VLAN pre IoT zariadenia?
- molnart
- Pokročilý používateľ
- Príspevky: 6749
- Dátum registrácie: Ut 19. Jún, 2012, 23:03
- Bydlisko: Bratislava/Samorin
VLAN pre IoT zariadenia?
Opat sa trosku nudim a doma mi uz dlhsi cas vsetko funguje, tak potrebujem do toho pichnut a trochu to pokazit, nech mam co opravovat do 4tej rano
Hlavne chcem sa zacat vaznejsie hrat s Home Assistantom a na to potrebujem aby veci boli nejako usporiadane na svojich miestach s pevnymi IP adresami. Pomaly mi jeden subnet prestava stacit, tak sa obavam ze o chvilu narazim na nejaky limit.
Rozmyslam ze by som doma vytvoril separatne VLANy na oddelenie IoT krabiciek (svetla, smart spinace a zasuvky, telka, AVR apod. - nejakych 20 kusov zatial), veci ktore tvoria samotnu infrastrukturu (hypervisor, router, switch, NAS, AP-cka a ine virtualne masiny) a potom koncove zariadenia.
Router pouzivam OPNsense, za nim je manazovatelny switch Cisco SG200 a na tom su napojene UniFi AP-cka.
Takze uvazujem nasledovne:
- VLAN 10: infrastruktura + moje vlastne zariadenia (desktop, notebook, tablet, telefon) - plny pristup na web
- VLAN 20: ostatne zariadenia v sieti ktore sa vyskytuju v sieti (rodinni prislusnici) - prístup na web cez transparentne proxy s blokovanim urcitych stranok, firewall pravidla pre konkretne IP adresy do VLAN 10 (Home Assistant, Plex)
- VLAN 30: IoT zariadenia, prístup na net blokovany, povoleny len pre konkretne zariadenia (telka, AVR), firewall pravidla do VLAN 10 pre riadenie IoT veci (Home Assistant, Plex, mozno lokalne PC alebo nejake na to vyhradene VM pre troubleshooting).
V sietovine som uplny amater a zatial moc nevidim aku rolu v tomto bude hrat moj switch. Zda sa mi, ze manazovatelny switch vytvara VLANy na urovni jednotlivych fyzickych portov (?), ale kedze ja mam kopu zariadeni cez wifi, ktore zo switchu idu cez rovnaky port ale chcem ich mat na samostatnych VLANoch.
Uvazujem uplne mimo? Hladal som nejake prispevky na reddit a inych zdrojoch, ale moc mi v tomto neporadili, ak ma viete nasmerovat na nejaky kvalitny zdroj dajte vediet.
Hlavne chcem sa zacat vaznejsie hrat s Home Assistantom a na to potrebujem aby veci boli nejako usporiadane na svojich miestach s pevnymi IP adresami. Pomaly mi jeden subnet prestava stacit, tak sa obavam ze o chvilu narazim na nejaky limit.
Rozmyslam ze by som doma vytvoril separatne VLANy na oddelenie IoT krabiciek (svetla, smart spinace a zasuvky, telka, AVR apod. - nejakych 20 kusov zatial), veci ktore tvoria samotnu infrastrukturu (hypervisor, router, switch, NAS, AP-cka a ine virtualne masiny) a potom koncove zariadenia.
Router pouzivam OPNsense, za nim je manazovatelny switch Cisco SG200 a na tom su napojene UniFi AP-cka.
Takze uvazujem nasledovne:
- VLAN 10: infrastruktura + moje vlastne zariadenia (desktop, notebook, tablet, telefon) - plny pristup na web
- VLAN 20: ostatne zariadenia v sieti ktore sa vyskytuju v sieti (rodinni prislusnici) - prístup na web cez transparentne proxy s blokovanim urcitych stranok, firewall pravidla pre konkretne IP adresy do VLAN 10 (Home Assistant, Plex)
- VLAN 30: IoT zariadenia, prístup na net blokovany, povoleny len pre konkretne zariadenia (telka, AVR), firewall pravidla do VLAN 10 pre riadenie IoT veci (Home Assistant, Plex, mozno lokalne PC alebo nejake na to vyhradene VM pre troubleshooting).
V sietovine som uplny amater a zatial moc nevidim aku rolu v tomto bude hrat moj switch. Zda sa mi, ze manazovatelny switch vytvara VLANy na urovni jednotlivych fyzickych portov (?), ale kedze ja mam kopu zariadeni cez wifi, ktore zo switchu idu cez rovnaky port ale chcem ich mat na samostatnych VLANoch.
Uvazujem uplne mimo? Hladal som nejake prispevky na reddit a inych zdrojoch, ale moc mi v tomto neporadili, ak ma viete nasmerovat na nejaky kvalitny zdroj dajte vediet.
Spoiler: ukázať
- d3Xter
- Používateľ
- Príspevky: 1632
- Dátum registrácie: Po 07. Apr, 2008, 14:00
- Bydlisko: Spišská Nová Ves/Košice
Re: VLAN pre IoT zariadenia?
ak sa siete nemusia vidiet tak staci vlany vytvorit na sw a potom porty do trunku s vlanami, ktore potrebujes
ak sa musia vidiet, musis to tahat na router, tam to mozes odelit cez vrf
mas akoze malo 250ip doma? ved pouzi /23
ak sa musia vidiet, musis to tahat na router, tam to mozes odelit cez vrf
mas akoze malo 250ip doma? ved pouzi /23
-
- Nový používateľ
- Príspevky: 43
- Dátum registrácie: Po 16. Apr, 2007, 08:00
- Bydlisko: Kosice -> Praha
Re: VLAN pre IoT zariadenia?
Neviem ci je vhodne oddelit ha a samotne iot zariadenia lebo zalezi co mas za zariadenia ale dost vela ich zavisi na multicaste (niektore xiaomi gateway veci, mdns pre discovery ...) ci to naozaj chces oddelit takto a ci nie je lepsie proste dropovat packety z/do iot zariadeni z internetu.
- molnart
- Pokročilý používateľ
- Príspevky: 6749
- Dátum registrácie: Ut 19. Jún, 2012, 23:03
- Bydlisko: Bratislava/Samorin
Re: VLAN pre IoT zariadenia?
tak som sa cez vikend zacal hrat v VLANmi, vytvoril som v OPNsense, priradil k nemu DHCP range, vytvoril v Unifi controlleri samostatne SSID do prislusneho VLANu, hodil na to par testovacich zariadeni a zacal nastavovat firewall pravidla, az kym sa mi vsetky zariadenia vo VLANe dropli so siete a a nechcu sa pripojit ani za svet - nedostanu ip adresu, aj ked im chcem dat staticku.
aby som vylucil problem v UniFi zacal som to testovat s virtualkou v Proxmox, ktoru sa snazim pripojit do VLAN ale tiez nedostane siet. neviem co sa stalo, aj som VLAN cely vymazal a vytvoril novy ale stale donho neviem dostat ziadne zariadenie...
aby som vylucil problem v UniFi zacal som to testovat s virtualkou v Proxmox, ktoru sa snazim pripojit do VLAN ale tiez nedostane siet. neviem co sa stalo, aj som VLAN cely vymazal a vytvoril novy ale stale donho neviem dostat ziadne zariadenie...
Spoiler: ukázať
Re: VLAN pre IoT zariadenia?
už je to nejaký rok čo som robil so sieťami ale čo si matne pamätám netreba nastaviť trunk a enkapsuláciu?
Ach tie slovenské mamičky
shiro napísal:blba mamicka s kocikom sa mi vdrbe do cesty a pre istotu kocikom napred, nech najprv zrazim dieta a mam o to vacsi trest....
- d3Xter
- Používateľ
- Príspevky: 1632
- Dátum registrácie: Po 07. Apr, 2008, 14:00
- Bydlisko: Spišská Nová Ves/Košice
Re: VLAN pre IoT zariadenia?
z toho co si uviedol nemam ani tusenia co ti vlastne nejde, connect na wifi, ci adresacia, dhcp routovanie... ale akonahle robis viac ako 1vlanu, potrebujes mat trunk na kazdej strane, tj vsetko prerobit na prislusne vlany a tahat dalej do AP, sw,...
mas to napisane v prvom riadku mojho prveho prispevku
mas to napisane v prvom riadku mojho prveho prispevku
- Hexaris
- Sponzor fóra gold
- Príspevky: 789
- Dátum registrácie: Št 11. Júl, 2019, 19:35
- Bydlisko: Nekde na zahori
Re: VLAN pre IoT zariadenia?
Ked nastavis vlanu priamo na AP tak na switch port das tagovanu vlanu. Inak zo swistu ti poleze netagovana a bude oddelena len v ramci neho samotneho (PVID). Ak teda chapem spravne co si nastavil. Ja tak pre unifi mam radius cez separe vlanu pre wlan rozhranie. Samozrejme mng + ssh mozes mat na inej vlane. Jedine co mozes spravit je to revertnut v unifi a resetnut AP do defaultu a readoptnut.
Your value does not decrease because of someone's inability to see your worth.
BOOK: MB Air M1 2020 AMP: Topping DX3Pro+ HEADPHONES: HiFiMAN HE400SE
BOOK: MB Air M1 2020 AMP: Topping DX3Pro+ HEADPHONES: HiFiMAN HE400SE
- molnart
- Pokročilý používateľ
- Príspevky: 6749
- Dátum registrácie: Ut 19. Jún, 2012, 23:03
- Bydlisko: Bratislava/Samorin
Re: VLAN pre IoT zariadenia?
predpokladam ze Unifi controller to nastavi aj na strane switchu aj APcka. port na switchi kde je APcko mam tiez priradit do VLAN ked chcem aby cez to isiel aj untagged traffic?
Spoiler: ukázať
- Hexaris
- Sponzor fóra gold
- Príspevky: 789
- Dátum registrácie: Št 11. Júl, 2019, 19:35
- Bydlisko: Nekde na zahori
Re: VLAN pre IoT zariadenia?
Switch by default je vlan1 a prepusta vsade a vsetko. Unifi ti nic nezmeni na switchi, to ty musis rucne. Dexter to uz hore pisal, priradis ich (porty) k vlane aby prepustal potrebny traffic kam potrebujes. Mozes to mat kombinovane. Netagovana je iba jedna a do nej spadne vsetko co sa na porte ukaze a nema znacku pre vlan, proste trunk kde mozes kombinovat rozne vlany (zariadenia). Budiz priklad ze tam je dalsi switch na porte ktory neni nastaveny, ale vie prepustat vlany a neni dolezite to na nom priamo orezavat. Dalej ip telefon s vystupom na pc a oddelis sip od klasickej komunikacie. Ono na nete sa toho na vysvetlenie vala dost, vratane cisca (dokumentacia).
Your value does not decrease because of someone's inability to see your worth.
BOOK: MB Air M1 2020 AMP: Topping DX3Pro+ HEADPHONES: HiFiMAN HE400SE
BOOK: MB Air M1 2020 AMP: Topping DX3Pro+ HEADPHONES: HiFiMAN HE400SE
- molnart
- Pokročilý používateľ
- Príspevky: 6749
- Dátum registrácie: Ut 19. Jún, 2012, 23:03
- Bydlisko: Bratislava/Samorin
Re: VLAN pre IoT zariadenia?
ale v Unifi nemam moznost konfigurovat samostne switch a samostane AP ale on to urobi na vsetky zariadenia, router, switch aj AP. teda router v mojim pripade nie, lebo ten nie je od Unifi. ale presne preto aby som vylucil problem s Unifi som to zacal skusat cez VM, kde je akykolvek HW vyluceny, a tam to tiez nejde. podla mna problem bude niekde v mojom OPNsense setupe, len neviem kde...
Spoiler: ukázať
- d3Xter
- Používateľ
- Príspevky: 1632
- Dátum registrácie: Po 07. Apr, 2008, 14:00
- Bydlisko: Spišská Nová Ves/Košice
Re: VLAN pre IoT zariadenia?
mas dobre nastavene siete?
ip pre vlanu, gw, masku, pool?
zaklad je ci vobec vidis nejake macovky vo vlanach co si vytvaral
ip pre vlanu, gw, masku, pool?
zaklad je ci vobec vidis nejake macovky vo vlanach co si vytvaral
- Hexaris
- Sponzor fóra gold
- Príspevky: 789
- Dátum registrácie: Št 11. Júl, 2019, 19:35
- Bydlisko: Nekde na zahori
Re: VLAN pre IoT zariadenia?
Ved ale pises, ze APcka mas do cisca a tam to musis cez jeho mng donastavit vlany podla potrieb. Ak by si mal vsetko cez unifi tak zbuchnes priamo vsetko z controllera. Uz sem starsi clovek, mozno zle citam
Predpokladam, ze proxmox ide tiez cez ten switch? Nejde to ani ked to je pripojene napriamo do toho firewallu? Zrejme sa niekde poondiala konfiguracia, lebo pises, ze sa to odporucalo pri konfiguracii pravidiel.
Predpokladam, ze proxmox ide tiez cez ten switch? Nejde to ani ked to je pripojene napriamo do toho firewallu? Zrejme sa niekde poondiala konfiguracia, lebo pises, ze sa to odporucalo pri konfiguracii pravidiel.
Your value does not decrease because of someone's inability to see your worth.
BOOK: MB Air M1 2020 AMP: Topping DX3Pro+ HEADPHONES: HiFiMAN HE400SE
BOOK: MB Air M1 2020 AMP: Topping DX3Pro+ HEADPHONES: HiFiMAN HE400SE
- d3Xter
- Používateľ
- Príspevky: 1632
- Dátum registrácie: Po 07. Apr, 2008, 14:00
- Bydlisko: Spišská Nová Ves/Košice
Re: VLAN pre IoT zariadenia?
router musi ist do trunku, sw musi ist do trunku(uplink) ap zrejme tiez (kedze tam chces viac sieti) moj predpoklad je ze si vyvoril vlanu na routri a tym to u teba haslo + zrejme na tom unifi, kde sa tie zariadenia pripojili ale padli lebo nemaju siet
tu sa ale obavam ze ak zacnet ťukať do toho cisca, ze to pojde cele do kukurice a odpalis si komplet siet aj s mngt, ked nebudes vediet co robis
tu sa ale obavam ze ak zacnet ťukať do toho cisca, ze to pojde cele do kukurice a odpalis si komplet siet aj s mngt, ked nebudes vediet co robis
- molnart
- Pokročilý používateľ
- Príspevky: 6749
- Dátum registrácie: Ut 19. Jún, 2012, 23:03
- Bydlisko: Bratislava/Samorin
Re: VLAN pre IoT zariadenia?
no cisco som medzitym nahradil Unifi switchom, len som to zabudol napisat, takze preto to nastavujem vsetko v jednom.
mne tie zariadenia vsetky fungovali asi 2 hodiny, mobil som mal propjeny do VLAN, dostal ip adresu z VLAN DHCP rangu, cez browser som sa dostal na weby internych veci ale nie na net, presne ako som mal nastaveny firewall. zhaslo to ked som zacal nastavovat aby som mal z VLAN pristup aj na net lebo som potreboval nieco vyskusat. ale nevyplo to v momente ked sa mi zda ze nieco som urobil.
momentalne to mam tak ako pise d3Xter, nastavene len opnsense. proxmox mi nejde cez switch, ale na nom je hostovany aj samotny opnsense. takze ethernet 1 servera je WAN a ethernet 2 je LAN ktory ide do switchu. ale ja sa momentalne snazim VLAN rozchodit len interne, na virtualnom bridge zavesenom na ethernet 2 a ked tam to bude fungovat tak s tym pojdem dalej na switch.
zatial to mam nastavene takto: https://1drv.ms/u/s!Al0zdRmBAsspg4dEy83 ... Q?e=fYb3Zx firewall pravidla nemam nastavene ziadne, najprv chcem dostat zariadenie na siet a potom sa idem hrat s pravidlami. blbe je ze neviem najst ziadne logy ktore by mi napovedali v tom kde moze byt problem.
mne tie zariadenia vsetky fungovali asi 2 hodiny, mobil som mal propjeny do VLAN, dostal ip adresu z VLAN DHCP rangu, cez browser som sa dostal na weby internych veci ale nie na net, presne ako som mal nastaveny firewall. zhaslo to ked som zacal nastavovat aby som mal z VLAN pristup aj na net lebo som potreboval nieco vyskusat. ale nevyplo to v momente ked sa mi zda ze nieco som urobil.
momentalne to mam tak ako pise d3Xter, nastavene len opnsense. proxmox mi nejde cez switch, ale na nom je hostovany aj samotny opnsense. takze ethernet 1 servera je WAN a ethernet 2 je LAN ktory ide do switchu. ale ja sa momentalne snazim VLAN rozchodit len interne, na virtualnom bridge zavesenom na ethernet 2 a ked tam to bude fungovat tak s tym pojdem dalej na switch.
zatial to mam nastavene takto: https://1drv.ms/u/s!Al0zdRmBAsspg4dEy83 ... Q?e=fYb3Zx firewall pravidla nemam nastavene ziadne, najprv chcem dostat zariadenie na siet a potom sa idem hrat s pravidlami. blbe je ze neviem najst ziadne logy ktore by mi napovedali v tom kde moze byt problem.
Spoiler: ukázať
- d3Xter
- Používateľ
- Príspevky: 1632
- Dátum registrácie: Po 07. Apr, 2008, 14:00
- Bydlisko: Spišská Nová Ves/Košice
Re: VLAN pre IoT zariadenia?
musis pozriet mac tabulku to ti povie aspom ci mas L2 vporiadku potom sa mozes posunut na L3
pri tom dhcp by som ale vyplnil gw - ip vlany a aj dns pre istotu
dalej co mi nesedi tak mas vyplneny tag vo vlan na 20, takze predpokladam ze to vytvara akokeby subinterface? s dot1q? resp vo frame mas info o tagu, tym padom ti to chodi tagovane a protistrana tomu nerozumie lebo je tam cosi navyse - je to povinne pole?
pri tom dhcp by som ale vyplnil gw - ip vlany a aj dns pre istotu
dalej co mi nesedi tak mas vyplneny tag vo vlan na 20, takze predpokladam ze to vytvara akokeby subinterface? s dot1q? resp vo frame mas info o tagu, tym padom ti to chodi tagovane a protistrana tomu nerozumie lebo je tam cosi navyse - je to povinne pole?