Ik ben bezig met het herstructureren van mijn thuisnetwerk en wil daarin IoT-apparaten isoleren van mijn LAN- en andere WiFi-clients, idealiter via VLANs of firewallsegmentatie.
Momenteel ga ik direct van de mediaconverter naar de eerste TP Link Deco XE75 Pro. Deco's staan dus nog in router mode en zijn via ethernet verbonden(3 stuks totaal). Dit werkt prima, wifi dekking en snelheden heb ik niets over te klagen.
Voor zover ik weet, ondersteunen mijn Deco’s geen VLAN-tagging op SSID-niveau, waardoor alle WiFi-clients op hetzelfde '(untagged) VLAN' komen.
Wat de Deco's wel ondersteunen is individuele isolatie, maar dat is niet wenselijk omdat ik dan geen dns voor enkele devices kan instellen.
Mijn doel is om IoT-apparaten (zoals camera’s, deurbel, PV, Airco, wifi-verlichting) toegang tot internet te beperken, maar wel naar speciefke devices laten communiceren.
Om dit voor elkaar te krijgen had ik de volgende 2 opties bedacht:
Optie 1:
Media converter --> Lenovo m720q(gevirtualiseerde OPNsense, dual 2.5 NIC) --> Deco's (in AP mode)
Voordeel is dat ik dmv mac adressen te groeperen firewall regels aan kan maken per alias.
Nadeel is mogelijk kans op onjuiste of onvolledige configuratie door mij, en ook meer kans op instabiliteit (ivm draaien op proxmox ipv baremetal).
Optie 2:
Media converter --> Unify Cloud Gateway Ultra --> Deco's (in AP mode)
Ik ben nog niet bekend in het unify ecosysteem. Maar een voordeel hier lijkt het gebruiksgemak, "het werkt gewoon".
Nadeel is dat het lijkt dat je per individueel device firewall regels moet instellen (gezien alle wifi devices op 1 port binnenkomen) en je hier niet kan groeperen (lijkt het?)
Optie 1 is leuker en goedkoper, want heb ik al in huis. Optie 2 is makkelijker en moet ik nog aanschaffen. Maar tijd is ook geld.
Mijn vragen aan de kenners hier:
- Kan ik netwerksegmentatie voldoende afdwingen via MAC/IP-gebaseerde firewallregels in UniFi icm de Deco's?
-Is er qua flexibiliteit en beheer nog een sterk voordeel van OPNsense t.o.v. de UCG Ultra in deze specifieke situatie, ondanks dat WiFi-segmentatie via SSID/VLAN niet mogelijk is?
Als het kan wat ik wil dan ga ik idealiter voor de UCG Ultra. Dat lijkt makkelijker, en dan gebruik ik die mini-pc mooi voor iets anders.
Momenteel ga ik direct van de mediaconverter naar de eerste TP Link Deco XE75 Pro. Deco's staan dus nog in router mode en zijn via ethernet verbonden(3 stuks totaal). Dit werkt prima, wifi dekking en snelheden heb ik niets over te klagen.
Voor zover ik weet, ondersteunen mijn Deco’s geen VLAN-tagging op SSID-niveau, waardoor alle WiFi-clients op hetzelfde '(untagged) VLAN' komen.
Wat de Deco's wel ondersteunen is individuele isolatie, maar dat is niet wenselijk omdat ik dan geen dns voor enkele devices kan instellen.
Mijn doel is om IoT-apparaten (zoals camera’s, deurbel, PV, Airco, wifi-verlichting) toegang tot internet te beperken, maar wel naar speciefke devices laten communiceren.
Om dit voor elkaar te krijgen had ik de volgende 2 opties bedacht:
Optie 1:
Media converter --> Lenovo m720q(gevirtualiseerde OPNsense, dual 2.5 NIC) --> Deco's (in AP mode)
Voordeel is dat ik dmv mac adressen te groeperen firewall regels aan kan maken per alias.
Nadeel is mogelijk kans op onjuiste of onvolledige configuratie door mij, en ook meer kans op instabiliteit (ivm draaien op proxmox ipv baremetal).
Optie 2:
Media converter --> Unify Cloud Gateway Ultra --> Deco's (in AP mode)
Ik ben nog niet bekend in het unify ecosysteem. Maar een voordeel hier lijkt het gebruiksgemak, "het werkt gewoon".
Nadeel is dat het lijkt dat je per individueel device firewall regels moet instellen (gezien alle wifi devices op 1 port binnenkomen) en je hier niet kan groeperen (lijkt het?)
Optie 1 is leuker en goedkoper, want heb ik al in huis. Optie 2 is makkelijker en moet ik nog aanschaffen. Maar tijd is ook geld.
Mijn vragen aan de kenners hier:
- Kan ik netwerksegmentatie voldoende afdwingen via MAC/IP-gebaseerde firewallregels in UniFi icm de Deco's?
-Is er qua flexibiliteit en beheer nog een sterk voordeel van OPNsense t.o.v. de UCG Ultra in deze specifieke situatie, ondanks dat WiFi-segmentatie via SSID/VLAN niet mogelijk is?
Als het kan wat ik wil dan ga ik idealiter voor de UCG Ultra. Dat lijkt makkelijker, en dan gebruik ik die mini-pc mooi voor iets anders.
:strip_icc():strip_exif()/u/352278/crop56730ca93be70_cropped.jpeg?f=community)
:strip_exif()/u/101509/Avatar.gif?f=community){kind=avatar}