Telenet HGW en VLANs

[Tomby]

Heb hier een nieuwe managed switch en AP gekocht die allebei VLANs ondersteunen. Ik vroeg me af of ik überhaupt iets met VLANs kan doen als ik een Telenet HGW heb. Vermoedelijk is het antwoord neen, maar je weet maar nooit. Idee zou zijn om IOT spullen (2x wired, 2x wireless) in apart VLAN te gooien aangezien ze niets te zoeken hebben op mijn lokaal netwerk.

Heb al wat rondgelezen over VLANs, maar snap er nog niet alles van. In mijn setup zou ik 2 mgd switches+AP hebben die met de HGW (en met elkaar) verbonden zijn over Powerline.

Ik vermoed dat met een eigen router vlak achter de HGW dit wel moet werken. Maar moet je dan ook 1 subnet per VLAN definiëren ? Ik lees wel dat je perfect alles op hetzelfde subnet kunt steken zolang je geen routering tussen VLANs nodig hebt (wat ik dus ook niet nodig heb) maar begrijp nog niet zo goed hoe dat werkt, vooral ivm hoe de router dan kan weten welke VLAN hij moet taggen. Of moet je daar niets configureren en bouwt hij gewoon zelf een tabel op met MAC-VLAN mappings op basis van wat hij op de trunk binnenkrijgt ? (en in dat geval zou het nog zomaar kunnen dat de Telenet router dit ook doet - wishful thinking ).

[mailracer]

Vlan is niet meer dan een tag die toegevoegd wordt aan het netwerkpakket. Dit kan toegevoegd worden in het toestel en via een managed switch die alle verkeer op een specifieke poort die vlan toekent, maar niet in een HGW van telenet.

is je HGW op een poort van een switch aangesloten, dan kan je de switch de vlan laten toekenen van die link, maar zal enkel het verkeer van dezelfde vlans die poort gebruiken. Je kan dan wel je iot afschermen van het internet, maar geen updates ontvangen van de software hiervoor.

[Tomby]

is je HGW op een poort van een switch aangesloten, dan kan je de switch de vlan laten toekenen van die link, maar zal enkel het verkeer van dezelfde vlans die poort gebruiken. Je kan dan wel je iot afschermen van het internet, maar geen updates ontvangen van de software hiervoor.

Maar hoe doen VLAN-aware routers dat dan in het geval van 1 subnet ? Als je aan de LAN kant enkel maar de trunk hebt, dan moet de router toch nog altijd weten welke tag hij moet toevoegen. Of moet je daar dan expliciet een IP-VLAN mapping definiëren ? Of misschien zijn VLANs op eenzelfde subnet niet eens mogelijk op een router (want mja, je kan niet routeren tussen de VLANs) ?

Je kan dan wel je iot afschermen van het internet, maar geen updates ontvangen van de software hiervoor.

Ik wou ze eigenlijk afschermen van mijn eigen netwerk. Maar ik besef nu dat sommige wellicht gewoon mijn LAN gebruiken voor bediening. Tado heeft niets nodig van mijn eigen netwerk, maar bvb een IKEA Tradfri app op mijn iPad/telefoon babbelt wellicht rechtstreeks met de gateway. Idem voor onze Miele wasmachine.

[Razornord]

Ik ben ook maar een beginner op dat vlak maar als je dan een router hebt die het verkeer van ipad/telefoon wel toelaat op je aparte subnet van je iot-devices, is het opgelost. Maar dus dan zal je wel een router moeten hebben die aparte subnets kan aanmaken. Ik ben me aan het verdiepen in PfSense via een youtube-kanaal waar ik veel van opgestoken heb.

[Tomby]

een router hebt die het verkeer van ipad/telefoon wel toelaat op je aparte subnet van je iot-devices, is het opgelost. Maar dus dan zal je wel een router moeten hebben die aparte subnets kan aanmaken.

Nadeel is natuurlijk wel dat je dan een deel van de security opgeeft waarvoor je juist VLAN wou gebruiken, en je dan eigenlijk moet gaan beginnen kijken naar echte firewall oplossingen.
Ik bedenk net dat ik met mijn oude DD-WRT router wel wat zou kunnen experimenteren. Gewoon tussen de Telenet HGW en powerline hangen, en ik kan prutsen zoveel ik wil (als er niemand thuis is ).

[DarkV]

Maar hoe doen VLAN-aware routers dat dan in het geval van 1 subnet ? Als je aan de LAN kant enkel maar de trunk hebt, dan moet de router toch nog altijd weten welke tag hij moet toevoegen.

Waarom zou je tweemaal hetzelfde subnet op een andere VLAN willen... dit lost niets op (zorgt alleen voor problemen) ?

Normaal maak je bijvoorbeeld VLAN10 met 192.168.10.0/24 en VLAN20 met 192.168.20.0 ... en een VLAN aware router doet dan de routing naar internet, en eventueel inter VLAN routing moest dat noodzakelijk zijn voor specifieke services.

[Tomby]

Waarom zou je tweemaal hetzelfde subnet op een andere VLAN willen... dit lost niets op (zorgt alleen voor problemen) ?

Ik zeg niet dat ik het wil he, las alleen dat het geen vereiste is. En dan zeker in combinatie met een HGW (waar je sowieso maar 1 subnet hebt) vroeg ik me af hoe zoiets dan werkt. Maar ik kan me inbeelden dat dat behoorlijk verwarrend is, en sowieso supporteert de HGW het niet..
Dus met aparte subnets definieer je in de router dan de mapping van subnet naar VLAN, zodat de router dan voor traffiek naar subnet X, ook de frames correct tagt ?

[DarkV]

Dus met aparte subnets definieer je in de router dan de mapping van subnet naar VLAN, zodat de router dan voor traffiek naar subnet X, ook de frames correct tagt ?

Niet echt... eigenlijk is er geen strikte mapping tussen een VLAN en subnet... het is gewoon doordat er een DHCP server (al of niet op je router) staat in de VLAN dat de VLAN een subnet krijgt (en zelfs heb je geen DHCP server nodig, je kan het manueel op de toestellen). Uiteindelijk moet je router wel zorgen voor routing/NAT naar andere subnets of internet, en heeft hij dus zelf ook een interface in de VLAN (met natuurlijk het juiste subnet).

In eerste instantie zijn het je switches die de VLAN tagging gaan doen door de configuratie van hun poorten (je zegt bijvoorbeeld dat poort 5 een VLAN 10 krijgt, en poort 6 een VLAN 20). Aangezien in je router ook de VLAN's bekend zijn kan die het natuurlijk ook verwerken.

[Tomby]

Aangezien in je router ook de VLAN's bekend zijn kan die het natuurlijk ook verwerken.

Wel ja, maar het is dat dus dat ik me afvraag hoe de router die dan kent. In de uitleg die ik online vind, gaat het altijd over 2 managed switches met een trunk tussen, en dat is redelijk vanzelfsprekend want op beide switches definieer je je VLANs en uiteraard moet je op de trunk aan beide kanten dezelfde VLANs taggen anders komt er iets binnen voor een ongekende VLAN. Op de 2de switch zal traffiek die van specifieke access poorten komt, getagged worden als het op de trunk gezet worden.

Maar als je van switch naar router gaat, dan zijn er op die router mogelijk helemaal geen access ports geconfigureerd en heb je 1 trunk port. Dus in je voorbeeld, als er een IP pakketje binnenkomt voor een host op VLAN 10 (op bvb 192.168.10/24), dan moet die router dat wel weten, want hij moet de frames die hij terugstuurt naar de switch taggen voor VLAN 10.

[DarkV]

Wel ja, maar het is dat dus dat ik me afvraag hoe de router die dan kent.

Door het feit dat je packets getagged zijn met een VLAN id... gegevens door de switch z'n poort configuratie.

Maar als je van switch naar router gaat, dan zijn er op die router mogelijk helemaal geen access ports geconfigureerd en heb je 1 trunk port.

Maar op dat moment is het packet al getagged door de switch.

Dus in je voorbeeld, als er een IP pakketje binnenkomt voor een host op VLAN 10 (op bvb 192.168.10/24), dan moet die router dat wel weten, want hij moet de frames die hij terugstuurt naar de switch taggen voor VLAN 10.

Je router zal die inderdaad wel taggen als de interface van het betreffende subnet in een VLAN zit.

[Tomby]

Door het feit dat je packets getagged zijn met een VLAN id... gegevens door de switch z'n poort configuratie.

Maar toch niet voor de destination ? Inkomende frames zijn getagged met de VLAN id van de source, maar als je dus routeert naar een andere VLAN, moet hij nog wel de VLAN id voor de destination kennen.

[ITnetadmin]

Een router moet VLAN aware zijn om VLANs uit mekaar te houden en desnoods naar mekaar te routen.
Je HGW kan dit voor zover ik weet niet.
Hetzelfde subnet op 2 VLANs is ridicuul, een subnet verwacht net om alle toestellen in hetzelfde subnet rechtstreeks te kunnen bereiken.
VLANs kunnen mekaar enkel bereiken via een router (of routing mechanisme in een switch).
Als je op een router geen trunk kan definieren, of poorten aan VLANs kan toewijzen, kan je geen meerdere VLANs er naartoe sturen.
In dat geval heb je maar twee opties: of je gebruikt je andere VLANs geisoleerd, zonder router, of je steekt een eigen router die wel VLANs aankan.

[devilkin]

Bwa. Je kan wel een toestel op 2 vlans zetten (afzonderlijke interfaces) als je het dan als een soort proxy wil gaan gebruiken. Ik doe dit voor bvb een MQ proxy voor m'n Shelly devices, voor m'n integratie met HA. Die dingen mogen niet rechtstreeks van mij.

Ik heb een vm met een poot op dat netwerk, en een poot op het netwerk van m'n HA.

[mailracer]

Maar toch niet voor de destination ? Inkomende frames zijn getagged met de VLAN id van de source, maar als je dus routeert naar een andere VLAN, moet hij nog wel de VLAN id voor de destination kennen.

verkeer van een hGW heeft geen vlan TAG. sluit je die aan op een poort waar je VLAN 50 aan heb toegekend met de optie untagged. wil dit zeggen dat eens het pakket de switch inkomt een vlantag 50 meekrijgt. Vanaf dan gaat het verkeer van die HGW enkel naar de andere poorten die tot vlan 50 behoren. Het is niet zo dat het pakket dan bij andere lanpoorten terecht komt.

Wat een router betreft werkt deze meestal met routeringstabellen.
je definieert je vlans, incl DHCP instellingen, plaats de lan-en wan poorten in een vlan en bepaald je verkeer
De router handelt het verkeer af volgens je instellingen en past de vlan tag aan naar de bestemming.

[Tomby]

Wat een router betreft werkt deze meestal met routeringstabellen.
je definieert je vlans, incl DHCP instellingen, plaats de lan-en wan poorten in een vlan en bepaald je verkeer
De router handelt het verkeer af volgens je instellingen en past de vlan tag aan naar de bestemming.

Tnx, het was dat dat ik me dus afvroeg. Heb overigens geen ervaring met configureren van routers command-line (incl. routing tables, enz).
Zal de VLAN plannen voorlopig nog wat wegbergen.

[ITnetadmin]

Ik dacht dat de digicorder achter de hgw wel in een vlan stak?