Netwerk met Vlan's

dinsdag 6 juni 2023 09:55

Acties:

0 Henk 'm!

Topicstarter

Ik wil een TP-link outdoor AP en een of twee bedrade P camera's installeren. De camera's en AP worden gevoed middels PoE.

Nu leek het mij een goed idee om gelijk eens te kijken naar een goede beveiliging van het netwerk. Na mij ingelezen te hebben over Vlan's lijkt het mij een goed idee om middels Vlan's e.e.a. te scheiden.

Nu had ik gedacht om het als volgt op te zetten:

modem/router isp ->Managed switch (om Vlan's in te kunnen stellen)

De volgende Vlan's had ik in gedachten:

Vlan10
Pc, printer (draadloos), nas

Vlan20
Alle camera's

Vlan30
TP-link outdoor AP

De camera's in een aparte Vlan, daar deze geen internet nodig zijn. Opnemen van beelden gebeurt middels Synology SS op de nas. als ik het goed begrijp kan ik middels regels in de firewall, zorgen dat de camera's zichtbaar zijn in het netwerk van Vlan10

De outdoor AP in een aparte Vlan, zodat niemand via wifi toegang heeft tot het netwerk. Enkel moet de nas beschikbaar zijn, zodat ik muziek kan streamen, welke op de nas staat. Dit kan ik ook weer regelen in de firewall.

Bij de outdoor AP is een PoE adapter/injector geleverd. Deze kan ik nog in de meterkast aansluiten en dan een lange kabel naar buiten naar de AP. Dan hoeft de managed switch geen PoE poorten te hebben.

Voor de camera's ligt het anders. Deze worden gevoed door PoE en daarvoor zou ik een unmanaged switch met PoE poorten willen aansluiten op de managed switch en dan alle camera's op de unmanaged switch aansluiten.

Klopt mijn gedachten gang of denken jullie er anders over?

dinsdag 6 juni 2023 10:06

Acties:

+1 Henk 'm!

lier

MikroTik nerd

Zonder router met VLAN ondersteuning heb je niets aan je idee. Welk model heb je...?

[ Voor 15% gewijzigd door lier op 06-06-2023 10:08 ]

Eerst het probleem, dan de oplossing

dinsdag 6 juni 2023 10:17

Acties:

0 Henk 'm!

Paul

Het modem/router van je ISP snapt over het algemeen geen VLANs en kan niet routeren tussen meerdere subnetten. Je zult dus ook een ander modem en/of router moeten kopen. Je moet ook na gaan denken over je firewallregels, wie mag waar bij, tot op poortnummer-niveau.

Je camera's op een unmanaged switch kan prima, dan stel je de poort op je managed switch waar de unmanaged switch op zit in als camera-poort. Je kunt ook voor een uitvoering: TP-Link TL-SG108PE gaan, die doet POE en snapt VLANs.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

dinsdag 6 juni 2023 11:10

Acties:

0 Henk 'm!

mash_man02

Hou er ook rekening mee dat in veel huis tuin en keuken situaties device discovery vaak met mdns en dus multicast werkt.

Het vinden van printers in andere vlans moet je dan hele speciale maatregelen voor treffen die in veel routers simpelweg niet ondersteund worden.

Dus het kan wel , maar realiseer je van te voren hoe je de apparaten op je netwerk vindt voordat je ze van elkaar scheidt.

Asus X570-E AMD ryzen 5800x3D 64Gb Sapphire 7900xtx X-vapor nitro+

dinsdag 6 juni 2023 11:18

Acties:

+1 Henk 'm!

Frogmen

Bedenk eerst eens welk beveiligingsrisico je aan het wegnemen bent? Want je outdoor AP is net zo kwetsbaar als je indoor. Voor thuis is het echt overkill, dat er Tweakers zijn die het doen is vaak omdat het kan. Voor hun is het hobby/ kennis ontwikkeling etc. Voor normaal thuis niet nodig en als je zeker wilt weten dat je camera's niet stiekem naar China verbinden geef ze dan een handmatig IP adres zonder gateway of een valse gateway.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

dinsdag 6 juni 2023 11:27

Acties:

0 Henk 'm!

SniperGuy

lier schreef op dinsdag 6 juni 2023 @ 10:06:
Zonder router met VLAN ondersteuning heb je niets aan je idee. Welk model heb je...?

Technisch gezien kan het zonder router: de Synology ondersteund immers trunks met meerdere VLANs over een (logische) verbinding.
Je kunt dan alleen niet van het ene naar het andere vlan connecten of naar het internet connecten vanaf VLAN20 en 30, maar dat is geen requirement van de TS

[ Voor 20% gewijzigd door SniperGuy op 06-06-2023 11:29 ]

dinsdag 6 juni 2023 11:29

Acties:

0 Henk 'm!

Paul

SniperGuy schreef op dinsdag 6 juni 2023 @ 11:27:
Technisch gezien kan het zonder router: de Synology ondersteund immers trunks met meerdere VLANs over een (logische) verbinding.

Ja, dan kun je bij je synology. Voor de camera's zou dat genoeg kunnen zijn, maar ik vermoed dat het wel de bedoeling is dat mensen die met het outdoor AP verbinden (vlan 30) op het internet kunnen, net als de PC (vlan 10).

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

dinsdag 6 juni 2023 11:30

Acties:

0 Henk 'm!

SniperGuy

Paul schreef op dinsdag 6 juni 2023 @ 11:29:
[...]
Ja, dan kun je bij je synology. Voor de camera's zou dat genoeg kunnen zijn, maar ik vermoed dat het wel de bedoeling is dat mensen die met het outdoor AP verbinden (vlan 30) op het internet kunnen, net als de PC (vlan 10).

Nope hoeft niet volgens de TS

De outdoor AP in een aparte Vlan, zodat niemand via wifi toegang heeft tot het netwerk. Enkel moet de nas beschikbaar zijn, zodat ik muziek kan streamen, welke op de nas staat. Dit kan ik ook weer regelen in de firewall.

dinsdag 6 juni 2023 11:47

Acties:

0 Henk 'm!

Paul

Ah, dan heb ik niet goed gelezen. Enigszins onconventioneel gebruik voor een AP, vandaar

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

dinsdag 6 juni 2023 13:29

Acties:

0 Henk 'm!

Rolla

Topicstarter

Dank voor de reacties.

Ik ben niet geheel duidelijk geweest, realiseer ik mij. De outdoor AP moet het internet op kunnen.

Ik heb over het hoofd gezien dat mijn modem/router vlan's moet ondersteunen.

Waar het mij omgaat is dat de camera's niet door kwaadwillenden via internet bekeken kunnen worden en niemand via de wifi mijn netwerk kan hacken.

De optie om de camera's een vast ip-adres te geven met een valse of geen gateway is ook een optie.

Ik ga mij er nog eens verder in verdiepen.

[ Voor 4% gewijzigd door Rolla op 06-06-2023 13:31 ]

woensdag 7 juni 2023 12:06

Acties:

0 Henk 'm!

Rolla

Topicstarter

Ik heb mij nog verder ingelezen en een andere optie die ik zie is het instellen van een gastnetwerk, mits de modem/router van mijn isp het ondersteund. Dan kan alles, behalve pc, printer, nas en camera's in het gastnetwerk.

De camera's geef ik een vast ip-adres en middels port forwarding pas ik de standaard gebruikte poort 80 aan in iets boven de 1024 en onder de 45000. Dus elke camera zijn eigen poort.

Voor het Wifi netwerk ga ik een SSID gebruiken, die niet te herleiden valt naar mij persoonlijk of de gebruikte apparatuur.

Lijkt mij dat ik dan qua beveiliging op de goede weg zit.

Dan hoef ik voor dit moment alleen switch aan te schaffen die ook PoE poorten heeft.

Ik dacht aan de TP-Link TL-SG108PE.

Deze opzet scheelt de aanschaf van een router. Dit geld kan ik dan bij de camera's leggen. Mocht ik in de toekomst wel iets met vlan's willen dan heb ik al een Managed switch.

[ Voor 13% gewijzigd door Rolla op 07-06-2023 12:11 ]

woensdag 7 juni 2023 13:12

Acties:

0 Henk 'm!

rens-br

Admin IN & Moderator Mobile

Rolla schreef op woensdag 7 juni 2023 @ 12:06:
De camera's geef ik een vast ip-adres en middels port forwarding pas ik de standaard gebruikte poort 80 aan in iets boven de 1024 en onder de 45000. Dus elke camera zijn eigen poort.

Als ik het goed begrijp hang je dan je camera direct aan het internet? Als je graag van buiten je netwerk je camera's wilt bekijken zou ik een VPN aanraden.

woensdag 7 juni 2023 16:48

Acties:

+1 Henk 'm!

Rolla

Topicstarter

Dank voor de reactie.

Hoe ik de camera's buiten het netwerk ga benaderen, had ik nog niet over nagedacht. Aangezien het mogelijk is op de nas Synology VPN server te installeren, zou ik middels openVPN een verbinding kunnen instellen. OpenVPN werkt nl. ook op mijn Android tablet en telefoon.

Al gebruik ik vpn, dan is het toch als nog verstandig om de standaardpoort 80 in de camerainstellingen te wijzigen?

https://kb.synology.com/n...ology_NAS_as_a_VPN_server

https://kb.synology.com/n...VPN_Server_via_Windows_PC

zondag 18 juni 2023 17:59

Acties:

0 Henk 'm!

Rolla

Topicstarter

Kabel: https://www.elektramat.nl...6-kabel-rol-van-50-meter/
Stekker: https://www.elektramat.nl/emhub-rj45-connector-cat-6/

Ik heb bovenstaande kabel en stekkers besteld. Nu heb ik ongeveer 5 cm van de mantel afgehaald en het stukje plastic, wat tussen de aderparen zit, afgeknipt. Vervolgens de losse draden op volgorde gelegd en afgeknipt, zodat ze in de stekker passen. Echter als ik ze er in druk dan gaat altijd wel weer een draadje knikken / verbuigen, waardoor ze niet netjes in de stekker zitten.

Nu zag ik ook dat Hirschmann RJ45 stekkers zijn, waar de aders geheel door heen lopen en bij het krimpen van de stekker, wordt het te aan aders er afgeknipt. Lijkt mij een makkelijkere optie?

Het probleem is dat ik geen patchkabel kan gebruiken, omdat bij de camera een tule bij zit, waar ik de stekker niet door heen krijg. Deze tule draai op de connector van de camera, zodat de verbinding waterdicht is.

zondag 18 juni 2023 18:13

Acties:

0 Henk 'm!

Mini-me

Rolla schreef op zondag 18 juni 2023 @ 17:59:
Kabel: https://www.elektramat.nl...6-kabel-rol-van-50-meter/
Stekker: https://www.elektramat.nl/emhub-rj45-connector-cat-6/

Ik heb bovenstaande kabel en stekkers besteld. Nu heb ik ongeveer 5 cm van de mantel afgehaald en het stukje plastic, wat tussen de aderparen zit, afgeknipt. Vervolgens de losse draden op volgorde gelegd en afgeknipt, zodat ze in de stekker passen. Echter als ik ze er in druk dan gaat altijd wel weer een draadje knikken / verbuigen, waardoor ze niet netjes in de stekker zitten.

Nu zag ik ook dat Hirschmann RJ45 stekkers zijn, waar de aders geheel door heen lopen en bij het krimpen van de stekker, wordt het te aan aders er afgeknipt. Lijkt mij een makkelijkere optie?

Het probleem is dat ik geen patchkabel kan gebruiken, omdat bij de camera een tule bij zit, waar ik de stekker niet door heen krijg. Deze tule draai op de connector van de camera, zodat de verbinding waterdicht is.

Deze kabel heeft een massief koperen kern. Is vooral bedoeld voor patch panels en wall connectors (=mini patch panel), niet voor RJ45 stekkers.
Ik heb het hier ook gedaan met vergelijkbare stekkers en het lukte mij wel, maar zorg dat je de aders niet te lang laat en dat ze goed plat naast elkaar liggen als je de connector er op schuift. Eventuele bochtjes die nog resteren na het ontrafelen van de twisted pairs moet je goed glad strijken. Doe je het nauwkeurig, dan krijg je de connector wel op zijn plek.
Zorg ook dat je de krimptang extra strak aanknijpt want de manier waarop de tandjes van de connector in de vaste kern gaan, is niet ideaal voor goed contact.
Succes!

zondag 18 juni 2023 20:55

Acties:

0 Henk 'm!

Rolla

Topicstarter

Ik heb deze kabel bewust gekocht, vanwege de massief koperen keren. Ik wil de kabel nl. gebruiken om middels PoE camera's en een AP te voeden.

Ik heb het nog eens geprobeerd en de aders netjes glad gestreken en goed naast elkaar neer gelegd en vervolgens op de juiste lengte afgeknipt en de stekker er op gekrompen. Helaas toch niet helemaal goed gegaan. Om uit te sluiten dat de stekker er niet goed op gekrompen is, ga ik morgen even een professionelere tang van het werk lenen. Wellicht dat mijn plastic tang, die het altijd goed gedaan heeft, wellicht niet geschikt is voor cat6 met massief koperen kern.

Vraag

Alle reacties