Var inte grundfrågan om man ska ha eget lan/wifi för enheter som tex kameror? Inte om just dessa två ska dela eget lan?AndersMalmgren skrev:
Är det inte hyfsat enkelt att i unifis grejor sätta upp eget wifi o vlan så att detta egentligen är en ickefråga, om man bara orkar så innebär det väldigt lite extra jobb och ingen extra kostnad?
Japp, som amatör tar jag det säkra för det osäkra.
(Plus att det var kul att lära sig lite om nätverkssäkerhet på kuppen)
Renoverare
· Stockholm
· 18 393 inlägg
Det är väl inte så svårt., Men det kan ju vara drygt om man vill tex low level felsöka via telnet eller liknande då din desktop telnetklient ligger på main-LAN.J JohanLun skrev:
Grejen är man kan inte förlita sig på vlan ändå, det kallas security through obscurity även om det är en stark version av det.
Hade jag haft löst folk anslutna till mitt WLAN hade jag däremot haft ett gästnät på VLAN. men nu har jag ju inga sådana som springer här hemma.
Men jag tycker ändå frågan är relevant. OM man vill lägga IoT eller gäster (eller vad man nu vill isolera) på ett eget nät, funkar metoden att ha ett VLAN och sätta upp AP med egna WiFi för de olika syftena?
Hittar många som skrivit om detta... tex https://lazyadmin.nl/home-network/unifi-vlan-configuration/
Jag har ju en Edgerouter och tre Unifi APn, ett par switchar med stöd för VLAN. Det borde väl gå? Jag har tänkt länge på att göra detta, men min "att göra lista" är lång, men ibland blir sådana här trådar en anledning att få saker gjorda... Jag borde även flytta ned en "always on" dator och två NAS till mitt källarutrymme och dra några till nätverkskablar då jag inte har optimal placering av APna.
Hittar många som skrivit om detta... tex https://lazyadmin.nl/home-network/unifi-vlan-configuration/
Jag har ju en Edgerouter och tre Unifi APn, ett par switchar med stöd för VLAN. Det borde väl gå? Jag har tänkt länge på att göra detta, men min "att göra lista" är lång, men ibland blir sådana här trådar en anledning att få saker gjorda... Jag borde även flytta ned en "always on" dator och två NAS till mitt källarutrymme och dra några till nätverkskablar då jag inte har optimal placering av APna.
Renoverare
· Stockholm
· 18 393 inlägg
I min mikrotik-router är det superenkelt. Nog lätt i unifi ocksåJ JohanLun skrev:
Visst är det möjligt.J JohanLun skrev:
Det är kanske så att det borde startas upp en egen tråd om detta så det inte fyller TS tråd om nu inte TS tycker det passar här. @ulfben ?
Man ska komma ihåg är att VLAN är på IP nivå (dvs 2) i stacken och då måste switcharna som du säger stödja VLAN för annars kan meddelanden helt försvinna. Dock kan man ha sådana switchar på delar där ingen VLAN trafik finns.
Ska man vara riktigt säker så ska man också se till att enheter på ett IoT VLAN inte kan prata med varandra heller. Dvs sätta upp switchar och router så de bara tillåter data "upstreams".
Som den ingenjör du är, kan du förklara inställning i olika routrar där intern trafik blockeras vilket får vissa enheter att sluta fungera, går inte att ansluta/sätta upp IoT enheter. Du har missat detta eller har någon obskyr förklaring till att det är dåligt? Jag upplever detta relativt verkansfullt, man får avaktivera inställningen om en ny enhet ska konfigureras, därefter kan man blockera intern trafik igen och endast tillåta trafik mot internet.
Jag har aldrig satt mig in i detta... Kan man ha VLAN i första switchen och om man har en switch efter där tex ett par datorer i samma VLAN står behöver den inte stödja VLAN? Dvs är porten ut från en switch tvättad från VLAN delarna och skickar bara det som ska dit?P PappasHammare skrev:
EdgeRouterX som jag har är rätt gammal, vill minnas att det finns 2 portar på den som man kan brygga eller ha separata. När man bryggade dem så gick prestandan i routern ner avsevärt. Kanske kan vara en ide att låta dem vara separata och lägga några utvalda saker på ett eget subnät? Tex NAS? Kanske dags att byta router, men denna har funkat väldigt bra i alla år.P PappasHammare skrev:
Renoverare
· Stockholm
· 18 393 inlägg
Det är dock inte vad ett VLAN är. Ett VLAN är bara ett LAN i LANet. Att enheter i lanet inte får prata med andra enheter i lanet är config ovanpå det.B bygges skrev:
Hade jag haft IoT så hade jag nog satt upp det. Men nu har jag en diskmaskin och en zwave kontroller så varför. Samt om jag inte kan prata med zwave konteollern går den över molnet vilket är mycket långsammare så det hade jag ändå inte velat göra.
Jo jag vet att det inte är VLAN. Men du har skrivit som om du bortser från att routrar har möjlighet att blockera intern trafik mellan enheter, oavsett separata VLAN eller inte.
Det beror på hur switchen är konfigurerad/kan hantera VLAN.J JohanLun skrev:
Normalt så gör man så att en port ut från en switch har eller har inte VLAN-tag (men det går att blanda).
Har man VLAN-tag ut så måste mottagaren klara av att ta emot VLAN tag.
Så svaret är både ja och nej beroende på vilken port vi pratar om.
Men 'nedströms' så, ja så brukar man göra.
Sen EdgeRouter X. Jag har inte någon själv så jag vet inte hur man kan konfigurera.
En sak som är bra om man börjar med VLAN är att det finns speciell hårdvara som kan hantera VLAN och därmed avlasta processorn. Men tror den ska ha något sånt. Att det ska bara vara vissa portar låter lite konstigt men visst. Det beror ju på hur den är internt kopplad.
Undrar om detta kan vara en bra start?P PappasHammare skrev:
https://www.geekbitzone.com/posts/2...outer-mikrotik/edgerouter-mikrotik-swos-vlan/
Jag ska ta och läsa lite om detta när jag får tid, kan detta vara en bra början på VLAN teorin? Finns ngn bättre länk någon kan tipsa om...
https://www.practicalnetworking.net/stand-alone/vlans/
Redigerat: