Vraag over beheerder & gast VLAN

[VossyGamer]

Beste leden,

Alvast bedankt om de tijd te nemen om mijn bericht te lezen en me eventueel te helpen!

Ik wil graag mijn beheerder- en gast-SSID op een apart VLAN zetten, maar ik weet niet precies wat de beste manier is in mijn situatie. Na wat zoeken, ben ik nog steeds niet zeker wat ik moet doen, en enige hulp wordt erg gewaardeerd. Hieronder deel ik mijn opstelling:

- Orange (hey!) modem/router
- Omada Hardware Controller
- 5 Omada access points (2 zijn te oud om met mijn Omada Hardware Controller te verbinden, deze beheer ik apart: ik kan hier ook een VLAN ID op instellen)
- 3 'domme' (unmanaged) TP-Link switches

Wat is volgens jullie de beste oplossing?

- Koop ik beter een nieuwe router met daarachter mijn huidige 'domme' switches? (Orange modem/router in bridge mode dan)
- Of moet ik een nieuwe slimme switch aanschaffen en die achter mijn huidige Orange modem/router plaatsen? Wat doe ik dan juist? Moet ik de poorten linken aan de AP?
- Iets anders?

Alvast bedankt voor jullie hulp!

Met vriendelijke groeten,
VossyGamer

[devilkin]

Gebruik je beide access points? Of is het de bedoeling om op 1tje je gewone netwerk te hangen en op het andere het gast netwerk?

Je gaat sowieso met de Orange modem geen VLAN ondersteuning krijgen. Dus als je dat wilt zit je vast aan nieuwe router, alsook switches om die vlans door te geven.

[silentkiller]

Verdiep je eens verder in het VLAN gebeuren.
Een VLAN is een scheiding op zeer laag netwerk niveau. Je moet het zien als twee netwerken naast elkaar.

Om die netwerken met elkaar (of andere netwerken) te laten spreken, heb je een router nodig.
De Orange modem kan, zoals devilkin zegt, idd geen VLANs routeren. Een andere router heb je sowieso nodig.

Of je je switches en APs kan blijven gebruiken, hangt af van je situatie.

Als je een router hebt met VLAN ondersteuning die:
-op LAN poort 1 VLAN Mgmt heeft
-op LAN poort 2 VLAN Gast heeft

Kan je achter elke poort een domme unmanaged switch hangen met daaraan de APs. Die devices moeten dan niet VLAN aware zijn.

Wil je ergens in het huis een switch zetten waar beide VLANs beschikbaar moeten zijn (zodat je bv in je APs twee SSIDs kan uitzenden waardoor de clients in een andere VLAN komen), dan heb je daar ook managed switches nodig.

Er zijn ook routers waar je geen VLANs in kan configureren maar die toch een scheiding hebben voor het gastennetwerk (bv Frizboxen). Als je dan het draadloos gastennetwerk enkel rond je frizbox (living?) wil hebben, is zoiets mogelijks de goedkoopste investering voor deze use case.

[serialchiller]

Als het de bedoeling is om je gasten uit je lan te houden, dan heb je bij Omada zelfs geen vlans nodig. Je moet je gastenwifi als guest network instellen en dan is client isolation op AP-niveau.

[devilkin]

Dit gaat volgens mij je gasten wel niet isoleren van de rest van je infrastructuur die op je netwerk hangt. Enkel van andere mensen op die SSID.

[silentkiller]

Volgens de website van tplink, isoleert het ook de andere devices in hetzelfde netwerk:
https://www.tp-link.com/us/support/faq/1060/

Het is geen echte LAN scheiding maar mogelijks voldoende voor deze use case..

[VossyGamer]

Bedankt voor al jullie antwoorden, maar ik heb dit reeds geprobeerd en de guest optie werkte gewoonweg niet. Op het guest netwerk kon ik nog steeds lokale IP websites via de browser raadplegen, alsook printers en smart home toestellen. Daarom leek een VLAN optie mij het veiligst. Geen idee waarom de guest radiobutton het niet doet.

Bedankt voor jullie tips! Ik koop dus best een TP-Link router & switch? Zal een kostelijk grapje worden neem ik aan. Jammer, want de Orange modem ondersteunt wel VLANs, op een bepaalde manier (probleem -> alleen guest SSID vanuit Orange access point):


^ subnet 2 i.p.v. 0

[philippe_d]

Er zijn ook routers waar je geen VLANs in kan configureren maar die toch een scheiding hebben voor het gastennetwerk (bv Frizboxen). Als je dan het draadloos gastennetwerk enkel rond je frizbox (living?) wil hebben, is zoiets mogelijks de goedkoopste investering voor deze use case.

Hoe bedoel je "enkel rond je Fritzbox"?
Als je in je netwerk "Fritz Repeaters" aansluit, en deze in het Mesh gebeuren toevoegt, heb je op al jouw aangesloten AP's ook het (apart) Gastennetwerk.
Repeaters kan je draadloos verbinden of via UTP (als AP), je kan ook WiFi powerlines gebruiken of een andere Fritzbox als Mesh repeater instellen...

[devilkin]

Da's dus de ingebouwde wifi, en ja, die kan dat wss wel afhandelen voor z'n interne winkel.

[philippe_d]

Bedankt voor jullie tips! Ik koop dus best een TP-Link router & switch? Zal een kostelijk grapje worden neem ik aan. Jammer, want de Orange modem ondersteunt wel VLANs, op een bepaalde manier (probleem -> alleen guest SSID vanuit Orange access point):

Misschien wachten tot 1/11 (routervrijheid) en de Orange router vervangen door je eigen Cable modem/router ?

[silentkiller]

Hoe bedoel je "enkel rond je Fritzbox"?

Ik was vanuit het kostenperspectief aan het denken. Zoals TS aangeeft is router&switches vervangen kostelijk.
Mijn redenatie was door alleen de router te vervangen (en de APs te behouden) dat hij maar 1 device moet aanschaffen om mogelijk zijn use case te volbrengen.
Als je de APs dan vervangt door Fritz repeaters, wordt het weer kostelijk (maar dan kan je idd je Guest SSID op elke plaats uitzenden!)

Nu, bovenstaande redenatie kan dus ook met het device van orange zelf zoals TS aangeeft en deze op een goede plaats staat voor de gasten.

My 2cents: I love VLANs, maar als je principeel enkel je guest&normaal netwerk wil scheiden, loopt het snel op qua kosten dus ik probeer wat kosten efficient te denken voor de use case van TS

[devilkin]

Wat ook nog een optie zou zijn:
* 1 AP voor gasten gebruiken, dit hang je rechtstreeks op je Orange router
* 1 extra router aanschaffen en achter je Orange router hangen, en daar alles van je eigen infrastructuur op hangen

Je krijgt dan wel een dubbele NAT (zolang je geen IPv6 gebruikt), maar al je eigen dingen zitten achter je 2e router, dus niet bereikbaar.

[DarkV]

Als je een extra router gaat aanschaffen... waarom zou je dan één AP gebruiken voor je gasten.

Dan doe je het toch meteen op de juiste manier met VLAN's (zodat je geen AP moet "verkwisten").

[devilkin]

Wij geven opties, met verschillende kostenplaatjes...

[serialchiller]

Dit gaat volgens mij je gasten wel niet isoleren van de rest van je infrastructuur die op je netwerk hangt. Enkel van andere mensen op die SSID.

Er staat "any private IP address" in de screenshot. Maar ik ga het zelf eens moeten testen. Hetzelfde principe werkt op unifi feilloos.

@VossyGamer Ik ga straks testen en kom er op terug! (ik draai Omada 5.13.30.8 software controller op een linuxbox)

EDIT: getest en ik kan geen enkel lokaal adres bereiken met "Guest Network" enabled... De rate limiter is euh... raar. Ma da's een ander verhaal.

[VossyGamer]

Bedankt opnieuw voor het meedenken. Ik heb gemerkt dat op 2 recente AP's de guest & bandwith limiter optie werkt, en op de 'oudere' niet. Ik denk dat ik dan maar 2 nieuwe access points ga kopen, en dan later eens kijk voor de VLANs. Ik denk dat de guest optie momenteel volstaat. Welke budget vriendelijke recente access points van TP-Link Omada denken jullie dat de beste is? 500 Mbps en 5 Ghz zijn 'n beetje mijn enige technische vereisten. Dank u!