(Semi-) afgeschermd netwerk voor B&B aan huis

Beste tweakers,

Zelf heb ik weinig verstand van internetnetwerken en ik hoop dat jullie mij met deze vraag kunnen helpen.

Wij hebben een B&B aan huis. Bij het bedenken en opzoeken van hoe hier een internetverbinding naar aan te leggen heb ik ergens gelezen dat het in ieder geval belangrijk is het eigen netwerk achter een aparte router te plaatsen om dit gedeelte af te schermen van de gasten. Ik heb dit proberen te doen door na het Ziggo Modem een Asus Zenwifi netwerk voor ons eigen huis aan te leggen, en een apart TP-link powerline netwerk voor de B&B. (zie afbeelding voor schematische weergave)



Beide netwerken werken prima qua bereik en stabiliteit, echter zag ik via de app van het Asus Zenwifi netwerk dat de apparaten van onze gasten (zoals "Iphone van Jan") hier zichtbaar zijn. Ik heb op een ander forum gevonden dat dit komt omdat het gastennetwerk niet achter een eigen router zit, maar dat de apparaten op het netwerk achter de Asus Zenwifi niet bereikbaar zou moeten zijn voor de gasten (ik weet niet hoe ik dit zou kunnen controleren).

Mijn vragen zijn;
i) Is ons eigen huis netwerk op deze manier inderdaad "voldoende" afgeschermd voor de gasten? (i.e. kunnen zij inderdaad niet op ons netwerk)
ii) Zouden gasten ons internetverkeer kunnen monitoren aangezien we uiteindelijk beide aan het Ziggo modem/router aangesloten zitten? (deze vraag omdat hier vaak voor gewaarschuwd wordt bij bijvoorbeeld het connecten met een openbaar wifinetwerk in een McDonalds/hotel/etc.)
iii) Zijn er makkelijke tips in bv. de instellingen van het Ziggo modem om de situatie beter te scheiden/beveiligen, zonder dat hiervoor veel geinvesteerd dient te worden?
iiia) En zo nee, welke risico's loop ik op dit moment en wat zou er moeten gebeuren om dit te verbeteren?

Alvast veel dank voor jullie antwoorden! Excuus als ik niet genoeg informatie heb gegeven met het bovenstaande, zoals aangegeven heb ik zelf beperkte kennis m.b.t. netwerken.

ijske schreef op donderdag 11 januari 2024 @ 16:53:
1) ja klopt, in jouw setup kan iedereen rondkijken in Asus netwerk .
2) ja ,tot op een bepaald niveau ... maar iedereen kan bv eens rondscannen in jou netwerk , tot zelfs op je NAS connecteren , random stuff gaan casten naar jouw tv ...
3) ik zou je TP link set aan je Ziggo modem hangen .. dan kunnen ze al niet in jou asus netwerk rondsnuffelen.

Idealiter werk je met een router met Vlan's , zodat je maximaal clients kan isoleren (client isolatie is echt een optie op goeie devices)

Bedankt voor je reactie! Ik heb het TP-link setje ook direct aan mijn Ziggo modem gekoppeld, onderstaand de afbeelding aangepast zodat dit wellicht wat beter weergegeven wordt. Veranderd dit iets aan jouw antwoorden, of is dit niet wat jij bedoelt?

ijske schreef op donderdag 11 januari 2024 @ 17:07:
Dat is inderdaad een snelle aanpassing, waardoor klanten geen toegang meer hebben tot jou Asus netwerk.. Wel hebben ze nog toegang tot alles wat aan het modem hangt (maar niet de asus want die is router)

Bedankt voor je snelle reacties!

Ter interesse; hoe verschilt dit nu t.o.v. het verbinding maken met een openbaar wifi punt zoals een McDonalds/etc., uiteindelijk loopt het internetverkeer van zowel het Asus netwerk als die van de B&B gasten toch via het Ziggo Modem, wat is dan het verschil?

chrisborst schreef op donderdag 11 januari 2024 @ 17:22:
@mchoffa
Eventueel zou je ook nog kunnen overwegen om een extra internet abbo te nemen via DSL/Glasvezel van de KPN. Dan heb je het echt gescheiden.

Hier heb ik ook aan gedacht, echter vind ik dit het alleen financieel waard als andere alternatieven echt heel slecht zouden zijn. Ik begrijp echter uit de reacties van IJske dat dit wel meevalt als ons eigen netwerk achter de eigen router zit.

ijske schreef op donderdag 11 januari 2024 @ 17:24:
[...]


Tal van zaken
- echt alle grote bedrijven gebruiken routers met VLAN's ... Alle traffiek van de gastenvlan naar de private vlan word dmv toegangsregels afgeblokt
- men kan een radius server gebruiken zodat men bv acces voor x aantal uur heeft
- wil je nog een stap verder gaan , blokkeer je gewoonweg alle traffiek wat niet naar de gateway leidt ...
- nog tal van dingen waar ik niet 123 aan dacht ... client isolatie op accespoint niveau kan ook nog
kortom... een investering van x aantal honderden eurietjes , terwijl jij vermoedelijk alleen maar je eigen zaken wil afschermen van je gasten

Ik begrijp dat zij hun afscherming een stuk beter/professioneler regelen dan dat ik dat doe. Wat ik echter met mijn vraag bedoelde; als normale consument wordt je vaak afgeraden persoonlijke zaken via een openbaar netwerk te versturen omdat anderen hier inzicht in hebben, hoe verschilt de setup die ik nu heb (waar uiteindelijk alle data via het Ziggo modem loopt, zelfs als mijn eigen netwerk achter de Asus router zit) met zo'n openbaar netwerk, hier lijken toch dezelfde gevaren in te zitten?

[ Voor 54% gewijzigd door mchoffa op 11-01-2024 17:41 ]

MasterL schreef op vrijdag 12 januari 2024 @ 10:23:
Er zitten wel veel aannames in deze hele post.
Om te beginnen, een openbaar (wifi) netwerk wordt vaak afgeraden omdat dit "open" (wifi) netwerken kunnen zijn waar dit geen encryptie (WPAx) wordt toegepast. In dit voorbeeld kan iedereen jouw verkeer inzien. Is dit direct een probleem? Wellicht niet want applicaties (Bank apps, Whatsapp, Facebook, etc etc) versleutelen hun verkeer zelf ook weer via TLS/HTTPS etc. Maar protocollen/applicaties die geen encyptie gebruiken (DNS) ja dat is "openbaar".

Jouw situatie is anders, wat jij doet is potentieel alles in 1 netwerk stoppen.
Maar is dit zo? Zijn er daadwerkelijk verschillende subnetten in het "ziggo" netwerk en het "asus" netwerk?
geen idee. Zo ja zal er NAT gebruikt worden maar zijn de firewall rules voldoende om al dit verkeer te isoleren?

Ik ken het Asus portfolio niet maar idealiter wil je een router met VLAN ondersteuning, dus:
1: Ziggo modem in bridge.
2: Router met een "VLAN" of multiple networks functie.
3: 1 netwerk voor Prive.
4: 1 netwerk voor BB.
5: Firewall rules zodat deze netwerken elkaar niet kunnen bereiken.

Bovenstaande hoeft je echt niet te kop te kosten trouwens, afhankelijk van de mogenlijkheden van jouw huidige Asus router zelfs niks.

laurens0619 schreef op vrijdag 12 januari 2024 @ 10:33:
Wil je, zonder vlans, verkeer scheiden dan krijg je:
Hoofdrouter:
Poort 1: (WAN) Router thuis > (LAN) Clients thuis
Poort 2: (WAN) Route B&B > (LAN) Clients B&B

Je originele plaatje van de TS lijkt aangepast (?) Want in die setup zitten alje thuis clients al netjes achter een router en zijn die dus niet zichtbaar. Vanuit je thuis netwerk zijn je B&B devices nog wel zichtbaar

Bedankt voor jullie reacties. Het plaatje van de TS is origineel, ik had het tweede plaatje in een latere post aangepast om duidelijker te laten zien dat de devices apart van elkaar aan de router verbonden zijn.

Nu speel ik met een tweede gedachte; ik wil mogenlijk een extra powerline toevoegen binnen de ASUS set om WIFI in mijn tuinhuis mogelijk te maken (kabel trekken is niet realistisch, tuinhuis staat 40 meter weg en zou dan moeten graven). Hier overweeg ik de ASUS XP4 Hybrid voor die netjes in mijn huidige Asus zet past. Hiervan zet ik er één bekabeld aan de switch in het huis neer, en een tweede in het tuinhuis.

Ik las echter op een ander forum dat twee powerline sets binnen 1 meterkast zou kunnen gaan storen. Ik overweeg dan ook tegelijkertijd de TP-link powerline set te vervangen en een extra ASUS XP4 aan te schaffen voor de B&B, om vervolgens een gastennetwerk specifiek voor de B&B op te zetten (dit is mogelijk binnen de ASUS app). Zou dit eenzelfde vorm van bescherming geven als de huidige set-up, of is hier meer voor nodig?

Ik zag dat het gastnetwerk in ieder geval niet via een VLAN werkt want mijn Asus apparatuur is blijkbaar geen pro-versie. (ik heb me proberen in te lezen wat dit precies betekent, maar snap dit nog niet helemaal).

[ Voor 27% gewijzigd door mchoffa op 12-01-2024 11:22 ]