ATWindsor

1 minute ago, ZoRaC said:

Nei, vi diskuterte om man kan ha samme subnett på flere nettverk mot samme router. Det kan man ikke, uansett om man setter opp DHCP eller statiske IPer på enhetene så vil ikke det fungere. 
 

Du kan jo bare teste? Sett opp to identiske DHCP-scope mot hvert sitt interface (om du i det hele tatt får lov til å lage to DHCP-scope, i Windows Server tror jeg ikke det er mulig). Så ser du at de deler ut samme IP til enheter på hvert sitt interface. 

Jeg tror vi snakker forbi hverandre her, hvorfor skal man sette opp to scope? En vanlig DHCP-server bruker jo samme scope mot en rekke forskjellige interfaces? La oss si du kobler en switch inn i rutere, ruteren ordner dhcp, , alle maskinene på switchen er på vlan 10, du kjører fram vlan 10 til ruteren, da vil maskinene få IP, og ingen overlapp. Enig? Så deler du opp og kjører vlan 10 på halvparten av maskinene vlan 20 på den andre halvparten, og kjører fram vlan 10 og 20 til ruteren. Er du ikke enig i at det samme vil skje da? De får en ip uten overlapp? 

1 minute ago, ZoRaC said:

Trafikk til/fra Internett kan selvsagt rutes, for det er et annet interface og subnett enn de lokale nettene. 
 

Hele hensikten er jo å sikre at den nettverkskabelen som henger ute (til kamera) og er koblet til port 1 på «router-boksen» ikke kan kommunisere fritt med filserveren du har koblet til port 2. Da må du sette dem på hvert sitt interface (VLAN) for å kunne route og bruke brannmurregler mellom dem. Hvis de står i samme subnett vil all trafikk flyte fritt mellom dem. 
 

DHCP er jo helt irrelevant i denne sammenhengen...

Begynner vi ikke å dreie over på noe annet nå? Jeg er enig i at det er gunstigst å ha det på hvert sitt subnett, men diskuterte vi ikke om de får utdelt samme IP? DHCP er jo ikke irrelevant for det. 

26 minutes ago, ZoRaC said:

I de tilfellene rutes ikke trafikken, den switches. Dvs at routing-funksjonen (og brannmuren) i «router-boksen» ikke ser denne trafikken. Det blir som om du kobler utstyret til en switch, uten ha noen router i nettet i det hele tatt. For routeren er alle koblingene til «router-boksen» ett interface (som er bridget). Dvs at du ikke kan sperre trafikk mellom switchportene på «routerboksen», da denne trafikken ikke passerer gjennom brannmuren/router-funksjonen. 

For det første, så kan vel fint trafikken rutes om den kommer utenifra, men uansett, har det noe med poenget å gjøre? som er at en DHCP-server ikke deler ut samme til forskjellige enheter bare fordi de er på to forskjellige interface? Bruker vi interface på forskjellige måter her? To PCer er jo to forskjellige interface? 

EDIT: Kan virke litt flisespikkende her, er ikke bare for å være vond altså, men nettverk er komplisert og det er fort gjort å tråkke feil, derfor viktig å få det riktig.

9 minutes ago, ZoRaC said:

 

Hvis du setter opp DHCP, med samme scope mot to interface, så vil de dele ut IP-adresser uavhengig av hverandre - også samme IP.

 

Men, for å spørre på en annen måte - hvordan skal routeren vite hvilket interface den skal sende trafikken til hvis du har en enhet på interface 1 med 192.168.0.4 og en enhet på interface 2 med 192.168.0.5? Begge har jo da samme nettadresse og routeren vil da ikke klare å sende trafikken riktig - flere interface kan ikke ha samme nettadresse.

Nå henger jeg ikke helt med? Dette er jo helt vanlig oppsett på alle hjemmerutere? Om man har en maskin på en nettutgang (interface) og en annen maskin på en annen nettutgang på samme ruter, så har de samme scope, og de vil jo ikke få samme IP.

31 minutes ago, ZoRaC said:

Men DHCP har ikke noe med routing å gjøre. Man kan kjøre utelukkende med statiske IPer også og det er heller ikke noen automatikk i at router og DHCP-server er samme «boks».

Hvordan skal routeren vite hvor trafikk til 192.168.1.10 skal, hvis denne adressen eksisterer på

to interface?
 

Enig.  

 

 

Nei. Men VLAN er jo for å slippe å ha en fysisk port til hvert nettverk. Veldig tungvint med 3-4 wifi-aksesspunkt også, bare fordi man må ha en fysisk kabel for hvert nett.  

Men igjen, hvorfor skal det være to enheter med samme IP? Den situasjonen skaper problemer (det gjør den forsåvidt uten VLAN også), men hvorfor skulle situasjonen oppstå i utgagnspunktet om man ikke framtvinger den?

7 minutes ago, ZoRaC said:

Routeren gir jo ikke noen IP - den router trafikk dit den skal. Hvis du sier du vil bruke samme subnett i to VLAN, så vil ikke rutingen fungere for da er det jo samme subnett på to forskjellige interface. 
 

Men du skrev jo:

Svaret er som sagt at du må ha forskjellig subnett på hvert VLAN. 

 

(mulig jeg bruker feil begrep - med subnett mener jeg nettadresse)

Greit nok, de fleste lar routeren ta hånd om dhcp-delen også, men for å omformulere, hvorfor skal DHCP-serveren gi samme ip til to enheter? Men er jo egentlig enig med deg som sådan, det er bedre å bare ha egne subnett per vlan, sånn stort sett.

Lurer på om vi snakker litt forbi hverandre her? Ser ut som vi er enig, sånn egentlig? VLAN ordner det sikkerhetsmessige aspektet for webkameraporten, og man får ikke noe bedre ytelse heller av denne subnettingen?

Er jo min erfaring, men hadde jeg begynt på nytt hadde jeg gått rett på home asssitant istedet for via homeseer eller loxone, og som en generell greie, hadde jeg i mindre grad gått for "billigere hjemmemekk" og litt mer for dyrere og bedre produkter ut av døra.

58 minutes ago, ZoRaC said:

Hvis du har to VLAN med samme subnett, hvordan skal da routereN sende trafikken til riktig sted hvis f.eks 192.168.10.10 finnes i to nett? Så du må ha forskjellige subnett på VLANene. 
 

Og hvis du ikke bruker VLAN så kan noen koble en PC til kabelen til et utendørskamera og sette IP til klientnettet ditt på pcen sin, vipps så er de i klientnettet ditt! Med VLAN så er ikke det mulig, da bare kamera-nettet er tilgjengelig på den switchporten kameraet er koblet til. 

Routeren vil jo ikke gi samme adresse til to enheter om den ser begge vlanene? Like lite som den vil det om du feks har to switcher.

Ja? Det er jo nettopp det som er litt av poenget mitt, at VLAN ordner det meste av dette?

7 hours ago, NilsOF said:

@ATWindsordu må nesten komme opp med bedre begreper jeg kan bruke.

Tror du må spesifisere hva du mener med subnetting også.

 

 

 

Begrepet du kan bruke for hva? Subnetting er å dele ip-nettverk inn i mindre nettsegment.

35 minutes ago, NilsOF said:

@ATWindsorjeg behøver ingen introduksjon til vlan, jeg snakker det flytende!

Les nå litt hva jeg har skrevet bakover i denne tråden.

Ikke tenk boks, men tenk funksjon.

Og definitivt glem hva de enkelte produsenter kaller boksene sine.

Når du har splittet opp hva en slik boks faktisk gjør så er det hele faktisk ganske enkelt.

 

Jeg oppfordrer deg til å bruke ruter slik "alle andre" inkludert produsenter bruker det ordet. Ellers forvirrer vi bare folk. Om folk tror man ikke trenger VLAN-support i ruteren for å kjøre igjennom tagged VLAN, kommer folk til å gjøre bomkjøp. (ikke skjønner jeg at det er noen forskjell om man snakker funksjon heller, routerfunksjonen må støtte vlan, ellers funker det ikke med tagged vlan)

Se her feks:

https://help.ubnt.com/hc/en-us/articles/222183968-Intro-to-Networking-Introduction-to-Virtual-LANs-VLANs-and-Tagging

Man må ikke ha VLAN på ruteren, men det vil ikke fungere med tagget VLAN, og det er en i mine øyne en ganske stor begrensing.

1 minute ago, NilsOF said:

@ATWindsoringen informasjon er mistet. vlantaggen står i oppsettet samen med nettverksadressene. Akkurat dær de ble skrevet inn..

Det er vesentlig å forstå hvilken del som gjør hva for noe.

Det du kaller en router er en boks der bare en liten bit av maskineriet gjør den faktiske routingen.

 

Om du ikke mister et sett tagged vlan når det går igjennom routeren, så støtter ruteren vlan.

1 hour ago, NilsOF said:

@ATWindsor muligens litt begrepsforvirring ute å går.

Med router så mener jeg den maskinbiten i nettverket som faktisk router nettverkspakkene til og fra nettverkene.

Denne maskinbiten gjør ikke noen forskjell på hvilken type interfacer den ser. Det kan være VPN, loopback, vlan, dsl, fiber osv.

Maskinbiten er typisk en del inne i en brannmur, eller inne i wifi-multi-boksen som ISPen sendte ut.

 

Så nei, maskinbiten som jeg kaller routeren ser ingen vlantagger.

Men det er som regel min jobb å sette netverksadresser på vlanene slik at routeren kan få gjordt jobben sin.

Om du har tagged vlan inn i ruteren, så mister du den informasjonen? Det er jo en vesentlig ulempe? Jeg skjønner ikke helt hvorfor det ikke er en vesentlig ulempe, det er masse routere som støtter vlan, og det er ikke uten grunn. Joa, vlan er teknisk sett lag 2, men routere ser lag2-ting, og mange switcher er delvis lag3, det er ikke så strenge skiller som før.

1 hour ago, NilsOF said:

Jeg kjører og har kjørt mange små og store brannmurer med vlantagging. Alle, uten unntak, har brukt vlantagging. ?

En brannmur med flere interfacer (inkludert vlan) er i bunn og grunn en router.

Poenget et at en router ikke vet hva et vlan er. Den behandler et vlan som ett hvilken som helst annet nettverksinterface.

Den ser kun nettverksadressene på hvert interface (inkludert vlan) og styrer trafikken etter det.

 

Grunnen til at vi må man ha subnett med nettverksadresser er for at routeren skal kunne styre trafikken til og fra riktig interface (inkludert vlan).

Dvs. ingen nettverksadresser, ingen routing.

Edit: har du satt nettverksaddresser så har du i praksis subnettet oppsettet ditt

 

Man kommer langt, og I de fleste hjemmenett helt i mål, med ett eneste gigabitinterface med vlan-tagging på en brannmur ( eller router som jeg også kan kalle det).

Men du er vel enig i at vlan mister masse bruksområde om routeren ikke ser vlan? Jeg skjønner heller fortsatt ikke hva man tjener med denne subnettingen i tillegg? Om routeren ikke ser vlan, så mister man jo vlaninfoen om det er tagged vlan inn eller ut av routeren?

1 hour ago, NilsOF said:

Routeren sin oppgave er å dirigere trafikken til riktig nettverk. En router vet ikke hva ett vlan er for noe.

Den vet derimot hvilke nettverk som befinner seg på interfacene

Under Linux behandles ett vlan på samme måte som ett nettverksinterface.

(i fra brukerens ståsted)

Man setter adresser og nettmaske på et vlan på akkurat samme måte som ett rent nettverksinterface.

 

Hvert subnett plasseres i hvert sitt vlan for å isolere de forskjellige nettverkene fra hverandre.

Man kan ha flere subnett i samme vlan, men beskyttelsen mellom subnettene vil være null.

 

Unntaket fra eget vlan for hvert subnett er om man vil bridge samen to vlan.

Da inneholder de to vlanene samme subnett.

 

 

Jeg bruker betegnelsen router om maskinbiten som styrer trafikken etter routingtabellen(e).

Ikke forveksle med det som i dagligtale er navnet på dingsen man får fra internettleverandøren.

Du begrenser mulighetene en god del om du ikke kan kjøre tagged vlan via router. Og vlan isolerer jo nettverkene i seg selv, hva ekstra får du av å dele det opp i subnett?

28 minutes ago, NilsOF said:

Vi tar en ole brum og sier ja takk, begge deler. De går hånd i hånd.

Mulig jeg er litt treg, men hva er den ekstra nytten med å subnette om man har et ok VLAN-setup?

50 minutes ago, Teza said:

I et hjemmenettverk kan man vel se bort fra ytelse vil jeg tro.

 

Sikkerheten er grunnen til at jeg har begynt med dette.

Jeg irriterer meg nok mer enn de fleste, når det kommer til personvern og innsamling av persondata.

 

Problemet i mine øyne er at alle vil levere IOT, men det er få om noen som prioriterer personvernet.

Data er pr. i dag den mest verdifulle resursen og alle vil ha sin del av kaka. Dette gjelder også kriminelle.

Dvs stor innsamlig av persondata og liten sikkerhet mot hacking.

 

Jeg ønsker å begrense tilgangen til mine data, og gjøre det vanskelig nok å få tak i dem at det ikke er verdt det.

Ønsker også kontroll med hvilke data de forskjellige enhetene får lov til å sende.

 

Så tv'en min skal ikke få tilgang til min pc og blir forsterkeren hacket så skal de ikke ha tilgang til filserveren.

 

-----

 

De fleste tar seg ikke bryet med å tenke gjennom mulige konsekvenser dersom informasjon kommer i feil hender.

 

F.eks. Alfabet har i lang til ønsket å bygge en database over folks helse, og nå har de kjøpt fitbit.

Dette er data som Alfabet vil tjene penger på å selge, så f.eks. hva skjer når forsikringsselskaper ser at du har en høy risiko for hjerteinfarkt?

Høyere priser på forsikring? Redusert utbetaling på forsikringer? Nekte deg å tegne enkelte forsikringer? Ekskludere dekning på reiseforsikring dersom årsaken er hjerteinfarkt?

 

Mengden med data som er samlet inn pr. person er allerede skremmende stor, det er på høy tid at mannen i gata tar grep for å begrense denne innsamlingen.

Sikkerhetstankegangen er forsåvidt god den, men er subnetting den rette måten å gjøre et på? Er det ikke bedre å bruke VLAN?

Hva er egentlig de sikkerhetsmessige og ytelsesmessige argumentene for å dele det opp slik?

1 hour ago, Moskus said:

6 ute (fasader + gressklipper), 2 i garasjen, 2 i stua, kjøkken, vaskerom, kjellerstue, kjellervaskerom, kjellergang, 3D-printer, 2x barnesoverom...

 

Tidligere var hensikten å se om jentene sov eller ei. Nå er planen å bruke AI til å sjekke om rommet er definert som "ryddig".  

Finnes det noen greie off-the-shelf-løsninger som gjenkjenner personer på kamera med ok sikkerhet nå? (og er 100% lokale)

On 02/09/2019 at 12:00, Leif Arne Brandsæter said:

Tror jeg har kommet frem til en rimelig riktig konfigurasjon..

 

Mangler jeg noe her? Vil det snurre sammen?

 

vh
Leif Arne

 

 

Hei, beklager, svaret fra meg kommer bra sent her. Så er kanskje ikke så relevant. Men har du kjøpt alt nå, eller trenger du fortsatt råd?

Da er lisensen solgt.

Hei. Ordinær pris på lisensen er 600 dollar, på black friday får man den for 300 dollar. Det koster 25 dollar om man ønsker å overføre lisensen formelt (altså at den registrer hos Homeseer-folka på ditt navn istedet for mitt). Jeg tenker derfor 250 dollar minus 25 dollar i kostnader, eller mao 225 dollar er en rettferdig pris. Med dagens kurs ca 2025 NOK

Selger derfor min lisens for 2000 NOK

3 minutes ago, bergen77 said:

Jeg får det til å virke med app og gateway. Men jeg hadde tenkt å få statuser ut på knx busen da. Kan nok få det til via skyen men det er ganske teit å måtte gå via internett får å sjekke om ovnen er i gang.

Sikker på at det funker sånn? Hos meg virker det som gaewayen også henter infoen fra skya (på det nyeste utstyret, det som har vanlig trådløst, noe av det eldre bruker zigbee eller noe).

2 minutes ago, bergen77 said:

Vel Miele har i utgangspunktet gitt oss valgmulighet. Apparatene ser først etter lokal gateway og deretter ser etter skyen. Apparatet er tilkoblet det ene eller det andre.

Det som er skuffende er at Miele ikke gir ut dokumentasjon på gatewayen sin.

Jeg har ikke fått det til å virke sånn, appratene går direkte opp i skya hos meg.

Just now, bergen77 said:

19 minutes ago, ATWindsor said:

 
APIet er ikke lokal, det går via skya. Gatewayen såvidt jeg har funnet ut etter mine undersøkelser unødvendig slik det er lagt opp i dag, utstyret kommuniserer med skya, API kommuniserer mot skya.

Det kan diskuteres, i mine øyne er skyen unødvendig.

Det kan du si, men det hjelper ikke så mye når det er slik de har lagt det opp.