Toon posts:

Thuisnetwerk segmenteren in VLAN's. Hoe regel ik Proxmox?

Pagina: 1
Acties:

Onderwerpen

Vlan

Vraag

maandag 17 juli 2023 14:51

Acties:
  • 0 Henk 'm!
  • joep03nl
  • Registratie: April 2019
  • Laatst online: 11-09 07:21

joep03nl

Topicstarter
Vanuit, voornamelijk, veiligheidsoverwegingen wil ik mijn thuisnetwerk gaan segmenteren middels VLAN. Inmiddels behoorlijk wat iOT-devices in en rond het huis en ik wil niet dat deze apparaten bij mijn PC/NAS/Laptop kunnen komen. Afgelopen weken veel gelezen over deze (voor mij) nieuwe materie en sinds kort bezitter vaan een Edgerouter 6P.

Hoe zit m'n huidige netwerk eruit?

Media converter > Edgerouter 6P > Netgear GS108Ev3.
Op de Netgear switch:
  • port 1: edgerouter
  • port 2: acces point
  • port 3: thinclient met Proxmox
  • port 4: deskopt PC
  • port 5: Enphase Envoy
  • port 6: Synology NAS
Nu wil ik m'n netwerk gaan segmenteren:
  • VLAN2: sommige containers/vm's van thinclient
  • VLAN3: sommige containers/vm's van thinclient én PC, NAS
  • VLAN4: Enphase Envoy
  • VLAN5: gastennetwerk (maar dat komt later wel)
Om het wat duidelijker te maken heb ik getracht om e.e.a. te tekenen:
Afbeeldingslocatie: https://tweakers.net/i/bC93Gmy6JzUrtcMT2sUUPtUZlu0=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/seyWdDq8Z1uUkv1z4HfABcZR.jpg?f=user_large

Op de Egderouter heb ik de verschillende VLAN's (en DHCP servers) aangemaakt. Dit lijkt goed te werken (PC en NAS krijgen een IP toegewezen dat in een ander subnet zit dan de andere apparaten). Echter, het deel van de thinclient krijg ik niet voor elkaar. Ik vermoed dat er in de config van de switch iets niet goed staat, maar zeker in Proxmox moet er wat gebeuren. Gisteren heb ik de boel helemaal omzeep geholpen, dus daarom vraag ik hier nu maar om hulp ;) .

Proxmox heb ik weer hersteld, onderstaande heb ik bij netwerk van de node:

Afbeeldingslocatie: https://tweakers.net/i/Er0KKgRyrlUF6LNHrCjWV559GCg=/800x/filters:strip_icc():strip_exif()/f/image/xMfQPzgQhI5jrcqZpYOxrzfA.jpg?f=fotoalbum_large

En dit bij de Wireguard container (dit is de oude situatie nog):

Afbeeldingslocatie: https://tweakers.net/i/XMw8zzmemMBODUcQJOFYuf3G3yY=/800x/filters:strip_icc():strip_exif()/f/image/TCQjyKpKPWj2ycHVE8vTiqMC.jpg?f=fotoalbum_large

Wie kan met helpen met het opsplitsen van de thinclient in VLAN2 / VLAN3 ?

Additionele vragen:
  • Is het mogelijk om vanaf VLAN3 bij de andere VLAN's te komen, maar niet andersom?
  • PiHole wil ik in VLAN3, maar kan ik PiHole dan ook gebruiken in de andere VLAN's?
  • Vanuit de NAS (VLAN3) kan ik pingen naar apparaten in VLAN2, maar niets andersom. Dat is wat ik wil, maar ik snap niet hoe ik dat voor elkaar heb gekregen.

[ Voor 7% gewijzigd door joep03nl op 17-07-2023 15:07 ]

Alle reacties

maandag 17 juli 2023 15:22

Acties:
  • +1 Henk 'm!
  • PeeCee
  • Registratie: September 2005
  • Laatst online: 09-09 21:47

PeeCee

Ik ken Proxmox niet, maar volgens mij zijn hier twee mogelijkheden als..

Als proxmox kan 'fungeren' als een 'switch', moet je volgens mij VLAN 2 & 3 Taggen op poort 3, en per container de VLAN aangeven.

Als proxmox niet kan 'fungeren' als 'switch' moet je volgens mij niet un-tag/tag doen en de thinclient op het navite vlan laten en alleen in proxmox bij de container de VLAN aangeven.

Als ik denk aan mijn gedachten en kijk naar jou plaatje, heb je het native vlan niet mee gerekend en probeer je alles in een eigen vlan te stoppen, terwijl de basis natuurlijk zonder vlan kan en je alleen dat moet segmenteren wat je wilt afscheiden van de rest.

Dus als je basis behoefte NAS-PC enz is, dan hoef je alleen vlan's te maken voor IOT, Gasten en Omvormer.

https://jarnobaselier.nl/...betekent-tagged-untagged/

[ Voor 4% gewijzigd door PeeCee op 17-07-2023 15:23 ]

maandag 17 juli 2023 18:46

Acties:
  • 0 Henk 'm!
  • joep03nl
  • Registratie: April 2019
  • Laatst online: 11-09 07:21

joep03nl

Topicstarter
PeeCee schreef op maandag 17 juli 2023 @ 15:22:
Als proxmox kan 'fungeren' als een 'switch', moet je volgens mij VLAN 2 & 3 Taggen op poort 3, en per container de VLAN aangeven.
Ik had al geprobeerd om VLAN 2 én 3 te taggen op poort 3, maar dan krijg ik geen verbinding meer met Proxmox. Nu heb ik op poort 3 VLAN 3 getagged en VLAN 2 untagged. Dat lijkt goed te werken (nieuwe Wiregaurd container aangemaakt, die krijgt een IP-adres uit VLAN3 en werkt verder prima).

Echter, ik kan pingen vanaf apparaten uit VLAN 3 naar apparaten in VLAN 2 (en dat wil ik ook), maar ik kan óók pingen van VLAN 2 naar VLAN 3 (en dat wil ik niet).

dinsdag 18 juli 2023 00:12

Acties:
  • 0 Henk 'm!
  • PeeCee
  • Registratie: September 2005
  • Laatst online: 09-09 21:47

PeeCee

@joep03nl Maar als ik je afbeelding bekijk zie ik dat je op de proxmox zowel vlan 2 als 3 wil gebruiken toch? In de nieuwe situatie kan je dan alleen vlan 3 gebruiken op de proxmox?

Verder valt mij op in je afbeelding dat je voor elke vlan de zelfde ip-reeks 192.168.2.x gebruikt en dus de zelfde gateway?

Om op de Proxmox Vlan 2 en 3 te kunnen gebruiken, of welke dan eigenlijk ook, moet de basis naar mijn idee in je native-vlan zitten. Verder kan je voor elke ander segment een vlan maken met eigen ip-reeks om het simpel te houden.

Zoiets:?
Afbeeldingslocatie: https://tweakers.net/i/VHlKanzAP8R1GIC_kb1faryF0_k=/800x/filters:strip_exif()/f/image/yX3OaywbTn2w5EJXHwLqe3yN.png?f=fotoalbum_large


Op poort 1 (uplink edgrouter) tag je alles.
Op poort 2 (AP) tag/untag niets
Op poort 3 (Thin client) tag je alles. Als je dan in de Proxmox een Vlan toewijst zou dit moeten werken.
Op poort 5 (Enphase Envoy) untage je vlan 4.
Op poort 4 en 6 (pc+nas) tag/untag je niets en zitten die op je native-vlan.

Mij viel op dat ik je eerdere vragen heb gemist.

Additionele vragen:
Is het mogelijk om vanaf VLAN3 bij de andere VLAN's te komen, maar niet andersom?
- Ja, volgens mij heb je hier wel iets aan: https://help.ui.com/hc/en...est-Network-on-EdgeRouter Youtube: YouTube: EdgeRouter IoT/Guest Network Isolation
(Niet volledig gelezen/bekeken)

PiHole wil ik in VLAN3, maar kan ik PiHole dan ook gebruiken in de andere VLAN's?
- Dat kan zeker. Echter is de vraag of het wel handig is vanuit security oogpunt. Als je bijv. je Iot vlan 2, toelaat PiHole te bereiken, zit je in het netwerk die je juist wil afscheiden om dit te voorkomen.

Vanuit de NAS (VLAN3) kan ik pingen naar apparaten in VLAN2, maar niets andersom. Dat is wat ik wil, maar ik snap niet hoe ik dat voor elkaar heb gekregen.
- Zie antwoord eerste vraag.

dinsdag 18 juli 2023 07:16

Acties:
  • 0 Henk 'm!
  • joep03nl
  • Registratie: April 2019
  • Laatst online: 11-09 07:21

joep03nl

Topicstarter
@PeeCee dank voor je uitgebreide reacties!
De IP-adressen zijn de oude ip-adressen van toen ik nog een Asus router gebruikte, sorry voor de onduidelijkheid.

Donderdag een dagje vrij, dan ga ik de routerr en switch eens een harde reset geven en alles proberen te doen zoals jij aangeeft.

vrijdag 21 juli 2023 12:18

Acties:
  • 0 Henk 'm!
  • PeeCee
  • Registratie: September 2005
  • Laatst online: 09-09 21:47

PeeCee

@joep03nl Gelukt?

vrijdag 21 juli 2023 13:21

Acties:
  • 0 Henk 'm!
  • joep03nl
  • Registratie: April 2019
  • Laatst online: 11-09 07:21

joep03nl

Topicstarter
@PeeCee Ja, voor een groot deel wel!

Uiteindelijk zijn de ID's was gewisseld, maar dat geeft niet. Uitendelijk zat m'n probleem meer in de firewall van de Edgerouter dan de instellingen van de switch (er werden voor de VLAN geen IP-adressen uitgedeeld, nadat ik een regel had toegevoegd gebeurde dat wel :) ). Het WiFi-gedeelte moet ik nog verder oppakken. Ik heb nog geen goede access point, dus voor nu één Asus router in gebruik voor IoT en een andere Asus route voor privé WiFi.

Iemand nog aanbevelingen voor een bepaald access point die om kan gaan met VLAN?

Voor het nageslacht de settings van de Netgear switch:

Afbeeldingslocatie: https://tweakers.net/i/ATmKPU3nMQPBmB77S3Popz-UV_M=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/doirmzcAiJlgarnIQ0CpvI1m.jpg?f=user_large
Afbeeldingslocatie: https://tweakers.net/i/b7P4jVXmSIXgWdFtdzjz_g9aQjQ=/x800/filters:strip_icc():strip_exif()/f/image/P1ob4dA7OVossf4s3Rixm5Jt.jpg?f=fotoalbum_large

zaterdag 22 juli 2023 13:16

Acties:
  • 0 Henk 'm!
  • Frogmen
  • Registratie: Januari 2004
  • Niet online

Frogmen

Gebruik je nu in de verschillende Vlan's dezelfde IP range? Dit gaat problemen opleveren om straks eventueel verkeer tussen de vlan's te routeren etc. In principe heeft ieder vlan zijn eigen subnet.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

zaterdag 22 juli 2023 14:18

Acties:
  • 0 Henk 'm!
  • joep03nl
  • Registratie: April 2019
  • Laatst online: 11-09 07:21

joep03nl

Topicstarter
Frogmen schreef op zaterdag 22 juli 2023 @ 13:16:
Gebruik je nu in de verschillende Vlan's dezelfde IP range?
Nee, ieder VLAN heeft z'n eigen subnet.

zaterdag 22 juli 2023 14:20

Acties:
  • 0 Henk 'm!
  • Frogmen
  • Registratie: Januari 2004
  • Niet online

Frogmen

Blijkt niet echt uit je tekening met de ip adressen.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

zaterdag 22 juli 2023 14:41

Acties:
  • 0 Henk 'm!
  • joep03nl
  • Registratie: April 2019
  • Laatst online: 11-09 07:21

joep03nl

Topicstarter
Dat zijn de IP-adressen van vóór VLAN, zie ook m'n bericht van 18 juli

zondag 23 juli 2023 22:14

Acties:
  • 0 Henk 'm!
  • PeeCee
  • Registratie: September 2005
  • Laatst online: 09-09 21:47

PeeCee

joep03nl schreef op vrijdag 21 juli 2023 @ 13:21:
@PeeCee Ja, voor een groot deel wel!

Uiteindelijk zijn de ID's was gewisseld, maar dat geeft niet. Uitendelijk zat m'n probleem meer in de firewall van de Edgerouter dan de instellingen van de switch (er werden voor de VLAN geen IP-adressen uitgedeeld, nadat ik een regel had toegevoegd gebeurde dat wel :) ). Het WiFi-gedeelte moet ik nog verder oppakken. Ik heb nog geen goede access point, dus voor nu één Asus router in gebruik voor IoT en een andere Asus route voor privé WiFi.

Iemand nog aanbevelingen voor een bepaald access point die om kan gaan met VLAN?

Voor het nageslacht de settings van de Netgear switch:

[Afbeelding]
[Afbeelding]
Mooi!

Zelf gebruik ik Unifi AP's en ben er best tevreden mee. Voordeel is dat het relatief goedkoop is voor wat je krijgt, nadeel is dat je voor sommige set-up's alles van unifi moet hebben wel het goed werken en het dus weer meer geld kost.

Ik zou gewoon even zoeken op internet. Is ook wel een beetje de vraag wat je precies wil naast het gebruik van vlan's. Meer ap's nodig voor dekking? Wil je een gasten netwerk er naast met isolatie van clients?

maandag 24 juli 2023 13:12

Acties:
  • 0 Henk 'm!
  • joep03nl
  • Registratie: April 2019
  • Laatst online: 11-09 07:21

joep03nl

Topicstarter
Gisteren is de Netgear switch vervangen door een Unifi 8 60Watt en de 2 Asus routers vervangen door een UAP AC Pro. Voorlopig lijkt het erop dat hier één Unifi AP voldoende is, maar dat is de komende weken nog even bekijken.

UniFi Network Application draaien in een LXC op de thinclient. Je moet het even doorhebben, maar dan werkt het wel allemaal super makkelijk.

Belangrijkste doel was in traffic te scheiden middels VLAN's, dat is nu gebeurd. Gasten-netwerkje opzetten moet ik nog doen, maar dat lijkt kinderwerk.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq