Leuke projectjes walkthrough delen / pagina's?

joostman

UniFier
3 aug 2022
20
5
3
Ik heb een tijdje mijn UDM-Pro draaien en heb het idee dat alles goed werkt onder IPv4.
Ik heb een simpel netwerk met 4 accesspoints en wat switches om de boel met elkaar te verbinden op de lagen in mijn huis, een hoofdnetwerk, gastnetwerk en IOT, wat ik zeker anders of beter kan inrichten.
Ik heb geen extra services draaien (Protect, Access, Talk, UID of Connect) omdat ik denk dat ik dit niet nodig heb / gebruik / weet wat het precies doet.
Toch vind ik het leuk om met de apparatuur te pielen / tweaken om instellingen beter / optimaal te krijgen. Dit vind ik naast leuk ook leerzaam en ben ik nieuwsgierig. Soms breek ik iets, waar ik later hopelijk weer van leer. ;-)
Ik heb destijds met behulp van een tutorial van YouTube stap voor stap de instellingen van toen (op de legacy interface) gevolgd vanaf 0 tot werkende machine. Maar intussen zijn we een aantal versies verder en zie ik dat de nieuwe interface ook dingen heeft die de oude niet heeft. Dit maakt mij nieuwsgierig of ik dingen mis of zou kunnen verbeteren (bijblijven).

Hierbij merk ik dat dit forum (net als de meeste) reactief zijn op een vraag van iemand. Vaak is dat ook een specifiek punt waar iemand niet uit komt en als dit opgelost is, wordt het topic gesloten. Ik als redelijke leek kijk niet naar deze onderwerpen omdat ik de functie of het bestaan / de zin er niet van begrijp of zie.
Ik denk dat het algemeen heel leuk kan zijn en leerzaam en een goede bron om vragenstellers heen te verwijzen als er een soort van walkthoughs zouden zijn, welke een handige referentie kunnen zijn en mogelijk met een nieuwe versie eenvoudig aangepast kunnen worden.
Enkele ideeën wat zo uit mijn hoofd op popt zijn al:

- Inlogpagina van http met certificaatmelding naar https: Elke keer als ik inlog moet ik accepteren dat ik een risico loop volgens mijn browser om naar mijn lokale netwerk-router te verbinden.
- Een eigen netwerk op IPv6 maken (al jaren wordt er geschreeuwd dat we over moeten naar IPV6, maar weinig weten denk ik hoe je dit kunt doen en wat de voor- en nadelen mogelijk zijn.
- Hoe zet ik een goed IOT netwerk op? Moet ik hosts hierin allemaal isoleren? Kan ik bepaalde hosts wel met elkaar laten praten? Hoe maak ik een extra VLAN aan, wat is hiervan het voor- en nadeel?
- Hoe beveilig ik mijn netwerk? Extern, waar moet ik op letten, wanneer een IDS of IPS, hoe richt ik dan mijn firewall in?
- Wifi instellingen. Hoe laat ik mijn accesspoint niet storen / verstoord worden met mijn buren? Handmatige instellingen of automatische instellingen? Optimale plaatsing van accesspoint.
- Hoe richt ik de Protect, Access, Talk, UID of Connect van Unifi in? Wat doet / is het voordeel van elk item?
- Tweaks met de commandline om eigen scripts te draaien of installeren / meer controle op bepaalde items te krijgen die de huidige GUI niet biedt.
enz enz..

Leuk idee?
 
  • Leuk
Waarderingen: PcRene
Wat https betreft gebruik de uitleg op deze pagina: https://www.jeroentielen.nl/ubiquiti-unifi-controller-ssl-certificate-creation-process/
Daarbij moet ik zeggen dat ik als router pfSense gebruik.
In pfSense zit een certificate manager.
Hierin maak ik een Certificate Authority (CA) aan en vervolgens maak ik een wildcard certificaat aan met een geldigheid van 20 jaar of zo.
Ik heb voor lokale websites geen zin om met LetsEncrypt elke 3 maanden te gaan klooien om alles weer opnieuw te doen.

Als ik de certificaten aangemaakt hebt exporteer ik ze en vervolgens pas ik toe wat op bovenstaande website staat ik voeg ze toe aan de unifi keystore met de keystore explorer en klaar is klara.

Als je op deze manier een self signed certificaat gebruikt moet je ook zorgen dat het CA certificaat in je OS of browser aanwezig is als vertrouwde CA.

Ik heb een oude versie van UNC omdat ik EOL UAPs heb.
Ik heb vorige week nog bij iemand met de nieuwste UNC het precies zo gedaan.

Je moet zorgen dat je een geldig certificaat hebt.
CA certificaat, het daadwerkelijke certificaat en de private key.

1681945709622.png
 
Laatst bewerkt:
Voordeel van mijn IOT vlan vind ik is dat die geen toegang tot internet heeft.
Je kan eventueel IOT devices die je bekabeld aansluit port isolation gebruiken zodat andere devices in IOT niet met de isolated ports kunnen "praten".
1681946250981.png
 
Laatst bewerkt:
Wat ik hier nog zie zijn nog steeds flarden van de ideeën. Een beginner kan hier nog niets mee en moet eerst nog van allerlei bronnen informatie afhalen wat de achtergrond is, waar je begint, wat je nodig hebt voor tools (commandline, ssh) en waar en hoe je dit moet plaatsen, en achtergrond wat je in het proces nu doet. Ook als bonus is Nederlands natuurlijk makkelijker te lezen dan Engels. Vaak als dat er niet is, dat niet makkelijk te vinden is, haken veel gebruikers af. Ik weet, even als zijsprong voor het voorbeeld, dit nog uit de tijd dat ik Linux wilde leren kennen en door de Fedora, Redhat, Ubuntu's en daarbij de versienummers echt helemaal gefrustreerd werd als ik iets zocht of wilde doen wat niet met de GUI kon. Dat merk ik vaak ook met de antwoorden van forums dat deze heel erg to the point zijn en geen achtergrond hebben waar dat menu-item nu te vinden is.
Als voorbeeldje hierboven (goed bedoeld) over het IOT. Ik zie een flard aan informatie. Ik heb geen idee waar dat screenshot vandaan komt, hoe ik deze opties kan zien bij mijzelf. Het is een heel specifiek antwoord over een van de onderwerpen van IOT, zonder achtergrond. (Waarom een INTERNET of things geen toegang heeft tot Internet roept bij mij al een vraag op.)
IOT is een hot item, want bijna alles wat we elektronisch kopen bevat een link met/naar het Internet. Als voorbeeld: Ik wil wél dat ik mijn webcams mijn gegevens naar de cloud brengen, want anders kan ik op werk geen beveilingsbeelden uitlezen. Maar ik wil niet dat dit Chinese apparaat ook gelijk even verder snuffelt op mijn netwerk, maar wel met de ander camera's kan communiceren... Dus niet geïsoleerd, ook toegang tot Internet. Maar mijn Philips Hue wil ik ook kunnen bedienen als ik thuis ben en tegen Alexa of Siri roep "Zet al mijn lampen uit" Dus deze moet ook weer "zichtbaar" zijn binnen mijn gewone netwerk waar Alexa of Siri binnen opereren. Hoe richt je dit nu goed in, zonder 15 verschillende netwerken te krijgen? (Of is het gewoon niet anders?)

Een voorbeeld (inhoud slaat even nergens op, maar het idee wel) is hoe je op je NAS een programma installeert: https://www.snelrennen.nl/spotweb/
Lekker met screenshots en tekst erbij per stap. Ik vind dit als gebruiker handig te volgen.
 
We hebben een sectie "Handleidingen" op dit forum. Zie Bibliotheek -> Handleidingen waarin gebruikers handleidingen kunnen plaatsen. Zoals je zult zien komen daar niet vaak nieuwe dingen bij en zijn sommige zaken al weer behoorlijk verouderd.

Wat de ervaring tot nu toe leert is:
- Handleidingen verouderen zeer snel en het kost veel tijd om ze up to date te houden.
- Stap voor stap handleidingen (vul dit in in dit veld, zet dit vinkje aan, etc.) werken niet als degene die de handleiding volgt niet begrijpt wat hij eigenlijk aan het doen is.
- De kennis van forumleden over netwerken varieert sterk. Sommige leden weten helemaal niets van netwerken en anderen zijn professionals. Maar het is niet het doel van dit forum om leden op te leiden op het gebied van networking.

Om concreet jouw voorbeeld over IoT aan te halen:
Je ziet hier op het forum inderdaad mensen hopeloos in de problemen komen met het aanleggen van een IoT netwerk terwijl ze eigenlijk helemaal geen benul hebben waarvoor een IoT netwerk dient. Ze hebben ergens gelezen (of een Youtuber horen vertellen) dat het "moet" en springen direct in het diepe terwijl ze de basiskennis niet hebben. Een stap-voor-stap handleiding gaat niet helpen. De mensen begeleiden en verwijzen naar de juiste achtergrond info wel.
 
Laatst bewerkt:
  • Leuk
Waarderingen: MartinM, LTAX04 en dbw
Ook is elke situatie vaak weer uniek; handleidingen helpen maar voor een deel en inderdaad zijn die in mum van tijd hopeloos verouderd. Ik heb afgeleerd om te denken in termen van IoT en NoT want dan krijg je de terechte vraag van @joostman over hoe logisch die benaming is. Liever spreek ik over vertrouwde apparaten, gasten en 'de rest'. Bij 'de rest' ga je nadenken wat ze wel en niet mogen en daar pas je je netwerkveiligheid op aan met de bekende tools.
 
Activiteit
Er wordt op dit moment (nog) geen nieuwe reactie gepost.
  Topic Status: Hallo . Er is al meer dan 14 dagen geen nieuwe reactie meer geplaatst.
  De inhoud is mogelijk niet langer relevant.
  Misschien is het beter om in plaats daarvan een nieuw onderwerp te starten..