Toon posts:

Netwerk advies gevraagd voor een gastnetwerk

Pagina: 1
Acties:

woensdag 1 april 2015 16:21

Acties:
  • 0 Henk 'm!
  • wlang
  • Registratie: Januari 2015
  • Niet online

wlang

Topicstarter
Hallo,

Op dit moment ben ik aan het nadenken over een herindeling van een
netwerk in een kerk met de volgende onderdelen:
Router: KPN experiabox v9, NAS: Synology, Kerkradio zender, Verwarming: Honyywell,
AP: sitecom (type weet ik even niet), 2 PC's en een laptop.
De laptop moet ik beide zalen een goed wifi-bereik hebben en met de NAS en pc's verbinding
kunnen hebben.
Ik heb het even schematisch getekend:
Afbeeldingslocatie: http://langstraat.diskstation.me/WIfikerk_nu.jpg
Aangezien ik een tweede netwerk wil voor de gasten ben ik op zoek naar een tweede router.
Het gastennetwerk moet aan de volgende regels voldoen:
- Alleen internet toegang (dus geen toegang tot NAS, andere pc's etc)
- Snelheid moet begrenst kunnen worden
- Gastennetwerk moet op bepaalde tijdstippen uitgeschakeld worden (op basis van tijd)
- Gasten netwerk is niet heel belangrijk in de "grote zaal"

Ik dacht aan het volgende qua nieuwe indeling:
Afbeeldingslocatie: http://langstraat.diskstation.me/NetwerkKerk.jpg

Ik heb wat zitten zoeken voor "Router2" en kwam op de volgende twee routers uit:
TP-Link Archer C8 of Linksys Smart Wi-Fi Router AC1900

Het budget wat ik er maximaal voor wil gaan uitgeven ligt rond de 100 euro.

Ik heb zelf niet zo heel veel verstand van DD-WRT of OpenWRT, etc en ik weet ook niet of
dat dit echt handig / noodzakelijk is om zoiets op te zetten.

Graag jullie advies / reactie over de nieuwe netwerk en keuze van een nieuwe router hiervoor.

[ Voor 2% gewijzigd door wlang op 01-04-2015 17:50 . Reden: maximaal budget toegevoegd en typo ]

vrijdag 10 april 2015 00:51

Acties:
  • 0 Henk 'm!
  • Antique
  • Registratie: Augustus 2007
  • Laatst online: 17-05 22:19

Antique

Kort antwoord: je zal in ieder geval wat moeten configureren aan de Experiabox, en als je het gebruik van custom firmware (DD-WRT etc.) wilt vermijden, dan moet je een router vinden die in zijn standaard firmware ondersteuning biedt voor alles wat je wilt (gast netwerk met snelheidsbegrenzing en automatisch on/off). Dat laatste gaat waarschijnlijk niet lukken onder de 100 euro, dus zul je toch zelf moeten sleutelen.

Lang antwoord: Ik begrijp dat in je huidige opstelling de Experiabox als router fungeert maar dat die geen ingebouwde functie heeft voor een Guest Wifi met beperkte snelheid? Dan kom je er eigenlijk niet onderuit om de Experiabox zijn routerfuncties te ontnemen en hem te downgraden tot een "dom" modem. Alle routerfuncties (uitdelen van IP's via DHCP etc.) worden dan overgenomen door een nader te kiezen nieuwe router die je achter de Experiabox-gedegradeerd-tot-modem hangt. Cruciale eis aan deze nieuwe router is dat hij ook ondersteuning biedt voor Guest networks. (Daarover meer verderop.)

Je kunt helaas niet je huidige situatie behouden (Experiabox als router) en simpelweg een AP erbij hangen die de rest van je netwerk wel even verbergt voor zijn clients, want zo'n AP geeft domweg datapakketten door zonder te controleren wat erin staat (het is een "Layer 2" apparaat) en kan dus niet bepalen welke informatie wel en welke niet door mag gaan. Dat is een functie die puur aan je router ("Layer 3" apparaat) is voorbehouden. Alleen door met rare truuks als double NAT te werken zou je de Experiabox als router kunnen behouden, en dat moet je niet willen.

Dus, stap 1: Zet de Experiabox in bridge modus zodat het een dom modem wordt dat vanuit een LAN poort internet levert aan de WAN poort van een nieuwe router. Er zit dan nog maar één netwerkkabel in de Experiabox LAN en die gaat naar de nieuwe router WAN; al je andere computers en switches moeten nu op de LAN poorten van de nieuwe router worden aangesloten. Tot dusver blijft je netwerk nog precies zo functioneren als voorheen, met als enige verschil dat de lokale IP adressen nu door de nieuwe router en niet meer door de Experiabox worden uitgedeeld. Controleer even in de webinterface van je router wat zijn WAN IP is: dit moet een publiek internet IP adres zijn. Als het 192.168.1.2 o.i.d. is dan staat je Experiabox nog niet netjes in bridge modus en werk je met een foutgevoelige "double NAT" constructie. Controleer ook het IP van een willekeurige laptop die verbonden is met de router: dat moet 192.168.1.2 o.i.d. zijn. Als het een publiek IP is, dan heb je een AP i.p.v. een router aan je Experiabox hangen en dat is een enorm veiligheidsrisico. Schakel trouwens ook de Wifi van de Experiabox zelf uit. (Zie extra opmerkingen onderaan.)

Welke nieuwe router moet je precies kopen? Dat maakt niet echt uit, zolang deze maar Guest Wifi ondersteunt. Je kunt gewoon een Fritz!box halen, die zijn wat duurder maar makkelijk in te stellen. Privé WiFi, Guest WiFi, allemaal uit hetzelfde apparaat. Je kunt het ook zelf doen door een goedkope router te flashen met DD-WRT of TomatoUSB. In deze twee firmwares kun je met een paar muiskliks een Guest WiFi met AP Isolation opzetten. De clients die verbinden met zo'n Guest Network kunnen elkaar niet zien, maar echt alleen het internet.

Tomato AP Isolation: http://tomatousb.org/settings:wireless#toc1
DD-WRT Guest Wifi: http://tips.desipro.de/2013/12/06/guest-wifi-setup-dd-wrt/
OpenWRT raad ik je af (erg ingewikkeld): http://wiki.openwrt.org/doc/recipes/guest-wlan

Dan moeten we er nog rekening mee houden dat je niet alleen Guest Wifi wilt, maar ook je eigen privé Wifi waarop de clients elkaar wél kunnen zien, plus de bekabelde apparaten. Sommige routers met custom firmware kunnen de twee Wifi netwerken naast elkaar draaien (afhankelijk van zowel de WiFi-chip als de software) net zoals de Fritz!box, maar niet alle. Een simpele oplossing is dan om een AP in een LAN poort van de router (niet de Experiabox!!) te steken: alles wat aan die poorten hangt, rekent je router standaard tot je privé netwerk en dus niet tot het gastengedeelte. Een AP in een LAN poort van je router zal dus toegang verschaffen tot het privé netwerk.

Dan nog je overige eisen: snelheid beperken en automatisch op bepaalde tijden in/uitschakelen van de Wifi. Voor dat laatste hebben Tomato en DD-WRT in hun webinterface een pagina waar je scripts kunt invoeren die op gezette tijden worden uitgevoerd. De scripts voor het in/uitschakelen van Wifi zijn eenvoudig en via Google te vinden. Het beperken van de snelheid is zeker ook mogelijk, maar ik weet niet zeker of het specifiek in te stellen is voor alleen het Guest netwerk. Zo niet, dan kun je altijd nog de snelheid van de gehele WLAN chip beperken, en voor je privé netwerk een los AP aankoppelen.

Of commerciële oplossingen zoals de Fritz!box snelheid kunnen knijpen en automatisch aan/uit kunnen gaan, dat weet ik niet. Ik ga ervan uit dat je die info zelf via Google moet kunnen vinden als je een bepaald model op het oog hebt.

Wat in mijn ogen écht een handige oplossing zou zijn: sommige internetproviders zijn bereid je meer dan één publiek IP adres te geven. Probeer dus eens je Experiabox in bridging modus te zetten en vervolgens niet één, maar twee routers eraan te hangen: LAN1(Experiamodem)->WAN(routerA) en LAN2(Experiamodem)->WAN(routerB). Als je geluk hebt krijgen beide routers een eigen internet IP.

Als dat lukt, dan neem je gewoon één router puur en alleen voor het gast netwerk, daarop zet je Tomato of DD-WRT met AP isolation, en zijn LAN poorten laat je gewoon leeg. Snelheidslimieten per client zijn dan gewoon globaal in te stellen (want je hebt alleen maar "guest" clients op deze router), desnoods forceer je de WAN poort op 10 Mbit/s als een harde totaallimiet, en je kunt het ding desnoods met zijn voedingsstekker aan een ouderwetse tijdschakelaar hangen. De andere router is puur voor je privé netwerk en die configureer je dus gewoon "normaal" zonder beperkingen, en daar hang je al je bekabelde apparaten aan. Dit zou ideaal zijn want het meest overzichtelijk, en de twee netwerken zijn zo goed gescheiden dat zelfs als iemand in het admin panel van je gastnetwerk komt, hij nog steeds niet bij je privé netwerk kan.

Hieronder nog wat extra opmerkingen.

* Het grote voordeel van een "AP Isolation" constructie boven ouderwets zelf prutsen met VLANs en subnetten is dat alle Guest clients ook van elkaar worden afgeschermd. Als alternatief op mijn suggesties hierboven kun je bijvoorbeeld een TP-Link TL-WR1043ND voorzien van OpenWRT en daarbij twee VLANs (Layer 2) met bijbehorende subnetten (Layer 3) en firewall zones instellen, maar dan scherm je alleen je interne netwerk af van de gasten - alle gasten kunnen elkaar dan wel zien aangezien ze op hetzelfde subnet zitten.

* Even een belangrijke waarschuwing herhalen: zodra je Experiabox in bridging mode staat, moet je de Wifi daarvan uitzetten en er vooral geen AP of computer direct in pluggen. Je mag echt alleen routers erop aansluiten! Alles wat je op een modem in bridging mode aansluit, hangt direct aan het internet. Iedereen die inlogt via zo'n AP heeft dus al zijn UPnP, fileshares, printers etc. etc. open staan naar het hele internet alsof het het lokale netwerk is. Zichtbaar voor poortscans en eenvoudig uit te buiten. Je wilt elk apparaat altijd achter een NAT hebben en daar heb je dus een router voor nodig.

* Nog even over je router keuze: neem vooral niet een state-of-the-art AC model als je met custom firmware aan de slag gaat. Beter is een 802.11n model van een paar jaar oud. Daarvoor zijn dan alle problemen gladgestreken, de juiste drivers bij elkaar gezocht en dus werkt de boel stabiel. De WNR3500L(v2) bijvoorbeeld doet onder de juiste builds van Tomato makkelijk 100 Mbit/s WAN to LAN, aangezien ze de hardware versnelling van de CPU aan de praat hebben gekregen. Als alles in software moet gebeuren (zoals bij veel nieuwe devices) zakken je snelheden enorm in. Ik haal voor dit soort projecten meestal een tweede handsje voor 20 euro aangezien je de garantie toch kwijt raakt met je custom firmware.

* De WNR3500L(v2) heeft als leuke bijkomstigheid een grote knop op de voorkant waar je een script aan kan koppelen, ik gebruik die meestal als WLAN aan/uit schakelaar.

* Wil je toch persé AC voor je privé netwerk? Ga dan voor mijn "ideale oplossing" waarbij je twee routers in de Experiabox-gedegradeerd-tot-modem steekt, een oude met custom firmware voor het gastnetwerk en een mooie nieuwe 802.11ac met originele standaard firmware voor je privé netwerk. Of koop een dure 802.11ac router die Guest networks, scheduling en snelheid knijpen allemaal ondersteunt in zijn standaard firmware. Ik vermoed dat dat duurder dan 100 euro zal zijn.

[ Voor 239% gewijzigd door Antique op 10-04-2015 05:06 ]

Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq