Modem met Guest network -> router met guest network

Wat jij wilt kan niet werken. Je zult ook op je LAN zelf twee netwerken aan moeten maken door middel van VLANs (of dedicated kabels trekken), en je router/AP zal ook ondersteuning voor meerdere netwerken moeten hebben.
In jouw situatie zou ik een setje product: Ubiquiti UniFi AP-AC LITE kopen, en een router die VLANs ondersteunt, zoals de pricewatch: Ubiquiti UniFi USG Enterprise Gateway Router. Deze apparaten kan je vanuit 1 intuïtieve GUI configureren en beheren.

TommyboyNL schreef op donderdag 30 november 2017 @ 23:06:
Wat jij wilt kan niet werken. Je zult ook op je LAN zelf twee netwerken aan moeten maken door middel van VLANs (of dedicated kabels trekken), en je router/AP zal ook ondersteuning voor meerdere netwerken moeten hebben.
In jouw situatie zou ik een setje product: Ubiquiti UniFi AP-AC LITE kopen, en een router die VLANs ondersteunt, zoals de pricewatch: Ubiquiti UniFi USG Enterprise Gateway Router. Deze apparaten kan je vanuit 1 intuïtieve GUI configureren en beheren.

Lijkt mij wat overdreven. Een gastnetwerk is gewoon afgeschermd middels de firewall, en VLANs zijn dan ook niet nodig. In je aanbeveling voor Ubiquiti gaat het dan ook mis. Als je deze APs namelijk instelt met een gastennetwerk is dit dan ook afgeschermd met de firewall en de (dure) router/USG is dan ook niet nodig.

@Ervig kan ik dan ook maar 1 advies geven, en dat is om het uit te proberen. Mogelijk dat het namelijk wel gewoon werkt als je de router als AP instelt. In ieder geval moet je de router niet als router blijven gebruiken. Want als je dat doet gaat je roaming stuk. De clienten (zoals een telefoon) denken dan namelijk dat beide WLANs (die dezelfde naam hebben) ook een en hetzelfde netwerk zijn. Maar dat is dan dus niet zo (want je creëert NAT achter NAT), met als gevolg dat je clients gaan roamen, tot de conclusie komen dat het wel gescheiden netwerken zijn, en nog eens moeten verbinden. Daarnaast dan dat je überhaupt geen dubbele NAT wil, want apparaten die met de Sitecom zijn verbonden/aangesloten kun je dan niet meer bereiken vanaf apparaten rechtstreeks op jet modem aangesloten etc.

RobertMe schreef op vrijdag 1 december 2017 @ 07:34:
[...]

Lijkt mij wat overdreven. Een gastnetwerk is gewoon afgeschermd middels de firewall, en VLANs zijn dan ook niet nodig. In je aanbeveling voor Ubiquiti gaat het dan ook mis. Als je deze APs namelijk instelt met een gastennetwerk is dit dan ook afgeschermd met de firewall en de (dure) router/USG is dan ook niet nodig.

Welke firewall?

Op de router heb je een firewall, maar op een AP dieper in het netwerk niet. Al zou je aparte IP ranges gebruiken (dan de vraag: hoe zorg je er zonder VLANs voor dat DHCP clients alleen met de juiste server in contact kunnen komen...?), iemand zou handmatig ander IP kunnen invullen en vrolijk op je LAN kunnen surfen.

Om dezelfde functionaliteit qua guest network op meerdere AP's te bieden als een simpele enkelvoudige router met guest network heb je VLANs nodig, daar ontkom je niet aan.

@Ervig kan ik dan ook maar 1 advies geven, en dat is om het uit te proberen. Mogelijk dat het namelijk wel gewoon werkt als je de router als AP instelt. In ieder geval moet je de router niet als router blijven gebruiken. Want als je dat doet gaat je roaming stuk. De clienten (zoals een telefoon) denken dan namelijk dat beide WLANs (die dezelfde naam hebben) ook een en hetzelfde netwerk zijn. Maar dat is dan dus niet zo (want je creëert NAT achter NAT), met als gevolg dat je clients gaan roamen, tot de conclusie komen dat het wel gescheiden netwerken zijn, en nog eens moeten verbinden. Daarnaast dan dat je überhaupt geen dubbele NAT wil, want apparaten die met de Sitecom zijn verbonden/aangesloten kun je dan niet meer bereiken vanaf apparaten rechtstreeks op jet modem aangesloten etc.

Klopt helemaal dat roaming alleen werkt binnen een en dezelfde subnet, dus dat de AP geen NAT mag doen. Dan raak je ook firewall etc kwijt...

Je hebt dus drie keuzes:
1) guest netwerk implementeren met VLAN. Vereist nieuwe hardware (een router die VLAN ondersteunt - wat niet nader genoemde Sitecom "ac2600" geval hoogstwaarschijnlijk niet doet, en een AP die het ondersteunt) en wat configuratie. Dat kan trouwenss goedkoper dan met UniFi, maar vereist dan een stuk meer eigen kluswerk.
2) geen volledig geisoleerde guest netwerk maken en erop vertrouwen dat je gasten geen ongein uithalen. Vereist niets meer dan wat je hebt.
3) op een enkele router een guest network implementeren en genoegen nemen met slechtere WiFi-dekking.

dion_b schreef op vrijdag 1 december 2017 @ 09:26:
[...]

Welke firewall?

Op de router heb je een firewall, maar op een AP dieper in het netwerk niet. Al zou je aparte IP ranges gebruiken (dan de vraag: hoe zorg je er zonder VLANs voor dat DHCP clients alleen met de juiste server in contact kunnen komen...?), iemand zou handmatig ander IP kunnen invullen en vrolijk op je LAN kunnen surfen.

Om dezelfde functionaliteit qua guest network op meerdere AP's te bieden als een simpele enkelvoudige router met guest network heb je VLANs nodig, daar ontkom je niet aan.

Hoe doen de UniFi APs dat dan? Want daarop kun je wel gebruik maken van de gastnetwerk functionaliteit zonder meteen met VLANs gaan te klussen. Echter kost(e) je dit wel wat aan performance. Uiteindelijk zal welk AP dan ook meestal Linux draaien en dus iptables hebben. Aangezien een WLAN ook een eigen netwerkinterface is kun je dus perfect in iptables inregelen dat verkeer afkomstig van <netwerkinterface gastnetwerk> geen toegang heeft tot <IP range LAN>. Vervolgens nog wat regeltjes dat DHCP uiteraard wel mag en klaar.

Of consumentenrouters het met de standaard firmware kunnen durf ik niet te zeggen (zal ook aan merk/model liggen), maar als je iets als LEDE/DD-WRT/... erop kunt installeren valt het zeer zeker te realiseren.

RobertMe schreef op vrijdag 1 december 2017 @ 10:05:
[...]

Hoe doen de UniFi APs dat dan? Want daarop kun je wel gebruik maken van de gastnetwerk functionaliteit zonder meteen met VLANs gaan te klussen.

Simpel, ze gebruiken onder de motorkap gewoon een pre-defined VLAN ervoor

Echter kost(e) je dit wel wat aan performance. Uiteindelijk zal welk AP dan ook meestal Linux draaien en dus iptables hebben. Aangezien een WLAN ook een eigen netwerkinterface is kun je dus perfect in iptables inregelen dat verkeer afkomstig van <netwerkinterface gastnetwerk> geen toegang heeft tot <IP range LAN>. Vervolgens nog wat regeltjes dat DHCP uiteraard wel mag en klaar.

...totdat iemand ARP of MAC spoofing gaat doen. Twee verschillende subnets over zelfde LAN zijn mooi voor de segmentatie maar voegen nagenoeg niets toe qua security.

Of consumentenrouters het met de standaard firmware kunnen durf ik niet te zeggen (zal ook aan merk/model liggen),

Durf ik wel te zeggen: vergeet het maar met stock fw. Iets als een Mikrotik-geval kan het geheid wel, voor een stuk minder dan de prijs van een USG, maar configuratie daarvan is non-triviaal (als in: Linux CLI kan vaak makkelijker zijn )

maar als je iets als LEDE/DD-WRT/... erop kunt installeren valt het zeer zeker te realiseren.

Absoluut, maar als je dat toch al gaat doen kun je het net zo goed gelijk goed aanpakken met VLANs. VLANs zijn trouwens ook niet een waterdichte beveiliging, maar maken het een stuk makkelijker effectieve beveiliging te bouwen.

dion_b schreef op vrijdag 1 december 2017 @ 10:24:
[...]

Simpel, ze gebruiken onder de motorkap gewoon een pre-defined VLAN ervoor

Hoe bedoel je? Want dat VLAN wordt dan niet "naar buiten toe" gebruikt. Het werkt immers ook als je de UAPs gewoon op een consumentenrouter (of modem/router) aansluit. Daar komen verder dus ook geen VLANs aan te pas. Volgensmij is het dan echt zo simpel als de firewall op AP die alle verkeer naar bepaalde subnets vanaf het gastnetwerk blokkeert.

[...]

...totdat iemand ARP of MAC spoofing gaat doen. Twee verschillende subnets over zelfde LAN zijn mooi voor de segmentatie maar voegen nagenoeg niets toe qua security.

Maar hoe zit dat dan met standaard consumentenrouters met gastnetwerk functionaliteit? Ook die delen AFAIK gewoon IP adressen en al in hetzelfde range uit. Afscherming zal dan verder ook alleen zijn op basis van firewall (waar je als gebruiker dus geen controle over hebt).

[...]

Absoluut, maar als je dat toch al gaat doen kun je het net zo goed gelijk goed aanpakken met VLANs. VLANs zijn trouwens ook niet een waterdichte beveiliging, maar maken het een stuk makkelijker effectieve beveiliging te bouwen.

Alleen kan TS het dan af met de router wat hij nu heeft en kan hij deze inzetten als AP achter zijn modem/router. Als hij met VLANs wil gaan klussen zal de modem/router ook in bridge mode gezet moeten worden (kan dat bij KPN?) en dan nog een nieuw aan te schaffen router erachter. Mijn punt was dus dat het kan met de bestaande hardware (alleen dan waarschijnlijk niet met de stock firmware van de Sitecom router)

RobertMe schreef op vrijdag 1 december 2017 @ 10:40:
[...]

Hoe bedoel je? Want dat VLAN wordt dan niet "naar buiten toe" gebruikt. Het werkt immers ook als je de UAPs gewoon op een consumentenrouter (of modem/router) aansluit. Daar komen verder dus ook geen VLANs aan te pas. Volgensmij is het dan echt zo simpel als de firewall op AP die alle verkeer naar bepaalde subnets vanaf het gastnetwerk blokkeert.

Zonder UniFi-systeem (router/switch) erachter: yep.

[...]

Maar hoe zit dat dan met standaard consumentenrouters met gastnetwerk functionaliteit? Ook die delen AFAIK gewoon IP adressen en al in hetzelfde range uit. Afscherming zal dan verder ook alleen zijn op basis van firewall (waar je als gebruiker dus geen controle over hebt).

Verschil is dat je daar geen groot stuk unmanaged neterk hebt tussen NAT en AP. Het verkeer gaat rechtstreeks van de AP (met guest isolation) naar NAT, dus er is nergens waar de twee verkeersstromen met elkaar in contact komen.

Als je exact dezelfde beperkte oplossing dieper in een huis zou implementeren krijg je prima isolatie tussen draadloze (en afhankelijk van implementatie ook bedrade) apparaten op zelfde AP, maar bij de eerstvolgende switch kan alles elkaar weer bereiken.

[...]

Alleen kan TS het dan af met de router wat hij nu heeft en kan hij deze inzetten als AP achter zijn modem/router. Als hij met VLANs wil gaan klussen zal de modem/router ook in bridge mode gezet moeten worden (kan dat bij KPN?) en dan nog een nieuw aan te schaffen router erachter. Mijn punt was dus dat het kan met de bestaande hardware (alleen dan waarschijnlijk niet met de stock firmware van de Sitecom router)

Bij KPN kan iirc bridge mode wel, maar dan verlies je analoge telefonie en televisie. IMHO non-issue anno 2017, maar als je die diensten nog gebruikt minder handig. Dan eigen router in DMZ van de Experiabox is een inelegante maar voor de meeste toepassingen effectieve workaround.

Tja, ik vraag me ook af of in een thuissituatie de obsessie met een 'veilig' guest network zinnig is. Als ik iemand niet vertrouw, komt hij m'n huis niet binnen. Geef ik hem fysieke access tot m'n huis, dan heb ik geen moeite met hem ook toegang te geven tot mijn LAN. Net zo goed als dat ik erop vertrouw dat hij niet fysiek sloten gaat vervangen of een greep doet naar m'n waardevolle spullen vertrouw ik erop dat hij dat niet virtueel doet. Als dat vertrouwen ongepast is vliegt hij in beide gevallen buiten. Iemand die je niet vertrouwt fysieke access geven tot je huis (en dus ook je netwerk!) snap ik niet.

In ieder geval zal de stock firmware van een Sitecom-apparaat vrijwel niets zinnigs hiervoor ondersteunen, en is de kans op 3rd party firmware support ook vrijwel nihil. Als je anno 2017 nog Sitecom koopt is dat gevalletje 'eigen schuld' cq 'wijze les voor volgende keer'. Nagenoeg unsupported low-end hardware tegen significant hogere prijs dan beter supported spul (TP-Link bijv). Meh.

dion_b schreef op vrijdag 1 december 2017 @ 10:53:
Als je exact dezelfde beperkte oplossing dieper in een huis zou implementeren krijg je prima isolatie tussen draadloze (en afhankelijk van implementatie ook bedrade) apparaten op zelfde AP, maar bij de eerstvolgende switch kan alles elkaar weer bereiken.

Maar dat kun je dan juist toch in de firewall inregelen. Dat er geen verkeer met destination 192.168.1.0/24 (bv) naar buiten toe mag vanaf het gastnetwerk. Dan komt dat verkeer dus nooit op die switch aan en kan het ook niet mislopen. (Uiteraard wel ervoor zorgen dat DHCP en eventueel DNS wel zijn toegestaan).

Tja, ik vraag me ook af of in een thuissituatie de obsessie met een 'veilig' guest network zinnig is. Als ik iemand niet vertrouw, komt hij m'n huis niet binnen. Geef ik hem fysieke access tot m'n huis, dan heb ik geen moeite met hem ook toegang te geven tot mijn LAN. Net zo goed als dat ik erop vertrouw dat hij niet fysiek sloten gaat vervangen of een greep doet naar m'n waardevolle spullen vertrouw ik erop dat hij dat niet virtueel doet. Als dat vertrouwen ongepast is vliegt hij in beide gevallen buiten. Iemand die je niet vertrouwt fysieke access geven tot je huis (en dus ook je netwerk!) snap ik niet.

Interessant/goed punt. Maar iemand die in je huis komt en eigen apparaten mee heeft kan mogelijk ook een virus/malware/... op een van die apparaten hebben die vervolgens ook jouw apparaten besmetten. Onbewust (fysiek) inbreken kan niet, maar onbewust "virtueel" inbreken/schade toebrengen kan wel.

In ieder geval zal de stock firmware van een Sitecom-apparaat vrijwel niets zinnigs hiervoor ondersteunen, en is de kans op 3rd party firmware support ook vrijwel nihil. Als je anno 2017 nog Sitecom koopt is dat gevalletje 'eigen schuld' cq 'wijze les voor volgende keer'. Nagenoeg unsupported low-end hardware tegen significant hogere prijs dan beter supported spul (TP-Link bijv). Meh.

Good to know, ik had al überhaupt geen hoge pet op van Sitecom, maar dat is blijkbaar dus nog steeds gerechtvaardigd. Maar de kans dat ik iets van Sitecom zou aanschaffen terwijl ik een volledige UniFi setup heb was natuurlijk al klein