VLAN pre IoT zariadenia?

Všetko o sieťach, nastaveniach, problémoch ...
Používateľov profilový obrázok
molnart
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 6646
Dátum registrácie: Ut 19. Jún, 2012, 23:03
Bydlisko: Bratislava/Samorin

VLAN pre IoT zariadenia?

Príspevok od používateľa molnart »

Opat sa trosku nudim a doma mi uz dlhsi cas vsetko funguje, tak potrebujem do toho pichnut a trochu to pokazit, nech mam co opravovat do 4tej rano :D

Hlavne chcem sa zacat vaznejsie hrat s Home Assistantom a na to potrebujem aby veci boli nejako usporiadane na svojich miestach s pevnymi IP adresami. Pomaly mi jeden subnet prestava stacit, tak sa obavam ze o chvilu narazim na nejaky limit.

Rozmyslam ze by som doma vytvoril separatne VLANy na oddelenie IoT krabiciek (svetla, smart spinace a zasuvky, telka, AVR apod. - nejakych 20 kusov zatial), veci ktore tvoria samotnu infrastrukturu (hypervisor, router, switch, NAS, AP-cka a ine virtualne masiny) a potom koncove zariadenia.

Router pouzivam OPNsense, za nim je manazovatelny switch Cisco SG200 a na tom su napojene UniFi AP-cka.

Takze uvazujem nasledovne:
- VLAN 10: infrastruktura + moje vlastne zariadenia (desktop, notebook, tablet, telefon) - plny pristup na web
- VLAN 20: ostatne zariadenia v sieti ktore sa vyskytuju v sieti (rodinni prislusnici) - prístup na web cez transparentne proxy s blokovanim urcitych stranok, firewall pravidla pre konkretne IP adresy do VLAN 10 (Home Assistant, Plex)
- VLAN 30: IoT zariadenia, prístup na net blokovany, povoleny len pre konkretne zariadenia (telka, AVR), firewall pravidla do VLAN 10 pre riadenie IoT veci (Home Assistant, Plex, mozno lokalne PC alebo nejake na to vyhradene VM pre troubleshooting).

V sietovine som uplny amater a zatial moc nevidim aku rolu v tomto bude hrat moj switch. Zda sa mi, ze manazovatelny switch vytvara VLANy na urovni jednotlivych fyzickych portov (?), ale kedze ja mam kopu zariadeni cez wifi, ktore zo switchu idu cez rovnaky port ale chcem ich mat na samostatnych VLANoch.

Uvazujem uplne mimo? Hladal som nejake prispevky na reddit a inych zdrojoch, ale moc mi v tomto neporadili, ak ma viete nasmerovat na nejaky kvalitny zdroj dajte vediet.
Spoiler: ukázať
PC: CPU: Intel Core i5 12600K with Silentium Fortis 5 ARGB MB: MSI Tomahawk Z690 DDR4 RAM: 2x 16GB G.Skill Ripjaws V 4400-19 DDR4 GPU: GigaByte Eagle GeForce RTX 3060 Ti OC HDD: Samsung 970 1GB GB PSU: Corsair RMx (2018) 650W Case: Fractal Meshify 2 Compact Monitor: Philips 272B7QPJEB OS: Win 11 64-bit
Notebook: HP EliteBook 840 G6 Core i5 8265U, 16 GB RAM, 512 GB SSD
Server: HP Microserver Gen8 Xeon E3-1265Lv2, 16GB ECC DDR3 OS: PVE + OMV + OPNsense
Phone: Samsung Galaxy A52s
Tablet: iPad Pro 11 (2018)
Používateľov profilový obrázok
d3Xter
Používateľ
Používateľ
Príspevky: 1616
Dátum registrácie: Po 07. Apr, 2008, 14:00
Bydlisko: Spišská Nová Ves/Košice

Re: VLAN pre IoT zariadenia?

Príspevok od používateľa d3Xter »

ak sa siete nemusia vidiet tak staci vlany vytvorit na sw a potom porty do trunku s vlanami, ktore potrebujes
ak sa musia vidiet, musis to tahat na router, tam to mozes odelit cez vrf
mas akoze malo 250ip doma? 😂 ved pouzi /23
SOGOR
Nový používateľ
Nový používateľ
Príspevky: 43
Dátum registrácie: Po 16. Apr, 2007, 08:00
Bydlisko: Kosice -> Praha

Re: VLAN pre IoT zariadenia?

Príspevok od používateľa SOGOR »

Neviem ci je vhodne oddelit ha a samotne iot zariadenia lebo zalezi co mas za zariadenia ale dost vela ich zavisi na multicaste (niektore xiaomi gateway veci, mdns pre discovery ...) ci to naozaj chces oddelit takto a ci nie je lepsie proste dropovat packety z/do iot zariadeni z internetu.
Používateľov profilový obrázok
molnart
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 6646
Dátum registrácie: Ut 19. Jún, 2012, 23:03
Bydlisko: Bratislava/Samorin

Re: VLAN pre IoT zariadenia?

Príspevok od používateľa molnart »

tak som sa cez vikend zacal hrat v VLANmi, vytvoril som v OPNsense, priradil k nemu DHCP range, vytvoril v Unifi controlleri samostatne SSID do prislusneho VLANu, hodil na to par testovacich zariadeni a zacal nastavovat firewall pravidla, az kym sa mi vsetky zariadenia vo VLANe dropli so siete a a nechcu sa pripojit ani za svet - nedostanu ip adresu, aj ked im chcem dat staticku.

aby som vylucil problem v UniFi zacal som to testovat s virtualkou v Proxmox, ktoru sa snazim pripojit do VLAN ale tiez nedostane siet. neviem co sa stalo, aj som VLAN cely vymazal a vytvoril novy ale stale donho neviem dostat ziadne zariadenie...
Spoiler: ukázať
PC: CPU: Intel Core i5 12600K with Silentium Fortis 5 ARGB MB: MSI Tomahawk Z690 DDR4 RAM: 2x 16GB G.Skill Ripjaws V 4400-19 DDR4 GPU: GigaByte Eagle GeForce RTX 3060 Ti OC HDD: Samsung 970 1GB GB PSU: Corsair RMx (2018) 650W Case: Fractal Meshify 2 Compact Monitor: Philips 272B7QPJEB OS: Win 11 64-bit
Notebook: HP EliteBook 840 G6 Core i5 8265U, 16 GB RAM, 512 GB SSD
Server: HP Microserver Gen8 Xeon E3-1265Lv2, 16GB ECC DDR3 OS: PVE + OMV + OPNsense
Phone: Samsung Galaxy A52s
Tablet: iPad Pro 11 (2018)
Používateľov profilový obrázok
bepetko
Používateľ
Používateľ
Príspevky: 561
Dátum registrácie: Št 11. Apr, 2019, 11:08
Bydlisko: Bratislava

Re: VLAN pre IoT zariadenia?

Príspevok od používateľa bepetko »

už je to nejaký rok čo som robil so sieťami ale čo si matne pamätám netreba nastaviť trunk a enkapsuláciu?
Ach tie slovenské mamičky
shiro napísal:blba mamicka s kocikom sa mi vdrbe do cesty a pre istotu kocikom napred, nech najprv zrazim dieta a mam o to vacsi trest....
Používateľov profilový obrázok
d3Xter
Používateľ
Používateľ
Príspevky: 1616
Dátum registrácie: Po 07. Apr, 2008, 14:00
Bydlisko: Spišská Nová Ves/Košice

Re: VLAN pre IoT zariadenia?

Príspevok od používateľa d3Xter »

z toho co si uviedol nemam ani tusenia co ti vlastne nejde, connect na wifi, ci adresacia, dhcp routovanie... ale akonahle robis viac ako 1vlanu, potrebujes mat trunk na kazdej strane, tj vsetko prerobit na prislusne vlany a tahat dalej do AP, sw,...
mas to napisane v prvom riadku mojho prveho prispevku :D
Používateľov profilový obrázok
Hexaris
Sponzor fóra gold
Sponzor fóra gold
Príspevky: 781
Dátum registrácie: Št 11. Júl, 2019, 19:35
Bydlisko: Nekde na zahori

Re: VLAN pre IoT zariadenia?

Príspevok od používateľa Hexaris »

Ked nastavis vlanu priamo na AP tak na switch port das tagovanu vlanu. Inak zo swistu ti poleze netagovana a bude oddelena len v ramci neho samotneho (PVID). Ak teda chapem spravne co si nastavil. Ja tak pre unifi mam radius cez separe vlanu pre wlan rozhranie. Samozrejme mng + ssh mozes mat na inej vlane. Jedine co mozes spravit je to revertnut v unifi a resetnut AP do defaultu a readoptnut.
Your value does not decrease because of someone's inability to see your worth.
BOOK: MB Air M1 2020 AMP: Topping DX3Pro+ HEADPHONES: HiFiMAN HE400SE
Používateľov profilový obrázok
molnart
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 6646
Dátum registrácie: Ut 19. Jún, 2012, 23:03
Bydlisko: Bratislava/Samorin

Re: VLAN pre IoT zariadenia?

Príspevok od používateľa molnart »

predpokladam ze Unifi controller to nastavi aj na strane switchu aj APcka. port na switchi kde je APcko mam tiez priradit do VLAN ked chcem aby cez to isiel aj untagged traffic?
Spoiler: ukázať
PC: CPU: Intel Core i5 12600K with Silentium Fortis 5 ARGB MB: MSI Tomahawk Z690 DDR4 RAM: 2x 16GB G.Skill Ripjaws V 4400-19 DDR4 GPU: GigaByte Eagle GeForce RTX 3060 Ti OC HDD: Samsung 970 1GB GB PSU: Corsair RMx (2018) 650W Case: Fractal Meshify 2 Compact Monitor: Philips 272B7QPJEB OS: Win 11 64-bit
Notebook: HP EliteBook 840 G6 Core i5 8265U, 16 GB RAM, 512 GB SSD
Server: HP Microserver Gen8 Xeon E3-1265Lv2, 16GB ECC DDR3 OS: PVE + OMV + OPNsense
Phone: Samsung Galaxy A52s
Tablet: iPad Pro 11 (2018)
Používateľov profilový obrázok
Hexaris
Sponzor fóra gold
Sponzor fóra gold
Príspevky: 781
Dátum registrácie: Št 11. Júl, 2019, 19:35
Bydlisko: Nekde na zahori

Re: VLAN pre IoT zariadenia?

Príspevok od používateľa Hexaris »

Switch by default je vlan1 a prepusta vsade a vsetko. Unifi ti nic nezmeni na switchi, to ty musis rucne. Dexter to uz hore pisal, priradis ich (porty) k vlane aby prepustal potrebny traffic kam potrebujes. Mozes to mat kombinovane. Netagovana je iba jedna a do nej spadne vsetko co sa na porte ukaze a nema znacku pre vlan, proste trunk kde mozes kombinovat rozne vlany (zariadenia). Budiz priklad ze tam je dalsi switch na porte ktory neni nastaveny, ale vie prepustat vlany a neni dolezite to na nom priamo orezavat. Dalej ip telefon s vystupom na pc a oddelis sip od klasickej komunikacie. Ono na nete sa toho na vysvetlenie vala dost, vratane cisca (dokumentacia). :)
Your value does not decrease because of someone's inability to see your worth.
BOOK: MB Air M1 2020 AMP: Topping DX3Pro+ HEADPHONES: HiFiMAN HE400SE
Používateľov profilový obrázok
molnart
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 6646
Dátum registrácie: Ut 19. Jún, 2012, 23:03
Bydlisko: Bratislava/Samorin

Re: VLAN pre IoT zariadenia?

Príspevok od používateľa molnart »

ale v Unifi nemam moznost konfigurovat samostne switch a samostane AP ale on to urobi na vsetky zariadenia, router, switch aj AP. teda router v mojim pripade nie, lebo ten nie je od Unifi. ale presne preto aby som vylucil problem s Unifi som to zacal skusat cez VM, kde je akykolvek HW vyluceny, a tam to tiez nejde. podla mna problem bude niekde v mojom OPNsense setupe, len neviem kde...
Spoiler: ukázať
PC: CPU: Intel Core i5 12600K with Silentium Fortis 5 ARGB MB: MSI Tomahawk Z690 DDR4 RAM: 2x 16GB G.Skill Ripjaws V 4400-19 DDR4 GPU: GigaByte Eagle GeForce RTX 3060 Ti OC HDD: Samsung 970 1GB GB PSU: Corsair RMx (2018) 650W Case: Fractal Meshify 2 Compact Monitor: Philips 272B7QPJEB OS: Win 11 64-bit
Notebook: HP EliteBook 840 G6 Core i5 8265U, 16 GB RAM, 512 GB SSD
Server: HP Microserver Gen8 Xeon E3-1265Lv2, 16GB ECC DDR3 OS: PVE + OMV + OPNsense
Phone: Samsung Galaxy A52s
Tablet: iPad Pro 11 (2018)
Používateľov profilový obrázok
d3Xter
Používateľ
Používateľ
Príspevky: 1616
Dátum registrácie: Po 07. Apr, 2008, 14:00
Bydlisko: Spišská Nová Ves/Košice

Re: VLAN pre IoT zariadenia?

Príspevok od používateľa d3Xter »

mas dobre nastavene siete?
ip pre vlanu, gw, masku, pool?
zaklad je ci vobec vidis nejake macovky vo vlanach co si vytvaral
Používateľov profilový obrázok
Hexaris
Sponzor fóra gold
Sponzor fóra gold
Príspevky: 781
Dátum registrácie: Št 11. Júl, 2019, 19:35
Bydlisko: Nekde na zahori

Re: VLAN pre IoT zariadenia?

Príspevok od používateľa Hexaris »

Ved ale pises, ze APcka mas do cisca a tam to musis cez jeho mng donastavit vlany podla potrieb. Ak by si mal vsetko cez unifi tak zbuchnes priamo vsetko z controllera. Uz sem starsi clovek, mozno zle citam :)
Predpokladam, ze proxmox ide tiez cez ten switch? Nejde to ani ked to je pripojene napriamo do toho firewallu? Zrejme sa niekde poondiala konfiguracia, lebo pises, ze sa to odporucalo pri konfiguracii pravidiel.
Your value does not decrease because of someone's inability to see your worth.
BOOK: MB Air M1 2020 AMP: Topping DX3Pro+ HEADPHONES: HiFiMAN HE400SE
Používateľov profilový obrázok
d3Xter
Používateľ
Používateľ
Príspevky: 1616
Dátum registrácie: Po 07. Apr, 2008, 14:00
Bydlisko: Spišská Nová Ves/Košice

Re: VLAN pre IoT zariadenia?

Príspevok od používateľa d3Xter »

router musi ist do trunku, sw musi ist do trunku(uplink) ap zrejme tiez (kedze tam chces viac sieti) moj predpoklad je ze si vyvoril vlanu na routri a tym to u teba haslo + zrejme na tom unifi, kde sa tie zariadenia pripojili ale padli lebo nemaju siet
tu sa ale obavam ze ak zacnet ťukať do toho cisca, ze to pojde cele do kukurice a odpalis si komplet siet aj s mngt, ked nebudes vediet co robis
Používateľov profilový obrázok
molnart
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 6646
Dátum registrácie: Ut 19. Jún, 2012, 23:03
Bydlisko: Bratislava/Samorin

Re: VLAN pre IoT zariadenia?

Príspevok od používateľa molnart »

no cisco som medzitym nahradil Unifi switchom, len som to zabudol napisat, takze preto to nastavujem vsetko v jednom.

mne tie zariadenia vsetky fungovali asi 2 hodiny, mobil som mal propjeny do VLAN, dostal ip adresu z VLAN DHCP rangu, cez browser som sa dostal na weby internych veci ale nie na net, presne ako som mal nastaveny firewall. zhaslo to ked som zacal nastavovat aby som mal z VLAN pristup aj na net lebo som potreboval nieco vyskusat. ale nevyplo to v momente ked sa mi zda ze nieco som urobil.

momentalne to mam tak ako pise d3Xter, nastavene len opnsense. proxmox mi nejde cez switch, ale na nom je hostovany aj samotny opnsense. takze ethernet 1 servera je WAN a ethernet 2 je LAN ktory ide do switchu. ale ja sa momentalne snazim VLAN rozchodit len interne, na virtualnom bridge zavesenom na ethernet 2 a ked tam to bude fungovat tak s tym pojdem dalej na switch.

zatial to mam nastavene takto: https://1drv.ms/u/s!Al0zdRmBAsspg4dEy83 ... Q?e=fYb3Zx firewall pravidla nemam nastavene ziadne, najprv chcem dostat zariadenie na siet a potom sa idem hrat s pravidlami. blbe je ze neviem najst ziadne logy ktore by mi napovedali v tom kde moze byt problem.
Spoiler: ukázať
PC: CPU: Intel Core i5 12600K with Silentium Fortis 5 ARGB MB: MSI Tomahawk Z690 DDR4 RAM: 2x 16GB G.Skill Ripjaws V 4400-19 DDR4 GPU: GigaByte Eagle GeForce RTX 3060 Ti OC HDD: Samsung 970 1GB GB PSU: Corsair RMx (2018) 650W Case: Fractal Meshify 2 Compact Monitor: Philips 272B7QPJEB OS: Win 11 64-bit
Notebook: HP EliteBook 840 G6 Core i5 8265U, 16 GB RAM, 512 GB SSD
Server: HP Microserver Gen8 Xeon E3-1265Lv2, 16GB ECC DDR3 OS: PVE + OMV + OPNsense
Phone: Samsung Galaxy A52s
Tablet: iPad Pro 11 (2018)
Používateľov profilový obrázok
d3Xter
Používateľ
Používateľ
Príspevky: 1616
Dátum registrácie: Po 07. Apr, 2008, 14:00
Bydlisko: Spišská Nová Ves/Košice

Re: VLAN pre IoT zariadenia?

Príspevok od používateľa d3Xter »

musis pozriet mac tabulku to ti povie aspom ci mas L2 vporiadku potom sa mozes posunut na L3
pri tom dhcp by som ale vyplnil gw - ip vlany a aj dns pre istotu
dalej co mi nesedi tak mas vyplneny tag vo vlan na 20, takze predpokladam ze to vytvara akokeby subinterface? s dot1q? resp vo frame mas info o tagu, tym padom ti to chodi tagovane a protistrana tomu nerozumie lebo je tam cosi navyse - je to povinne pole?

Návrat na "Siete"