Opzetten van mijn thuisnetwerk met Telenet en Ubiquiti

Ik wil graag met jullie delen hoe we onze thuisnetwerk-setup hebben getransformeerd van een basis en zeer beperkte ISP modem met geïntegreerde WiFi naar wat ik beschouw als een pro-sumer setup.

Oude netwerk

Onze door de ISP geleverde router met geïntegreerde switch en WiFi heeft ons de afgelopen jaren goed gediend en ik zou het nog steeds een goede setup vinden voor een gemiddelde klant. Het is een enkele geïntegreerde doos die alles doet: routing, switching en het leveren van een draadloos netwerk. Er zijn echter een paar tekortkomingen voor mensen die meer eisen van hun netwerk:

  • Geen scheiding tussen netwerkapparaten, dus IoT-apparaten kunnen toegang krijgen tot elk apparaat op uw netwerk
  • Mogelijkheid om advertenties te blokkeren beheerd via een enkele gateway voor alle aangesloten apparaten
  • Lokaal beheer van firewallregels - de door de ISP geleverde oplossing is alleen online toegankelijk. Geen internetverbinding betekent geen netwerkbeheer
  • Inzicht in het netwerkverkeer
  • Het moet gewoon werken!

Nu wij, mijn vrouw en ik, vanuit huis werken en twee tieners online lessen volgen, werd het duidelijk dat de simpele setup gewoon niet meer voldoende was. Aangezien we ook van plan waren om naar een groter huis te verhuizen, was dit de ideale gelegenheid om op zoek te gaan naar iets dat meer stabiliteit en betrouwbaarheid zou bieden en zou voldoen aan de verwachtingen van het huis van de toekomst.

Tussenopstelling

Voordat we verhuisden, wilden we de netwerkinstallatie al upgraden. Na veel onderzoek te hebben gedaan, kwam ik uit op Ubiquiti apparatuur, gebaseerd op online reviews, prijzen, beschikbaarheid, enz. We zijn dus heel eenvoudig begonnen:

Hoewel dit systeem ons gedurende de zes maanden dat het in gebruik was goed heeft gediend, was het vanaf het begin duidelijk dat we een nog grotere installatie nodig hadden om de beste service te kunnen bieden in ons nieuwe huis.

Huidige netwerkconfiguratie

Voor ons nieuwe huis, waren de eisen:

  1. 5GHz WiFi dekking in het volledige huis
  2. Snelle ethernetverbindingen naar zowel kantoorruimtes als kinderslaapkamers
  3. Robuuste configuratie, één keer instellen en vergeten
  4. Scheiding tussen hoofdnetwerk en IoT-apparaten, beveiligingsapparaten, enz.

Rekening houdend met de bovenstaande vereisten, heb ik de volgende netwerkconfiguratie gekozen.

De setup

Network cabinet Network cabinet with UniFi Dream Machine Pro, Switch Pro 24 PoE, Synology NAS DS212j, Raspberry Pi4 running Home Assistant, Philips Hue bridge, Niko Home Control hub and ISP router

This setup is quite simple essentially. Everything is centrally managed. All ethernet sockets come together in this rack, terminated in one of the patch panels and connected to the 24 port switch. The switch provides PoE to the APs which are located in garage to cover the ground floor, there’s a nanoHD on the first floor and in the attic.

Both offices have their own switch (Flex Mini and Lite 8 PoE). The Switch 8 60W is located at our media cabinet, providing network connections to multiple devices that make up our media center (TV, ISP IPTV box, AV receiver, etc.) Our doorbell, the Ubiquiti G4 connects over WiFi. Security cameras are also PoE and directly connected to the 24 port switch.

All these devices are managed through the network control software available on the UniFi Dream Machine Pro. On average we have about 25 connected clients on the network: hubs, printers, smart watches, laptops, mobile phones, computers, some raspberry pi devices, etc.

Using VLANs to separate IoT and security devices

An important factor in our decision to go with Ubiquiti gear was their support for VLANs. VLANs, or Virtual LAN, allows you to separate your physical network into several logical networks that through firewall rules are allowed or denied from communicating with each other.

So I created several networks, each with its own purpose.

Network Trust Capabilities
LAN Full Connect to the internet and all other devices on the network, without restrictions
IOT Minimal Connect to the internet and respond to requests from the LAN network
SEC Zero Can only connect to other devices on the same network (other cameras, NVR, …)
Guest Zero Connect to the internet

After creating these vertical networks, I created similar WiFi networks that belong to those networks as well. Then it’s just a matter of placing devices either on a certain WiFi network or setting the network port on the switch to a specific network. Doing so makes sure that everyone on the LAN network can access all devices, but that compromised (or snooping) IoT devices don’t have access to our NAS for instance, or the security network.

It takes a bit of effort to setup and get everything to play along but once it’s up and running, it requires zero maintenance.

Using VLANs for IPTV (Telenet digicorder)

Since our IPTV box is now behind a Ubiquiti switch and not directly connected to our ISP modem, we had an issue. Becomes the interactivity with box only works when this IPTV device receives an IP address directly from the ISP modem. Thanks to the excellent article by Angelique Dawnbringer1 I was able to get it working in no time.

The switch in our media cabinet has a trunk port on port 1, with a direct connection to the main 24 port switch in the rack cabinet. I created a VLAN only network, and connected a second LAN cable from our cable modem to the switch and assigned that VLAN to the port. As a last step I connected the IPTV box to one of the ports on the 8 port switch and assigned the same VLAN profile to the network port.

The whole LAN network is 192.168.10.x, while the IPTV box correctly receives an IP address directly from the ISP modem in the 192.168.0.x range.

The other networks are 192.168.20.x for security devices and 192.168.30.x for IoT devices, each time with .1 being the gateway for the network, and .2-.100 reserved for static IP addresses.

Pi-Hole for safer browsing

Another great resource while building my network setup was Ben Balter2. He operates a Raspberry Pi running Pi-hole. It allows you to filter out ads and trackers on the network itself instead of having to configure each device individually. The Pi-hole machine works as a DNS server, sending blacklisted domains to a sinkhole before passing your requests to an upstream configured DNS.

I use Quad9 (filtered, DNSSEC) as the upstream DNS server.

Future upgrade plans

We’ve both been working from home for the past year and our teenagers had online classes for the majority of the past year as well. This setup has been working like a charm. No dropped connections, while consuming vast amounts of data. Because with four adults, a typical day involves a lot of video meetings (Microsoft Teams), streaming music (Spotify), streaming video (Youtube, Netflix, TikTok) and gaming. Our monthly average internet data usage is well above 1 TB of data. But our network infrastructure is now build with professional grade equipment, not even flinching when under load.

So there are no immediate upgrades I’d like to carry out, besides:

  1. Upgrade our old NAS (2012) to a RackStation Synology solution that fits the 19” network cabinet
  2. Add an additional AP to get full garden network coverage

But these are nice to have upgrades instead of a true necessity.

References