DMZ met thuismiddelen - zinnig of niet

Ben thuis momenteel bezig met wat aanpassingen aan mijn netwerk. Zijn wij eigenlijk niet altijd bezig met het netwerk?

De situatie nu is: Ik heb een FritzBox 7360, daaraan een USB 2,5" harddisk als "NAS" en een 8 Ports switch.

Aangezien er meer apparaten in het netwerk komen, o.a. de CV, camera, mobieltjes en onregelmatig ook PC's en Mobieltjes van anderen, dacht ik bij mezelf ik bouw een soort van DMZ met daarin alle vage hardware.

Dus FritzBox > DMZ > [andere Router, heb nog een Linksys hier liggen] > Intern Netwerk.

Het opstellen hiervan is geen probleem, op de USB Harddisk na. De Linksys heeft geen USB. Dus zou ik nog een extra iets op het interne netwerk moeten hebben voor mijn NAS. Of een andere router met USB aansluiting. En moet het uiteraard zo inrichten dat de DMZ geen idee heeft van het Interne Netwerk. Het enige wat ik me net nog bedenk, is dat ik 1 Laptop heb die via Wifi op de Fritzbox in de DMZ verbinding maakt die ik dan door zou moeten sluizen naar het Interne Netwerk om op de USB Harddisk te komen. Maar dat ik voor later als ik een vervanging heb voor de USB Harddisk. Ik zou ook de USB-Harddisk aan de Fritzbox kunnen laten hangen en deze dan door de Linksys beschikbaar maken in het Interne Netwerk. Maar dat lijk me dan weer minder veilig, aangezien de Fritzbox direct naar buiten gaat.

Maar de vraag is: hoeveel veiliger is het? Vooral met een huis thuis en keuken Router van Linksys achter de Fritzbox. Heeft iemand thuis al zoiets? En alle Tips op- en aanmerkingen zijn welkom.

Het Idee hierachter is, dat ik bij de CV (Internet of Shitty Things), camera en de mobieltjes nooit weet wat er eventueel verstuurd wordt en aanval punten naar binnen open maakt. Ook als er PC's van anderen komen, weet ik natuurlijk nooit wat daar allemaal mis mee zou kunnen zijn (Virussen e.d.).

Aan de Fritzbox ben ik gebonden door mijn Provider. Een echte Firewall kost ook weer echt geld. Ook als ik softwarematig iets doe met een oude PC is het stroomverbruik weer hoog. Moet natuurlijk ook kostenbesparend zijn.

Fritzbox kan ik idd op Guest zetten, had ik niet meer aan gedacht. Dat geeft me dan intern wat meer veiligheid.

Voor de USB harddisk, voor het geval dat ik een oplossing met extra Router/Firewall en een 2de netwerk neem, heb ik o.a. deze gevonden: http://www.digitus.info/e...es-and-servers/dn-7023-1/

/EDIT: Zit net door de MikroTik website te bladeren. Hebben leuke spullen. Zou een HEX al voldoende zijn of een RB2011? En een aantal hebben USB, maar ik ga er van uit dat deze niet gebruikt kunnen worden om een Harddisk als NAS aan te sluiten. Kan niet vinden waarvoor de USB port gebruikt kan worden.

[ Voor 20% gewijzigd door Roman op 18-07-2017 13:24 ]

Managed Switch heb ik, allen een beetje overkill, een Alcatel OmniSwitch met 48 ports. Vraag me af wat dat ding aan stroom verbruikt.

Voor pfSense heb ik dan weer een klein PC'tje of VM nodig. Staat momenteel nog nicht op de planning. Maar zal er eens over nadenken.

Ik wou het dan zo instellen dat geen apparaat in mijn Intern Netwerk het internet op kan tenzij ik het specifiek toe laat (ip of Mac-adresses based). Ik heb n.l. nog een hoop oude Computers in mijn netwerk (W9x, Mac OS 9 e.d.). Het zou dan wel zo moeten dat ik vanuit die oude Computers wel op mijn NAS kom, moet ik dus kijken naar een NAS wat Win9x en MacOS 9 compatibel is.

Zo, ben thuis en heb de Linksys er eens bij gepakt. Lag nog in een verhuis doos. Het is een WRT54GH. Is al een wat ouder apparaat.

Mijzelf schreef op dinsdag 18 juli 2017 @ 20:14:
Volgens deze lijst heeft hij een Ralink RT3050 SoC, 2MB Flash en 8MB RAM. Ik ben bang dat je daar geen 3th party firmware voor gaat vinden.

Jup. en volgens deze lijst staat die er niet tussen bij de gesupporte devices. Ziet er dus slecht uit. Wel staat de Asus WL-500g er tussen, die heb ik ook nog. Alleen is da volgens mij een DSL router en geen netwerk router. Heb nog meer van die oudere apparaten hier liggen, o.a. Sweex en ZyXel, maar volgens mij zijn dat allemaal DSL routers, dus met RJ11 ingang i.p.v. RJ45. Voordat ik wat ga kopen (tenzij het is erg goedkoop), ga ik eens kijken wat ik zo allemaal nog heb liggen. Enige leuke is dat op mijn WRT alleen op de onderkant Linksys staat, op de bovenkant staat groot Cisco. Kwam er trouwens gisteren achter dat Linksys geen onderdeel meer van Cisco is.

bigfoot1942 schreef op dinsdag 18 juli 2017 @ 22:28:
[...]

RB2011 is voldoende om zeer stabiel een VDSL verbinding vol te trekken, tenzij je compleet losgaat met tunneling. Ik heb een RB3011 gehaald voor mijn 500mbit, maar wellicht zou het voor regulier gebruik met een RB2011 ook wel gelukt zijn...

Ik heb maar 25 mbit, zal dus snel dichtgetrokken zijn, vooral als ik wat download Maar het gaat mij juist om wat meer veiligheid. En 25 mbit is voor momenteel voldoende.

jvanhambelgium schreef op dinsdag 18 juli 2017 @ 22:47:
[...]


Moet je niet afvragen maar gewoon opzoeken.
Als het een 6350-model is (48poort) stookt ie lekker tot** 50Watt weg
Een 6250-model met 48poorten bestaat niet, dus dat zal je wel niet hebben.

En de grotere modellen zijn al geen access-switches meer...

**
Power consumption measured with 64-byte packets at varied traffic conditions on all ports, including the 1 Gigabit Ethernet uplinks

Yeah, 50 Watt...

Maar volgens mij hebben alle 48 porten Gigabit.

Ik zat nog wat op eBay te neuzelen, daar kom ik best wel wat Firewalls tegen. Uiteraard de Pix van Cisco, maar ook andere van o.a. Sophos, Netgear, juniper, Gateprotect en ga zo maar door. Vaak voor een paar euro, zoals deze (eBay). Alleen is de vraag dan vaak weer, er staat "zonder licentie".

/edit: zie net dat dat ding c.a. 30 watt full load verbruikt, waar een RB2011 max 6 watt verbruikt. Als je die 24watt hoog reken, kom ik op 210 Kw en dat met 22 cent per Kw ben ik op 46 euri . Dus nog geen 2 jaar en ik heb de investering eruit. Of nog eerder, zie al een RB2011-ilRM voor 85 euro en een gebruikte RB2011 lRM (zonder i) voor 35.

Ik zie vaker de rode Desktop modellen met antenne, maar de 19" versie niet. Kan ik daar ook een Wifi-Module inbouwen? Zou dan met een wat langere antennekabel een iets grotere antenne in de gang plaatsen.

Blijft alleen nog de vraag naar de NAS.

[ Voor 61% gewijzigd door Roman op 19-07-2017 08:36 ]

Aha, dus ik kan elke port als apart VLAN configureren. Dat is uiteraard interessant. Ik ga dat ding eens opzoeken, ligt allemaal nog in verhuisdozen. Als ik dan op de USB een harddisk als NAS kan aansluiten is het id nog leuker. Iemand een idee of dat kan?

En welke WRT zou ik dan moeten nemen? DD-WRT of OpenWRT, en dan is er nog Tomato

De harddisk op de Fritzbox is ook niet super snel. Heb die al in EXT2 geformatteerd, dan is die 30% sneller als NTFS.

Ik gebruik die eigenlijk allen voor opslag, voornamelijk muziek, foto's en documenten. Allemaal redelijk kleine bestanden.

Zo, heb de Asus gevonden. Het is een WL500GD of wel WL-500g Deluxe en die staat er tussen. Maar kan zo snel geen 5v2A voeding vinden.

Oh en de Alcatel is een 6850-P48 en op de voeding staat 510W. WTF

Heb de ASUS nu open gemaakt en een kabel eraan gesoldeerd. Vervolgens op een 5 Volt voeding aangesloten en hij doet het nog. Zal nu een kijken of ik hem geflasht krijg.

/edit: ben net de handleidingen aan het lezen en volgens mij is de OpenWRT handiger, gewoon via de originele Webinterface als firware laden. En de DD-WRT is toch wat lastiger: http://www.dd-wrt.com/wiki/index.php/Asus_WL-500g_Deluxe

Heeft OpenWRT eigenlijk een webinterface? Om nu alles via de Putty en tekstbestanden te regelen gaat mijn kennis nog niet ver genoeg. Jaja.

[ Voor 53% gewijzigd door Roman op 20-07-2017 09:27 ]

Het is mij gelukt hem te flashen via TFTP. Nu moet ik allen nog door de handleidingen doorwerken om hem goed afgesteld te krijgen.

Zit net nog wat te bedenken. Ik ga eigenlijk maar met 4 Computers het internet op, met de anderen alleen maal lokaal. Nu zat ik te bedenken dat ik deze 4 machines met 2 Netwerkkatten uitrust en nog een extra netwerk bouw wat compleet gescheiden is van het internet. Dus dat alle die machines die in dat netwerk zitten helemaal niet naar buiten kunnen. Daar plaats ik dan ook de NAS, printer en alle andere dingen die alleen intern moeten blijven.

Als nas heb ik nu een QNAP TS-110 en als Router heb ik de ASUS met OpenWRT geflashed. Moet me alleen nog een beetje inwerken in de materie.

En wie heeft het over kopen... ik probeer alles zo goedkoop mogelijk met spullen die ik thuis heb. Alleen het Nas heeft me 17 euro gekost, de rest is allemaal reeds aanwezige hardware. Ook netwerkkaarten en kabels heb ik genoeg.

Probleem met IoT spullen is dat ze juist het internet op moeten. De CV b.v. meld eventuele storingen bij de fabrikant, de security cam b.v geeft ook meldingen op mijn mobiel enzovoort.

Ik dacht nu idd aan een dubbele NAT waarbij de ASUS er tussen staat. Bridgemode kan de Fritzbox wel, maar dat zou dan weer betekenen dat alle functionaliteit van de FritzBox uit staat. Zal dan ook betekenen dat ik mijn Cisco 7912 Telefoons waarschijnlijk ook niet meer zou kunnen gebruiken.