Twee netwerken verbinden?

VPN is je vriend

Als je voor je 'thuis netwerk' een eigen subnet hebt kan je ook gewoon dat routeren, daar is dat ding immers voor.

Kan je even een situatieschets maken?
Hebben jullie bvb een gemeenschappelijke modem/router van de internet provider waarop jullie beiden zijn aangesloten?

Of zijn het effectief twee aparte aansluitingen?

ErikJan2 schreef op woensdag 9 april 2025 @ 18:16:
Het is zoals ik in mijn eerste post heb beschreven. Is dat niet duidelijk dan?

Staan de antwoorden op @Asterion 's vraag in de topic start? Nee
Heb je er al op geantwoord? Nee

ErikJan2 schreef op woensdag 9 april 2025 @ 18:16:
Het is zoals ik in mijn eerste post heb beschreven. Is dat niet duidelijk dan?

Blijkbaar niet, anders word het niet gevraagd

Je hebt het over 2 netwerken, niet waar het uit bestaat of hoe het is verbonden, met welke apparatuur je te maken hebt of wat je zelf al gevonden hebt om het mogelijk te maken.

Vandaar de vraag om een schematische weergave zodat dat duidelijk is.

ErikJan2 schreef op woensdag 9 april 2025 @ 17:46:
Dat is fijn... Maar wat moet ik dan precies doen op welk systeem?

Op je computer/laptop heb je een VPN-client nodig.

Op de router (of een server/firewall) in het gebouwnetwerk moet je een VPN-server activeren waar je de VPN-client op je computer/laptop mee kan verbinden.

Wat je precies moet doen is afhankelijk van de apparatuur die jullie gebruiken in het gebouw.
Dus wat hebben jullie staan aan apparatuur?

De experiaboxen hebben zelf geen VPN optie, je zult dan een apart kastje moeten plaatsen die als VPN server kan werken.
Mogelijk dat je dan poorten moet instellen op de experia 14 om erin te kunnen komen.

Een optie is om een pi te plaatsen in het gebouw netwerk, daarop pivpn te installeren en daarheen te verbinden via wireguard.
Er zijn meerdere opties mogelijk, zoekmachines zijn je vriend.

Is de wifi van het gebouw binnen bereik zodat je daar mee kan verbinden?
Dan kan je via je laptop switchen van wifi netwerk zonder dat je daadwerkelijk naar ginder moet gaan.

ErikJan2 schreef op woensdag 9 april 2025 @ 18:16:
Het is zoals ik in mijn eerste post heb beschreven. Is dat niet duidelijk dan?

Dat was inderdaad niet duidelijk.
Zo kan je als ‘hoofdrouter’ een kpn box hebben met daarachter jullie eigen routers.

Dat zou de situatie heel anders maken dan 2 aparte internet aansluitingen met elk je eigen kpn box.

In de eerste situatie zijn jullie in theorie verbonden met elkaar intern op het netwerk.

In de tweede situatie moet je het netwerk van buitenaf benaderen.

[ Voor 62% gewijzigd door Asterion op 09-04-2025 19:33 ]

ErikJan2 schreef op woensdag 9 april 2025 @ 19:07:
Dank. Dat is jammer. Ik had gehoopt misschien via het externe IP adres verbinding te kunnen maken (en dan een user/pw authenticatie te doen of zo).
Als ik allerlei hardware moet gaan bijplaatsen laat ik het voorbij gaan...

Dat kan waarschijnlijk wel maar is een heel slecht idee. En dan kan je nog alleen maar bij de router en niet bij de devices die daar aan hangen.
Met een raspberry pi als vpn server ben je er overigens al.

[ Voor 5% gewijzigd door sig69 op 09-04-2025 19:54 ]

DaWizza schreef op woensdag 9 april 2025 @ 19:02:
De experiaboxen hebben zelf geen VPN optie, je zult dan een apart kastje moeten plaatsen die als VPN server kan werken.

Ik vervang die rotdingen altijd meteen door een Fritz box, veel meer opties en ingebouwde Wireguard.

Met een vpn maak je een virtueel netwerk aan tussen beide routers om het simpel uit te leggen.
Dan zijn beide netwerken één groot virtueel netwerk.

Dat is veilig want dat werkt met verschillende beveiligingslagen.


Het opzetten van een vpn server en client is op zich niet heel moeilijk. Hier bestaan mooi uitgebreide handleidingen voor.
Maar kan voor een leek wel moeilijk zijn qua bepaalde termen.

Staat er op het bedrijf een computer die altijd aan staat?
Dan kan je daarmee een verbinding maken. Windows heeft zo’n functie ingebakken of je installeert een programma die dat kan.
Ik kan niet zo gauw op de naam komen. Misschien dat andere tweakers iets kennen.

Wat je wil is eigenlijk supersimpel en hier al een paar keer benoemd.

Maar ik snap ook dat jij het niet snapt

En over het internet is dit nu eenmaal lastig stap voor stap uit te leggen voor een specifieke situatie. Er is geen kant en klare handleiding voor jouw situatie.

Heb je niet een handig neefje of woont er niet iemand met wat kennis in je complex?

ErikJan2 schreef op woensdag 9 april 2025 @ 21:46:
[...]


Dank voor je uitleg. Dat helpt.

Helaas, geen computer die altijd aan staat (tenzij mijn Synology NAS meetelt)

Die telt zeker mee: https://kb.synology.com/e...enter/vpn_setup?version=7

ErikJan2 schreef op woensdag 9 april 2025 @ 21:46:
[...]


Dank voor je uitleg. Dat helpt.

Helaas, geen computer die altijd aan staat (tenzij mijn Synology NAS meetelt)

Die NAS telt zeker mee, maar eigenlijk moet er iets in het netwerk van het gebouw altijd aanstaan. Dat kan een NAS zijn, een PC of een Raspberry Pi.
Die Synology staat waarschijnlijk in je eigen netwerk?

Router benader maken aan het internet is sowieso geen goed idee, zoals anders zeggen kleine cliënt of bestaande pc? Gebruiken en bijvoorbeeld tailscale opzetten.

Wat moet je überhaupt steeds een experiabox inloggen om te doen white/black listen van clients?

[ Voor 23% gewijzigd door 42dpi op 09-04-2025 22:11 ]

Ik heb ooit weleens een poging gedaan met twee betaalbare Mikrotik routers echter zo ver ik mij herinner was het probleem daarbij dat de mikrotik toen als dhcp gebruikt werkt, al het lokale netwerk verkeer door die mikrotik liep en die mikrotik dat eigenlijk niet aan kon.

Wellicht dat dit anno 2025 wel kan, dan wel dat het handiger had gekund.

Als het gebouw van een VVE is en jij beheerder bent zijn de kosten van Fritzbox met VPN opties a € 200 goedkoop ten opzichte van jouw tijd. Ik gok dat je in het bestuur van de VVE zit, jouw tijd kost ook geld.

sig69 schreef op woensdag 9 april 2025 @ 21:48:
[...]

Die telt zeker mee: https://kb.synology.com/e...enter/vpn_setup?version=7

Maak het een stuk makkelijker en gebruik dan tailscale. Loop je ook geen risico met open poorten.


https://tailscale.com/kb/1131/synology

Is dit niet stiekem een XY-problem? Zelfs als power user met eigen server enz zijn de keren dat ik in de configuratie van mijn router moest om iets aan te passen de afgelopen twee jaar op een hand te tellen. Dat jij het kennelijk zodanig vaak moet doen dat het je efficiënter lijkt een remote access oplossing op te tuigen klinkt als een behoorlijke fout in je workflow. Dus, wat moet je elke keer doen op dat ding en waarom? Ik kan me weinig voorstellen wat niet allang achterhaald is, helemaal in een Experiabox want die zijn nou niet bepaald royaal bedeeld qua instellingen. En als het tóch iets is wat écht elke keer aangepast moet worden zou je inderdaad misschien beter kunnen kijken naar een ander device waarbij dat niet nodig is, of makkelijker te doen is.

Verder: als je het toch wilt doen wil je inderdaad op de een of andere manier via een VPN naar binnen, met daarbij de kanttekening dat het bereiken van het admin-paneel een kleine extra uitdaging kan zijn als beide netwerken intern dezelfde IP-ranges gebruiken. Jouw computer weet dan namelijk niet zomaar dat jij wilt verbinden naar dat IP op het andere netwerk en zal gewoon in je eigen netwerk gaan proberen.

ErikJan2 schreef op woensdag 9 april 2025 @ 20:39:
[...]


Yep, dat dacht ik ook, maar vlak na die post schrijft iemand:
'Dat kan waarschijnlijk wel maar is een heel slecht idee'

Waarom? Ik geloof het misschien wel maar heb geen idee.

(dat ik van daaruit misschien niet naar devices op dat netwerk kan, begrijp ik denk ik dan wel weer)

Je wilt NOOIT of te nimmer de ADMIN toegang tot jouw router via internet bereikbaar maken.
Je zult zien dat er dan allerhande pogingen gedaan zullen worden om door de password beveiliging van de router heen te breken en dan zitten eventuele malafide partijen op de router van het gebouw die dan toegang verschaft tot alle devices die achter die router zitten. Wellicht is wat er op dat netwerkje draait niet heel essentieel, maar het lijkt me niet de bedoeling.

Veel routers maken het firmware matig dan ook onmogelijk om de admin webinterface van de router te benaderen via de WAN port.

Een VPN maakt een beveiligde verbinding mogelijk naar het LAN. Een apparaat dat verbinding maakt met een VPN krijgt een IP adres van binnen uit het LAN en kan daarmee dus naar de webinterface van de router die alleen op het interne LAN te bereiken is. Een VPN is vaak lastig te hacken, in ieder geval lastiger dan een webinterface op een router.

Legt dat het veiligheids aspect een beetje uit?

ErikJan2 schreef op woensdag 9 april 2025 @ 19:07:
Dank. Dat is jammer. Ik had gehoopt misschien via het externe IP adres verbinding te kunnen maken (en dan een user/pw authenticatie te doen of zo).
Als ik allerlei hardware moet gaan bijplaatsen laat ik het voorbij gaan...

*knip*. Mag een maatje minder.

Een router naar buiten bereikbaar willen maken, zonder VPN, denk eens na over de implicaties?

brrrrr.

[ Voor 9% gewijzigd door rens-br op 10-04-2025 14:45 ]

ErikJan2 schreef op woensdag 9 april 2025 @ 20:36:
Ik schreef in mijn eerste post 'Om zaken in die <gebouw> router aan te passen moet ik altijd vanuit mijn appartement naar beneden zodat ik met het gebouw netwerk kan verbinden.'

Dus nee, de routers staan buiten elkaars bereik.

Misschien een mogelijkheid om daar ergens een repeater/extender te plaatsen?
Of Powerline-WiFi bridge.

[ Voor 3% gewijzigd door The_Doman op 10-04-2025 13:41 ]

Duidelijk uitgelegd:
- Als er een Synology staat in het gebouw, dus niet in jouw appartement, is het zeker wel in te richten. Staat deze daar?

Indien niet:
- De router uit het gebouw extern toegankelijk maken wil je niet, dat is te vergelijken door de voordeur van je huis open te zetten met een stuk kippengaas als beveiliging ervoor.
- Het is wel mogelijk voor een paar tientjes een Raspberry Pi te kopen, hier een VPN op te installeren, en aan te sluiten op je Experiabox in het gebouw.
- Het is ook mogelijk een eigen router, al dan niet 2e hands, te kopen en hetzelfde daarmee te doen.

Wil je dit niet? Dan houd het op en is er geen mogelijkheid.

Volgens mij heb je gewoon dubbel nat?!

Internet —> gebouw router —> thuis router.
Klopt dit? Dan zou je de beide routers gewoon op zijn ip-adres moeten kunnen bereiken vanuit je thuis netwerk. Als dit niet kan heb iets anders dan ik voor ogen hebt. fysiek anders aangesloten, of iets in de config wat dit blokkeert.
Maar dan heb je geen dingen dingen nodig als een VPN of andere rare dingen.
Hoe meer details je geeft hoe beter we je kunnen helpen.

[ Voor 8% gewijzigd door ewoutw op 10-04-2025 14:22 . Reden: VPN opmerking toegevoegd ]

ewoutw schreef op donderdag 10 april 2025 @ 14:21:
Volgens mij heb je gewoon dubbel nat?!

Internet —> gebouw router —> thuis router.
Klopt dit? Dan zou je de beide routers gewoon op zijn ip-adres moeten kunnen bereiken vanuit je thuis netwerk. Als dit niet kan heb iets anders dan ik voor ogen hebt. fysiek anders aangesloten, of iets in de config wat dit blokkeert.
Maar dan heb je geen dingen dingen nodig als een VPN of andere rare dingen.
Hoe meer details je geeft hoe beter we je kunnen helpen.

Nope, TS geeft aan dat er GEEN verbinding is tussen zijn eigen netwerk en daarbij behorende internet verbinding en het 'gebouw' netwerk en de daarbij behorende internet verbinding. Op het adres zijn dus twee internet verbindingen actief.

[ Voor 6% gewijzigd door ElCondor op 10-04-2025 14:38 ]

Ik heb dit topic nu 3 keer gelezen en ik snap het nog niet...
Er komt van alles langs, van een NAS die altijd aan staat die als "mijn Synology NAS" benoemd wordt dus niet op de externe locatie staat neem ik aan? Tot VPN, Tailscale, tot WiFi oplossingen e.d.

Zoals @ewoutw terecht opmerkt is het niet NAT-achter-NAT dus jij hebt een router aangesloten op de gebouw router? Of Zoals @ElCondor terecht opmerkt zijn dit echt aparte internet verbindingen?
Wat voor verbindingen zijn het? Mocht er een UTP/Glas/Coax(MOCA) zou je zelfs VLANS kunnen aanmaken met 2 switches van een paar tientjes.

Een extra device plaatsen voor VPN is een leuk idee maar dan moet je wel goed weten wat je doet, een route back kan niet zomaar (tenzij die routers static routes ondersteunen) of je moet met SRC NAT aan de gang. Veel te hoog gegrepen voor TS als ik het zo lees. Uberhaupt alleen nodig/nuttig in het scenario van @ElCondor en weer complete onzin in het scenario van @ewoutw .

Ik ben nu eigenlijk het OSI model aan het uitleggen..
1: Is een fysieke verbinding tussen de locaties? Coax, Glas, UTP?
2: Is er een logische verbinding tussen de locaties? Switching/routing?

ErikJan2 schreef op donderdag 10 april 2025 @ 21:46:
[...]
Is allemaal waar idd... alleen zitten we voorlopig nog even vast in een contract met KPN dus nu kan ik niets

IK denk dat @Frogmen bedoelt dat je de Experiabox kunt vervangen door een Fritzbox. Kan ook bij een KPN-abo.

ErikJan2 schreef op donderdag 10 april 2025 @ 21:57:
Interessant... ik heb een -momenteel bedrade- internet verbinding van mijn appartement in een berging beneden. Dat is binnen het Wifi bereik van de gebouw-router.
Maar hoe zou dit een oplossing kunnen zijn als ik in mijn berging een AP plaats? Ik zie dat niet. (maar -ten overvloede- ik heb hier weinig verstand van: daarom stel ik hier mijn vragen)

Je kan het WiFi signaal koppelen/verbinden met je bedrade netwerk via een zogenaamde WiFi bridge.
De meeste goede WiFi repeaters kunnen dat ook.

Ethernet RJ45 draadloos aansluiten op netwerk
WiFi signaal omzetten naar RJ45
WiFi naar utp zonder extended signaal

Repeaten "versterken" kan misschien ook al genoeg zijn maar dan heb je weer een extra WiFi signaal erbij.
Met een bridge voorkom je dat, wel moet je dan het WiFi extender signaal uit kunnen zetten in de repeater.

[ Voor 9% gewijzigd door The_Doman op 10-04-2025 22:15 ]

En dan nu nog de hamvraag: Wat is er telkens te veranderen in de 'gebouw-router'? Gezien je antwoorden lijkt met dat ook een simpel netwerkje. Wat is daar voor spannends dat je er regelmatig aanpassingen aan moet doen?

The_Doman schreef op donderdag 10 april 2025 @ 22:07:
Repeaten "versterken" kan misschien ook al genoeg zijn maar dan heb je weer een extra WiFi signaal erbij.
Met een bridge voorkom je dat, wel moet je dan het WiFi extender signaal uit kunnen zetten in de repeater.

Verbinden via WiFi, zoals je nu gewend bent, met behulp van een repeater maakt het allemaal wel eenvoudiger.
Anders moet je de 2 verschillende KPN netwerken met dezelfde DHCP IP ranges weer uit elkaar gaan houden.

@ErikJan2 Het zijn vast technische systemen hebben de leveranciers daar ook verbinding mee? Anders kan het kostentechnisch zeker interessant zijn als ze dat wel krijgen. Dan is de investering in de eigen router heel snel terugverdiend. Overigens wifi op hetzelfde netwerk is wel heel erg afhankelijk van waarvoor allemaal, of op deze manier ook veilig is.

Muuu, je hebt dus 2 internet aansluitingen en deze zitten fysiek in het zelfde gebouw.
Gebouw router <— internet —> thuis router.

Om een netwerk op afstand te beheren heb je iets van een tunnel nodig. VPN of SSH liggen dan het meest voor de hand. Omdat dit fysiek op 1 locatie is kan je ze misschien met elkaar verbinden. Maar als ik alles zo lees gaat dat niet voor een paar euro op een nette manier lukken. Dat geldt ook voor de tunnel oplossing.

Dus hoeveel is het je waard om niet meer naar beneden te lopen.

Ben wel nieuwsgierig naar hoevaak je iets moet doen in je gebouw router en ook wat je dan doet?. Ik doe bijna nooit iets in ISP routers. Niet mijn privé omgeving (eenmalig port forward). Maar ook zakelijk doe ik bijna nooit iets ISP routers….
Dit van vaak gewoon open boxen met met NAT… meer niet..

[ Voor 6% gewijzigd door ewoutw op 11-04-2025 11:08 ]

Het klinkt alsof de TS gewoon aan het dubbel natten is en dus niet kan verbinden met de hoofdrouter als er iemand een port-forward wil?

BCC schreef op vrijdag 11 april 2025 @ 11:15:
Het klinkt alsof de TS gewoon aan het dubbel natten is en dus niet kan verbinden met de hoofdrouter als er iemand een port-forward wil?

Zie mijn post
Hij bevestigd dit zelf ook later in de draad...

@ErikJan2 Op je KPN aansluiting mag je gewoon je eigen Modem aansluiten als dat een Fritzbox is (lekker simpel) heb je meteen een VPN server en kan je vanuit huis een verbinding maken. Sterker nog eventueel dus ook leveranciers.

Misschien een raar idee, maar je zou het makkelijk kunnen maken zou ik zeggen.

Huidige opstelling zoals ik het nu lees: (wat eigenlijk van de TS werd verwacht zoals benoemd...)
internet - gebouw-router - persoonlijke router

Wat zou kunnen als je via ethernet zou willen verbinden:
internet - gebouw-router - persoonlijke-switch - persoonlijke router

Als je dan bij de "gebouw-router" wilt komen plug je de UTP kabel in de "persoonlijke-switch". Je kan natuurlijk ook gewoon de "persoonlijke-switch" aansluiten als je er bij moet.

Ook kan je de setup hetzelfde houden en direct je laptop aansluiten op de kabel ipv de "persoonlijke router". Wel zit je dan even zonder netwerk

Eenvoudigste is gewoon een goede repeater die je ook als bridge kan gebruiken.
Als het bereik daarmee dan al voldoen is hoef je niet naar beneden met je laptop.
Eventueel kan je dan bridgen naar/via je bedrade verbinding met een creatieve oplossing.

Ik heb het draadje niet helemaal goed doorgelezen, maar het lijkt me dat die experia doosjes beiden Wifi hebben. (Ik zie niet wat het doel is van je vraag, eigenlijk irrelevant)

Waarom kun je niet met de wifi van het andere gebouw verbinden? @ErikJan2

Kabouterplop01 schreef op zaterdag 19 april 2025 @ 08:08:
Ik heb het draadje niet helemaal goed doorgelezen, maar het lijkt me dat die experia doosjes beiden Wifi hebben. (Ik zie niet wat het doel is van je vraag, eigenlijk irrelevant)

Waarom kun je niet met de wifi van het andere gebouw verbinden? @ErikJan2

Als je niet de moeite neemt om het door te lezen, reageer dan ook niet. Die vraag is gesteld en ze zijn niet in elkaars bereik.

Ik zou het niet zo ingewikkeld maken. Hoe vaak moet je nu iets aanpassen? Kan me niet voorstellen dat dat meer dan 2 keer per jaar is. En je zult vaker voor een storing oid toch al naar de router moeten van het gebouw. Ik zou voor die een of 2 aanpassingen (als het er al zoveel zijn) gewoon even naar beneden lopen met je laptop.