Netwerk afschermen i.c.m. Experiabox - Netwerken

woensdag 7 augustus 2013 17:39

Acties:

Topicstarter

Voor een familielid moet ik het netwerk opnieuw aansluiten. Ik kom er ongeveer wel uit maar mijn redenatie loopt steeds vast wanneer de Experiabox in het spel komt (wat een ellende altijd met die dingen...).
Hij heeft zelf een IPB abonnement en daarbij een Experiabox (Arcadyan arv7519).
Er verblijven echter ook gasten die wel toegang tot het internet, maar geen toegang tot het thuisnetwerk en/of elkaar mogen hebben. Nu heb ik al zitten zoeken hoe dit opgezet moet worden en met VLAN moet dit mogelijk zijn.
Het idee was om het als volgt te doen:

code:

1 2	Experiabox -> Managed switch -> Thuisnetwerk -> Aparte VLAN's voor gasten -> AP met wireless isolation

Echter zitten volgens mij op deze manier de apparaten die via WiFi op de Experiabox verbonden zijn nog steeds op hetzelfde netwerk als de gasten. Iedereen heeft immers toegang tot de Experiabox (internet) en WiFi zit op hetzelfde netwerk. Klopt dit?
En zo ja, is dan de enige oplossing dan om een andere router (met VLAN functionaliteit) achter de Experiabox te hangen en WiFi van de Experiabox uit te schakelen?

woensdag 7 augustus 2013 20:14

Acties:

Kompaan

Snippo schreef op woensdag 07 augustus 2013 @ 17:39:
En zo ja, is dan de enige oplossing dan om een andere router (met VLAN functionaliteit) achter de Experiabox te hangen en WiFi van de Experiabox uit te schakelen?

Zolang je geen layer3 switch hebt, moet je een router hebben die VLANs ondersteund, inderdaad.

woensdag 7 augustus 2013 21:32

Acties:

Verwijderd

Mikrotik routers zijn goedkoop, en kunnen exact doen wat jij wilt.

Het is niet makkelijk ze installeren, maar er zijn hele goede wiki's op hun site te vinden.

En Mikrotik heeft een ingebouwde Hotspot. Al dan niet met password. Dus out of the box, doet hij exact wat jij wilt. Gasten wel toegang geven tot internet, maar niet op je eigen LAN.

Zodoende hoef je niet te rommelen met VLAN's.

donderdag 8 augustus 2013 12:34

Acties:

Snippo

Topicstarter

Zien er interessant uit die Mikrotik producten.
De RB951G-2HnD lijkt me wel geschikt en is idd goed geprijst.

Wat is het grote verschil tussen deze Mikrotik producten en bijv. een TP-Link TL-WR1043ND met DD-WRT?
Puur dat je hier uit de fabriek je software (met al zijn functies) mee krijgt en niet met custom firmware aan de slag hoeft?

donderdag 8 augustus 2013 13:18

Acties:

jeroen3

Ik geef alle gasten toegang tot de experiabox en heb mijn eigen router+nat (in dmz) achter de experiabox.
Vanaf het experiabox netwerk kom je niet door mijn netgear's nat heen. Mijn spul is dus veilig, en snel.

Ja oke, de gasten kunnen elkaars devices zien, maar is dat zo erg?

donderdag 8 augustus 2013 15:04

Acties:

Snippo

Topicstarter

jeroen3 schreef op donderdag 08 augustus 2013 @ 13:18:
Ik geef alle gasten toegang tot de experiabox en heb mijn eigen router+nat (in dmz) achter de experiabox.
Vanaf het experiabox netwerk kom je niet door mijn netgear's nat heen. Mijn spul is dus veilig, en snel.

Ja oke, de gasten kunnen elkaars devices zien, maar is dat zo erg?

Mij maakt het uiteraard weinig uit

.
Maar net zoals jij je spul afschermd denk ik dat de gasten liever ook niet hebben dat andere (vreemde) mensen hun devices kunnen zien. Nu heeft iemand natuurlijk niet zomaar toegang tot je (gedeelde) bestanden als je het goed beveiligd, maar dit zal ook niet bij iedereen het geval zijn.

Het is ook zo dat de bekabeling niet ideaal ligt. Niet alle kabels die in dat geval op de experiabox aangesloten moeten worden komen in die ruimte uit. Zo zit het AP voor gasten weer aangesloten aan een router die bedoeld is voor persoonlijk gebruik (die dan weer aan de experiabox zit).

donderdag 8 augustus 2013 17:18

Acties:

jeroen3

Zo zit het AP voor gasten weer aangesloten aan een router die bedoeld is voor persoonlijk gebruik (die dan weer aan de experiabox zit).

Dat lijkt me geen hindernis, gewoon een switch aan de wan zijde van de router om dit kabelte in door te steken.

Maar waarom voel jij je zo betrokken bij de ICT veiligheid van gasten die gebruik maken van (waarschijnlijk) gratis en (semi-)openbaar Wi-Fi?

donderdag 8 augustus 2013 21:35

Acties:

lier

MikroTik nerd

Snippo schreef op donderdag 08 augustus 2013 @ 12:34:Wat is het grote verschil tussen deze Mikrotik producten en bijv. een TP-Link TL-WR1043ND met DD-WRT?

In vergelijking met OpenWRT op een WNDR3700 en een TP-Link 4300 stock firmware is de Mikrotik vooral superieur in stabiliteit en throughput op draadloos gebied,is de community bijzonder actief en biedt het een enorm scala aan opties.

Goed, je moet niet vies zijn van wat uitzoekwerk maar dat loont zich enorm!

Eerst het probleem, dan de oplossing

donderdag 8 augustus 2013 21:57

Acties:

Dennism

Je kan dit veel simpeler doen. Ik heb ook zoiets in elkaar gezet voor iemand. Wilde eerst gaan voor Ubiquiti AP's icm vlans om alles te scheiden echter bleek niet alle al aanwezige HW vlan compatible en er was geen verder budget mogelijk om dit op te lossen.

Toen de ubiquiti guest isolation functie getest met alle devices in een subnet en dit werkt wonderbaarlijk goed Clients op het isolated SSID kunnen niet met elkaar, niet met bedrade apparatuur dan wel met devices op het private SSID communiceren. Het enige waar ze wel mee kunnen communiceren uiteraard is de gateway en DHCP server (in mijn geval de glasvezelrouter).

Het enige nadeel is wel dat ze dmv broadcast verkeer kunnen zien welke apparaten er aangesloten zitten (mits deze op broadcast reageren) maar verdere communicatie is niet mogelijk vanaf het isolated SSD.

Enige wat ik nodig had was 1 AP en 30 min configureren met de controller software. Na configuratie heb je zelfs de controller niet meer nodig daar de AP of (AP's) na configuratie alles zelf afhandelen. Wel heb je controller nodig voor eventuele wijzigingen in de config, en als je zaken wil loggen gaat dit ook via de conmtroller (activiteit e.d.).

donderdag 8 augustus 2013 23:19

Acties:

CasGas

.

Ik zeg niet voor niets Ubiquiti FTW

Met de AP's van UBNT die je dan gebruikt kan je maximaal 4 SSID's broadcasten, waarvan je zelf kan kiezen hoeveel daarvan guest of private zijn.. Ik denk dat het ideaal is voor jouw situatie..

Sony A7III | Sony a6300 | Sony ZV-E1 | 12 2.0 | 21 1.4 | 24 1.4 | 35 2.8 | 50 1.4 | 135 1.8 | 16-28 2.8 | 16-70 4 | 28-75 2.8 | 70-200 2.8 II |

woensdag 14 augustus 2013 19:16

Acties:

Snippo

Topicstarter

jeroen3 schreef op donderdag 08 augustus 2013 @ 17:18:
[...]
Dat lijkt me geen hindernis, gewoon een switch aan de wan zijde van de router om dit kabelte in door te steken.

Maar waarom voel jij je zo betrokken bij de ICT veiligheid van gasten die gebruik maken van (waarschijnlijk) gratis en (semi-)openbaar Wi-Fi?

Wi-Fi is één van de voorzieningen van het Bed&Breakfast verblijf. Wi-Fi is gratis maar het verblijf natuurlijk niet. In de praktijk zal er waarschijnlijk niemand moeilijk over doen maar voor mijn gevoel moet zoiets gewoon goed geregeld zijn. En als ik er toch mee bezig ben kan ik het net zo goed in één keer goed doen

.

CasGas schreef op donderdag 08 augustus 2013 @ 23:19:
Ik zeg niet voor niets Ubiquiti FTW

Met de AP's van UBNT die je dan gebruikt kan je maximaal 4 SSID's broadcasten, waarvan je zelf kan kiezen hoeveel daarvan guest of private zijn.. Ik denk dat het ideaal is voor jouw situatie..

Er hangt al een Engenius AP (ENH200 geloof ik) die dezelfde functies heeft. Het probleem met dat ding is dat 'Profile Isolation' niet werkt. Dat is de functie om SSID's van elkaar te scheiden (geen idee hoe dat bij Ubiquiti heet, station seperation zorgt er bij Engenius voor dat de aangesloten apparaten niet kunnen communiceren).
Ik denk dat het komt doordat die functie ook gebruikt maakt van VLAN. Je moet iedere SSID namelijk een VID geven. Wanneer ik profile isolation aan zet is er geen verbinding met internet meer.
Een ander obstakel is dat er één ethernet kabel een verblijf in loopt waar een gast al langere tijd gebruik van maakt. Ook dat is natuurlijk makkelijker op te lossen maar goed.

Ik heb nu in ieder geval twee RB951G-2HnD's binnen en ik denk wel dat het daarmee goed moet komen.

woensdag 21 augustus 2013 10:02

Acties:

Snippo

Topicstarter

Update:

Ik heb ze nu hier thuis in een testopstelling staan en ik denk dat het gelukt is.
De eerste RB951 hangt aan de Experiabox via de WAN poort. Vervolgens heb ik op poort 2 twee VLAN interfaces gemaakt. VLAN1 zit in een bridge met de benodigde interfaces en hetzelfde met VLAN2.
Op de bridge van VLAN1 draait een DHCP server met 192.168.3.x en op die van VLAN2 draait 192.168.4.x.

Op de tweede RB951 heb ik op poort 1 (naar poort 2 van eerste RB951) en poort 2 (naar Engenius) dezelfde VLANs ingesteld. Daar zit ook alles behorend tot de VLAN in een eigen bridge.

Uiteindelijk is via de Firewall alle communicatie tussen de twee bridges (en dus de twee VLANs) geblokkeerd. Voor VLAN2 (de openbare) is ook de toegang tot de IP's van alle routers geblokkeerd.

Het heeft wel heel wat uren geduurd voordat ik zo ver was.

Was al drie dagen bezig voordat ik doorhad dat ergens ergens bij het wijzigen van een instelling automatisch de DHCP server werd aangezet. Die ging vervolgens over mijn hele netwerk de verkeerde IP's uitdelen waardoor het hele internet er iedere keer uit lag. Heb in ieder geval weer wat geleerd.

lier schreef op donderdag 08 augustus 2013 @ 21:35:
[...]
Goed, je moet niet vies zijn van wat uitzoekwerk maar dat loont zich enorm!

QFT. Op het begin zag ik door de bomen het bos niet meer, maar je kan dan ook een miljoen dingen instellen en die vrijheid is ideaal.

woensdag 21 augustus 2013 10:10

Acties:

Verwijderd

En je kan ook de scheduler gebruiken. Bv. vlan2 op bepaalde tijden (bv. 23:04) uitzetten. Dan is er geen internet mogelijk via de AP's. En om 7:00 weer aan of zo iets.... Veiligheid....

woensdag 21 augustus 2013 22:17

Acties:

Snippo

Topicstarter

Nog maar een update:

Ik heb vanmiddag de boel geïnstalleerd en voor internet werkte het prima, maar die rommel van KPN (IPTV) werkte natuurlijk weer niet.

Weet iemand of het binnenkomende ADSL signaal van KPN ook werkt met VLANs zoals hier beschreven voor glasvezel: http://netwerkje.com/hoe-werkt-de-dienst ?
Anders ga ik dat eens proberen. Ik kreeg nu op de STB een melding dat er een DHCP conflict was oid. Zal wel komen omdat hij toen achter een DHCP server met 192.168.3.x zat.

woensdag 21 augustus 2013 23:14

Acties:

webfreakz.nl

el-nul-zet-é-er

Snippo schreef op woensdag 21 augustus 2013 @ 22:17:Weet iemand of het binnenkomende ADSL signaal van KPN ook werkt met VLANs zoals hier beschreven voor glasvezel: http://netwerkje.com/hoe-werkt-de-dienst ?

Ja.

Voor telefonie moet je de experiabox gebruiken.
Voor internet kan je je eigen apparatuur gebruiken.
Voor televisie moet je in huis een gescheiden netwerk aanleggen.

"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!

zondag 25 augustus 2013 23:20

Acties:

Snippo

Topicstarter

Ik heb inmiddels één van de routers hier thuis weer in het netwerk hangen om het bovenstaande te testen.
Schijnbaar heb je niet helemaal gelijk webfreakz.nl. Hier thuis heb ik een ADSL aansluiting en dat werkt dus niet (er wordt PPPoA gebruikt ipv PPPoE). Zonder de Experiabox krijg ik hier dus geen verbinding.
VDSL schijnt echter wel hetzelfde opgebouwd te zijn als de glasvezelverbinding en als het goed is, is dat wat er ligt op de plek waar het aangesloten moet worden. Ik ga het van de week eens proberen.