Oplossing gevraagd voor toegang NAS vanuit KPNTV/iOT Lan

Hangt ervan af wat je wilt bereiken. Moet de RPi geweerd worden uit het .2 netwerk? Dan zou je een firewall regel kunnen maken dat de RPi alleen de NAS mag accessen, en loopt het verkeer via de router.
Heeft de NAS twee poorten? Dan zou je hem met een poort aan het .89 netwerk kunnen hangen.
Debian (of Raspbian, of hoe dat tegenwoordig ook mag heten) ondersteund ook vlans. Dus als je twee vlans op de RPi netwerkpoort van switch2 naar buiten laat komen, kan de RPi in beide netwerken een interface hebben.
Hetzelfde geld voor de NAS, als die open genoeg is om zoiets te configureren.

Wat is het doel van die twee subnets?
Verschillende subnets zijn dus geen gescheiden netwerken en vlan's zijn enkel functionele afscheidingen en geen security afscheidingen.

Waarom wil iedereen toch iot afscheiden van de rest, dat is alleen zinvol als je iot spul koopt dat aan de cloud rapporteert en dat moet je gewoon niet kopen, maar dan regel je dat met een firewall en niet met subnetten en/of vlan's.

En als je dat iot netwerk op een apart vlan zet dan koppel je die vlan's gewoon weer aan elkaar via die Nas.

Kortom een netwerk ontwerp begint met het formuleren van wat je functioneel nodig hebt en dan maak je daar een ontwerp voor.
En als laatste ga je dan hardware kopen die je er voor nodig hebt en bouw je wat je ontworpen hebt.

Firewall regel aanmaken waarin 192.168.98.RPI naar 192.168.2.NAS mag verbinden.

Ben(V) schreef op zaterdag 16 december 2023 @ 10:50:
Wat is het doel van die twee subnets?
…
Waarom wil iedereen toch iot afscheiden van de rest, dat is alleen zinvol als je iot spul koopt dat aan de cloud rapporteert (…), maar dan regel je dat met een firewall en niet met subnetten en/of vlan's.

Omdat je niet voor 100 apparaten individuele firewall regels wilt maken?

… en dat moet je gewoon niet kopen …

Laat me raden: jij woont alleen en bepaalt zelf alle netwerkbehoeften in huis?

En als je dat iot netwerk op een apart vlan zet dan koppel je die vlan's gewoon weer aan elkaar via die Nas.
…

Je gaat er vanuit dat de NAS ook routering tussen zijn poorten doet

@Mini-me
Geloof niet dat jij weet hoe je firewalls kunt instellen.

Iot devices op wifi is zo wie zo niet handig en geen Chinese cloud iot prut kopen, maar wel veel geld aan dure routers besteden is slim?

Bijna alle Nassen routeren tussen alle subnets waar ze mee verbonden zijn, op z'n minst moet je dat uitzetten.
Maar zo gauw iemand controle over bijvoorbeeld zo'n iot device heeft kan hij een ander subnet aan zijn netwerkstack toevoegen en is alles bereikbaar.
Hetzelfde geld voor vlan's.

Daarom heb je firewalls nodig om die gatenkaas iot devices af te schermen van het internet zodat de cloudcontrollers er niet bij kunnen en je netwerk hacken.

Iot devices aan het internet hangen is nog gevaarlijker dan je netwerk rechtstreeks aan het internet hangen.
Wat denk je dat er bijvoorbeeld je aantreft als je vier weken op vakantie gaat een zo'n scrip kiddy vind het leuk je gehackte verwarmingsthermostaat op 35 graden te zetten en je koelkast/vriezer en alle verlichting uit te zetten en alle verlichting aan te zetten.

[ Voor 22% gewijzigd door Ben(V) op 16-12-2023 14:01 ]

Even simpel: heb je een vrije USB poort in de Pi? Zo ja, voor de Pi van een extra netwerkinterfaceoop een USB 3.0 Ethernet adapter. Knoop die aan de NAS of aan het netwerk van de NAS. Klaar.
Hoef je niets aan te passen aan VLANs of routeringen. Kwestie van dat onbestaande touwtje leggen.

Wees niet bang dat die dingen niet stabiel zijn. Ik gebruik een Pi als router met zo'n ding. Die doet het reeds 600 dagen zonder enig probleem. Ik gebruik een TP-Link UE300.

Als het toch over het bestaande touwtje moet zijn er hier meerdere suggesties gedaan hoe het op te lossen is. Een optie is nog om de poort die richting de Pi gaat lid te maken van beide VLANs en het verkeer tagged door te geven naar de Pi. Dan op de Pi de netwerkconfiguratie aanpassen zodat daar het tagged verkeer goed wordt opgepakt en gesplitst naar twee virtuele netwerkadapters. Elk op één van de VLANs met bijbehorende IP instellingen. Dan is de Pi lid van beide netwerken en los je het lokaal op de Pi op ipv in de switches.

VLAN is leuk, ook thuis. Ik doe het ook. Soms moet je het alleen wel niet te gek maken .

[ Voor 50% gewijzigd door Ultraman op 16-12-2023 14:44 ]

Als je de boel op deze manier in twee vlan's verdeelt moet je routeren tussen die vlan's wat dan weer het nut van die vlan's opheft.

Of switch 3 moet ook managed zijn en dan moet je zowel vlan 1 als vlan 4 naar switch 2 brengen en daar uitsplitsen naar iot devices en o.a. die tv.
In dat geval zou switch 1 unmanaged kunnen zijn.

@Villager ik snap je wel, ik loop hier ook constant te experimenteren met je m'n netwerk en ik draai PfSense

@Mijzelf gaf eigenlijk het antwoord al. Als je niet wilt dat de vlans met elkaar kunnen communiceren, maak je in je opensense rules aan die dat blokkeren (als er geen allow all regel is, dan mogen ze sowieso niet met elkaar praten). Vervolgen maak je een rule aan die het toestaat dat het IP van de Pi mag communiceren met het IP adres en benodigde poort van de NAS.

Zit nu nog eens goed naar te tekening te kijken en je hebt idd twee lijntjes naar je switch lopen.
Zijn dit fysieke verbindingen? Als je in Opensense al vlans instelt, hoef je slechts één kabel te leggen naar je switch. Dan kan je op je switch een zogenaamde "trunk" poort maken waar al je vlans op binnen komen, om ze vervolgens toe te wijzen aan poorten op de switch