Al enige tijd overwoog ik om de standaard DrayTek Vigor van T-Mobile te vervangen door een eigen firewall. Gewoon vanwege de grotere flexibiliteit in firewalling. Nu is dan toch de kogel door de kerk gegaan en ben ik overstag gegaan.
Als eerste moest natuurlijk het glassignaal omgezet kunnen worden naar Ethernet. Om dit te bewerkstellingen heb ik een TP Link MC220L aangeschaft. De gbic die nu in het T-Mobile modem stak heb ik overgezet naar de MC220L zodat ik ook makkelijk terug kan, indien T-Mobile support dat zou wensen bij een verstoring van de dienstverlening.
Het vervolg is natuurlijk het afvangen van de VLANs die T-Mobile gebruikt voor haar diensten. Zo wordt op het wan interface het VLAN ID 300 gebruikt voor de internet dienst, en VLAN ID 640 voor de IP-TV dienst. Om de IP-TV set-top boxen helemaal buiten mijn eigen netwerk te houden heb ik tussen mijn beoogde firewall en de TP-Link MC220L een UniFi SWITCH8 geplaatst.
De Unifi switch is een manageble switch die VLAN ondersteuning biedt. Binnen mijn eigen Unifi controller heb ik enkele netwerk profielen aangemaakt en deze vervolgens gekoppeld aan switchpoort profielen. Daarbij is het van belang om de VLAN 300 en 640 als zogenaamde VLAN-ONLY netwerken aan te maken in de controller.
Poort 1 van de SWITCH 8, bevat de uplink vanuit de MC220L. Hierop zit een profiel met daarop de TAGGED VLAN’s 300 en 640.
Poort 6 en 7 bevat UNTAGGED/NATIVE het VLAN ID 640. Hierop zit direct een SET-TOP box aangesloten. Deze geeft nu een vlottere respons dan voorheen, achter de DrayTek.
Poort 8 is een trunk-poort naar mijn HP switch op zolder. Deze trunk bevat VLAN 1 UNTAGGED en VLANs 640 en 12 TAGGED. Dat laatste VLAN is voor gasten die van WiFI gebruik maken in huize Steijvers.
Poort 2 voorziet in UNTAGGED vlan 300 en deze gaat naar het WAN interface van mijn firewall. Binnen de Unifi wereld, is vlan 300 hier het NATIVE Network.
Poort 3, 4 en 5 zijn NATIVE VLAN 1 en TAGGED VLAN 12.
Poort 3 is gekoppeld aan het LAN interface van de PFsense. Op laatstgenoemde is dan ook VLAN 12 als virtueel interface aangemaakt en gekoppeld aan de LAN ethernet poort.
Rest nog een domme switch op Poort 4, hierop zitten enkel de versterker, PlayStation, TV en RaspBerry PI retro gaming console op.
Het aanmaken van een VLAN op de Unifi switch doe je via een cloud controller. Indien je niet over een UniFi USG beschikt, maar een andere router/firewall inzet, kies je voor het aanmaken van netwerken in VLAN Only modus. Je krijgt dan het volgende overzicht in je UniFi Cloud Controller.
Vervolgens bundel je waar dat handig is enkele van deze VLAN’s tot switch poort profielen. Deze kun je dan weer aan je switches toekennen. Zeker wanneer je meerdere Unifi switches in gaat zetten, kun je zo heel vlot je configuratie uitvoeren.
Zo zet ik dus zelfs het FIBER_WANINTERNET VLAN in mijn trunk poort. Stel dat ik een keer in geval van nood een virtuele PFSense wil inzetten vanaf een VMWare host, dan heb ik al die VLANs ook boven nodig. Voor nu is er echter voorzien in een Netgate PFSense in de meterkast
Zo staat er op zolnder nog een switch, een UniFi Switch 24, en ook daar pas ik dus net zo eenvoudig de eerder aangemaakte poort profielen op toe.