VLAN/IoT/NoT etc...

[PE1PQX]

Wellicht is dit 'de zoveelste vraag over VLAN en IoT', en ja ik geloof het onmiddellijk en excuus daarvoor...

Ik heb op dit moment alleen voor IoT een VLAN aangemaakt, maar zit er aan te denken om het "ietsje" verder uit te splitsen:

Google Home - Philips Hue => IoT VLAN
Cameras (Protect en Surveillance Station) => NoT VLAN (VLAN Only?)
Cloudkey Gen 2+ en switches => Management VLAN
Muti-Media (Smart TV, Media servers etc) => MultiMedia VLAN
PC's, Laptops, eigen smart phones, LAN-printer => Privé VLAN
En gasten => Guest VLAN (zou eventueel ook voor eventuele PC reparatie gebruikt kunnen worden met "client isolation")

Mogelijk relevante hardware:
CloudKey Gen 2+,USG-Pro, 5 switches en 2 UAP-HD-Pro (heb nog 2 UAP-HP-LR's stil liggen)
4 Synology NAS-sen, (één daarvan heeft in docker 'Home Assistant' draaien en werkt als remote backup voor mijn ouwe-heer, andere NAS werkt als VPN server en multimedia. Andere NAS-sen zijn voor de 'spielerei' maar kunnen andere functie krijgen)
1 WiFi aangesloten weerstationnetje
5 Unifi Camera's en 3 Foscam IP camera's (mogelijk in de toekomst vervangen voor Unifi exemplaren. Alle cam's gekoppeld in Syno's Surveillance Station)
2 Raspberry Pi-Holes (en nog een Raspberry dat als ISSAbove werkt, zie hier wat dat nu is)
2 Chrome-casts, 2 Google Home apparaten (smart home/Smart hub heten ze geloof ik), Google Thermostaat en 2 CO/Rookmelders van Google
1 Philips Hue (5 lampen aangemeld)
2 Samsung Smart TV's.
Ook nog ergens verstopt een FritzBox die smartplugs van Fritz/AVM bedient die het licht en lucht van mijn aquarium regelen. Kan in de toekomst ook anders!

Misschien dat ik in de toekomst nog meer smart-home spulletjes aanschaf, te denken aan een schakelaar voor de zonnescherm of eventuele slimme buitenverlichting of...? Te bedienen met Google Home of zoiets. Zou mooi zijn als alles via Google Home kan werken, dus een brug tussen HA en Google zou wenselijk zijn (=compleet ander topic).
De Unifi Doorbell met chimes staat ook op mijn wensenlijstje, maar dan moet ik wel eerst mijn (v)echtenote overhalen hiervoor.
Internet is van Freedom, glas direct in de USG Pro... 1000/1000 connectie. Geen IP-TV, geen vaste telefonie dus dat levert geen enkel gedoe op.

Het idee is eigenlijk dat VLAN's onderling eigenlijk geen contact kunnen/mogen maken, maar Privé LAN wel overal bij moet mogen geraken voor beheer, controle etc.
Hoe hebben jullie dit geregeld, en zijn er eventuele Do's en Don'ts die ik in de gaten houden moet?
Of denk ik gewoon te complex en kan het veel simpeler...?

En trouwens, de site van Lazyadmin (hier te zien) ziet er helder uit... Gezien in een ander topic hier.

 

[Eddie the Eagle]

Google Home - Philips Hue => IoT VLAN
Cameras (Protect en Surveillance Station) => NoT VLAN (VLAN Only?)

Ik meen hier gelezen te hebben dat Unifi cams en protect problemen gaf als die buiten Mgt LAN vielen maar ben niet zeker. Ik heb mijn Hikvision cams zelf in het IoT VLAN zitten, en daarmee NoT bespaard. Vervolgens via IP & Poort groepen geregeld dat die cams niet naar buiten mogen behalve om een e-mail notificatie te sturen bij een event.

 

[PE1PQX]

Ik moet me ook gaan verdiepen in het VLAN-Only verhaal, die heeft bij mijn weten geen DHCP server en dergelijke.
Uiteraard kun je experimenteren met instellingen en als het niet werkt de oude backup terug zetten.

 

[Eddie the Eagle]

Ik moet me ook gaan verdiepen in het VLAN-Only verhaal, die heeft bij mijn weten geen DHCP server en dergelijke.

Klopt, die heeft geen eigen IP reeks. Ik gebruik het om een tunnel te maken van mijn failover 4G LTE modem naar de WAN2 poort van de UDM. Die staan op verschillende plekken. Werkt perfect.

 

[dbw]

Die ziekte van VLAN duikt weer op
Hoe meer VLAN's des te drukker je router het krijgt omdat allemaal te verwerken.

 

[Reddwarf]

Die ziekte van VLAN duikt weer op
Hoe meer VLAN's des te drukker je router het krijgt omdat allemaal te verwerken.

Had’tie geen router moeten worden

 

[Komodo]

Die ziekte van VLAN duikt weer op
Hoe meer VLAN's des te drukker je router het krijgt omdat allemaal te verwerken.

Een VLAN om Ching spul en Google te scheiden van je main lan snap ik wel. De overige VLAN's snap ik niet zo goed. Aan de andere kant is het wel weer een goede manier om Ubiquiti aan meer omzet te helpen

 

[PE1PQX]

Die ziekte van VLAN duikt weer op
Hoe meer VLAN's des te drukker je router het krijgt omdat allemaal te verwerken.

Verdikkeme, dacht dat ik een antwoord gegeven had gisteren, blijkbaar niet dus....

Daarom ook "denk ik te complex" en "meer/minder VLAN's" en de vraag hoe jullie Unifiers het hebben opgelost.
IoT en NoT zounden i.d.d. samengevoegd kunnen worden, maar zouden jullie daarnaast ook het management, prive en eventueel multimedia ook ieders apart zetten?? (Uiteraard is het voor guests wel aan te bevelen, da's wel helder bij mij)

Camera's (Protect/Surveillance) wil ik liever niet in IoT samen met Google zut hebben, Google wil naar mijn smaak gewoon te veel weten om haar data centers met bits en bytes te vullen.

 

[Eddie the Eagle]

IoT en NoT zounden i.d.d. samengevoegd kunnen worden,

Ik heb dat dus; en daar waar nodig apparaten via aparte firewall regels geblocked naar buiten zodat China niet m`n tuin kan inkijken.

maar zouden jullie daarnaast ook het management, prive en eventueel multimedia ook ieders apart zetten??

Nee; zie de opmerking van @dbw en extra complexiteit (instellingen, onderhoud, uitzoekwerk). Alle vertrouwde apparaten die regelmatige updates krijgen, mogen van mij bij elkaar. Ik zet alleen apparaten apart (IoT dus) die ik voor geen meter vertrouw en dat zijn de 'usual suspects'. Oh......en de Minecraft server die op een VM draait en waar de 'vriendjes' van mijn zoon gebruik van maken. Vond ik geen fijn idee dat die in het hoofd-netwerk hing.

edit:/ de naam IoT is dus ook geen passende naam meer, die doet vermoeden dat er ook een NoT netwerk is. Ik moet die naam eens aanpassen maar kan geen passende naam vinden (trusted vs untrusted of zo) en die naam zit ook in een SSID; als ik die aanpas moet ik de verbinding gaan herstellen van de betreffende apparaten dus laat maar zitten.

 

[PE1PQX]

Dan zijn in wezen 3 VLAN's voldoende:
Privé ('Trusted', met PC's, laptops, printer, tablets en smartphones)
IoT/NoT ('Untrusted' met Google zut, Home Assistant, Fritz met smartplugs, Smart TV en media-server en als het kan alle camera's)
Guests (beetje tussen 'tusted' en 'untrusted' in dus, maar wel met client isolation)

Vervolg vraag: Hoe hebben jullie Unifi Protect (de 5 unifi cam's dus) en Surveilance (voor de 3 foscam's) ingedeeld, in 'Untrusted' of toch in 'Trusted' gehangen?

Waarom ook de camera's in 'untrusted'? Ik zit er n.l. aan te denken om één van de Unif cam's (die mijn mast vanaf het dak bekijkt) online te zetten op mijn webstek.En dan wil je het wel zo veilig mogelijk regelen.

 

[rheinen]

Ik heb het op deze manier ingericht:



Main: al onze vertrouwde apparaten (desktop, telefoons, laptops etc.).
Gast: spreekt voor zich.
IoT: Google apparaten, TV, mediaspeler, infraroodverwarming, Hue bridge etc.
Camera: onze camera's, waarbij internettoegang is geblokkeerd.

 

[Eddie the Eagle]

Dan zijn in wezen 3 VLAN's voldoende:
Privé ('Trusted', met PC's, laptops, printer, tablets en smartphones)
IoT/NoT ('Untrusted' met Google zut, Home Assistant, Fritz met smartplugs, Smart TV en media-server en als het kan alle camera's)
Guests (beetje tussen 'tusted' en 'untrusted' in dus, maar wel met client isolation)

Identiek aan mijn situatie; ik heb nog wat specials, maar verkeer is nul komma nul:

- VLAN only tunnel voor de failover oplossing naar WAN2
- VLAN naar de WAN van de UDR zodat die geisoleerd is en niet in het vaarwater zit van de UDM-SE
- L2TP VPN

Vervolg vraag: Hoe hebben jullie Unifi Protect (de 5 unifi cam's dus) en Surveilance (voor de 3 foscam's) ingedeeld, in 'Untrusted' of toch in 'Trusted' gehangen?

3 Camera`s van Unifi in 'Trusted' omdat die door de UDM-SE beheerd worden en daarmee safe zijn (denk ik), ik vraag me af of dat anders kan (of moet). De 2 Hikvisions in 'Untrusted' en geblokkeerd voor internet. Die vertrouw ik dus niet, vandaar de keuze. Dat heeft tot gevolg dat als ik beelden centraal wil opslaan op bv een NAS van die camera`s ik Inter-VLAN verkeer creeer en dat wil je niet. Dat is dus op te lossen door een Pro-Switch met layer 3 functies of een aparte NAS of server binnen hetzelfde VLAN en vraag is of je dat weer wil met al die IoT rommel er bij. Momenteel speelt dat niet; ik sla de beelden op de camera zelf op (micro SD).

Waarom ook de camera's in 'untrusted'? Ik zit er n.l. aan te denken om één van de Unif cam's (die mijn mast vanaf het dak bekijkt) online te zetten op mijn webstek.En dan wil je het wel zo veilig mogelijk regelen.

Dat laatste heb ik niet maar die camera`s krijgen geen beveiligingsupdates meer dus die kun je maar beter dichttimmeren waar mogelijk. Ik kan er alleen via VPN aan.

 

[Eddie the Eagle]

Camera: onze camera's, waarbij internettoegang is geblokkeerd.

Waar sla je de beelden op ? Jij hebt een pro-switch dus jij kunt dat goed inregelen met die L3 functie.

 

[rheinen]

Waar sla je de beelden op ? Jij hebt een pro-switch dus jij kunt dat goed inregelen met die L3 functie.

Mijn beelden sla ik primair op, op mijn UDMP. Daarnaast had ik ook nog wat ruimte over op mijn nas en sla ik daar ook nog beelden op als back-up.

Ik heb een pro switch en heb ook gebruik gemaakt van de L3 functie. Alleen op het moment dat je gebruik maakt van die functie, doen alle VLAN firewall regels op de UDMP het niet meer. Je kunt wel firewall regels op de switch maken via SSH, maar dat was me nog te lastig. Ik ben daarom maar weer van de L3 functie afgestapt en heb alles lopen via de UDMP.

 

[Eddie the Eagle]

Mijn beelden sla ik primair op, op mijn UDMP.

Ah, verkeerd begrepen, ik dacht dat je Non-Unifi camera`s had.

Ik heb een pro switch en heb ook gebruik gemaakt van de L3 functie. Alleen op het moment dat je gebruik maakt van die functie, doen alle VLAN firewall regels op de UDMP het niet meer. Je kunt wel firewall regels op de switch maken via SSH, maar dat was me nog te lastig. Ik ben daarom maar weer van de L3 functie afgestapt en heb alles lopen via de UDMP.

Ja zoiets heb ik onlangs gelezen bij je; volgens mij staat die L3 ondersteuning nog behoorlijk in de kinderschoenen bij Unifi.

 

[rheinen]

Ja zoiets heb ik onlangs gelezen bij je; volgens mij staat die L3 ondersteuning nog behoorlijk in de kinderschoenen bij Unifi.

Hopelijk veranderd het in de toekomst en kan ik alsnog gebruik maken van de L3 functie inclusief bijbehorende firewall regels. Ik houd het in ieder geval in de gaten.

 

[PE1PQX]

Even druk geweest met andere zaken, komend weekend eens wat voor me zelf op papier zetten .