Unifi USG VLAN netwerk bouwen

[marcel1988]

Ik ben thuis aan de slag gegaan om mijn netwerk te gaan verdelen intern.

• VLAN 10 = Main netwerk. Hierop zitten de pc's, printers, en een NAS systeem
• VLAN 20 = Kids netwerk. Hierop zitten alle devices van de kids, PC's / Gameconsoles / telefoons.
• VLAN 30 = Security Netwerk. Hier komt alles op wat te maken heeft met camera's enzovoort.
• VLAN 40 = Guest netwerk. Hierop wil ik alleen mijn gasten op hebben.

Hardware welke ik gebruik:

• Unifi Security Gateway 3p (192.168.1.1)
• TP-Link TL-SG1016DE (192.168.1.2)
• TP-Link TL-SG108E (192.168.1.3)
• TP-Link TL-SG105E (192.168.1.4)
• TP-Link TL-SG105E (192.168.1.5)
• Unifi AC Lite Benedne (192.168.1.8)
• Unifi AC Lite Woonkamer (192.168.1.9)
• Unifi AC Lite Boven (192.168.1.10)

In de Unifi USG heb ik de VLANS aangemaakt, en deze laat ik lopen over de standaard LAN1.
Verbinding gaat van USG LAN1 > TP-Link TL-SG1016DE poort 1.

In de TP-Link TL-SG1016DE heb ik netjes de VLANS aangemaakt, en TAGGED op poort 1 gezet, en weer op poort 16 TAGGED gezet . Want vanaf poort 16 gaat die naar mijn kantoor toe naar de TP-Link TL-SG108E-Gigabit (8-poorts) op Poort 1.

In de TP-Link TL-SG108E-Gigabit (8-poorts) op het kantoor heb ik de VLANS aangemaakt en TAGGED op poort 1 en TAGGED op poort 7 en 8 gezet. Want poort 7 gaat naar de woonkamer en port 8 naar de kinderkamers.

Zowel in de woonkamer als in de kinderkamer heb ik een TP-Link TL-SG105E-Gigabit (5-poorts) staan.
Beide zijn het zelfde ingericht namelijk op poort 1 TAGGED de VLANS.

Nou ben ik bezig geweest met de juiste devices UNTAGGED op de poort te zetten en ook dat werkt prima, want de juiste IP range wordt uitgedeeld naar het devices toe.

De devices kunnen niet bij elkaar komen van de ene VLAN naar de andere VLAN.
Maar nog wel naar de native VLAN 1 toe. Dus ook bij de USG configuratie pagina. En ook als ze naar het gateway adres gaan, komen ze uit op de config pagine van de USG. (Dit is natuurlijk niet wenselijk)

Wat ik wel weer zou willen, op het native VLAN heb ik mijn Proxmox server staan met een aantal VM's erin.
Een daarvan is OpenMediaVault. En een andere is MotionEye.

OpenMediaVault is mijn NAS server met Plex ook geinstaleerd.
En MotionEye is voor de opnames van mijn camera's rondom het huis.

Ik zou graag het volgende voor elkaar willen krijgen:

VLAN 10 moet overal bij kunnen in het huis, aangezien hier ook mijn eigen pc op zit.
VLAN 20 Kids netwerk moet gewoon internet hebben, maar wel bij Plex kunnen, De rest geen toegang
VLAN 30 moeten de camera's welke bij MotionEye kunnen, maar niet bij OpenMediaVault.
VLAN 40 moet geisoleerd worden, maar dat is volgens mij in de UNIFI AP's goed te regelen met een aparte SSID en een guest netwerk met hotspot.

Ik zie op Youtube een hoop filmpjes met uitleg staan, maar allemaal net niet wat ik precies zou willen.
(Of ik heb de juiste nog niet gevonden)

Wie heeft voor mij de gouden uitleg

 

[Davey400]

De devices kunnen niet bij elkaar komen van de ene VLAN naar de andere VLAN.
Maar nog wel naar de native VLAN 1 toe. Dus ook bij de USG configuratie pagina. En ook als ze naar het gateway adres gaan, komen ze uit op de config pagine van de USG. (Dit is natuurlijk niet wenselijk)

De gouden uitleg heb ik niet voor je, wel een reactie op dit specifieke punt.
De config-pagina zit nu eenmaal op hetzelfde adres als de gateway zelf, dus als de (netwerk-)gateway bereikbaar is, zal ook de config-pagina beschikbaar zijn. Technisch gezien wellicht nog te voorkomen door 443/80 verkeer ergens in de route te blokkeren, maar dan wordt het verdraaid lastig internetten.
Omdat er Linux op draait zou je via SSH nog kunnen knutselen met het gebruik van alternatieve poorten, maar ik weet niet of je dat pad op zou moeten willen gaan.
Terug naar dat punt van die config-pagina: daar zit een secure password op toch?
Toch?

 

[marcel1988]

De gouden uitleg heb ik niet voor je, wel een reactie op dit specifieke punt.
De config-pagina zit nu eenmaal op hetzelfde adres als de gateway zelf, dus als de (netwerk-)gateway bereikbaar is, zal ook de config-pagina beschikbaar zijn. Technisch gezien wellicht nog te voorkomen door 443/80 verkeer ergens in de route te blokkeren, maar dan wordt het verdraaid lastig internetten.
Omdat er Linux op draait zou je via SSH nog kunnen knutselen met het gebruik van alternatieve poorten, maar ik weet niet of je dat pad op zou moeten willen gaan.
Terug naar dat punt van die config-pagina: daar zit een secure password op toch?
Toch?

Uiteraard staat er netjes een wachtwoord op
En 80 en 443 worden al gebruikt in de portforward naar mijn NGINX Proxy Manager.

Gaat mij erom dat ik eigenlijk voornamelijk kan zeggen dat bijvoorbeeld uit VLAN 20 enkel dit IP: 192.168.20.75 toegang heeft tot 192.168.1.15 op poort 32400 (plex En de rest van dat hele subnet 192.168.20.x geen toegang heeft. Dus enkel alleen dat ip 192.168.20.75 naar ip 192.168.1.15 mag, en die poort. Maar wat er nog meer draait op 192.168.1.15 mag niet bereikbaar zijn voor dat ip.

 

[Eddie the Eagle]

Om die gateways te blokkeren over VLAN`s heen maak je ruletype LAN LOCAL aan voor de betreffende VLAN`s ipv ruletype LAN IN. Voor de gateways maak je Adress Groups aan.

Voor de eigen gateway, dus (source) IoT mag niet naar de gateway van (destination) IoT doe je hetzelfde maar dan met een port group voor port 22/80/443, anders geen internet meer voor dat VLAN.



Allemaal getest hier en werkt.

 

[dbw]

Die 'oude' USG3P gaat het nog druk krijgen om al dat verkeer te routeren.

 

[marcel1988]

Die 'oude' USG3P gaat het nog druk krijgen om al dat verkeer te routeren.

Dus deze unifi is daar ongeschikt voor?

Gaat er alleen maar om dat al het verkeerde niet bij elkaar mag (op een aantal rules na)
VLAN 10 staat volledig vrij om te mogen doen en laten wat die wilt.

 

[Hofstede]

Wat je moet bedenken: Alle communicatie tussen VLANs loopt via de USG3P. Dus als je bijvoorbeeld camera’s in VLAN 30 opslaat op de NAS in VLAN 10 dan gaat dat dus allemaal door die ene LAN poort van de USG. Die USG is geen krachtpatser.

 

[marcel1988]

Wat je moet bedenken: Alle communicatie tussen VLANs loopt via de USG3P. Dus als je bijvoorbeeld camera’s in VLAN 30 opslaat op de NAS in VLAN 10 dan gaat dat dus allemaal door die ene LAan poort van de USG. Die USG is geen krachtpatser.

Wat zou dan een aanrader zijn? Ik zie het niet zo zitten om een rackmounted unifi op te gaan hangen

 

[Davey400]

Het mooiste is een Layer 3 switch. Die zijn er ook als desktop-model.
Ik weet er nog wel eentje.

 

[Eddie the Eagle]

Wat zou dan een aanrader zijn? Ik zie het niet zo zitten om een rackmounted unifi op te gaan hangen

Er is sinds kort de nodige keuze in small form factor;

UCG-Ultra (on board controller)
UX (on board controller & Wifi)
UXG-Lite (officieuze opvolger van die van jou)
UXG-Max (krachtige broertje van de vorige)

De UX zou ik van wegblijven, zwakke processor die max 4 Unifi apparaten kan bedienen. De laatste is de meest krachtige, ook de duurste. De eerste is de meest complete voor de prijs.

 

[Eddie the Eagle]

Dus deze unifi is daar ongeschikt voor?

Niet ongeschikt in de zin dat de functie er niet op zit maar verouderd en daarmee te zwak voor een goede performance.

 

[Davey400]

Wat @Eddie the Eagle zegt sluit ik me volledig bij aan; dat zijn kostentechnisch gezien handigere oplossingen.
Een layer 3 switch lost vooral het probleem op dat al het verkeer tussen vlans door één poort wordt gestuwd; cpu belasting zou met al de door Eddie genoemde devices geen issue moeten zijn.

 

[Eddie the Eagle]

Ik weet er nog wel eentje.

Boh ja; ik wil geen reclame maken maar een UXG-Max samen met die switch van jou voor inter-VLAN verkeer en 2,5Gbps uplink, mmm .

 

[marcel1988]

Het mooiste is een Layer 3 switch. Die zijn er ook als desktop-model.
Ik weet er nog wel eentje.

Vertel

 

[Eddie the Eagle]

Vertel

@Davey400 heeft deze switch in de aanbieding. Dit is echter niet waar jij naar op zoek bent; wel een top aanvulling daarop maar ook een andere prijscategorie.

 

[marcel1988]

@Davey400 heeft deze switch in de aanbieding. Dit is echter niet waar jij naar op zoek bent; wel een top aanvulling daarop maar ook een andere prijscategorie.

Ah. nee dat is inderdaad niks voor mijn toepassing.
Zit er bijna aan te denken om dan maar PfSense te gaan draaien op mijn Proxmox server.

 

[Eddie the Eagle]

Zit er bijna aan te denken om dan maar PfSense te gaan draaien op mijn Proxmox server.

Prima keuze....doen !

 

[marcel1988]

Prima keuze....doen !

Dan denk ik dat ik op een ander forum mijn antwoord moet gaan zoeken.
Want dit is niet het PfSense forum

 

[Davey400]

Vertel

Even als toelichting, want alhoewel overkill in jouw situatie (omdat een nieuwe router aanschaffen in ieder geval hogere prioriteit heeft) een stukje hele beknopte uitleg:
Zoals al aangegeven moet al het verkeer tussen jouw VLAN's letterlijk dóór de USG heen. Die doet dat softwarematig, dus netwerkpakketjes gaan door de processor van de USG heen om te bepalen waar het verkeer vervolgens heen moet en heen mag.
Een layer 3 switch tussen de clients en de USG voorkomt dat. De switch moet nog steeds aan de USG vragen waar devices zich bevinden, maar zorgt zelf voor het heen en weer sturen van de netwerkpakketjes. Zo'n switch heeft daar bovendien dedicated hardware voor die dat buiten een CPU om kan. Hierdoor haal je altijd de maximale snelheid en wordt de 'echte' router ontlast. (De L3 switch gedraagt zich dus een beetje als router.)

M.a.w.: technisch heel mooi, ideaal voor maximale snelheden, maar zeker niet noodzakelijk in jouw geval.

 

[rheinen]

Een layer 3 switch tussen de clients en de USG voorkomt dat. De switch moet nog steeds aan de USG vragen waar devices zich bevinden, maar zorgt zelf voor het heen en weer sturen van de netwerkpakketjes. Zo'n switch heeft daar bovendien dedicated hardware voor die dat buiten een CPU om kan. Hierdoor haal je altijd de maximale snelheid en wordt de 'echte' router ontlast. (De L3 switch gedraagt zich dus een beetje als router.)

Volgens mij is het bij Unifi nog een uitdaging om daarbij firewall regels in te stellen. Ik heb in het verleden mijn vlans ook 'verplaatst' naar mijn L3 switch en toen moesten firewall regels via ssh worden ingevoerd. Dat was mij teveel gedoe. Vervolgens alles weer teruggedraaid naar de oude situatie oftewel vlan verkeer via de udmp