Router: zichtbaarheid apparaten lokaal netwerk

F

ForumLogin

New member
Beste,

Ik heb thuis een lokaal netwerk met tal van "private" apparaten. De router is de Proximus modem (router A).

Eén van de apparaten in bovenstaand netwerk is opnieuw een router (router B) met wireless netwerk. Hier zijn geen private apparaten aan gekoppeld. Stel nu dat ik het wachtwoord van dit wireless netwerk deel aan mijn klanten. Zij hebben dan wireless internet via router B.

Nu de vraag: Kunnen mijn klanten toegang verschaffen tot mijn "private" apparaten die zijn aangesloten op mijn Proximus model (router A)?
Maw, is dit veilig?
 
Het hangt er vanaf van hoe die routerB zijn connectie met het internet maakt.
Extra PPPoE sessie op routerB? => dan is het in orde denk ik.
Dubbele NAT of zelfde IP range als routerA => onveilig.

Maar ehh, geen netwerk expert hier.
 
Onder normale omstandigheden gaat je 2e router zelf NAT doen, een eigen subnet maken en daar via DHCP IP adressen in uitdelen aan alle devices die wired of wireless geconnecteerd zijn. Dat is normaal een ander subnet dan dat van je 1e PXM router, waardoor die mekaar, zonder rekening te houden met eventuele specifieke instellingen, niet kunnen zien.

Je kan dat echter in de war sturen door foutieve instellingen zoals DMZ of eventuele port forwarding etc... Dus het antwoord is "normaal ben je veilig, zonder garanties"

Wat ik zou doen is de PXM router converteren naar een modem only, je eigen router plaatsen en daarop aparte VLAN's maken voor je eigen private devices en voor die van je klanten, en dan via de firewall rules zorgen dat je gastennetwerk ofwel elk device isoleert (dat is meestal een heel eenvoudige toggle in de settings die je zonder veel kennis kan gebruiken), of anders dat je custom firewall rules maakt dat je wel van je private naar je gasten netwerk kan I(als je dat ooit nodig zou hebben), maar nooit in de andere richting.

Je koppelt dat een WiFi SSID aan een VLAN. Ofwel 2, 1 voor je private en een ander voor je gasten, of je neemt een merk dat dynamic VLAN assignment (of Private Pre Shared Keys, PPSK) toelaat, waardoor je maar 1 SSID hebt, maar afhankelijk van welk paswoord men ingeeft, op een andere VLAN gezet wordt.

1 router met segmentatie op subnet / VLAN niveau is de nette manier om dit te doen. Misschien kan je 2e router dat wel?
 
Bedankt voor je antwoord
Er zijn wel een aantal problemen.
1) Mijn router ondersteunt geen VLAN's
2) Op de plaats waar mijn bekabelde router B staat heb ik ook nog een bekabeld "privaat" apparaat staan.

Op router B heb ik wel een guest-wifi-netwerk dat ik kan gebruiken heb ik nu gezien. Misschien moet ik dat voor mijn klanten gebruiken.

Er is ook nog iets vreemds dat ik heb opgemerkt.
Router A heeft ipadressen 192.168.1.x
Router B heeft ipadressen 10.0.0.x
Ik zit hier op een pc aangesloten op router B. Als ik met het programma "Advanced ip scanner" scan op de adressen 192.168.1.x, dan vind ik apparaten die zijn aangesloten op router A. Ik kan sommige apparaten in netwerk A zelfs pingen (vanuit een pc aangesloten op router B).
Dit vind ik heel vreemd.
Kan ik dit verhinderen?
Router B is een Netgear nighthawk Tri-band AX8 RAX70.
 
ForumLogin zei:
Beste,

Ik heb thuis een lokaal netwerk met tal van "private" apparaten. De router is de Proximus modem (router A).

Eén van de apparaten in bovenstaand netwerk is opnieuw een router (router B) met wireless netwerk. Hier zijn geen private apparaten aan gekoppeld. Stel nu dat ik het wachtwoord van dit wireless netwerk deel aan mijn klanten. Zij hebben dan wireless internet via router B.

Nu de vraag: Kunnen mijn klanten toegang verschaffen tot mijn "private" apparaten die zijn aangesloten op mijn Proximus model (router A)?
Maw, is dit veilig?
Klik om te vergroten...
Onder normale omstandigheden gaan beide "routers" NAT doen. Zo werkt alles direct out of the box.

Uw computers in netwerk A kunnen aan internet, maar internet kan niet terug verbinden (mits geen DMZ/portforwarding).
De toestellen in netwerk B kunnen aan internet + aan netwerk A, maar internet+uw toestellen kunnen niet terug verbinden (geinitieerd vanaf netwerk B of internet).

Uiteraard kunnen de toestellen in netwerk B dus wel de toestellen in netwerk A zien, omdat hun IP geNAT wordt en de routing tabel van router B een interface heeft direct in netwerk A. Die paketten gaan dus gewoon hoppa van netwerk B naar de toestellen in netwerk A.

Dat is volgens mij de enige waarheid. Dus all red flags. Zeer sterk af te raden configuratie. Je zou eerder nog uw klanten onder netwerk A moeten hangen en uw prive toestellen onder netwerk B, in plaats van omgekeerd.
zephir zei:
Onder normale omstandigheden gaat je 2e router zelf NAT doen, een eigen subnet maken en daar via DHCP IP adressen in uitdelen aan alle devices die wired of wireless geconnecteerd zijn. Dat is normaal een ander subnet dan dat van je 1e PXM router, waardoor die mekaar, zonder rekening te houden met eventuele specifieke instellingen, niet kunnen zien.
Klik om te vergroten...
Helemaal fout dus, zijn klanten kunnen hem zien maar hij kan hun niet zien omdat die klanten achter NAT zitten. Dat werkt allemaal zonder specifieke instellingen, net zoals netwerk A aan internet kan zonder specifieke instellingen.

Wat hier moet gebeuren is dat de eigenaar in router B instelt dat communicatie naar lokale netwerken verboden wordt (192.168... 172...... 10......). Meestal heb je die optie wel in wifi routertjes.
 
Laatst bewerkt:
Five-seveN zei:
Wat hier moet gebeuren is dat de eigenaar in router B instelt dat communicatie naar lokale netwerken verboden wordt (192.168... 172...... 10......). Meestal heb je die optie wel in wifi routertjes.
Klik om te vergroten...
Dat begrijp ik ja. Maar is dit mogelijk met mijn router Netgear nighthawk Tri-band AX8 RAX70. ?
Ik heb ook nog een AX1500 Wi-Fi 6 Router liggen.
 
Five-seveN zei:
Onder normale omstandigheden gaan beide "routers" NAT doen. Zo werkt alles direct out of the box.

Uw computers in netwerk A kunnen aan internet, maar internet kan niet terug verbinden (mits geen DMZ/portforwarding).
De toestellen in netwerk B kunnen aan internet + aan netwerk A, maar internet+uw toestellen kunnen niet terug verbinden (geinitieerd vanaf netwerk B of internet).

Uiteraard kunnen de toestellen in netwerk B dus wel de toestellen in netwerk A zien, omdat hun IP geNAT wordt en de routing tabel van router B een interface heeft direct in netwerk A. Die paketten gaan dus gewoon hoppa van netwerk B naar de toestellen in netwerk A.

Dat is volgens mij de enige waarheid. Dus all red flags. Zeer sterk af te raden configuratie. Je zou eerder nog uw klanten onder netwerk A moeten hangen en uw prive toestellen onder netwerk B, in plaats van omgekeerd.

Helemaal fout dus, zijn klanten kunnen hem zien maar hij kan hun niet zien omdat die klanten achter NAT zitten. Dat werkt allemaal zonder specifieke instellingen, net zoals netwerk A aan internet kan zonder specifieke instellingen.

Wat hier moet gebeuren is dat de eigenaar in router B instelt dat communicatie naar lokale netwerken verboden wordt (192.168... 172...... 10......). Meestal heb je die optie wel in wifi routertjes.
Klik om te vergroten...
Je hebt gelijk... upstream gaat wel bij default instellingen, downstream niet.
 
Je moet ingelogd zijn om te kunnen reageren. Aanmelden | Registreren

Vergelijkbare onderwerpen

T
Router advies
Reacties
12
Weergaven
721
zephir
Z
ToasT
Extra router - meerdere netwerken waaronder gast netwerk
Netwerken
Reacties
1
Weergaven
404
zephir
Z
Kattekrab
Router (configuratie) voor buitenverblijf
Reacties
3
Weergaven
681
zephir
Z
T
Telenet modem en eigen router
Reacties
6
Weergaven
5K
zephir
Z
Butcher_
  • Gesloten
4 PC's, 18 keyboards, 15 switches/routers, 100+ kabels,...
PC Onderdelen Volledige Desktops
Reacties
9
Weergaven
2K
Butcher_
Butcher_
Terug
Bovenaan