Gastnetwerk in de tuin

Een goedkope €25 euro router van tplink ofzo, en die dan via de wan aansluiten op je netgear

Dus een fysieke extra router plaatsen (en omdat het enkel voor gasten is, zou ik er niet een duur apparaat voor kopen, tis enkel bedoelt als extraatje voor je gasten...)

Dat heeft hij nu toch ook?

Anders over gaan naar Ubiquiti?

shure-fan schreef op woensdag 13 september 2017 @ 20:24:
Een goedkope €25 euro router van tplink ofzo, en die dan via de wan aansluiten op je netgear

Dus dan kan je via die wan nog steeds vrolijk in de NAS en op de rest van het bestaande netgear netwerk komen, wat juist niet de bedoeling is...

Volgens mij kan je netgear R7000 dit al doormiddel van een guest network (/2e ssid), deze heeft dan alleen toegang tot het internet en niet tot de rest van je bedrade / niet guest wifi netwerk. Dit kan je natuurlijk zelf makkelijk even controleren. Wel even dubbelchecken of het vinkje "Allow guests to see each other and access my local network" uit staat!

Mocht dat geen bereik opleveren in de tuin zou je eventueel een wifi repeater kunnen overwegen, alleen halveert dat waarschijnlijk wel je snelheid wat best onwenselijk is...

Naast de 2e router in de tuin die je voor je eigen netwerk gebruikt, een additionele router in de tuin, die puur als AP wordt gebruikt voor je gasten. Kan je die mooi gescheiden houden van je eigen netwerk (en je Synology).

Probleem van het plaatsen van de tweede router achter de eerste is dat je vanaf de tweede router in principe altijd toegang hebt tot de eerste router en die zijn netwerk (of je deze nu op de LAN of WAN poort aansluit). Immers heeft de tweede router, ook als deze via WAN is aangesloten, altijd een verbinding met je hoofdrouter.

De makkelijkste oplossing is dan ook iets doen met een firewall. Op je tweede router zou je iets als OpenWRT of LEDE kunnen installeren (of een andere, open, firmware), vervolgens de hoofdrouter via de WAN aansluiting aansluiten, en dan zelf de firewall op de router inregelen dat er geen verkeer mag zijn naar het subnet van je eigen hoofdrouter.

Dus als je hoofdrouter 192.168.1.0/24 gebruikt, sluit je de tweede router via de WAN poort aan (WAN krijgt dan bv IP 192.168.1.100). De tweede router heeft dan zijn eigen subnet, bv 192.168.2.0/24. Vervolgens stel je op de tweede router in dat alle verkeer naar 192.168.1.0/24 geblokkeerd wordt en dan zou je veilig moeten zitten.

maar als je alle traffic naar 192.168.1.0/24 blokt dan heb je toch ook geen internet meer? gezien je toch wel de default gateway moet kunnen bereiken

SMSfreakie schreef op woensdag 13 september 2017 @ 20:57:
maar als je alle traffic naar 192.168.1.0/24 blokt dan heb je toch ook geen internet meer? gezien je toch wel de default gateway moet kunnen bereiken

Is dat niet alleen de routering? Verkeer gaat "naar buiten" en niet "naar gateway" dus zou de firewall dat verkeer gewoon toe moeten staan. Immers is de destination het internet IP adres, niet het IP adres van de gateway. Mocht inderdaad blijken dat het wel toegang tot het internet blokkeert, kun je altijd (ICMP) verkeer naar de default gateway op je WAN toestaan. Maar nogmaals, volgensmij is dat niet nodig omdat je blokkeert op destination IP, niet op next hop.

Ja, als je een Ubiquiti UniFi AP hebt kun je daarin een gastnetwerk opzetten en zal deze zelf het interne verkeer blokkeren (zodat je dus alleen naar buiten toe kunt).

Which makes me wonder, doet een gastnetwerk dat überhaupt niet op een router? Heb je ook al geprobeerd om in de tweede router (buiten) alleen een gastnetwerk aan te maken (er vanuit gaande dat de router dus een hoofd en gastnetwerk ondersteund), en de tweede router via de LAN poort aansluiten op de eerste router. Verder moet je de tweede router dan instellen als AP (dus DHCP uit etc).

Guest vlan werkt meestal alleen als je apparaat de hoofdrouter is (simpel gezegd)

Ubiquiti kan guest wifi doen op basis van vlan of restricted subnet (firewall). Vlans zijn het beste maar daarvoor moet je hele netwerk (en router) vlan aware zijn.

Restricted subnet is een 2e goede, je stelt dan simpelweg in dat de guest wifi alleen bij het ip van de router mag. Nadeel is andere protocollen (ipx?) en muticast blijft werken. Je zal dus bv nog steeds een apple tv zien (multicast) maar meer dan zien lukt niet, de unicast verbinding zal nl tegen worden gehouden.

JFK1 schreef op woensdag 13 september 2017 @ 20:44:
Die router heb ik al, maar het gastnetwerk daar op werkt niet achter de 1e router.
Kun je aangeven wat je exact bedoelt?

Naast de bestaande router in de tuin, een additionele router, die je puur en alleen gebruikt als AP voor je gastennetwerk. Settings voor dat (gasten) wifi netwerk maak je exact hetzelfde als op je "hoofdrouter" binnen (SSID, key), zodat devices naadloos overschakelen als gasten de tuin inlopen.

Hiervoor kun je volstaan met een low budget router.

[ Voor 24% gewijzigd door Spacecowboy op 14-09-2017 09:00 ]

JFK1 schreef op donderdag 14 september 2017 @ 15:07:
Dank allemaal voor de reacties.
Ik ga toch voor een unifi.
Wat is het beste: De PRO of de Regulier LR?

Beetje afhankelijk van de hoeveelheid apparaten die je gebruikt en wat die allemaal ondersteunen.
Maar in de meeste gevallen is de AC-AP Lite voldoende, en zou je het AP daadwerkelijk buiten willen hangen zou ik kijken naar de Unifi AC Mesh deze kan je namelijk ook buiten hangen

Evt. is het wel een mogelijkheid dat je direct 2 besteld, dan kan je je gastnetwerk door het hele huis en tuin bereikbaar maken alsmede je private netwerk.

@JFK1 een tijd geleden zat ik met hetzelfde probleem. En de uitkomst is simpel: het kan gewoon niet.
Zie het topic wat ik er toen voor opende: Netwerken scheiden (gastnetwerk op losstaande router)

Tenzij je je apparatuur vervangt kun je niet zomaar je netwerk scheiden. Dit omdat het apparaat dat verbonden is met je netwerk, altijd netwerk toegang krijgt via dat netwerk, en dus toegang heeft tot andere apparaten in dat netwerk.

Voorbeeld:
Je hebt een router, daaraan hangt je NAS. Van die router loopt er een kabel naar een andere router (router 2), die heeft een ander subnet en deelt IP adressen uit die zich bevinden in een ander subnet. Router 2 is nog altijd verbonden met het netwerk van router 1, en ook de apparaten van router 2 kunnen de apparaten van router 2 zien (omgekeerd niet).

De enige manier hoe je het zou kunnen oplossen, is door router 1 als gastnetwerk te laten fungeren, en van router 2 de router te maken waar je je NAS aan hangt en deze in een ander subnet te plaatsen. De apparaten aan router 2 kunnen dan wel de apparaten in het gastnetwerk zien, maar andersom niet.

Vaak is dit geen gewenste oplossing en dan kom je alsnog bij een andere oplossing terecht waarbij je je netwerkapparatuur moet vervangen. Producten van ubiquity zijn dan een prima oplossing.

Unify gateway met een unify ap.

Maak je een privé netwerk op bijv vlan 1.

Maak je een guest netwerk aan en die gooi je in vlan 2 oid op ander subnet eventueel maar door vlan scheiding kunnen ze niet meer op jouw netwerk.

En nog een switch met vlan ondersteuning nodig.

JFK1 schreef op vrijdag 15 september 2017 @ 10:07:
@miicker
ik ben helaas technisch niet super onderlegd, maar bedoel je dat het met twee routers niet kan, maar met een unifi ap wel?
Die heb ik inmiddels thuisliggen, en dan doe ik de 2e router weg

uitgelegd.

Internet verbinding vertaald van " buiten" (kpn bv) naar binnen *& vertaalt naar een 192.168.1.??? (getal tussen 0 en 255) Alles wat een ip adres met 192.168.1.? dat netwerk erachter is je "gasten netwerk"
de 2de router vertaald 192.168.x naar 10.0.0.??? en dat zou dan je "prive" netwerk zijn. (waar je nas in hangt) Op deze manier is je nas beveiligd op een vrij simple manier.

Als je een router vervangt door een access point(AP) heb je nog het zelfde probleem ..

Alleen hier komt de barbapapa truuk, er zijn ook AP's die meerdere SSID's kunnen uitzenden en dan kan je per AP dus ? aantal netwerken definieren .. zoals "gast" en "thuis" .. echter heb je meerdere AP's moet je een centrale "server" oftewel controller hebben die alles met elkaar verbind en configureerd. maar het verkeer word altijd direct naar de juiste locatie(s) gestuurd. teminste bij goeie configuratie.

PS een bijkomend voordeel is dat je een betere dekking hebt en je signaal van AP naar AP kan springen met een dergelijke controller. iets wat je niet hebt met meerdere routers..

De oplossing van Micker is erg "simpel" & goedkoop maar heeft ook wat uitdagingen als je dit met te veel wifi zenders in de buurt, de unifi systeem kan veel van die problemen omzeilen + storing verminderen.


Persoonlijk ga ik voor unifi als het gezin er voordelen van heeft en gasten .. tja ben geen internet cafe

Ik heb de andere oplossing gebouwd; firewall met vlans, ap's welke meerdere SSID's uitkoppelen op specifieke vlans, en dan in de firewall toegang regelen.

Ik wil bijvoorbeeld niet dat mijn hue lampen of nest thermostaat bij mijn nas kunnen, kinderen hoeven niet hun youtube filmpjes naar mijn tv te sturen et cetera

Maar dat is iets meer werk.

JFK1 schreef op vrijdag 15 september 2017 @ 14:40:
het blijft lastig te bevatten voor me.
maar als ik het goed heb en ik maak alleen een gastaccount op de unifi pro (dus niet op de router), dan kan ik die virtueel zo instellen dat alle andere ip adressen geblokt zijn?

Ik heb dan 1 router voor het huis, en 1 unifi pro voor de tuin etc.

Of is er dan nog verkeer van de unifi naar het 'huisnetwerk'?

Wat moet ik dan allemaal vervangen? 1 netwerk met de unifi geintegreerd ofzo?

Hulp wordt gewaardeerd:)

Het klopt niet helemaal wat de heren beweren boven mij. Een unifi kan ook dmv firewalling/restricted subnet een gast wifi doen. Daarvoor hoef je niets verder te vervangen.
Dit is inderdaad vrij uniek aan de unifi.

Toegegeven, vlan is beter (zie mijn vorige post) maar restricted subnet is voor de meeste thuissituaties genoeg.

[ Voor 3% gewijzigd door laurens0619 op 15-09-2017 15:38 ]