Laptop verbinden met 2 verschillende wifi netwerken

Via een 2e wifi adapter zou het in principe moeten kunnen werken. Maar er zou een policy actief kunnen zijn die niet toestaat dat je met 2 netwerken tegelijk verbinding hebt. Dat hebben wij op de zaak.

Zijn een 2e laptop en een USB-stick geen optie?

Hoe willen ze dan dat je die bestanden download/upload?

basjuuhhh schreef op donderdag 18 december 2025 @ 09:20:
[...]

Usb stick is niet toegestaan op laptops

Ik vermoed vanwege vergelijkbare redenen dat dat netwerk airgapped is.

Ga alsjeblieft niet zelf lopen klooien om je werk functioneel makkelijker te maken. Als ik een gokje mag wagen werk je met dure industriele systemen die er al een tijdje staan en aangestuurd/gemonitord worden door een computer met Windows XP oid?
Zou inderdaad vragen om een tweede laptop, die je alleen maar gebruikt om met de apparaten te verbinden.

Paul schreef op donderdag 18 december 2025 @ 09:22:
Hoe willen ze dan dat je die bestanden download/upload?

Door niet gebruik te maken van USB-sticks.

@basjuuhhh een eerlijk antwoord? Dit is precies het soort workaround waar security nachtmerries van krijgt, dus gewoon niet aan beginnen.

Ja, technisch kan het. En ja, je gaat er gezeik mee krijgen. Bij ons bijvoorbeeld is het simpel: zodra één device op twee netwerken tegelijk hangt, gaat er een alert af en mag je komen uitleggen waarom je denkt slimmer te zijn dan het beleid.Cybersecurity is er niet om eindgebruikers te pesten, maar om dit soort bruggen tussen netwerken te voorkomen. Op twee netwerken tegelijk zitten = jij wordt de zwakste schakel. Dat is exact waarom dit soort dingen geblokkeerd en gemonitord worden.

Zou ik als IT Engineer tegelijk op het managementnetwerk en het kantoornetwerk tegelijk gaan zitten, dan ben ik ook direct een SPOF. Dat doen we dus bewust niet. We wisselen gewoon van netwerk, hoe onhandig dat soms ook is.

Kort gezegd: dit is geen "slimme oplossing", dit is beleid omzeilen. Als het niet werkbaar is, moet IT het oplossen, niet de eindgebruiker met USB-adapters en creatieve hacks.

Dat is waarschijnlijk de werkwijze die nodig is of in het beleid staat, zodat de AGV's nooit een brug kunnen hebben naar het internet, via jou laptop.

basjuuhhh schreef op donderdag 18 december 2025 @ 09:42:
Ik snap al jullie antwoorden, maar er moet toch wel een "veilige" oplossing zijn die door IT beheerd kan worden?

En werkbaar blijft voor de eindgebruiker?

@basjuuhhh ja, die oplossing bestaat, maar niet op de manier die jij zoekt.

Een "veilige" oplossing betekent:

• Ontworpen door IT;
• Afgedwongen door policies;
• Zonder dat één endpoint ooit twee netwerken tegelijk verbindt.

Dat komt dan neer op dingen als:

• Een jump host / bastion;
• Een beheerde VM of aparte werkplek;
• Vooraf gesynchroniseerde bestanden op het interne netwerk;
• Of simpelweg netwerk wisselen.

Wat het niet is:

• Eén laptop met meerdere wifi-adapters;
• “Even beide netwerken tegelijk”;
• Iets wat jij zelf kunt inregelen.

En ja, dat is soms minder gebruiksvriendelijk. Maar veiligheid gaat hier boven gebruiksgemak is blijkbaar door de afdeling IT besloten. Als IT dit bewust gescheiden heeft, dan is dat geen technische beperking maar een keuze.

Dus het eerlijke antwoord blijft:
Er is een veilige oplossing, maar die komt alleen vanuit IT/security.
Alles wat jij zelf kunt bedenken om beide netwerken tegelijk te gebruiken, is per definitie niet de bedoeling en zou het beleid ondermijnen.

weebl schreef op donderdag 18 december 2025 @ 09:07:
Even los van de techniek: je werkgever zal een goede reden hebben om dat netwerk te airgappen (afzonderen van het internet). Door nu met de twee netwerken tegelijk te verbinden op je laptop creer je mogelijk een verbinding tussen het airgapped netwerk en het open internet. Als je IT-/CyberSecurity-afdeling hun zaakjes op orde heeft zal dit heel snel gevlagd gaan worden en mag je waarschijnlijk e.e.a. gaan uitleggen...

Dit. Als je dit bij ons bedrijf zou doen krijg je direct een aantekening bij je personeelsbestand na een leuk gesprek bij HR.

basjuuhhh schreef op donderdag 18 december 2025 @ 09:41:
[...]
Helaas is dat niet het geval.

Het gaat dus om AGV's, en die werken "offline" zijn verbonden met een interne server. Draait op Ubuntu voor zover ik het kan zien.

Netwerksegmentatie zal waarschijnlijk met een bewuste reden gedaan zijn. Ik denk dat je nieuwe IT directeur dit ook als een bepaald risico ziet. Dit gebeurd ook vaak bij PLCs. Je zou kunnen opperen voor een bepaalde 'management server' / 'Jumphost' waar je mee kan verbinden vanaf je laptop.

basjuuhhh schreef op donderdag 18 december 2025 @ 09:52:
Bedankt iedereen voor de gegeven reactie, ga hiermee aan de slag.

Laat ik voorop stellen, dat ik je frustratie overigens begrijp en dat het wat lastig en omslachtig werken is. Maar bij elk toekomstig gesprek met de "afdeling IT" hou in je achterhoofd dat ze het om een reden doen en dat is zeker niet om jou te pesten, er is altijd wel ruimte, er zijn voldoende oplossingen maar ga vooral niet met gestrekt been erin. Laat ik 'ff advocaat van de duivel zijn, maar je kunt een jumpserver bijvoorbeeld goed verantwoorden als je bij gaat houden hoeveel tijd je dagelijks kwijt bent o.a. met de "omslachtige" manier, dat helpt ook nog wel eens.

basjuuhhh schreef op donderdag 18 december 2025 @ 09:37:
[...]


Ik kan bestanden wel downloaden, dus dat is gepruts met allerlei manieren waar het mijn inziens veel onveiliger van wordt, maar volgens de geleerde niet. Ik kan dus vanuit andere emails etc. Bestand versturen of via weransfer. Die downloaden en uploaden naar teams (sharepoint). Ook andere mensen (externe) kunnen dat, en die bestanden heb ik dus nodig om de zaak draaiende te houden.

Werking:

Ik zit op wifi met verbinding naar "buiten" daar downloaden ik de bestanden nu op. Dan disconnect ik, en verbind met het andere netwerk om de bestanden op die apparaten te krijgen etc. (Het zijn een soort AGV's). Dit gaat vooral om software packages die ik moet upgraden naar vervanging van hardware etc.

Maar dit is tijdrovend aangezien ik steeds via de command prompt met die apparaten opnieuw moet verbinden als ik van wifi netwerk switch.

Ieder apparaat heeft zijn eigen bestanden, en die upgrades gebeuren nogal frequent op dit moment. Bestanden klaar zetten offline is geen mogelijkheid door de grootte en de hoeveelheid apparaten etc.

Kun je geen scriptje schrijven (mbv powershell ofzo) die de files download naar een specifieke folder zodra er nieuwe files zijn en vervolgens connect naar het juiste wifinetwerk en je connectie met de apparatuur opbouwt?

Ik heb hier ook airgapped apparatuur die we meerdere malen per jaar voorzien van nieuwe configuratie/firmware.
Hiervoor hebben ook wij een separaat wifinetwerk die we moeten gebruiken om te connecten met die apparatuur.
Om dit makkelijk te maken voor mezelf heb ik een script geschreven die controleerd of er nieuwe files bij de leverancier klaar staan. Bij nee, dan geeft het script een melding en stopt het script vervolgens. Bij een ja, worden de files gedownload naar een vooraf opgegeven folder met de datum van vandaag erbij, wordt de wifiverbinding opgebouwd naar het andere netwerk, wordt verbinding gemaakt met de apparatuur en de firmware via SCP geupload (indien beschikbaar). als de SCP Upload klaar is, dan wordt de nieuwe config geupload (indien beschikbaar). het kan namelijk voorkomen dat er wel een config update is maar geen firmware, of er is juist alleen een firmware update beschikbaar maar geen config. het script houdt hier rekening mee. Na de upload van 1 of beide files (firmware/config) wordt middels SSH een conectie opgebouwd naar het device en krijgt deze een reboot command zodat de nieuwe firmware/config ook actief wordt.
De reboot duurt ongeveer 25 seconden. pas als het device weer online is, wordt er een test uitgevoerd middels SSH om te zien of de apparatuur weer volwaardig online is en wordt de firmwareversie uitgelezen om te zien of deze werkelijk is geupdate als het een firmwareversie betreft.
Hierna verbreekt de SSH verbinding en krijg ik mijn normale wifi weer geconnect.
Het script geeft als afsluiting nog een nette melding dat alles succesvol is verlopen.
Mocht het ERGENS tijdens het script fout gaan, dan stopt het script ook op dat punt zodat we vanaf dat punt ook kunnen troubleshooten.

zo heb ik het werk voor mezelf gewoon makkelijker gemaakt.

Bij een klant hebben we dit ook. Dit zijn compleet gescheiden netwerken waarbij we 1 maar even het beveiligde netwerk noemen. De speciale gebruikers, waaronder ikzelf, hebben hier ook een dedicated laptop voor die niks toestaat qua USB sticks of een verbinding naar buiten. Ongeacht op welke wifi ik dan ook aanmeld, dit doen ze via een VPN client.

Als IT'er moet ik inderdaad ook bestanden overzetten of bij calamiteiten bestanden van mijn beveiligde omgeving weghalen en overbrengen naar mijn "normale" laptop. Hiervoor is een speciale netwerk locatie voor opgericht die dit toestaat. Op deze netwerk locatie zitten dan 2 firewalls (voor en na) en een scanner die elk bestandje checkt wat er op en af gaat.

Voor een beveiligde omgeving in de omvang die mijn klant heeft snap ik dit ook en is dit ook werkbaar door wat ik hierboven beschrijf. Loop ik soms met 2 of 3 laptops rond, ja dat klopt. Maar dit is vanwege security redenen gewoon echt de beste en meest veilige oplossing.

Ga je hier proberen omheen te werken en je gaat een directe verbinding open zetten dan heb je echt een groot probleem. Ik denk dat ik in mijn geval gedag kan zeggen tegen mijn baan

basjuuhhh schreef op donderdag 18 december 2025 @ 10:03:
[...]
Thanks, ik ben er 1x met gestrekt been in gegaan. Dat wil ik voorkomen inderdaad de volgende keer. Ik ga me eens verdiepen in een jumpserver, kan het altijd aandragen natuurlijk is ik er zelf achter sta en het kan verantwoorden.

Dat zou ik als ik jou was dus niet doen! Als ik het goed begrijp werk je zelf niet in de it. Stel de vraag die je beantwoord wilt hebben, en laat de antwoorden aan IT. Het is lovenswaardig dat veiligheid voorop staat.
"schoenmaker blijf bij je leest"

basjuuhhh schreef op donderdag 18 december 2025 @ 09:41:
[...]

De industrie is niet hoogstaand (groente en fruit).

Ik denk niet dat je baas blij met je is als alles offline is vanwege een ransomware attack via een onveilig netwerk. Dat jij het niet hoogstaand vind wil niet zeggen dat er geen (economisch) risico is dat afgedekt moet worden.

Soms hebben dit soort regels ook hele stomme redenen.

Een jaar of 15 geleden moest ik ook met een apparaat verbinden via lan. Maar op een gegeven moment werkte de wifi niet meer op het moment dat er een kabel in de laptop zat.

Wat bleek, dat was een (geslaagde) poging om klachten over traag internet op te lossen op een ander kantoor. Er waren blijkbaar veel klachten van mensen die wel met een kabel aan het netwerk zaten maar, doordat de wifi blijkbaar prio had, toch op de trage wifi zaten te werken.

Gelukkig kon er toen een uitzondering voor ons gemaakt worden waardoor we beide netwerken tegelijk konden gebruiken.

Veel van dit soort zaken gebeuren omdat mensen geen ticket loggen maar zelf maar aan het klooien gaan om om het 'probleem' heen te werken.

De IT van vroeger is niet meer de IT van tegenwoordig.

Tweakez schreef op donderdag 18 december 2025 @ 09:41:
Door niet gebruik te maken van USB-sticks.

Je snapt natuurlijk wel dat dit op geen enkele manier mijn vraag beantwoordt...

Ja, technisch kan het. En ja, je gaat er gezeik mee krijgen. Bij ons bijvoorbeeld is het simpel: zodra één device op twee netwerken tegelijk hangt, gaat er een alert af en mag je komen uitleggen waarom je denkt slimmer te zijn dan het beleid.

spoiler:

Spoiler: dat gesprek win je niet.

Met één device op beide netwerken mogen is sowieso een gigantische afbreuk aan het concept, ook als je da na elkaar doet... Met je laptop eerst op het ene netwerk verbinden, bestanden downloaden, verbinding verbreken, met ander netwerk verbinden en de bestanden uploaden is net zo goed omzeilen van de airgap. Wat dat betreft is een USB stick oneindig veel veiliger om op tussen beide netwerken te communiceren dan dat een laptop dat is, een eventueel virus op de USB-stick moet je over het algemeen zelf starten (er zullen vast manieren zijn om bugs te gebruiken of zo, maar zolang dingen als autostart uit staan is de grootste vector wel gedicht), terwijl het op de laptop gewoon kan blijven draaien zonder dat TS het door heeft, en bij USB sticks kun je prima afdwingen welke sticks wel en welke niet gebruikt mogen worden, dat er BitLocker gebruikt moet worden, etc.

Cybersecurity is er inderdaad niet om eindgebruikers te pesten, maar om een of andere reden is dat vaak wel het netto resultaat. Linksom of rechtsom zul je bestanden van netwerk A naar netwerk B moeten zien te krijgen, en er zijn prima manieren te vinden die én veilig zijn én waarbij je verloop nier door het dak schiet omdat iedereen gillend weg rent.

@basjuuhhh leg het probleem duidelijk en onderbouwd voor bij je werkgever en laat hem IT met een oplossing komen. Dit is weer eens een duidelijk geval waar IT vergeet dat ze dienstverlenend zijn aan de operatie en dat er gewerkt moet kunnen worden.
Zal voor deze opmerking vast afgeschoten worden, maar kom op IT denk eens mee in oplossingen.
IT zou prima in dit geval zijn laptop vanuit het voor internet afgesloten wifi, wel toegang tot internet kunnen geven. Dan gebeurt er eigenlijk nog steeds weinig anders dan wat er nu gebeurt. Soms moet je een gebruiker ook gewoon vertrouwen zodat hij zijn werk kan doen.

[ Voor 28% gewijzigd door Frogmen op 18-12-2025 12:37 ]

Frogmen schreef op donderdag 18 december 2025 @ 12:28:
@basjuuhhh leg het probleem duidelijk en onderbouwd voor bij je werkgever en laat hem IT met een oplossing komen. Dit is weer eens een duidelijk geval waar IT vergeet dat ze dienstverlenend zijn aan de operatie en dat er gewerkt moet kunnen worden.
Zal voor deze opmerking vast afgeschoten worden, maar kom op IT denk eens mee in oplossingen.

Mee eens. Hoewel ik in het andere kamp zit, ben ik in de praktijk vaak genoeg "oplossingen" tegengekomen waarvan ik dacht: "Dat meen je niet?" Mensen in de I(C)T vergeten al snel dat niet iedereen handig is en dat "oplossingen" ook voor anderen moeten werken. Het verschil tussen theorie en praktijk, zullen we maar zeggen.

Ik zou beginnen om aan de organisatie te vragen wat de ontworpen methode is om je werk te kunnen doen.
In de industrie zit je vaak een "engineering work station" waar je naartoe connect om vanuit daar verbinding te maken met je ot netwerk.

Als ze daar geen antwoord op hebben dan is hun aanpak niet volledig.
Zelf geloof ik alleen in security als je usability ook meeneemt in in je ontwerp.
Soms betekent dat in de praktijk dat loslaten van sommige security controls je netto meer security geven.
Oorzaak daarachter is dat bij onwerkbare controls mensen zelf olifantenpaadjes maken die het geheel onveiliger maken.

Om er een paar quotes/plaatjes bij in te proppen

"Security at the expense of usability, comes at the expense of security"

when security measures are too hard to use, people find ways around them, effectively making the security useless (nullified),

Vaak heeft de IT afdeling wel over de werkbare en veilige aanpak nagedacht maar is deze niet bekend. Eerst vragen dus

Frogmen schreef op donderdag 18 december 2025 @ 12:28:
@basjuuhhh leg het probleem duidelijk en onderbouwd voor bij je werkgever en laat hem IT met een oplossing komen. Dit is weer eens een duidelijk geval waar IT vergeet dat ze dienstverlenend zijn aan de operatie en dat er gewerkt moet kunnen worden.
Zal voor deze opmerking vast afgeschoten worden, maar kom op IT denk eens mee in oplossingen.
IT zou prima in dit geval zijn laptop vanuit het voor internet afgesloten wifi, wel toegang tot internet kunnen geven. Dan gebeurt er eigenlijk nog steeds weinig anders dan wat er nu gebeurt. Soms moet je een gebruiker ook gewoon vertrouwen zodat hij zijn werk kan doen.

Oh nee zeker niet. Vertrouwen in de de niet IT medewerkers van een bedrijf moet je zeker ver van weg blijven als het gaat om IT en het beter weten/kunnen. Er is niet voor niets een IT met daarboven een management structuur die zaken zoals security regelt. Er is vast een reden waarom het gaat zoals het gaat bij TS alleen zoals ik in mijn vorige comment aangaf moeten ze wel, als het echt nodig is om van plek A naar plek B bestanden over te zetten, een goede veilige oplossing aanbieden die voor alle partijen werkt.

Maar vertrouwen in niet IT mensen over cybersecurity en veiligheid op internet is er niet snel. Ik denk dat toch 90% van de oudere generatie en ook een ruime meerderheid van de huidige generatie die niet met IT te maken hebben echt geen besef hebben van veilig werken en internetten.

Maar daar is dan ook ISO voor opgericht en leuke tools om mensen te trainen zoals Hoxhunt of Phished en verplichte trainingen die aangeboden worden op gebied van (cyber)security en resilliency. Uiteindelijk moeten we het met elkaar doen

@hollandnick Als het goed is heb je gelijk, maar de praktijk is dat management soms geen idee hebben van wat de werkvloer doet. IT het vooral veilig wil hebben, dus ieder risico ten aller tijden mijden. Het management klakkeloos IT volgen want ze snappen het niet en willen zich er niet in verdiepen en mijden ook ieder risico door iets afwijkends te willen.
Gevolg de werkvloer verzint zelf een creatieve oplossing wat eigenlijk helemaal ongewenst is maar het werkt en vaak houd iedereen vervolgens hun mond want als het fout gaat hebben ze een schuldige.
Geloof dit geld voor veiligheid, beveiliging (fysiek en cyber). Ook is afwijken van de norm een hekel punt.
PS ik weet waar ik het over heb, ruim 10 jaar ervaring als safety en security manager bij een bank, en ja ik durfde wel af te wijken en heb creatieve slimme oplossingen geimplementeerd die in geen enkele norm stonden.