Tweede router isoleren van eerste router

Ik zou router 2 in AP modus zetten en device isolation op router 1 instellen, als die daarvoor de optie heeft.

Draai het om:

Internetverbinding in WAN van router met apparaten die beperkte toegang zouden moeten hebben, dan WAN van andere router (waar de 'onbeperkte' spullen draaien) op een van de LAN-poorten van die eerste router aansluiten.

De kortste klap is de WAN-poort van beide routers aan te sluiten op een LAN poort van de modem/router van je provider.

Dan heb je drie routers.

Wat dion_b zegt ja: de 'onvertrouwde' router het dichtst bij het grote boze internet. Wel even nadenken over of er iets van portmapping nodig is.

Beter zou zijn 1 router en gebruik maken van VLANs. Maar dat is complexer om in te richten en beheren.

FredvZ schreef op zaterdag 12 april 2025 @ 09:27:
De kortste klap is de WAN-poort van beide routers aan te sluiten op een LAN poort van de modem/router van je provider.

Inderdaad, de 3 router oplossing.

Google: Three Router Solution to IOT Insecurity

Segmentering gebruiken voor security is net als vlan's niet erg secure.
Als je er vanuit gaat dat een van je iot devices gecompromitteerd kan worden, dan is van daaruit het vrij simpel om een ander segment te bereiken.
Hetzelfde geld voor vlan's, want vlan hopping is niet echt ingewikkeld.

Beide technieken zijn bedoelt voor functionele scheiding en niet voor security.
Wil je een beetje serieus secure zijn dan moet je dat iot segment afschermen met een firewall.

Het hangt er allemaal maar vanaf op wat voor apparaat je je gateways zet, als deze policies of nat translaties tussen de glans ondersteund zou je er iets mee kunnen.

Dan zou mijn vraag zijn wil je dat perse doen met de spullen die je hebt of wil je algeheel een stapje omhoog doen met je setup en netwerk kennis.

Met het eerste zit je al snel aan 3 routers en de port translatie van de huis tuin en keuken routers gebruiken als inkomend filter. Dan heb je portmaps / forwards nodig om het segment binnen te komen. De mogelijkheden daarvan zijn bij consumer grade producten echt beperkt, je zult dus als je door ontwikkeld al snel tegen limitaties van de producten aanlopen.

Voor de 2e route is het misschien een idee dat je een kleinen firewall op de kip tikt of installeert.

Kleine firewall's zijn wat dat aangaat best heel leuk en bruikbaar voor home setups. Ik gebruik zelf en fortigate 40f met bundeled UTM licenties, maar vanwege de steep learning curve als daar nog nooit iets mee gedaan hebt, de kosten van eventuele subscriptions en de benodigde kennis om te weten wat je kunt als je iets zonder licentie of scubscription koopt is best een steep learningcurve.

[ Voor 4% gewijzigd door mash_man02 op 12-04-2025 11:13 ]

Dit werkt zoals ik zou verwachten dat het werkt en is dit een probleem?
In deze setup moet verkeer van netwerk .11 door het netwerk .10 naar het internet. Maar verkeer van .10 kan niet naar .11 netwerk.

Routers verbinden 2 (of meer) netwerken met elkaar. En op basis van wat ze weten sturen ze het verkeer een kant op.
Router 2 kent zowel .10 als .11 netwerk. En zou dit netjes routeren en alles wat hij niet kent naar zijn gateway (router 1). Daarom is vanuit .11 het .10 netwerk bereikbaar. En dat wil je ook, want je wil router 1 bereiken.

Router 1 kent het netwerk van je ISP en het .10 netwerk. Niet het .11 netwerk. Als hij verkeer krijgt voor een onbekend netwerk stuurt hij het naar zijn gateway dat ergens bij de ISP zit. Oh hij gooit het weg omdat hij geen RFC1918 adressen die kant op mag sturen.

Andere apparaten in het .10 netwerk hebben net als router 1 geen idee dat het .11 netwerk bestaat en zullen nooit verkeer voor .11 netwerk aanbieden bij router 2.

Waarom komt verkeer dan wel terug? Nou als je vanuit netwerk .11 iets in netwerk .10 benaderd denken zij dat het de wan interface van router 2 is waar ze mee praten. NAT doet zijn werk. Maar je ziet niets van het het netwerk achter NAT.

Als je alleen lokaal er bij moet, fixed ip zonder default gateway?