Buurman helpen

Achter in de tuin een outdoor AP plaatsen, hopen dat hij binnen in huis genoeg bereik heeft. Vervolgens alleen toegang geven via gastennetwerk.

en anders gebruikt hij toch gewoon die laatste paar dagen internet van z'n mobiel?

Hoe goed moet die beveiliging/afscherming zijn?
Als al je systemen gewoon zelf al dichtgetimmerd zijn (geen public shares ofzo) zal het toch ook wel genoeg zijn?

Wil je het goed doen, moet je aan jouw kant van het netwerk iets afschermen. Zo lang zijn router bij hem staat heeft het weinig zin om daar iets op af te schermen. Dan is het hooguit dat niet direct alles zichtbaar is zonder de instellingen aan te passen.

En als het langer duurt een 4g abonnementje
https://evenwifi.nl/

Heeft hij zijn router niet moeten inleveren bij het opzeggen van zijn internet service provider?

In princiepe zou jou lankabel in de wan poort van de router moeten. Dan is de router de afscheiding tussen beide netwerken.

Moet je er op vertrouwen dat hij niet stiekem de lan kabel in een lan poort stopt. Dan kunnen jullie over en weer alles zien.

Heel simpel, tenzij jij het afscheid zit hij gewoon op jouw netwerk. Weliswaar via NAT, maar dat beveiligt alleen zijn netwerk. Hij kan alsnog op jouw netwerk.

Op basis van jouw vraagstelling schat ik in dat VLAN's te hoog gegrepen zijn, los van eventuele aanwezigheid van de juiste hardware. Maar dat is naar mijn mening de enige goede oplossing.

Een manier zou zijn om een extra router te gebruiken die je (net als die van je buurman) aan je huidige modem/router hangt. Je eigen netwerk zit dan achter die extra router en zo afgeschermd voor de buurman. Levert je wel een extra NAT op, en mogelijk even checken of je nog ip-ranges moet aanpassen.

royke schreef op vrijdag 28 mei 2021 @ 10:32:
Ik heb nog een netgear router staan en zal de wan poort daarop aansluiten. eens kijken of dat werkt.

Nogmaals (en in tegenstelling tot de nodige reacties) levert het alleen scheiding van zijn netwerk op, niet van jouw netwerk.

Wel als je een extra router voor je eigen netwerk gooit (dan kun jij wel bij de buren, maar zij niet bij jou). Andersom van wat TS voorstelde dus.

Dat is een makkelijk oplossing als buren perse internet willen lenen en jij daaraan wilt meewerken.
Hadden zij ook afgeschermd willen zijn hadden ze maar eigen aansluiting moeten behouden

(of inderdaad 2 routers extra, een voor elk netwerk)

[ Voor 7% gewijzigd door defusion op 28-05-2021 11:00 ]

Niet helemaal. Die extra router heeft bv aan de WAN kant het 192.168.2.10 ip met gateway 192.168.2.254. Echter kan die router alsnog bij 192.168.2.11

Dan moet je die extra router dus of beschermen met firewall dat de WAN alleen naar de gateway mag of een klein subnet gebruiken dat die extra router alleen bij het WAN ip kan

Waarom gebruik je public shares dat is in iedere vorm niet echt handig. Hoeveel gebruikers heb je in huis? Dit is zo makkelijk anders te doen en geeft in iedere zin gewoon meer veiligheid. Vroeger deed iedereen het maar geef gewoon rechten aan gebruikers. Dan kan je vervolgens volop je netwerk delen.

royke schreef op vrijdag 28 mei 2021 @ 11:01:
[...]


Tenzij hij de wan poort wisselt naar de lan poort. Maar dat is een kwestie van vertrouwen..
dank.

Nee, die extra router zit voor jouw netwerk. In jouw huis. Dus kan hij niet bij.

Een extra router bij de buurman beschermt hem alleen tegen jou. Dat moet 'ie dan zelf weten.

(alles achter router onzichtbaar voor buurman)
Extra Router TS ----\
>switch -> router/modem
pc1 buurman---------//
pc2 buurman --------/
(wel zichtbaar voor TS)


OF


(alles hierachter niet zichtbaar voor buurman)
Extra Router TS -----\
>switch -> router/modem
Extra router buurman/
(alles hierachter niet zichtbaar voor TS)

[ Voor 4% gewijzigd door defusion op 28-05-2021 11:14 ]

royke schreef op vrijdag 28 mei 2021 @ 11:01:
[...]


Tenzij hij de wan poort wisselt naar de lan poort. Maar dat is een kwestie van vertrouwen..
dank.

Nee, het punt is dat het netwerk achter de router is beschermd van dat ervoor, en niet andersom. Je moet dus je eigen netwerk achter een router zetten, of wellicht een wat meer geavanceerde VLANs / firewall instellen.

Kun je op de managed switch niet werken met VLAN's? Andere optie is om hem toegang tot jouw infra te geven via VPN, waarmee jij vervolgens uitsluitend jouw internet verbinding deelt. Hoe je het dan fysiek aansluit maakt niet veel uit. Andere optie (voor de buurman) is 4G.

[ Voor 74% gewijzigd door CH4OS op 28-05-2021 11:18 ]

[quote]defusion schreef op vrijdag 28 mei 2021 @ 11:13:
[...]

Nee, die extra router zit voor jouw netwerk. In jouw huis. Dus kan hij niet bij.

Een extra router bij de buurman beschermt hem alleen tegen jou. Dat moet 'ie dan zelf weten.

(alles achter router onzichtbaar voor buurman)
Extra Router TS ----\
>switch -> router/modem
pc1 buurman---------//
pc2 buurman --------/
(wel zichtbaar voor TS)


OF


(alles hierachter niet zichtbaar voor buurman)
Extra Router TS -----\
>switch -> router/modem
Extra router buurman/
(alles hierachter niet zichtbaar voor TS)
[/quote]

Maar is dat zo?
Stel:
Nas TS: 192.168.1.10
Hoofd router TS: 192.168.1.1
Extra router TS voor buurman: 192.168.1.2 (WAN)
LAN: 192.168.2.1

Extra router by buurman: 192.168.2.2 (WAN)
LAN: 192.168.3.1

Als een device bij de buurman op 192.168.3.2 wil connecten naar de NAS op 192.168.1.10 dan
Gaat 192.168.3.2 naar de default gateway op 192.168.3.1
De router kent het ip niet en gaat dus naar de default gateway op 192.168.2.1
De router kent het kent ip en gaat dus naar zijn eigen wan, daar leeft het 192.168.1.x en routeert het subnet naar de NAS

Nu ik opnieuw lees is dit precies wat jij en @Nielson probeerde duidelijk te maken

De enige manier die mogelijk is:
Hoofd router (hier sluit je NIETS op aan)
Poot 1: Router voor TS, hierachter al je devices
Poot 2: Router voor buurman, hierachter de buurman zijn devices

Of kan je switch een ACL? dan is het ook mogelijk

[ Voor 11% gewijzigd door laurens0619 op 28-05-2021 11:48 ]

Alles valt/staat beetje hoe technisch je buurman is, de huistuinkeukengebruiker heeft internet: klaar. Die gaat echt geen subnets of gateways doorspitten om jouw NAS te bereiken.

Ik heb altijd simpele oplossing gehad, mijn router gast-netwerk -> wifi-AP (wifi as a wan?) -> 2de netwerk. Beetje router blokkeert standaard gastnetwerk van jouw eigen netwerk, altijd wel manieren om daar zelfs omheen te komen, maar voor gros van gebruikers is dat helemaal prima.

Buiten je public shares heb je ook meteen toegang tot alle IoT, cast en smart devices. Voor sommige dingen hoef je alleen maar deel uit te maken van het zelfde netwerk om deze te bedienen en/of in te loggen/overnemen.

Zeker als je zelf niet precies weet hoe/wat zou ik zonder een zogenaamde gasten netwerk die dat soort dingen meestal prima oplost een ander niet toelaten tot mijn netwerk.

Ik zat nog te denken

Stel je zet twee routers aan het eind van je netwerk maar dan met de wan poorten tegen elkaar. Dus extra router 1 met lan aan jou kant, daarna wan router 1 naar wan 2e router.

Vervolgens stel je op router 1 een dmz in naar je hoofdrouter.


Wel bij router tuinhuis dhcp uitzetten

[ Voor 45% gewijzigd door laurens0619 op 28-05-2021 12:53 ]

Je kunt dit op 101 manieren doen. De mooiste manieren vind ik het gebruik van een vlan of het gebruik van een statische route van jouw router naar de zijne, zodat al zijn verkeer altijd het internet op gestuurd wordt en niet jouw netwerk op kan.

Hier heb je echter niet genoeg aan een huis tuin en keukenrouter maar heb je een semiprofessioneel apparaat nodig. Een Mikrotik kan dit bijvoorbeeld prima.

Anders gedacht; waarom zet je niet gewoon even een login op al je interne services/netwerkschijven? Is dat niet een veel makkelijkere oplossing? Dan kan je hem toelaten tot je eigen netwerk en heb je geen gedoe met kabels.

Misschien een lullige opmerking; menig ISP heeft in de voorwaarden opgenomen dat je jouw vaste verbinding niet zomaar mag delen met je buren op de manier zoals je het in gedachten had.

Of dit te controleren is, dat is een tweede. Maar om nou een (klein) risico te nemen omdat je buurman het onhandig heeft ingepland...

Hoe lang wonen ze er nog?

royke schreef op vrijdag 28 mei 2021 @ 10:22:
Dag,
Mijn buurman gaat verhuizen en heeft zijn Internet opgezegd nu zit hij zonder.
We zitten met de achtertuinen aan elkaar dus wifi heeft niet heel veel zin.
Netwerkkabel is geen probleem. ik heb een 'domme' switch achter in de tuin en kan vandaaruit een kabel doortrekken naar zijn router.

Hoe kan ik er nu voor zorgen dat mijn netwerk een beetje afgeschermd blijft?
Zijn router krijgt een ip adres van mijn dhcp server. Als ik zijn router dan zo instel dat hij een andere ip range gebruikt is mijn netwerk dan voor hem zichtbaar? of moet ik met virtuele lan's aan de slag?

Of?
Er loopt 1 kabel van mijn GS116Ev2 managed switch naar het tuinhuis.
Ik heb daar een wifi versterker staan. Maar ik hoef daar geen verbinding te hebben met mijn lokale netwerk, een rechtstreekse lijn naar buiten is voldoende. Kan dat met deze switch, en hoe dan ???

Behoorlijk nieuw hierin..

Provider bellen, en de termijn verlengen. Kunnen kosten aan zijn, maar routers etc kosten ook geld.
Als er een PC is die op WiFi moet, of Chromecast voor NF etc, dan is zijn einddatum wel erg vroeg opgezegd. Smartphone kan gewoon op 4g natuurlijk. liever 2 weken langer, dan 2 weken te kort

Ik heb wat reacties verwijderd. De discussie of de buurman dit handig heeft aangepakt of niet is hier offtopic. De TS zoekt naar een technisch handige oplossing.

Routers achter routers beschermt het netwerk van de TS alleen als hij zelf achteraan gaat zitten van die ketting.
De enige reden waarom er dan bescherming ontstaat is doordat er NAT op de routers wordt gebruikt. Hierdoor kan binnenkomend verkeer vanuit de WAN-kant alleen door als de verbinding bekend is binnen die NAT.

Laten we het volgende voorbeeld nemen:
Internet <-> Router #1 (LAN: 192.168.1.1/24) <-> Router #2 (WAN: 192.168.1.255, LAN: 192.168.2.1/24)
Op router #1 zit NAS met ip 192.168.1.3
Op router #2 zit buurman met ip 192.168.2.4

Als buurman (192.168.2.4) op router #2 naar de NAS (192.168.1.2) wil, dan gaat dat prima. 192.168.1.2 ligt niet binnen het netwerk 192.168.2.0/24, dus zal 192.168.2.4 het naar de gateway sturen. De gateway is router #2. Router #2 zit zowel in 192.168.1.0/24 als 192.168.2.0/24 en kan verkeer naar 192.168.1.2 leiden. Daarbij zal router #2 vanuit het IP 192.168.1.255 verbinding maken met de NAS (192.168.1.2). Vanuit de NAS gezien komt een verbinding vanuit 192.168.1.255. Die stuurt zijn antwoorden terug naar router #2 (192.168.1.255). Router #2 stuurt het dan na NAT-vertaling weer naar buurman (192.168.2.4) en zo is de verbinding gemaakt.

Als NAS (192.168.1.3) verbinding wil maken met buurman (192.168.2.4), dan lukt dat niet. 192.168.2.4 ligt niet binnen het netwerk 192.168.1.0/24, dus zal 192.168.1.3 het naar de gateway sturen. De gateway is router #1 en die kent (tenzij het ingesteld is) heel netwerk 192.168.2.0/24 niet en zal dus niet weten wat het daarmee aan moet. In principe moet het dan naar de default gateway van router #1 gestuurd worden, dus dan wordt het richting het internet gestuurd, waar de firewall van de provider het blokkeert, want verkeer voor een privé netwerk heeft niets te zoeken op het internet.

Als je router het kan, dan kun jij prima meerdere LAN-netwerken op 1 router aanmaken en deze via dezelfde nat het internet opsturen. En fysiek zou je dan de 2 netwerken via vlans gescheiden houden. Maar ja, dat moet maar net kunnen met jouw apparatuur.

@Groentjuh
Ja dat bedacht ik mij ook maar toen bedacht ik de vieze "DMZ-hack", zie enkele postst naar boven.
Denk je dat zoiets technisch zou werken?

Puur interesse

laurens0619 schreef op vrijdag 28 mei 2021 @ 13:39:
@Groentjuh
Ja dat bedacht ik mij ook maar toen bedacht ik de vieze "DMZ-hack", zie enkele postst naar boven.
Denk je dat zoiets technisch zou werken?

Puur interesse

Jouw 3 router setup gaat goed.
Je kunt van "Router voor TS" naar hoofdrouter, maar vanuit hoofdrouter niet naar "Router voor buurman"
Je kunt van "Router voor buurman" naar hoofdrouter, maar vanuit hoofdrouter niet naar "Router voor TS"

Nadeel is natuurlijk dat beiden achter dubbele NAT zitten, maar dat zit veel normaal gebruik niet in de weg.

Een NAT-"firewall" kun je een beetje zien als een één-richting-weg. Wel vanuit LAN -> WAN, maar niet WAN -> LAN.

@Groentjuh ja precies Daarom dacht ik: als je de WAN aan de facing kant zet richting buurman, dan kan die nergens bij. Alleen met nergens heb je ook geen internet, vandaar de DMZ regel naar de router voor internet.

Ik heb de setup iig nog nooit ergens gezien en ik vind hem super smerig, daarom vond ik hem wel gepast hier

laurens0619 schreef op vrijdag 28 mei 2021 @ 13:50:
@Groentjuh ja precies Daarom dacht ik: als je de WAN aan de facing kant zet richting buurman, dan kan die nergens bij. Alleen met nergens heb je ook geen internet, vandaar de DMZ regel naar de router voor internet.

Ik heb de setup iig nog nooit ergens gezien en ik vind hem super smerig, daarom vond ik hem wel gepast hier

DMZ is nergens voor nodig. Maximaal handig om geen poortforwards dubbel aan te hoeven maken op zowel hoofdrouter en router voor TS.

@Groentjuh
Niet?
Kijk even goed naar mijn plaatje, ik heb de routers omgedraaid en WAN zit aan WAN

Dus als Router buurman het internet op wilt, dan probeert die dat request te forwarden naar de WAN van router tuinhuis. Als je geen DMZ hebt dan zal dat pakket gewoon worden gedropt.
Toch?

Wat voor modem/router heb je van je provider?

Weet dat op de Fritzbox het mogelijk is op 1 LAN poort op het gastennetwerk te plaatsen.

Andere optie is om het wifi signaal van het gastennetwerk door te sturen m.b.v. een
repeater/router.

Hoe ziet de rest van je netwerk er in hoofdlijnen uit?

Welke switchen, routers en accespoints heb je!

laurens0619 schreef op vrijdag 28 mei 2021 @ 13:55:
@Groentjuh
Niet?
Kijk even goed naar mijn plaatje, ik heb de routers omgedraaid en WAN zit aan WAN

Dus als Router buurman het internet op wilt, dan probeert die dat request te forwarden naar de WAN van router tuinhuis. Als je geen DMZ hebt dan zal dat pakket gewoon worden gedropt.
Toch?

Die eerste wel!
Hoofdrouter met op LAN1 router van TS en op LAN 2 router van buurman werkt.

Jouw tweede oplossing gaat niet werken! Een-richting-weg met aan beide kanten een niet in te rijden bord. (en dubbele DHCP in netwerk van TS en zoveel meer problemen)

@Groentjuh
Mijn voorstel is vrij onorthodox maar waarom zou het niet werken? Het is inderdaad een niet inrijden bord maar wel met een "uitgezonderd verkeer richting internet hoofd router"
DHCP moet inderdaad uit, dat heb ik er bij staan.

Maar mijn plaatje volgend:

Computer van buurman op 192.168.3.2 wil graag naar 8.8.8.8
Computer stuurt het naar zn default gateway op 192.168.3.1

De router bij buurman kent hem niet en stuurt hem naar zijn gateway: 192.168.2.1
192.168.2.1 mapt door DMZ al zijn requests door 192.168.1.1
192.168.1.1 handelt het request af, geeft internet response terug en alles gaat weer terug

[ Voor 6% gewijzigd door laurens0619 op 28-05-2021 14:06 ]

laurens0619 schreef op vrijdag 28 mei 2021 @ 13:39:
@Groentjuh
Denk je dat zoiets technisch zou werken?

Ik vind het wel origineel bedacht, in theorie zou het kunnen werken met de juiste instellingen maar ik denk dat de routering fout gaat omdat je hoofd router 192.168.2.2 niet kent. De meeste routers voor thuis gebruik hebben vaak ook geen opties om static routing toe te voegen om 192.168.2.0/24 te forwarden naar 192.168.1.2

DukeBox schreef op vrijdag 28 mei 2021 @ 14:06:
[...]

Ik vind het wel origineel bedacht, in theorie zou het kunnen werken maar ik denk dat de routering fout gaat omdat je hoofd router 192.168.2.1 niet kent. De meeste routers voor thuis gebruik hebben vaak ook geen opties om static routing toe te voegen om 192.168.2.0/24 te forwarden naar 192.168.1.2

Hmm daar heb je een punt. Ik haal dat met SRC_nat/DST_nat altijd door elkaar maar als de hoofd router de verbinding zou zien binnenkomen vanaf 192.168.1.2 dan zou het wel moeten werken. Standaard komt echter het WAN ip door.
Dan zou je een static route erbij moeten zetten denk ik inderdaad.

Achja weer genoeg outside the box voor vandaag

[ Voor 3% gewijzigd door laurens0619 op 28-05-2021 14:08 ]

@laurens0619 Het ook niet direct veiliger want het hoofd netwerk (192.168.1.0/24) is nog steeds niet afgeschermd voor de buurman (192.168.3.0/24)

[ Voor 110% gewijzigd door DukeBox op 28-05-2021 14:20 ]

@DukeBox wel toch?
Hij komt op de wan uit en die zet alles door naar dmz

Hetzelfde als ik een webserver in dmz zet achter internet. Dan kom je alleen bij de webserver niet de rest

laurens0619 schreef op vrijdag 28 mei 2021 @ 14:19:
@DukeBox wel toch?
Hij komt op de wan uit en die zet alles door naar dmz

Het gaat om de terug weg.. dmz lost niet magisch routering issues op. Sterker nog door DMZ te gebruiken (had ik zelfs overheen gekeken) kan je nooit de hoofd router vanaf tuinhuis bereiken, die dropt dan alles op 127.0.0.1/

Zoiets zou wel werken:

[ Voor 13% gewijzigd door DukeBox op 28-05-2021 14:23 ]

@DukeBox ja dat is de standaard manier die werkt maar dan moet de ts zn eigen netwerk flink omgooien

Wat bedoel je met terugweg? Dat het miss niet werkt ben ik met je eens (routering) maar de subnets zouden wel afgescheiden van elkaar moeten zijn, toch?

laurens0619 schreef op vrijdag 28 mei 2021 @ 14:24:
.. de subnets zouden wel afgescheiden van elkaar moeten zijn, toch?

Nee, alleen vanaf TS naar buurman, dat is de enige 'achter' NAT.

DukeBox schreef op vrijdag 28 mei 2021 @ 14:26:
[...]

Nee, alleen vanaf TS naar buurman, dat is de enige 'achter' NAT.

Buurman komt de ts router tegen op de wan, dus ik denk van wel

Anyway:

Iets minder hackerig:
Stel TS zet router in zn tuinhuis. Reguliere methode dus zijn wan (bv 192.168.1.2 met gw 192.168.168.1.1) op zn eigen lijn en lan richting buurman.

Probleem is dan dat die router ook verkeer gaat routeren naar bv 192.168.1.10 (bv nas)
Maar als je in die router nou een subnet in de wan zet waar alleen 192.168.1.1 en 192.168.1.2 in valt, dan ben je er al toch?
Ik ben geen subnet held maar:
Wan ip: 192.168.1.2
Gw: 192.168.168.1.1
Subnet: 255.255.255.252

[ Voor 8% gewijzigd door laurens0619 op 28-05-2021 14:35 ]

laurens0619 schreef op vrijdag 28 mei 2021 @ 14:30:
Buurman komt de ts router tegen op de wan, dus ik denk van wel

Ja maar TS zit dus voor buurman NIET achter NAT.

@royke Als alternatief zou je nog een firewall met VPN client kunnen nemen en een VPN dienst voor een bepaalde tijd afnemen. Je kan het verkeer van de buurman dan forceren via de tunnel te gaan (en dus niet via je eigen LAN) en omgekeerd heb jij ook geen inzicht in het verkeer van de buurman. Dan hoef je niets te veranderen aan je netwerk en voeg je alleen een router toe aan de kant van de buurman. Veel routers kunnen wel iets als openwrt draaien waar dat mee kan.

royke schreef op vrijdag 28 mei 2021 @ 15:50:
Ik heb het nu zo gedaan.

[Afbeelding]

Of het wel of niet handig is van de buurman doet er denk ik niet toe. Ik kan het goed vinden met mijn buurman.

Ik heb het aangesloten en met een simpele zoek kon ik zo snel niet mijn eigen netwerk zien, terwijl hij gewoon internet heeft. De router heb ik via dhcp een adres laten verkrijgen en zijn apparaten krijgen een adres van die router,in een andere range dan de mijne.
ik zie zijn router wel maar kan er niet op inloggen (wan zijde zit dicht) wellicht dat ik in de opnsense firewall alle verkeer van dat IP adres kan routeren.
Als iemand een klik en klaar antwoord hiervoor heeft...
ik dank jullie allemaal voor het meedenken

Met een simpele zoek in Windows zal het inderdaad niet lukken, maar als je buurman in zou loggen op zijn router en kijken in welk subnet zijn WAN zit, dan kan hij daar een netscan op doen en zal hij wel alles van jouw netwerk zien.

Op de manier die je nu hebt gedaan zal de meeste malware die bvb op zijn apparaten zou kunnen staan niet in jouw netwerk geraken en dat lijkt me het belangrijkste. De rest hangt beetje van af in hoeverre je je buurman vertrouwt.

Mooier zou zijn mocht je de router van je buurman rechtstreeks op je PFSense firewall connecteren op bvb een LAN2 en dan met firewallregels de netwerken blokkeren van elkaar.

[ Voor 5% gewijzigd door skelleniels op 28-05-2021 16:01 ]

Met een PFSense router had je daar zo een gescheiden netwerk van kunnen maken als de switch in het tuinhuis VLANs zou ondersteunen.

Je kunt niet het broadcast verkeer zien, maar je kunt op die manier zeker wel \\<ip van smb host>\ gewoon naar je smb shares vanuit het netwerk van de buren. De router van jouw buurman zit in jouw lan, dus kan hij vanuit zijn netwerk overal in jouw lan!

[ Voor 14% gewijzigd door Groentjuh op 28-05-2021 16:23 ]

Ik blijf erbii, als t kan dan is subnet verkleinen de snelste hack