Handleiding gezocht .....

[Toon M]

Er staan verschillende topics op het forum over VLAN's, en ik heb er best een aantal van gelezen maar niet allemaal en ook na het zien van een grote verscheidenheid aan kijkbuis video's kom ik ik er niet uit .... Ik ben dus als "rookie" ben opzoek naar een handleiding of een handige Harry die mij op weg kan en wil helpen bij het opzetten van VLAN's, Ethernet Profiles en Firewall rules in mijn Ubiquiti UniFi Switch Lite 8 PoE m.b.v. de Unifi browser controller.

Het idee is om:
- een IoT VLAN te creëren voor mijn beide CCTV PoE camera's die verder afgeschermd moet zijn/blijven van de overige poorten/VLAN's die voor de opslag gebruik moeten kunnen maken van de NAS in de NoT VLAN
- een NoT VLAN te creëren voor alle overige bekabelde apparaten (PC, PS5, NAS, AP U6+)
Nu weet ik ten eerste niet of dit überhaubt gaat werken, als het zou kunnen werken, hoe te werk te gaan ...

Huidige situatie:
- Glasvezel modem Nokia XS-2426G-B => Ubiquiti UniFi Switch Lite 8 PoE


IMet belangstelling kijk ik uit naar jullie expertise/feedback

 

[Toon M]

Zijn die dan in de genoemde range 192.168.1.XXX ? Kun je een schermafrduk plaatsen ? Als ik het goed zie, is je modem ook meteen de ONT dus die kun je er niet zomaar tussenuit halen helaas. Het is geen probleem verder, alleen als je later met VPN aan de slag wilt heb je wat extra stappen maar nogmaals geen probleem. Het is gewoon inherent aan je ISP.

Betreft een glasvezel ONT/modem Nokia XS-2426G-B

 

[Eddie the Eagle]

Inderdaad; omdat het ook een ONT is kan die Nokia er niet tussenuit. En die IP range gaat je UDR in de weg zitten, die heeft nl dezelfde range default. Ik zou die .1 nu al aanpassen naar .99 in de drie rode cirkeltjes. Je Nokia is dan bereikbaar op 192.168.99.254 ipv 192.168.1.254

Ik weet niet of je apparaten hebt met een vast IP adres....die moeten dan aangepast worden.

 

[Toon M]

@Eddie the Eagle,

Ik heb idd wel wat apparaten (en misschien nog wel meer dan ik denk) zowel draadloos als bekabeld, met een vast IP zoals een PS5, CCTV camera's, NAS ect. Denk dat ik eerst al deze apparaten eens ga inventariseren en er een lijst van op te stellen met hun respectievelijke default en aangepaste IP adres en dan in een keer alles aan te passen.

Voor mijn beeldvorming, stel ik heb een apparaat met IP 192.168.1.108, dat zou dan 192.168.99.108 worden toch ....

 

[Eddie the Eagle]

@Eddie the Eagle,

Ik heb idd wel wat apparaten (en misschien nog wel meer dan ik denk) zowel draadloos als bekabeld, met een vast IP zoals een PS5, CCTV camera's, NAS ect. Denk dat ik eerst al deze apparaten eens ga inventariseren en er een lijst van op te stellen met hun respectievelijke default en aangepaste IP adres en dan in een keer alles aan te passen.

Voor mijn beeldvorming, stel ik heb een apparaat met IP 192.168.1.108, dat zou dan 192.168.99.108 worden toch ....

Ja klopt; ik zat me alleen te bedenken dat je UDR toch langzaam gearriveerd moet zijn dus kun je het ook zo laten met die vaste adressen en alleen de instellingen in de router aanpassen en dan de UDR er tussen zetten. Het is namelijk zo dat de UDR standaard weer op de 'oude' IP range 192.168.1.XXX zit. Als je later je netwerk gaat segmenteren (gasten, IoT, NoT, management) dan zien we wel weer verder. Alles stap voor stap.

 

[Toon M]

@Eddie the Eagle,

Klopt idd, de UDR is gisteren binnengekomen, nu ik alleen de Nokia IP’s hoef aan te passen van .1 naar .99 scheelt dat wel berg werk ….. ik zeg “niks mis mee”
Bedankt weer

 

[Eddie the Eagle]

@Eddie the Eagle,

Klopt idd, de UDR is gisteren binnengekomen, nu ik alleen de Nokia IP’s hoef aan te passen van .1 naar .99 scheelt dat wel berg werk ….. ik zeg “niks mis mee”
Bedankt weer

Yep, inderdaad, die aanpassing is echt belangrijk voordat je de UDR aansluit. Ik zou voor alle zekerheid ook de Nokia nog even een herstart geven en als die helemaal online is....dan pas de UDR aansluiten en de setup doorlopen door een laptop met kabel aan je UDR te koppelen en dan naar 192.168.1.1 surfen of /unifi. Succes met klooien.

oh en bij de setup auto updates uitzetten, dat wil je liever in eigen hand houden.

 

[Toon M]

Yep, inderdaad, die aanpassing is echt belangrijk voordat je de UDR aansluit. Ik zou voor alle zekerheid ook de Nokia nog even een herstart geven en als die helemaal online is....dan pas de UDR aansluiten en de setup doorlopen door een laptop met kabel aan je UDR te koppelen en dan naar 192.168.1.1 surfen of /unifi. Succes met klooien.

oh en bij de setup auto updates uitzetten, dat wil je liever in eigen hand houden.

Duidelijk .... auto updates uit, ik neem aan om te voorkomen dat Nokia na updates weer naar default IP gaat.

Zit ik alleen nog met het mogelijk uitvallen van mijn twee Interactieve TV ontvangers, die zitten rechtstreeks op een LAN poort van de Nokia ...
Navraag bij ISP leert dat ze verwachten dat na het wijziging van het IP adres en de DHCP range de ontvangers gewoon blijven werken, hoewel ik in het instellingen menu van de interactieve ontvangers geen IP adressen of iets wat erop lijkt zie ik betwijfel dat anders advies gekregen Nokia spanning reset te geven en Interactieve ontvangers opnieuw aan te melden. Tja, daar kan ik niet zoveel mee natuurlijk want ook dan ben ik weer terug bij af met de default IP instellingen van de Nokia.

Indien de TV ontvangers uitvallen, lijkt het mij handiger om de IP adressen handmatig in de Nokia naar default terug te zetten en waarschijnlijk zit er dan niets anders op de dag dat de ISP bridge mode mogelijk maakt om de router uit te kunnen schakelen op de Nokia, waar dat nu alleen nog maar met het WiFi signaal kan.

Wordt waarschijnlijk niet voor de tweede helft van de aankomende week dat ik de aanpassingen kan gaan doen i.v.m. lopende afspraken en nog uit te voeren werkzaamheden zodat de UDR ook geplaatst kan worden.

 

[Eddie the Eagle]

Duidelijk .... auto updates uit, ik neem aan om te voorkomen dat Nokia na updates weer naar default IP gaat.

Nee, niet in de Nokia maar in de UDR. Je gaat een setup wizard doorlopen en daar kom je dat tegen. Je wilt niet dat je UDR ongewild gaat updaten, dat wil je in de hand houden.

Zit ik alleen nog met het mogelijk uitvallen van mijn twee Interactieve TV ontvangers, die zitten rechtstreeks op een LAN poort van de Nokia ...
Navraag bij ISP leert dat ze verwachten dat na het wijziging van het IP adres en de DHCP range de ontvangers gewoon blijven werken, hoewel ik in het instellingen menu van de interactieve ontvangers geen IP adressen of iets wat erop lijkt zie ik betwijfel dat anders advies gekregen Nokia spanning reset te geven en Interactieve ontvangers opnieuw aan te melden. Tja, daar kan ik niet zoveel mee natuurlijk want ook dan ben ik weer terug bij af met de default IP instellingen van de Nokia.

Geen idee, niet bekend mee, soms komt IP-TV via een apart VLAN binnen, soms niet. Ik zou verwachten dat die gewoon aan de Nokia blijven hangen en dat dit niet afhankelijk is van de IP range van het router deel van de Nokia waar internet mee gestuurd wordt. Mooi dat dit in lijn is met de verwachting van je ISP . Die zouden dat zeker moeten weten.

Indien de TV ontvangers uitvallen, lijkt het mij handiger om de IP adressen handmatig in de Nokia naar default terug te zetten en waarschijnlijk zit er dan niets anders op de dag dat de ISP bridge mode mogelijk maakt om de router uit te kunnen schakelen op de Nokia, waar dat nu alleen nog maar met het WiFi signaal kan.

dat kan maar dan moet je de default IP range van de UDR aanpassen naar bv 192.168.10.XXX; ook geen probleem

 

[Toon M]

@Eddie the Eagle,

Bedankt voor je uitgebreide duidelijke reactie altijd handig voor een "greenhorn" als ik

Ik ga een stappenplan opstellen, zodat ik de juiste volgorde duidelijk heb en ik gelijk weet wat de default instellingen zijn en waar ze naar zijn aangepast. Als het af is zal het hier ff posten, je feedback daarop wordt erg gewaardeerd !

Ik zag trouwens in de handleiding van de UDR een Micro SD kaartje (min. 128Gb) voorbij komen, klopt het dat deze noodzakelijk is voor een goede werking ? Er stond niet bij dat deze optioneel is ..... Zo ja, zijn er verder nog specs/eisen aan deze MicroSD kaart als Snelheidsklasse, leessnelheid, schrijfsnelheid ? Is de bijgevoegde SD kaart iets ?

 

[MartinM]

Dag Toon,

Het extra kaartje is bedoeld voor meer beeld opslag voor UniFi camera beelden.

 

[Toon M]

Dag Toon,

Het extra kaartje is bedoeld voor meer beeld opslag voor UniFi camera beelden.

@MartinM,
Dank voor je reactie

 

[Marnix61]

De tv ontvangers kun je gewoon inprikken op de UDR of jouw switch en ze krijgen dan daarvan een ip via dhcp. Doe je dat niet dan zijn ze ook niet zichtbaar in de Unifi controller, ze krijgen dan een ip van de Nokia ipv de UDR.

 

[Sjaak020]

Beste Toon, inderdaad, wat is wijsheid, misschien moet je even eerst jezelf afvragen waarom je, gezien je configuratie, alles in vLans wilt splitsen.

Ik ik dat zo lees heb je nu een modem/router met een paar poorten en extra een 8 poort Unifi switchje
Daar staan dan op aangesloten 2 camera's, computer, Nas en een TV. Wifi gebruik je vermoedelijk van de ingebouwde Wifi uit de Nokia. Ik zie géén Unifi AP in je topologie plaatje. Dus komen er nog wat devices (telefoons/iPad) bij die via Wifi verbonden zijn met je netwerk.
- Wat is het nut om je 2 camera's in een apart vLan te zetten terwijl je schrijft dat die dan wel de beelden moeten opslaan op je Nas?
Zet eerst maar eens op papier wat je nu precies wilt en belangrijker waarom. Zet daarbij de voordelen/nadelen naast.
Is het een probleem dat je de beelden van de camera ook op je Desktop ziet. Wie gebruikt die desktop? Gaat een en ander het Internet op of blijft alles lokaal.

Je besteld al dingen (CK2/Dreamrouter) voordat je weet wat je nu precies wilt. Een eigen router ertussen ipv die Nokia geeft wel extra configuratie. Dan zou je ook je AP (Wifi) op die tweede router moeten zetten. Anders krijg je twee netwerken (Die van de Nokia met Wifi) en achter de Dreamrouter je bekabelde devices. Aangezien je die Nokia niet in bridge kan zetten wordt het dan ook dubbel NAT.

Ik vraag me af, of een en ander in kosten dan straks op gaat wegen tegen de vermeende voordelen van een en ander in vLans plaatsen gezien je situatie.

 

[Eddie the Eagle]

@Sjaak020 je hebt een punt maar ik denk dan hoe ik zelf ooit begonnen ben met Unifi gear. Vallen en weer opstaan, heel veel lezen en soms een paar euro`s onnodig uitgegeven maar als je echt gemotiveerd bent om door de leercurve te gaan, dan is er niks mis mee en wordt ook echt leuk. Ik denk zeker dat je baat hebt bij een beveiligd en gesegmenteerd netwerk in huis. En eindelijk na vele omzwervingen goede wifi.

 

[Toon M]

@Eddie the Eagle

Dank voor je feedback en uiteenzetting van de verschillende producten. v.w.b. de USG was ik idd al bang dat ie eruit zou gaan (EoL - End of Life) en is daarom idd geen optie. Dus nu een Cloud Key G2 Plus besteld, geeft mij mooi de tijd intussen om even een cat7 S/FTP kabel van mijn PoE switchport te leggen naar het montagepunt van de U6+ welke ik met Unfi Designtool heb bepaald. Wel een handig tooltje, doen ze goed bij Ubiquiti !

Wordt vervolgd .....

@Sjaak020

Het topologie plaatje waar je aan refereert stampt uit het prille begin van dit draadje .... inmiddels naast de UDR ook een AP 6+ aangeschaft en geplaatst.
Bijgaand nog even een update van het plaatje, zonder de UDR, want die is nog niet live en waar mogelijk in de toekomst nog een U6 LR of een U6 extender bij gaat komen als blijkt dat de huidige configuratie niet toereikend is om overal een voldoende sterk en stabiel WiFi signaal te behalen.

Ik snap wat je zegt, en in een van de eerdere comments had ik al gezegd me wel wat verkeken te hebben op de aanleg, maar gedreven enthousiasme en interesse toch eraan begonnen zonder er eerst eens goed erover na te denken en op papier te zetten wat ik wil bereiken met mijn netwerk en wat daarvoor nodig is. Dus hier heb je zeker een punt.

Verder gaat het mij niet zo zeer om welke van de door mij "toegestane" gebruikers op mijn netwerk de camerabeelden kunnen zien en/of bij overige data kunnen (hoewel ik dat ook wel in goede banen wil leiden) maar meer om een wie van buitenaf mogelijk via een hack over mijn camera's zich toegang probeert te verschaffen tot mijn netwerk. Als ze daar al in slagen wil ik er igg voor proberen te zorgen dat ze niet zomaar tot rest van mijn netwerk kunnen doordringen, vandaar de vlans, al ben ik mij ervan bewust dat de NAS in dezelfde vlan moet worden opgenomen als mijn camera's.

De WiFi van de Nokia gaat uit, zodra de UDR life gaat i.v.m. zoals je terecht opmerkt WiFi netwerk conflicten tussen de Nokia en het UDR WiFi signaal.

Tot slot is het ook ontstaan uit een stukje hobby / interesse voor mij waar ik idd, zoals @Eddie the Eagle opmerkt, door een leercurve heen moet en ja daarin heb ik en zal ik best nog eens een foutje maken (en ja zoals bij de meeste foutjes kost dat soms een paar centen, maar ja het laatste hemd heeft geen zakken dus ..... ) maar da's inherent aan een leerproces. Daarom is het fijn dat er een forum is zoals dit, waar forumleden bereid zijn een "greenhorn" zoals ik (en ik ben vast de enige niet) op sleeptouw te willen nemen. Hulde !

 

[Sjaak020]

Beste Toon, Eddie,

Ook ik ben zo begonnen. Eerste PC met een HD van wel 20Mb. Rommelde in het begin ook en heb zeker onnodige uitgaven gedaan.
Later van hobby mijn beroep gemaakt. Informatica gestudeerd aan HU en daardoor anders gaan kijken naar dit vakgebied.
Gewerkt bij grote en kleine bedrijven en kennis van grote (en kleine) netwerken en de infrastructuur, incl. security issues.
Mijn opmerkingen zijn dan ook géén kritiek. Het is eerder opbouwend bedoeld.
De slechtste ICTers zijn m.i. die tegelijk het toetsenbord pakken om het probleem op te lossen en niet eerst nadenken.

Je noemt al dat je de NAS in hetzelfde vLan wilt als de camera's. Maar je zal ook via je Desktop die NAS willen gebruiken.
Bekijk dan eens of je NAS 2 netwerkinterfaces heeft. (Synology?) dan kan je op de NAS je surveillance station verbinden met de 2e interface en die configureren voor gebruik van je camera vLan. En dan kan je dat vLan in je Firewall helemaal afsluiten van Internet zodat er alleen lokaal verkeer tussen camera's en surveillance station op je Nas overblijft.

Overigens is de kans dat een camera gehackt wordt voor toegang tot je netwerk uiterst klein. En ook niet interessant voor particuliere netwerken. Het enigste merk wat bekend is waar dat eens is gebeurd zijn HikVision camera's. zie: https://tweakers.net/nieuws/193550/...e-hikvision-cameras-onderdeel-van-botnet.html

Een groter gevaar is dat een camera gehackt wordt voor de beelden. Er zijn nog steeds gebruikers die een camera ophangen en verder niets aan de configuratie veranderen. Gebruik je trouwens Unifi camera's zijn die ook niet van buitenaf te benaderen. Alles gaat via de Unifi VCR en/of protect app.
Maar gezien je schrijft dat je de beelden via de NAS opslaat zal je een ander merk camera gebruiken.

Succes bij je verdere plannen. (p.s. plaatje is nog steeds dat "oude" plaatje?)

 

[Toon M]

@Sjaak020

Bekijk dan eens of je NAS 2 netwerkinterfaces heeft. (Synology?) dan kan je op de NAS je surveillance station verbinden met de 2e interface en die configureren voor gebruik van je camera vLan. En dan kan je dat vLan in je Firewall helemaal afsluiten van Internet zodat er alleen lokaal verkeer tussen camera's en surveillance station op je Nas overblijft.

Bedankt voor de tip !
NAS is een Synology DS220+ die heeft twee RJ45 1GbE LAN poorten met Link Aggregation / Failover-ondersteuning maar of dat betekent dat hij ook 2 interfaces heeft ... geen idee Camera's zijn van Duhua (IPC-HDBW3841EP-S-28-S2) en draaien rechtstreeks op de NAS met Synology Surveillance Station Client en niet op een NVR, die heb ik ook niet trouwens.

Overigens is de kans dat een camera gehackt wordt voor toegang tot je netwerk uiterst klein.
Een groter gevaar is dat een camera gehackt wordt voor de beelden.

Doe wie of wat je gehact wordt is mij om het even, ik behoor niet tot de gebruikersgroep die hun camera's ophangen en niets aan de beveiliging doen. Sterker nog het was/is voor mij de aanleiding geweest van het begin om mij zo goed mogelijk daar tegen te beveiligen, want 100% veilig bestaat niet.

ps
Aan het plaatje is alleen de AC 6+ toegevoegd - zoals gezegd is de UDR nog niet "live" hiervoor heb ik een stappenplan geschreven wat ik zo meteen in een nieuwe post in dit draadje zal plaatsen.

 

[Toon M]

Stappenplan omschakeling van Nokia XS-2426G-B naar UDR:

1. unpluggen UTP kabel tussen de USW-Lite-8-PoE van de Nokia XS-2426G-B
2. laptop aansluiten op Nokia XS-2426G-B op de vrijgekomen poort van de USW-Lite-8-PoE
3. inloggen op Nokia XS-2426G-B
4. aanpassen van het IPv4 adres van 192.168.1.254 naar 192.168.99.254
5. aanpassen DHCP range start van 192.168.1.64 naar 192.168.99.64
6. aanpassen DHCP range end van 192.168.1.253 naar 192.168.99.253
7. opslaan wijzigingen
8. WiFi uitschakelen op Nokia XS-2426G-B
9. opslaan wijzigingen
10. restart/reboot Nokia XS-2426G-B
11. laptop aansluiten op poort 1 van de UDR (non PoE poort)
12. laptop opstarten
13. aansluiten Nokia XS-2426G-B op WAN poort UDR
14. opstarten UDR
15. inloggen op UDR via 192.168.1.xxx
16. setup doorlopen op UDR (auto updates UDR uitschakelen)
17. harde reset USW-Lite-8-PoE
18. aansluiten USW-Lite-8-PoE op poort 4 van de UDR (PoE poort)

feedback en/of adviezen of bovenstaande kan gaan werken en/of problemen op kan leveren zijn welkom en zeer gewaardeerd !
Alvast bedankt ....

 

[Eddie the Eagle]

Is prima zo; paar tips nog:

- controleer even of de UDR het juist IP krijgt (192.168.99.XXX range), staat in het dashboard
- UI account heb je al neem ik aan ? Die ga je opgeven bij de setup als owner`s account v/d UDR
- maak meteen even een wifi SSID aan en activeer (als dat er niet al is, weet ik niet meer), dan kan de kabel tussen UDR en laptop er uit en heb je al wifi
- check of je Nokia een DMZ functie heeft, dan kun je de UDR daarin zetten (soort van bridge mode lite)
- vergeet niet de update voor de UDR, het is belangrijk om meteen naar de nieuwste officiele update te gaan (OS en Netwerk).
- als het ergens fout gaat, zit er op de UDR ook weer de bekende reset knop

 

[Toon M]

@Eddie the Eagle

Dank voor je support en tips die neem ik zeker mee !

Mijn grootste vrees is (wellicht volledig onterecht, maar toch ....) dat de Nokia niet meer bereikbaar na het aanpassen van het IP adres ....
Is het aannemelijk te verwachten dat de reset knop op de Nokia alle instellingen (en dus ook het IP adres) terug zet naar de factory default settings net als bij de UDR ?