is 2de router om netwerk te scheiden veilig?

is een gast netwerk op je bestaande router gewoon niet veel makkelijker

RickD007 schreef op zondag 22 november 2020 @ 10:05:
Nou zat ik er aan te denken een extra router aan m'n kabelmodem/router te hangen met een eigen subnet en die hiervoor te gebruiken.

Welke apparatuur heb je nu?

Als je wifi key de enige scheiding is tussen wel/niet bij je prive spullen kunnen komen, zou ik eerst aan de storage kant de security opkrikken. Wifi beveiliging is niet echt Fort Knox gebleken in de historie.

RickD007 schreef op zondag 22 november 2020 @ 10:05:
Hallo Allen,

Ik heb soms gasten op m'n netwerk thuis en die wil ik niet via mijn thuisnetwerk toegang geven tot internet uit veiligheid, aangezien ze dan theoretisch bij al m'n spullen kunnen komen. Nou zat ik er aan te denken een extra router aan m'n kabelmodem/router te hangen met een eigen subnet en die hiervoor te gebruiken.

Is dit een veilige optie, of zie ik iets over het hoofd en kun je dan alsnog eenvoudig bij het andere deel van het netwerk komen? En als het geen goede optie is wat zou dan wel een eenvoudige en veilige manier zijn om dit te doen.

Alvast dank voor alle hulp en ideeën!

Groet,
Rick

Als jij een 2e router achter de bestaande knoopt voor gasten kunnen de gasten wel op jouw bestaande netwerk komen, maar jij niet bij het gastennetwerk. Door de gasten-router als eerste te plaatsen kunnen ze enkel het internet op.

Dit is een houtje-touwtje oplossing. Ga op zoek naar een router die gastnetwerken ondersteund!

Het standaard modem van kpn, ziggo en xs4all ondersteunen al gasten netwerken. Grote kas dat jouw modem van je provider dit ook al kan...

RickD007 schreef op vrijdag 18 december 2020 @ 15:37:
Enige optie is dus een nieuwe router er achter hangen die wel deze optie heeft en daar alles over laten lopen

Nee, niet de enige optie. Jadjong bedoelde het andersom. Jouw gasten werken via het oorspronkelijke modem/router. Jij werkt via de nieuwe router. Je creëert dan in essentie een dmz tussen twee firewalls. Je hebt dan wel (meer) kans op dubbel-nat problemen.

Makkelijkste is inderdaad wel een andere router of ap met gastenfunctie. Ik gebruik een ap, de tplink eap225, en heb daarin een gasten en prive wifi gemaakt. Dus alleen wifi gescheiden.

Hoe dan ook is NAT (want daar hebben we het over) geen firewall, en geen veiligheidsoplossing.

https://weberblog.net/why...hing-to-do-with-security/

Sure, een NAT oplossing blokkeert verkeer dat hij niet kan matchen met een intern verzoek, maar er zijn legio NAT punching trucs, ook sommige die van buitenaf te triggeren zijn, en sommige die van binnen (via een browser/websocket verzoek) te triggeren zijn.

In jouw situatie zou ik een deftig accesspoint aanschaffen waarin je een gastennetwerk aan kan maken. Het gastennetwerk is voldoende geïsoleerd van het gewone netwerk. Een router heb je hiervoor echt niet nodig.

Lees eens wat Ubiquiti hiervoor gebruikt:
https://help.ui.com/hc/en...Portal-and-Hotspot-System

Uiteraard kunnen andere merken dat ook, Ubiquiti is erg populair hier op GoT.

Als ze bij al jouw spullen kunnen komen is dat zowiezo niet goed. Zet overal netjes users en wachtwoorden op. Vervolgens zijn het mensen die bij jouw binnen mogen komen en die je in je huis vertrouwd. Wordt het dan niet erg tweeledig?

RickD007 schreef op vrijdag 1 januari 2021 @ 14:12:
Ik kan op dit moment van iemand een gratis goede router met guest network krijgen. Ik denk dat ik de wifi van de originele kabelmodem uit ga zetten en de nieuw router erachter ga hangen met een eigen guest en lan wifi. Dan is het kabelmodem dus alleen kabelmodem, en loopt alles via de router.

Zoals je hier beschrijft is de modem nog steeds een router, alleen een router met WiFi uit (routerfunctionaliteit staat los van WiFi ). Beter is om dat ding door Ziggo in bridge mode te laten zetten, dan is het echt alleen een modem. Waarom beter? Omdat twee routers achter elkaar problemen kan geven en de boel sowieso onnodig (licht) vertraagt.

Klopt mijn theorie dat dit een veilige opzet is (ik gebruik geen forwarding oid, alleen standaard clients, dus zou geen probleem moeten zijn qua verkeer), of zie ik hier iets over het hoofd qua veiligheid (zijn er extra instellingen nodig op het kabelmodem of is dit überhaupt een slechte opzet).

Het is in principe een veilige opzet, nauwkeuriger: het is zo veilig als je router is en de instellingen die je erin doet. Normaliter zijn de defaults redelijk veilig te noemen, maar als je echt zorgen maakt zou ik dat checken.

Verder nog een detail: ik denk dat je zo wel via het gastennetwerk verbinding kan maken met de webinterface van het kabelmodem. Niet echt heel erg, zit een goed wachtwoord op, maar is het mogelijk om dit op een eenvoudige manier te voorkomen als extra? Je kan wel voorkomen dat guest clients elkaar zien zag ik in de handleiding, maar dit lijkt me lastig.

Dit is nog een reden om die modem in bridge mode te laten zetten: je kunt er nog steeds in op default DOCSIS IP (192.168.100.1), maar omdat het geen router meer is, zijn er geen instellingen die een kwaadwillende (of prutser) kan verkloten.

Client isolation (dat clients onderling op guest network niet kunnen communiceren) is het overwegen waard, maar maakt voor veiligheid tov je eigen thuisnetwerk niet uit, puur voor wat gasten onderling kunnen doen.
Voor: gasten tegen elkaar beschermd.
Tegen: ook gewenste dingen (zooi delen onderling) kunnen ook niet.

Bij een openbare hotspot is client isolation doorgaans sterk aan te raden, bij een gastnetwerk bij een particulier thuis is het doorgaans niet nodig, eerder hinderlijk.

JaDatIsPeter schreef op vrijdag 18 december 2020 @ 16:23:
[...]

Nee, niet de enige optie. Jadjong bedoelde het andersom. Jouw gasten werken via het oorspronkelijke modem/router. Jij werkt via de nieuwe router. Je creëert dan in essentie een dmz tussen twee firewalls. Je hebt dan wel (meer) kans op dubbel-nat problemen.

Makkelijkste is inderdaad wel een andere router of ap met gastenfunctie. Ik gebruik een ap, de tplink eap225, en heb daarin een gasten en prive wifi gemaakt. Dus alleen wifi gescheiden.

Maar heb je een eigen vlan voor ze gemaakt? Zonee zitten ze nog gewoon in hetzelfde subnet en is het niet anders dan dat ze op je eigen ssid zitten...

Makkelijkste is inderdaad wel een andere router of ap met gastenfunctie. Ik gebruik een ap, de tplink eap225, en heb daarin een gasten en prive wifi gemaakt. Dus alleen wifi gescheiden.

Nox schreef op zaterdag 2 januari 2021 @ 11:38:
Maar heb je een eigen vlan voor ze gemaakt? Zonee zitten ze nog gewoon in hetzelfde subnet en is het niet anders dan dat ze op je eigen ssid zitten...

Wat bedoel je? Dat de gastfunctie geen gastfunctie is? Want daar ging het om..

[ Voor 8% gewijzigd door JaDatIsPeter op 04-01-2021 00:20 ]

JaDatIsPeter schreef op maandag 4 januari 2021 @ 00:19:
[...]


[...]

Wat bedoel je? Dat de gastfunctie geen gastfunctie is? Want daar ging het om..

Als je in een deftig accesspoint een tweede SSID aanmaakt maar deze niet scheidt van de andere SSID's middels een ander vlan dan zitten ze in hetzelfde vlan/netwerk. Dan heb je enkel een ander wachtwoord voor je gasten maar het netwerk niet gescheiden.

Er is wel een mogelijkheid om dit te realiseren middels een accesslist als dat mogelijk is op je accesspoint. Je stelt dan in dat clients enkel en alleen met het gateway mogen communiceren. Bijna hetzelfde als client isolation maar dan doorgetrokken naar het hele netwerk.

Het kán zijn dat tplink een gastnetwerkfunctie heeft maar meestal hebben ze zoiets niet specifiek ingebouwd inclusief accesslist en vlan-configuratie en moet je die zelf nog verzorgen. Vaak betekent het iets van een policy/role.

Nox schreef op maandag 4 januari 2021 @ 09:57:
Het kán zijn dat tplink een gastnetwerkfunctie heeft maar meestal hebben ze zoiets niet specifiek ingebouwd inclusief accesslist en vlan-configuratie en moet je die zelf nog verzorgen. Vaak betekent het iets van een policy/role.

Een gastfunctie heeft de eap225 specifiek ingebouwd. Werkt zonder vlan, zonder access list, zonder client isolation. Alle SSIDs op hetzelfde subnet.
Gebruikers van het gastnetwerk kunnen niks anders dan naar internet. En zijn dus perfect van elkaar gescheiden.
Ik neem aan dat de gastfunctie werkt op basis van regels die verkeer naar "private" reeksen (192.168.x, 10.x, etc.) droppen. Misschien dat de gastfunctie ook automatisch client-isolation aanzet. Hoe dan ook voor huis-tuin-keuken gebruik meer dan voldoende. Gelukkig maar, want anders zou de gastfunctie geen gastfunctie zijn..

JaDatIsPeter schreef op maandag 4 januari 2021 @ 10:58:
[...]

Een gastfunctie heeft de eap225 specifiek ingebouwd. Werkt zonder vlan, zonder access list, zonder client isolation. Alle SSIDs op hetzelfde subnet.
Gebruikers van het gastnetwerk kunnen niks anders dan naar internet. En zijn dus perfect van elkaar gescheiden.
Ik neem aan dat de gastfunctie werkt op basis van regels die verkeer naar "private" reeksen (192.168.x, 10.x, etc.) droppen. Misschien dat de gastfunctie ook automatisch client-isolation aanzet. Hoe dan ook voor huis-tuin-keuken gebruik meer dan voldoende. Gelukkig maar, want anders zou de gastfunctie geen gastfunctie zijn..

Dan werkt hij dus met een accesslist Maar die zie je niet, dan heeft hij enkel traffic naar gateway toegestaan.