Afschermen Main router van cascaded router maar wel internet

Dubbel NAT.

Omdraaien.

Omdraaien of die 2e fritzbox in gastenlan stoppen vam de 1e

Kun je niet poort 4 van je hoofdrouter als gastnetwerk instellen? Ik vond deze instructies, wel voor een ander model, maar mogelijk werkt het ook voor de 6660.

Wat bedoel je eigenlijk met "cascade router".
Dat is geen echte netwerkterm, dus welke van de twee onderstaande opties bedoel je daar mee?

1. Wan 6660 - Lan 6660 --> Wan 4040 - Lan 4040 --> iot devices
2. Wan 6660 - Lan 6660 --> Lan 4040 - Wan 4040 --> iot devices

Bij Optie 1 kun je vanaf de 6660 niet bij je iot devices, maar kunnen je iot devices wel bij de 6660 en het internet
Bij Optie 2 kun je vanaf de 6660 wel bij je iot devices, maar kunnen je iot devcies niet bij de 6660 en het internet.

Volgens mij is het grootste security risico het feit dat iot devices het internet op willen en zo een potentieel hole punchen in je netwerk beveiliging, dus optie 2 is enigszins zinvol, optie 1 nauwelijks.

Persoonlijk denk ik dat een router hier niet de beste mogelijkheden bied een firewall zou veel beter passen.

Als de FRITZ!Box VLAN ondersteunt op de LAN kant, dan is het vrij eenvoudig in te stellen. Precies ook wat @Ben(V) zegt, je wil dit op firewall niveau instellen.

Vlan's zijn in tegenstelling wat iedereen denkt geen security maar een functionele scheiding.
Vlan hopping is niet heel erg moeilijk voor een hacker.

Echte security bouw je met een firewall die daar voor gemaakt is.

Poort 4 gastennetwerk gebruiken en daar je tweede router met IoT aan hangen. Maar je snapt toch wel dat het allemaal wat overdreven is voor een thuisnetwerk. Maar als jij het leukt vindt vooral doen.

Geen iot devices gebruiken die een cloud verbinding nodig hebben is mijn beste advies.
Die dingen zijn erg onveilig en als iemand je iot hackt hebt je misschien nog wel meer problemen als wanneer je "gewone" devices gehacht worden.
Wat denk je dat er gebeurd als iemand voor de lol je cv op 40 graden zet tijdens je vankantie?

Als je dat doet dan kun je die 4040 gewoon weg laten want die doet wat beveiliging betreft toch niets.

Wil je toch wat, vervang die 4040 dan door een firewall met de juiste rules.

Tweede advies is geen iot over wifi te gebruiken, neem gewoon zigbee die is daar voor ontworpen en is behoorlijk hackproof en overbelast je wifi datanetwerk ook niet.

Waarom niet dr pi in je “hoofdnetwerk” zetten?
Of nog makkelijker vpn van je fritzbox gebruiken?

Iot binnen lan isoleren maar internet aan laten is een populaire actie en zie je vaker. Security technisch is het alleen vrij nutteloos en operationeel lastig.

Maar als je t leuk vind gewoon doen. Een port mapping naar device in je guest netwerk gaat denk ik niet lukken

Het is wel een erg ingewikkelde setup voor thuis.

Wat ik doe;

Ik heb 1 wifi vlan (vlan B ). Die is al afgescheiden van het productienetwerk (vlan A). Op vlan B zit mijn IOT maar ook gewoon mijn iPads, iPhones, laptops etc…

Ik vond een apart iot netwerk wat overdreven dus ik heb de rest er ook gewoon bij gepleurd.

Van vlan A naar B is vrij toegang, van vlan B naar A staan een paar poorten open. En de laptops hebben een DHCP RES en die IPs mogen specific naar vlan A.

Ik vond/vind dit veilig genoeg.

Het kan nog veel veiliger maar dit is voor mij prima.

[ Voor 9% gewijzigd door FreakNL op 14-04-2024 19:29 ]

Kees de kapper schreef op zondag 14 april 2024 @ 22:01:
[...]


Beste Laurens, kan je me uitleggen waarom dit security-technisch weinig te bieden heeft?

Ik heb trouwens een VPN verbinding ingesteld die normaal wel werkt maar niet meer als de router als "gast-netwerk" is ingesteld.

Iot apparaten zijn vaak in het nieuws geweest dat ze gehackt kunnen worden. Echter als ze gehackt zijn dan worden deze bijna altijd ingezet om onderdeel te worden van een botnet en commandos richting het internet uit te voeren maar laten ze lokaal het netwerk met rust.
Waarom? Nou een lokaal netwerk van een thuisgebruiker boeit ze niet zoveel maar dat ze voor aanvallen op bv bedrijven de beschikking hebben over heel veel internet adressen om verkeer vanuit te sturen is waardevol voor ze.

Gebruiken ze puur je internet, dan is de kans op detectie laag. Zouden ze je apparaten in je lan aanvallen, dan is de kans op detectie groter met het risico dat de infectie verwijder wordt.

Daarnaast js hacken vanaf een lan niet meer zo eenvoudig als 10 jaar geleden. Jij bent welkom op mijn lan, ik heb geen devices met pending patches, of open admin share, of open nas share etc. Teveel werk voot een oppurtinistische hacker. Een internet ip is veel waardevoller voor ze.

Dus tldr: de internet verbinding filteren van iot devices is veel waardevoller. Liefst tot en met de cloud verbinding maar anders alles wat other is.

Daarbij zijn de IoT devices zelf ook veel verder ontwikkelt waardoor deze hacken ook weer complexer is geworden. Daarnaast ben ik het met Laurens0619 eens dat als je verder alles van goed wachtwoorden etc hebt voorzien het risico ook niet zo groot is.
Ik draai al heel wat jaren verschillen webservers thuis en nog nooit problemen ondervonden. Ja er wordt vreselijk veel op de deur geklopt, maar dat is kennelijk normaal. Al zou daar best eens iets aan gedaan mogen worden maar ja keerzijde van een vrij internet.

Kees de kapper schreef op dinsdag 16 april 2024 @ 14:44:
Dank allen voor de uitgebreide respons!
Hoewel niet geheel digitaal onbekwaam ervaar ik een groeiende afstand in netwerkbeheer.... Ik word te weinig werkgerelateerd geexposed aan dit soort dingen om het op eigen kracht te kunnen.

Liever houd ik verschillende dingen in het netwerk gescheiden maar ik zal mijn firewall voornamelijk het werk laten doen. Heb ook wat Chineese-meuk om mee te spelen en te experimenteren en wil dat niet gelijk de deur uit doen. En sommige IoT devices kan je niet bereiken zonder cloud-verbinding (zoals bij de wasmachine). Software en firmware van computers en routers zijn in principe up-to-date.

Als je het gescheiden wilt houden en het simpel wilt doen is de beste suggestie al gegeven: draai het om, zet alles wat je 'veilig' wil hebben achter de tweede router (.4.x subnet in je plaatje) en de zaken die je niet geheel vertrouwt direct achter eerste router (.10.x subnet in je plaatje). Stel dat er iets op de IoT meuk gecompromitteerd word (reeele kans) en op de LAN gaat kloten (onwaarschijnlijk), dan kan het niet bij je apparatuur achter tweede router (zolang je uPnP uit hebt staan en geen port forwards ingesteld hebt).