Deelnetwerk opzetten zonder admintoegang op eerste router

Ik ga binnenkort wonen in een woning waar reeds een internetverbinding aanwezig is. Ik heb toegang tot het netwerk middels Wi-Fi en LAN-kabel. De router/modem van de ISP wordt beheerd door de huisbaas en ik heb dus geen toegang tot het admin panel van die router. Nou wil ik zelf in mijn studio zaken opzetten als een Chromecast, Domoticz-installatie, en een Synology. Vanuit het oogpunt van veiligheid wil ik nu mijn apparaten afschermen van de overige gebruikers. Ik kan hierbij geen gastennetwerk aanmaken omdat ik niet de router/modem van de ISP kan beheren, een VLAN is daarmee eveneens onmogelijk (voor zover ik weet).

De enige mogelijkheid die ik nu zie, is een double NAT, maar dat lijkt niet heel wenselijk te zijn als ik het internet zo mag geloven. Is er een andere, betere manier om mijn apparaten wel met elkaar verbonden te houden en met het internet, maar wel afgeschermd van de overige apparaten op dit netwerk? Ik heb aan materiaal een router met OpenWRT, een computer met dubbele NIC waar iets als pfSense op gezet kan worden en een VPS in Nederland met eigen IP-adres (eventueel om direct de verbinding vanaf mijn router te tunnelen naar een eigen IP-adres, mocht dat noodzakelijk zijn dus).

Heeft iemand enig advies m.b.t. hoe je dit elegant op kunt zetten, of enkele keywords waarmee ik verder op avontuur kan gaan om dit op poten te krijgen?

HKLM_ schreef op zondag 2 februari 2020 @ 17:24:
Ik zou eerst eens uitzoeken wat voor netwerk je krijgt vanuit je huisbaas. Als iedereen gewoon op hetzelfde subnet dan zou ik daar zeker een eigen firewall achter hangen. Krijg je gewoon een eigen vlan voor je zelf dan is een switch vaak voldoende.

Meerdere studio's krijgen toegang tot een gedeeld netwerk. De router van dat netwerk zit dan wel in mijn studio, wat al scheelt omdat ik in ieder geval een kabel kan inprikken. Ik zag zowel bij het aansluiten per kabel als draadloos al meerdere Chromecasts en NAS's in het netwerk opduiken, dus ik krijg niet de indruk dat er gepoogd is alles van elkaar af te scheiden.

PhilipsFan schreef op zondag 2 februari 2020 @ 17:27:
Double NAT is een beetje jammer voor games etc omdat de latency dan toeneemt. Maar dat is voor jou geen probleem, want je hebt toegang tot beide netwerken. Dus de dingen die je veilig wilt hebben achter je eigen router en de game-pc rechtstreeks aan het netwerk van je huisbaas.

Of je laat toch je eigen DSL of kabelmodempje aanleggen voor een volledig eigen verbinding. Want als je ook domotica etc wilt gaan gebruiken, dan kun je daar dus niet van buitenaf bij komen omdat je op de router van je huisbaas geen poorten open kunt zetten.

Latency is inderdaad geen probleem in dit geval. Ik game op een PS4 die inderdaad gewoon prima direct met het 'gedeelde' netwerk verbonden mag zijn. De latency voor de overige apparaten is dus niet heel belangrijk zolang het niet boven de ca. 70ms gaat zitten en gaat hinderen in gewoon computergebruik. Ik hoef ook geen poorten open te zetten naar buiten toe; Domoticz wil ik niet extern bereikbaar hebben en alle services die ik zelf host draai ik op een VPS. Het enige dat ik dus belangrijk vind, is dat ik mijn apparaten wel met elkaar verbonden kan houden, en andere gebruikers van het netwerk niet bij mijn apparaten kunnen, en dat alle apparaten desondanks uiteraard wel internettoegang hebben.

Ik zat zelf nog te denken aan een eventuele constructie waarbij ik een eigen access point opzet met pfSense of OpenWRT waar alle apparaten mee verbonden worden, en de uitgaande verbinding van het access point door middel van een VPN-verbinding naar mijn VPS loopt. Voor de buitenwereld hoef ik deze apparaten toch niet beschikbaar te stellen, dus zaken als port forwarding e.d. zijn niet belangrijk.

HKLM_ schreef op zondag 2 februari 2020 @ 17:43:
[...]


Ik zou dat toch eens checken met de verhuurder dan.. als jij de router van een gedeeld netwerk in je studio hebt en jij bent op vakantie en het internet gaat plat wat doen ze dan? Gaan ze dan je studio binnen zonder dat jij er weet van hebt?

Ik zou aandringen op een gescheiden netwerk of een eigen verbinding en het verplaatsen van de router.

In dit geval is er in iedere studio een eigen ADSL-verbinding beschikbaar. De huurbaas heeft dan ook aangegeven dat iedere studio in principe zonder internetverbinding komt en je zelf een verbinding over ADSL kunt afsluiten. Dit netwerk van de huurbaas zit op de COAX-aansluiting in de muur, en er wordt dan ook aangegeven dat het een 'best-effort' verbinding is. In mijn contract staat dan ook netjes dat indien er problemen zijn met dit netwerk waarvoor fysiek toegang nodig is ze in samenspraak met mij een afspraak maken om langs te komen. Dat is dus netjes afgedekt en besproken

Overigens heb ik dus wel gewoon de mogelijkheid om een eigen ADSL-verbinding te nemen hier, maar indien een eenmalige investering in hardware het al mogelijk maakt om mijn deel van het netwerk goed af te sluiten van de rest, is dat natuurlijk aantrekkelijker dan 30 euro per maand betalen vanwege een technische beperking. Indien de betrouwbaarheid/snelheid echt tegenvalt of mensen fanatiek P2P-filesharing doen op het netwerk kan ik evengoed dus een eigen verbinding krijgen.