Subnet met tweede router voor IoT

Je Asus router serveert het IoT subnet 192.168.3.0/24 en deelt in dit subnet met z'n DHCP server ook IP adressen uit. Omdat het een /24 subnet is, kunnen clients niet zomaar naar een ander subnet (192.168.2.0/24, je KPN subnet) zonder gebruik te maken van een gateway. Als je je Asus goed geconfigureerd hebt, dan heeft deze een "WAN" ip adres gekregen van de KPN router en is zijn "LAN" ip adres 192.168.3.254. Omdat de Asus in router mode staat, zal hij op zijn LAN ip adres (192.168.3.254) als gateway fungeren. De clients op je IoT netwerk moeten dus niet de gateway van je KPN subnet gebruiken, maar de Asus gateway. Je Asus router routeert vervolgens het verkeer naar het KPN subnet (via z'n "WAN" verbinding) en de KPN router kan het verkeer vervolgens het "echte" internet op routeren.

Zo dus:
IoT device -> DHCP 192.168.3.x -> ASUS (192.168.3.254) -> KPN (192.168.2.1?) -> {INTERNET}

De apparaten die met de Asus router verbonden zijn kunnen juist zowel bij alles in het 192.168.3.0/24 subnet, als bij het 192.168.2.0/24 subnet, en het internet. De apparaten in het 192.168.2.0/24 subnet kunnen niet bij de apparaten in 192.168.3.0/24.

Als aanvulling op @BAJansen, mocht je op je KPN router een static route aanmaken (192.168.3.0/24 -> ASUS IP) dan kunnen alle devices op beide subnets met elkaar communiceren. Dit is niet wat je wil, maar even ter illustratie hoe routing werkt.

Normaal gesproken zou je op je KPN router met firewall rules het verkeer moeten beperken van het ASUS netwerk, zodat de IoT devices niet je KPN subnet kunnen benaderen. Met een simpele Arcadyan router gaat dat echter niet lukken. Je zou nu kunnen denken dat je de netwerken kunt omwisselen. De IoT apparaten op het KPN subnet en de rest op het ASUS subnet. In eerste instantie lijkt dat een goed plan, want dat belet de IoT devices om bij de andere devices op het LAN te komen. Er is echter een groot probleem. Als je laptop op het ASUS subnet een IP adres heeft, dan heb je een dubbele NAT verbinding nodig om het internet te bereiken. Veel diensten die afhankelijk zijn van een correcte NAT implementatie zullen dan niet of slecht werken. Denk aan online gamen, bellen en allerlei andere streaming diensten.

Een mogelijke oplossing is om de KPN router in z'n geheel te vervangen door een router met ingebouwde firewall en ondersteuning voor meerdere subnets. Ik heb zelf een pfSense router, welke op meerdere subnetten aparte DHCP servers actief kan hebben. Bovendien kan met firewall rules de toegang tussen de verschillende subnetten beperkt worden. Dit vereist wel een complexere setup, waarbij je als beginner wel even moet prutsen voordat alles werkt.

Een simpelere oplossing is een Wifi Accesspoint met mogelijkheid tot een gastennetwerk. Deze zijn vaak ingesteld om in "client isolation" mode te werken. Dat betekent zoveel als dat alle aangesloten devices alleen het internet op mogen, maar geen toegang hebben tot het lokale netwerk.

En zo zijn er nog talloze mogelijkheden. Je zou bijvoorbeeld aparte VLANs kunnen maken. Maar welke oplossing je ook zou kiezen, de complexiteit voor een beginner neemt wel flink toe. Dus wees bereid om flink te Googlen en bij te lezen. Zo zijn de meesten van ons ook begonnen

Het instellen van een route naar 192.168.3.0/24 in je 192.168.2.0/24 netwerk gaat niet zomaar werken. Dit eerste netwerk zit namelijk achter NAT en een firewall, en zal dus geen verkeer toelaten naar apparaten in dit netwerk.

Het instellen van de DMZ voorkomt inderdaad een dubbele NAT. Wel even opletten dat je niet het hele KPN subnet in de DMZ zet maar alleen de WAN poort van je Asus. Dan zitten er geen grote veiligheidsrisico's aan.