modem opnemen en netwerkscheiden

Als je werkelijk denkt dat simpelweg een ander subnet in je netwerk virussen, malware en ander rotzooi gaat tegen houden, dan kan je beter nu al stoppen met zoeken. Ga dan eerder kijken naar een goede anti-virusscanner op alle computers en focus je op een (managed) switch die vlan ondersteund, al dan niet met een hardwarematige firewall, maar met die tp link meuk gaat je dat nooit lukken.

Hoe je een wifi router als Access Point kunt instellen staat o.a. hier uitgelegd :
[HOWTO]Draadloze Router gebruiken als Access Point

[ Voor 24% gewijzigd door Breezers op 18-08-2016 21:07 ]

Puur het in een andere range zetten voorkomt niet dat je zoon op jouw netwerk kan gaan wandelen. Doordat het niet gescheiden is via VLAN blijft dit mogelijk.

volgens mij staat het antwoord boven je post: vlans

Als je het appart wil hebben moet je inderdaad met Vlans gaan werken. een managed switch achter je internet modem/router en daarop 2 Vlans aanmaken welke beide wel naar internet mogen maar niet naar elkaar. 1 voor je zoon en de andere voor jou.


Verder zou je ook een router achter router setup kunnen gebruiken, maar daar zitten wel wat nadelen aan, en moet je dan juist anders opzetten wat je nu van plan was.

Als ik je post goed begrijp was jou idee als volgt:
Internet --> 1e modem/router, --> Thuisnetwerk --> 2e router/AP (TP link) --> zoon.
In deze setup kan je zoon juist overal bij terwijl jij alleen niet naar hem kan (de 2e router, beschouwd het thuisnetwerk als 'internet' en zal dus verkeer vanaf daar blokeren. Echter zal hij al het verkeer vanaf je zoon richting je thuis netwerk gewoon door laten (inclusief de malware).


Als je dus zoiets wilt, moet het net anderssom:

internet -->1e modem/router, --> je zoon --> 2e router/AP (TP-link) --> rest van je netwerk

Op die mannier komt er (mitst goed aangesloten) niets vanaf je zoon naar de rest van het netwerk (andersom kan wel). Je hebt hiervoor echter wel 2 kabels naar boven nodig (1 vanaf de modem/router naar hem toe en daarna 1 om terug te komen naar benenen voor de rest van je netwerk).

Echter zit je dan wel met een router achter een router, wat ook weer nadelen heeft (chromcasts houden bijvoorbeeld niet van 2 routers achterelkaar), dus een Vlan oplossing is de betere oplossing en dan ook wat ik je zou adviseren. Scheelt ook gedoe met kabels trekken.

Mocht je een fritzbox hebben staan (sommige providers leveren die als modem/router) , daar zijn modellen bij waar je 1 UTP poort kunt instellen als 'gast netwerk' dat is eigenlijk precies wat je zoekt (sluit daar dan je zoon op aan, eventueel met een AP (jou TP-link) voor hem boven. De rest kun je dan zo laten als het is.

Hou er wel rekening mee dat welke oplossing je ook zou kiezen, je zoon OOK niet meer bij andere netwerk zaken kan komen zoals een NAS of een printer (dat hoeft geen probleem te zijn en is misschien zelfs wenselijk...... maar even iets om rekening mee te houden)

VLANs zijn niet de oplossing, maar slechts een methode. Een gescheiden netwerk (zij het logisch of fysiek) helpt om twee netwerken te maken. Als die netwerken dan bij dezelfde gateway aankomen en dan met elkaar mogen praten heeft het nog geen zin.

Oplossingen:

1. Tweede verbinding opzetten

2. De huidige modem/verbinding/NT in bridge mode zetten en een 'echte' router aansluiten. De kan dan twee losse netwerken (of meer) beheren. Die hebben dan hun eigen subnet, hun eigen DHCP, hun eigen NAT, en kan je in je firewall dan niet met elkaar laten communiceren.

3. Een inline transparante firewall toevoegen, daar kan je dan rules op maken die bijvoorbeeld stellen dat alle verkeer alleen tussen de bestaande PC en router mag plaatsvinden en verder niet. Dat is denk ik ook de makkelijkste oplossing in dit geval.


Al deze opties zijn natuurlijk niet heel zinvol als iemand gewoon lekker de kabel in een ander netwerk prikt.

VVV-007 schreef op vrijdag 19 augustus 2016 @ 01:53:
...internet -->1e modem/router, --> je zoon --> 2e router/AP (TP-link) --> rest van je netwerk...

Misschien niet helemaal duidelijk, maar wat JohnKeates probeert te zeggen is dat dit nog steeds niet het beoogde resultaat geeft. De zoon heeft als default gateway de eerste modem/router die - noodgedwongen - een route moet hebben naar het tweede subnet. Daarnaast kan hij ook gewoon het wan-adres van de tweede router als gateway opgeven voor het achterliggende subnet

Brahiewahiewa schreef op vrijdag 19 augustus 2016 @ 03:32:
[...]

Misschien niet helemaal duidelijk, maar wat JohnKeates probeert te zeggen is dat dit nog steeds niet het beoogde resultaat geeft. De zoon heeft als default gateway de eerste modem/router die - noodgedwongen - een route moet hebben naar het tweede subnet. Daarnaast kan hij ook gewoon het wan-adres van de tweede router als gateway opgeven voor het achterliggende subnet

Klopt dat de router zelf dit inderdaad niet zal blokkeren, echter (bijna) alle (consumenten) routers hebben standaard een ingebouwde firewall die (standaard) al het inkomende verkeer vanaf de WAN (in dit geval deel van het netwerk waar de zoon zit) naar Lan (rest van je netwerk) blokkeerd. Hierdoor bereik je dus wel het gewenste effect van een extra laag 'beveiliging'(firewall van 2e router) tussen Zoon en rest van het netwerk.

Maar een oplossing waarbij je het direct in de eerste router al scheid in 2 aparte netwerken blijft beter.

Dat kan dus (soms) als je een fritzbox hebt gekregen van je provider als modem/router, waarop je een gast netwerk kan instellen (kan niet bij alle modellen fritzbox geloof ik). Dan doet dat dus precies wat Johnkeates voorstelt bij oplossing 2. (Fritzbox gast netwerk krijgt namelijk zijn eigen DHCP, subnet + firewall rules die al het verkeer tussen gastnetwerk en privenetwerk blokeerd (gast netwerk heeft alleen internet toegang). Het zelfde geld voor andere routers welke de mogelijkheid bieden om een gastnetwerk aan te maken zoals de bijvoorbeeld de asus66N. Echter kunnen de meeste routers standaard alleen een gast WiFi signaal aanbieden (en geen LAN poort) (custom firmware kan je daarbij helpen, maar dat is denk ik even een brug te ver)

Echter moeten deze dan wel als hoofd router in gebruik zijn. Hoe eenvoudig je dat kan aansluiten is afhankelijk van je internet provider. Bijvoorbeeld bij Caiway moet je zowieso je eigen router al plaatsen, dus daar is het eenvoudig. De meeste andere providers leveren standaard een modem/router, waardoor dit dus meer werk is. Je moet hiervan dan het router deel (laten) uitzetten (of te wel modem in bridge modus) en daarna je eigen router aansluiten. Bij ziggo kun je dat gewoon zelf doen of door de klantenservice laten doen. Andere providers (zeker als er ook IPTV wordt geleverd) is dat vaak niet zo maar mogelijk en moet je zelf van alles voor doen om de geleverde modem/router te vervangen door je eigen exemplaar (zie ook netwerkje.com).

Zeker bij de providers waar het lastig is om je eigen router te gebruiken is optie 3 van Johnkeates het meest eenvoudig omdat je dan gewoon de standaard modem/router kan blijven gebruiken en het dus met een 'losse' firewall oplost (welke uiteraard wel goed moet worden ingesteld).

Twee vlans (of fysieke lans) gescheiden door een goede firewall is de enige goed werkende oplossing.

Echter als iemand denkt zo iets te realiseren door twee subnets te gaan gebruiken vrees ik dat het configureren van deze laatste oplossing ver boven z'n kunnen ligt.

Miscchien is je kind opvoeden een betere oplossing.