VLAN para domotica me lleva por la amargura's street

MrJunior hoy a las 00:09 ✎

⋮

Hola amigos, aquí un newbie que quería consultaros porque me estoy volviendo loco con esto. El tema es que quiero tener dos redes en casa: una red de confianza donde tener los ordenadores, la nas, los móviles y demás periféricos, y otra red para trastear con la domótica con Home Assistant.

El tema es que he leído por ahí que no es muy buena idea empezar a meter en tu wifi mil cacharros de dudosa procedencia que se conectan a tu red, ven tus dispositivos y cualquiera sabe que información recopilan, así que he pensado separar en dos VLAN.

Sin tener mucha idea he pillado un switch pequeñito de 8 puertos gestionable (D-Link DGS-1100-08V2). Pensé que seria algo mas sencillo (que quizás lo es) pero me estoy rompiendo la cabeza. He buscado en YouTube y demás recursos, pero no doy con algo que lo explique bien. Ya para colmo he metido en la ecuación a chatGTP y me tiene loco probando cosas que al final no funcionan y dándome esperanzas al final de cada frase como si fuese un coach motivacional.

Lo que quiero no se si es básico o avanzado pero básicamente es: Tengo el router de Movistar, y para no trastear por dentro que vendrá capado a muerte, pues le he conectado el switch gestionable de D-Link para intentar hacer ahí dos VLAN: una red nueva que ve la mía de siempre, y otra para domótica que tenga acceso solo a internet pero no que vea mi red. Así todos esos cacharros pueden conectarse con las webs de sus fabricantes, pero no están dentro de la mía.

He hecho un esquema de como me gustaría que fuese, con la parte amarilla como red no segura para probar cacharros, y la parte verde donde están los dispositivos de más confianza.

MAP RED — La imagen se ve cortada pero al hacer click se completa con todos los cacharros

Total, que no se si con esos elementos se puede hacer algo así, o si hacen falta más switches, o más routers o un alternador nuclear.

¿Tiene sentido esto?

¡Gracias por vuestra ayuda!

davidsm90 hoy a las 00:19 ✎

⋮

Quiero hacer algo como dices y de momento tengo un router glinet bastante viejo con OpenWrt que conecto todos los dispositivos wifi donoticos a ese router y este router al HGU. Con esto consigo dos redes en casa totalmente independiente, y ambas redes en diferentes rangos.

En cuando a home assitent como mi NAS tiene 4 tomas ethernet conecto una boca a la red estándar y otra al router glinet.

En cuanto home assitent tengo todo sin hacer pero si conectado, también quiero poner un USB 4G al router glinet como backup

✖

MrJunior hoy a las 13:59

⋮

Gracias!

P B Fierro hoy a las 00:25

⋮

Igual se puede aislar la red wifi desde el router activando ap isolation (si el router dispone de esa opción)

Activas el ap isolation en la red wifi que usas para que se conecte la domótica y tienes una solución más sencilla…

Corregidme si lo que indico es incorrecto.

✖

legible hoy a las 09:41

⋮

O plantar las bombillas en la red de invitados, y a volar.

✖

MrJunior hoy a las 13:57

⋮

Gracias lo pensé, pero es que no llega al salon la cobertura de esa red de invitados con el puto extensor de Movistar

✖

Zanorio hoy a las 14:16

⋮

Es cierto, me parece una cagada muy grande por parte de Movistar que ocurra eso, y repetir esa red con un repetidor ?

✖

MrJunior hoy a las 14:21

⋮

apocalypse hoy a las 03:06 ✎

⋮

La respuesta corta es que no, si pones VLAN diferentes al AP detrás del Switch, no tendrán acceso a internet porque no estarán en la misma VLAN (o sin ella) que el puerto Ethernet que une con el HGU. Para poder hacer eso, necesitas un router de verdad, que te permita tener varia subredes en VLANs diferentes. No es suficiente con un switch gestionable L2.

✖

MrJunior hoy a las 14:00

⋮

gracias, lo estoy viendo mas claro ahora

legible hoy a las 09:42

⋮

"he metido en la ecuación a chatGTP y me tiene loco probando cosas que al final no funcionan"

Normal que te pase esto. ChatGPT y semejantes lo único que hace es juntar palabras que parece que suenan bien, pero no necesariamente dice la verdad, porque no sabe lo que es la verdad.

✖

MrJunior hoy a las 14:01

⋮

totalmente de acuerdo, 3 horas me pasé dando vueltas en circulo a los mismo

Idinajui hoy a las 10:24 ✎

⋮

¡Enhorabuena! Has solucionado la capa de nivel 2 aislando dos redes.

Pero te falta la capa de nivel 3. ¡Te has olvidado de TCP/IP!

En la nueva red necesitas un servidor DHCP que de direcciones en una subred diferente de las de la red local principal, un router que enrute entre ambas redes y establecer rutas para que todo el mundo sepa cómo llegar desde una red hasta la otra. Opcionalmente tb deberás filtrar el tráfico entre ambas redes internas, pero permitiendo a cada red interna conectividad con el mundo exterior.

Esto se puede hacer de muchas formas. Pero la más sencilla con los cacharros de los que dispones es desde el HGU, que es un router muy majete.

Todo desde opciones avanzadas

Te creas dos interface groups, el default que ya tienes al que deberás quitar el puerto de la nueva red y uno nuevo con el puerto de la nueva red . Así tienes dos redes ethernet sin conexión, pero no tienes tags VLAN, que solo te harían falta si quieres tener las dos redes en tu switch gestionado y decidir que puerto pertenece a cada una. Pero no lo compliquemos.

Eliges una nueva red TCP/IP, por ejemplo 192.168.254.0/24 y Defines el nuevo servidor DHCP en el nuevo interface group con los parámetros necesarios para esa red.

Defines la ruta hacia la nueva red por el nuevo interface. En mi HGU en br/0 tiene todas las redes privadas, así que deberás modificar tb el br/0 para eliminar la nueva red que has definido.

En ipfiltering defines los filtros. Te vas a divertir. Prueba primero sin filtrar nada. Y cuando lo demás funcione te metes con los filtros.

Te haces una copia de seguridad para cuando actualizan el router puedas rehacer la configuración.

Como puedes ver, con la configuracion que te propongo, el switch gestionado no necesita VLANs para nada. Solo serviría si quieres usar diferentes puertos de ese switch para cada una de las redes, que tendrías que configurarlo en el HGU y en el witch. Así que elimina toda la config del mismo y déjalo plano, plano.

Por supuesto, quedas condenado a usar la configuración avanzada del HGU para cualquier cosa que quieras. Cualquier cambio que hagas desde la configuración básica va a joder el invento.

Ah, enchufa el homeassistant a la nueva red, no a la default. Si no en las reglas de firewall tendrás que denegar todo tráfico entre las dos redes menos el que va al ha.

✖

MrJunior hoy a las 14:04

⋮

gracias @Idinajui! Miro bien todo lo que me has dicho y te cuento!

apocalypse hace 1 hora y 25 minutos

⋮

Cirerto, no recordaba que el HGU permitía crear subredes. Pero si no usa VLAN, tampoco necesita el switch gestionable según el esquema. Que cree el nuevo grupo con dos puertos en el HGU y en uno conecte el AP y en el otro HA. Lo suyo es que deniegue todo el tráfico entre ambas subredes, y solo permita el acceso al puerto del dashboard de HA.

vgvvictor hoy a las 14:07

⋮

Estoy peleándome con un caso muy muy similar con Ubiquiti Unifi, la verdad es que lo he dejado por imposible pero siempre tengo la esperanza de retomarlo.

Tengo varios AP, un router Gateway Ubiquiti USG y un switch Netgear gestionable (pero sin ninguna configuración).

Creé dos redes wifi, una para los equipos "seguros" y otro para los IoT. Con la idea de aislar las redes. El problema viene cuando intento crear una VLAN separada para la red wifi IoT. Que no consigo salir a internet. Me temo que necesito un switch Unifi, pero lo cierto es que antes de gastarme la pasta que valen (lo he ido comprando todo de Wallapop a precios razonables) quisiera tenerlo claro.

Si hay alguien que se haya peleado con esto o tenga idea de por donde van los tiros, lo agradecería.

pky hace 1 hora y 32 minutos

⋮

Básicamente lo que ya te han dicho: tienes solucionada la capa2, pero no la capa3. Lo más sensato es que pongas el HGU en monopuesto y coloques un router neutro detrás, que pueda manejar VLANs en algo más que su parte WAN.

Saludos!