Hoe hier een stabiel netwerk van te maken inc. portforwards - Netwerken

zaterdag 16 januari 2010 21:28

Acties:

Topicstarter

Ik ben behoorlijk nieuw in het opzetten van een thuisnetwerk.
Ik heb de volgende apparatuur in huis:

Telfort ADSL:
Zyxel 2602h Multi PC modem (ip 192.168.1.200 DHCP aan, pool size 150)
Belkin N1 Vision Router (ip 192.168.1.250 Bedraad via Zyxel)
Laptop (Windows 7) (ip 192.168.1.1 DHCP bedraad/draadloos aan Belkin)
NAS (Synology DS209) (ip 192.168.1.34 Vast, bedraad via Belkin)
HP5100C netwerk printer (ip 192.168.1.? bedraad via Belkin)
PS3 (ip 192.168.1.4 DHCP bedraad aan Belkin)
Wii (ip 192.168.1.? DHCP(?) draadloos aan Belkin)

Tot voor de NAS (die ik net heb) had ik de Belkin als router ingezet.
Deze heb ik nu ingesteld als accespoint.
Voor de NAS moet ik een paar poorten forwarden (80, 5000, 21) vandaar het inzetten van de Belkin als accesspoint
Hoe maak ik hier nu een stabiel netwerk van? Want op een of andere manier verdwijnt de NAS elke keer uit mijn netwerk. Dat is momenteel mijn grootste probleem.

Ik zie de DS209 wel als multimediapparaat in mijn netwerkoverzicht staan, maar niet als pc. De managementconsole is ook gewoon bereikbaar via het ip-adres.

1
Hoe is dit het stabielst aan te sluiten? DHCP/Vaste IP adressen? (dat laatste vind ik nogal lastig om voor elkaar te krijgen, maar wellicht lukt het via hier…)

Kan ik wellicht de apparaten allemaal via het Zyxel modem verbinden, of is dat minder veilig?

2
En hoe stel ik de router in met portforwarding terwijl er toch enigszins beveiliging is?
Nu staan er bij de firewall instellingen de volgende regels:
WAN to LAN Permit
LAN to WAN Permit
WAN to WAN / Router Drop
LAN to LAN / Router Permit

Ik wordt er helemaal gek van, of het werkt helemaal niet, of het werkt half (zonder NAS) of het staat open en bloot voor de hele wereld…
Wellicht kunnen jullie me wat tips geven?

zondag 17 januari 2010 10:43

Acties:

KennieNL

Voor de NAS moet ik een paar poorten forwarden (80, 5000, 21) vandaar het inzetten van de Belkin als accesspoint

dat snap ik niet helemaal?

Je kunt gewoon de Zyxel als modem/router gebruiken en hier apparaten op de LAN poorten koppelen.
De Belkin moet via een LAN poort (niet de WAN) verbonden worden naar een LAN poort van de Zyxel. Hierna kunnen er ook gewoon weer apparaten op de LAN poorten van de Belkin (het wordt in feite gewoon een switch).

NAS zou ik persoonlijk een static IP geven... maar zou niet veel mogen uitmaken. (DHCP range van bijv 192.168.1.100 - 192.168.1.150, NAS een IP geven die NIET in de dhcp scope zit)

2)
De vraag is: wat wil je beveiligen? Dat er specifieke IPs erbij kunnen van buitenaf?

zondag 17 januari 2010 17:42

Acties:

readytoflow

Topicstarter

KennieNL schreef op zondag 17 januari 2010 @ 10:43:
[...]

2)
De vraag is: wat wil je beveiligen? Dat er specifieke IPs erbij kunnen van buitenaf?

Ok, heb weer een en ander aangepast.
Router/Modem IP 192.168.1.200
Belkin N1 Accespoint IP 192.168.1.250
NAS DS209 IP 192.168.1.150 vast ip (ingesteld in de NAS in in de zyxel heb ik een static route (?) ingevuld naar dat ip adres.

DHCP op de router aan: 192.168.1.50 range 50

Of het stabiel is moet nog blijken, want ik had net wel contact met de NAS maar geen internet...

Nu is het standaard gateway aangepast naar het ip van modem/router dus werkt het naar behoren.

Nu de beveiliging:
Ik wil de geforwarde poorten zelf kunnen benaderen vanaf elke computer buiten mijn eigen netwerk.
Dit beveiligd met inlognaam en wachtwoord (dat wordt geregeld via de NAS).
Voor de rest wil ik dat de gegevens van mijn computer/NAS/netwerk beschermd zijn tegen onbevoegde gebruikers.
Ik begrijp de firewallregels van het zyxelmodem niet. Het staat nu ingesteld als volgt:
WAN to LAN Drop (log)
LAN to WAN Permit
WAN to WAN / Router Drop (log)
LAN to LAN / Router Permit

Het logboek van het Zyxel modem staat nu overigens vol met deze regels (x150):

#1

01/17/2010 16:08:02

vulnerability ICMP(Redirect Datagram for the Network (or subnet))

192.168.1.250

192.168.1.200

ATTACK

zondag 17 januari 2010 17:55

Acties:

Craven

Ik zou eerlijk gezegd de belkin gewoon weer als router gaan gebruiken en de zyxel alleen als modem. Heb die zyxel ook gehad en het is echt een ramp om in te stellen.

Vervolgens geef je je nas een vast ip buiten de dhcp range van de belkin en forward je de poorten die je wilt daar naar toe. Hoef je niks te doen met static routes en firewallrules waarschijnlijk (ken de belkin niet, dus weet dat niet zeker).

zondag 17 januari 2010 19:32

Acties:

kalizec

Punt is dat als de TS VoIP gebruikt dat je de Zyxel dan niet als bridge in kunt stellen omdat het VoIP gedeelte dan niet meer werkt.

Core i5-3570K/ASRock Z75 Pro3/Gigabyte Radeon HD7850/Corsair XMS3 2x4GB/OCZ Vertex2 64GB/3x640GB WD Black/24" B2403WS Iiyama x2/Nec 7200S

zondag 17 januari 2010 19:58

Acties:

bosgoed

De zyxel is idd qua instellen een drama!!
Ben nu niet thuis maar zodra ik dit wel ben zal ik even kijken hoe ik dit ook alweer voor elkaar gebokst heb.

Thanks Mate

zondag 17 januari 2010 20:16

Acties:

Verwijderd

Wat is er moeilijk aan een Zyxel? Onder Network > NAT > Port Forwarding stel je de portforwards in. Onder Security > Firewall > Rules > Packet Direction > WAN to LAN maak je uitzonderingen aan in de firewall. Eventueel de portrange toevoegen aan de Customized Services.

Op de NAS maak je mappen/gebruikers/regels aan via de webinterface. Zorg dat de NAS en je computers in dezelfde werkgroep zitten. Daarna kan je de mappen als netwerkstation toevoegen aan je pc's.

[ Voor 27% gewijzigd door Verwijderd op 17-01-2010 20:20 ]

zondag 17 januari 2010 20:32

Acties:

Craven

Dat je als je port forwarding ingesteld hebt het ook nog moet allowen in de firewall vind ik eerlijk gezegd gewoon dubbel. Die zyxel is de eerste router die ik ken die dat heeft. Daar komt bij dat zelfs een belkin router het waarschijnlijk beter doet dan die zyxel. De mijne kon niet veel hebben, zodra ik aan het downloaden (van nieuwsgroepen) was zat hij al aan de 100% cpu load (12mbit was het toen max). Na het nemen van een router waarbij ik de zyxel als bridge hebt ingesteld ging de snelheid omhoog naar 15 a 16mbit.

zondag 17 januari 2010 20:38

Acties:

Verwijderd

NAT en firewall zijn toch verschillende dingen. Waarschijnlijk maakt die router zelf een regel aan zodra jij een port forward instelt, niet dat dat slecht is ofzo...

zondag 17 januari 2010 20:47

Acties:

lammert

Een static route instellen voor een object in hetzelfde subnet lijkt me niet nodig. Het probleem dat je beschrijft met de NAS die "verdwijnt" kan ook aan Windows liggen. Probeer anders eens de NAS toe te voegen aan je hosts-file.

zondag 17 januari 2010 21:03

Acties:

Craven

Verwijderd schreef op zondag 17 januari 2010 @ 20:38:
NAT en firewall zijn toch verschillende dingen. Waarschijnlijk maakt die router zelf een regel aan zodra jij een port forward instelt, niet dat dat slecht is ofzo...

Dat het verschillende dingen zijn snap ik maar het is toch een vrij basic feature bij een consumenten routertje dat hij zelf ook een firewall exclusion maakt bij het portforwarden. Het is toch vrij nauw verbonden aangezien je er niet echt wat hebt als je je firewall openzet en vervolgens geen forward maakt of andersom. Daar komt bij dat de performance echt om te janken is. Als je router bij nieuwsgroepen op zn kont gaat en je internetverbinding daarbij capt op max 12mbit valt hij bij mij in de categorie troep.

zondag 17 januari 2010 22:14

Acties:

KennieNL

Craven87 schreef op zondag 17 januari 2010 @ 21:03:
[...]

Dat het verschillende dingen zijn snap ik maar het is toch een vrij basic feature bij een consumenten routertje dat hij zelf ook een firewall exclusion maakt bij het portforwarden. Het is toch vrij nauw verbonden aangezien je er niet echt wat hebt als je je firewall openzet en vervolgens geen forward maakt of andersom. Daar komt bij dat de performance echt om te janken is. Als je router bij nieuwsgroepen op zn kont gaat en je internetverbinding daarbij capt op max 12mbit valt hij bij mij in de categorie troep.

standaard staat de firewall function ook op allow, dus is er niets aan de hand.
firewall gaat niet alleen om het doorlaten van een specifieke poort, je wilt ook bijv. bepaalde source adressen alleen toegang geven.

naar mijn mening moet je hier gewoon zelf de controle over hebben, en niet dat als je een portforward doet, ook meteen de poort in je firewall open is.

snap eigenlijk ook niet helemaal wat er nu zo'n ramp is aan een zyxel in te stellen?

@TS: als je default op DROP zet, zal je dus inderdaad een record in je firewall moeten neerzetten welke het verkeer doorlaat (met evt logging)

standaard laat hij, zonder firewall, al niets door behalve je portforwards... de router weet namelijk niet waar het verkeer heen moet, en dropt het.

dus de rest van je netwerk is wel veilig (mits je NAS gehackt wordt

), meerwaarde van firewall op een zyxel is o.a. logging en je sources limiten

zondag 17 januari 2010 22:59

Acties:

readytoflow

Topicstarter

Portforwarding begrijp ik al een beetje. Firewalls vind ik gewoon een stuk lastiger. m.a.w ik begrijp er niks van

Bijvoorbeeld poort 80 staat geforward om de NAS te kunnen benaderen van buitenaf.
Hoe weet ik dan of onverlaten daar nou wel of geen misbruik van kunnen maken?

Helaas gebruik ik ook telefonie van Telfort (via de Zyxel dus).
Het feit dat ik een lage performance heb (wat me ook al opviel) kan ook aan het Zyxel modem liggen dus?

Zijn er alternatieven voor het Zyxel modem voor mij? of gaat dat niet vanwege de telefonie?

vrijdag 22 januari 2010 22:50

Acties:

KennieNL

Firewall met logging aanzetten, maar dat betekend dat ze nog altijd misbruik kunnen maken (exploits e.d.).
Zorg je de laatste updates op je NAS en sterke wachtwoorden, dan houd je al veel tegen

Hoe bedoel je lage preformance?