Hi allen, met blijde verwachting van de glasvezeloplevering wil ik ook graag mijn thuisnetwerk “optimaal” inrichten. Wie heeft er tips, aanvullingen en verbeteringen? Ik ben geen netwerk expert maar wil er wel tijd in steken om het goed te laten werken.
De inhoud van mijn thuisnetwerk en wat ik er graag mee wil:
Een Synology NAS die ik graag, via internet/mijn eigen IP Adres zou willen benaderen voor Drive (mijn eigen cloudje). De NAS zou in de nieuwe setup onbereikbaar moeten zijn voor andere IoT apparaten
Een Home Assistant draaiend op een Lenove thin client als VM via Proxmox die ik ook graag via internet willen beanderen
Een TV waarop ik films van de Synology afspeel
Allerhande IoT apparaten die via z-wave of wifi met de Home Assistant zijn verbonden
Op dit moment heb ik een Fritzbox 7590, twee Fritz 3000 repeaters (met 2 LAN toegangen) en 1 Fritz 2400 repeater met 1 Lan toegang.
In het plaatje hieronder heb ik een opzetje gemaakt. Hierbij heb ik poort 4 van de Fritzbox gescheiden. Het scheiden doe ik vanwege de wijsheid om je IoT/HA te scheiden van je prive netwerk maar het levert nogal wat gedoe op omdat ik dan een apart wifi netwerk moet opzetten om ook wifi verbonden apparaten (Airco, Omvormer) in dat netwerk moet opnemen.
maak ik het niet al te ingewikkeld? Het meest privacy risicovol is de NAS met prive gegevens maar wellicht kan ik dat door iets anders afschermen (firewall?)
Ik vraag me af of het handig is de repeaters direct aan LAN4 te hangen?
Iets simpels er voor zoals een 4040 lijkt me logisch.
Er is hiervoor een opvolger op komst, de 4050.
Dank je, dat is inderdaad handiger dan de repeaters. Maar qua set-up maak ik nog steeds 2 aparte wifi netwerken, waarvan ik me afvraag of dat echt nodig is.
De gast lan en gast wifi zijn gelijk.
In de beta software zijn ze bezig om gasten beter te beheren.
Dan kun je ze een profiel toewijzen.
Dus gasten standaard, weinig rechten geven.
En dan uitzondering maken voor een paar.
Dan kunnen gasten en IOT op dezelfde wifi.
En als je nog wensen hebt. Beta versie er op en testen.
Stuur de verbetering tip naar AVM.
Ze zijn er nu mee bezig.
Ok! Dat is goed nieuws want ik had van de helpdesk begrepen dat Lan4/Gast Lan en gast wifi aparte netwerken waren. Dat maakt het allemaal een stuk eenvoudiger
Alle LAN’s zijn bedraad beschikbaar (Switches zijn voor de eenvoud weg gelaten) met een 3tal distributie switches + een 4 tal eindpunt switches. (bij TV, werkplek, meterkast, zolder).
2 AP’s bedraad
via een OMADA controller
stelt WifiLAN, WifiGAST beschikbaar.
(af en toe voor beheer tijdelijk Wifi-IoT)
Raspberry-Pi: IoT LAN
P1 koppeling naar SmartMeter. client voor DSMRDB
Zigbee2mqtt naar Home assistant
Z-Wave client naar Home assistant
Aqara M2 Hub (IR bediening enkele aparaten)
(na instellen geen internet meer) IoT LAN
AMINO (TVLAN)
Omvormer Zonnepanelen (IoT)
koppeling met uitsluiten HomeAssistant
Pi-Hole voor DNS vanuit LAN’s Met verschillende filters voor de verschillende LAN’s
DMSDB server (IOT)
MySQL server
Nextcloud instanties (div)
HomeAssistant - server in IoT lan, enkele malen per jaar tijdelijk internet voor updates.
PMG (Mail Gateway)
PBS (backup server)
Mailserver
OnlyOffice server
Docker Host
Gitea,
Ansible Semaphore,
Portainer
HA Proxy (DMZ)
DShield Honeypot (DMZ)
(web servers voor test door andere Freedom gebruiker) in DMZ
OpenVMS 9.2 Node.
WiFILAN, CoreLAN en RemoteLAN zijn op de firewall gekoppeld in een Zone en hebben 3 verschillende IP ranges
WifiGast, RemoteGAST, GAST LAN zijn op vergelijkbare manier gekoppeld.
Er is nog een “DMZ” met een aparte koppeling in de Firewall voor een reverse proxy die doorstuurt naar de verschillende servers.
IoT LAN = Geen internet. (ook niet een beetje)
(CORE)LAN apparaten kunnen naar IoT
GAST heeft internet toegang + mailserver + Homeassistant + Nextcloud instanties
DMZ extra IP’s (alle 8 bruikbaar) kunnen naar een aparaat hier gemapt worden.
TV Lan multicast enabled
Storage LAN heeft alleen Proxmoxcluster en SAN functie
Op de Router zijn alle LAN’s beschikbaar, in Proxmox zijn alle LAN’s beschikbaar.
Op de AP’s zijn beperkt LAN’s beschikbaar.
Via Wireguard VPN (Firewall is server) heeft een telefoon, tablet oid toegang tot hetzij het CoreLAN of GASTLAN.
(2 tunnels), Hierdoor zijn HA etc. bereikbaar vanaf een telefoon.
Telefoons en Tablets zijn voornamelijk GrapheneOS systemen, de meeste zonder Google Play store/GSF.
Dank je Noci voor de inspiratie, dat gaat ver boven mijn pet maar het biedt mooie perspectieven voor de toekomst. Nu scheidt ik gast/core via lan poort 4/gast wifi maar dat zou je ook veel meer via de firewall kunnen doen vermoed ik. Van dat laatste heb ik echt nog te weinig kaas gegeten dus daar moet ik later eens induiken. Ik gebruik nu Zerotier voor toegang tot HA wat ook weer een (soort) VPN is, Ik ben er nog onvoldoende in thuis maar wat zijn de mogelijkheden nu ik een statisch IP adres heb?
Wellicht ten overvloedde, met die contoller kun je ook vlans op je wifi maken, zelf per 2G4 en 5G apart.
Zo hou ik de wifi van mijn gasten en prive apart en kunnen de gasten niet bi mijn interne netwerk komen.
De Wifi van de router heb ik uitgeschakeld, ik gebruik alleen mijn (bedrade) accespoints.
Ik heb het 4 over het over alle verdiepingen en het mooie ervan is dat het automatisch hands-over naar het sterkste station doet zonder dat je bereik eerst slecht moet worden.
Er zijn hier dan ook gescheiden VLAN’s beschikbaar via Wifi
Gasten kunnen vrij en ongefiltered naar het internet, maar kunnen ook naar de mail server voor lezen van mail.
Vanuit het internet is alleen poort 25 beschikbaar voor mail aflevering.
Vanuit intern WLAN is alleen gefilterd internet beschikbaar… geen google* sites, geen meta* sites, geen advertentie spul etc. etc.
Deels met firewall regels rest via pi-hole.
Alle mobiele apparatuur kan via Wireguard tunnel naar een van beide LAN’s.
Vanuit WLAN / Core netwerk kan de HA op IoT benaderd worden. (+ GAST voor uitsluitend de web frontend van HA).
Ik gebruik een eigenbouw firewall… zonder Fritzbox.
Een OpnSense of PfSense of een dergelijke serieuze firewall kan dat ook.
Fritzbox moet je meer zien als een Home Access appliance… (Router, Voip, videolan, simpel gast lan).
Alleen redelijk voorgekauwd.
Nabucasa is een cloud oplossing waarbij je eerst HA op het internet publiceert (aan een jouw verder onbekende organisatie).
waarna je er “makkelijk” bij kan… voor elk apparaat een eigen oplossing, hue, aqara etc.
Veel beter is alles binnenshuis houden, en een prive tunnel van je telefoon naar de huis installatie (wireguard).
Dat werkt in een keer voor alles in huis.
Via wireguard de telefoon DNS naar pi-hole… en daar heb je gelijk 15-20% meer standby batterij lifetime gewonnen.
en alle verkeer via de firewall gefiltered. (idd. al mijn telefoon IP verkeer loopt over de huis firewall).
Alleen een koppeling naar je HA is wat nodig is … je hebt niets qua hue of aqara nodig.
Ik denk dat je het eerder als een soort proxy kan zien.
Verder gebruik ik al jaren HA via een OpenVPN en later een Wireguard tunnel, maar vond het erg vervelend worden aangezien het batterij verbruik erg omhoog ging daardoor.
Daardoor heb ik gekozen voor deze oplossing waardoor ik alleen voor een enkele keer nog de wireguard tunnel gebruik.
