Apart IOT netwerk - soep en kolen waard?

[Dafke]

Bon, om met de deur in huis te vallen:

Telenet router..
Daaraan enkel mijn vaste pc rechtstreeks verbonden, al de rest zitten achter een managed en unmanaged switch van Ubiquiti, met ook 3 wireless AP's.
Ik heb geen netwerksegmentatie, dit wil zeggen, alles is vrij default. Mijn intern verkeer loopt allemaal over zelfde subnet 192.168.0.xxx

Nu zou ik eens willen weten of het waard is dat ik dit opsplits in een VLAN1 (LAN + WLAN voor pc, ipads en phones) en VLAN2 (voor alle smart devices).
Gaat dit niet ergens ten koste van bruikbaarheid? Ik wil alles zo "makkelijk" mogelijk houden, daar de vrouw en de kids ook wel bepaalde IOT devices gebruiken.

Ik las bv volgende opinie:

Een apart netwerk voor je IoT-apparaten maakt het allemaal complexer, minder gebruikersvriendelijk en vaak niet werkbaar. De monitoring en bediening (computer, smartphone en tablet) is dan meestal op het thuisnetwerk aangesloten en dan moet je met een routerfunctie naar je IoT-netwerk. Dat zal vaak voor een IoT-apparaat geen werkbare configuratie opleveren. Een gastnetwerk is gescheiden van je thuisnetwerk, zodat tussen die netwerken dan sowieso geen communicatie mogelijk is en het dus niet werkbaar is voor IoT.

De bedreiging voor IoT zal veelal van buiten (internet) komen en dan maakt het niet uit of dit het thuisnetwerk, een apart IoT-netwerk is of het gastnetwerk is.

Dus voor ik hier alles in de soep gooi, waarom zou ik dit echt willen doen? Wat is nu echt de toegevoegde waarde en wat zijn de downsides?

[devilkin]

Dat is een persoonlijke afweging die je moet maken. Ik wil gewoon zaken die automatisch updates binnen trekken / kunnen van buiten beheerd worden niet zomaar op m'n netwerk toelaten. Zware overkill, waarschijnlijk wel

Ikzelf heb m'n netwerk verder opgedeeld:
* Infra: hierop zitten switches, access points, netwerk infrastructuur met name
* Guest: gast netwerk. Ook m'n corporate devices zitten daarop.
* LAN: hier zitten zaken op die ik 100% betrouw. home server, laptops, desktops
* IoT: hier zitten dingen op die in de IoT sfeer vallen: Chromecasts, nvidia shield, tv, ... zaken waar ik mogelijks connecties vanop LAN moet kunnen accepteren. Ook smart switches bvb zitten hierop
* Mobile: Smartphones. Kunnen ook naar IoT, maar ik wou ze buiten m'n lan houden.
* untrusted: hier zitten zaken op die naar buiten moeten kunnen maar die ik langs geen kanten wil toelaten op m'n eigen netwerk. Connectie van de overige vlans zijn ook niet toegelaten hier naartoe, en ik laat alleen uitgaande traffic toe naar waar ze moeten kunnen gaan.

Zaken die ik heb moeten voorzien om problemen op te lossen:
* mDNS reflector voorzien in je netwerk zodat je bvb aan je chromecasts kan
* Als je zaken hebt die veel bandbreedte vereisen (ik denk maar aan plex), en je die gebruikt vanop toestellen in een ander vlan, zie dan dat deze een poot heeft in deze vlans. Anders gaat je router al deze traffiek moeten verwerken (tenzij je switches hebt die op L3 kunnen routen, dan doen die dat voor je)
* Harmony Hub is een kl*teding, je initiele pairing moet gebeuren op dezelfde VLAN. Ook zien dat die traffic tussen bvb smartphone en Harmony Hub doorkan
* Xiaomi robot stofzuigers zijn een PITA, waar je met masquarding moet werken om ze vanuit een ander vlan te kunnen accessen (niet over het internet)

Sindsdien... cava, heel weinig issues mee.

[CCatalyst]

Grotendeels in dezelfde lijn als de vorige post. Security-wise is het een best practice. Evenwel kan de gebruikservaring sterk beknot worden.

Veel van die zaken worden gemaakt om zo eenvoudig mogelijk in gebruik te zijn, wat betekent dat een controller ze vaak detecteert via mDNS of Bonjour (soms ook via SSDP) en het instellen van een IP gewoon al niet mogelijk is. Sonos of Hue bijvoorbeeld. mDNS passeert niet langs een router, tenzij je een proxy gebruikt (wat niet elke router ondersteunt). En dan nog kunnen sommige toestellen raar gaan doen of nog steeds dienst weigeren gewoon omdat ze in een ander subnet zitten. Die toestellen zijn doorgaans gemaakt voor thuisnetwerken waar VLANs niet verondersteld worden.

Je kan het proberen en zien of de problemen overkomelijk zijn of niet. Een middenweg kan eventueel zijn om die toestellen via firewall de toegang tot/van het internet te beperken. En sowieso enkel IoT gebruiken van grote merken die een reputatie te verliezen hebben, gebaseerd in de VS of EU waar sterke privacywetgeving geldt, met een grote userbase zodat eventuele problemen sneller aan het licht komen. Dat op zich is geen garantie dat alles veilig is, maar die kans is wel veel groter dan wanneer je een random Chinees namaak-IOT toestel gekocht van Alibaba in je netwerk zet.

[Dafke]

Ok dus ik hoor wel een beetje wat ik in mijn achterhoofd hoorde spoken: het is inderdaad veiliger, maar het zal er niet makkelijker op worden.
Feit is ook dat ik er niet genoeg van af ken om zelf te troubleshooten, en dan kan het dus zijn dat je bepaalde handelingen gaat uitvoeren om het toch maar werkende te krijgen, die heel je setup weer omzeep helpen, security wise dan

Bon, het is mooi, maar ik ga voorlopig me er nog van weg houden. Alles werkt hier, en geen zin om het te verkl*ten

[Dizzy]

If it works, don't fix it

[ITnetadmin]

Klopt.
Het beste is om met VLANs te werken (IoT mag van mij bv onder geen beding met het internet contact maken), maar je zit met veel devices die een layer 2 protocol gebruiken om te syncen, en dat is miserie als je er onderdelen van in een andere vlan hebt steken (bv het interface toestel).

Zelfs in prosumer gebied ben ik al tegen die lamp gelopen. Gehoopt om een AP die een controller nodig had snel via een site-to-site VPN te configgen, bleek dat de AP en controller mekaar zochten op layer 2 (de AP had een IP, dus in theorie zou je dat zo kunnen programmeren dat de controller op IP gaat zoeken, maar niet dus).

[Sasuke]

Als je er niet genoeg van kent, dan heeft het geen zin om de netwerken te scheiden. Voor de kenners is 'part of the fun' juist het feit dat het niet direct werkt, omdat je door het troubleshooten meer te weten komt over hoe het in elkaar zit. Maar als het 'moet werken' zonder problemen en de WAF belangrijk is ... don't do it

Verder nog ... als je niet genoeg kennis hebt, is het Security aspect ook al geen argument meer Het zal ook niet secure zijn als het niet goed is opgezet ... ik kom genoeg (zelfs grote netwerken) tegen waar alles is gesegmenteerd, maar tussen de vlans er geen enkele restrictie is. Dat maakt het er niet veiliger op

[ITnetadmin]

Een klassiek probleem van (betaalbare) layer 3 switchen, is dat ze vaak enkel all-or-nothing zijn qua routen van bepaalde vlans naar mekaar.
Je kan bij zo'n opstelling dan ook best naar het router-on-a-stick principe gaan, waarbij je de router/firewall (bv pfsense) laat controleren welke IPs/protocols/... van welke VLANs naar welke andere VLANs toegelaten zijn.

Je moet er dan wel iets van kennen, *tenzij* je puur voor een geisoleerde vlan gaat voor IoT, waarbij er verder niks binnen of buiten moet qua data.
Dat is altijd een oplossing, maar dan moet je er ook voor zorgen dat alle controllers op die specifieke VLAN zitten.
Met alle beperkingen vandien.

PS: Persoonlijk zou ik dat routen in een professionele opstelling zelfs doen met een aparte interne router die de vlans route, en een tweede router/firewall die zich puur met het internet bezighoudt; in een prive opstelling kan je dat als hobbyist overwegen, maar 1 toestelletje zou meer dan genoeg moeten zijn om het te doen werken

[Dafke]

Niets van kennen is een groot woord, maar niet in depth genoeg als het niet werkt om correct te kunnen troubleshooten.

Ik ken de principes maar de “ervaring” in welk boxje extra aan te vinken, die ontbreekt.

Maar voor mij is het duidelijk en prima door iedereen verwoord: ik blijf er vanaf, want het gaat dus heel de cirque niet waard zijn

En effectief, zou hobby zijn, echter moet het wel werken, minstens zoals nu..

[boran_blok]

Ik heb hier ook een poging toe ondernomen, maar tegen mijn eigen limieten qua tijd aangelopen. Het voornaamste probleem dat ik heb is dat veel IoT devices zo dom gemaakt zijn dat je indien er iets fout gaat vaak niet veel meer uit krijgt dan "er werkt iets niet" begin dan maar opbasis van die informatie te debuggen. Dat houd dan vooral in dat er heel veel trial en error aan te pas komt, en daar kruipt veel tijd in.

[liegebeestig]

Ik heb een standaard gasten netwerk van op de unifi hotspots, alles achter dezelfde fritz box. Ik ken er ook te weinig van om verder in vlan te werken. Ik zorg wel dat bepaalde (oudere, niet geüpdatete) iot devices met de firewall van de fritzbox geen contact meer kunnen maken met het internet.

Enkel Sonos zou ik wel willen oplossen. Ik heb een luidspreker voor het gastenverblijf en idealiter kunnen de gasten vanop gastnetwerk daar naar streamen. Dat lijkt niet simpel. Er werd al eerder iets gezegd over sonos dus misschien kent iemand de oplossing?

[Dafke]

Nog een bedenking wat ik maak: ik hoor veel: IoT devices mogen geen verbinding met internet maken.

Wat dan met updates? Wat met eventueel rolluiken laten afgaan met zonsondergang enz..?

[liegebeestig]

Nog een bedenking wat ik maak: ik hoor veel: IoT devices mogen geen verbinding met internet maken.

Wat dan met updates? Wat met eventueel rolluiken laten afgaan met zonsondergang enz..?

Kan perfect als je ze lokaal stuurt via home assistant. Updates zijn niet meer nodig eens het werkt. En om veiligheidsproblemen te vermijden dus idd geen toegang geven tot internet.

[devilkin]

Updates zijn niet meer nodig eens het werkt.

Dat is een eigen keuze, maar niet alles is een pure bugfix. Ook nieuwe mogelijkheden worden via firmware updates gepushed.

[Tazmanian79]

Ik heb recent ook een IoT netwerk gemaakt. Heb nu 3 netwerken.
1. standaard voor de vertrouwde toestellen, hier loggen ook gasten op in maar deze krijgen een IP welke bv niet naar mijn nas kan
2. Eentje waar enkel de IP camera's opzitten
3. mijn IoT netwerk

Ik heb mondjesmaat mijn IoT devices overgezet naar het IoT netwerk. Moeten nog een paar volgen.
Mijn IoT netwerk kan wel verbinding maken met internet. Maar ze kunnen niet naar mijn andere netwerken, buiten dan Home Assistant bereiken.

Heb vooral een IoT opgezet omdat heel wat toestellen beter werken op enkel een 2g netwerk ipv gecombineerd 2g/5g.

[YordiDR]

Ik heb een standaard gasten netwerk van op de unifi hotspots, alles achter dezelfde fritz box. Ik ken er ook te weinig van om verder in vlan te werken. Ik zorg wel dat bepaalde (oudere, niet geüpdatete) iot devices met de firewall van de fritzbox geen contact meer kunnen maken met het internet.

Enkel Sonos zou ik wel willen oplossen. Ik heb een luidspreker voor het gastenverblijf en idealiter kunnen de gasten vanop gastnetwerk daar naar streamen. Dat lijkt niet simpel. Er werd al eerder iets gezegd over sonos dus misschien kent iemand de oplossing?

Voor sonos heb je multicast routing nodig zodat de speakers kunnen ontdekt worden. Wij hadden hetzelfde probleem op het werk. Nu kunnen company owned devices (vlan x) & BYOD (vlan y) aan de sonossen in IoT (vlan z).

Keywords om op te googlen: mDNS reflection, multicast routing

Sent from my BE2029 using Tapatalk