Toon posts:

Een netwerk segmenteren met een normale router als firewall

Pagina: 1
Acties:

Vraag

woensdag 6 april 2022 17:58

Acties:
  • 0 Henk 'm!
  • Mankepoot
  • Registratie: April 2022
  • Laatst online: 16-03 22:04

Mankepoot

Topicstarter
Mijn vraag
...
Ik werk als vrijwilliger bij een non profit stichting als "beheerder". Mijn kennisniveau is dat van een goede amateur. Ik loop nu tegen een probleem aan waar ik ook na intensief gegoogel niet uit kom. We hebben een klein netwerk, dat gedeeld wordt tussen de staf en een tiental cursisten computers. Het is de bedoeling dat de cursisten niet bij de NAS en de hoofdprinter kunnen komen, ze gebruiken enkel minimaal internet. Om ze te scheiden hadden wij een oude Zywaal router/firewall die de geest gegeven heeft. Gezien de minimale budgetten die beschikbaar zijn heb ik geprobeerd deze te vervangen met een Sitecom WLR-7100 die gedoneerd werd.
Afbeeldingslocatie: https://tweakers.net/i/ncZOGg8MruoKeUXH9cNVYjGjXdA=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/721JOs7WZ7ivOANqXfm7KNLv.png?f=user_large
De sitecom is via de LAN poort verbonden met de centrale switch. Als ik bij deze een nieuw subnet aanmaak en de DHPC server aanzet dan werkt het, maar dan gooit hij ook adressen uit over de Staf afdeling. Bovendien gaat hij naar de verkeerde gateway als hij internet zoekt.
doe ik iets verkeerd of kan het uberhaupt niet wat ik wil? En indien dit zo niet gaat welke richting moet ik dan op?
Een andere manier zou zijn om vlan's aan te maken, maar de Ziggo router doet daar niet aan mee. Als ik die als bridge in ga zetten dan werken de Ziggo wifi zenders waarschijnlijk niet meer.

Elk advies wordt gewaardeerd.


...

Beste antwoord (via Mankepoot op 07-04-2022 11:20)

donderdag 7 april 2022 09:55

  • XiMMiX
  • Registratie: Mei 2012
  • Laatst online: 08-06 13:46

XiMMiX

Mankepoot schreef op woensdag 6 april 2022 @ 23:41:
De switch is managed (Zyxel GS1900) en ik heb geprobeerd de vlan te gebruiken. Mijn conclusie was toen dat dit enkel gaat als de router dit ondersteund.
In de meer gebruikelijke configuraties moet je router inderdaad ook wat VLAN ondersteuning hebben, maar er zijn ook configuraties mogelijk waarin dit niet nodig is.

Bijvoorbeeld:

Je gebruikt 3 VLANs, bv 10, 20 en 30.
20 is het "staf vlan". Je geeft alle switch poorten voor het staf vlan PVID 20 en maakt die poorten en de router poort untagged lid van VLAN 20. Untagged frames van staf machines komen daarmee in VLAN 20 terecht en kunnen via de staf poorten en de router poort de switch verlaten.
30 is het "cursisten vlan". Je geeft alle switch poorten voor het cursisten vlan PVID 30 en maakt die poorten en de router poort untagged lid van VLAN 30. Untagged frames van cursisten machines komen daarmee in VLAN 30 terecht en kunnen via de cursisten poorten en de router poort de switch verlaten.
10 is het "router vlan". De switchpoort van de router geef je PVID 10 en alle andere poorten maak je untagged lid van dit vlan. Dus untagged frames van je router komen in VLAN 10 terecht en kunnen naar alle machines omdat alle poorten untagged lid zijn van VLAN 10.
(De router poort is nu dus untagged lid van alle 3 de vlans.)

Op die manier kunnen de cursisten onderling communiceren en met de router, maar niet met het staf vlan.
De staf kan ook onderling communiceren en met de router, maar niet met het cursisten.
De apparatuur die nu direct met de router verbonden is is wel een probleem. Die vallen in deze configuratie onder het router VLAN en kunnen met iedereen communiceren. Je zou je NAS dus met de switch moeten verbinden ipv met de router. En wifi heeft ook een oplossing nodig. Je zou je huidige access point met de switch als staf kunnen verbinden en de sitecom router als AP in het cursisten gedeelte kunnen gebruiken.

Alle reacties

woensdag 6 april 2022 20:10

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 13:04

jadjong

Sitecom via de Wan poort verbinden en vervolgens alleen 192.168.10.1 toe staan bij uitgaande verbindingen.

woensdag 6 april 2022 20:44

Acties:
  • +1 Henk 'm!
  • dion_b
  • Registratie: September 2000
  • Laatst online: 13:55

dion_b

Moderator Harde Waren

say Baah

Eigenlijk wil je hier met VLANs werken, maar dat gaat niet met de beperkte apparatuur die je hebt.

Even heel ghetto: je kunt van WAN niet naar random apparaten op LAN gaan zonder port forward. Dus draai het om: zet juist alles wat je wilt beschermen achter de Sitecom, die je met WAN op de modemrouter aan sluit, dus je kantoor-spul, NAS en printer. Laat die mensen ook gebruik maken van de WiFi van de Sitecom.

Vervolgens sluit je switch klaslokaal aan op andere poort van de modemrouter, en je laat hen - en overige gasten ook WiFI van modemrouter gebruiken.

Oslik blyat! Oslik!

woensdag 6 april 2022 20:55

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 09:22

Thralas

jadjong schreef op woensdag 6 april 2022 @ 20:10:
Sitecom via de Wan poort verbinden en vervolgens alleen 192.168.10.1 toe staan bij uitgaande verbindingen.
Hoe zou dat werken? :?

Al het verkeer dat die Sitecom via WAN verlaat heeft als destination address het daadwerkelijke IP en weinig met 192.168.10.1 van doen.
dion_b schreef op woensdag 6 april 2022 @ 20:44:
Eigenlijk wil je hier met VLANs werken, maar dat gaat met de beperkte apparatuur die je hebt.
Niet persé mee eens. Je hebt aan een firewall voldoende, want het cursisten-LAN doortrekken tot een centrale router levert geen profijt op en zorgt ervoor dat je aan de tussenliggende switch waarschijnlijk ook niets meer hebt.
Even heel ghetto: je kunt van WAN niet naar random apparaten op LAN gaan zonder port forward. Dus draai het om: zet juist alles wat je wilt beschermen achter de Sitecom, die je met WAN op de modemrouter aan sluit, dus je kantoor-spul, NAS en printer. Laat die mensen ook gebruik maken van de WiFi van de Sitecom.

Vervolgens sluit je switch klaslokaal aan op andere poort van de modemrouter, en je laat hen - en overige gasten ook WiFI van modemrouter gebruiken.
Out of the box thinking d:)b

De enige andere oplossing die ik zie met de Sitecom is er OpenWRT op flashen, zodat je wel een degelijke firewall kunt configureren. De standaardfirmware is ontoereikend voor deze use case.

Tenzij je ergens een static route kunt instellen, dan kun je als het meezit het 'privé' LAN naar een niet-bestaand adres routeren.

woensdag 6 april 2022 21:02

Acties:
  • 0 Henk 'm!
  • Djordjo
  • Registratie: Mei 2007
  • Niet online

Djordjo

De Sitecom-router in de DMZ van de Connectbox zetten wellicht een optie?

woensdag 6 april 2022 21:10

Acties:
  • 0 Henk 'm!
  • Mankepoot
  • Registratie: April 2022
  • Laatst online: 16-03 22:04

Mankepoot

Topicstarter
Het idee om de staf achter de sitecom te zetten wordt qua bekabeling een heel gedoe. Bovendien is het niet een wifi zender maar zijn het er drie (van ziggo). Ik zie op marktplaats dat je voor minder dan 100 euro een tweedehands zywall kan kopen. Ik weet dat je die in kan zetten voor dit doel, is dat een oplossing? Open WRT flahen is voor mij iets te hoog gegrepen vrees ik.

woensdag 6 april 2022 21:10

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 13:04

jadjong

Thralas schreef op woensdag 6 april 2022 @ 20:55:
[...]


Hoe zou dat werken? :?

Al het verkeer dat die Sitecom via WAN verlaat heeft als destination address het daadwerkelijke IP en weinig met 192.168.10.1 van doen.
Om destination address te bereiken komt next hop 192.168.10.1 in beeld bij de route-tabel van de sitecom. Daarom alles behalve die blocken om cursisten af te schermen van de rest.

woensdag 6 april 2022 21:11

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 13:04

jadjong

Djordjo schreef op woensdag 6 april 2022 @ 21:02:
De Sitecom-router in de DMZ van de Connectbox zetten wellicht een optie?
Dat helpt hoe?

woensdag 6 april 2022 22:21

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 09:22

Thralas

jadjong schreef op woensdag 6 april 2022 @ 21:10:
Om destination address te bereiken komt next hop 192.168.10.1 in beeld bij de route-tabel van de sitecom. Daarom alles behalve die blocken om cursisten af te schermen van de rest.
Maar firewalls werken iha. niet op basis van next hop, dat is slechts relevant voor routing.

Maakt verder ook niet uit, want als ik het goed begrijp moeten ze sowieso bij internet kunnen. Dus die vlieger gaat sowieso niet op. Als de firewall van het apparaat wel toereikend was geweest had je 192.168.10.0/24 kunnen filteren, minus eventuele uitzonderingen.
Mankepoot schreef op woensdag 6 april 2022 @ 21:10:
Ik zie op marktplaats dat je voor minder dan 100 euro een tweedehands zywall kan kopen. Ik weet dat je die in kan zetten voor dit doel, is dat een oplossing? Open WRT flahen is voor mij iets te hoog gegrepen vrees ik.
Tja. Met deze twee opmerkingen reduceer je het probleem eigenlijk tot de vraag of jouw kennis toereikend is om dat apparaat in kwestie juist in te stellen. De theorie is simpel genoeg: firewall alles dat je niet bevalt (of netter: sta het omgekeerde toe).

Voor zover je onder 'normale router' een huis-tuin-en-keuken NAT-router verstaat is het antwoord of je die als flexibele firewall kunt gebruiken in het algemeen 'nee' en in het concrete geval lijkt de handleiding dat te bevestigen.

Alles dat iets geavanceerder is dan een huis-tuin-en-keuken-router zoals die WLR-7100 kan dat wel, of het nu OpenWRT, Ubiquiti, MikroTik of een ZyWALL is (die laatste neem ik van je aan).

woensdag 6 april 2022 22:26

Acties:
  • 0 Henk 'm!
  • dion_b
  • Registratie: September 2000
  • Laatst online: 13:55

dion_b

Moderator Harde Waren

say Baah

Mankepoot schreef op woensdag 6 april 2022 @ 21:10:
Het idee om de staf achter de sitecom te zetten wordt qua bekabeling een heel gedoe. Bovendien is het niet een wifi zender maar zijn het er drie (van ziggo).
Welke "wifi zender" hebben we het hier over? Afhankelijk van type kan die prima mee achter de Sitecom, en in veel gevallen zitten er ook meerdere Ethernetpoorten op waarmee je je bekabelingsuitdaigng aan kunt pakken.
Ik zie op marktplaats dat je voor minder dan 100 euro een tweedehands zywall kan kopen. Ik weet dat je die in kan zetten voor dit doel, is dat een oplossing? Open WRT flahen is voor mij iets te hoog gegrepen vrees ik.
Met budget van EUR 100 zijn er wel meer opties - maar misschien handig om eens dat plaatje eerst volledig te maken, zowel mbt aantal apparaten als wat ze exact zijn.

Oslik blyat! Oslik!

woensdag 6 april 2022 22:32

Acties:
  • +1 Henk 'm!
  • powerboat
  • Registratie: December 2003
  • Nu online

powerboat

Of een cheap ass mikrotik :) van 2 a 3 tientjes

woensdag 6 april 2022 22:36

Acties:
  • 0 Henk 'm!
  • dion_b
  • Registratie: September 2000
  • Laatst online: 13:55

dion_b

Moderator Harde Waren

say Baah

powerboat schreef op woensdag 6 april 2022 @ 22:32:
Of een cheap ass mikrotik :) van 2 a 3 tientjes
Zeker een mogelijkheid, en fantastisch waar voor je geld - maar als iemand OpenWRT eng vindt zou ik terughoudend zijn met Mikrotik aan te raden...

Zoals altijd heb je de driehoek goedkoop - goed - makkelijk - je kunt max twee kiezen.

Oslik blyat! Oslik!

woensdag 6 april 2022 23:21

Acties:
  • 0 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

dion_b schreef op woensdag 6 april 2022 @ 22:36:
[...]
Zoals altijd heb je de driehoek goedkoop - goed - makkelijk - je kunt max twee kiezen.
'k Moet zeggen dat ik in dit opzicht de oplossing met de Wan poort van de sitecom aan het ziggo modem, een redelijke oplossing lijkt. Ja, strikt gesproken kunnen de cursisten nog steeds bij de NAS maar dan moeten het al wel cursisten zijn met advanced networking skillz.
En als de TS zich wil wapenen tegen cursisten met advanced networking skillz dan zal hij zelf aan de slag moeten om zijn networking skillz te verbeteren.
Nogmaals, het is inderdaad security through obscurity, maar je voorkomt er mee dat niet-kwaadwillenden per ongeluk je NAS overhoop gooien

QnJhaGlld2FoaWV3YQ==

woensdag 6 april 2022 23:26

Acties:
  • +1 Henk 'm!
  • XiMMiX
  • Registratie: Mei 2012
  • Laatst online: 08-06 13:46

XiMMiX

Mankepoot schreef op woensdag 6 april 2022 @ 17:58:
Een andere manier zou zijn om vlan's aan te maken, maar de Ziggo router doet daar niet aan mee. Als ik die als bridge in ga zetten dan werken de Ziggo wifi zenders waarschijnlijk niet meer.
Op zich is het niet per se noodzakelijk dat de ziggo router vlans ondersteunt, maar 1 switch wel. Het moet dus een zgn managed switch zijn. Gezien het budget is de kans dat je zo'n switch hebt niet groot, maar je geeft model van de switch niet dus er is een kansje.
(Alle te scheiden apparatuur moet dan wel met de switch verbonden zijn, niet direct met de ziggo router. Dus de interne wifi van de ziggo router kan niet afgescheiden worden).
jadjong schreef op woensdag 6 april 2022 @ 20:10:
Sitecom via de Wan poort verbinden en vervolgens alleen 192.168.10.1 toe staan bij uitgaande verbindingen.
Sitecom via de wan poort verbinden ben ik het eens. Verder denk ik dat thralas gelijk heeft dat alleen 192.168.10.1 toestaan waarschijnlijk niet zal werken omdat de meeste firewalls niet zo werken. Eigenlijk wil je 192.168.10.0/24 geheel blokkeren, maar ik kan in de handleinding van de sitecom geen optie daarvoor vinden:

https://www.gebruikershan...567242.html?page=0035#pf9

Wat je eventueel wel kunt overwegen ipv een firewall op de sitecom is security through obscurity. De cursisten moeten achter de sitecom het IP adres van de NAS/printer weten om die te bereiken. Dus als je het staf subnet afwijkend nummert, bv 172.18.42.0/24, is het niet gemakkelijk bij de NAS/printer te komen. Een slimme cursist kan natuurlijk alle private ip ranges scannen, maar wat is de kans dat je zo'n cursist tegen komt. Ik weet het, security through obscurity is slecht advies. Maar nood breekt wet als je echt nul budget hebt.

woensdag 6 april 2022 23:41

Acties:
  • 0 Henk 'm!
  • Mankepoot
  • Registratie: April 2022
  • Laatst online: 16-03 22:04

Mankepoot

Topicstarter
De switch is managed (Zyxel GS1900) en ik heb geprobeerd de vlan te gebruiken. Mijn conclusie was toen dat dit enkel gaat als de router dit ondersteund. Het nivo van de cursisten is zeer laag, ik heb mensen na 20 dagen cursus nog wel eens horen vragen hoe die machine ook alweer uit moet. Ik zal in ieder geval de WAN poort nog eens proberen. Vooralsnog bedank ik ieder voor het meedenken.

donderdag 7 april 2022 08:50

Acties:
  • 0 Henk 'm!
  • Frogmen
  • Registratie: Januari 2004
  • Niet online

Frogmen

Als dat het niveau van de cursisten is en je hebt de nas van goede wachtwoorden en beveiliging voorzien welk risico zie je dan? Soms moet je keuzes maken en er zijn genoeg bedrijven waar het netwerk relatief open staat men de servers goed beschermt en verder niet.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

donderdag 7 april 2022 09:55

Acties:
  • Beste antwoord
  • 0 Henk 'm!
  • XiMMiX
  • Registratie: Mei 2012
  • Laatst online: 08-06 13:46

XiMMiX

Mankepoot schreef op woensdag 6 april 2022 @ 23:41:
De switch is managed (Zyxel GS1900) en ik heb geprobeerd de vlan te gebruiken. Mijn conclusie was toen dat dit enkel gaat als de router dit ondersteund.
In de meer gebruikelijke configuraties moet je router inderdaad ook wat VLAN ondersteuning hebben, maar er zijn ook configuraties mogelijk waarin dit niet nodig is.

Bijvoorbeeld:

Je gebruikt 3 VLANs, bv 10, 20 en 30.
20 is het "staf vlan". Je geeft alle switch poorten voor het staf vlan PVID 20 en maakt die poorten en de router poort untagged lid van VLAN 20. Untagged frames van staf machines komen daarmee in VLAN 20 terecht en kunnen via de staf poorten en de router poort de switch verlaten.
30 is het "cursisten vlan". Je geeft alle switch poorten voor het cursisten vlan PVID 30 en maakt die poorten en de router poort untagged lid van VLAN 30. Untagged frames van cursisten machines komen daarmee in VLAN 30 terecht en kunnen via de cursisten poorten en de router poort de switch verlaten.
10 is het "router vlan". De switchpoort van de router geef je PVID 10 en alle andere poorten maak je untagged lid van dit vlan. Dus untagged frames van je router komen in VLAN 10 terecht en kunnen naar alle machines omdat alle poorten untagged lid zijn van VLAN 10.
(De router poort is nu dus untagged lid van alle 3 de vlans.)

Op die manier kunnen de cursisten onderling communiceren en met de router, maar niet met het staf vlan.
De staf kan ook onderling communiceren en met de router, maar niet met het cursisten.
De apparatuur die nu direct met de router verbonden is is wel een probleem. Die vallen in deze configuratie onder het router VLAN en kunnen met iedereen communiceren. Je zou je NAS dus met de switch moeten verbinden ipv met de router. En wifi heeft ook een oplossing nodig. Je zou je huidige access point met de switch als staf kunnen verbinden en de sitecom router als AP in het cursisten gedeelte kunnen gebruiken.

donderdag 7 april 2022 11:20

Acties:
  • 0 Henk 'm!
  • Mankepoot
  • Registratie: April 2022
  • Laatst online: 16-03 22:04

Mankepoot

Topicstarter
Dit lijkt mij een prima oplossing. het gevaar van de cursisten op het netwerk ligt niet zo zeer in dataveiligheid, maar in het op knopjes drukken zonder te weten wat ik doe. Ze hebben al vaker de software van een computer gemold op een manier die ik zelf niet zou kunnen bedenken. De Wifi is een ziggo deco mesh systeem dat prima werkt en zowel een staf als gast ssid heeft. Dit kan ik allemaal in de router vlan laten, dan verandert er verder niets. de Nas laat ik op dezelfde plek ivm met de UPS die ook de ziggobox en de inbraak detectie voedt. Ik beschouw de wachtwoordbeveiliging van de NAS voldoende bescherming tegen de cursisten. Ik kan volgende week als het rustig is deze oplossing gaan implementeren.

donderdag 7 april 2022 11:43

Acties:
  • 0 Henk 'm!
  • Tha Render_2
  • Registratie: April 2018
  • Laatst online: 30-05 07:46

Tha Render_2

Mankepoot schreef op donderdag 7 april 2022 @ 11:20:
Ik beschouw de wachtwoordbeveiliging van de NAS voldoende bescherming tegen de cursisten.
Van welk merk is de NAS? Enkele eenvoudige basis principes: Disable het guest account en zet MFA op voor alle andere accounts. Hiermee ben je goed beschermd tegen klungelende cursisten of zelfs hobby hackers. Bij Synology gaat dat MFA stuk zeer vlot moet ik zeggen, gewoon aanvinken per gebruiker en de gebruiker eens laten inloggen via de web interface, die moet dan gewoon de QR code scannen met de google authenticator app op zijn smartphone en het is al klaar.

woensdag 13 april 2022 14:12

Acties:
  • 0 Henk 'm!
  • Mankepoot
  • Registratie: April 2022
  • Laatst online: 16-03 22:04

Mankepoot

Topicstarter
Helaas werkt het plan met de vlan's niet. Ik heb vanuit de groep cursisten nog steeds toegang tot het hele netwerk. Ik vermoed dat de data vanaf vlan30 naar vlan10 gaat en van daaruit naar vlan20, en vice versa uiteraard. Ik heb bij de cursisten voorlopig het netwerk profiel op openbaar gezet als afscherming, nu kunnen ze alleen niet meer printen. Toch maar eens bedelen bij de geachte directie voor een echte firewall.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq