Ron81
Meedenker
  • 14Posts
  • 0Oplossingen
  • 2Likes

Toegang tussen verschillende apparaten op hetzelfde netwerk reguleren

In mijn thuisnetwerk zitten verschillende apparaten zoals:

  • Windows PC
  • Synology NAS
  • Receiver
  • Raspberry Pi met Kodi
  • Chromecast
  • Logitech harmony Hub
  • Honeywell thermostaat
  • Mediabox Next
  • Smartphones
  • Laptop

Nu wil ik eigenlijk van een aantal apparaten de toegang tot andere apparaten in het netwerk onmogelijk maken. De Chromecast, Harmony Hub, Receiver, Honeywell en Mediabox hoeven bijvoorbeeld op geen enkele manier toegang te hebben tot de NAS of Windows PC.

Nu kan ik een aantal van deze apparaten ook op de gasten wifi aansluiten, maar dan hebben ze helemaal geen toegang tot het thuisnetwerk. Voor de Honeywell is dat prima, maar voor de Chromecast is dat bijvoorbeeld niet handig: dan moet ik iedere keer mijn telefoon van netwerk switchen als ik de Chromecast wil bedienen.

Daarnaast werkt dit alleen voor draadloze apparaten en niet voor bedrade apparatuur.

In de modem/router (Arris) kan ik wel iets van IP regels aanmaken, maar dat lijkt niet te doen wat ik wil.

Iemand een idee?
1 Geaccepteerde oplossing

Geaccepteerde oplossingen
DennyW
Expert
Expert
  • 2767Posts
  • 232Oplossingen
  • 690Likes
Ron81

Segmentatie van het netwerk voor gastgebruik en ook voor IoT is eigenlijk bittere noodzaak. Dit kan “eenvoudig” met het gebruik van VLAN’s zoals Han al aangaf. Als je apparatuur gebruikt die die ook kan combineren met verschillende subnets en uitgebreide firewall-regels zoals in dit YouTube-filmpje (Zowel de AP’s als de switch hebben uitgebreid features / totale speelduur ca 35min.) nou, dan …. heb je het mooier voor elkaar dan de meeste van ons. Gelukkig verwijst de goede man ook naar een eerdere video van zijn hand waar de aanpak wat simpeler is. Het is wel zo dat hij wel veel (beroepsmatige) ervaring heeft en geen moeite heeft met het doen van de investering.

Ik zeg niet dát je het zo moet aanpakken en nog minder welk merk je het beste zou kunnen gebruiken, maar hopelijk geeft het wat inzicht in wat er zoal mogelijk is en waar je eventueel rekening mee kan houden.

Het wordt natuurlijk veel simpeler als je het thuisnetwerk, IoT en het Wifi-gast netwerk volledig gescheiden van elkaar houdt, zonder zijn “moeilijke” (ingewikkeld makende) firewall-rules.

Maar zoal in de video aangegeven, betreft dit een verfijning van de oorspronkelijke opzet en hij doet het maar stap voor stap.

Bekijk in context

14 Reacties 14
Michael Z1
Oud Community Moderator
Oud Community Moderator
  • 2609Posts
  • 346Oplossingen
  • 520Likes
Hoi Ron81, welkom hier!

Goede vraag! Hier kunnen Be rt of hanh je vast en zeker bij ondersteunen.
hanh
Oud Community-lid
  • 17054Posts
  • 660Oplossingen
  • 3448Likes
Koop een managed Switch en gebruik VLANs,
Sommige Routers hebben VLAN support aan boord.
Je kunt ook met meer Routers gaan werken en al doende netwerken fysiek van elkaar scheiden.
Snap niet goed, waarom je dit allemaal wilt. Het is gedoe.
In bedrijfsnetwerken kan dit overigens core business zijn.

VLANs
https://help.ubnt.com/hc/en-us/articles/222183968-Intro-to-Networking-Introduction-to-Virtual-LANs-V...
https://blog.itpro.tv/how-to-configure-multiple-networks-on-one-router/
Etc.
Ron81
topicstarter
Meedenker
  • 14Posts
  • 0Oplossingen
  • 2Likes
hanh Waarom ik het wil? Voornamelijk omdat ik er geen vertrouwen in heb dat bij apparaten als de Honeywell thermostaat en Harmony Hub de beveiliging in de toekomst altijd op niveau blijft. Mijn Windows PC en Synology NAS krijgen regelmatig updates en daarbij worden beveiligingslekken gedicht.

Die apparaten hebben echter wel internettoegang nodig om te kunnen functioneren en voor die twee voorbeelden is het nog relatief simpel ook: die heb ik maar in het gastennetwerk gehangen.

Netwerken fysiek scheiden is ook niet heel handig: dan moet ik zoals gezegd op mijn telefoon steeds switchen van netwerk aangezien de NAS en Chromecast dan bijvoorbeeld in verschillende netwerken zouden hangen. Maar het lijkt erop dat ik beter kan zorgen dat PC en NAS goed beveiligd zijn met wachtwoorden etc. Anders wordt het een duur, ingewikkeld en onhandig verhaal zo te zien.
DennyW
Expert
Expert
  • 2767Posts
  • 232Oplossingen
  • 690Likes
Ron81

Segmentatie van het netwerk voor gastgebruik en ook voor IoT is eigenlijk bittere noodzaak. Dit kan “eenvoudig” met het gebruik van VLAN’s zoals Han al aangaf. Als je apparatuur gebruikt die die ook kan combineren met verschillende subnets en uitgebreide firewall-regels zoals in dit YouTube-filmpje (Zowel de AP’s als de switch hebben uitgebreid features / totale speelduur ca 35min.) nou, dan …. heb je het mooier voor elkaar dan de meeste van ons. Gelukkig verwijst de goede man ook naar een eerdere video van zijn hand waar de aanpak wat simpeler is. Het is wel zo dat hij wel veel (beroepsmatige) ervaring heeft en geen moeite heeft met het doen van de investering.

Ik zeg niet dát je het zo moet aanpakken en nog minder welk merk je het beste zou kunnen gebruiken, maar hopelijk geeft het wat inzicht in wat er zoal mogelijk is en waar je eventueel rekening mee kan houden.

Het wordt natuurlijk veel simpeler als je het thuisnetwerk, IoT en het Wifi-gast netwerk volledig gescheiden van elkaar houdt, zonder zijn “moeilijke” (ingewikkeld makende) firewall-rules.

Maar zoal in de video aangegeven, betreft dit een verfijning van de oorspronkelijke opzet en hij doet het maar stap voor stap.

Bekijk in context

Ron81
topicstarter
Meedenker
  • 14Posts
  • 0Oplossingen
  • 2Likes
Dank je, dat lijkt te zijn wat ik zocht. Het ziet er wel uit dat ik er de nodige tijd (en geld) in moet steken voordat het werkt zoals ik wil. Toch jammer dat de standaard Router/modem dit soort mogelijkheden niet biedt. Met de wildgroei aan goedkope, matig ondersteunde, connected devices is dit tegenwoordig toch eigenlijk gewoon een basis eis?
DennyW
Expert
Expert
  • 2767Posts
  • 232Oplossingen
  • 690Likes
Ron81 wrote:
Dank je, dat lijkt te zijn wat ik zocht. Het ziet er wel uit dat ik er de nodige tijd (en geld) in moet steken voordat het werkt zoals ik wil. Toch jammer dat de standaard Router/modem dit soort mogelijkheden niet biedt. Met de wildgroei aan goedkope, matig ondersteunde, connected devices is dit tegenwoordig toch eigenlijk gewoon een basis eis?

Ron81
Met een iets verouderde router met andere firmware van b.v. OpenWrt (gratis ondersteuning door forum) moet je ook een heel eind kunnen komen.
Blijft natuurlijk dat je niet zal ontkomen aan "het leertraject". Het beste leer je nog altijd door het gewoon te doen. Het leuke van dit soort projecten is, dat je ermee kan spelen "naast" je bestaande netwerkt; routers is cascade (ook wel: daisy chaining) leent zich juist heel goed om wat ervaring op te doen.

N.B.:
Oorspronkelijk leverde de rechtsvoorgangers van het huidige Ziggo kale modems. Dat was in het begin geen probleem want het was gangbaar om internet en printers te delen via de "hoofd" PC. (De functionaliteit "internetdelen" is nog steeds aanwezig in Windows!)
Concurrentie maakte het noodzakelijk dat providers (ook) Wifi-routers gingen leveren. Het ondersteunen (zowel met uitgebreide / meer geavanceerde apparatuur als de benodigde know-how) van de thuisnetwerknetwerkjes is toch wel te duur.
Ron81
topicstarter
Meedenker
  • 14Posts
  • 0Oplossingen
  • 2Likes
DennyW Goed idee, ik heb nu toch nog een Netgear router over.

Ik heb even gezocht en hier staat het redelijk duidelijk uitgelegd https://www.grc.com/nat/nat.htm

Moet ik alleen nog even uitzoeken hoe ik kan zorgen dat er wel iets van contact mogelijk is tussen apparaten in beide netwerken, zonder het hele idee van veiligheid weer om zeep te helpen.

De NAS moet in het veilige netwerk, maar wel bereikbaar zijn voor de rest.
DennyW
Expert
Expert
  • 2767Posts
  • 232Oplossingen
  • 690Likes
Ach, en als nu een firewall/router hebt die niet met zulke uitgebreide firewall-rules kan werken kan je wellicht voorlopig ook behelpen door de verbindingsbeperkingen vast teleggen in de NAS zelf. Mijn Qnap-NAS biedt de mogelijkheid om de toegang te reguleren. Een Synology NAS kent heeft waarschijnlijk soortgelijke mogelijkheden.

Zie afbeelding als voorbeeld:
Firmware en anti-virus-updates worden wel opgehaald echter ongevraagde verbindingen van buiten het LAN, worden geweigerd.
Ron81
topicstarter
Meedenker
  • 14Posts
  • 0Oplossingen
  • 2Likes
DennyW

Het lijkt gelukt. ziggo router en Netgear in cascade (2x NAT). PC en NAS zitten achter de netgear, de rest op de Ziggo router. Spullen die alleen internet nodig hebben en wifi hebben zitten op het Ziggo gasten netwerk.

Om bij de NAS te kunnen een paar poorten geforward in de Netgear, en een WEBdav server ingesteld op de synology om met de Kodi bij de videos en muziek te kunnen, maar niet bij de overige bestanden.

Sterk wachtwoord op de Netgear en NAS. Beter krijg ik het niet denk ik.

Het enige wat nu niet werkt is dat als ik met de PC of NAS op een VPN server inlog, ik de devices in het eerste netwerk niet meer kan zien.
DennyW
Expert
Expert
  • 2767Posts
  • 232Oplossingen
  • 690Likes
Ron81

WindowsNetwerken gebruikt poortjes in de buurt van 137 / 138 (of zo iets) . Deze worden, begrijpelijkerwijs, standaard nooit doorgelaten door een firewall / NAT daar een privé-netwerk niet open moet staan voor de boze buitenwereld. (Met port forward is hier desgewenst wel wat aan te doen hoor.)

Hoewel de devices zich niet kenbaar maken in de netwerkomgeving zijn zij veelal wel op hun IP-adres aan te roepen.
Er zijn wel een restricties:
-De router / firewall moet wel genegen zijn om verkeer via de gateway door te laten dat naar een privite nertwork IP-adres gaat (zoek in Wiki onder RFC 1918). Er zijn routers die er geen moeite mee hebben en er zijn er waarbij je dit kan overrulen (waarschijnlijk kunnen uitzonderingen op de regel voorkomen)
-Je moet niet alleen het IP-adres van het aan te roepen device weten, de IP-rangeses van de beide subnets mogen niet gelijk aan elkaar zijn. (Dat geeft problemen.)
-Het aanroepen van een device op IP-adres gaat volgens de "netwerk-methode": je laat het IP-adres\gedeeld-apparaat vooraf gaan door twee backslaches ( "\\ " )(b.v.: \\IP-adresNAS\sharename-zoals-public").
Dit werkt niet alleen met de command line maar ook op de adresbalk van de verkenner en ook bij "Netwerkverbinding maken...".
N.B.¹: netwerkverbinding maken / schijfletter toekennen enz. kan ook op de commandline met het commando "net use". Met "net use" kan je ook user-name en desgewenst wachtwoord meegeven.
N.B.²: De webinterface van het voorliggende router kan je gewoon op IP-adres aanroepen met een webbrowser.

Het in cascade zetten geeft een hoop beperkingen. Dat kan je in je voordeel gebruiken, maar maakt het wel lastiger.
In test-fase is het wel handig om dat het nieuwe netwerkje door de eerste router afgeschermd wordt voor de buitenwereld. Je kan dan goed het effect van firewall rules testen aan beide zijden van de router (WAN-LAN).

Als je twee routers aansluit op de Ziggo-modem-router, dan zijn die twee wel goed van elkaar gescheiden. Je hebt dan wel drie apparaten aan staan. Kan een zeer goede oplossing zijn om zo kinderen / gezinsleden / Airbnb-gasten gescheiden te houden van het zakelijke deel / gevoelige netwerk.
Dit zou je (als tijdelijke oplossing) kunnen doen als je toevallig twee extra routers hebt. Het is niet de beste vervanging van VLAN's (met meerdere subnets). Zeker niet als die routers ook nog eens aparte Wifi-radio-zenders actief hebben. Om er twee (nieuwe) extra routers voor aan te schaffen is onzin. De firmware moet wel up-to-date zijn, zeker als je Wifi gebruikt.
Ron81
topicstarter
Meedenker
  • 14Posts
  • 0Oplossingen
  • 2Likes
Misschien was ik niet duidelijk:

Apparaten op het ziggo modem zitten op adres 192.168.1.xxx

Apparaten (PC/NAS) achter de Netgear zitten op 192.168.2.xxx

PC en NAS kunnen alle apparaten zien, de apparaten in netwerk 1 kunnen de PC en NAS standaard niet zien.

Om bijv de Kodi (in netwerk 1) de. NAS te laten zien heb ik op de Netgear port forwarding ingesteld.

Tot hieraantoe werkt alles precies zoals ik zou willen.

Alleen als ik nu op de NAS of PC de VPN cliënt aan zet (Mullvad) kan ik de apparaten in netwerk 1 niet meer zien. Blijkbaar probeert hij dan die lokale adressen in netwerk 1 ook via de VPN server in bijv Zweden te benaderen, en dat kan natuurlijk niet. De PC kan de de NAS - die in hetzelfde netwerk zit- wel bereiken als de vpn aan staat dus voor de PC is er eigenlijk geen probleem. Enkel op de NAS kan ik nu niet via VPN verbinden met het internet. De NAS ziet dan mijn youless energiemeter bijvoorbeeld niet meer.
DennyW
Expert
Expert
  • 2767Posts
  • 232Oplossingen
  • 690Likes
Ron81 wrote:
Alleen als ik nu op de NAS of PC de VPN cliënt aan zet (Mullvad) kan ik de apparaten in netwerk 1 niet meer zien. Blijkbaar probeert hij dan die lokale adressen in netwerk 1 ook via de VPN server in bijv Zweden te benaderen, en dat kan natuurlijk niet. De PC kan de de NAS - die in hetzelfde netwerk zit- wel bereiken als de vpn aan staat dus voor de PC is er eigenlijk geen probleem. Enkel op de NAS kan ik nu niet via VPN verbinden met het internet. De NAS ziet dan mijn youless energiemeter bijvoorbeeld niet meer.


Ja, ik denk ook dat de uitstap naar VPN maakt dat er een "omweg" wordt gemaakt via de VPN-server en dat je dus nooit (via die route) in het andere netwerk kan komen. Probeer eens de "\\-methode", wellicht help dat.
DennyW
Expert
Expert
  • 2767Posts
  • 232Oplossingen
  • 690Likes
Ron81
Bedenk wel als beide netwerkjes volledig naar elkaar "openstaan" er dan ook geen toegevoegde veiligheid is; als een IoT device gecompromitteerd is geraakt, dan heeft dat device ook toegang tot de rest van jouw devices.
Ron81
topicstarter
Meedenker
  • 14Posts
  • 0Oplossingen
  • 2Likes
Het enige wat er open staat van netwerk 1 naar 2 zijn een paar poorten richting de NAS. En die is beveiligd met wachtwoorden.

In netwerk 1 zitten geen gevoelige apparaten behalve de smartphones.

Kodi logt in op de NAS via een user+paswoord die alleen toegang geeft tot de shares met muziek en video's. De share prive data is alleen toegankelijk voor een andere gebruiker waarvan het wachtwoord op geen enkele van de apparaten in netwerk 1 staat.

Uitgelicht topic