Netwerk: verschil tussen versies

Uit Hackerspace Nijmegen Wiki
Naar navigatie springen Naar zoeken springen
Geen bewerkingssamenvatting
(lastdrager aangesloten en extra ap)
 
(5 tussenliggende versies door 2 gebruikers niet weergegeven)
Regel 20: Regel 20:
**10.138.1.0/24
**10.138.1.0/24
***10.138.1.1 pfsense
***10.138.1.1 pfsense
***10.138.1.2 switch
***10.138.1.2 switch (dhcp, static assignment)
***10.138.1.3 lastdrager (ESXi host)
*1336 - Park Winkelsteeg
*1336 - Park Winkelsteeg
**dhcp-server op pfsense
**dhcp-server op pfsense
Regel 29: Regel 30:
**10.138.66.0/24
**10.138.66.0/24
***10.138.66.1 pfsense
***10.138.66.1 pfsense
***10.138.66.2 domestobot (vm)
***10.138.66.3 homeassistant (vm)
*1338 - bambu
**dhcp-server op pfsense
**10.138.67.0/24
***10.138.67.1 pfsense


=Netgear GS728TP=
=Netgear GS728TP=


*Fixed to 10.138.1.2, untagged
*DHCP op untagged - krijgt static assignment 192.168.1.2 van pfsense
*No IP on all other VLANs
*No IP on all other VLANs


==Ports==
==Ports==


*1 --> pfsense
*1 --> accesspoint bij groepenkast
**vlan 1 (untagged)
**vlan 1336
**vlan 1337
*2 --> accesspoint in de ruimte met de wc
**vlan 1 (untagged)
**vlan 1 (untagged)
**vlan 1336
**vlan 1336
**vlan 1337
**vlan 1337
*3 --> accesspoint in de ruimte met de keuken
*2 -> Wired naar groepenkast, niet aangesloten
*3 --> accesspoint Diana 1
**vlan 1 (untagged)
**vlan 1 (untagged)
**vlan 1336
**vlan 1336
**vlan 1337
**vlan 1337
*4 --> accesspoint Diana 1
*4 --> accesspoint Diana 2
**vlan 1 (untagged)
**vlan 1 (untagged)
**vlan 1336
**vlan 1336
**vlan 1337
**vlan 1337
*5 --> accesspoint Diana 2
*5 --> accesspoint serverhok
**vlan 1 (untagged)
**vlan 1 (untagged)
**vlan 1336
**vlan 1336
**vlan 1337
**vlan 1337
*21 -> lastdrager host
*22 -> lastdrager vmnic voor de vm's
*23 -> pfsense


=pfsense=
=pfsense=
In het serverhok staat een HP Z220 met daarop VMware ESXi, hostname "lastdrager". Op ESXi draait een VM genaamd "pfsense".
In het serverhok staat een HP Z220 met daarop VMware ESXi, hostname "lastdrager". Op ESXi draait een VM genaamd "pfsense".
Let op: als deze server bij booten niet doorstart en 6 piepjes geeft, dan komt dat doordat er een beeldscherm aangesloten moet zijn. DVI -> HDMI werkte daarvoor niet, DVI -> VGA wel.


In de server zit een PCI-netwerkkaart die wordt gepassthrought naar de pfsense VM.
In de server zit een PCI-netwerkkaart die wordt gepassthrought naar de pfsense VM.
Regel 67: Regel 76:
**winkelsteeg 10.138.65.0/24 (vanaf .10)
**winkelsteeg 10.138.65.0/24 (vanaf .10)
**hsn 10.138.66.0/24 (vanaf .10)
**hsn 10.138.66.0/24 (vanaf .10)
*in de config tree: service -> gui -> listen-address "10.138.1.1" zodat ie alleen bereikbaar is via management vlan


==Ports==
==Ports==
Regel 89: Regel 97:
**vlan 1336 (dhcp-server)
**vlan 1336 (dhcp-server)
**vlan 1337 (dhcp-server)
**vlan 1337 (dhcp-server)
== Firewall ==
Reject traffic from guest VLANs (winkelsteeg) to management VLAN:
* Firewall/NAT -> Firewall/NAT Groups -> create "management" group, then Actions -> Config and set network "10.138.64.0/24" and save
* Firewall Policies -> Add ruleset "GUEST_NET_LOCAL":
** Description "Guest to router"
** Default action DROP
** add rule 1 "allow DNS" action Accept protocol TCP+UDP destination port 53
** add rule 2 "allow DHCP" action Accept protocol UDP destination port 67
** go to Interfaces and add switch0.1336 direction local, and switch0.1337 direction local
* Firewall Policies -> Add ruleset "GUEST_NET_IN"
** Description "From guest nets"
** Default action ACCEPT
** add rule 1 "drop guestnet to mgmt" action Drop protocol All protocols destination network group Management subnet
** go to Interfaces and add switch0.1336 direction In, and switch0.1337 direction In
Now, hosts on guest nets can use DHCP and DNS, but nothing else on the router; also, they can't access the management subnet at all.


=Aruba Accesspoints=
=Aruba Accesspoints=
Regel 115: Regel 105:
*default AP config is untagged management, dus AP krijgt automatisch een lease in het management subnet
*default AP config is untagged management, dus AP krijgt automatisch een lease in het management subnet
*AP vindt automatisch de huidige instant controller en trekt config daaruit
*AP vindt automatisch de huidige instant controller en trekt config daaruit
==Individuele settings==
Op de controller zijn alle APs online. Maak een nieuw wired network genaamd "passthrough" met:
*Primary usage employee
*PoE enabled
*Admin status Up
*Mode Access
*Client IP Network Assigned
*Access VLAN 1336 (villanova)
*VLAN Assignment Rule "If AP-Name equals AP233 assign VLAN 1337" (AP233 is de accesspoint waar de netwerkkabel naar ons atelier doorheen lust)
Stel "passthrough" in op alle wired poortjes behalve 0/0 (die blijft op default_wired_port_profile).

Huidige versie van 2 apr 2026 om 21:56

Deze pagina omschrijft de netwerkinfrastructuur aan de Winkelsteegseweg.

Overview

Netwerkinfra.png

Dit plaatje is verouderd (dit was de setup aan de Villanovastraat). Tegenwoordig is het: 

<---Odido (5G)---| Odido router |<---eth--->| pfsense |<---eth--->| Netgear GS728TP |<---eth--->| Aruba APs... |

TODO

  • Backup configs
  • Note passwords somewhere outside of this wiki
  • Spacenet

VLANs

  • 1 (of untagged) - management
    • dhcp-server op pfsense
    • 10.138.1.0/24
      • 10.138.1.1 pfsense
      • 10.138.1.2 switch (dhcp, static assignment)
      • 10.138.1.3 lastdrager (ESXi host)
  • 1336 - Park Winkelsteeg
    • dhcp-server op pfsense
    • 10.138.65.0/24
      • 10.138.65.1 pfsense
  • 1337 - hsn
    • dhcp-server op pfsense
    • 10.138.66.0/24
      • 10.138.66.1 pfsense
      • 10.138.66.2 domestobot (vm)
      • 10.138.66.3 homeassistant (vm)
  • 1338 - bambu
    • dhcp-server op pfsense
    • 10.138.67.0/24
      • 10.138.67.1 pfsense

Netgear GS728TP

  • DHCP op untagged - krijgt static assignment 192.168.1.2 van pfsense
  • No IP on all other VLANs

Ports

  • 1 --> accesspoint bij groepenkast
    • vlan 1 (untagged)
    • vlan 1336
    • vlan 1337
  • 2 -> Wired naar groepenkast, niet aangesloten
  • 3 --> accesspoint Diana 1
    • vlan 1 (untagged)
    • vlan 1336
    • vlan 1337
  • 4 --> accesspoint Diana 2
    • vlan 1 (untagged)
    • vlan 1336
    • vlan 1337
  • 5 --> accesspoint serverhok
    • vlan 1 (untagged)
    • vlan 1336
    • vlan 1337
  • 21 -> lastdrager host
  • 22 -> lastdrager vmnic voor de vm's
  • 23 -> pfsense

pfsense

In het serverhok staat een HP Z220 met daarop VMware ESXi, hostname "lastdrager". Op ESXi draait een VM genaamd "pfsense".

Let op: als deze server bij booten niet doorstart en 6 piepjes geeft, dan komt dat doordat er een beeldscherm aangesloten moet zijn. DVI -> HDMI werkte daarvoor niet, DVI -> VGA wel.

In de server zit een PCI-netwerkkaart die wordt gepassthrought naar de pfsense VM.

  • dhcp servers:
    • let erop dat je de pool start/end moet invullen, anders is de pool size 0 en krijg je geen leases
    • mgmt 10.138.1.0/24 (vanaf .10)
    • winkelsteeg 10.138.65.0/24 (vanaf .10)
    • hsn 10.138.66.0/24 (vanaf .10)

Ports

  • eth0 wan --> Odido-router
    • dhcp client
  • eth1 lan --> netgear port 1 trunkport
    • vlan 1 (untagged, management, dhcp-server)
    • vlan 1336 (dhcp-server)
    • vlan 1337 (dhcp-server)
  • eth2
    • vlan 1 (untagged, management, dhcp-server)
    • vlan 1336 (dhcp-server)
    • vlan 1337 (dhcp-server)
  • eth3
    • vlan 1 (untagged, management, dhcp-server)
    • vlan 1336 (dhcp-server)
    • vlan 1337 (dhcp-server)
  • eth4
    • vlan 1 (untagged, management, dhcp-server)
    • vlan 1336 (dhcp-server)
    • vlan 1337 (dhcp-server)

Aruba Accesspoints

Setup

  • kies een poortje, zet in de tabel hierboven, hang AP eraan
  • default AP config is untagged management, dus AP krijgt automatisch een lease in het management subnet
  • AP vindt automatisch de huidige instant controller en trekt config daaruit
Overgenomen van "https://hackerspacenijmegen.nl/index.php?title=Netwerk&oldid=2976"