IoT privénetwerk opzetten

Thomias · 18 dec 2018, 22:32

Hallo,

Om veiligheidsredenen had ik gedacht een privénetwerk op te zetten om al mijn smart plugs in te stoppen (lees goedkope Chinese WiFi stekkerdozen). Ik zit bij Scarlet en experimenteer met een router achter de BBOX3 , zie hier http://userbase.be/forum/viewtopic.php?f=48&t=54398

Maar hoe zouden jullie het aanpakken? Momenteel heb ik enkel deze router in huis https://www.gl-inet.com/products/gl-ar750/ die openwrt draait. Maar ik heb ook zitten denken aan het opzetten van een VLAN (TP-LINK TL-SG105E in combi met TP-LINK TL-wa901nd) OF een constructie via een Ubiquiti Networks USG en Ubiquiti Networks UAP-AC-LITE. Maar dat laatste is nogal prijzig voor een kudde domme iot apparaten.

Ik zou dus 2 subnetten willen. Nu heb ik bijv bbox3 => 192.168.1.0 en openwrt => 192.168.2.0. De google Home Mini en Google Home App vallen onder het netwerk van de bbox3. Alle domme aparaten wil ik bereikbaar zien binnen het thuisnetwerk en aanstuurbaar via de GHM en de GHA. Ze mogen echter niet aan het internet kunnen.

Hoe zouden jullie dat bolwerken? Ik vind bij het doorlezen heel wat aanzetten en richtingen maar nooit het gehele plaatje. Zijn er mensen die al gelukt zijn in dit opzet? Die hun ervaringen willen delen?

Splitter · 18 dec 2018, 22:42

ik gebruik een servertje met opnsense op (firewall distributie).
die doet mijn pppoe sessie, is mijn firewall, en doet mijn vlans.

het hele "untrusted chinese vlan" is gewoon geblockt naar internet toe

enige wat je nodig hebt is een pc die 24/7 mag aanstaan en 2 netwerkpoorten heeft: 1tje van de modem en 1tje naar je switch

Sinna · 19 dec 2018, 07:16

Splitter schreef:het hele "untrusted chinese vlan" is gewoon geblockt naar internet toe

Dat geeft soms problemen naar de werking. Die stekkers in den Aldi die je via WiFi kan schakelen moeten kunnen verbinden met een NTP-server, anders werken ze niet...

charlez · 19 dec 2018, 08:40

Modbreak:
volcitaat uit vorige post verwijderd

Dan zet je enkel ntp open op je firewall...

Sinna · 19 dec 2018, 10:07

Inderdaad. Da's ook de manier waarop ik het gedaan heb.
Ik wilde enkel aangeven dat alles dichtdraaien soms nare neveneffecten kan hebben.

Thomias · 19 dec 2018, 11:46

Ok fijn,

bedankt voor jullie reacties maar hoe hebben jullie dat in detail gebolwerkt? Zou fijn zijn een soort stappenplan te hebben... .

Sinna · 19 dec 2018, 11:57

Niet met een OpenWRT-router hoewel dat perfect zou moeten kunnen, wellicht wel met wat iptable-rules.

Thomias · 19 dec 2018, 12:48

Hoe heb je het dan wel gedaan?

Kan ik eigenlijk via de bbox 3 een route leggen naar het ander subnet? Sommige zeggen van wel, anderen van niet?

19 dec 2018, 12:52

Pfsense of opnsense router en vlans (opgelet: met vlans moeten ook je switchen vlan capable zijn.
Het leuke aan die dingen is dat ze echte firewalls zijn, en je dus traffic in en uit kan filteren, ook tussen vlans.

Met wifi toestanden steek je ook een wifi apart op een vlan, desnoods met prosumer apparatuur zoals edimax pro of unifi die meerdere ssids in meerdere vlans kunnen uitzenden.
Qua NTP server: dat kan je desnoods zelf snel opzetten, of idd gewoon doorlaten.

Ik zou de bbox opgeven, maar als je hem wil kunnen gebruiken moet je hem een static route kunnen geven.

Thomias · 28 dec 2018, 18:11

Ok al wat dagen verder en alles werkt zoals ik het wil

Alleen rest nog de vraag: ik klooi nu wat met Home Assistant. Ik zou een poort willen openkrijgen op Scarlet BBox 3. Dus via de interface, port mapping, blablabla. Maar die doet dus geen reet.

Is het bij iemand reeds gelukt een poort open te zetten?

ubremoved_539 · 29 dec 2018, 12:29

Thomias schreef:Ik zou dus 2 subnetten willen.

Als je echt geen vertrouwen hebt in die dingen dan heeft een apart subnet weinig zin... wel een aparte VLAN.