Het klinkt simpel, even een netwerkje bouwen… Maar ik weet niet hoe te beginnen…
Nu heb ik nog Ziggo, maar “straks” komt er 1Gb glas mijn huis binnen van Odido.
Ik heb een HP z420 workstation met 1Gbit onboard ethernet (Intel 82579LM iirc) en een (4x1Gbit) HP NC364T ethernet kaart.
De z420 zou ik als multi-machine in willen zetten, firewall, (owncloud?) NAS, DHCP, ubiquiti controller, IP-cam recorder, mqtt server voor wat sensoren, grafana, etc.
Ik heb verder in mijn huis nog twee switches, een Ubiquiti ES-16-150W en een US-8-60W. Die sluit ik beiden aan op een eigen poort van de HP NC364T, maar moeten wel 1 netwerk zijn binnen de Ubiquiti omgeving als dat mogelijk is. En doe ik de WAN kant ook via deze kaart of is het qua bandbreedte (of andere redenen) beter de onboard NIC te gebruiken?
Intern netwerk IPv4 indeling had ik als volgt bedacht: 10.i.vlan.device waarbij i 0 of 1 is (geen/wel internet toegang). Hierdoor kan ik aan het IP adres veel afleiden en is het toekennen van nieuwe adressen vrij makkelijk.
Maar welke software gebruik ik nu het beste op deze Linux workstation? (Draait nu Mint, want ik ben daar het meest bekend mee.) En hoe beheer ik het het beste zonder dat het steeds stuk is (door bijvoorbeeld updates)?
Wie kan me een duwtje in de goede richting geven? Zoeken op internet heb ik wel gedaan, maar er is zoveel info over wat ik niet nodig heb en er zijn zoveel mogelijkheden… Mijn hoofd kan de juiste info niet meer onderscheiden.
Ik zou heel eerlijk voor iets als OpenWRT gaan voor iets dat moet gaan firewallen en routen, het is behoorlijk flexibel en kan Dockercontainers e.d. draaien voor services, maar houdt wel het netwerkgedeelte ervan erg overzichtelijk. Draai het zelf al jaren naar tevredenheid.
Ik zou de WAN-kant aan de onboard-ethernet doen, scheelt je opzich een poort, houdt het geïsoleerd, en in verband met NAT en firewall-regels zal WAN-to-LAN traffic toch over de CPU moeten gaan.
Kwa VLANs, verwacht je zoveel (2x 256 = 512) nodig te hebben? Zelf heb ik er 4:
Trusted
Guest
IoT devices (geen internet-toegang)
Management (router-interfaces en server-BMCs)
Ik denk dat je niet heel veel VLANs nodig zult hebben, vooral met client isolation, maar ben benieuwd naar je plannen.
OpenWRT is overigens érg updatebaar in mijn ervaring als je het in squashfs-modus draait, ik heb een bijhoorlijk complexe setup maar Unattended Sysupgrade lijkt altijd goed te gaan.
Je zou ook kunnen kijken naar iets van Pfsense, maar omdat je meer op je systeem wil draaien heb je er wel een virtualisatie laagje tussen te duwen.
Ik zou overigens 1 LAN interface gebruiken, je kan er wel 2 (of meer) in een bridge zetten, maar dan gaat verkeer tussen die NIC’s over de CPU, dat hoeft overigens geen probleem te zijn.
Qua VLAN’s, kies was je zelf handig lijkt.
Ik heb er zelf 5
“productie” VLAN hier zit de meeste spullenboel, NAS, mijn WS’s etc.
Guest VLAN, deze kan niet met het productie VLAN communiceren
KIDS VLAN, deze heeft wat filters om de ergste ellende van het web tegen te houden en kan net zoals het guest VLAN niet met het productie VLAN communiceren.
IOT VLAN, hierin zitten bridges van Tado, Hue, homewizzard spul etc.
Cluster interconnect, ik heb een HA DNS resolving cluster op PI’s draaien, gewoon omdat het kan.
Voor alle VLAN’s (behalve 5) is er ook een WLAN SSID op mijn unifi spullenboel.
Overigens heb ik zelf een EdgeRouter 12 als router, die zat voorheen direct met een optic aan. de fiber van de ISP, maar nadat ik van ISP wisselde ben ik op XGSPON gezet en gebruik ik nu een losse “media converter”.
Als “server” heb ik een Synology NAS.
Vroeger had ik zowel mijn firewall/router op een PC draaien en mijn server ook op een PC, maar om energie te besparen is dat naar low power devices overgezet.
Ik gebruik daarnaast nog switches en een AP uit de unifi lijn van ubiquitti, de unifi controller draait op een VPS, die draait voor meerdere “sites”.
een edgerouter ER-X met openwrt erop als router voor ipv6 tunnel, dhcp, dns, adblock (via dns) en vpn-diensten (wireguard).
Dan de homeserver voor fileserver/webserver/alle andere dingen die je niet op een low-power routertje wil.
Indien je hulp nodig hebt… ik wil best even meekijken/meedenken, en heb ook nog wel een stapen ER-X routers liggen, pre-flashed met openwrt. De space zelf draait ook op een ER-X met Openwrt.
Hier gigabit glas. Heb een NUC staan met Proxmox erop, met daar op https://vyos.io. Configuratie gaat via CLI, is best fijn om mee te werken. GRE tunnel naar Amsterdam voor IPv6, Wireguard er op, etc etc. AP’s van Unifi, management software draait ook virtualized op de NUC.
OpenWRT op de workstation, kan wel zo te zien, maar moet dat dan in een VM? Want ik hou wel graag de GUI intact en de mogelijkheid om (makkelijk) andere dingen te doen op die bak. Ik ben sowieso niet zo van de CLI’s, daarbij verlies ik snel overzicht.
Maar misschien is het dus slim om de workstation niet voor firewall en routing te gebruiken, muv het beheer van de Ubiquiti switches e.d. en hiervoor bijvoorbeeld een Edgerouter te pakken? Zoiets als FooBar doet?
Aantal VLANs zal inderdaad beperkt blijven, maar per VLAN zal ik nooit meer dan 50 devices hebben, dus deze IPv4 opzet houdt het voor mij leesbaar. Of is er iets mis met deze gedachtengang?
Ik denk ongeveer zoals hieronder in te delen.
Met internet:
Guest (alleen op WiFi, geen NAS toegang)
Trusted (Workstation, PC’s en laptops, toegang tot alles)
Media (TV etc., beperkt toegang tot NAS op WS)
Other (Bambu A1 mini 3D printer, geen NAS toegang)
Zonder internet:
IoT (hoofdzakelijk mqtt)
PoE camera('s) (toegang tot recording software op WS)
Management?
Pfsense heb ik nog niet naar gekeken, maar is een virtualisatielaag niet meteen een stuk inefficienter?
En als ik 1 LAN interface gebruik, kan ik dan wel de modem (die ik het liefst buiten mijn 10.0.0.0/15 hou ivm duidelijkheid en minder kans op perongelijk stomme foutjes) via een poortje op de switch aansluiten? En als dat al gaat, wat ik betwijfel, en er slechts 1 poort op de WS met firewall aangesloten is, dan is er toch ook een bridge nodig en beperk ik me tot 500Mbit? Of bedoel je het anders?
VyOS, gaat dan al mijn routing via de cloud, waar ik geen grip op heb en zorgt dat weer voor extra abbo kosten? Want ik zou graag alles intern heel houden als het internet stuk is en wat intern is intern houden. En ik ben een hollander, dus probeer zuunig te zijn.
Ik heb alles van Unifi, een USG (wat ook m’n “modem” is, zit direct op het glaskastje), twee APs en wat kleine switches van ze. Werkt fijn, alles via een web interface of SSH als je wil.
Vyos is gewoon een open-source router, gebaseerd op Debian, wat je zelf kan runnen op je eigen hardware, etc etc. Ze verdienen hun geld aan de enterprise cloud zooi maar je kan gewoon zelf een rolling-release versie downloaden en dat in een VM duwen of ergens op installeren. Kost je niks verder. Maar voor niet geavanceerd thuis gebruik kan je beter gewoon OpenWRT gebruiken. Dan heb je ook gewoon een overzichtelijke GUI als een CLI niet gebouwd is voor je
zelf zou ik overwegen om er een hardware router voor te zetten, ook voor het overzicht…
bij mij thuis is dat een edgerouter x sfp…
verder zou ik eerder de switches onderling aan elkaar hagen dan via de ‘router’,
tenzij ze juist bedoelt zijn om netwerk te scheiden…
en zelf zou ik per vlan kiezen of dat internet (of andere toegang) heeft of niet
en dat evt al in het vlan nummer verwerken… (<1000 geen inet > 1000 wel ect)
Dank voor de verheldering over VyOS. Dat ze geld willen verdienen zag ik op de website, ik zag zo snel niet echt de self hosting mogelijkheden dus dat schrok af.
Een losse router klinkt wel zinnig idd. De reden dat ik de switches op de WS ieder een eigen poortje wilde geven is bandbreedte van en naar de WS. Een grote file overpompen naar de NAS via de ene switch beperkt dan in mindere mate de internet bandbreedte van de andere, dus ik dacht dat dat beter zou zijn. Maar als dat veel meer configuratie werk betekent dan hoeft dat voor mij niet zo heel erg.
Zoals de rest zegt kan ik ook OpenWRT aanbevelen. En om het makkelijk en overzichtelijk te houden zou ik netwerk- en server-functionaliteit uit elkaar houden.
Met netwerk-functionaliteit bedoel ik dingen als DHCP, DNS, vlans, firewall. OpenWRT doet dit out-of-the-box voor je. Server-functionaliteit is alle andere dingen.
Ik heb weinig ervaring met Uniquity-spul. Ik hoor er psitieve dingen over. Maar ik denk dat het overkill is voor wat je nodig hebt. Gigabit ethernet bestaat alweer 25 jaar, en Gigabit glasvezel internet voor huishoudens bestaat alweer meer dan 10 jaar. Steeds meer goedkope consumenten-routers kunnen probleemloos gigabit verkeer routen. Kies er eentje met OpenWRT support en je bent klaar.
tl;dr kies een router met OpenWRT support. Misschien heb je er al een die voldoet. Doe daar alle netwerk-dingen. Op je workstation/server draai je gewoon de distro die je al gewend bent, en daarop draai je alle server-dingen. Dat is verreweg het makkelijkst.
Vlans is niet echt een ‘service’ maar zijn handig op de router, switch en server
firewall wil je op de router doen (en daarnaast ook op de server maar dan gaat het minder om netwerk en meer om device)
DHCP is iets wat je waarschijnlijk in (bijna) alle vlans wil en zou ik daarom op de router doen (kan evt ook op de server)
DNS zou ik overwegen om (in een container) op de server te doen (vooral als je daar wil filteren)
(en evt op de router als je niet wil filteren)
Thanks allemaal! Ik heb nog wel een Gbit router liggen, hopelijk wordt daarop OpenWRT ondersteund. Straks als ik thuis ben ga ik even kijken en als het kan, wat dingen testen.
Mijn Gbit komt binnen in de standaard ExperiaBox 10. Van daaruit laat ik kabel lopen naar een linksys-switch met mijn werkstation en ‘desktopspullen’, en ook naar 3 superwifi-AP’s van KPN op belangrijke locaties.
Ik haal betrouwbaar >990 Mbit bij de snelheidstest op het werkstation en 260 Mbit bij wifi 5.
Mijn enige “speciale” ding is het statisch toewijzen van de meeste IP’s op het netwerk, zodat mijn huisautomatisering en apparaten betrouwbaarder zijn.
De vraag is waarvoor je wilt optimaliseren met de homebrew-kit? Een geldig antwoord is “leuk/educatief”
Ik heb thuis gewoon ‘het modem’ van t-mobile (nog geen glasvezel grrr) met daarachter een Unify PoE switch, 3 accesspoints van hun ook. Een Pi doet de ‘controller’ en een HP minipc doet diensten als MQTT, grafana, influxdb, etc. Voor mijn toekomstige glas ben ik niet echt van plan iets te verbeteren/veranderen, maar ik ga ook niet voor gigabit. 400mbit is meer dan genoeg voor mij.
Ik heb thuis een TP-Link Archer C2 gevonden (v1.1) die blijkbaar OpenWRT ondersteunt! Nu nog proberen om de image te maken en te flashen. Daarna de rest een voor een configureren en de modem in bridge laten zetten.
