Boosta ditt hemnätverk med VLAN. Du kommer inte tro dina ögon när du ser hur många den här användaren har!

Permalänk
Medlem
Skrivet av GLaDER:

Toppen!

Det här är väldigt likt min egna setup, den stora skillnaden är att jag inte exponerar mitt LAN via WiFi. Istället har jag satt upp brandväggsregler så att Office VLAN når LAN. Du har ju redan "brutit" din egna tanke med LAN eftersom du har en Dator på det nätverket (antar att den inte är "nätverksutrustning"?) så jag hade helt enkelt skapat ett nytt VLAN.

Detta sagt skulle problemet kunna vara hur du har konfigurerat DHCP i AP och Router, för LAN. Kör du måhända bara statiska IPn?

Ja det är ju faktiskt ett bra alternativ att istället sätta upp en brandväggsregel för att komma åt lan nätverket. Så det ska jag nog göra iaf men nu när man suttit med det här så vill man veta vad felet är
Jag tycker att jag provat dem mesta inställningarna i unifi controllern. Dvs "Auto-Scale Network", "Advanced Configuration" med sätta på/av "DHCP Default Gateway auto".
Utzoomad bild för att få med lite fler inställningar:

I opnSense så har LAN interfacet "IPv4 Configuration Type" satt till "Static ipv4" samt under "Static IPv4 configuration" så är "IPv4 address" satt till "192.168.5.19".

Min gateway när datorn har kabel är alltså 192.168.5.19. Bör väl vara samma i unifi controllern?

Som sagt mina vlan:s fungerar problemfritt och dem har motsvarande inställningar i opnsense

Permalänk
Medlem

You have exceeded the maximum number of WiFi networks.
Satt i gladans ro och skapade lite networks/wifis till mina vlans och jag får det här meddelandet. Hade ingen koll på att det skulle kunna vara till en naktdel, efter lite duckduckgo:ande så förstod jag annat.
Nu hade jag tänkt ändå att öppna upp brandväggen mellan office -> lan men ändå av den här anledningen så finns det ingen mening med att ens ha ett lan ssid som backup.
Men det blev genast en tankesmedja på hur man ska distrubiera dem ssid:n som man har tillgång till. Om man läser om specifikt unifi så kan man disablea uplink monitor samt skilja på 2,4 och 5 ghz bandet för att ha möjlighet att få möjlighet att faktiskt skapa mer. Även ha specifika ssid på specifika AP gör att man också kan ha fler.

Men hur ska man tänka här egentligen? Tex så är min långsiktiga plan att oxå ha ett survelliance nätverk med kameror, om möjligt ska det gå kabel till dem. Varesig vilket så kanske det kan vara nice att ha en backup med wifi/ssid till det.

Bara home, iot och gästnätverk är 3 st. Gästnätverket kan utan problem snurra på endast en AP. Tåls att grunna på

Permalänk
Hedersmedlem
Skrivet av MB:

You have exceeded the maximum number of WiFi networks.
Satt i gladans ro och skapade lite networks/wifis till mina vlans och jag får det här meddelandet. Hade ingen koll på att det skulle kunna vara till en naktdel, efter lite duckduckgo:ande så förstod jag annat.
Nu hade jag tänkt ändå att öppna upp brandväggen mellan office -> lan men ändå av den här anledningen så finns det ingen mening med att ens ha ett lan ssid som backup.
Men det blev genast en tankesmedja på hur man ska distrubiera dem ssid:n som man har tillgång till. Om man läser om specifikt unifi så kan man disablea uplink monitor samt skilja på 2,4 och 5 ghz bandet för att ha möjlighet att få möjlighet att faktiskt skapa mer. Även ha specifika ssid på specifika AP gör att man också kan ha fler.

Men hur ska man tänka här egentligen? Tex så är min långsiktiga plan att oxå ha ett survelliance nätverk med kameror, om möjligt ska det gå kabel till dem. Varesig vilket så kanske det kan vara nice att ha en backup med wifi/ssid till det.

Bara home, iot och gästnätverk är 3 st. Gästnätverket kan utan problem snurra på endast en AP. Tåls att grunna på

två tankar här..

Varje SSID du ska annonsera ut äter upp lite radiotid och minskar kapaciteten i dina nät, se https://documentation.meraki.com/MR/Wi-Fi_Basics_and_Best_Pra...

Kolla om du har möjlighet till PPSK istället. Kort förklarat så innebär det att du har flera olika PSK till samma SSID och kan styra in klienterna på olika VLAN beroende på vilket lösenord de ansluter med.

Visa signatur

Det kan aldrig bli fel med mekanisk destruktion

Permalänk
Skrivet av MB:

Jo jag är med på subnätens uppdelning kan skilja sig mellan 192.168.X.1 och vlan id. Men det jag fortfarande är osäker på är i opnSense (bör vara motsvarande i pfSense) så finns ju [WAN] och [LAN] (192.168.1.1) när man startar upp det för första gången LAN interfacet har en viss port som interface. Sen kan man enkelt skapa upp vlans och där sätta vlan id. Men är det möjligt på ett LAN interfacet?
För det jag vill komma till är OM jag pluggar ur kabeln så vill jag kunna vara på LAN nätverket genom en ssid i unifi. Men i unifi så har jag inget specifikt vlan id att sätta då det inte är ett "vlan-only" nätverk.

Är detta ens möjligt eller måste jag skapa ett specifikt vlan i opnsense för att kunna köra wifi?
Jag kan ju sätta på porten till AP vilka nätverk som ska tillåtas. Men utan att speca något så bör väl allt åka igenom, ja menar alla mina vlans funkar ju på den AP så.

Jag är inte övertygad om att du egentligen vill göra det du beskriver på det sätt du beskriver det om det du är ute efter är separation mellan nätverk, men konceptet du behöver förstå för att uppnå en lösning oavsett hur du väljer att implementera den, är VLAN tagging.

Som standard i ett hemmanätverk använder du inte dessa tags, vilket i praktiken betyder att allt är på "VLAN 0". Att döma av din beskrivning är 192.168.5.0/24 ditt VLAN0: Det är där saker befinner sig om man bara pluggar in dem fysiskt i en switch utan att ändra på något.

I Ubiquiti heter detta om du inte ändrar på något "Default" med typen "Corporate". Så om du skapar ett WiFi-nät som backas av nätverket Default kommer du uppnå vad du beskrev.

Om du skulle skapa ett separat nätverk där du vill ha alla datorer i huset, exempelvis på VLAN20, så behöver du skapa VLAN och definiera subnät i din router/DHCP/DNS-lösning, i dina switchar, samt konfigurera ett WiFi-nät som använder detta VLAN precis som du gjort för annat. Sen kan du antingen säga till din dator att använda VLAN20 för sitt ethernetkort om du taggar dess port i switchen, eller un-tagga VLAN20 i den switchport datorn är ansluten till och inte ändra något på datorn. Att ha ett VLAN untagged på en switchport innebär att en enhet som är ansluten till denna port ser detta VLAN som standardnätet/VLAN0.

Hoppas du ser lite möjligheter baserat på detta.

Permalänk
Skrivet av Aphex:

två tankar här..

Varje SSID du ska annonsera ut äter upp lite radiotid och minskar kapaciteten i dina nät, se https://documentation.meraki.com/MR/Wi-Fi_Basics_and_Best_Pra...

Kolla om du har möjlighet till PPSK istället. Kort förklarat så innebär det att du har flera olika PSK till samma SSID och kan styra in klienterna på olika VLAN beroende på vilket lösenord de ansluter med.

Ubiquiti verkar tyvärr ha valt att inte implementera detta, utan kräver att man har Radius-infrastruktur för att få liknande funktionalitet, och då blir det snabbt en del administrativ overhead.

Permalänk
Medlem
Skrivet av Aphex:

två tankar här..

Varje SSID du ska annonsera ut äter upp lite radiotid och minskar kapaciteten i dina nät, se https://documentation.meraki.com/MR/Wi-Fi_Basics_and_Best_Pra...

Kolla om du har möjlighet till PPSK istället. Kort förklarat så innebär det att du har flera olika PSK till samma SSID och kan styra in klienterna på olika VLAN beroende på vilket lösenord de ansluter med.

Skrivet av Det Otroliga Åbäket:

Ubiquiti verkar tyvärr ha valt att inte implementera detta, utan kräver att man har Radius-infrastruktur för att få liknande funktionalitet, och då blir det snabbt en del administrativ overhead.

Sjukt synd att det inte stödjs! Tplink omada verkar stödja det. Omada var lite något jag faktiskt lite valde mellan när jag skulle byta lite nätverksgrejer här hemma men då unifi var/är så populärt så valde jag att köra på det.
Men man får väl hoppas att unifi bygger in det i sin mjukvara.

Permalänk
Medlem
Skrivet av Det Otroliga Åbäket:

Jag är inte övertygad om att du egentligen vill göra det du beskriver på det sätt du beskriver det om det du är ute efter är separation mellan nätverk, men konceptet du behöver förstå för att uppnå en lösning oavsett hur du väljer att implementera den, är VLAN tagging.

Som standard i ett hemmanätverk använder du inte dessa tags, vilket i praktiken betyder att allt är på "VLAN 0". Att döma av din beskrivning är 192.168.5.0/24 ditt VLAN0: Det är där saker befinner sig om man bara pluggar in dem fysiskt i en switch utan att ändra på något.

I Ubiquiti heter detta om du inte ändrar på något "Default" med typen "Corporate". Så om du skapar ett WiFi-nät som backas av nätverket Default kommer du uppnå vad du beskrev.

Om du skulle skapa ett separat nätverk där du vill ha alla datorer i huset, exempelvis på VLAN20, så behöver du skapa VLAN och definiera subnät i din router/DHCP/DNS-lösning, i dina switchar, samt konfigurera ett WiFi-nät som använder detta VLAN precis som du gjort för annat. Sen kan du antingen säga till din dator att använda VLAN20 för sitt ethernetkort om du taggar dess port i switchen, eller un-tagga VLAN20 i den switchport datorn är ansluten till och inte ändra något på datorn. Att ha ett VLAN untagged på en switchport innebär att en enhet som är ansluten till denna port ser detta VLAN som standardnätet/VLAN0.

Hoppas du ser lite möjligheter baserat på detta.

Bra förklarat! Jag kommer inte göra det på datorn utan tanken är att helt och hållet styra det genom portarna. Men intressant att veta är det Internet Protocol version 4 (TCP/IPv4) Properties som man sätter vlan taggen på? Dvs i den 3dje delen av ip octet?

Permalänk
Medlem

Hur då? MS har en bug ihopp med Intel 1211 och vlan. Telenor skyller på switchar hemma.
Det du kommer få är snabbare men fler omskickningare. Pfsense har inte fungerat ok för att köra flera IP adresser på flera år.
Du kan gå förbi det hela om shapen är per ip inte per lägenhet.
Du behöver flera externa IP så systemet inte vet att det är olika vlan.

Visa signatur

CPU: 5900x. Mem:64GB@3200 16-17-17-34-1T. (ImDIsk)
GPU: 1080 Ti@ca 6-7%OC. Sound: SB-Z -> toslink (DTS)-> old JVC. MB Realtek to Z-2300 for VOIP.

Permalänk
Skrivet av MB:

Bra förklarat! Jag kommer inte göra det på datorn utan tanken är att helt och hållet styra det genom portarna. Men intressant att veta är det Internet Protocol version 4 (TCP/IPv4) Properties som man sätter vlan taggen på? Dvs i den 3dje delen av ip octet?

Ursäkta; överförenklat uttryckt av mig: ett IP-subnät ”är” inte ett VLAN utan kan användas för adressering inom ett VLAN på samma sätt som på ett fysiskt LAN.
Egenskapen att bry sig om trafik relaterad till ett specifikt VLAN är något du sätter på nätverkskortsnivå i Windows. Det göms bakom Configure-knappen i nätverkskortets egenskaper.

Permalänk
Hedersmedlem
Skrivet av MB:

Sjukt synd att det inte stödjs! Tplink omada verkar stödja det. Omada var lite något jag faktiskt lite valde mellan när jag skulle byta lite nätverksgrejer här hemma men då unifi var/är så populärt så valde jag att köra på det.
Men man får väl hoppas att unifi bygger in det i sin mjukvara.

Grandstream har det också inbyggt, ifall någon letar.

Visa signatur

Det kan aldrig bli fel med mekanisk destruktion

Permalänk

Hej där!

Jag hade först tänkt att inte komplicera mitt nätverk med VLAN men det är ganska lätt att fixa och förstå med Ubiquiti Unifi Switch och Ubiquiti EdgeRouter som jag råkar ha. Mina kameror har fått ett eget VLAN (CCTV) och har i princip ingen tillgång till vare sig Internet eller andra delar av mitt nätverk längre. Har även satt upp ett VLAN (IOT) för diverse IoT-saker (gräsklippare, dammsugare, LG TV, billaddare, växelriktare, Ikea Gateway, LaMetric) som visserligen har full access till Internet men inte får lov att komma åt övriga delar av mitt nätverk bortsett från MQTT.

Måste säga att segmenteringen känns helrätt men det finns några saker man ska vara medveten om.

För att använda vissa enheter krävs att de ska kunna "upptäckas" av andra enheter. Till exempel så fungerar nu inte min app "Ikea Home Smart" om jag inte ansluter min mobil till samma VLAN som min Ikea Gateway (eg. en Dirigera) bor i. Det beror på att multicasts och broadcasts inte passerar mellan VLAN per automatik. Segmenteringen ger säkerhet men utöver det så är en annan bra anledning att segmentera att alla de där IoT-sakerna är pratsamma små dj**lar och spyr ut sin broadcast-trafik. Den vill jag inte ha på mina andra nätverk.

Ytterligare saker som jag gärna skulle vilja flytta in i IoT-VLAN-träsket är min multifunktionsskrivare som jag inte litar ett dugg på. Nackdelen med det är att jag förmodligen inte kommer att vare sig skriva ut något eller att skanna något längre. Jag har också ett SONOS-system som jag gärna vill flytta till IoT-VLAN-träsket men känner instinktivt att det inte låter sig göras hur som helst om jag vill kunna använda diverse olika appar att streama till dom.

För att underlätta upptäckandet "discovery" inter-VLAN så lär det finnas en programvara som heter Avahi. Jag har inte hunnit titta på det konceptet ännu men kan tänka att det försämrar säkerheten på något sätt.

Permalänk
Medlem
Skrivet av kentlarson:

För att underlätta upptäckandet "discovery" inter-VLAN så lär det finnas en programvara som heter Avahi. Jag har inte hunnit titta på det konceptet ännu men kan tänka att det försämrar säkerheten på något sätt.

Avahi i den typ av konfiguration som detta handlar om agerar något slags proxy för mDNS (Multicast DNS) som låter enheter på olika nät upptäcka varandra genom mDNS trots att enheterna inte kan prata med varandra (normalt ett krav för mDNS att enheterna sitter i samma nät så de kan nå varandra genom multicast).

Försämringar som jag ser:
* det går att göra mDNS-uppslag mellan de olika näten (beteendet som är själva USPen alltså, men det är ju en fråga om perspektiv om det är bra eller dåligt)
* en till grej som kör på brandväggen som det potentiellt kan finnas buggar i

Du behöver ju dock fortfarande öppna i brandväggen för att tillåta enheter att faktiskt prata med varandra, så jag tänker ju iaf att det är en tydlig nettoförbättring att med hjälp av detta verktyg kunna flytta bort IoT-elände från nätet där viktiga saker sitter. Dvs, om du öht ska ha dessa enheter så blir detta ett sätt att göra det mindre dåligt även om det inte heller är helt fritt från nackdelar.

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
Medlem

Snyggt sammanfattat och beskrivet. Tror jag ska göra slag i sak och segmentera upp lite mer än bara standard och IoT nu

Visa signatur

Ryzen 7 7800X3D
64gb Corsair cl30 6000mhz
MSI MAG B650 Tomahawk WiFi
Sapphire RX 7900 XTX
Acer 32" Predator XB323QKNV 4K

Permalänk
Medlem

Vart placeras home assistans?

Skrivet av GLaDER:

En snabbsummering:

  1. LAN: Är standard-VLANet där all nätverksutrustning bor. Routern, switcharna, accesspunkterna.

  2. OFFICE: Huserar min server och min stationära dator.

  3. HOME: Är VLANet för alla som bor i hemmet. Hit kopplas telefoner, laptops, surfplattor, osv.

  4. SURVEILLANCE: Har IP-kameror.

  5. IoT: Här hamnar alla enheter som inte behöver prata med något annat. Kindles, damsugare, etc.

  6. GUEST: Används bara för att få ett separat VLAN för gäst-WiFi.

Istället för att ha brandvägsregler för individuella enheter kan jag alltså specificera regler för varje VLAN. I mitt fall har jag följande konfig:

https://i.imgur.com/7ZZ1M4y.png

  • Gröna VLAN kan nå Internet och alla andra VLAN.

  • Gula VLAN kan nå Internet och alla VLAN förutom gröna.

  • Lila VLAN kan inte nå någonting förutom enheter i samma VLAN.

  • Röda VLAN kan nå Internet och enheter i samma VLAN.

Sen har jag ett fåtal undantag. Servern i det gröna VLANet hostar till exempel en del virtuella maskiner som jag vill kunna nå från det gula VLANet, så det finns specifika brandväggsregler för detta.

Vart skulle du placera home assistant eller liknande enheter smarta hem platformar som behöver kunna komma åt det mesta i nätverket? Samtidigt som det kanske behöver kommunicera tillbaka, även om det mångt och mycket fungerar bra som envägskommunikation?

Permalänk
Medlem
Skrivet av MB:

Vart skulle du placera home assistant eller liknande enheter smarta hem platformar som behöver kunna komma åt det mesta i nätverket? Samtidigt som det kanske behöver kommunicera tillbaka, även om det mångt och mycket fungerar bra som envägskommunikation?

Jag skulle säga att "rätt ställe" är där all annan IoT-utrustning är. Även om man har mer kontroll över HA än en robotdammsugare är det fortfarande en tredjepartsgrej. Med hjälp av mDNS och väl valda brandväggsregler kan man dock argumentera för att HOME också är en lämplig plats.

Visa signatur

:(){ :|:& };:

🏊🏻‍♂️   🚴🏻‍♂️   🏃🏻‍♂️   ☕

Permalänk
Medlem
Skrivet av GLaDER:

Jag skulle säga att "rätt ställe" är där all annan IoT-utrustning är. Även om man har mer kontroll över HA än en robotdammsugare är det fortfarande en tredjepartsgrej. Med hjälp av mDNS och väl valda brandväggsregler kan man dock argumentera för att HOME också är en lämplig plats.

Hm jag är lite kluven till det, håller med om det du säger det enda är att home assistant kan vara spindeln i nätet. Ex så kan ju allt med surveillance integreras in till home assistant. Det kanske kan ligga i ett helt eget vlan..? Jag får ta och undersöka lite.

Permalänk
Medlem
Skrivet av MB:

Hm jag är lite kluven till det, håller med om det du säger det enda är att home assistant kan vara spindeln i nätet. Ex så kan ju allt med surveillance integreras in till home assistant. Det kanske kan ligga i ett helt eget vlan..? Jag får ta och undersöka lite.

Ja det vettigaste vore att ha ett separat VLAN för HA och tillåta trafik från HA VLAN:et till alla enheter. Med det sagt så måste jag erkänna att mina 50+ VLAN till trotts, så har jag inte gjort denna separation i min miljö. Men å andra sidan så har jag programmerat om alla Sonoff-enheter med Tasmota Firmware, och kameror sitter i separat VLAN även om de är integrerade in i HA genom Surveillance Station-integrationen.

Visa signatur

Also found as @piteball@mastodon.rockhost.se
vSphere Node - Dell PowerEdge R720xd, Xeon E5-2690, 272GB, 3TB SSD, Nvidia Tesla P4
XCP-ng Node - Dell PowerEdge R720xd, Xeon E5-2697v2, 256GB, 2TB SSD
Xpenology Storage - SuperMicro X10SLL-F/SC825TQ, Xeon E3-1231 v3, 16GB, 90TB HDD
Xpenology Backup - Dell PowerEdge R230, Xeon E3-1220v6, 16GB, 12TB HDD