Help met IPSEC site-to-site VPN en VLAN-planning?

jb510 · June 14, 2025, 5:50pm

Ik heb twee locaties. Beide hebben een UDM als gateway. Beide UDM’s gebruiken momenteel 192.168.1.0/24. Elk heeft zo’n 50 clients. Ongeveer 30 daarvan zijn IoT-achtige dingen (lichtschakelaars). Elk netwerk heeft ook een paar apparaten waar ik op afstand toegang toe wil krijgen (server, printer, etc).

Eén locatie heeft 4 SSID’s. Eén daarvan is een niet-vertrouwde gastennetwerk. Momenteel zijn er geen VLANs ingesteld.

Ik kan momenteel die apparaten via CloudFlare ZeroTrust en port forwarding benaderen, maar wil meer directe toegang voor niet-HTTP dingen. Vooral zou ik graag stations (SMB) willen mounten.

Ik heb nog nooit echt met subnets en VLANs gespeeld.

Heb ik gelijk dat ik de één moet veranderen in een ander subnet, zoals 192.168.10.0/24 (ervan uitgaande dat dat klopt volgens wat ik heb gelezen)?

Zou het logisch zijn om tegelijk VLANs voor IoT-dingen in elke locatie op te zetten? Zou elk daarvan zijn eigen subnet zijn, zoals LOCATION-A-IOT 192.168.2.0/24 en LOCATION-B-IOT 192.168.11.0/24?

Is het ook zinvol om elke SSID in een VLAN te plaatsen? LOCATION-B 192.168.10.0/24, LOCATION-B-GARAGE 192.168.13.0/24, LOCATION-B-KANTOOR 192.168.14.0/24, LOCATION-B-GAST 192.168.15.0/24?

Zou het beter zijn om gasten op 10.0.0.0/24 te zetten?

Ik weet niet goed hoe ik dit moet doen en er toch voor te zorgen dat ik controle heb over al mijn IoT-apparaten en toegang heb tot de dingen die ik wil, terwijl mensen op het GAST-netwerk dat niet kunnen. Advies?

Het is veel, alvast bedankt aan iedereen die probeert te helpen/uitleg te geven. Ik denk dat ik bijna begrijp hoe alles werkt.

WilliamNearToronto · June 14, 2025, 5:50pm

Sorry voor de lengte, maar ik had zin om te delen en ik wacht op sommige ISO’s om te downloaden…

Je kunt hetzelfde subnet op beide uiteinden niet gebruiken. Dus ja, je moet er één veranderen van 192.168.1.0/24 naar iets anders.

Persoonlijk gebruik ik nooit 192.168.0.0/24 of 192.168.1.0/24 omdat dat de meest voorkomende defaults zijn en ik geen problemen wil krijgen in de toekomst.

Ik begin met 192.168.5.0/24 voor het standaardnetwerk. Ik gebruik ‘5’ omdat ik een ZEER slecht geheugen heb en op elke hand vijf vingers heb… Serieus, dat was zo willekeurig.

Mijn router staat op 192.168.5.1.

Ik laat een gap en begin de rest van mijn netwerkapparatuur op 192.168.5.10… omdat ik twee handen heb en 2x5 = 10. Zoals gezegd, het is willekeurig, maar ik kan die nummers onthouden, dus werkt het voor mij. Gebruik wat voor jou werkt.

Ik vind het fijn om een IP-adres toe te wijzen aan alles op mijn netwerk, als dat mogelijk is. Ik ben een beetje paranoïde over het toestaan dat iets op mijn netwerk komt dat er niet hoort.

Zo segregeer ik IP-adressen per apparaat type:

Server: x.x.x.20 tot x.x.x.39

Laptops en desktops: x.x.x.40 tot x.x.x.99

Phones, IoT: x.x.x.100 tot x.x.x.199

Gastnetwerk: x.x.x.200 tot x.x.x.250

(Dit is ook volledig optioneel)

VLANs
————

Ik geef de VLAN voor elke categorie het nummer dat overeenkomt met het begin van het IP-bereik dat ik toewijs.

Server VLAN is VLAN 20.

Laptop en desktop VLAN is VLAN 40.

Phone en IoT VLAN is VLAN 100.

En gast VLAN is VLAN 200.

Dus als ik een apparaat zie met het adres 192.168.20.25, weet ik dat het een server is. Maar als ik 192.168.20.200 zie, weet ik dat er iets mis is omdat dat een gastapparaat op het servernetwerk aangeeft.

De SSID’s moeten elk in hun eigen VLAN zitten. Anders heeft het geen zin om meerdere SSID’s te hebben. Dus ik vraag me af waarom je vier SSID’s hebt.

En tenzij in ongebruikelijke omstandigheden, zullen alle VLANs naar elke access point gaan. De uitzondering zou zijn als je een VLAN hebt die je niet op wifi wilt hebben, zoals mijn server VLAN.

Een kanttekening:

Segregeer niet dingen die met elkaar moeten praten in aparte VLANs. Dan moet je firewallregels schrijven zodat de data gerouteerd kan worden tussen de verschillende VLANs. Dat betekent dat alle data van de switch via de router moet gaan en weer terug terwijl dat niet nodig zou moeten zijn.

Een veelvoorkomend voorbeeld is NAS op een eigen VLAN te zetten en laptops/desktops die het benaderen op hun eigen netwerk, zodat al het verkeer daartussen via de router moet.

Een oplossing is het webinterface van de NAS op een aparte beveiligde VLAN te zetten zodat het veilig is. En data via een andere interface te laten reizen op de VLAN waar de desktops en laptops op zitten.

In mijn geval is de webconfiguratie van mijn TrueNAS server 192.168.20.20. En de interface die data serveert aan de laptops en desktops zit op een andere VLAN op 192.168.100.20. Verschillende VLANs, maar ik kan die IP’s gemakkelijk herkennen omdat het laatste octet hetzelfde is.

Drie van mijn servers hebben een externe beheersinterface. IPMI genoemd, maar elke merk heeft zijn eigen naam ervoor. Ik heb die niet eens fysiek verbonden, ze zitten op een aparte switch die nergens anders op is aangesloten, zodat niemand er bij kan.

Meer dan je ooit wilde weten, maar misschien helpt het je.