Unifi netwerk uitbreiden en upgraden incl. VLANs

VLANS aanmaken is niet het grootste probleem: dat is makkelijk.
Je uitdaging is op de goede plekken de firewall rules zetten: de enige goede plek is LAN IN.

Dat je VLAN1 niet moet gebruiken is onzin, zeker in Unifi land waar eigenlijk management van alle devices via VLAN1 loopt. Heb je daar een probleem dan kan je nergens meer bij. DONOTUSEVLAN1 is eigenlijk alleen in grote corporate netwerken zo.

[ Voor 4% gewijzigd door SniperGuy op 01-12-2023 16:39 ]

FredXP schreef op vrijdag 1 december 2023 @ 16:47:
Maar dan zou ik alles van VLAN10 in VLAN1 kunnen stoppen?

Nee, die gebruik je enkel voor management interfaces. Als je een servertje hebt met een remote desktop/ipmi-poort dan kan je die er thuis ook wel bij pluggen.

Dus je AP's, switches, bridges en andere ongein hebben allemaal een IP in VLAN1, de router heeft een ip in alles.

FredXP schreef op zaterdag 2 december 2023 @ 09:00:
Klinkt logisch als je het zo zegt 👍🏻

Gaat een uitdaging worden maar heb er wel zin in.
Wat is de meest handige manier om de VLAN firewall rules te checken?
Pingen vanuit/naar de verschillende VLANs?

En hoe staat standaard de WAN beveiliging ingesteld?

De WAN beveiliging staat standaard uit, die moet je zelf naar smaak instellen. Uitgaand mag alles, inkomend wordt niet bijster veel geblokkeerd. Klik er eens doorheen en zet aan wat je denkt nodig te hebben

GeoIP is altijd een goed vertrekpunt. Landen als Rusland, Wit-Rusland en andere corrupte staten blokkeren zorgt al voor een hoop hits in je security log

Wat goed is om te weten is dat Unifi standaard alle VLAN’s met elkaar laat communiceren i.t.t. andere oplossingen in de wereld, je moet dus dichtzetten wat expliciet NIET mag i.p.v. wat wel mag, er is geen implicit deny.

nelizmastr schreef op zaterdag 2 december 2023 @ 10:03:
[...]


Wat goed is om te weten is dat Unifi standaard alle VLAN’s met elkaar laat communiceren i.t.t. andere oplossingen in de wereld, je moet dus dichtzetten wat expliciet NIET mag i.p.v. wat wel mag, er is geen implicit deny.

Dan lijkt het me dat je L3 vlan's moet maken en dus ip reeksen moet routeren en tegenhouden met fw regels.
Dat maakt het wel iets complexer.(Maar wel vet) Of routeert Unifi dat?

L3 vlan's hebben een interface op een router/firewall en dan krijg je te maken met 802.1q vlan tagging. En krijgt elk VLAN een apart subnet. De Vlan interface is dan de standaard gateway van dat subnet.

Overigens, puik ontwerp @FredXP erg mooie tekening.

[ Voor 14% gewijzigd door Kabouterplop01 op 02-12-2023 15:27 ]

Dat vlan1 verhaal om die niet te gebruiken is deels wel waar.
Switches van Linksys (made by Cisco) kunnen bijvoorbeeld vlan1 niet tagged op een poort instellen. Alleen Untagged dus.
Kan in bepaalde situaties best vervelend zijn.

Ik heb een soortgelijke indeling thuis en eenmaal goed ingesteld werkt het prima.

Enkel puntje:
Voor de gasten heb ik een apparte SSID vanuit de guest optie in de UDM. Dan zijn ze automatisch afgeschermd met apart IP adres en ook gemarkeerd als guest in de unifi omgeving.
Houdt met je Sonos rekening dat het mogelijk niet goed gaat. Ik heb onze Heos in ons IoT vlan. Ik kan ze wel bedienen in de app, maar de status wordt niet geupdate. Het wordt alleen geupdate in de app door hem helemaal af te sluiten en te starten. Irritant maar overkomelijk.
Nog een vlan voor je iptv?

Er zit in mijn ogen een zwakte in je verhaal, voor de veiligheid wil je je camera's buiten op een apart VLAN, prima. Maar die ftp verbinding naar je server ondermijnd je hele idee. Voorts moet je wel bedenken dat je voor het instellen van sommige apparaten wel op hetzelfde netwerk moet zitten. Denk dat Sonos niet werkt als het in een ander netwerk zit zelfde geld voor printers.
Ik verwacht dat je met deze opzet wel wat configuratie problemen zal ondervinden.

Persoonlijk heb ik het iets anders gedaan. Zelf gebruik ik een oude i5 pc met daarop blue iris voor de camera's, 2de nic erin gestoken en met een netgear poe switch een compleet separaat netwerk aangelegd met vaste ip's.
Nu kunnen de camera's niet naar "buiten" bellen en of eventueel het normale netwerk bekijken. Wat ook voor mij belangrijk was is dat mijn UDM nu niet al dat verkeer over zich heen krijgt. 5 camera's die 24/7 opnemen zorgt voor best wel wat verkeer op de lijn. Als dat allemaal over die UDM gaat ga je dat denk ik wel merken qua snelheid en of reactie vermogen. En aangezien die pc toch 24/7 aan staat kon daar mooi alle opslag op betreffende media en een NTP server, aangezien die camera's op den duur toch uit de pas gaan lopen.

FredXP schreef op maandag 4 december 2023 @ 20:20:
Bedankt mensen, jullie zetten me wel aan het denken! Ben er vandaag al even mee aan het stoeien geweest en heb verschillende VLANs aangemaakt. WiFi gast is ook in de lucht en nu is eerst de firewall aan de beurt. Is wel een uitdaging moet ik zeggen.

@Ophidian Voor de gasten heb ik ook de guest optie ingesteld. Dit had ik zo ook al op de CKG2 en dat is vrij makkelijk in te stellen.
De Sonos bedienen we alleen via Home Assistant. Dat deze straks niet meer op ieder apparaat verschijnen is alleen maar een pré. En (nog) geen iptv hier.

@Frogmen Goed gezien, die FTP is tijdelijk. Daar moet een NVR of iets met Frigate voor komen maar kan niet alles tegelijk. Wil alleen de poort voor FTP open zetten en op de NAS één ftp-user met eigen map en zo min mogelijk rechten.
Dat men evt. bij deze data kan is niet zo'n probleem, als er maar niet zonder veel inspanning verder op het netwerk gesnuffeld kan worden.

@Freubel Als ik de camera's en evt. NAS of NVR allemaal op één switch zet, dan hoeft het in principe niet via de UDM te gaan toch? En goeie van de NTP server, had ik nog niet aan gedacht. Zit volgens mij ook niet op de UDM. Heb nog wel een Odroid N2+ liggen. Kan ik evt. wel voor zulk soort services inrichten. Hoort hij denk ik wel in VLAN1 (default) thuis.

Volgens mij gaat ál het verkeerd over de UDM, die regelt immers de vlans ?
Waar ga je trouwens de beelden van de camera's opslaan ?

Je tekening is erg gedetailleerd daarvoor mijn complimenten maar het is allemaal op 1 hoop gegooid.
Normaal als je z'n ontwerp maakt verdeel je dit in 3 categorieën:
1: Fysiek (kabels)
2: VLANS/Layer2
3: Routing/Layer3

Ik zal je ook meteen de reden uitleggen, Jij hebt bijvoorbeeld jouw nas (VLAN ID 30) geisoleerd van de rest van het netwerk zoals ik dit nu lees. Maar zoals ik het begrijp moet VLAN 10 (en nog meer) wel de nas wel kunnen bereiken.
Heb je bijvoorbeeld de routing performance opgezocht van de Dream Machine? Je hebt de wens om veel te isoleren dus veel firewall rules. Kan de Dream Machine 1Gbps (of 10?) routeren met al die firewall rules en/of IPS/IDS?
Dit is dus het Layer3/routing design, misschien voldoet jouw router helemaal niet aan jouw wensen.
En jij hebt nog meer potentiële flows (camera's)?

"VLAN60 is van de Enphase Envoy voor zonnepanelen. Deze moet wel kunnen verbinden met VLAN40 en mag alleen uitgaand verkeer naar internet toestaan. Dit moet voorkomen dat er automatische firmware updates uitgevoerd worden".
Uitgaand verkeer=inkomend verkeer met een stateful firewall.
Zoals je weet verbindt Enphase met het internet voor de Enlighten diensten.
Met andere woorden jij wil de volledige app functionaliteit gebruiken zonder automatische firmware updates? dat gaat je op deze manier niet lukken.

Zoals eerder vermeld gebruik VLAN 1 voor je management, geen reden om dit VLAN te vermijden je haalt jezelf alleen maar ellende op de hals om management op een ander VLAN te gebruiken met dit soort semi professionele/SOHO apparatuur. Buiten dat kan je al je andere poorten (untagged) in een ander VLAN laten uitkomen.

Hou er ook rekening meer dat DDNS niet native werkt tussen VLANS dus chromecast, printer discovery, spotify connect enz enz werkt dus niet native "tussen" VLANS zelfs niet met firewall rules aangezien multicast niet standaard gerouteerd wordt. Dit vereist een proxy zoals bjjvoorbeeld Avahi.

FredXP schreef op vrijdag 8 december 2023 @ 16:02:
@MasterL Bedankt voor je input en ai ai ai, denk dat de UDM idd zal gaan zweten. Kon hem voor een prikkie overnemen en was er eigenlijk vanuit gegaan dat er meer mogelijkheden zouden zijn. Mijn fout maar het moet ook acceptabel blijven qua budget ;-)

Denk dat de UDM best aan jouw eisen zou kunnen voldoen hoor, ik ken de machine alleen niet dus kan er weinig over zeggen.

Begrijp ik het goed dat juist het interne verkeer tussen de VLANs voor een probleem gaan zorgen, en dat dat qua performance zoveel mogelijk vermeden moet worden?

Misschien wel, misschien niet lastig om zo te zeggen hangt van het gebruik en de apparatuur af.
Ik draai thuis bijvoorbeeld 10Gbit tussen mijn (file)server en workstation, als ik dit in twee VLANS zou plaatsen en zou willen firewallen zou dit een probleem worden. Als dit 1 Gbit zou zijn is dit weer geen probleem zijn (hier).

Want dan zou ik VLAN10 t/m VLAN40 kunnen samenvoegen.
Dan nog een aparte VLAN zonder internet voor de kinderen en de gasten VLAN.
Alleen wat met de camera's? Deze moeten wel verbinding hebben met Home Assistant (triggers) 😮‍💨
Hoe beveilig ik de fysieke aansluiting met de rest van het netwerk? Is dat enkel mogelijk met een aparte switch en 2e nic op de NAS en 2e nic op de NUC?

Ik zou de camera's gewoon een apart VLAN stoppen met firewall rules, camera's gebruiken doorgaans echt niet zoveel bandbreedte.
Wat ik eigenlijk probeerde uit te leggen is dat VLANS vooral bedoeld zijn om netwerken te scheiden van elkaar zonder fysiek andere switches (en/of kabels) te gebruiken. Vervolgens wil jij (en heel veel andere) weer die netwerken (beperkt) aan elkaar gaan knopen met een router/firewall. Al het verkeer gaat op z'n moment niet meer alleen door de switch heen maar moet via de router worden afgehandeld. Geen probleem maar deze moet hier wel voor gedimensioneerd zijn.
Gewoon proberen is natuurlijk ook een optie.