Access point met aparte login

Hoewel je zo ongeveer elk accespoint kunt gebruiken ben je er met 1 accespoint nog niet. Je zult ook het verkeer nog moeten scheiden, anders kunnen de gasten nog steeds op heel je netwerk komen.

Met @Janoz

Aangezien je geen expert bent zou ik wegblijven van zaken als VLANS. Dan blijven accesspoints met gast optie over die werkt zonder vlan.

Er zullen vast meer merken zijn maar de volgende kunnen het sowieso:
- TPLink Deco. Een enkele m4/m5 van marktplaats is al afdoende
- Ubiquiti Unifi < Wel iets complexer in te richten
- Aruba instant on

Voor het afschermen; dit staat wel eens als feature vermeld als; "client isolation" of iets dergelijks. Isolation is het toverwoord als je clients binnen AP/VLAN wilt afschermen van de rest.

in ieder geval op de AP die ik gebruik, maar google vertelt me dat het gebruik is om het zo te noemen bij andere merken/type. De juiste AP zou dan zowel guest als isolation moeten kunnen.

Je kunt kijken of je huidige netwerkapparatuur een guest netwerk ondersteunt, want op zich levert een Access Point kopen helemaal niets op.

Het lijkt alsof het allemaal op 1 netwerk houden nog steeds het meest wenselijk is en dan is het beste om een Access Point te kopen met Guest access. Die doen aan client isolation.

Nadeel voor de huurder is dat die bijv niets kan casten van mobiel naar TV, mocht dit relevant zijn. Wil je dat wel toestaan zul je echt een 2e netwerk moeten hebben en die beschikbaar maken op een SSID die je in stelt voor de huurder.

Client isolation is iets anders, daarmee beperk je communicatie tussen devices op hetzelfde ssid

Guest access/restriction gaat over het limiteren van lan adressen waar een client bij kan

Dat laatste zoek je

laurens0619 schreef op maandag 17 januari 2022 @ 09:03:
Met @Janoz

Aangezien je geen expert bent zou ik wegblijven van zaken als VLANS. Dan blijven accesspoints met gast optie over die werkt zonder vlan.

Er zullen vast meer merken zijn maar de volgende kunnen het sowieso:
- TPLink Deco. Een enkele m4/m5 van marktplaats is al afdoende
- Ubiquiti Unifi < Wel iets complexer in te richten
- Aruba instant on

Al die oplossingen gebruiken onder de motorkap alsnog VLANs, dus zo ver blijf je er niet weg

Maar het kan een stuk simpeler - draai het gewoon om: in plaats van beperkingen op de guest te doen kun je ook je prive-(W)LAN achter een NAT-router hangen waardoor die niet meer van 'buitenaf', dus ook niet vanaf de kamerbewoner, benaderbaar is.

Benodigdheden: een router, verdere specs irrelevant zolang voldoende voor jullie eisen. Wil je netjes zorgen dat jullie ook niet bij spullen van kamerbewoner kunnen, geef hem ook een (WiFi-)router ipv AP.

Dan krijg je:

Telenet modem - WiFi uit, maar wel nog in router mode, niet bridge mode.
- Ethernetkabel 1 -> Router 'thuisnetwerk' -> alle overige LAN en WLAN van jullie thuis.
- Ethernetkabel 2 -> Router 'kamerbewoner' -> al zijn zooi

Hiermee draai je NAT-achter-NAT, wat in theorie niet ideaal is, maar in praktijk anno 2022 nauwelijks een issue zou mogen zijn omdat vrijwel alle dienste NAT traversal bieden.

Eleganter blijft een oplossing met VLANs, maar daarvoor moet je ofwel meer hardware kopen (hierboven genoemd) danwel meer kennis opdoen en alsnog routers en AP's kopen die VLAN aware zijn.

Hendrickz schreef op maandag 17 januari 2022 @ 17:10:
Voor het afschermen; dit staat wel eens als feature vermeld als; "client isolation" of iets dergelijks. Isolation is het toverwoord als je clients binnen AP/VLAN wilt afschermen van de rest.

Maar dan gaat streaming niet meer werken wat TS aangeeft als eis.

edit: ik ben er een beetje vanuit gegaan dat TS casten bedoelde.

[ Voor 8% gewijzigd door DukeBox op 18-01-2022 13:08 ]

@dion_b
Ook een goede oplossing : In principe is de Router "kamerbewoner" niet eens nodig. Met de router thuisnetwerk scherm je je eigen netwerk al af. Zonder de router kamerbewoner kun je vanuit je thuisnetwerk nog bij devices van de kamerbewoner maar de vraag is of dat erg is Jouw aanpak maakt het wel wat vriendelijker voor apparaten aansluiten op het eigen netwerk en deze onderling te laten communiceren

Weet je zeker dat die oplossingen VLANS gebruiken?
Ik geloof dat het gewoon TCP/UDP firewalls zijn Die alleen verkeer naar $gateway en $dns toestaan.
Weet ik bijna wel zeker want al het multicast verkeer blijf je alsnog ontvangen en dat zou niet moeten kunnen als het echt een vlan zou zijn

[ Voor 10% gewijzigd door laurens0619 op 18-01-2022 12:56 ]

laurens0619 schreef op dinsdag 18 januari 2022 @ 12:55:
@dion_b
Ook een goede oplossing : In principe is de Router "kamerbewoner" niet eens nodig. Met de router thuisnetwerk scherm je je eigen netwerk al af. Zonder de router kamerbewoner kun je vanuit je thuisnetwerk nog bij devices van de kamerbewoner maar de vraag is of dat erg is Jouw aanpak maakt het wel wat vriendelijker voor apparaten aansluiten op het eigen netwerk en deze onderling te laten communiceren

Excact, het biedt zelfde opties en beveiliging voor de kamerbewoner. Ik zou als bewoner in ieder geval liever ook niet willen dat mijn hospes bij al mijn devices en data kon. Nog los van vertrouwen kun je iemand zo ook eigen instellingen (SSID, IP-reeksen etc) laten doen. Puur voor minimale eis van TS (eigen netwerk beschermen) is het idd niet nodig, maar beetje symmetrie is wel op z'n plek.

Weet je zeker dat die oplossingen VLANS gebruiken?
Ik geloof dat het gewoon TCP/UDP firewalls zijn Die alleen verkeer naar $gateway en $dns toestaan.
Weet ik bijna wel zeker want al het multicast verkeer blijf je alsnog ontvangen en dat zou niet moeten kunnen als het echt een vlan zou zijn

Hmm, ken ze niet allemaal onder de motorkap, maar de 'mesh' oplossing waar ik het meest bekend mee ben werkt feitelijk als een grote distributed OpenVSwitch bridge, met daarbinnen aparte VLANs voor backhaul, fronthaul en guest networks. Daar vang je dus geen multicast verkeer

DukeBox schreef op dinsdag 18 januari 2022 @ 12:54:
[...]

Maar dan gaat streaming niet meer werken wat TS aangeeft als eis.

Wat bedoelt @vpnico met "streaming"? Netflix e.d.? Of streamen vanaf een NAS ergens anders in het netwerk?

Ik moet niet meer reageren op nieuwe topics waar men net geregistreerd is op GoT. Verspilde moeite.

[ Voor 15% gewijzigd door timovd op 19-01-2022 20:27 ]