Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  15 7278
Ja, nå har jeg ett spørsmål angående VLAN. Er ganske ny på dette. Kjører jo dette ut til AP'ene jeg har. Men hvis en f.eks har en utleieleilighet hvor en setter opp ett AP og ønsker at dette skal deles på, noe som er mest gunstig for dekningens skyld. Da er det jo hovednettet mitt som går untagged og leieboers tagged. I og med at det blir mitt nettverk som er untagged, hva skjer da hvis leieboer plutselig finner ut av seg selv at h*n skal sette opp en switch eller forsåvidt bruker kabelen rett i sin egen maskin?

Da har jeg tenkt slik at da vil h*n havne på mitt nett, om dette er rett eller ei vet jeg ikke, men det er noe som virker logisk. Da er det kanskje en bedre ide å strekke en nettverkskabel til utleieleiligheten i tillegg (leieboers untagged)

Ut i fra tankegangen min har jeg forstått VLAN noenlunde rett?
Dersom du har et untagged nettverk og leietaker kobler fra utstyret ditt og kobler sitt til, så vil han automatisk havne på ditt utaggede VLAN ja. Det er slik untagged fungerer

Måten å løse dette på er å ha et default nett/untagged nett, som ikke fungerer til noe. Og så tagger du ditt og leietakers nett. Da må vedkommende i andre ende kjenne til hvilken VLAN tag du har for å få tilgang til ditt nett.

Men husk, VLAN er i seg selv ikke en sikkerhetsløsning, men mer en administrativ løsning
Trådstarter
Da er det bedre i mine øyne, hvis en skal dele nett, at leietaker får eget uttak slik at h*n får mulighet til kablet tilkobling, samt god wifi dekning ellers selv om AP ikke er plassert i utleieleiligheten. Var egentlig det jeg tenkte

Nei, tenker ikke at det er en sikkerhetsløsning, men som du sier en administrativ løsning
Sist endret av Jens1; 28. juli 2019 kl. 23:52.
Trigonoceps occipita
vidarlo's Avatar
Donor
VLAN er ikkje ein sikkerhetsmekanisme, uansett korleis du snur og vender på det. Det er ein mekanisme for å transportere distinkte nett over samme kabel.

At det er tagga vil gjere at det tar sju sekunder meir å få tilgang. Skal du ha sikkerhet er svaret 802.11X, og kjent som radius-autentisering, eller ei eller anna form for VPN.
Trådstarter
Som sagt så tenker jeg ikke sikkerhet angående VLAN spørsmålet. Litt kjedelig hvis vi sitter der og ser på BarneTv en lørdagskveld på chromecasten, så caster leieboer feil og opp på skjermen våres kommer det den heftig pornofilmen
Men da tenker du jo sikkerhet?

Sikkerhet er jo et bredt tema, og handler ikke bare om at uvedkommende ikke kan hente ut kontonummeret ditt ut i fra kommunikasjonen når du er i nettbanken.
Trådstarter
Sitat av nomore Vis innlegg
Men da tenker du jo sikkerhet?

Sikkerhet er jo et bredt tema, og handler ikke bare om at uvedkommende ikke kan hente ut kontonummeret ditt ut i fra kommunikasjonen når du er i nettbanken.
Vis hele sitatet...
Joa, ja, jo Men litt av poenget var hvordan det er noenlunde gunstig/praktisk å dele opp ett hjemmenettverk, samtidig som at leieboer blir fornøyd, uten å måtte tenke Fort Knox sikkerhet For da må jeg innrømme, fort som fy, at utstyret (eller "lommeboken") jeg har ikke vil dekke disse kravene. Men jo mer sikkerhet jo bedre er det jo selvfølgelig.

Sitat av vidarlo Vis innlegg
VLAN er ikkje ein sikkerhetsmekanisme, uansett korleis du snur og vender på det. Det er ein mekanisme for å transportere distinkte nett over samme kabel.

At det er tagga vil gjere at det tar sju sekunder meir å få tilgang. Skal du ha sikkerhet er svaret 802.11X, og kjent som radius-autentisering, eller ei eller anna form for VPN.
Vis hele sitatet...
Har ikke 802.11X, men har 802.1X control, vet ikke om det er helt det samme, men dette er jo noe det er mulig å lese litt på. Dette er vel noe som krever en server etter hva jeg har forstått?
Sist endret av Jens1; 29. juli 2019 kl. 14:42. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
Sitat av nomore Vis innlegg
Dersom du har et untagged nettverk og leietaker kobler fra utstyret ditt og kobler sitt til, så vil han automatisk havne på ditt utaggede VLAN ja. Det er slik untagged fungerer

Måten å løse dette på er å ha et default nett/untagged nett, som ikke fungerer til noe. Og så tagger du ditt og leietakers nett. Da må vedkommende i andre ende kjenne til hvilken VLAN tag du har for å få tilgang til ditt nett.
Vis hele sitatet...
Har tenkt litt her nå og har ett oppfølgingsspørsmål

Det untagged nettet må jo bli brukt til AP'er og switcher i alle fall? Men hvis jeg setter opp en brannmur regel der hvor alt blokkeres, og kun aksepterer MAC adresser som settes opp? Det vil vel fungere?
Nei det vil ikke det

Men, dersom du faktisk skal bruke VLAN slik VLAN er tiltenkt, så må du og skaffe deg utstyr og forståelse for hvordan VLAN fungerer. Gjør du ikke det vil VLAN kunne skape en del misforståelser og ekstraarbeid for deg. Og ha i bakhodet at VLAN fortsatt ikke gir sikkerhet, selv om du prøver å koble det sammen med en brannmur(noe som ikke vil gå).

MAC adresser fungerer på lag 2 i noe som heter OSI modellen. Brannmurer fungerer på lag 3 og lag 4. På lag 2 har du MAC, på lag 3 har du IP adresser. Så brannmurer vil på et generelt grunnlag ikke ha noen form for kjennskap til MAC adresser, kun IP adresser. Så du kan ikke blokkere MAC adresser i en brannmur.

Det du bør se på er å skaffe deg en brannmur med forskjellige interfaces/nettverkskort, hvor du da fysisk skiller trafikken mellom deg, leieboer og internett. I brannmuren vil du da lage regler som forhindrer trafikk mellom deg og leieboer, og leieboer og deg, men tillater trafikk fra deg mot internett og fra leieboer mot internett.

Dette er noe de fleste litt oppegående brannmurer kan gjøre, men du er da nødt til å investere i noe litt bedre enn Jensen/Netgear fra Elkjøp og lignende. Dette trenger ikke være dyrt. Kan godt være en gammel PC du har stående som du monterer flere nettverkskort i og installerer en gratis brannmur fra internett på.

Du kan da fortsette videre med å bruke VLAN som en administrativ løsning, gitt at du da aksepterer at det svekker sikkerheten noe. Men som du sier, det er jo ikke noen fort knox løsning du er ute etter
Trodde jeg hadde noenlunde utstyr jeg, vet det skorter på kunnskapen og den skal jeg fint ta på meg Jeg vet i alle fall at jeg har klart å sette opp sperrer basert på MAC adresser og forhindret nett tilgang slik men det ble tungvindt og gikk deretter over til å ta det tidsbasert på ett VLAN i stedet. Ja, så kanskje de brukte ip adressen i stedet for MAC adressen, dette er noe jeg ikke kan svare på, men fikk nå til den tiltenkte funksjonen.

Har satt ett default nett nå og to VLAN. På VLAN'ene har jeg satt det opp slik at de skal droppe 192.168.0.0/16, 172.16.0.0/12 og 10.0.0.0/8 (rfc1918 ranges) på den gjeldene VLAN_IN. Men så kom jeg til å tenke på hvis noen plugget ut nettverkskabelen og koblet den til noe annet...

Nei, jeg er ingen nettverksekspert, det kan jeg overlate til andre, men jeg kan lære litt av gangen Men det du sier er at jeg ikke kan blokkere basert på MAC adresser? Da begynner det å bli mer gunstig å kjøre eget LAN til en utleieleilighet kanskje? <--noe jeg har tenkt har vært en fordel fra tidligere, men da får en jo ikke delt AP

Routereren jeg har er forresten en Edgerouter

Nei, da blir det slik som i førsteposten. Untagger leieboers VLAN og kun det går kablet til utleiedelen. Så opprettes egen ssid på AP'ene (som da ikke står plassert i utleiedelen) som skal deles med utleiedelen og untagger VLAN'et der. Dette høres greit ut i mine ører
Sist endret av Jens1; 4. august 2019 kl. 14:14. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
Det stemmer at en del hjemmeroutere(om ikke alle) har funksjon for å blokkere tilgang til nettverket basert på MAC, men skjer da på lag 2 i OSI modellen. Dvs det er ikke en del av brannmuren(som fungerer på lag 3).

Du kan blokkere trafikk på basert på MAC-adresse, men du kan ikke filtrere på MAC adresse. I praksis betyr dette at du kan si at enheten med MAC adresse X får tilgang til å sende trafikk, mens enheten med MAC adresse Y ikke får det. Dette er blokkering. Men du kan ikke filtrere, dvs si at MAC adresse Y skal få tilgang til alt bortsett fra vg.no eller port 25, mens MAC adresse X får kun lov til å sende trafikk på port 25. Dette er filtrering.

Dersom du har en EdgeRouter så har den sannsynligvis flere fysiske interfaces? Den minste har vel 4 om jeg husker rett. Da bruker du eth0 til WAN/internett, eth1 til LAN/deg, og eth2 til LAN/leietaker. Da kan du fysisk adskille trafikken og filtrere etter behov.

Men, så er det dette med accesspunkt da. Hvilken type har du, hvor mange av de har du og hvor mange trådløse nettverk(SSID'er) har du tenkt å ha?
Jeg har Unifi ac pro. Har 4 stykker. Hvor mange trådløse nettverk er jeg litt usikker på, men har vel i dag 7. 4 av de er ett pr AP av praktiske årsaker. Da blir det kanskje 8 totalt da, kanskje 9 hvis leieboer vil ha gjestenett. Tenkte da at 2 av AP'ene skulle deles med utleiedelen. Men hvis jeg bruker eth2 til utleiedelen og jeg har tenkt til å bruke AP'ene jeg allerede har til utleiedelen så støter jeg på ett problem.

Ja, har Edgerouter 6, eth5 til wan, eth3 til iptv, eth1 LAN/meg/unger/gjester og har opprettet LAN på eth2 også, som ikke brukes til noe foreløbig.
Av praktiske hensyn, hvorfor har du fire SSID'er på fire AP'er, og i tillegg tre utenom?
Sitat av nomore Vis innlegg
Av praktiske hensyn, hvorfor har du fire SSID'er på fire AP'er, og i tillegg tre utenom?
Vis hele sitatet...
Fordi noen ganger så velger blant annet laptopen over til ett annet AP som er lenger unna, med dårligere signal. Så har en del som står fast på forskjellige steder som kjører trådløst så da foretrekker jeg at disse er på det nærmeste AP'et. Tre utenom, fordi hovednettet som jeg og fruen bruker ikke er tidsbasert slik som ungene sitt er, ja, så er det ett til gjester. Og gjestenettverket har jeg valgt å kjøre på 2.4ghz for å forhindre at de bruker hele båndbredden (500/500).
▼ ... noen uker senere ... ▼
Trådstarter
Sitat av nomore Vis innlegg
Måten å løse dette på er å ha et default nett/untagged nett, som ikke fungerer til noe. Og så tagger du ditt og leietakers nett. Da må vedkommende i andre ende kjenne til hvilken VLAN tag du har for å få tilgang til ditt nett.
Vis hele sitatet...
Ja, forsøkte dette og fikk det til. Jo mer jeg studerte dette jo mer enig ble jeg at det er like så greit å kjøre eget LAN til utleiedelen. Først og fremst er fordi det er like så greit å gjøre det så enkelt som mulig. Kabel dit, eget AP på eget LAN. Ingen PoE og ingen VLAN. Set&forget Blir vel ikke enklere enn det..
Jeg skjønner ikke helt hvorfor dere skal tagge det på klientsiden. Det holder at du tagger nettene på routeren din. Resten ordner du med routing, det vil si, du sørger for at det ikke er en rute mellom disse to nettene. Hvis du bruker edgerouter som router og switch vil du uansett ikke bridge nettverkene, da det gir helt ubrukelig ytelse.

Da vil du ha full kontroll over nettverket til leietakeren din, og det er ingenting de kan gjøre for å få tilgang til ditt nettverk. Med mindre du gir dem tilgang til administrasjonsgrensesnittet eller noe annet absurd.

Det har vært mye snakk om OSI-modellen i tråden. Jeg tror det kan være lurt å sette seg inn i hva VLAN og routing faktisk er. Det er ingen magi.