VLAN för en n00b

Du behöver en router som känner till båda näten och kan dirigera och/eller blockera trafik mellan dem som nödvändigt. Dina VLAN behöver finnas definierade hela vägen från denna router till de enheter som ska kunna ansluta till VLAN. Normalt sett för ett WiFi-nät, taggar du VLAN:et i alla nätverksenheter fram till AP:n, och så berättar du för WiFi-kontrollern att använda detta VLAN för det aktuella trådlösa nätet. Inga konstigheter. 🙂

Bra poäng. En mer robust lösning kan vara att ge IoT-enheter reserverade adresser och sedan sätta upp brandväggsregler för vad de får och inte får komma åt.

Hur har du löst så att de inte kan "ringa hem"?

Blockera trafik mot internet? det beror ju på bad du har för brandvägg.

Började också sätta med att sätta upp VLAN på en edgerouter X för många år sedan.

Det som hjälpte mig mest då var denna bild för att sätta upp reglerna.
https://img.community.ui.com/7ecfcce1-8562-4081-bf98-3b04eb3d...

du kan göra det hur komplicerad som du vil. men att börja med er det ju lettast att du flyttar allt IoT, inklusive din HA server til et eget nät. det er inte mycket mot HA du behøver ha öppet från ditt "klientnät", port 8123 alt om du reverseproxar med traefik eller liknande.

shelv grupperar jag med fasta IP reservasjoner och har olika FW regler baserad på om jag låter IoT prata hem eller inte. Allt pratar med Apple TV hub / HA server. För att inte irritera familien har jag rett breda öppningar från klient til segmentet med Airplay devicer. Och vips har du et segmenterad nät.

När du er nöjd styckar du upp mer och börjar komplicera det mera

mdns / igmp proxy fick jag setta upp i unifi för å få airplay, chromecast, sonos funka etc. liknande er upopsatt nu i opnsense.

fins massa guider der ute

t.ex: https://homenetworkguy.com

Jag tyckte det senaste halvåret att det var lite krångligt om än överkomligt med ett IOT-VLAN... det som slutligen löste det sista veckan var att låta Home-assistant och MQTT-servern ligga på IOT-vlanet, i mitt fall ligger de på båda.. Väldigt enkelt löst genom att lägga till ytterligare ett interface i proxmox och tilldela idt för IOT-VLANet..

Går ju inte om man exempelvis ska styra sin dammsugare via appen på mobilen. Då får man ju problem.

Exact , man öppnat för dom som behövs . Blockat annat

Du kan ju ha vpn på mobilen och styra den som om du satt hemma.
Måste den ha internet så kan man ju leta efter annan dammsugare eller se om det går att flasha in någon annan fw.

Så vad kör ni för IP och subnet-masker på respektive nätverk? Och vad har ni för något som routar/bryggar trafik emellan dem, och med vilka regler?

Håll det gärna översiktligt, men just nu tycker jag ni bara skriver "det är ju bara att göra rätt så funkar allt sedan".

har en opnsense router , som jag kör i proxmox på en teklager n5105 burk. en debian host har også lite docker containers som dns , adguard home.

vilka regler er jo lite beroende på vad du har för prylar. du kanskje ska öppna från ditt users nät til ditt iot nät på portar som behøvs för dina grejer.

8123 - HA
80 - shelly?
sonos? isåfall en rad portar, mdns, igmp proxy

du kommer inte hitta en guide som passar dig , men du får axploca mellan guider til det som passar dina grejer:

https://xdeb.org/post/2020/unifi-edgerouter-guest-iot-vlan/
https://gist.github.com/dimitris-c/16191abf55114b8dd9230b98d3...
https://community.home-assistant.io/t/setup-vlan-and-ha-tutor...

vilka nätmasker du sätter, ja det er ju gratis med interna IPs så skapa t.ex.

10.1.1.1/24 - users
10.1.10.1/23 - iot
10.1.20.1/26 - vpn

blir lite vad du er sugen på

Jo? https://valetudo.cloud/
Se inte bara problem se lösningar, men hur som om du ska blocka dem kan du inte styra dem via deras cloud nej.

spelar ju ingen roll vad man kör för ipn och subnätmasker så länge de ingår i RFC1918 (ja googla om du inte kan).
Sen regler är ju bereonde på vad man kör, så det är ju lite efterforskning, tyvärr är det ju så att man själv är jobbskadad.

Börja med att sätta upp nätet och ha öppet mellan dem. Vilket det är i edgerouter. Sedan kan man låsa ner. Så man som nybörjare inte rör ihop för mycket.

Här är en guide https://help.ui.com/hc/en-us/articles/204959444-EdgeRouter-Ro...

Sedan för switchen så är det samma teorio på alla switchar med vlan. Men olika hur man praktiskt utför programmeringen. Men det gäller att veta skillnaden på att tagga ett vlan på en port och köra det otaggat.

Din accesspunkt är ju en router egentligen, så den stödjer troligen inte vlan. Så då behöver du leta efter custom firmware För du kommer inte så långt om du inte har ett eget SSID för ditt iot då mycket är trådlöst, troligen.

Under programmeringen av många prylar så kommer du behöva köra telefonen på samma SSID som dina IOT-prylar då de inte förutsätter att de ligger på olika SSID, använder broadcast för att hitta varandra. Och broadcast åker inte mellan olika vlan.

Normalt sett har du 192.168.0 eller 192.168.1 med vanliga /24 mask, dvs. 254 adresser. Vilket räcker och blir över för ett hemmasystem. Enklast är att behålla det och skapa ett nytt för iot. Skulle säga att det är en smaksak. 10.0.0 är kortare att skriva och det sticker ut lite från det vanliga. Blir lite tydligare. Men du kan köra med nästföljande 192.168.2.

Ibland är det en fördel att ha tre siffror i de tre första oktetterna. Eftersom den då hoppar till nästa fält, tex. i Windows där man skriver in IP-adressen. Annars får man köra tab, pilar eller skriva nollor framför.

Det här låter ju inte som något för vanliga människor. Man får nog verkligen älska att konfigurera saker för att hålla på med såna grejer. Det var det jag misstänkte.

Jag kör redan IoT på ett separat VLAN, men det är bara Tasmota-grejer jag har där. De behöver aldrig tillgång till något annat än MQTT brokern som sitter på samma nät. När jag vill konfigurera dem kopplar jag upp laptopen på samma nät, jag har inte ens någon router mellan näten.

Men att börja ta tag i IoT-grejer generellt, som behöver kontakt med massa appar och annat låter faktiskt extremt jobbigt. Jag har t ex IKEA- och Hue-bryggor och skrivare och lite andra grejer på mitt vanliga nät. Jag är dock extremt restriktiv med att köpa saker som kommer med egna appar.

Vanliga människor vet inte vad VLAN är 😂 det er nog dom med intresse för sånt som gör detta. Man lär sig sjukt mycket dok , kombineras gärna med self-hosting och lite k8s på toppen 😜

Om du inte har en robot dammsugare som stöds utav Valetudo då det vill säga, denna firmware-mod ger dig ju fullständigt lokal access/styrning av din robot dammsugaren, så med denna installerad kan du utan problem blocka internet-accessen till roboten.
https://valetudo.cloud/

Apropå att komma igång med VLAN, det är klar fördel att ha all utrustning i UniFi-ekosystemet, eftersom man där inte behöver lära sig alla tekniska termerna bakom VLAN för att faktiskt lyckas sätta upp ett VLAN från gateway och hela vägen till din accesspunkt med relativt få klick då switcharna redan tillåter alla VLAN per default.

Men man lär sig förstås mindre när man inte behöver lägga upp VLAN manuellt i router, switchar och accesspunkter individuellt och lära sig vad port vlan id (PVID) och ingress/egress filtrering egentligen betyder, även om det är just detta man konfigurerar med ett par musklick.

Men frågan är om det hjälper? Är det bara massa grejer som kommunicerar med "molnet" du ska ha på nätverket? För saker som du kommunicerar med lokalt lär väl inte funka utan vidare, t ex IKEA, Hue, skrivare, etc.

Jag inser iofs nu när jag skriver det här inlägget att jag alltid undviker saker som ska kopplat till "molnet" (någon annans dator). Så trots att jag har ett ganska "smart" hem har jag kanske betydligt färre sådana enheter än de flesta. Med andra ord, det kanske finns en poäng att göra som du (och andra i tråden) säger.

En följdfråga då. Någon som ger varje enhet ett eget subnät så de inte utan vidare kan kommunicera med varandra? Det kanske mest blir obfuskering än riktig säkerhet dock, iom att enheterna kan byta IP/subnät om de vill.

Ett lite skönt tips är att använda ett id på ditt vlan som du också sätter i ditt privata nät. Exempelvis:

Iot id: 60
192.168.60.0/24

Vanliga lanet bör du också undvika att lägga på de vanliga adresserna som 192.168.1.0/24, 192.168.0.0/24 eller 10.0.0.0/24. Anledningen är om du någonsin behöver jobba emot remote nätverk så blir det mycket krångligare.

Undvik även större nätverk än /24 om du inte verkligen måste ha stöd för fler ips än dryga 250st per nät.

Personligen skulle jag också slänga ut den för budget routern och sätta upp på pfsense/opensense istället om du har en gammal nuc/minipc. Vill du bli riktigt nördig så installera en hypervisor på din brandväggsdator och installera din brandvägg virtuellt istället. Då kan du köra server tjänster och annat kul. Men du kommer behöva lite mer resurser från hårdvaran då. 😉