Advies aanschaf Wi-Fi Access Point - Netwerken

zaterdag 25 mei 2013 23:42

Acties:

Riding on Rails

Topicstarter

Voor een kennis probeer ik een oplossing te vinden voor de volgende situatie. Ik denk dat ik een redelijk beeld heb bij een mogelijke oplossing, maar ik hoop nog wat reactie te krijgen, zodat ik niets over het hoofd zie.

In een ruimte waar vaak gasten ontvangen worden, is het bestaande wifi signaal niet sterk genoeg. Aangezien deze ruimte los staat van het woonhuis is er op de meeste plekken zelfs helemaal geen bereik. Hiervoor zoeken we een oplossing.

Gelukkig is er al wel een UTP-kabel naar de ontvangstruimte getrokken. Daar willen we graag gebruik van maken.

Om gasten toch betrouwbaar Wi-Fi aan te kunnen bieden, lijkt mij een Range Extender met UTP aansluiting de meest simpele keuze. In de pricewatch lijkt deze het meest populair te zijn: pricewatch: TP-Link TL-WA830RE V2

Toen ik hier verder over nadacht bedacht ik zelf nog een mogelijke eis. Misschien wil je, je draadloze gastnetwerk wel gescheiden houden van je privénetwerk. Zodat gasten niet per ongeluk je netwerkprinter thuis gaan gebruiken, of je Apple-TV in de woonkamer overnemen. Deze eis is meer in het kader van toekomstbestendigheid dan dat het nu direct al speelt.

Dat klinkt volgens mij al meer alsof ik een volwaardige router nodig heb. Maar dan zie ik door de bomen het bos niet meer. Heb ik aan deze genoeg pricewatch: TP-Link TL-WR1043ND, of ga ik liever voor pricewatch: Netgear WNDR4500, die onlangs bij Kassa als beste uit de test kwam?

En als ik privé- en gastnetwerk wil scheiden, hoe zorg ik ervoor dat de twee DHCP-servers elkaar niet gaan bijten? VLAN's? Subnetten? Daar gaan we al de ingewikkeldheid in. Ik heb ook wat gelezen over gastnetwerk-functionaliteit die standaard in Wi-Fi routers zit, zou ik daar in deze situatie genoeg aan hebben?

Gemak bij installatie is trouwens belangrijker dan de totale kosten.

zondag 26 mei 2013 00:58

Acties:

dion_b

Moderator Harde Waren

say Baah

Makkelijkste manier om de boel te scheiden is om gewoon een tweede router (met NAT) achter je eigen router te hangen.

Aangesloten apparaten achter de tweede router kunnen niet bij computers of andere apparaten achter eerste router. Omgekeerd trouwens ook niet. DHCP is geen probleem, want het is een non-routed protocol.

Oslik blyat! Oslik!

zondag 26 mei 2013 01:01

Acties:

CyBeR

💩

dion_b schreef op zondag 26 mei 2013 @ 00:58:
Aangesloten apparaten achter de tweede router kunnen niet bij computers of andere apparaten achter eerste router.

Jawel. Ze krijgen er alleen geen broadcast-gebaseerde discovery van binnen, dus ze zullen ze niet in een lijstje zien staan.

All my posts are provided as-is. They come with NO WARRANTY at all.

zondag 26 mei 2013 01:39

Acties:

NLCJ

Het makkelijkst zou natuurlijk de optie zijn dat je de router met ingebouwd gastnetwerk pakt, en die vervolgens goed instelt. Voor zover ik me het kon herinneren was het niet echt moeilijk, eventjes inloggen en klaar is kees.

Daarna gewoon een WiFi extender pakken en het gastnetwerk van die router (waarschijnlijk iets in de richting van 'SSID_gast') extenden naar de plaats waar het nodig is. Zo'n router kost echt niet heel veel meer, maar heeft wel meer te bieden.

zondag 26 mei 2013 10:11

Acties:

dion_b

Moderator Harde Waren

say Baah

CyBeR schreef op zondag 26 mei 2013 @ 01:01:
[...]

Jawel. Ze krijgen er alleen geen broadcast-gebaseerde discovery van binnen, dus ze zullen ze niet in een lijstje zien staan.

Ugh, ik bedoelde nautuurlijk andersom, prive spul achter tweede NAT.

* dion_b moet eerder gaan slapen

Oslik blyat! Oslik!

zondag 26 mei 2013 10:54

Acties:

jurjen81

Het hangt er ook vanaf wat voor router er nu in gebruik is. Als je deze kunt flashen met bijvoorbeeld Tomato of DD-WRT dan zou je een apart vlan aan de netwerkpoort waaraan de range extender hangt kunnen koppellen en zo de 2 netwerken van elkaar kunnen scheiden. Ik heb zelf ervaring met Tomato (wel een doorontwikkeling kiezen met vlan ondersteuning), en dat is allemaal heel gebruiksvriendelijk.
Als je de mogelijkheid hebt is dit volgens mij de makkelijkste/goedkoopste oplossing.

[ Voor 4% gewijzigd door jurjen81 op 26-05-2013 10:56 ]

zondag 26 mei 2013 15:37

Acties:

ShadowAS1

IT Security Nerd

Ook een mogelijkheid is Ubiquiti UniFi, daar kun je zo een gastnetwerk op aanmaken zonder gedoe met VLANs

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

maandag 27 mei 2013 17:13

Acties:

M-ThijZ

Riding on Rails

Topicstarter

Bedankt voor alle reacties!

De Ubiquiti UniFi is een mooie oplossing, maar ik vind de prijs van €300,- iets te hoog voor deze situatie.

Aan de huidige router maak ik liever geen aanpassingen. Volgens mij is het een random Cisco Wi-Fi access point. Liever flash ik deze niet.

Kan ik niet het makkelijkste deze pricewatch: Netgear WNDR4500 aanschaffen. Om vervolgens deze in bridge-modus te zetten? Op de productpagina van Netgear zag ik dat dit Wi-Fi Access Point ook voor gastnetwerken een feature heeft: "GUEST NETWORK ACCESS—Separate & secure access for guests".

Weet iemand wat dat inhoudt en of dit werkt in combinatie met de bridge-modus?

maandag 27 mei 2013 17:57

Acties:

cornfed99111

Download de handleiding van dat apparaat en je kan lezen wat het precies inhoud.

maandag 27 mei 2013 18:40

Acties:

M-ThijZ

Riding on Rails

Topicstarter

Net even snel gekeken op wat andere fora. Als je een Wi-Fi Access Point in bridge-modus zet, dan gaat 'guest network access' helemaal niet werken. Wat dit namelijk doet is een extra SSID alleen toegang geven tot de WLAN poort.

Maar in deze bridged setup is de WLAN poort rechtstreeks aangesloten op de rest van het netwerk, dus dan heb je nog toegang to alles.

maandag 27 mei 2013 19:36

Acties:

cornfed99111

Lijkt mij logisch.
Om twee gescheiden WIFI netwerken te creëren, moet je routeren.
En bridge is geen router.

Waarom wil je iets doen met bridge?

maandag 27 mei 2013 22:36

Acties:

M-ThijZ

Riding on Rails

Topicstarter

Wat ik eigenlijk wil doen is vanwege het bereik een tweede Wi-Fi Access Point plaatsen. Omdat dit vaak voor gasten gebruikt gaat worden zou ik graag de mogelijkheid hebben om het gastnetwerk enigszins af te schermen. Zodat gasten alleen van de bestaande internetverbinding gebruik kunnen maken en niet bijv. de netwerkprinter zien.

Ik zat te denken aan een AP in bridge-mode, omdat de bewoners het dan nog steeds kunnen gebruiken als normaal draadloos netwerk. Ze hebben dan alleen extra bereik gekregen.

[ Voor 21% gewijzigd door M-ThijZ op 27-05-2013 22:47 ]

maandag 27 mei 2013 23:23

Acties:

peterpv

Als je alleen een tweede AP toevoegt (in bridge mode of niet) zal al het gast verkeer over het bestaande netwerk gaan en dan kunnen de gasten de netwerk printer zien (ze moeten over het bestaande netwerk om uberhaupt te kunnen internetten). Met alleen een AP maak je je huidige netwerk groter, je voegt geen scheidingen toe en dus geen beveiliging, iedereen kan overal bij. Zelf als deze AP een guest mode of zoiets heeft.

Wat je volgens mij zult moeten doen is een router toevoegen direct na het punt waar internet binnenkomt. Daar zul je namelijk de scheiding moeten maken tussen het prive netwerk en het gast netwerk. Op die manier maak je twee netwerken, het gasten netwerk en een nieuw beveiligd netwerk wat dan het privé netwerk wordt. Je ontkomt er niet aan het zo te doen als je deze scheiding wilt.

maandag 27 mei 2013 23:32

Acties:

cornfed99111

Dus een combi Bridge AP en routed AP.
Bridge alleen voor de eigen netwerk en firewall/NAT voor de gasten WIFI.

Dat is mogelijk. Bijvoorbeeld voor mijn oude Fonera kan je een custom firmware
downloaden die zoiets kan. Of die Netgear dat ook kan, weet ik niet.
Je moet je verdiepen in OpenWRT, Tomato en DD-WRT.
Daar zou zoiets mogelijk mee moeten zijn.

dinsdag 28 mei 2013 08:51

Acties:

peterpv

@cornfed99111: Ik zie niet in wat je wilt bereiken met de custom firmware, volgens mij heeft M-ThijZ namelijk helemaal geen extra functionaliteit nodig anders dan wat er nu al in elke router zit.

Misschien wil je de "gasten Wifi" functie toevoegen ? Dat zou kunnen werken voor M-ThijZ als die
WiFi-router direct aan zijn modem hangt (dus niet via een kabel die onderdeel uitmaakt van het prive netwerk). Maar aangezien er een kabel naar het gastenverblijf loopt en daar een gast AP moet komen
zal die kabel dus "Internet" moeten zijn en niet "Prive netwerk".

Je moet de scheiding van de netwerken direct achter de modem doen.
Eigenlijk moet je dan een router hebben waarbij één van de netwerk poorten het guest netwerk staat, daar prik je de kabel in naar het gastenverblijf en in het gastenverblijf zet je een AP.
Ik denk dat je dit wel voor elkaar kunt krijgen met een router die DD-WRT of iets dergelijks draait maar ik denk niet dat dit eenvoudig is om te configureren. Ik ben zelf goed bekend met DD-WRT maar heb zoiets nog nooit geprobeerd.

Ook bij dit scenario ontkomt M-ThijZ er niet aan de router achter de modem te wijzigen of te vervangen.

Twee routers achter elkaar is simpeler te configureren en je weet zeker dat het privé netwerk gescheiden is van het gasten netwerk (omdat er een router tussen zit).

M-ThijZ, ik hoop dat je het nog een beetje kan volgen

dinsdag 28 mei 2013 09:39

Acties:

Saus

Wellicht zijn RouterBoard routers iets voor je, deze zijn super uitgebreid maar helemaal niet duur. Vlans, meerdere SSID's, hotspot functionaliteit etc etc. Bij integrated solution voor license level 4 kiezen:
http://routerboard.com/

Deze bijvoorbeeld:
http://i.mt.lv/routerboard/files/rb751G-2HnD.pdf

Hier de verschillende license levels, bij level 4 kun je 200 users op je hotspot hebben (wat volledig gescheiden blijft van je eigen netwerk):
http://wiki.mikrotik.com/wiki/Manual:License#License_Levels

De software is wel erg uitgebreid (niet niet heel erg: next next next finish), maar ik vind dat erg prettig.

dinsdag 28 mei 2013 22:19

Acties:

M-ThijZ

Riding on Rails

Topicstarter

Ah, veel informatie, thanks! Het is me duidelijk dat het te realiseren is, maar hiervoor er wel aanpassingen nodig zijn voor de bestaande modem/router.

Dan ga ik eerst even overleggen of ze dit over hebben voor een apart gastnetwerk.

Als ik deze eis laat vallen, wat zou dan de simpelste oplossing zijn? Praten we dan over een Access Point in bridge-mode? (dus DHCP uit)

Ik zie bijvoorbeeld dit staan: pricewatch: TP-Link TL-WA830RE V2, maar kun je die via UTP ook aansluiten op het bestaande netwerk, of is die aansluiting alleen voor een PC?

dinsdag 28 mei 2013 23:01

Acties:

peterpv

Als je afziet van een apart gastnetwerk dan kun je idd volstaan met alleen een Access Point.
Je hoeft alleen maar de AP aan te sluiten via de netwerk kabel die er al ligt en het andere eind van de netwerk kabel in de bestaande router/switch te pluggen.
In de AP stel je een aparte naam (SSID) in (bv: gasten ), WPA2 encryptie en een wachtwoord.
Aangezien iedereen met toegang ook bij het bestaande netwerk kan moet je het wel goed
beveiligen anders kan iedere willekeurige voorbijganger overal bij.

NB: Als je een apart gastnetwerk hebt zou je zonder beveiliging kunnen aangezien het gastnetwerk
alléén Internet toegang heeft.

Vergeet bridge mode, bridge mode koppelt twee netwerken aan elkaar middels wifi of kabel.
Je hebt maar één netwerk ! En als je toch een apart gast netwerk opzet wil je die juist NIET
koppelen aan het bestaande netwerk want dan hebben de gasten wel toegang.
DHCP: zit als het goed is niet in een Access Point. De router deeld de IP adressen uit,
een AP maakt het netwerk slechts wireless.

Mocht je een wireless router (mis)bruiken als AP (dat doe ik hier thuis) dan moet idd de DHCP uit.

De voorgestelde TP-link AP is prima denk ik. Ja die sluit je via UTP aan op het bestaande netwerk dus
op de switch of router (als een router meerdere UTP uitgangen heeft dan zit er stiekum een switch in).
Op dezelfde manier als dat je een PC zou aansluiten, dus nee die aansluiting is niet alleen voor een PC maar elk apparaat wat een netwerk verbinding kan gebruiken (Access Point, media speler of zelfs een koelkast met internet

)

woensdag 29 mei 2013 11:31

Acties:

M-ThijZ

Riding on Rails

Topicstarter

Bedankt peterpv, dat schept duidelijkheid.

Zou het ook mogelijk zijn om met behulp van verschillende subnets en de juiste netmask instelling een scheiding te makken tussen de twee netwerken?

Bijv. de eerste router waarop de modem aangesloten is in een 192.168.x.x range en de tweede router op een 10.0.x.x range? De tweede router kun je misschien configureren om verkeer naar de 192.168.x range te blocken.

Afbeeldingslocatie: http://f.cl.ly/items/1o2r1f2f0j0t2H0G0p22/Screen%20Shot%202013-05-29%20at%2011.29.47.png

Afbeeldingslocatie: http://f.cl.ly/items/1o2r1f2f0j0t2H0G0p22/Screen%20Shot%202013-05-29%20at%2011.29.47.png

Dus als bovenstaand.

woensdag 29 mei 2013 12:57

Acties:

lier

MikroTik nerd

Gastnetwerk lijkt mij (persoonlijk) een must, hele nette oplossing is inderdaad een router met VLAN ondersteuning in combinatie met een AP.

Zou je nog kunnen melden welke hardware nu aanwezig is?
Wat is het budget?

Bovenstaand plaatje is leuk maar de gasten kunnen nu nog steeds vrolijk op het 192.168.x.x netwerk segment.

Eerst het probleem, dan de oplossing

woensdag 29 mei 2013 13:26

Acties:

Dennism

M-ThijZ schreef op maandag 27 mei 2013 @ 17:13:
Bedankt voor alle reacties!

De Ubiquiti UniFi is een mooie oplossing, maar ik vind de prijs van €300,- iets te hoog voor deze situatie.

Aan de huidige router maak ik liever geen aanpassingen. Volgens mij is het een random Cisco Wi-Fi access point. Liever flash ik deze niet.

Kan ik niet het makkelijkste deze pricewatch: Netgear WNDR4500 aanschaffen. Om vervolgens deze in bridge-modus te zetten? Op de productpagina van Netgear zag ik dat dit Wi-Fi Access Point ook voor gastnetwerken een feature heeft: "GUEST NETWORK ACCESS—Separate & secure access for guests".

Weet iemand wat dat inhoudt en of dit werkt in combinatie met de bridge-modus?

Een Unifi AP heb je al voor 89 euro als je geen 5Ghz nodig hebt, ook heb je dan geen aanpassingen nodig binnen de bestaande infra, en je hebt wel een gast netwerk met guest isolation (AP inpluggen, controller software installeren, AP configureren en klaar).

woensdag 29 mei 2013 13:43

Acties:

peterpv

Het idee: 192.168.x.x range en de tweede router op een 10.0.x.x vind ik leuk maar ik vraag mij af of je dat werkend gaat krijgen. Aangezien router 2 NAT (Network adress translation) doet worden de IP packets op het 10.0.x.x netwerk vertaald in 192.168.x.x packets op dat netwerk. Dus zoals lier ook al zegt, je gasten kunnen nog steeds op het privé netwerk.
Tenzij je huidige Router 1 een VLAN / VPN kan aanbieden waar Router 2 (of een AP) gebruik van kan maken ontkom je er niet aan Router 1 te vervangen of een extra router tussen de Modem en Router 1 te hangen (waar je dan je gasten netwerk aftapt).
Eigenlijk is je plaatje al bijna helemaal goed, alleen de gasten moeten aan Router 1 en PC1 + Printer aan Router 2. Maar ik begrijp dat er meer speelt en je de linkerkant met rust wilt laten.

[ Voor 13% gewijzigd door peterpv op 29-05-2013 13:52 ]

woensdag 29 mei 2013 15:19

Acties:

M-ThijZ

Riding on Rails

Topicstarter

Maar je kunt op router 2 toch een rule aanmaken dat alle verkeer naar de 192.168.x.x range geblocked wordt? Met natuurlijk als uitzondering het IP adres van router 1 (zeg 192.168.1.1). Als ik zo'n Netgear pak als uit mijn OP, dan moet ik dat daar toch op in kunnen stellen?

Dat is toch ook precies hoe guest isolation werkt met een Unifi AP? Dan stel je bij Access Control in bij welke subnets gasten niet bij mogen.

quote: http://dl.ubnt.com/guides/UniFi/UniFi_AP-Pro_UG.pdf
Access Control
Restricted Subnets: Enter any subnets that you don’t
want guests to be able to access.

Dus voor €89,- zal dit een oplossing zijn, waarbij ik de linkerkant met rust kan laten?

Afbeeldingslocatie: http://f.cl.ly/items/0P0s0r1L3t151l1g0T12/Screen%20Shot%202013-05-29%20at%2015.17.16.png

Afbeeldingslocatie: http://f.cl.ly/items/0P0s0r1L3t151l1g0T12/Screen%20Shot%202013-05-29%20at%2015.17.16.png

woensdag 29 mei 2013 17:57

Acties:

peterpv

Ik denk dat de Unifi AP oplossing iets anders is dan een Netgear AP waar je een subnet blokkeerd.
Als ik het goed begrijp heb je bij de Unifi AP oplossing ook een server nodig, in dit geval een virtual server dus een programma wat draait op een PC (die altijd aan moet staan als het Unifi AP actief moet zijn).
De Unifi AP maakt een VLAN verbinding met de Unifi server applicatie en in die server zit waarschijnlijk een soort firewall die bepaald wat wel en niet mag.

In een AP zit gewoonlijk geen firewall dus dan kun je geen blocked range instellen.
Als je een Wireless router gebruikt kan dat wel al weet ik zo niet of dat op deze manier wel gaat werken en dus ook echt het privé netwerk zal afschermen. Als je nog een (wireless)router heb liggen zou ik zeggen: probeer het uit. Eventueel koop je een tweedehands een oude wireless (54 Mbit) router om mee te experimenteren.

Ik zou er in dat geval één proberen te scoren waar je DD-WRT op kunt draaien: http://www.dd-wrt.com
bv een Linksys WRT54G, die worden ook nog eens vaak aangeboden. Let wel op dat het de juiste versie is.
Met DD-WRT heb je meer mogelijkheden dan met de firmware van de fabrikant van de router.

vrijdag 31 mei 2013 09:02

Acties:

Dennism

Bij Unifi heb je de controller alleen nodig voor installatie dan wel statistieken of captive portal. Als je deze laatste 2 niet gebruikt hoeft de software niet altijd te draaien. Een server heb je al helemaal niet nodig en vlans zijn optioneel. (wel best practise bij grote deployments uiteraard.

Bij een Single AP netwerk (thuis/zeer klein zakelijk) stel ik het altijd zo in met Unifi:

Controller installeren op een random PC in het netwerk. AP aansluiten, deze krijgt zijn IP gewoon via DHCP binnen de huidige reeks. 2 SSID's maken (een private met normale netwerk toegang, een guest met beperkte toegang), zelfs een ander subnet is niet nodig. De logica in het AP regelt dat een apparaat op de private SSID gewoon overal bij kan (andere pc's/printers e.d. in het subnet) en dat een apparaat op het guest SSID alleen kan verbinden met het AP en de gateway. tijd nodig, voor dit alles +- 15 min, stuk sneller in mijn ervaring dan gaan kloten met zaken als DD-WRT. Hierna kan je de controller zelfs deinstalleren als je geen gebruik maakt van de Portal en statistieken functie, al is het wel handig deze geinstalleerd te laten staan voor als je ooit nog eens wat settings wil aanpassen. De controller zal niet automatisch starten, tenzij je dit zo instelt.

vrijdag 31 mei 2013 10:16

Acties:

peterpv

Als ik dat zo lees had ik het idd niet helemaal begrepen hoe die Unify werkt (ik heb er zelf ook geen ervaring mee) en lijkt het mij een no-brainer om het zo te doen als Dennism voorstelt :-)
Kloten met DD-WRT gaat je idd wel wat tijd kosten als je er geen ervaring mee hebt maar is wel leerzaam.
Succes ermee !

zaterdag 1 juni 2013 19:02

Acties:

M-ThijZ

Riding on Rails

Topicstarter

Dennism en peterpv bedankt voor het meedenken. Afgelopen donderdag de vraag over guest afscherming ook bij Ubiquiti neergelegd en het lijkt inderdaad allemaal te kunnen.

Dennism fijn dat je praktijkervaringen met UniFi wilde delen. Het klinkt haast te mooi om waar te zijn, maar op deze wijze is er met minimale inspanning een draadloos privé- en gastnetwerk te realiseren.

Ik heb wel begrepen dat bij een netwerkscan vanaf het gastnetwerk, de devices in het private netwerk wel zichtbaar zijn, maar niet te benaderen. Wil je dat niet dan zou je inderdaad VLANs kunnen gaan gebruiken, maar dat kan meer impact hebben op je bestaande netwerk.

Het ziet er naar uit dat ik een UniFi AP aanschaf en dan de configuratie van Dennism ook probeer.

zondag 9 juni 2013 19:42

Acties:

M-ThijZ

Riding on Rails

Topicstarter

Inmiddels heb ik tijd gehad om de Unifi AP even uit te proberen.

Het werkt precies zoals verwacht. Stekker in het stopcontact. Controller software op de PC starten, bestaande SSID en wachtwoord invoeren, nieuw SSID voor gastnetwerk aanmaken en klaar.

Al met al nog geen 10 minuten werk. Bedankt voor de tip!

dinsdag 11 juni 2013 22:45

Acties:

M-ThijZ

Riding on Rails

Topicstarter

Nou, ik moet hier toch van terugkomen. Ik zit met een heel vreemd probleem.

De UniFi AP heb ik aangesloten op de bestaande WLAN router. De UniFi nu geconfigureerd met slechts een SSID. Verder geen bijzonderheden, dus geen guest portal of guest restriction. Gewoon als Access Point. Voor de zekerheid een vast IP buiten de DHCP range.

Als nu een wireless device, maakt niet uit of dat nu een laptop, iPad of smartphone is, connect met de bestaande WLAN router, vervolgens met de SSID van de UniFi AP en daarna weer terug met de bestaande WLAN router heb ik een probleem.

Dat device kan het interne netwerk niet meer benaderen (ping naar 192.168.1.1 krijgt ping: sendto: Host is down; Request timeout for icmp_seq 62).

Als ik daarna connect naar UniFi AP werkt het interne netwerk vanaf dat device weer wel, maar nooit meer via de originele WLAN router, todat ik de WLAN router reboot.

Dat is toch waanzinnig?