Eigen router ipv Telenet router

Hamvraag is of je het daadwerkelijk zelf beter kunt dan de Telenet router...

Je hebt het bijvoorbeeld over VLANs, maar komt met een router die geen VLANs ondersteunt. Bovendien noem je MAC filtering, terwijl consensus in de security community is dat dat slechter is dan niets en alleen jezelf opzadelt met grotere administratieve overhead zonder een aanvaller ook maar een strobreed in de weg te leggen. Dat doet vermoeden dat je qua kennis nog een eind te gaan hebt.

Wil je device-level security op je draadloze (en bedrade?) netwerk, kijk eens naar 802.1X (Radius Port-Based Access Control / WPA2-Enterprise).

Komt bij: je AP's van Telenet gaan waarschijnlijk niet (of niet geheel) werken met een non-Telenet router tussen Telenet modem en de AP's. Je zult dus je volledige binnenhuisnetwerk op de schop moeten doen.

Je moet dus even goed op een rij zetten wat je exact wilt bereiken en wat je nodig hebt om dat te doen - en hoe realistisch dat is.

Om een opzet te geven, wat je voor VLANs intern minimaal nodig hebt:

- router die VLANs ondersteunt (802.1Q support)
- switches die VLANs ondersteunen
- WIFi AP's die VLANs ondersteunen
- kennis om VLANs in te stellen op die verschillende apparaten
- nice-to-have: alle apparaten van zelfde merk en series zodat ze vanuit enkel interface beheerd kunnen worden (TP-Link Omada, Ubiquiti UniFi, MikroTik RouterOS etc)

Prijskaartje voor 1 router, 1 managed switch en 2 APs van zo'n managed series gaat al snel richting de EUR 400. Als je van bijna nul kennis komt moet je uitgaan van zeker week studie om de nodige kennis op te doen om dit te laten slagen.

Wil je daar 802.1X authentication aan toevoegen, dan heb je geen extra hardware nodig, wel extra software (een RADIUS server en (al dan niet ingebouwde) LDAP) en kennis dat op te zetten.

Wat je dan uiteindelijk hebt is iets wat qua performance niets meer kan dan wat je nu al hebt, qua security in theorie beter is, maar alleen als je zelf geen fouten gemaakt hebt bij implementatie.

dion_b schreef op zaterdag 15 januari 2022 @ 16:13:

Om een opzet te geven, wat je voor VLANs intern minimaal nodig hebt:

- router die VLANs ondersteunt (802.1Q support)
- switches die VLANs ondersteunen
- WIFi AP's die VLANs ondersteunen
- kennis om VLANs in te stellen op die verschillende apparaten
- nice-to-have: alle apparaten van zelfde merk en series zodat ze vanuit enkel interface beheerd kunnen worden (TP-Link Omada, Ubiquiti UniFi, MikroTik RouterOS etc)

Kleine correctie: AP’s met VLAN support zijn geen harde vereiste. Je kunt ze prima op een untagged VLAN poort op een managed switch hangen.

jurroen schreef op zondag 16 januari 2022 @ 12:13:
[...]


Kleine correctie: AP’s met VLAN support zijn geen harde vereiste. Je kunt ze prima op een untagged VLAN poort op een managed switch hangen.

Alleen als je alles achter de AP in zelfde VLAN wilt hebben. Wil je bijv onderscheid maken tussen eigen devices en guest network, of een aparte VLAN voor IoT, dan gaat dat enkel met een VLAN-aware AP.

dion_b schreef op zondag 16 januari 2022 @ 12:25:
[...]

Alleen als je alles achter de AP in zelfde VLAN wilt hebben. Wil je bijv onderscheid maken tussen eigen devices en guest network, of een aparte VLAN voor IoT, dan gaat dat enkel met een VLAN-aware AP.

True that, goed punt