Vraag

Router achter experiabox - sanity check

  • 31 October 2020
  • 13 reacties
  • 445 keer bekeken
B
Rank

Binnenkort wordt ons nieuwe huis opgeleverd en ik wil graag mijn hele netwerk from scratch goed opzetten. Heb wel wat basiskennis met netwerken, maar niet meer dan dat. In zijn algemeenheid wel comfortable met CLI. Hieronder probeer ik weer te geven wat mijn beoogde set-up is en welke vragen ik daarbij nog heb. Lijkt dit ergens op, of kan ik hier beter niet aan beginnen?

 

Uitgangspunt: voorlopig KPN DSL want glasvezel is nog niet beschikbaar. In de toekomst mogelijk naar glasvezel en dat zou ik met dezelfde apperatuur willen doen (met idealiter alleen een herconfiguratie van de router). Doelen: stabiel en performant netwerk, mogelijkheden om voor kinderen parental controls toe te passen, basis beveiliging in scheiden IoT, gastgebruikers en eigen gebruik.

 

Setup die ik voor ogen heb:

3 VLANs: IoT, Gast en Trusted

 

          Unifi Switch 0 → TV (switch voor evt xbox oid aan tv te koppelen, hoeft geen netwerk toegang)

        /

ExeperiaBox

           \ 

        Unifi EdgeRouter 4 in DMZ

                  \ 

                 Unifi Switch 1

                      - Access points (op trunk ports van switch, met aparte SSIDs per VLAN)

                      - Switch 2 op trunk poort van switch 1

                                - Printer op poort van swtich 2 die getagged is als gast (die mogen printen)

                                - NAS + PCs op poorten van switch 2 die getagged zijn als Trusted

                                - Access point op een trunk poort van switch 2 met apparte SSIDs per VLAN) 

                      - Sonos op poorten tagged als IoT

                      - Hue Bridge op poort tagged als IoT

 

Op Wifi: Goolge Home, Sonos devides op IoT SSID. Apps van controllers voor Google Home, Sonos, Philips Hue op trusted netwerk.

 

Vragen over hoe e.e.a. te configureren:

 

EdgeRouter:

    - Ik neem aan dat ik instel dat internet met een static IP adres komt wat configureer als ik de DMZ op de ExperiaBox configureer?

   - Moet ik aangeven dat internet op VLAN 6 binnen komt? Heeft dat nog gevolgen als ik in de toekomst probeer om een TV aan 1 van de switches in het netwerk te hangen (met de juiste VLAN tagging)?

   - Ik heb begrepen dat SNMP uit moet staan van KPN

   - Geniet het de voorkeur om een firewall from scratch op te bouwen, of is de default firewall op de EdgeRouter (na aanzetten) goed? VLAN access regels instellen, gaat me in de basis wel lukken.

   

Voor router + switches:

   - IGMP snooping moet aan staan (ivm IPTV)?

   - Ik heb gelezen dat voor het gebruik van de apparaten op het IoT netwerk, ik mDNS en een IGMP proxy aan moet zetten, en mogelijk per apparaat nog poorten open moet zetten tussen de verschillende VLANs (in principe mogen Gast en IoT niet naar het Trusted netwerk, andersom wel). Hier heb ik echter niet echt een idee wat het is, nog hoe dit te configureren. Kan iemand me dit uitleggen?

 

13 reacties

B
Rank
Reputatie 7
Badge +10

Uitgangspunt: voorlopig KPN DSL want glasvezel is nog niet beschikbaar. In de toekomst mogelijk naar glasvezel en dat zou ik met dezelfde apperatuur willen doen (met idealiter alleen een herconfiguratie van de router).

…...

 - Geniet het de voorkeur om een firewall from scratch op te bouwen, of is de default firewall op de EdgeRouter (na aanzetten) goed? VLAN access regels instellen, gaat me in de basis wel lukken.


Persoonlijk zou ik helemaal niet kiezen voor een set-up waarbij een Experia Box nog steeds deel vanuit maakt.

Met nu VDSL, later mogelijk super vectored VDSL of glasvezel een Draytek 2865 modem/router.  Met of zonder WiFi (er zijn modellen zonder WiFi, als je liever met WiFi mesh systemen werkt zoals van Google of van andere merken).

Je kunt met die DrayTek daarmee direct tot 8 separate VLAN netwerken opbouwen.
Uitgebreide object georiënteerde firewall.

Direct vrij eenvoudig in te stellen voor het KPN netwerk - inclusief "routed mode” IPTV.

Daarachter sluit je dan nog managed switches aan van ene- of gene leverancier met bijv. PoE ondersteuning.  En je hebt een transparant systeem, waarbij je betrekkelijk eenvoudig aanpassingen kunt doen bij veranderde omstandigheden in je eigen thuisnetwerk. En extern de overgang van de ene “koper” internet structuur in bijv. super vesctored VDSL, of naar glasvezel.

Met een minimum aan apparaten “in de basis” van je set-up.
Erg stabiel en betrouwbaar bovendien die DrayTek apparatuur.

Overigens met de wens en indeling met verschillende VLAN's zou ik al helemaal niet kiezen voor een Google Home WiFi mesh systeem. Die ondersteunt namelijk geen VLAN's.

Maak je het voor jezelf wel heel complex, als je draadloze IoT apparaatjes wilt verbinden via het ene netwerk, en met hetzelfde WiFi Access Point je “eigen” netwerk + een gast WiFi netwerk.
Dat gaat dan namelijk niet !!

Gebruik bij voorkeur ook WiFi Access Points met ondersteuning voor meerdere VLAN's (SSID's).

Erg fraai systeem zijn de Access Points van “Grandstream”. Hier misschien minder bekend. Maar erg goed opgezet systeem. Men stelt één hoofd Access Point in, van waaruit men alle andere Access Points beheert (tot 50 stuks toe). Mooie kwaliteit (een metaal wit gespoten onderplaat die je aan het plafond bevestigt). Compleet met montage materiaal voor in systeem plafonds (betreft Access Points voor de zakelijke markt). Met “mesh” capaciteiten, als je dat wilt inzetten.
En nog gunstig geprijsd ook nog.

Glasvezel (TFT) - Synology RT6600ax - met „IPTV routed mode“ ondersteuning - handleiding zie: https://tinyurl.com/2p8p7bvu
wjb
Rank
Reputatie 7

Bij een VDSL aansluiting zou ik kiezen voor een Zyxel VMG4005-B50A modem met daarachter een EdgeRouter 4. De EdgeRouter Lite 3 zou overigens ook prima volstaan maar die lijkt (momenteel) lastig te verkrijgen. 

Be positive, avoid negativity, enjoy life and stay healthy!
B
Rank

Hi Babylonia,

Dank voor je reactie.

Voor de duidelijkheid: mijn bedoeling met de google home is om deze te gebruiken voor home automation, niet voor het mesh wifi netwerk dat ze aanbieden. Als de google apparaten zelf onderling een mesh netwerk opzetten (en idem voor Sonos) vind ik dat pirma (nou ja, iets waar ik ok mee ben), maar dat is iets waar ik zelf aan wil. In plaats daarvan zat ik aan Unifi APs te denken met de gedachte dat dat makkelijk integreert met hun switches (en later eventueel ook met hun video security oplossing) en dat ik daar wel de verschillende SSIDs aan VLANs kan koppelen.

Mijn begrip is dat het momenteel soort van ‘best practice’ is om een aparte IoT netwerk te hebben tov je thuis netwerk, dus daar wil ik wel graag aan vast houden. Gegeven dat mijn vrouw niet blij gaat zijn (en ik ookk niet trouwens) als ze iedere keer als ze sonos wil bedienen, ze van wifi moet veranderen, is daarbij ets van een oplossing nodig voor discovery op het thuis netwerk across VLANs hebben (vandaar mijn vraag over mDNS reflectie en igmp proxy's).

Verandert bovenstaande nog iets aan je advies? Na de router die je aanraadt, en ook het Zyxel model van wjb, ga ik kijken.

Dank!

 

 

 

 

Nick83
Rank
Reputatie 7
Badge +24

Gegeven dat mijn vrouw niet blij gaat zijn (en ik ookk niet trouwens) als ze iedere keer als ze sonos wil bedienen, ze van wifi moet veranderen, is daarbij ets van een oplossing nodig voor discovery op het thuis netwerk across VLANs hebben (vandaar mijn vraag over mDNS reflectie en igmp proxy's).

Dit gaat heel moeilijk, waarschijnlijk zelfs onmogelijk worden. Dat voorspel ik je nu al. Mijn advies: hou gewoon 1 netwerk aan voor de apparaten die je vanaf je laptop of mobiel dagelijks wilt kunnen bereiken. Vooral bij mobiel, met apps enzo, die apps gaan er vanuit dat het apparaat gewoon direct toegankelijk is. Iets instellen ofzo kan meestal helemaal niet. 

*spaart ongelezen priveberichten* ( ͡° ͜ʖ ͡°)
wjb
Rank
Reputatie 7

Mijn begrip is dat het momenteel soort van ‘best practice’ is om een aparte IoT netwerk te hebben tov je thuis netwerk, dus daar wil ik wel graag aan vast houden. Gegeven dat mijn vrouw niet blij gaat zijn (en ik ookk niet trouwens) als ze iedere keer als ze sonos wil bedienen, ze van wifi moet veranderen, is daarbij ets van een oplossing nodig voor discovery op het thuis netwerk across VLANs hebben (vandaar mijn vraag over mDNS reflectie en igmp proxy's).

Apparatuur zoals jouw Sonos of wellicht een Chromecast of apparatuur die van mDNS gebruik maakt ga je inderdaad niet in een apart IoT netwerk hangen. Voor apparatuur zoals een domotica server, alarminstallatie en apparatuur die via een cloud service te benaderen is zou je zoiets wel in overweging kunnen nemen.

Je kunt dan overigens nog steeds cross-vlan firewall rules definiëren waarmee je vanaf jouw LAN wel apparatuur op het IoT netwerk kunt benaderen maar waarbij apparatuur op het IoT netwerk niet bij apparatuur op jouw LAN kan komen. Zelf heb ik ook een apart vlan voor IoT.

Be positive, avoid negativity, enjoy life and stay healthy!
Nick83
Rank
Reputatie 7
Badge +24

Je kunt dan overigens nog steeds cross-vlan firewall rules definiëren waarmee je vanaf jouw LAN wel apparatuur op het IoT netwerk kunt benaderen maar waarbij aapparatuur op het IoT netwerk niet bij apparatuur op jouw LAN kan komen.

Jep. Dat werkt ook heel leuk bij dingen die je direct via een webinterface benadert. Of dingen die je handmatig instelt. Misschien een netwerk schijf ofzo. Maar zodra iets automatisch gevonden moet worden, zoals een printer ofzo, vergeet het maar.

En zoiets als mDNS reflectie ofzo werkt niet, of maar in heel specifieke situaties. Bij een printer lukt het misschien wel om te printen, maar de scanfunctie word dan weer niet gevonden ofzo. Bijvoorbeeld. Je kunt hier hele zondagmiddagen aan verspillen om het werkend te krijgen, allemaal verspilde moeite. Dat zeg ik je nu al.

*spaart ongelezen priveberichten* ( ͡° ͜ʖ ͡°)
wjb
Rank
Reputatie 7

Maar zodra iets automatisch gevonden moet worden, zoals een printer ofzo, vergeet het maar.

Precies, vandaar…

Apparatuur zoals jouw Sonos of wellicht een Chromecast of apparatuur die van mDNS gebruik maakt ga je inderdaad niet in een apart IoT netwerk hangen.

 

Be positive, avoid negativity, enjoy life and stay healthy!
B
Rank
Reputatie 7
Badge +10

In plaats daarvan zat ik aan Unifi APs te denken met de gedachte dat dat makkelijk integreert met hun switches (en later eventueel ook met hun video security oplossing) en dat ik daar wel de verschillende SSIDs aan VLANs kan koppelen.

De enige ervaring met Unifi apparatuur is het gebruik van “Nano Beam Gen2”
Om daarmee een 75 meter draadloze verbinding tussen twee gebouwen te overbruggen.
Werkt op zichzelf prima. Maar was voor mij geen reden om ook hun Access Points in te zetten.
Als ik afga op algemene gebruikers ervaringen zijn daar betere opties voor.

 

Mijn begrip is dat het momenteel soort van ‘best practice’ is om een aparte IoT netwerk te hebben tov je thuis netwerk, dus daar wil ik wel graag aan vast houden.

Dat kan ik me voorstellen. Afhankelijk van systemen is de veiligheid ervan vaak een heikel punt.
Daar is nog wel een ontwikkeling in te gaan. Om die reden “gescheiden houden”.
(Uitlezing slimme meter, regelen verwarming, verlichting, garagedeur, zonnepanelen…..).

 

Gegeven dat mijn vrouw niet blij gaat zijn (en ik ookk niet trouwens) als ze iedere keer als ze sonos wil bedienen, ze van wifi moet veranderen, is daarbij ets van een oplossing nodig voor discovery op het thuis netwerk across VLANs hebben (vandaar mijn vraag over mDNS reflectie en igmp proxy's).

Geen ervaring met Sonos, en hoe bijv. de keuze van muziek apps wordt overgedragen naar Sonos. Het overschakelen van het ene VLAN naar het andere lijkt me juist “NIET” aan te bevelen. Want daarmee wissel je evt. onveilige situaties ook uit van het ene naar het andere netwerk.
(Zelf nooit dit soort opties uitgeprobeerd. Lijkt me ook weinig zinvol als het al kan).
Zoiets dek je naar ik denk dan beter af met een goede firewall?

(IGMP proxy en IGMP Snooping heb je o.a. nodig voor IPTV routed mode).

Glasvezel (TFT) - Synology RT6600ax - met „IPTV routed mode“ ondersteuning - handleiding zie: https://tinyurl.com/2p8p7bvu
wjb
Rank
Reputatie 7

De enige ervaring met Unifi apparatuur is het gebruik van “Nano Beam Gen2”
Om daarmee een 75 meter draadloze verbinding tussen twee gebouwen te overbruggen.
Werkt op zichzelf prima. Maar was voor mij geen reden om ook hun Access Points in te zetten.
Als ik afga op algemene gebruikers ervaringen zijn daar betere opties voor.

Ook ik ben geen fan van apparatuur uit de UniFi lijn.

 

(IGMP proxy en IGMP Snooping heb je o.a. nodig voor IPTV routed mode).

Zolang je er maar voor zorgt dat ander IGMP multicast verkeer niet geblokkeerd wordt door IGMP snooping zal er niets aan de hand zijn.

Blokkeer je wel onbekende IGMP multicasts dan zal mDNS niet meer werken en daarmee zal ook IPv6 SLAAC niet succesvol meer zijn. Zie ook dit topic.

 

Be positive, avoid negativity, enjoy life and stay healthy!
B
Rank
Reputatie 7
Badge +10

Die laatste waarschuwing lijkt me een open deur :sunglasses:
Voor elke instelling in navolgende netwerkapparatuur wat er bij bepaalde services betrokken is en wordt gebruikt, geldt dat je die correct moet instellen of zo nodig controleert.

Glasvezel (TFT) - Synology RT6600ax - met „IPTV routed mode“ ondersteuning - handleiding zie: https://tinyurl.com/2p8p7bvu
B
Rank

Dank allen voor de input.

Extra inzichten die ik opgedaan heb, zijn o.a.:

   - Kijken naar nu al een modem gebruiken voor mijn VDSL verbinding

   - IoT VLAN kan wel, maar voor een aantal devices is het handiger om deze in het ‘trusted’ VLAN te hangen; in het bijzonder Sonos en printer. Daarnaast moet ik goed nadenken over waar ik mijn google home en philips hue bridge in ophang

   - Unifi AP zijn mogelijk niet zo goed als ik dacht, ga nog even naar alternatieven kijken.

 

Er is niet 1 beste antwoord, maar de hele thread is nuttig voor me. Is het wenselijk dat ik toch een antwoord als ‘het antwoord’ selecteer?

 

B
Rank
Reputatie 7
Badge +10

Nee, je hoeft helemaal (nog) geen antwoord te selecteren.
Er komen wellicht nog wel vervolgvragen op je onderwerp, als je met de nieuwe inzichten weer verder aan de slag gaat, met wat je uiteindelijk voor jezelf zult gaan kiezen, en in welke set-up.

Besluit niets overhaast. Laat er de nodige “nachtjes slapen” overheen gaan.
Uiteindelijk zijn we wel benieuwd wat het “tegen die tijd” dan allemaal is geworden.

Glasvezel (TFT) - Synology RT6600ax - met „IPTV routed mode“ ondersteuning - handleiding zie: https://tinyurl.com/2p8p7bvu
B
Rank

Besluit niets overhaast. Laat er de nodige “nachtjes slapen” overheen gaan.
Uiteindelijk zijn we wel benieuwd wat het “tegen die tijd” dan allemaal is geworden.

Ga ik zeker doen! Dank!

Reageer


De Kennisbank

Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank
Forumvoorwaarden