Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Acties:
  • 0Henk 'm!

  • Stevvh
  • Registratie: juli 2010
  • Laatst online: 29-11 22:26
Besten,

Laat ik beginnen te zeggen dat ik slechts medium vaardig ben als het neer komt op subnetting en de werking van netwerken en protocollen. Een groot gedeelte van wat ik nu weet heb ik in enkele dagen geleerd door te googelen. B)

Ik begon met een oud TP-Link routertje wat ik nog had liggen maar kwam er al snel achter dat ik die geen afzonderlijke WAN en LAN IP-adressen kon toekennen. Hierop heb ik een milde investering gedaan door een Asus RT-AC51U aan te schaffen.

Thuis ligt een KPN glasvezelverbinding die op de KPN modem/router binnenkomt. Het WIFI van de KPN zou het privénetwerk moeten worden, de WIFI van de Asus router voor de IoT-apparaten en eventuele visite.

Het is dus de bedoeling dat de Asus AC51U als 2e router achter mijn KPN (Arcadyan VRV9517) modem komt en dat deze met een eigen DHCP-server IP-adressen uitdeelt in het subnet 192.168.3.x alwaar de KPN router met een DHCP-server fungeert binnen het 192.168.2.x subnet.

Ik heb het volgende gedaan:
  1. WAN-IP Asus router ingesteld op static IP met een IP-adres binnen de IP-range van mijn kpnrouter (In dit geval 192.168.2.43, die was vrij, ik weet het .253 is mooier) en deze ook in de KPN router toegevoegd als DHCP-reservering.
  2. LAN-IP van de Asus router ingesteld met een ander subnet. (In dit geval 192.168.3.254).
  3. Gateway en Primairy DNS op de Asus router ingesteld op het IP van de KPN router (in dit geval 192.169.2.254).
  4. Wireless SSID een afwijkende naam gegeven van mijn KPN wireless SSID.
Als verbind met de Asus router en naar de instellingen ga (via 192.168.3.254) geeft deze 'internet acces: connected" aan en ik zie ook op de Asus router dat het blauwe lampje WAN brandt.

Alles lijkt dus in orde maar helaas kan ik zowel via de WIFI als bekabeld niet op internet en geven alle apparaten aan dat er geen verbinding met internet is. (laptop, PC en smartphone)

Wat doe ik fout? Ik kom er niet meer uit. |:(

Stevvh


Acties:
  • +1Henk 'm!

  • DexterDee
  • Registratie: november 2004
  • Nu online

DexterDee

I doubt, therefore I might be

Je Asus router serveert het IoT subnet 192.168.3.0/24 en deelt in dit subnet met z'n DHCP server ook IP adressen uit. Omdat het een /24 subnet is, kunnen clients niet zomaar naar een ander subnet (192.168.2.0/24, je KPN subnet) zonder gebruik te maken van een gateway. Als je je Asus goed geconfigureerd hebt, dan heeft deze een "WAN" ip adres gekregen van de KPN router en is zijn "LAN" ip adres 192.168.3.254. Omdat de Asus in router mode staat, zal hij op zijn LAN ip adres (192.168.3.254) als gateway fungeren. De clients op je IoT netwerk moeten dus niet de gateway van je KPN subnet gebruiken, maar de Asus gateway. Je Asus router routeert vervolgens het verkeer naar het KPN subnet (via z'n "WAN" verbinding) en de KPN router kan het verkeer vervolgens het "echte" internet op routeren.

Zo dus:
IoT device -> DHCP 192.168.3.x -> ASUS (192.168.3.254) -> KPN (192.168.2.1?) -> {INTERNET}

Klik hier om mij een DM te sturen • 3245 WP op ZW


Acties:
  • 0Henk 'm!

  • Stevvh
  • Registratie: juli 2010
  • Laatst online: 29-11 22:26
Allereerst bedankt voor de snelle reactie!

Ik begrijp het nu ineens en het werkt meteen! Bedankt voor je duidelijke uitleg! Wordt ten zeerste gewaardeerd!

Even ter bevestiging, in deze constructie kan een gast die verbinding maakt met de Asus WIFI dus nooit de apparaten in het subnet 2.x van de kpn bereiken omdat de Asus binnen het subnet 3.x fungeert?

Stevvh


Acties:
  • +1Henk 'm!

  • BAJansen
  • Registratie: oktober 2012
  • Laatst online: 15:59
De apparaten die met de Asus router verbonden zijn kunnen juist zowel bij alles in het 192.168.3.0/24 subnet, als bij het 192.168.2.0/24 subnet, en het internet. De apparaten in het 192.168.2.0/24 subnet kunnen niet bij de apparaten in 192.168.3.0/24.

Acties:
  • 0Henk 'm!

  • DexterDee
  • Registratie: november 2004
  • Nu online

DexterDee

I doubt, therefore I might be

Als aanvulling op @BAJansen, mocht je op je KPN router een static route aanmaken (192.168.3.0/24 -> ASUS IP) dan kunnen alle devices op beide subnets met elkaar communiceren. Dit is niet wat je wil, maar even ter illustratie hoe routing werkt.

Normaal gesproken zou je op je KPN router met firewall rules het verkeer moeten beperken van het ASUS netwerk, zodat de IoT devices niet je KPN subnet kunnen benaderen. Met een simpele Arcadyan router gaat dat echter niet lukken. Je zou nu kunnen denken dat je de netwerken kunt omwisselen. De IoT apparaten op het KPN subnet en de rest op het ASUS subnet. In eerste instantie lijkt dat een goed plan, want dat belet de IoT devices om bij de andere devices op het LAN te komen. Er is echter een groot probleem. Als je laptop op het ASUS subnet een IP adres heeft, dan heb je een dubbele NAT verbinding nodig om het internet te bereiken. Veel diensten die afhankelijk zijn van een correcte NAT implementatie zullen dan niet of slecht werken. Denk aan online gamen, bellen en allerlei andere streaming diensten.

Een mogelijke oplossing is om de KPN router in z'n geheel te vervangen door een router met ingebouwde firewall en ondersteuning voor meerdere subnets. Ik heb zelf een pfSense router, welke op meerdere subnetten aparte DHCP servers actief kan hebben. Bovendien kan met firewall rules de toegang tussen de verschillende subnetten beperkt worden. Dit vereist wel een complexere setup, waarbij je als beginner wel even moet prutsen voordat alles werkt.

Een simpelere oplossing is een Wifi Accesspoint met mogelijkheid tot een gastennetwerk. Deze zijn vaak ingesteld om in "client isolation" mode te werken. Dat betekent zoveel als dat alle aangesloten devices alleen het internet op mogen, maar geen toegang hebben tot het lokale netwerk.

En zo zijn er nog talloze mogelijkheden. Je zou bijvoorbeeld aparte VLANs kunnen maken. Maar welke oplossing je ook zou kiezen, de complexiteit voor een beginner neemt wel flink toe. Dus wees bereid om flink te Googlen en bij te lezen. Zo zijn de meesten van ons ook begonnen ;)

Klik hier om mij een DM te sturen • 3245 WP op ZW


Acties:
  • 0Henk 'm!

  • BAJansen
  • Registratie: oktober 2012
  • Laatst online: 15:59
Het instellen van een route naar 192.168.3.0/24 in je 192.168.2.0/24 netwerk gaat niet zomaar werken. Dit eerste netwerk zit namelijk achter NAT en een firewall, en zal dus geen verkeer toelaten naar apparaten in dit netwerk.

Acties:
  • 0Henk 'm!

  • Stevvh
  • Registratie: juli 2010
  • Laatst online: 29-11 22:26
Bedankt voor de aanvulling DexterDee, ik volg bijna alles wat je verteld dus dat is al een hele stap. Op dat punt was ik gisteren namelijk nog niet :P

Edit: Ik zit nog steeds te lezen (01:05u), kan een van jullie beiden bevestigen dat het instellen van de DMZ optie op de Experiabox er voor zorgt dat er een dubbele NAT niet meer voor komt? Want dan verkies ik dat boven het vervangen van mijn experiabox door de Asus router. (dat kan namelijk wel, hij heeft ook ondersteuning voor IPTV)
En zo ja, omdat dan de firewall van de experiabox wordt omzeild, moet ik rekening houden met veiligheidsrisico's?

[Voor 54% gewijzigd door Stevvh op 03-06-2020 01:09. Reden: Gedachteverandering op de late avond]

Stevvh


  • DexterDee
  • Registratie: november 2004
  • Nu online

DexterDee

I doubt, therefore I might be

Het instellen van de DMZ voorkomt inderdaad een dubbele NAT. Wel even opletten dat je niet het hele KPN subnet in de DMZ zet maar alleen de WAN poort van je Asus. Dan zitten er geen grote veiligheidsrisico's aan.

Klik hier om mij een DM te sturen • 3245 WP op ZW

Pagina: 1


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Black Friday 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True