Netwerk config: fixed IP en meer vragen

Merijn

Merijn

UniFier
10 jan 2023
104
105
43
Noord Limburg
#1
Nu de UDMP een tijdje draait, ben ik me aan het inlezen en verdiepen in de wondere wereld van VLANs en andere optimalisatie dingetjes, zoals fixed IP. En dan komen bij mij altijd al snel (meerdere) vragen naar boven:

1. Is het verstandig om de standaard IP-reeks 192.168.1.x te vervangen door iets anders? En kan dat zomaar? Zo ja: waar moet ik dan op letten?
De UDM heeft nu 192.168.1.1, waardoor mijn 'main' VLAN ook automatisch in die reeks zit. Guest en IoT heb ik aansluitend 192.168.20.x en 192.168.30.x gedoopt.

2. Het is gelukt om de DHCP range aan te passen en de NAS en camera's een fixed IP te geven. Dit wil ik ook voor de AP's, switches en wat andere 'trusted devices' doen, maar dan krijg ik meer opties te zien dan bij de camera's. Is het noodzakelijk om die DNS info etc te vullen? En zo ja, waar vind ik die gegevens? (bij de NAS en camera was alleen een IP in te vullen)
1737368504806.webp

3. en meer komen wel als ik deze basis op orde heb en die VLAN's ga gebruiken... 😇
 
Sorteren op datum Sorteer op stemmen
#21
dbw zei:
Ik heb alles in 172.16.x.x met 255.255.255.0

DNS heb ik dit.
Bekijk bijlage 10641
Klik om te vergroten...
Even inhaken op de DNS instellingen, ik zie dat jij ze in de Access points instelt. Wat is het verschil met het instellen onder settings-internet?

En zet je ze dan in de access point en in de switches hetzelfde en laat je de instellingen onder settings-internet dan leeg?
 
Stem omhoog 0 Stem omlaag
#22
dbw zei:
Daarom blijf ik default uit 192.168.x.x weg. Dat kom je bijna overal tegen.
Klik om te vergroten...
Nergens voor nodig, jouw huisnummer kom je ook in elk dorp of stad tegen. IP-adressen in de private address space profileren zich niet op het internet (wordt niet gerouteerd). Anders is het inderdaad als je VPN of een bridged netwerk toe wilt passen, dan moet je anders plannen. Voor IPv4 gelden de volgende address spaces (bron: Wikipedia)

10.0.0.0 – 10.255.255.2551677721610.0.0.0/8 (255.0.0.0)24 bits8 bits
172.16.0.0 – 172.31.255.2551048576172.16.0.0/12 (255.240.0.0)20 bits12 bits
192.168.0.0 – 192.168.255.25565536192.168.0.0/16 (255.255.0.0)16 bits16 bits

 
  • Leuk
Waarderingen: edwin2019
Stem omhoog 0 Stem omlaag
#23
Dennis! zei:
Even inhaken op de DNS instellingen, ik zie dat jij ze in de Access points instelt. Wat is het verschil met het instellen onder settings-internet?
Klik om te vergroten...

Uiteindelijk maakt het allemaal niks uit, de gateway is zelf ook een DNS server, dus je kunt bij de access points ook de gateway als DNS instellen. Die gebruikt op zijn beurt dan weer de DNS die je onder settings/internet invult. En......als je je WAN gegevens ophaalt via DHCP (bijvoorbeeld bij Ziggo), dan kun je die DNS servers onder settings/internet ook weer leeglaten, die worden dan mee opgehaald samen met je publieke IP.

Zo worden dus uiteindelijk de DNS servers van je ISP gebruikt door alle Unifi devices. Dit doet verder niet veel, het is alleen voor de updates van de Unifi devices, die moeten ook hun weg naar buiten vinden.
 
  • Leuk
Waarderingen: dbw
Stem omhoog 0 Stem omlaag
#24
Eddie the Eagle zei:
Uiteindelijk maakt het allemaal niks uit, de gateway is zelf ook een DNS server, dus je kunt bij de access points ook de gateway als DNS instellen. Die gebruikt op zijn beurt dan weer de DNS die je onder settings/internet invult. En......als je je WAN gegevens ophaalt via DHCP (bijvoorbeeld bij Ziggo), dan kun je die DNS servers onder settings/internet ook weer leeglaten, die worden dan mee opgehaald samen met je publieke IP.

Zo worden dus uiteindelijk de DNS servers van je ISP gebruikt door alle Unifi devices. Dit doet verder niet veel, het is alleen voor de updates van de Unifi devices, die moeten ook hun weg naar buiten vinden.
Klik om te vergroten...
Daarom dus
 
Stem omhoog 0 Stem omlaag
#26
Merijn, de voor/nadelen van een static (in device zelf geconfigureerde IP setting) t.o.v. een reservation
In het bedrijfsleven wordt eigenlijk uitsluitend gewerkt met die laatste. Je hebt dan een aparte DHCP/DNS server en daar maak je de reserveringen voor die apparaten waarvan je graag altijd hetzelfde IP adres zou willen hebben. Een NAS zou ik bijvoorbeeld altijd zo'n reservering geven. Ook camera's zijn vaak geconfigureerd in bijvoorbeeld een NVR server.

- gebruiksgemak, alles doe je op één plaats, de console van de UDM.
- flexibiliteit, krijg je een andere DNS server hoef je dat alleen op je UDM doorgeven, krijgen alle aangesloten devices direct ook dat adres. Of als je het iets anders wilt indelen door bijvoorbeeld een extra vLan te maken hoef je niet al die apparaten langs.
- Een reservation is ook een echte reservering van dat IP adres in je systeem. De DHCP server (router) zal dat adres nooit aan een ander apparaat uitgeven. Een static adres is eigenlijk alleen bekend binnen het device waarin je het hebt geconfigureerd. Het doet dan aan de DHCP server niet het verzoek voor een IP adres maar geeft door dat het dat desbetreffende IP adres heeft en online komt. Pas dan is het niet meer beschikbaar voor andere apparaten.
Omdat dit adres niet exclusief gereserveerd staat bestaat de kans dat de DHCP server, indien dat device met static adres offline is, dit adres gaat uitgeven aan een ander apparaat. Gevolg: 2 apparaten met hetzelfde IP adres.
Dat kans je deels ondervangen door de methode van Eddie, onder de 100 alles wat een reservering moet krijgen en je DHCP pool tussen 100-250

Voor DNS gebruik ik eigenlijk nooit 8.8.8.8 vanwege privacy overwegingen. Niets is gratis. Je gebruikt die server van Google en betaald ervoor met data. Google heeft mooi inzicht in al je requesten. Ik gebruik de door mijn provider doorgegeven DNS servers.
 
Stem omhoog 0 Stem omlaag
#27
Sjaak020 zei:
Merijn, de voor/nadelen van een static (in device zelf geconfigureerde IP setting) t.o.v. een reservation
In het bedrijfsleven wordt eigenlijk uitsluitend gewerkt met die laatste.
Klik om te vergroten...
Nee hoor, dat is zeker niet het geval.
Er zijn hele omgevingen waar in het geheel geen DHCP in bepaalde segmenten (vaak serversegmenten) beschikbaar is.
De belangrijkste reden dat dat minder wordt is dat on-prem servers (of functionaliteiten) naar cloud-diensten migreren, maar om nu te zeggen dat host-sided fixed-ip niet of nauwelijks gebruikt wordt is niet waar.

(Uitzondering zijn natuurlijk vooral containerized of scalable oplossingen, die zijn meestal wel DHCP-based.)

Sterker nog; er zijn zelfs server-rollen waarbij DHCP gebruiken niet eens mogelijk is. Een mooi voorbeeld is de DHCP server zelf.
Daarnaast zijn in mijn ervaring juist primaire netwerkcomponenten voorzien van een 'hard' adres, omdat dat altijd werkt, ook als DHCP zelf niet beschikbaar is.

Dit alles neemt niet weg dat ik het er wel mee eens ben om thuis gewoon lekker zoveel mogelijk wél met DHCP te doen! :)
 
  • Leuk
Waarderingen: dbw
Stem omhoog 0 Stem omlaag
#28
Om dit draadje af te hechten: mijn OCD is weer (grotendeels) tevreden.. :)
Alle Unifi apparatuur (+ wat andere "vaste" apparaten, maar die staan niet in dit rijtje) hebben een eigen IP.
1739972274578.webp
.1x voor de switches,
.2x voor de AP's,
.3x voor de camera's,
vanaf .4x tot .99 voor overige apparaten,
vanaf .100 zit de DHCP pool.

Met die nieuwe firewall zones was ook instellen van IoT vlan eigenlijk supersimpel. Vooralsnog lijkt dat voor de apparaten die al wel over zijn ook allemaal goed te werken. Dat ik ze nog wel kan benaderen, maar ze als t goed is afgeschermd zijn van het hoofd netwerk.
Resteert alleen nog het verhuizen van een aantal wifi apparaten naar het IoT vlan...
 
  • Leuk
Waarderingen: edwin2019
Stem omhoog 0 Stem omlaag
#29
Ik heb 4 netwerken

10.52.0.0/24 default netwerk
10.52.1.0/24 zitten mijn camera's op
10.52.40.0/24 alle IoT spullen
10.52.50.0/24 guest netwerk

Unifi devices zitten in default netwerk.
10.52.0.1x voor Switches
10.52.0.2x voor AP's
Al mijn devices krijgen een vast ip tussen 10.52.0.100-199 (ook zo voor IoT netwerk)
De DHCP pool ligt tussen 200-254.

Default netwerk heeft toegang tot alle netwerken.
Alle andere netwerken zijn geisoleerd.
Enkel IoT mag mijn HA server benaderen.
Gasten hebben wel toegang tot printer welke in default netwerk zit.
 
  • Leuk
Waarderingen: Merijn
Stem omhoog 0 Stem omlaag
#30
hier ook eens mijn toevoeging doen. Wat voor mij 1 van de beste filmpje was om alles in te stellen + extra info wat alles exact doet was onderstaande filmpje van unifi zelf.

Op basis daarvan heb ik alles als volgt ingesteld
Core network: 10.87.1.0/24 - normal network - Free range 100-254 (alles van unifi)​
Security network: 10.87.2.0/24 - normal network - Free range 100-254 (camera's, deurbel, rookdetectors, alarm)​
User network: 10.87.3.0/24 - normal network - Free range 100-254 (pc, laptop, printer, heos systeem, tv's, android boxes, gsm & tablet)​
IoT netwerk: 10.87.4.0/24 - normal network - Free range 100-254 (niko home control, robotstofzuiger, hue, homewizard, ...)​
Guest netwerk: 10.87.1.0/24 - isolated network - Free range 100-254 (als er mensen op bezoek komen en wifi willen)​

En in elke vlan worden gelijkaardige toestellen per 10tallen gegroepeerd.
Bijvoorbeeld ons users netwerk
10.87.3.1x: nuc, pc, laptop​
10.87.3.2x: printer​
10.87.3.3x: versterker + heos​
10.87.3.4x: tv's​
10.87.3.5x android boxes​
10.87.3.6x: tablets​
10.87.3.7x: gsm's​
10.87.3.8x: smartwatches​

En voor DNS raad ik cloudflare aan (de 2 of 3 afhankelijk of je kinderen hebt of niet)
1.1.1.1/1.0.0.1 als blanco​
1.1.1.2/1.0.0.2 met malware blokker​
1.1.1.3/1.0.0.3 malware + porn blokker​
 
  • Leuk
Waarderingen: sander3ssen, PcRene en Merijn
Stem omhoog 0 Stem omlaag
Je moet ingelogd zijn om te kunnen reageren. Log in | Registreer

Vergelijkbare onderwerpen

rheinen
Toegang IP-camera op VLAN vanuit LAN
Reacties
27
Weergaven
4K
Enterprise of Things
Eddie the Eagle
Eddie the Eagle
Bovenaan Onderaan
Menu