:strip_icc():strip_exif()/u/377621/crop5b66f9414f4bf_cropped.jpeg?f=community)
Mijn vader is sinds kort verhuisd met zijn bedrijfje naar een bedrijfverzamelpand.
Hier is het zo dat er 1 100mbit glasvezelverbinding binnen komt in een Zyxel routertje, deze doet NAT en maakt een 192.168.1.0/24 netwerkje.
Elke “huurder” in dit pand wordt gewoon in de switch geplugd en krijgt dus een ip in het 192.168.1.0/24 netwerk.
Nu is er laatst een uitbraak geweest van een cryptolocker omdat één van de huurder iets had geopend/geklikt.
Nu is mijn vraag, wat is de makkelijkste manier om mijn vaders apparatuur“af te schermen” van de rest van dat 192.168.1.0/24 netwerk?
Ik dacht zelf aan een fatsoenlijke router (Ubiquiti ER-6) die ik met de WAN kant aan het 192.168.1.0 newerk hang, en aan m’n vaders kant een eigen subnet maakt, en dan de firewall zo instellen dat er zo min mogelijk doorheen mag/kan (liefst geen WAN-->LAN traffic inbound) (Non established)
Maar het probleem wat ik dan zie is dat je Dubbel aan het NATTEN bent, en dat is niet ideaal (veel overhead in de TCP headers).
Weten jullie misschien een alternatief? bestaat er iets van een firewall die 2 interfaces kan bridgen en daar tussenin gaat zitten? (dus de systemen van m’n pa krijgen gewoon een ip in 192.168.1.0/24, maar de mensen aan de “buitenkant” van de firewall kunnen niet communiceren met de appratuur van de “binnenkant”.
Het is overigens niet zo dat m'n vader allemaal spannende port-forwards doet o.i.d., hij wil gewoon lekker werken en internet hebben, zonder dat de overige huurders potentieel verbinding kunnen maken met zijn apparatuur.
Het is overigens NIET mogelijk om toegang te krijgen tot de router achter de glasvezelverbinding, anders had ik misschien hierop e.e.a kunnen configureren (2e vlan o.i.d.)
Hoor graag of jullie een idee hebben wat hier een potentiele oplossing zou kunnen zijn.
Hier is het zo dat er 1 100mbit glasvezelverbinding binnen komt in een Zyxel routertje, deze doet NAT en maakt een 192.168.1.0/24 netwerkje.
Elke “huurder” in dit pand wordt gewoon in de switch geplugd en krijgt dus een ip in het 192.168.1.0/24 netwerk.
Nu is er laatst een uitbraak geweest van een cryptolocker omdat één van de huurder iets had geopend/geklikt.
Nu is mijn vraag, wat is de makkelijkste manier om mijn vaders apparatuur“af te schermen” van de rest van dat 192.168.1.0/24 netwerk?
Ik dacht zelf aan een fatsoenlijke router (Ubiquiti ER-6) die ik met de WAN kant aan het 192.168.1.0 newerk hang, en aan m’n vaders kant een eigen subnet maakt, en dan de firewall zo instellen dat er zo min mogelijk doorheen mag/kan (liefst geen WAN-->LAN traffic inbound) (Non established)
Maar het probleem wat ik dan zie is dat je Dubbel aan het NATTEN bent, en dat is niet ideaal (veel overhead in de TCP headers).
Weten jullie misschien een alternatief? bestaat er iets van een firewall die 2 interfaces kan bridgen en daar tussenin gaat zitten? (dus de systemen van m’n pa krijgen gewoon een ip in 192.168.1.0/24, maar de mensen aan de “buitenkant” van de firewall kunnen niet communiceren met de appratuur van de “binnenkant”.
Het is overigens niet zo dat m'n vader allemaal spannende port-forwards doet o.i.d., hij wil gewoon lekker werken en internet hebben, zonder dat de overige huurders potentieel verbinding kunnen maken met zijn apparatuur.
Het is overigens NIET mogelijk om toegang te krijgen tot de router achter de glasvezelverbinding, anders had ik misschien hierop e.e.a kunnen configureren (2e vlan o.i.d.)
Hoor graag of jullie een idee hebben wat hier een potentiele oplossing zou kunnen zijn.
:strip_icc():strip_exif()/u/55250/crop5bfe6e8b5ddb6_cropped.jpeg?f=community)
:strip_exif()/u/18996/GoT_avatar.gif?f=community){kind=avatar}
:strip_icc():strip_exif()/u/21971/crop5b5ae9fcba7bc_cropped.jpeg?f=community)
)./u/107972/crop654b93d4421ae_cropped.png?f=community)
