2e SSID voor gratis klantenWIFI - Netwerken

woensdag 26 juni 2013 12:58

Acties:

Topicstarter

Hallo allemaal,

Ik heb bij een klant een situatie waarin een netwerk (ADSL-wireless router met daarin de betreffende PC's). Nu vragen de klanten van deze winkel om gratis WIFI. Ik dacht dus slim te zijn en een 2e router (Netgear W54gl) neer te zetten.

De SSID van de eerste router laten verbergen + WPA2-key erop en de SSID van de 2e router openbaar SSID zonder key.

Werkt in eerste instantie. De IP-adressen van de eerste (hoofd)router waren 192.168.1.x en helaas kan ik dat van de 2e (netgear) niet wijzigen. Deze beginnen op 192.168.1.100 en verder. Wel in dezelfde range dus.

Ik had gehoopt dat deze bijv. op 10.0.0.1 zou beginnen maar helaas. Internet werkt gewoon via beide, maar regelmatig valt nu de verbinding weg. Overduidelijk storen deze 2 routers elkaar op het netwerk. Ik heb nu de 2e router er weer uitgetrokken en alles werkt weer naar behoren.

Hoe kan ik nu op een veilige en juiste manier de klanten van deze winkel gratis WIFI aanbieden, zónder dat ze daarbij een IP-adres van de 1e router krijgen?

woensdag 26 juni 2013 13:02

Acties:

gambieter

Just me & my cat

Wat voor router is de modem/router? Zet die op een andere IP-range. Maar weet je zeker dat de Netgear niet anders kan? Ik vraag me ook af of de typenummer goed is, is het een WRT54GL?

I had a decent lunch, and I'm feeling quite amiable. That's why you're still alive.

woensdag 26 juni 2013 13:05

Acties:

FlorisD

Het moet gewoon mogelijk zijn om die WRT54GL op een ander subnet te zetten. Iedere router kan dat volgens mij, desnoods op 192.168.10.* ipv 192.168.1.* om IP-conflicten te voorkomen. Daarnaast moet je natuurlijk opletten dat de beide routers niet op hetzelfde wifi-kanaal werken, want dan gaan ze elkaar tegenwerken. Met een programma/app als inSSiDer is dat goed te zien.

Verder zou je natuurlijk eigenlijk ook het interne netwerk moeten afschermen op het gastnetwerk, zodat gasten elkaar niet kunnen zien, en zodat klanten niet op je eigen interne netwerk kunnen komen (op de 1e router/modem).

[ Voor 4% gewijzigd door FlorisD op 26-06-2013 13:06 ]

woensdag 26 juni 2013 13:17

Acties:

nickertNL

Is het mischien niet handiger om gewoon 1 router te nemen die een gastnetwerk uit zichzelf ondersteund?

Ik heb thuis een WNDR3800 staan van netgear en daar kan je standaard al een gasten netwerk instellen.
werkt prima!

woensdag 26 juni 2013 13:21

Acties:

lier

MikroTik nerd

Je opstelling is niet echt veilig, "normaal gesproken" wil je twee gescheiden netwerken. Daar zijn meerdere mogelijkheden voor (en meerdere topics waar dit aan de orde is gekomen), mijn voorkeur zou uitgaan naar een apparaat dat zowel een private als een public wifi netwerk aanbiedt.

Met alle respect heb ik het idee dat je niet precies weet wat je doet, is het een optie om iemand met voldoende ervaring op (draadloos) netwerk gebied langs te laten komen?

offtopic:
Dit is geen open sollicitatie

Eerst het probleem, dan de oplossing

woensdag 26 juni 2013 13:22

Acties:

johnkeates

Gewoon Dubbel-NAT doen, maakt echt geen drol uit voor de internetters die gratis mogen internetten.

ADSL -> Modem/Gateway1 -> Router2 -> Klanten Wifi

Tip:

- Gebruik WPA1+TKIP voor je klantenwifi. Dit is het breedst ondersteund en zorgt voor een klein beetje veiligheid. (Wardrivers kunnen zonder het wachtwoord geen pcaps decoderen bijv.)

- Gebruik AP Isolation, klanten hoeven onderling helemaal niet te communiceren.

- Zet het apparaat in een totaal andere range, bijv. 10.9.8.0/24

Daarnaast:

- Ga niet je prive SSID 'verbergen'. Dat is gewoon geen beveiliging, en trekt juist mensen die interessant vinden om te kijken wat je probeert te verbergen.

- MAC-whitelisting, werkt niet.

- Gebruik voor het interne netwerk WPA2+AES en een wachtvoor van 10 karakters of meer.

Optioneel:

- Het zou het mooiste zijn om een captive portal te gebruiken, daar kan je voorwaarden op plaatsen waar mensen akkoord mee moeten gaan voordat ze kunnen internetten.

[ Voor 32% gewijzigd door johnkeates op 26-06-2013 13:26 ]

woensdag 26 juni 2013 13:26

Acties:

Frostbite

🤦🏻‍♂️

Waarom niet gewoon een Asus dual band router aanschaffen of ander soort router.

Bedrijfs Wifi netwerk aanmaken 2,4Ghz en 5Ghz
Daarnaast Gastnetwerk(en) aanmaken met wachtwoord. Voordeel is dat die alleen op internet kunnen en de interne apparaten niet kunnen benaderen.

Hang gewoon een papier op in het bedrijf met het gratis wifi wachtwoord (dus niet open laten) en klaar is kees lijkt me.

woensdag 26 juni 2013 13:28

Acties:

johnkeates

Sc0rPi0N schreef op woensdag 26 juni 2013 @ 13:26:
Waarom niet gewoon een Asus dual band router aanschaffen of ander soort router.

Om dat je dat apparaatje dan even platlegt en de zaak daar meteen last van heeft. Daarom.

woensdag 26 juni 2013 13:32

Acties:

martijnve

ADSL -> Modem/Gateway1 -> Router2 -> Klanten Wifi

Als je dit doet kunnen klanten dus bij je interne netwerk!
Je moet ze andersom opstellen.

Mini-ITX GamePC: Core i5 3470 | 16GB DDR3 | GTX 970 4GB | Samsung 830 128GB | Dell u2711 (27", IPS,1440p), 2343BW

woensdag 26 juni 2013 13:35

Acties:

Frostbite

🤦🏻‍♂️

johnkeates schreef op woensdag 26 juni 2013 @ 13:28:
[...]

Om dat je dat apparaatje dan even platlegt en de zaak daar meteen last van heeft. Daarom.

Knap dat je dat kan 'even platleggen'. Over hoeveel klanten hebben we het eigenlijk?
Als het echt een grote zaak is dan zul je professioneel spul moeten aanschaffen.

woensdag 26 juni 2013 13:35

Acties:

johnkeates

martijnve schreef op woensdag 26 juni 2013 @ 13:32:
[...]

Als je dit doet kunnen klanten dus bij je interne netwerk!
Je moet ze andersom opstellen.

Niet perse, als je bijv. intern op 172.16.1.0/24 zit en de klanten op 10.9.8.0/24 en je firewall of iptables geen verkeer tussen die twee netten toestaat.

Het beste is natuurlijk gewoon een apparaat met een degelijk stuk software neerzetten, dat hoeft niet eens duur te zijn. Mooiste voor een laag budget is denk ik iets als:

IS/RA->ADSL Modem->pfSense gateway

Daarna:

pfSense LAN1-> Intern netwerk -> AP1 voor interne wifi

pfSense LAN2-> Publiek netwerk -> AP2 voor gratis wifi

En dan gewoon geen verkeer tussen LAN1 en LAN2 toestaan.

woensdag 26 juni 2013 13:36

Acties:

johnkeates

Sc0rPi0N schreef op woensdag 26 juni 2013 @ 13:35:
[...]

Knap dat je dat kan 'even platleggen'. Over hoeveel klanten hebben we het eigenlijk?
Als het echt een grote zaak is dan zul je professioneel spul moeten aanschaffen.

Met platleggen heb ik het over doelbewust.
Dit is een beetje een afweging maken tussen: ga ik mijn business kunnen draaien, of voeg ik gratis wifi voor mijn klanten toe en loop ik het risico dat iemand lullig wil doen en mijn netwerk uit de lucht haalt?

woensdag 26 juni 2013 13:40

Acties:

Frostbite

🤦🏻‍♂️

johnkeates schreef op woensdag 26 juni 2013 @ 13:36:
[...]

Met platleggen heb ik het over doelbewust.
Dit is een beetje een afweging maken tussen: ga ik mijn business kunnen draaien, of voeg ik gratis wifi voor mijn klanten toe en loop ik het risico dat iemand lullig wil doen en mijn netwerk uit de lucht haalt?

Euh afgezien van het doemdenken maar hoe groot is de kans dat er nu anno 2013 iemand langs komt die de boel plat legt ???

Ik verwacht eerder dat het dan doelbewust moet zijn (nogmaals hoe groot is die kans) en daarbij zullen hackers eerder een open wifi pakken dan een die dichtgetimmerd is van bedrijf X.

[ Voor 15% gewijzigd door Frostbite op 26-06-2013 13:43 ]

woensdag 26 juni 2013 13:42

Acties:

dion_b

Moderator Harde Waren

say Baah

Opzettelijk: anno 2013 heb je nog steeds verveelde klierende tieners
Onopzettelijk: iemand met laptop met torrent client die standaard aan staat en geen upload cap heeft danwel eentje die ingesteld is op (dikkere) verbinding thuis is een realistisch scenario

[ Voor 19% gewijzigd door dion_b op 26-06-2013 13:43 ]

Oslik blyat! Oslik!

woensdag 26 juni 2013 13:45

Acties:

Frostbite

🤦🏻‍♂️

Je kunt toch ook alleen poort 80 openzetten in je router?
Kan er ook geen ander verkeer langsgaan lijkt me.

Maar goed over wat voor winkel hebben we het TS ?

Ik kan 1001 winkels verzinnen dat ik me niet kan voorstellen dat daar scriptkiddies of andere leechers zitten.
Eerder als ze ergens op moeten wachten (service oid) en ze even de tijd moeten doden.

[ Voor 54% gewijzigd door Frostbite op 26-06-2013 13:50 ]

woensdag 26 juni 2013 13:49

Acties:

dion_b

Moderator Harde Waren

say Baah

Ik kan willekeurig welk verkeer over port 80 gooien hoor

Sterker nog, in de tijd dat mijn provider ranzig aan traffic shaping deed gooide ik daadwerkelijk bulkverkeer erover.

Bovendien zou ik vooral 443 ook open willen hebben voor https...

Ik zou gewoon met QoS cappen hoeveel verkeer er in totaal overheen mag, wat voor verkeer dat is zou ik geen tijd in stoppen. Zorgt ook dat je geen issues krijgt met diensten die andere poorten gebruiken waar je niet aan gedacht hebt.

Oslik blyat! Oslik!

woensdag 26 juni 2013 20:48

Acties:

Verwijderd

Modbreak:SPAM removed

[ Voor 96% gewijzigd door Koffie op 27-06-2013 08:14 ]

donderdag 27 juni 2013 01:54

Acties:

Verwijderd

Ik lees overal Mikrotik hier daar, hier maar zie weinig in de pricewatch en de verschillende modellen of een topic reeks? Waarom?

donderdag 27 juni 2013 01:59

Acties:

Fish

How much is the fish

Verwijderd schreef op donderdag 27 juni 2013 @ 01:54:
Ik lees overal Mikrotik hier daar, hier maar zie weinig in de pricewatch en de verschillende modellen of een topic reeks? Waarom?

Omdat de pricewatch wordt gevuld door verkopers die winst willen maken. en niet door enthousiastelingen die bang for buck zoeken, gok ik ?

De microtiks zijn wss wat intimiderender voor normale consumenten

Iperf

Pagina: 1

Reageer