ik bedoel).
Misschien heeft een ander hier nog wat aan?


Tot slot:
Hier nog een handig linkje om de juiste MTU setting te vinden.

Het Netwek draait nu fijn hiero. En nu gaan we verder met fully bridge modus; een publiek IP op de WAN poort verkrijgen. En daarna VPN en OWNcloud in de DMZ.. Ik blijf lekker bezig

[ Voor 20% gewijzigd door bord4kop op 30-03-2023 10:54 ]

Jep, dat heb ik als een van de eerste dingen opgezet. Die management / beheer VM zit met pootjes in alle vLan 's.

Feit is dat de Hue Bridge geen verbinding naar Internet had toen hij op tagged vLan 50 op de Switch zat. Maar wel toen ik de poort untagged en PVID 50 maakte.

Dus misschien zei ik het wel verkeerd

[ Voor 6% gewijzigd door bord4kop op 31-03-2023 08:58 ]

right, het heeft een tijdje mooi gewerkt op de Intel NUC met VMWare! Maar de laatste weken krijg ik steeds vaker downtime.

Van buiten proberen ze op mijn VPN te komen (in de logs zag ik veel connect > failed attemps).

En het lijkt alsof de pfsense box fouten heeft op de datastore.
Na een move naar de andere datastore is hij corrupt geraakt. Dus nu is alles stuque.

Dus alles maar weer opnieuw opbouwen. De Box was toch al redelijk vervuild geraakt door alle gepruts..

Ik denk er nu over om een HA omgeving te maken op VMWare (met 2x NUC en Vmware essentials kit licenties). Ik heb een single WAN, dus de HA gaat over de Pfsense boxen en andere servers.

Dan nu de vragen;

- de NUC's aan elkaar koppelen met 1 NIC (per host) op vSwitch0 tbv HA en de service console en de WAN vNic
en de andere NIC (per host) op vSwitch1 voor LAN en alle vLAN 's


- of 1 Nic per host op 1 vSwitch0 voor de WAN verbinding (via een eigen vNIC)
en en de andere NIC (per host) op vSwitch1 voor LAN en alle vLAN 's en HA

Of iets compleet anders?

Of gewoon een andere hardware box (erbij) kopen?