VLANS, hoe krijg ik dat in godennaam voor elkaar?

Serge

Brons
UniFier
15 jan 2019
111
39
28
Dag allemaal,

Omdat ik na mijn aankoop van een UniFi Switch 16XG en AP-AC Pro toch ook maar een usg aangeschaft heb (was lekker in de aanbieding) ben k aan de slag gegaan om vlans aan te maken. Ik heb geloof ik elk filmpje op YT en diverse topics op ubnt forums gelezen maar ik krijg het niet voor elkaar.
Iemand die mij mss een simpele uitleg kan geven?
Als ik meer moet vertellen hier hoor ik het wel.

Alvast hartelijk dank!

P.s. ben zo benieuwd wat er dan niet goed gaat.
 
Ahum nou ik heb ze allemaal bekeken maar een no go helaas. Ik volg ze op de voet maar het lukt niet.
ik kan ook geen filmpje vinden hoe zon ding vanaf de start op te ztten die dan ook dezelfde firmware versie heeft van de controller. Het kan er nl heel anders uit zien als ze een oudere versie gebruiken.
 
Vlan kun je een beetje zien als een filter, ik heb mijn ist spul op een apart netwerk staan met ook apart WiFi .
Netwerk normaal 192.168.1.x netwerk ist 192.168.50.x met vlan 50.
Iedere poort op een switch waar je een iot device hebt stel je dan in op vlan 50.
Bij een AP wordt het anders, daar moet je een combinatie aanmaken met lan en vlan50

Rene
 
Dankjewel Rene voor je antwoord. Ik weet wat het is maar nu nog voor elkaar krijgen ;).
Ik ben idd bezig geweest op AP op vlan te krijgen. Dit door voorbeelden te volgen. Echter zie ik in die voorbeelden enkel dat er tijdens het aanmaken van bijvoorbeeld een gast netwerk je hem op vlan 20 oid zet. Zonder andere zaken in te stellen. Het netwerk komt wel op en is ssid zichtbaar maar ik kan niet verbinden.
Daarbij heb ik nog geen idee om gewone vlans te maken voor andere zaken. Zal eens gaan klooien met jou voorbeeld!
 
1549203953216.png

Hier maak je de combinatie en ken je toe aan de poort...: hier dus: standaard lan, gast-10 en iot-50

1549204021790.png
Succes Rene
 
nu ben ik de weg kwijt. Post hier mn schermen wel ff en zie de feedback graag tegemoet.
 

Bijlagen

  • Schermafbeelding 2019-02-03 om 17.03.26.png
    Schermafbeelding 2019-02-03 om 17.03.26.png
    114 KB · Weergaven: 262
  • Schermafbeelding 2019-02-03 om 17.04.08.png
    Schermafbeelding 2019-02-03 om 17.04.08.png
    187 KB · Weergaven: 235
  • Schermafbeelding 2019-02-03 om 17.04.36.png
    Schermafbeelding 2019-02-03 om 17.04.36.png
    50,9 KB · Weergaven: 228
Ik zie in jouw screenshots geen enkel VLAN? En dan ook nog meteen met een RADIUS server authenticatie.
Probeer eerst eens een standaard gast netwerk aan te maken op een apart VLAN netwerk en bouw het vandaar verder op. Met andere woorden: kleine stapjes en niet meteen compleet in het diepe duiken. :)
 
Laatst bewerkt:
Ik zou toch even naar deze video video van Crosstalk kijken.
Ja het is een oudere versie, maar het principe blijft.
Enne eerst alleen je guest netwerk in een vlan, werkt dat...... naar de rest kijken
 
hmm ga ik dan toch maar weer eens doen. heb hem al meerdere malen bekeken maar helaas, maar wie weet. Ik houdt jullie op de hoogte en hartelijk dank alvast
 
Stel je hebt normaal lan en video op vlan 50. Stel je hebt een cloud key gen2+ ..
Dan moet je de poort naar de CK Gen2+ vrijgeven voor normaal lan en voor vlan 50
Normaal lan is trouwens vlan 1.
In mijn foto’s zie je de locatie waar je de gecombineerde vlans kunt maken en toepassen.

Rene
 
vlans zijn niet zo heel ingewikkeld.

belangrijk is om het volgende in gedachten te houden:
* het is een protocol op ethernet niveau (heeft dus eigenlijk niks met TCP/IP, routing, DNS etc te maken).
* elk ethernet pakket heeft een VLAN tag (nummer) (ook als je het niet gebruikt, dan wordt de default 1 gebruikt).
* elk device met een ethernet interface kan alleen die ethernet pakketten ontvangen/sturen voor de VLANs waar hij voor ingesteld is, standaard dus het default vlan.
* op switches kun je per poort opgeven welke vlans er doorgestuurd moeten worden, en wat het default vlan ID is voor die poort.

Als eenvoudig voorbeeld:
Ik heb zelf (o.a.) een Switch 8 150W.

Omdat ik unifi management, synology, DNS, gastnetwerk en nog zo wat zaken geisoleerd wil hebben van mijn huis/tuin/keuken LAN en wifi, heb ik de volgende setup:

een DMZ netwerk waarin de management interfaces van de unifi devices in hangt.
een storage netwerk (vlan tag 150)
een LAN netwerk (vlan tag 178)

Om mijn storage een eigen netwerk te geven, heb ik dus dat storage netwerk aangemaakt, met de bijbehorende VLAN tag (150).

je kunt daar (in het geval van unifi) voor kiezen voor "corporate", "guest" en "vlan only".
"corporate" en "guest" geven je de mogelijkheid om de USG als DHCP server te laten werken, zodat ook het IP adres, routing en DNS gemanaged worden op de USG. Voor zover ik zie: het enige verschil tussen corporate en guest, is het feit dat je het "guest" netwerk op kunt nemen in guest policies.
"vlan only" is precies wat het zegt: alleen een VLAN met een vlan tag. Routing, dns, dhcp moet je ergens anders (buiten unifi) regelen.
Een unifi "network" configuratie regelt dus een aantal zaken in een hoek voor je die qua protocol eigenlijk los van elkaar (kunnen) staan.

Mijn synology pakt zijn netwerk data op via DHCP, dus heb ik gekozen voor een "corporate" netwerk.
Hoewel je op de synology een VLAN tag in kunt stellen, doe ik dit liever niet. (voorkomt een hoop problemen als je ooit direct met de laptop of pc er mee wilt verbinden).

Om de synology dus in VLAN 150 te krijgen, zul je een switch poort profiel aan moeten maken met daarin VLAN 150 als default VLAN (native VLAN).
Dat doe je bij SETTINGS -> Profiles -> Switch port profiles.
Het gemaakte switch port profile pas je dan toe op de switch poort waar de synology aan hangt.

Resultaat van deze stappen is ongeveer als volgt:
de USG hangt nu niet alleen meer in VLAN 1, maar ook in VLAN 150, en heeft daar een IP adres. Dat ip adres is je gateway en ook je DHCP server. (net als de USG dat ook heeft in VLAN 1).
De synology start op en stuurt een DHCP request. Dat landt op de switch poort. De switch pakt alle communicatie op en verandert de VLAN tag in 150 (want dat is de default/native VLAN die je ingesteld hebt voor die poort). De USG luistert op VLAN 150, en beantwoordt het DHCP request.
Standaard staan alle poorten op de Switch op het "all" switch port profile, dus de switch gooit alle pakketjes met VLAN 150 naar buiten op ALLE switch poorten.

Samenvattend is wat je gemaakt hebt een port vlan op de poort waar je de synology aan hebt hangen.

Beetje complexer voorbeeld nu (ik benoem alleen wat relevant is voor de VLAN discussie):
ik heb twee APs.
#1 hangt direct aan de switch8.
#2 hangt aan een tweede switch, die op zolder is geplaatst.
Beiden hangen in mijn grote 8 poort 150W switch.

Mijn huis wifi wil ik in vlan 15. Mijn guest wifi wil ik in vlan 25, en mijn PC (ook op zolder) wil ik in vlan 178.
Ik wil niet dat een slimmerik zomaar inprikt in mijn netwerk en gaat sniffen welke vlans er actief zijn.

Ik maak dus een switch port profile met daarin:
native VLAN mijn DMZ (waar de unifi devices in hangen).
en daarnaast VLANS 15, 25 en 178.

Dat profiel hang ik aan de poort waar mijn zolder switch in hangt, zodat alle vlans daar doorheen gestuurd worden.
Op de zolder switch geef ik (via profiles weer) de PC poort het native VLAN 178.
De poort waar het AP in hangt geef ik default VLAN 1 op, en daarnaast VLAN 15 en 25.

Dit noemen ze een VLAN trunk: meerdere getagde VLANs over 1 en de zelfde kabel (eventueel met een default vlan).

Mijn trusted wifi heb ik geconfigureerd met vlan 15 en mijn guest wifi met vlan 25.

Dus: als een wifi device connect aan mijn AP op zolder aan mijn trusted SSID, wordt die in VLAN 15 geplaatst door het AP (en de ethernet pakketjes worden getagd van id 15).
Evenzo: een device wat aan mijn guest SSID verbindt, wordt door het AP in VLAN 25 gezet.

Doel van de hele excercitie is om netwerken functioneel te scheiden, zodat ik controle heb via firewall regels: Mijn guest netwerk mag bijvoorbeeld niet naar vlan 15, vlan 1 of vlan 178.

Kanttekening: dit levert natuurlijk maar beperkte bescherming op, want als je bijvoorbeeld de PC kabel er uit rukt, en een laptop in die poort stopt, zit je alsnog op VLAN178.
Dat kun je oplossen met 802.1x i.c.m. radius (ook voor bekabeld netwerk, dus niet alleen voor wifi). Dat is wel weer een hele andere discussie.
 
Ik heb rodio zijn advies opgevolgd en dat filmpje van cross talk gezien. Heb hem op de voet gevolgd dus ook mn gehele systeem gereset.
Hij maakt in het bewuste filmpje een gast netwerk met vlan. Prima denk ik dan als het dat is.....Het gasten netwerk wordt inderdaad uitgezonden (ssid) maar helaas geen internetverbinding beschikbaar. Het verdere geklooi zal ik maar niet beschrijven.
Ik ga nu zijn filmpjes van switch bekijken en daarna vlan etc. Allemaal al eerder gezien maar niet erg. Zo leer ik in ieder geval wel hoe het in elkaar steekt.


@PcRene. Je uitleg natuurlijk gevolgd/bekeken maar kom daar gewoon niet uit.
@antoonh hetzelfde geld voor jou mooie uitleg. Het zijn allemaal stappen die ik inderdaad ook wil zetten maar tot op heden lukt het me niet.

Ten laatste. ik waardeer ten zeerste al de feedback. Erg fijn om ondersteuning te krijgen ook al lukt het mij nog niet, daarvoor hartelijk dank!
 
  • Leuk
Waarderingen: PcRene
Naar mijn idee zal je eerst bij Netwerk je netwerken aan moeten maken welke weer gekoppeld zijn aan de VLAN`s.
Onderstaande hebben wij zakelijk erin gezet en dit werkt altijd.

VLAN.JPG

Vervolgens maak je je de WiFi netwerken aan met een koppeling naar bovenstaande VLAN`s

wifi.JPG
 
dat is idd wat ik vanavond wilde laten zien.
Al heb ik mijn GastNetwerk op Guest staan en niet corporate, maar dat maakt weinig uit.

@Serge, zorg eerst dat dit werkt, en dan pas verder gaan met de rest van de VLan's (Rome is ook niet in 1 dag gebouwd)
 
Duidelijk, ik zie ook dat we maar op 1 site de Guest op Corporate heb laten staan.
Was de eerste die we aanmaakte en in de loop der tijd zijn er steeds meer bij gekomen en dus verder gefinetuned.

Bedankt voor de tip!
 
Maakt het uit welk ipadres je opgeeft? Ik heb alles op 192.168.99..... staan maar zie regelmatig dat ze een nieuw netwerk op bijvoorbeeld 172... aanmaken?

Nu zo aangemaakt. verder nog niets gedaan :whistle::unsure:. Geen wifi contact wel ssid te zien. Zal vast een stap tussen zitten.

Schermafbeelding 2019-02-05 om 16.10.46.pngSchermafbeelding 2019-02-05 om 16.11.08.png
 
Laatst bewerkt:
Activiteit
Er wordt op dit moment (nog) geen nieuwe reactie gepost.
  Topic Status: Hallo . Er is al meer dan 14 dagen geen nieuwe reactie meer geplaatst.
  De inhoud is mogelijk niet langer relevant.
  Misschien is het beter om in plaats daarvan een nieuw onderwerp te starten..