Toon posts:

Gedeeld netwerk in bedrijfsruimte hoe veilig te scheiden?

Pagina: 1
Acties:

Vraag

dinsdag 16 september 2025 11:42

Acties:
  • 0 Henk 'm!
  • onnaj
  • Registratie: September 2005
  • Laatst online: 14:17

onnaj

Topicstarter
Mijn vraag

We huren een bedrijfspand en mogen daarbij gebruik maken van de internetverbinding van de verhuurder. Volgens mij komt deze van een KPN Modem/router.

Nu willen ons netwerk uiteraard scheiden van hun netwerk en vragen ons af hoe we dit het beste kunnen realiseren?
Is het een kwestie van een eigen router (bijv deze: uitvoering: ASUS TUF Gaming AX6000) er tussen zetten en daarachter een (manageable) switch?

Relevante software en hardware die ik gebruik

We gebruiken Macs, maar ook Windows. Willen graag 1 of 2 gast netwerken maken en natuurlijk een netwerk voor ons zelf. Veel snelheid gebruiken we overigens niet. Voornamelijk wordt het Office 365 met OneDrive gebruikt.

We hebben wel apparaten die PoE nodig hebben dus we willen uiteraard ook een switch met PoE poorten


Wat ik al gevonden of geprobeerd heb
Ik heb gezocht op Google en Tweakers en kon niet direct mijn antwoord vinden. Ik weet ook niet of het KPN Modem nog op een bepaalde instelling moet staan of dat dat absoluut niet noodzakelijk is? Vooralsnog hoeven we onze apparaten niet direct te benaderen, maar gaat veelal via cloud omgevingen dus dan hebben we minder te maken met poorten open zetten. Hooguit dat we poort 80 potentieel nog open moeten zetten.

Dank voor jullie reacties!

Beste antwoord (via onnaj op 17-09-2025 14:14)

woensdag 17 september 2025 10:10

  • Paul
  • Registratie: September 2000
  • Laatst online: 16:00

Paul

De simpelste manier is om het helemaal te scheiden is door twee routers in het KPN-modem te prikken, jullie gebruiken de ene, zij gebruiken de andere. Dat vergt mogelijk wel aanpassingen aan het netwerk van dat andere bedrijf.

De simpelste manier om het op een manier te doen die voor veel bedrijfjes "goed genoeg" is, is door één router te gebruiken, die prik je in het KPN-modem, en die gebruiken jullie.

"Goed genoeg" in de ze is: jullie kunnen in theorie wel bij hun apparaten maar alleen als je het IP-adres weet (en dit valt eventueel in jullie router wel te fixen met de firewall of routetabel), zij kunnen totaal niet bij jullie apparaten, en hoewel ze in theorie het verkeer tussen het KPN-modem en jullie router kunnen sniffen is 99+% van het internetverkeer anno 2025 versleuteld dus daar hebben ze niks aan.

Hoe groot en IT-minded is jullie bedrijf, en hoe groot en IT-minded is dat andere bedrijf? Als ik in het gemiddelde bedrijvenverzamelgebouw kijk wat er zit dan is "goed genoeg" daar vaak inderdaad goed genoeg, en als dat niet zo is (om welke reden dan ook; "het voelt niet goed" kan genoeg zijn, en dat is niet erg) dan zijn ze vaak klein genoeg om een IP-omnummering (alle apparaten van een nieuw IP-adres voorzien) zo gedaan is; het is bijna allemaal en het enige is dan kijken of de PC de printer nog kan vinden.

De vraag welke routers je daarvoor gebruikt hangt af van je wensen, en waar je die router wil of misschien wel moet plaatsen. Liggen er al netwerkkabels in de muur met mooi weggewerkte inbouwdozen en komt alles bij elkaar in een "IT-ruimte" (patchkast, bezemkast, meterkast) dan zou ik denk ik voor een uitvoering: Ubiquiti Cloud Gateway Ultra en je WiFi laten verzorgen door een uitvoering: Ubiquiti Swiss Army Knife Ultra of een uitvoering: Ubiquiti UniFi U7 Lite (vergeet de POE injector niet, volgens Ubiquiti de uitvoering: Ubiquiti 2.5G PoE+ Adapter (30W) voor de U7-Lite, voor de SAKU kan een goedkopere ook, zolang het maar 48V is. Voor de U7 mogelijk ook, je router heeft toch een 2.5G ethernet).
Als er geen centraal verzamelpunt is voor alle netwerkkabels en je zelf kabels moet gaan aanleggen dan kun je iets als de uitvoering: Ubiquiti UniFi Express 7 overwegen.

Willen beide bedrijven dezelfde IPv4-poorten forwarden dan heb je een probleem :P Dan moet je een (zakelijke?) aansluiting met meerdere IP-adressen aanvragen, waarna bovenstaande oplossingen alsnog kunnen :)

Als NAT-over-NAT geen optie is dan heb je een router nodig die meerdere netwerken aan kan maken (al dan niet via VLANs) en moet je de Experiabox vervangen door je eigen router. Gezien de vraagstelling vermoed ik dat dit boven je pet gaat, maar ik vermoed ook dat het niet nodig is :) ETA: Dat is ook de route als je het op een "enterprise" manier op wil lossen, maar het klinkt niet alsof jullie enterprises zijn :) Ik werk voor een bedrijf met een paar duizend medewerkers, wij gaan geen Cloud Gateways op een Experiabox aansluiten, maar voor een paar kleine bedrijfjes die een internetlijn delen is dat een prima oplossing :)

[ Voor 8% gewijzigd door Paul op 17-09-2025 10:17 ]

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

Alle reacties

dinsdag 16 september 2025 13:45

Acties:
  • +1 Henk 'm!
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 16:02

MasterL

Moderator Internet & Netwerken
Het zal hoe dan ook in jouw situatie een NAT achter NAT scenario worden. Poorten open zetten en/of VPN opties zijn nagenoeg 0 (misschien Tailscale o.i.d.)...Je wil gewoon internet..
Ik denk dat elke router zal voldoen beetje hetzelfde als een simpel huishouden, het security riscio zit aan de kant van de verhuurder. Kies een router die je leuk vind en/of welke eventueel voldoet aan je WiFi eisen als je deze wil integreren in de router. Sluit de WAN poort aan op het netwerk van de verhuurder en klaar ben je.

dinsdag 16 september 2025 13:48

Acties:
  • 0 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 16:25

lier

MikroTik nerd

En als je echt advies wil (niets ten nadele van bijdrage van @MasterL), zal je met echte eisen en wensen moeten komen.

Eerst het probleem, dan de oplossing

dinsdag 16 september 2025 14:07

Acties:
  • +1 Henk 'm!
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 16:02

MasterL

Moderator Internet & Netwerken
Eens met @lier om het even te verduidelijken de reden waarom ik zei "Ik denk dat elke router zal voldoen beetje hetzelfde als een simpel huishouden" is omdat de eisen nagenoeg 0 zijn en/of niet verschillen van een huishouden waar iemand thuiswerkt. Mochten er toch meer wensen/eisen zijn zou de uitkomst natuurlijk anders kunnen zijn.

dinsdag 16 september 2025 14:11

Acties:
  • +1 Henk 'm!
  • Gurk2
  • Registratie: April 2013
  • Laatst online: 16-09 18:30

Gurk2

Je zou een edgerouter x kunnen gebruiken, en deze gebruiken als router met VLAN's. Je kunt dan gescheiden netwerken maken. Configuratie is een beetje lastig, maar hiervoor kun je een tutorial volgen. KPN modem hoeft dan alleen modem functionaliteit te hebben, en geen router functie.

Deze oplossing is dus iets waar de verhuurder ook aan mee moet werken, omdat je de router achter modem wilt plaatsen. Dus Modem->Router->VLAN verhuurder & VLAN huurder.

[ Voor 23% gewijzigd door Gurk2 op 16-09-2025 14:14 ]

55.605 Wattpiek, Nibe F2120-16, Home assistant

dinsdag 16 september 2025 14:54

Acties:
  • +1 Henk 'm!
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 16:21

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

onnaj schreef op dinsdag 16 september 2025 @ 11:42:
Mijn vraag
Nu willen ons netwerk uiteraard scheiden van hun netwerk en vragen ons af hoe we dit het beste kunnen realiseren?
Zolang je internet deelt, via apparatuur die bij een derde partij in beheer is, gaat al het internetverkeer over "hun" apparatuur. Afhankelijk van de versleuteling van de gebruikte protocollen is dat wel/geen probeem.

Wat wil je precies bereiken? Is een eigen internetoplossing niet een beter idee?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

dinsdag 16 september 2025 15:05

Acties:
  • 0 Henk 'm!
  • bregweb
  • Registratie: Juni 2005
  • Laatst online: 14:18

bregweb

Zoals hierboven al wordt verteld, maar meer in Jip en Janneke:
Zie Internet als de voordeur van het pand en jouw bedrijf als een verdieping met een eigen afgesloten deur (jouw router). Op jouw verdieping ben je compleet in controle over de toegang, maar je zult toch echt door de voordeur naar binnen en buiten moeten, samen met alle andere verdiepingen in je pand. Als dat een probleem is, zul je hele goede afspraken moeten maken bet de beheerder van de voordeur, of een eigen Internet verbinding moeten nemen.

Hattrick: Thorgal Eagles

woensdag 17 september 2025 09:20

Acties:
  • 0 Henk 'm!
  • onnaj
  • Registratie: September 2005
  • Laatst online: 14:17

onnaj

Topicstarter
Question Mark schreef op dinsdag 16 september 2025 @ 14:54:
[...]

Zolang je internet deelt, via apparatuur die bij een derde partij in beheer is, gaat al het internetverkeer over "hun" apparatuur. Afhankelijk van de versleuteling van de gebruikte protocollen is dat wel/geen probeem.

Wat wil je precies bereiken? Is een eigen internetoplossing niet een beter idee?
Een eigen internetoplossing is op die locatie niet mogelijk jammer genoeg, vandaar dat we het in ieder geval zelf zo goed mogelijk willen beveiligen/afschermen van de andere partij.

Enige waarvoor poorten open moeten staan wellicht is van een online temp monitoring systeem, maar als die data al onderschept zou kunnen worden is dat totaal niet relevant

woensdag 17 september 2025 09:22

Acties:
  • +1 Henk 'm!
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 16:21

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

onnaj schreef op woensdag 17 september 2025 @ 09:20:
[...]


Een eigen internetoplossing is op die locatie niet mogelijk jammer genoeg,
Waarom niet? nieuws: Odido brengt 5G Internet voor Bedrijven uit voor maximaal 20 medewerkers

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 17 september 2025 09:48

Acties:
  • +1 Henk 'm!
  • Frogmen
  • Registratie: Januari 2004
  • Niet online

Frogmen

Eigen router erachter werkt perfect, zou alleen wel voor een pro router gaan, deze zijn toch wat stabieler vooral bij meer clients. Denk aan Zyxel, Ubiqity of Cisco etc. Zeker als je ook met Vlan's en een gastennetwerk wil gaan werken.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

woensdag 17 september 2025 10:09

Acties:
  • +1 Henk 'm!
  • Duke of Savage
  • Registratie: April 2023
  • Laatst online: 15:50

Duke of Savage

Schakel een IT dienstverlener in, koop je expertise in en verantwoordelijkheid af :)

woensdag 17 september 2025 10:10

Acties:
  • Beste antwoord
  • 0 Henk 'm!
  • Paul
  • Registratie: September 2000
  • Laatst online: 16:00

Paul

De simpelste manier is om het helemaal te scheiden is door twee routers in het KPN-modem te prikken, jullie gebruiken de ene, zij gebruiken de andere. Dat vergt mogelijk wel aanpassingen aan het netwerk van dat andere bedrijf.

De simpelste manier om het op een manier te doen die voor veel bedrijfjes "goed genoeg" is, is door één router te gebruiken, die prik je in het KPN-modem, en die gebruiken jullie.

"Goed genoeg" in de ze is: jullie kunnen in theorie wel bij hun apparaten maar alleen als je het IP-adres weet (en dit valt eventueel in jullie router wel te fixen met de firewall of routetabel), zij kunnen totaal niet bij jullie apparaten, en hoewel ze in theorie het verkeer tussen het KPN-modem en jullie router kunnen sniffen is 99+% van het internetverkeer anno 2025 versleuteld dus daar hebben ze niks aan.

Hoe groot en IT-minded is jullie bedrijf, en hoe groot en IT-minded is dat andere bedrijf? Als ik in het gemiddelde bedrijvenverzamelgebouw kijk wat er zit dan is "goed genoeg" daar vaak inderdaad goed genoeg, en als dat niet zo is (om welke reden dan ook; "het voelt niet goed" kan genoeg zijn, en dat is niet erg) dan zijn ze vaak klein genoeg om een IP-omnummering (alle apparaten van een nieuw IP-adres voorzien) zo gedaan is; het is bijna allemaal en het enige is dan kijken of de PC de printer nog kan vinden.

De vraag welke routers je daarvoor gebruikt hangt af van je wensen, en waar je die router wil of misschien wel moet plaatsen. Liggen er al netwerkkabels in de muur met mooi weggewerkte inbouwdozen en komt alles bij elkaar in een "IT-ruimte" (patchkast, bezemkast, meterkast) dan zou ik denk ik voor een uitvoering: Ubiquiti Cloud Gateway Ultra en je WiFi laten verzorgen door een uitvoering: Ubiquiti Swiss Army Knife Ultra of een uitvoering: Ubiquiti UniFi U7 Lite (vergeet de POE injector niet, volgens Ubiquiti de uitvoering: Ubiquiti 2.5G PoE+ Adapter (30W) voor de U7-Lite, voor de SAKU kan een goedkopere ook, zolang het maar 48V is. Voor de U7 mogelijk ook, je router heeft toch een 2.5G ethernet).
Als er geen centraal verzamelpunt is voor alle netwerkkabels en je zelf kabels moet gaan aanleggen dan kun je iets als de uitvoering: Ubiquiti UniFi Express 7 overwegen.

Willen beide bedrijven dezelfde IPv4-poorten forwarden dan heb je een probleem :P Dan moet je een (zakelijke?) aansluiting met meerdere IP-adressen aanvragen, waarna bovenstaande oplossingen alsnog kunnen :)

Als NAT-over-NAT geen optie is dan heb je een router nodig die meerdere netwerken aan kan maken (al dan niet via VLANs) en moet je de Experiabox vervangen door je eigen router. Gezien de vraagstelling vermoed ik dat dit boven je pet gaat, maar ik vermoed ook dat het niet nodig is :) ETA: Dat is ook de route als je het op een "enterprise" manier op wil lossen, maar het klinkt niet alsof jullie enterprises zijn :) Ik werk voor een bedrijf met een paar duizend medewerkers, wij gaan geen Cloud Gateways op een Experiabox aansluiten, maar voor een paar kleine bedrijfjes die een internetlijn delen is dat een prima oplossing :)

[ Voor 8% gewijzigd door Paul op 17-09-2025 10:17 ]

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

woensdag 17 september 2025 10:12

Acties:
  • +2 Henk 'm!
  • dion_b
  • Registratie: September 2000
  • Laatst online: 12:25

dion_b

Moderator Harde Waren

say Baah

onnaj schreef op woensdag 17 september 2025 @ 09:20:
[...]


Een eigen internetoplossing is op die locatie niet mogelijk jammer genoeg, vandaar dat we het in ieder geval zelf zo goed mogelijk willen beveiligen/afschermen van de andere partij.

Enige waarvoor poorten open moeten staan wellicht is van een online temp monitoring systeem, maar als die data al onderschept zou kunnen worden is dat totaal niet relevant
Je lijkt niet helemaal de uitleg van anderen (vooral die van @bregweb) begrepen te hebben.

Jullie netwerk is an sich prima afgeschermd door jullie eigen router. Het is juist de andere partij wiens netwerk voor jullie open staat. Maar al jullie gegevens gaan wel over hun netwerk naar buiten. Is dat erg? Niet als alles end-to-end versleuteld is. En anno 2025 zou *alles* wat over publieke internet gaat sowieso versleuteld moeten zijn - aan jou de taak om na te gaan of dat daadwerkelijk ook zo is.

Of niet - ik krijg niet de indruk dat jij de juiste persoon bent om de uitvoerende verantwoordelijkheid te dragen rondom gegevensbeveiliging voor jullie netwerk. Heb je die taak toch opgelegd gekregen? Dan zul je je ofwel op korte termijn flink bij mogen scholen (kijk eens naar CISSP als begin, maar dat is alleen theoretisch, puur practische beveiliging leer je er niet), danwel de nodige kennis en kunde inhuren.

Oslik blyat! Oslik!

woensdag 17 september 2025 14:17

Acties:
  • 0 Henk 'm!
  • onnaj
  • Registratie: September 2005
  • Laatst online: 14:17

onnaj

Topicstarter
Dank voor jullie reacties allemaal! Ik ben absoluut zeer handig met IT gerelateerde zaken, maar netwerken vind ik altijd een ding op zich.

We gaan zorgen dat we een absoluut goede router kopen, zodat onze data beveiligd is. We werken op locatie maar met 1-2 mensen dus super spannend is het niet, maar wil het wel veilig genoeg hebben.

En komen we er niet uit of hebben we het idee dat het niet veilig genoeg is dan schakelen we zeker een expert in.

woensdag 17 september 2025 15:08

Acties:
  • +1 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 16:25

lier

MikroTik nerd

onnaj schreef op woensdag 17 september 2025 @ 14:17:
Dank voor jullie reacties allemaal! Ik ben absoluut zeer handig met IT gerelateerde zaken, maar netwerken vind ik altijd een ding op zich.
Ook handig met aansprakelijkheid? Informatiebeveiliging?
We gaan zorgen dat we een absoluut goede router kopen, zodat onze data beveiligd is. We werken op locatie maar met 1-2 mensen dus super spannend is het niet, maar wil het wel veilig genoeg hebben.
Hoe ga je om met onderhoud? Update strategie? Hoe regel je de beveiliging van het andere bedrijf? En/of hoe regelen zij dat?
En komen we er niet uit of hebben we het idee dat het niet veilig genoeg is dan schakelen we zeker een expert in.
Ken je de uitdrukking "als het kalf verdronken is dempt men de put".

Ben blij met je enthousiasme, hoop oprecht dat het goed gaat.

Eerst het probleem, dan de oplossing

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq