Telenet met VLAN/gastennetwerk - Netwerken

zondag 12 december 2021 13:31

Acties:

0 Henk 'm!

Topicstarter

Hello

Ik heb een oudere woning waarin ik bij elke verbouwing de laatste jaren zoveel mogelijk extra netwerkkabels heb voorzien. Jammer genoeg is dat niet in stervorm gelukt, maar is de setup (samengevat) als volgt.

1) Telenet modem/router met domme switch. Hierop zitten enkele toestellen (telefooncentrale, deurbel, ...) en er loopt een kabel naar 2)

2) Domme switch met o.a. access point, HiFi en TV installaties op, alsook Digicorder (privaat Telenet IP). Daarna doorgelust naar 3)

3) Domme switch met computers en printers, NAS, access points, ... én een Digibox (dus weer privaat IP). Doorverbonden naar 4)

4) Wifi router ingesteld als switch/access point met verschillende aansluitingen en doorverbonden naar 5)

5) Kabel waarop minstens een switch (voor camera's) en access point moet komen.

Op zich veel componenten dus, maar weinig speciaals behalve de Digicorder/-box. Nu, op positie 5 had ik heel graag een gastennetwerk gehad (is een gebouw buiten de woning). Is dat überhaupt mogelijk zonder end-to-end alle domme switches door dure managed switches te vervangen? Ik kan er wel een wifi router met guest access zetten, maar aangezien alles al achter de Telenet router zit lijkt me dat weinig zinvol aangezien het interne netwerk dus toch bereikbaar blijft. Een managed switch vooraan de ketting zetten met een modem-only lijkt me ook moeilijk voor de Digicorder/-box verder in het netwerk. Bestaan hier oplossingen voor die me verder zouden kunnen helpen?

zondag 12 december 2021 14:33

Acties:

0 Henk 'm!

ijske

Als je een extra router zet op punt 5 is daar wel internet verkeer van en naar de modem, maar hij kan bv niet rondkijken in jou netwerk... alleen als hij een switch voor de router zou kunnen zetten (of dat moet jij sowieso voor je camera's, die moeten wel in jou intern netwerk)

hij/zij zit wel achter jouw ip adres te surfen dus als ze naar jonge meisjes gaan zoeken komt het wel van jou IP adres... dus waar zit je mee in je hoofd ?

zondag 12 december 2021 17:26

Acties:

0 Henk 'm!

tvbruwae

Topicstarter

5 is een hobbyruimte waar de kids en hun vriendjes uithangen, maar als die ouder worden wil ik alleen vermijden dat ze op ons thuisnetwerk gaan rondneuzen.

Dus wat je zegt is eigenlijk gewoon die laatste lijn (neem 10.x als ons intern netwerk) als WAN beschouwen en daar een router aanhangen die wifi op een ander IP net geeft (192.168.x). Kan je op elke router dan instellen dat er geen toegang is naar de 10.x private ranges of moet ik letten op een bepaald type met firewall?

zondag 12 december 2021 17:30

Acties:

0 Henk 'm!

lier

MikroTik nerd

Ben bang dat het net omgekeerd is, als je op punt 5 een router zet, kan je niet vanaf je netwerk op dat netwerk, omgekeerd wel. Het is dan mogelijk om vanaf het nieuwe netwerk op jouw netwerk te komen.

Om dit goed op te lossen, zal je een router, bij voorkeur met VLAN ondersteuning, achter het modem moeten plaatsen en daar de juiste scheiding (inclusief VLAN scheiding op firewall niveau) moeten doen.

Eerst het probleem, dan de oplossing

zondag 12 december 2021 17:48

Acties:

0 Henk 'm!

ijske

het kan beide richtingen uit , of net niet... beetje router kan forwarding rules gebruiken...

Maar heb jij niet gewoon een accespoint nodig wat zn eigen guestnetwerk maakt of aan "client isolation" doet nodig ?

Beetje gekheid .. wat gaan wat kids nu in een home netwerk vinden , buiten misschien een slecht beveiligde NAS met vakantiekiekjes ?

en als het gaat over het beperken van vuile plaatjes op internet kijken, moet je ns kijken naar een router met parental control.... dan kan je misschien je eigen DNS draaien zodat alles van hugh heffner's empire niet gevonden kan worden (maar good luck ... die dingen zijn zo easy te omzeilen)

zondag 12 december 2021 18:35

Acties:

0 Henk 'm!

lier

MikroTik nerd

ijske schreef op zondag 12 december 2021 @ 17:48:
het kan beide richtingen uit , of net niet... beetje router kan forwarding rules gebruiken...

Dan toch maar de discussie:

De extra router zorgt, met behulp van NAT, "gratis" voor beveiliging. Daar ga je niet doorheen komen (tenzij je UPnP "fijn" vindt). Het eerste netwerk is gewoon toegankelijk vanaf het tweede netwerk, de extra router doet daar niets tegen (anders dan het netjes routeren).

De oplossing met een accespoint zie ik dan weer wel zitten

Eerst het probleem, dan de oplossing

zondag 12 december 2021 18:41

Acties:

+1 Henk 'm!

Faifz

Segmentatie met een telenet router gaat het niet worden. Je voegt gewoon een nieuwe router/firewall toe en VLAN's kunnen optioneel zijn als je routing interfaces hebt op de router ipv switching interfaces wat de standaard is op elke router (behalve enterprise routers).

Dit is hoe je het kunt doen zonder VLAN's, maar het neemt wel meer switches in beslag. De interfaces moeten wel L3 of routing interfaces zijn op de router. Wat niet het geval is met de telenet router of bv een synology router.

Afbeeldingslocatie: https://tweakers.net/i/L9uB_n9Dn-vcxROFYRcIPXxj7Ok=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/g2nfLo2uq9xvBvHmKrVjbj7W.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/L9uB_n9Dn-vcxROFYRcIPXxj7Ok=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/g2nfLo2uq9xvBvHmKrVjbj7W.png?f=user_large

Met VLAN's ga je alleen maar 1 switch nodig hebben tenzij je echt meerdere switches nodig hebt op verschillende plaatsen.

Afbeeldingslocatie: https://tweakers.net/i/aDcDLQXFr4oObvAVw-PG2GAv768=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/8q3Dbt6vkA3SWNqLlpGYHzwP.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/aDcDLQXFr4oObvAVw-PG2GAv768=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/8q3Dbt6vkA3SWNqLlpGYHzwP.png?f=user_large

ijske schreef op zondag 12 december 2021 @ 17:48:
en als het gaat over het beperken van vuile plaatjes op internet kijken, moet je ns kijken naar een router met parental control.... dan kan je misschien je eigen DNS draaien zodat alles van hugh heffner's empire niet gevonden kan worden (maar good luck ... die dingen zijn zo easy te omzeilen)

Je kan beter gaan voor een Fortinet firewall met URL filtering. Werkt veel effectiever dan een DNS server.

zondag 12 december 2021 23:04

Acties:

0 Henk 'm!

laurens0619

Het kan ook veel simpeler
Accesspoints meerzetten met gast functionaliteit die zonder vlan werkt. Ubiquiti kan dit maar ook een simpele Deco m4

CISSP! Drop your encryption keys!

maandag 13 december 2021 02:36

Acties:

0 Henk 'm!

Faifz

laurens0619 schreef op zondag 12 december 2021 @ 23:04:
Het kan ook veel simpeler
Accesspoints meerzetten met gast functionaliteit die zonder vlan werkt. Ubiquiti kan dit maar ook een simpele Deco m4

Als het gastennetwerk een nieuw subnet krijgt, ga je wel een route moeten toevoegen op de telenetbox wat niet mogelijk is. Als het geen nieuw subnet is, of hoe ze het ook doen in de Wi-Fi wereld, dan routeert die telenetbox alles eroverheen.

maandag 13 december 2021 03:20

Acties:

+1 Henk 'm!

Brahiewahiewa

boelkloedig

Faifz schreef op maandag 13 december 2021 @ 02:36:
[...]

Als het gastennetwerk een nieuw subnet krijgt, ga je wel een route moeten toevoegen op de telenetbox wat niet mogelijk is. Als het geen nieuw subnet is, of hoe ze het ook doen in de Wi-Fi wereld, dan routeert die telenetbox alles eroverheen.

Nee, het gastennetwerk krijgt geen nieuw subnet. Voor zover ik het begrepen heb doen die ubiquity access points het juiste: gasten mogen alleen naar de default gateway connecten en eventueel kun je daar uitzonderingen instellen. De consumentenrouters die ik verder gezien heb doen dat niet: daar kunnen clients op het gastennetwerk niet connecten naar andere clients op op het gastennetwerk maar wel naar resources op het LAN. De genoemde Deco ken ik niet, dus ik weet niet welke variant die hanteert.

Anyway, misschien moet @tvbruwae de jeugd ook niet overschatten: niet iedere 10-jarige loopt rond met een kali-distributie op z'n smartphone ;o)

QnJhaGlld2FoaWV3YQ==

maandag 13 december 2021 05:55

Acties:

0 Henk 'm!

Faifz

Brahiewahiewa schreef op maandag 13 december 2021 @ 03:20:
[...]

Nee, het gastennetwerk krijgt geen nieuw subnet. Voor zover ik het begrepen heb doen die ubiquity access points het juiste: gasten mogen alleen naar de default gateway connecten en eventueel kun je daar uitzonderingen instellen. De consumentenrouters die ik verder gezien heb doen dat niet: daar kunnen clients op het gastennetwerk niet connecten naar andere clients op op het gastennetwerk maar wel naar resources op het LAN. De genoemde Deco ken ik niet, dus ik weet niet welke variant die hanteert.

Anyway, misschien moet @tvbruwae de jeugd ook niet overschatten: niet iedere 10-jarige loopt rond met een kali-distributie op z'n smartphone ;o)

Denk niet dat je firewalling kunt doen met enkel alleen een AP.

maandag 13 december 2021 07:25

Acties:

0 Henk 'm!

laurens0619

@Faifz en toch is het Zo

Wat @Brahiewahiewa zegt klopt exact, er zit gewoon een firewall in

CISSP! Drop your encryption keys!

maandag 13 december 2021 08:52

Acties:

+1 Henk 'm!

Brahiewahiewa

boelkloedig

Faifz schreef op maandag 13 december 2021 @ 05:55:
[...]

Denk niet dat je firewalling kunt doen met enkel alleen een AP.

Dat hangt dus van het AP af. Een AP is feitelijk een wireless NIC, een processortje en een switch.
Zowel op de verbinding tussen de processor en de NIC, als op de verbinding tussen de processor en de switch, kun je firewallen. Ubiquity heeft de moeite genomen om beide verbindingen te firewallen en d'r ook nog een interface voor te schrijven om de parameters aan te passen. Daarom zijn Ubiquity AP's wat duurder.
Goedkopere AP's firewallen alleen de wireless NIC en de hele goedkope AP's firewallen niets

QnJhaGlld2FoaWV3YQ==

maandag 13 december 2021 09:50

Acties:

0 Henk 'm!

laurens0619

Precies

Waar misschien de deco de uitzondering is want die doet, denk ik, ook gewoon firewalling. En met 33 euro per ap (ziggo, 100 euro voor 3) zijn die niet heel duur te noemen.

Deco ervaring:
Als ik een guest Wifi aanmaak krijg ik gewoon een ip op mijn normale subnet van mijn experiabox. Standaard kan ik dan ook bij al mn devices als mijn nas. Zet ik het knopje "isolate devices from lan" aan, dan hou ik hetzelfde ip in hetzlefde subnet maar kan ik alleen bij internet.

Logischerwijs draait daar dus gewoon een firewall die alleen verkeer accept richting $ipGateway en $ipDNSserver

CISSP! Drop your encryption keys!

maandag 13 december 2021 10:29

Acties:

0 Henk 'm!

Faifz

Brahiewahiewa schreef op maandag 13 december 2021 @ 08:52:
[...]

Dat hangt dus van het AP af. Een AP is feitelijk een wireless NIC, een processortje en een switch.
Zowel op de verbinding tussen de processor en de NIC, als op de verbinding tussen de processor en de switch, kun je firewallen. Ubiquity heeft de moeite genomen om beide verbindingen te firewallen en d'r ook nog een interface voor te schrijven om de parameters aan te passen. Daarom zijn Ubiquity AP's wat duurder.
Goedkopere AP's firewallen alleen de wireless NIC en de hele goedkope AP's firewallen niets

Heb je hier bewijs voor? Een switch is ook een switch, heeft ook een 'NIC' en een processor. Ik zie geen opties voor firewall regels op unifi met enkel alleen maar switches. Dus je argument is niet echt relevant. Logischerwijze zie je de firewall regels alleen maar als je de router hebt want je doet firewalling op basis van routing. Een AP maakt geen routing beslissingen, houdt geen rekening met de poorten die gebruikt worden, houdt ook geen sessies bij, een switch kan dit wel en je ziet het niet eens terug in de unifi controller als je alleen switches hebt. Alhoewel L3 routing wel beperkt is met Unifi switches.

laurens0619 schreef op maandag 13 december 2021 @ 07:25:
@Faifz en toch is het Zo
Wat @Brahiewahiewa zegt klopt exact, er zit gewoon een firewall in

Nee hoor.

https://community.ui.com/...45-4b63-8551-a01ec7dd06cd

[ Voor 7% gewijzigd door Faifz op 13-12-2021 10:30 ]

maandag 13 december 2021 10:43

Acties:

0 Henk 'm!

laurens0619

@Faifz
Ja daar moet je niet kijken. Die firewall in de controller gaat over de firewall van de unifi lijn.

Het zit onder de Access Control van je guest policies
https://www.surinderbhomr...e-Access-On-Guest-Network

Onderwater is dat gewoon een firewall/ACL in het accesspoint.

Zit er ook pas een jaar of 10 in

[ Voor 22% gewijzigd door laurens0619 op 13-12-2021 10:44 ]

CISSP! Drop your encryption keys!

maandag 13 december 2021 10:45

Acties:

+1 Henk 'm!

Brahiewahiewa

boelkloedig

Faifz schreef op maandag 13 december 2021 @ 10:29:
...
https://community.ui.com/...45-4b63-8551-a01ec7dd06cd

Je hebt het antwoord ook gelezen?

but even with 'only' the APs, you can do something, I mean, by checking the flag 'Enable Guest Policy' on a particular SSID

QnJhaGlld2FoaWV3YQ==

maandag 13 december 2021 18:39

Acties:

0 Henk 'm!

tvbruwae

Topicstarter

Bedankt voor alle reacties tot dusver! Misschien overschat ik de jeugd wel wat, de kids zijn nu rond de 13 maar op die leeftijd was ik zelf al een tijdje bezig op mijn computer (tegenwoordig kennen ze wel Word en Excel maar de rest van IT lijkt geen basiskennis meer). Ik wil gewoon vermijden dat een experimentele tiener op het thuisnetwerk begint te klungelen terwijl wij bijvoorbeeld aan het casten zijn. Verder zijn alle NAS en thuistoestellen encrypted/2FA, dus op datavlak ben ik er vrij gerust in.

Wat de AP betreft: ik heb al enkele Ubuiqiti AP in huis, al heb ik die vooral voor hun kwaliteit/bereik gekozen en ken ik dus duidelijk de andere functies nog niet goed. Eerst waren die managed (maar dan moest ik een mini webserver e.d. starten op een PC om eraan te kunnen), nu beheer ik die standalone via de Android app. Ik zal eens kijken of je een afgescheiden guest SSID langs de app kan opzetten, dan kan ik eventueel wel zo'n Ubuiqiti wisselen en op plaats 5 zetten. Het zijn wel gewone modellen (Lite en LR), geen pro.

Ik zou ook liefst een aparte IP range hebben, dus ik zal eens moeten kijken of dat wel kan. Idem met DNS, als ik met DHCP de family servers van OpenDNS zou uitreiken op locatie 5 is er ook wel al wat controle op wat ze daar kunnen doen.

maandag 13 december 2021 18:50

Acties:

0 Henk 'm!

laurens0619

Ah je wilt dus meer

Niet alleen je eigen netwerk afschermen maar ook gaan monitoren/preventen wat ze op internet kunnen?

Dat is een andere vraag en dan moet je echt aan de gang met vlans, aparte routers, dpi/dns etc etc

Maar waarom?

CISSP! Drop your encryption keys!

maandag 13 december 2021 18:57

Acties:

0 Henk 'm!

tvbruwae

Topicstarter

Nee, ik wil geen echte controle, alleen zou ik inderdaad liever vermijden dat ze via mijn NW aan rare sites zouden kunnen. Ik kan eens kijken of ik DHCP van Telenet kan aanpassen om OpenDNS servers te geven, maar daar vrees ik voor.

[ Voor 12% gewijzigd door tvbruwae op 13-12-2021 18:59 ]

maandag 13 december 2021 22:38

Acties:

0 Henk 'm!

Faifz

tvbruwae schreef op maandag 13 december 2021 @ 18:57:
Nee, ik wil geen echte controle, alleen zou ik inderdaad liever vermijden dat ze via mijn NW aan rare sites zouden kunnen. Ik kan eens kijken of ik DHCP van Telenet kan aanpassen om OpenDNS servers te geven, maar daar vrees ik voor.

Je kan je modem inruilen voor de versie zonder Wi-Fi, want deze heeft MAC-passthrough ondersteuning om het publieke adres door te spelen aan een andere router. Het is de CV8560E en is gelijkwaardig aan bridging. Maar dit is niet noodzakelijk, je kan ook gewoon een andere router erachter hangen (met een nieuw subnet). Zit je met 2x NAT wat oke is.

De DHCP server kun je niet aanpassen, dus de enige oplossing is om een andere router te gebruiken. Als je URL-filtering wil doen, ga je best voor een FortiGate 30E of dergelijke. Het nadeel is dat er licenties aan gebonden zijn, maar het is veruit de beste oplossing.

laurens0619 schreef op maandag 13 december 2021 @ 10:43:
@Faifz
Ja daar moet je niet kijken. Die firewall in de controller gaat over de firewall van de unifi lijn.

Het zit onder de Access Control van je guest policies
https://www.surinderbhomr...e-Access-On-Guest-Network

Onderwater is dat gewoon een firewall/ACL in het accesspoint.

Zit er ook pas een jaar of 10 in

Oh, zie het. Thanks!

maandag 13 december 2021 22:52

Acties:

+1 Henk 'm!

tvbruwae

Topicstarter

Ik heb vanavond wat gespeeld met de Ubiquiti APs. Via de app was er nauwelijks iets te configureren, maar ik zag wel dat de Unifi console ook als docker image op Synology kan draaien. Even uitgeprobeerd en ja hoor, eenmaal ze daardoor worden beheerd kan je een pak meer. Alle APs zenden nu mooi een afgescheiden gastennetwerk mee uit. De clients zitten wel in dezelfde IP range van mijn eigen toestellen, maar er zijn geen connecties mogelijk naar het interne netwerk behalve naar de .1 van de modem/router. Al een hele verbetering dus, bedankt voor de tips! Alleen het opgeven van een filterende DNS is nog niet mogelijk.

Ergens wil ik wel van die router van Telenet vanaf, maar ik zit met die serieel aangesloten switches waar Digiboxen op hangen (er vertrekt uiteindelijk maar 1 kabel vanuit de meterkast die de rest van het netwerk bedient). Die toestellen moeten zogezegd rechtstreeks op de modem hangen en dus zie ik niet direct een optie om bij de start ergens zelf een router te gaan zetten, tenzij daar ook een truukje voor is met een bepaald type router (bv. als MAC = xxx dan DHCP request forward naar de modem)?

maandag 13 december 2021 23:37

Acties:

0 Henk 'm!

laurens0619

Nee, in sommige gevallen kun je de router vervangen en hier iptv op configureren.
Met iptv is het gewoon vrij complex

Maar je hebt last van scope creep, je vraag was guest wifi in je huidige setup en dat is gelukt, project sluiten dus

Alternatief is een openwrt wifi ding. Daar kun je met een firewall wel eenzelfde guest wifj bereiken met als voordeel dat je de dns kunt rewriten naar een opendns

https://openwrt.org/docs/...figurations/intercept_dns

[ Voor 35% gewijzigd door laurens0619 op 13-12-2021 23:41 ]

CISSP! Drop your encryption keys!