VLANs: MikroTik router - Ubiquiti EdgeSwitch - UBiquity AP AC-PRO

devastator · 03 dec 2019, 09:29

Hoi,

Kan iemand me op weg helpen met volgende setup (Ubiquiti EdgeSwitch ES-24-250W - MikroTik RB3011UiAS-RM)?

setup.png

De Miktrotik voorziet DHCP voor mijn LAN en zet de verbinding op met internet via de BBOX. Door de toename van steeds meer IoT devices, wil ik mijn netwerk nu eindelijk eens goed opzetten.

Ik wil VLANs (draadloos en bedraad!) voor:
- Data (normaal netwerk)
- IoT - met internet
- IoT - zonder internet
- Guest

Die EdgeSwitch kan volgens mij ook als router optreden, of vergis ik me ? De Mikrotik zelf is enkel verbonden met de bbox en de switch, geen andere toestellen zijn rechtstreeks verbonden met de router. Waar kan ik de VLAN's het best opzetten:
- In de router
- In de switch
- In beide

Volgens mij had heel de setup ook gekunnen zonder die Mikrotik, of zie ik dat verkeerd ?

Groet,
Deva

CCatalyst · 03 dec 2019, 10:09

devastator schreef:Waar kan ik de VLAN's het best opzetten:

VLANs zijn een L2 concept, dus je configureert het in het L2 toestel, zijnde de switch.

devastator schreef:Die EdgeSwitch kan volgens mij ook als router optreden, of vergis ik me ?

Nee, de routing functionaliteit in de EdgeSwitch is zeer beperkt (enkel inter-VLAN en static routes denk ik). En sowieso ondersteunt die geen NAT. Je hebt dus nog steeds een router nodig voor internet connectiviteit.

Een eenvoudige EdgeRouter zal dat echter even goed doen als die MikroTik en biedt bovendien het voordeel van 1 vendor en de UNMS pane of glass waarmee je de toestellen vanuit 1 applicatie kunt beheren.

devastator · 03 dec 2019, 10:14

Maar aangezien ik ook firewalling wil (wel van het ene VLAN naar het andere, maar niet omgekeerd), moet ik e VLAN's dan ook definieren in de router? Of is alle firewalling op de switch?

De DHCP server voor de VLAN's moet ik dan ook instellen op de switch ?

CCatalyst · 03 dec 2019, 10:44

Als je Inter-VLAN routing configureert op de EdgeSwitch zal het verkeer tussen de VLANs nooit naar de router gestuurd worden en moet je de restricties op de EdgeSwitch instellen met behulp van ACLs. Als je geen Inter-VLAN routing configureert op de EdgeSwitch zal het verkeer tussen de VLANs wel via de router verlopen en moet je inderdaad daar de restricties instellen. Dat laatste is een must als je bijvoorbeeld meer granulaire filtering wilt dan ACLs kunnen bieden.

DHCP mag je instellen gelijk waar, op de switch zelf, op de router waar de VLANs gedefinieerd en in virtuele interfaces geconfigureerd zijn, of zelfs een toestel in een extern netwerk zoals de cloud (met behulp van het ip helper commando).

03 dec 2019, 11:53

Lang niet alle L3 switchen zijn fatsoenlijk configureerbaar voor inter-vlan routing.
Meestal betaal je je blauw aan een goeie, of krijg je een soort "L3-lite" waarbij je (meestal, niet altijd)wel kan zeggen welke vlans naar mekaar mogen routen, maar kan je er verder geen firewall rules tussen steken, wat de ganse opzet wat keldert.
Ook zijn hun processors / interne layout niet gemaakt voor routing, waardoor dat dus snel een bottleneck wordt als er nogal wat verkeer over de routing wil.

Persoonlijk besteed ik inter-vlan routing liever uit aan een firewall, zoals pfsense; dan heb je tenminste een fatsoenlijke controle over wat er over en weer gaat.

devastator · 03 dec 2019, 14:35

Klopt dit dan ongeveer?
- VLAN's met DHCP definieren op de mikrotik
- trunking op de poort die van de mikrotik naar de switch gaat
- Op de edgeswitch ook de vlans maken, en daar de routing/firewalling tussen de vlans doen.

CCatalyst · 03 dec 2019, 16:00

devastator schreef: - trunking op de poort die van de mikrotik naar de switch gaat

Ook trunking op de poort van de switch naar de router, en de switch moet de ethernet frames naar de router taggen met het VLAN waar het MAC-adres aan toebehoort, want de DHCP server op de router gaat anders niet weten welk MAC adres aan welke VLAN toebehoort en uit welke pool hij moet putten (tenzij je op de router MAC-based VLANs configureert of enkel met statische DHCP leases werkt).

Voor de rest ziet dat er goed uit. DHCP requests gaan door de client L2 gebroadcast worden naar de switch, die er de VLAN tag op plakt en het dan naar de rest van het VLAN (inclusief de router) broadcast. De DHCP server op de router luistert op de virtuele interface waar de betrokken VLAN op geconfigureerd is en die geeft dan een IP lease uit de pool van het subnet dat aan het betrokken VLAN toebehoort.

Eenmaal een IP toegekend kan de client dan communiceren met clients in andere VLANs op basis van hun IP adres in hun subnet, deze IP routing wordt dan nog louter door de switch gedaan die de ACLs toepast om het verkeer te filteren. Verkeer voor IP's die niet in een gekende interface van de switch (maw internet verkeer) vallen worden naar de router gestuurd.

devastator · 03 dec 2019, 16:04

Thx, eens proberen als de kindjes vrijdag met sinterklaas bezig zijn

DarkV · 04 dec 2019, 21:12

devastator schreef:- Op de edgeswitch ook de vlans maken, en daar de routing/firewalling tussen de vlans doen.

Zoals reeds eerder vermeld ga je op een switch snel tegen de beperkingen van inter VLAN routing/firewalling aanlopen... dus dat doe je best op de Mikrotik (ik heb trouwens een gelijkaardige setup alleen doe ik de DHCP op een Windows server).

devastator · 05 dec 2019, 09:49

@DarkV: kan je je config misschien eens posten? Dan kan ik het morgen vergelijken met wat ik heb ...

devastator · 07 dec 2019, 08:11

Ik heb het inmiddels aan de praat gekregen.

Paar vraagjes:

Hoe krijg ik discovery aan de praat op een ander VLAN? Als ik de sonos of esphome toestellen in een ander VLAN zet, vindt de controller op mijn "normaal" LAN ze niet.
Alle traffic van mijn camera VLAN moet via de router terug naar dezelfde switch om ze te kunnen openen in mijn netwerk. Alles heeft static IPs, maar als de router dus even uitligt, heb ik ook geen camera beelden meer . Kan ik hier iets slim voor doen op de switch?

07 dec 2019, 11:43

Sommig van die toestellen doen discovery met een broadcast of op layer 2.
Dan zullen ze die nooit vinden, want broadcasts en layer 2 communicatie springen niet over vlans.

CCatalyst · 07 dec 2019, 14:08

devastator schreef: Hoe krijg ik discovery aan de praat op een ander VLAN? Als ik de sonos of esphome toestellen in een ander VLAN zet, vindt de controller op mijn "normaal" LAN ze niet.

Wat je nodig hebt is de "mDNS repeater" feature (ook wel "mDNS reflector" genoemd), maar da's wellicht meteen een van de beperkingen van inter-VLAN routing op de switch. Een router zou dit wel moeten kunnen. De EdgeRouter die ik hierboven al aanbevolen heb kan dit iig wel.

Noot afaik vereist Sonos ook nog SSDP, IGMP en andere zaken, je zal eens moeten googlen hiervoor.

devastator schreef: [*] Alle traffic van mijn camera VLAN moet via de router terug naar dezelfde switch om ze te kunnen openen in mijn netwerk. Alles heeft static IPs, maar als de router dus even uitligt, heb ik ook geen camera beelden meer . Kan ik hier iets slim voor doen op de switch? [/list]

Mja, inter-VLAN routing dus? Maar dan enkel voor die 2 VLANs?

devastator · 07 dec 2019, 20:39

Heb ik een IGMP proxy nodig of 'PIM'? En hoe zet ik het op ....