Is deze dubbele NAT problematisch of niet?

Dubbel NAT is niet wenselijk. Inloggen op ssh op je raspberry pi of kodi is eigenlijk ook niet wenselijk. Op de raspberry pi kan je google authenticator als PAM module installeren. Dat geeft iets meer veiligheid. Alsnog denk héél goed na over machines waarop je ssh toegankelijk maakt van buitenaf.
Het gevaar is niet alleen voor de rest van je netwerk maar ze kunnen ook misbruikt worden.

Daarbij zou ik overwegen om de apple apparatuur te vervangen. Ik weet het niet zeker maar volgens mij komen er geen updates meer voor uit. Dat is een teken dat ze aan vervanging toe zijn.

Psdmd schreef op zaterdag 14 september 2019 @ 20:20:
Ook kan ik via Siri SSH commands uitvoeren wat een wereld aan mogelijkheden opent in het anders toch vrij gesloten Apple ecosysteem.

Ambitie is goed, maar eerlijk gezegd denk ik dat je iets te hoog inzet

Ik werk van thuis uit en ben wel wat paranoïde qua veiligheid en privacy (...) Ik heb op negeren geklikt en vervolgens kreeg ik weer een groen ipv oranje led lampje, dus geen idee of deze dubbele NAT nu kwaad kan of niet?

Je bent dus voor je werk afhankelijk van je netwerk en de apparatuur daarop, je gebruikt (near) EOL apparatuur, je bent bezorgt over veiligheid en privacy en hebt geen flauw idee of het oranje lampje/dubbel-NAT kwaad kan.

Dit is positief bedoelt, maar ik zou je zelf het advies willen geven om je plannen om je netwerk vanaf internet bereikbaar te maken even te parkeren en na te gaan of je hier de know-how wel voor hebt.

De vragen die je stelt en de suggesties die je doet zijn te vergelijken met iemand die z’n eerste autorit in een F1 bolide wil uitvoeren. Maar misschien schat ik dit volledig verkeerd in! Neem er s.v.p. geen aanstoot aan als ik de plank missla.

Telenet ken ik niet. Je kan kijken of hun modem in bridge mode kan. Dan ben je iig van de dubbele nat af.

Kijk hier eens naar:
https://www.digitalocean....n-for-ssh-on-ubuntu-16-04

Dit is voor ubuntu maar werkt prima op raspbian. Ik moest hiervoor alleen de default sshd aanpassen naar openssh. Een image wat ik zeker aan kan raden voor de raspberry is dietpi.

Of je airport apparatuur nog veilig is... geen idee. Als je kijkt naar vervanging kan ik ubiquiti aanraden. Hun edge routers zijn stabiel en hebben een uitgebreide firewall.

Ik heb ook een raspberry openstaan op ssh. Maar alléén voor bepaalde ip’s én met ssh key, 2fa én sterk wachtwoord. Vergeet ook niet iets als fail2ban.

Lijkt me dat je als je je met crypto zaken bezighoudt extra moet opletten.

[ Voor 5% gewijzigd door Kasper1985 op 15-09-2019 11:36 ]

Kasper1985 schreef op zondag 15 september 2019 @ 11:32:
Telenet ken ik niet. Je kan kijken of hun modem in bridge mode kan. Dan ben je iig van de dubbele nat af.

Dit is wel het laatste wat ik zou adviseren om een oranje lampje op de Airport uit te zetten. Al helemaal nu je zelf al had geconcludeerd dat het verouderde apparatuur is. Zoals TS aangeeft is het lampje softwarematig uit te zetten en ervaart hij nu geen probleem. Een uitgebreide toelichting op mijn mening over bridge mode en waarom dubbel-NAT zelden een probleem is kun je nalezen in een mijn reacties elders op dit forum. Om even in dezelfde (niet zo goede) analogie te blijven: bridge mode is in dit geval alsof je wederom in die niet meer onderhouden F1 bolide gaat rijden, maar gemakshalve ook maar de gordels en helm afzet omdat die niet lekker zitten. Ik zou er niet aan beginnen

Uiteraard mag iedereen er een andere mening op na houden, de mijne van gisteren heb je al. En daar ga ik het zelf bij laten. Er zijn ongetwijfeld anderen die je verder willen helpen. Succes ermee!

@Verwijderd Het was een algemene opmerking. Inderdaad met deze airport apparatuur misschien niet handig. Vandaar ook mijn advies voor ubiquiti. Bridge mode in combinatie met eigen apparatuur die nog gewoon geupdate wordt lijkt me persoonlijk geen probleem.

Kasper1985 schreef op zondag 15 september 2019 @ 12:24:
@Verwijderd Het was een algemene opmerking. Inderdaad met deze airport apparatuur misschien niet handig

Vandaar ook mijn advies voor ubiquiti. Bridge mode in combinatie met eigen apparatuur die nog gewoon geupdate wordt lijkt me persoonlijk geen probleem.

Evenals mijn reacties op ander topics gaat het om het laatste stukje, Ik heb die tekst even aangezet in de quote. Wel/niet bridge kun je volgens mij pas adviseren als je het idee hebt dat een TS begrijpt wat wel/niet kan en waarom het een oplossing kan zijn voor zijn of haar probleem. In dit geval krijg ik dat idee helemaal niet.

Ik snap ook niet waarom Apple heeft gekozen voor deze opvallende melding met een knipperend lampje en waarschuwingstekst. Het had (achteraf) wat mij betreft wel iets subtieler gemogen, bijvoorbeeld met een uitleg dat het problemen zou kunnen geven. Google bijvoorbeeld doet dat wel. Maar goed, Apple heeft vorig jaar aan een aantal media aangegeven met de productie van routers te stoppen.

Los van dit alles lijken mensen geregeld een router in bridge mode te zetten zonder dat ze duidelijk kunnen maken waarom ze dat doen en of er ook minder rigoreuze, en in mijn optiek veiliger maatregelen waren te bedenken.

1) de regel dat je zelf een hotspot moet draaien om van de andere gebruik te kunnen maken is niet meer van toepassing... daar zijn ze vanaf gestapt

2) dubbel natting is niet per se een issue, wel moet je is kijken of je de airport extreme een fixed wan ip kan geven (192.168.0.2 bv)
daarna log je in bij telenet en geef je bij DMZ 192.168.0.2 in ..
dat is dus een statische route voor alle onbekend verkeer... dat word allemaal naar je airport gegooid, die moet zn plan er maar mee trekken

3) de stap om naar een modem-only te gaan kan wel, maar vergeet niet dat je digicorders een rechtstreeks ip nodig hebben (dus ze mogen niet achter je airport in routermodus hangen), terwijl je powerlines wel liefst achter je prive router hangt...
dit omdat de modem-only's maar zeer beperkte ip adressen uitdelen

Ik vergelijk dubbel NAT met de uitdrukking "geen 2 kapiteinen op een schip dat geeft problemen" Het MODEM gedeelte van je provider heb je nou eenmaal nodig daar kom je niet onderuit in het geval van kabel (meestal) bij dsl kan je nog zelf een modem aanschaffen maar die zijn schaars.

Het router gedeelte daarentegen kan je zelf oplossen. Ik heb je andere topic gelezen en ik snap de redenering. Echter ben ik van mening dat een provider niks te zoeken heeft in mijn LAN daar heb ik graag 100% controle over. Alleen daarom zou ik ALTIJD provider apparatuur in bridge mode zetten.

Natuurlijk brengt dat risico's met zich mee. En ik moet eerlijk toegeven dat ik bij mijn moeder (met medische praktijk aan huis) de Fritzbox van XS4ALL zo heb gelaten als ie was. Ook dat was een afweging. Ik heb niet de tijd om daar 100% (of de kunde ivm medische dossiers zou ik 0,0 risico willen lopen) als beheerder op te treden en zij beheert dossiers die vallen onder medisch beroepsgeheim. In dat geval heb ik expliciet gekozen voor xs4all als provider en hun apparatuur met automatische updates ingeschakeld en het beveiligings niveau in hun "mijn.xs4all.nl" op het hoogste niveau.

Maar XS4ALL is wat mij betreft een uitzondering, wellicht naief, maar ik vertrouw en geloof dat xs4all nooit gegevens zal verstrekken aan derden tenzij gedowngen door een gerechtelijk bevel en zelfs dan geloof ik dat ze dat tot aan cassatie zullen aanvechten (tenzij het uiteraard gaat om bepaald crimineel gedrag zoals hacken of misdrijf van zedelijke aard dan hebben ze ook 100% gelijk).

In een thuis situatie zeker die van een tweaker vind ik dat er andere afwegingen spelen en hou ik het liefst de apparatuur van de provider zoveel mogelijk buiten spel. De apparatuur van providers is vaak beperkt in mogelijkheden. Zo kan ik bijvoorbeeld bij de Ftitzbox maar 1 DNS server instellen voor het LAN. Geen ramp en niet onoverkomelijk maar bij m'n EDGE router kan ik er 2 instellen. Toch wel prettig een backup.

Uiteraard geven wij elkaar hier alleen maar advies en is het altijd aan een TS zich goed te verdiepen en in te lezen alvorens een advies over te nemen.

Terug ontopic: Ubiquti apparatuur is denk ik alleen zinvol als je een modem only apparaat krijgt van Telenet. De basis wizard van een edge router zorgt voor NAT en een bassale firewall de rest moet je dan zelf instellen.

Met een Edge router dmv NAT achter NAT heb ik geen ervaring. Wellicht dat als je die idd zoals hier gesuggereerd in DMZ mode zet dat het dan geen problemen oplevert maar wel de voordelen van eigen beheer en meer controle.

ik dacht dat je firewall wel degelijk aanbleef bij DMZ, maar alles wat hij niet herkend door bv port forwarding rules , of bv word doorgestuurd naar dat interne adres

alsook is het niet de hardwareversie die je security bepaald... wel of ie voorzien is van de laatste firmware
dus altijd je devices up to date houden

Je houdt natuurlijk altijd 2 firewalls, althans ook dat is een keuze. Je hebt je primaire firwall in je gateway en de meeste OS'en hebben ook een firewall. IoT apparatuur heeft dat natuurlijk niet. Maar op een Raspberry Pi kan je gewoon met iptables of (veel makkelijker) met ufw werken.

Twee firewalls in de vorm van een gateway is wat mij betreft alleen maar onhandig.

Voorzover ik weet is het bij DMZ zo dat voor het ene IP wat in de DMZ staat de firewall volledig uitgeschakeld is. Als je dus een router/firewall in de DMZ zet is dat prima. Zet je er echter een ander apparaat in dan brengt dat ook risicos met zich mee.