IoT-, NoT- en Private- VLAN...?

[PE1PQX]

Topic titel klinkt misschien als 'Huh?? Wa-bedoel-u?', maar is eigenlijk best simpel:

Welke hardware zetten jullie in welke VLAN?
Ik wil misschien mijn setup (softwarematig) helemaal opnieuw opbouwen, ook kan het zijn dat ik mijn Syno DS218+ ook hierin mee neem (i.v.m. MailPlus server/client) maar da's een onderwerp voor onze zuster forum.

Welke apparaten zetten jullie in welke VLAN??
Google zut (Hub, Nest, CO/Brandmelders, Chrome-cast, thermostaat, Philips Hue enz.) zeker in IoT VLAN,
IP-camera's, NAS-apparaten, Media-apparaten (TV/Blue-Ray enz.) , eventueel Unifi switches/Controller/AP's wellicht in NoT

PC, Laptop, IP-Printer en Smartphones in Private-VLAN.

IoT (Internet Of Things) mag geen contact maken met NoT (Network of Things) en Private, NoT mag WEL naar IoT maar niet naar Private, en Private mag overal naartoe. (even simpel gesteld)
Eventueel ergens ver weg in de toekomst nog een Guest netwerk, maar dat is nu nog van toepassing hier.

Hoe zijn jullie gedachten hierover?? Wel zo'n dergelijke verdeling (en welk apparaat waarin) of kan het ook anders en wellicht beter/eenvoudiger?
Iedere VLAN krijgt dan uiteraard zijn eigen IP-range, 192.168.10.0/24, 192.168.20.0/24 enz...

 

[Kevin89]

Check dit eens. Heeft iemand uitgelegd hoe hij bepaald wat een IoT device is.

 

[Hofstede]

Voor thuis zijn drie segmenten meer dan voldoende. Hoofdnetwerk, IoT en gast.

 

[Eddie the Eagle]

Ik heb het zoals @Hofstede aangeeft, dus 3 segmenten:

Management (alles wat regelmatig veiligheidsupdates krijg)

• Unifi
• Sonos
• Laptops
• Iphones
• NAS
• Mediaplayers (Nvidia Shield)
• Proxmox server & meeste VM`s
• Game consoles (PS5`s, Nintendo Switch)
• Printer

Untrusted (IoT & NoT samen, alle rommel die nooit updates krijgt; NoT heeft internet geblokkeerd via aparte firewall regel, scheelt een VLAN)

• TV`s
• Camera`s Hikvision (internet geblokkeerd via aparte firewall regel)
• Receiver
• Koffiemachine
• Warmtepomp zwembad
• P1 reader
• Alles van Zigbee (lampen, plugs, bewegingsmelders, temperatuur, via Hue bridge)
• Shelly plugs
• Alarm
• VM`s waar anderen op binnenkomen, bv Minecraft server

Guests

• Gasten

 

[m4v3r1ck]

Mooi topic @PE1PQX en mooi overzicht @Eddie the Eagle! Reden om mijn netwerk ook eens langs deze lat te leggen.

 

[PE1PQX]

@Kevin89 TNX, ik zal die link eerdaags eens bekijken. Nu nog erg druk met werken.

@Eddie the Eagle prima lijstje zover. wel vraagjes hierover als je het niet erg vind:
Ik wil met mijn TV wel mijn NAS kunnen benaderen ivm. video's, foto's en muziek. Jij hebt de TV en NAS beiden in een ander VLAN zitten. Hoe werkt dit bij jou?? Of heb jij een hele batterij aan firewall regels om dit geregeld te hebben?

 

[Eddie the Eagle]

@Eddie the Eagle prima lijstje zover. wel vraagjes hierover als je het niet erg vind:
Ik wil met mijn TV wel mijn NAS kunnen benaderen ivm. video's, foto's en muziek. Jij hebt de TV en NAS beiden in een ander VLAN zitten. Hoe werkt dit bij jou?? Of heb jij een hele batterij aan firewall regels om dit geregeld te hebben?

Nee; we kijken of via Plex Server (draait op de NAS) of via de Nvidia Shield met Kodi en die zit ook in Management LAN, net zoals de NAS. Dus ik heb er geen enkele firewall regel voor nodig. De enige aparte firewall regel waar Untrusted naar toe mag, is naar de Piholes (op 2 RPi`s), niet eens voor de adblocking maar meer omdat daar ook Unbound op draait voor recursive DNS requests. Als ik dat niet doe, dan gaan sommige IoT apparaten offline. Wat ook weer op te lossen zou zijn door een externe recursive DNS server te kiezen maar zo is het cleaner.

 

[PE1PQX]

Ik heb hier geen Kodi of NVidia-Shield (vind ik ook best prijzig) maar wel 2 Chromecasts. Plex heb ik wel eens mee gestoeid, maar kan mijn draai daarmee niet echt vinden.

 

[Eddie the Eagle]

Ik heb hier geen Kodi of NVidia-Shield (vind ik ook best prijzig) maar wel 2 Chromecasts. Plex heb ik wel eens mee gestoeid, maar kan mijn draai daarmee niet echt vinden.

Ik heb `m eens opgezocht; de Shield is van Juli 2017 en was toen 229 Eur (kost de nieuwste versie nog steeds zie ik); het ding is dus bijna 6 jaar oud en draait nog altijd de nieuwste Apps en krijgt ook regelmatig updates. Was z`n geld best waard, we gebruiken `m ook voor Youtube, Netflix etc. Ik heb eerlijk gezegd geen goede ervaringen met Apps op de TV, na een tijdje kan de TV ze niet meer aan en worden ze niet meer ondersteund of zelfs verwijderd. Plex werkt ook prima trouwens.

 

[PE1PQX]

Misschien ergens een raspberry 4 voor Kodi ergens zien op te duikelen, misschien is daar wat mee te doen.

 

[PJaco]

Mag ik hier ook bij aansluiten voor een vraagje onderwerp gericht ?
Ik heb men setup ook al eens uitgewerkt van wat ik wil veranderen.
In een vorig topic, ben ik raad gaan vragen omtrent aankoop.
Maar vooral ik deze setup gaan aankopen, wou ik ook eens weten.

Ik zou mijn 6 tal camera's ook opdelen in het iot netwerk zoals @hosfstede dit aangeeeft.
Maar enkel rest er de vraag ? Dat de camera's worden opgenomen in dat netwerk, dus gescheiden van de main lan network.
kunnen dan de opgenomen beelden nog steeds worden opgenomen op mijn NVR recorder app Synology die zich op de main lan bevind.

Ik weet dat je met dergelijke firewall regels kan zeggen dat de toestellen in de main lan de Iot's nog kunnen zien, maar ik weet echter niet dat dit dan ook telt
voor de communicatie terug. Dus beelden van de camera's naar de main Lan ?
En wat heeft het dan nog eigenlijk van zin om de camera's op een apparte Vlan te zetten ?
De camera's zijn niet gelinkt met hun thuis server deze optie staat zeker al uit. Ze zijn ook niet te bereiken via het internet tenzij met open VPN.
Die ook als server draait op mijn synology.

Ik zou daarvoor alleen mijn huidig netwerk willen vervangen naar een UDM pro met wat bijhorende L2 switchen.
Misschien is dit een vraag voor vele al wel duidelijk, maar voor mijn allezins nog niet.

Bedankt alvast !!

 

[Eddie the Eagle]

kunnen dan de opgenomen beelden nog steeds worden opgenomen op mijn NVR recorder app Synology die zich op de main lan bevind.

dat kan zeker maar.....dat verkeer wordt in dat geval niet meer via je L2 switch afgehandeld maar via de UDM-P (inclusief eventuele scanning op threat mgt). Vraag is of dat een probleem is, het vergt uiteraard extra processing kracht van de UDM-P.

Ik weet dat je met dergelijke firewall regels kan zeggen dat de toestellen in de main lan de Iot's nog kunnen zien, maar ik weet echter niet dat dit dan ook telt
voor de communicatie terug. Dus beelden van de camera's naar de main Lan ?

ja dat werkt als je in je firewall een allow established & related regel hebt, die bepaald dat een vrager ook altijd antwoord mag krijgen

En wat heeft het dan nog eigenlijk van zin om de camera's op een apparte Vlan te zetten ?
De camera's zijn niet gelinkt met hun thuis server deze optie staat zeker al uit. Ze zijn ook niet te bereiken via het internet tenzij met open VPN.
Die ook als server draait op mijn synology.

tja, goede vraag, het is idd bedoeld om de phone home functie van bedenkelijke camera`s te blokkeren en alles wat daarbij hoort. Da`s (voor puristen ) geen IoT maar NoT. Ik heb die samen in een VLAN, zie mijn eerdere opmerking.