Statisch IP mogelijk voor thuis EN gastnetwerk?

joostman

UniFier
3 aug 2022
23
5
3
Momenteel mijn netwerk ingericht met een Thuis- en Gastnetwerk.
Thuis met 192 Gast met 10 range.

Graag wil ik enigszins overzicht houden op mijn apparaten en heb ze voor mijn Thuisnetwerk een vast IP gegeven.
Voor de devices vast in mijn Gastnetwerk hetzelfde en dit werkt goed.

Echter... de devices die switchen tussen de twee netwerken kan ik er voor zover ik kan zien maar 1 opgeven. Als ik een 192 IP aangeeft (Thuisnetwerk) en hij verbindt met het Gastnetwerk treedt DHCP in werking.

Is er een mogelijkheid om voor apparaten voor beide netwerken een statisch IP op te geven?
 
Dat is niet mogelijk. Maar het is eigenlijk "raar" dat een apparaat zou switchen. Als een apparaat toegang heeft tot het Thuis netwerk is toegang tot Gast toch overbodig?
 
Op zich waar. Maar heb dit dus met tablets. Voor de kids wil ik ze buiten mijn eigen netwerk houden (gast), maar heb wel het thuisnetwerk als wifi optie erin gezet. Soms denkt (voor mij onduidelijke reden) een apparaat dat het thuisnetwerk of andersom een beter bereik heeft en verbindt daar dan spontaan mee.
Toevallig vanmorgen kreeg ik hierdoor een melding van een IP conflict, omdat na herstart beide een zelfde IP wilde claimen (hoewel beide geen statische claim hadden voor dat adres) Toen dacht ik, ik ga mijn Gastnetwerk nalopen en daar ook statische IP's zetten... en toen ik zag dat dit niet werkt kwam deze vraag tot stand 😃
 
Even vanuit normaal DHCP denkend:
Een Mac-adres is uniek, en bestaat dus ook maar één keer.
Wat jij doet (of wil) is 2x een registratie maken binnen de DHCP omgeving van hetzelfde device.
Zelfs mijn hoofd doet daar raar van.

Als je niet wilt dat een device op het ‘gewone’ netwerk komt moet je óf daar het we niet van opslaan, of anders op zijn minst de auto-Connect uitschakelen.
Het controleren van de sterkte is een momentopname, maar omdat ik begrijp dat je voor beide netwerken dezelfde AP’s gebruikt weten jij en ik dat dat verschil in sterkte onzin is.

Er is dus voor de kwaliteit van de verbinding geen reden om één van de 2 als voorkeur te geven.

Terugkomend op die IP’s: als je de lease-duration langer zet is de kans dat het op wisselt steeds kleiner; een client zal dan eerst proberen om hetzelfde adres weer te krijgen. (Dit zal alleen goed gaan als Mac-randomization niet aan staat voor beide netwerken op de cliënt.

Terugkomend op die Mac-adressen: dat is natuurlijk ook een identifier, daar heb je het op-adres niet voor nodig. Je kunt dus ook elk device gewoon een herkenbare naam geven, hoef je ook geen ip’s te gaan onthouden.
 
Ik snap niet helemaal jou of de gedachte.
Mijn idee is dat met twee netwerken er ook twee DHCP servers zijn. Een die 192 adressen uitgeeft en een die 10 adressen uitgeeft. Mijn idee is dat je voor elke server een statisch IP kan ingeven gebaseerd op een MAC-adres, omdat DHCPserver1 niet van DHCPserver2 zijn tabellen afweet.

Het is inderdaad een goed idee om de auto connect op de tablet voor het ene netwerk uit te zetten. Ik heb geen idee waarom het besturingssysteem toch (met auto connect aan) een willekeurige keuze lijkt te maken voor soms het een en soms het ander.

Een leasetime is iets wat op de DHCP server staat. Als een device herstart zal hij na het opstarten (of een DHCP renew) weer blanco zijn op het netwerk zoeken naar een IP adres. Als hij op hetzelfde netwerk zit als daarvoor zal hij hetzelfde IP krijgen als DHCP aan staat in dat geval een soort van tijd gebaseerd voorkeur-statisch IP. In mijn geval met een statisch IP zeg ik tegen de DHCP server, ongeacht de tijd, altijd als MAC ABCD-1234 verbindt, geeft hem ip 192.168.1.100 of iets. Maar diezelfde regel zou volgens mij ook moeten kunnen staan in de DHCP tabel van netwerk 10, als MAC ABCD-1234 verbindt, geef hem ip 10.0.0.100 of iets.

Binnen mijn netwerk(en) hebben alle devices vaak automatisch een logische naam die zij zelf uitzenden.
Mijn idee is om de bekende apparaten een hoger IP adres te geven dat ik weet dat ik dit zelf heb gedaan. De DHCP pool zal de onbekende apparaten een laag IP geven en kan ik af en toe eens kijken bij de lage nummers of dit inderdaad dingen zijn die ik herken. Of dat stiekem mijn buren bijvoorbeeld mee zitten te liften op mijn gast netwerk oid. Maar ook misschien een inbreuk heeft plaats gevonden op een van de twee netwerken van een apparaat wat ik niet herken. Meer een soort controle die ik af en toe eens uitvoer.
 
Jouw verhaal klopt als je echt 2 verschillende DHCP servers zou hebben.
Maar dat is niet het geval; je hebt één DHCP server met meerdere DHCP scopes.

Daarmee kom je wel bij een interessante workaround: laat DHCP op de verschillende segmenten door verschillende DHCP servers afhandelen, dan is er geen sprake van een conflict en kun je één Mac-adres gewoon op 2 plaatsen (in 2 ranges dus) een reservering toekennen.
Wel dus op UniFi de scope op dat segment met de externe DHCP server uitzetten en toestaan dat er een 3rd party DHCP server is.

Een leasetime is iets wat server en client samen weten. Zolang de leasetijd niet verlopen is zal het adres gereserveerd blijven voor de client met dat Mac-adres en zal dat adres nooit aan een andere cliënt worden toegekend. (Halverwege het verstrijken van de leasetijd zal de cliënt alvast een verlenging vragen met nog eens een zelfde periode, waardoor deze bij een cliënt die regelmatig online is nooit verloopt.)

Dan de namen: een device heeft een hostname. Soms kun je die instellen, soms niet. Binnen UniFi netwerk kun je echter elke device een alias geven om een device makkelijker te herkennen.
Zo zegt ‘NOMI-IPC-A421519’ mij heel weinig, maar ‘Voordeur’ als alias is voor mij ineens wel herkenbaar, zonder het op-adres te hoeven onthouden.
 
De verwarring is denk ik, waarom zou je een en hetzelfde adres op twee netwerken willen aanmelden?
Incidenteel als test kan ik nog begrijpen maar dat is dan niet het netwerk waarvan je regulier gebruik maakt.
Ik gebruik voor alles wat ik ken een binded IP adres en voor sommige echt een static IP adres. De static IP adres een staan hard ingesteld in het apparaat zelf. Een voorbeeld daarvan is een cloudkey, de router/dhcp server en een Domain controller Server. De rest staan allemaal binded ingesteld in de dhcp server welke in mijn geval de Router is.

Heel soms maak ik hang ik mijn telefoonaanbieder het gasten netwerk of IoT netwerk maar dat is dan ter controle of alles nog werkt zoals ik dat wil. Op dat moment weet ik welk op adres ikzelf krijg omdat ik dat kan zien. Alles wat ik dan verder zie, behalve de Router en apparatuur die Ik ken, is verdacht en vergt aandacht.
Een deal-breaker in die opzet was wel toen de telefoons ineens random maxlc adressen gingen gebruiken na een update. Die "feature" op de telefoons uitgezet en daarmee werkte het weer zoals bedacht.
 
  • Leuk
Waarderingen: Davey400
Ik zou lekker alleen voor je hoofdnetwerk alleen reservations gebruiken en niet voor je "gasten" netwerk. De naam zegt het "gasten". Daarvoor komen dan apparaten in aanmerking die je niet kent en daarvan ook niet het mac adres voor die reservation.

Als wilt dat je kids niet bij jouw devices kan komen, maak dan een apart vlan aan met een apart SSID en sleutel. Vertel je kids dat ze zich alleen mogen aanmelden bij dat Wifinetwerk. Probleem zou kunnen zijn het gebruik van printers e.d. die je misschien wel gemeenschappelijk wilt.

Een en ander komt bij mij nogal paranoia over. Je hebt een gezin en daarvan mogen alle leden gebruik maken van je netwerk. Vriendjes van de kids die gebruik willen maken van Wifi vertel je SSID van gastennetwerk met de daarbij behorende sleutel voor toegang tot Internet
 
Ik zou lekker alleen voor je hoofdnetwerk alleen reservations gebruiken en niet voor je "gasten" netwerk. De naam zegt het "gasten". Daarvoor komen dan apparaten in aanmerking die je niet kent en daarvan ook niet het mac adres voor die reservation.

Als wilt dat je kids niet bij jouw devices kan komen, maak dan een apart vlan aan met een apart SSID en sleutel. Vertel je kids dat ze zich alleen mogen aanmelden bij dat Wifinetwerk. Probleem zou kunnen zijn het gebruik van printers e.d. die je misschien wel gemeenschappelijk wilt.

Een en ander komt bij mij nogal paranoia over. Je hebt een gezin en daarvan mogen alle leden gebruik maken van je netwerk. Vriendjes van de kids die gebruik willen maken van Wifi vertel je SSID van gastennetwerk met de daarbij behorende sleutel voor toegang tot Internet
Daar zit een dingetje in. Tegenwoordig produceren de telefoons op verzoek een qr code zodat men zo op Wifi kan. Typen van wachtwoorden is zo 1990 met als gevolg dat als de weg van de minste weerstand wordt gekozen de vriendjes zo op het main netwerk zit, tenzij je elk onbekend Mac adres blokkeerd.
Je zou ook nog voor gasten netwerk een qr code kunnen produceren die men kan gebruiken 😉
 
Elk onbekend Mac adres blokkeren? Geef het je te doen. Onmogelijk. Dan kan je nog beter alles blokkeren en elk "bekend" Mac adres toegang geven. Maar dan blijf je ook aan de gang. Want er zullen telkens nieuwe vriendjes over de vloer komen of switchen van telefoon.

Je moet juist gaan naar een oplossing die zichzelf onderhoud. Dus een goed gastennetwerk voor alle gasten, gescheiden van je hoofdnetwerk. Daarop zou ik ook wat restricties zetten in de vorm van bandbreedte, content filtering, korte leasetijd, etc.

Dat je dan die SSID en bijbehorende sleutel een QR code print is om het even. De QR code is niets meer dan deze gegevens in de vorm van streepjes/puntjes.
Wat mankeert er aan de vingers van die vriendjes om zelf die sleutel in te typen? In 1990 bestond de QR code nog niet eens. Wifi voor consumenten trouwens ook nog niet. De eerste 'draadloze' consumentencomputer kwam pas in 1999.
Maar toen hadden ze ook heel andere gedachtes over beveiliging. Ze gebruikte toen inderdaad weinig wachtwoorden.
 
Wat je dan ook kunt doen om willekeurige toegang tot de gastenwifi te voorkomen is een Hotspot Portal aanmaken:
1728380561641.png
Vervolgens kun je vouchers aanmaken. Die vouchers kun je beperken tot 'single-use', dus elk individu dat je toegang wilt geven, geef je een voucher.
Dat werkt dan alleen voor dat device, voor de ingestelde periode. Je kunt ook de bandbreedte dan meteen knijpen als je wilt:
1728380627520.png

Die vouchers krijg je in een raster. Je print ze gewoon uit op een A4 en snijdt ze naar losse velletjes.

Je bepaalt dan zelf hoe je die velletjes uitdeelt; werkt echt super makkelijk en je hebt de toegang (en de duur van die toegang) volledig onder controle.

Als je helemaal ver wilt gaan dan hou je nog bij wie welk voucher krijgt, maar misschien sla je dan privé een beetje door.
 
  • Leuk
Waarderingen: edwin2019
Activiteit
Er wordt op dit moment (nog) geen nieuwe reactie gepost.
  Topic Status: Hallo . Er is al meer dan 14 dagen geen nieuwe reactie meer geplaatst.
  De inhoud is mogelijk niet langer relevant.
  Misschien is het beter om in plaats daarvan een nieuw onderwerp te starten..