Gastnetwerk niet terug naar modem

Hallo,

Ik ben nu bezig met het netwerk opzetten in mijn nieuwe huis. De aansluiting voor de modem/router zit op een plek wat niet ideaal is voor een draadloos netwerk, dus ik heb besloten om een nieuwe router te kopen en die op een betere plek neer te zetten (~7 meter van de kabelaansluiting).
Nu hebben we een LAN kabel aangelegd naar die plek, en alles lijkt te werken. Nu probeer ik een gastnetwerk op te zetten, iets dat mijn nieuwe router ondersteunt. Ik wil graag dat gasten niet bij mijn 'interne' apparaten kan komen. De nieuwe router, TP-Link Archer C7, heeft hier een optie voor ("Allow Guest To Access My Local Network") en die optie heb ik uit staan. Het lijkt alleen dat hij ook het modem onder dit vind vallen en daar niks van het gastnetwerk heen wilt sturen, dus ook geen internet mogelijk.
Omdat vlakbij mijn modem ook nog wat apparaten staan die ik wil aansluiten, kan ik het modem niet op Bridged Mode zetten, omdat dan slechts 1 poort het blijft doen en ik er meerdere nodig heb.
Mijn situatie is vergelijkbaar met https://forum.synology.com/enu/viewtopic.php?t=106870, al maakt het mij niet uit waar de DHCP server draait. De oplossing die zij aangeven (only AC point) werkt niet voor mij.

Nu vraag ik mij af wat mogelijk is, omdat het gastnetwerk werkend te krijgen. Tot nu toe zie ik twee opties:

1. Het modem toch op Bridged Mode zetten, en een extra kabel aanleggen (~10 meter) terug naar de apparaten vlakbij het modem.
2. Modem als uitzondering toevoegen in de routing van het guest network, maar ik heb geen idee of dit uberhaupt mogelijk is.

1) Waarom niet een managed switchje voor de apparaten dicht bij de modem? VLAN instellen en gaan met die banaan (ok ietswat geavanceerd onderwerp, maar met een beetje inlezen zeer goed te doen, als de C7 meewerkt)

2) Beetje afhankelijk hoe de standaard software omgaat met de afhandeling. Ik ken helaas alleen de DD-WRT/openWRT versie van de C7. Standaard wordt de scheiding gedaan op laag 2 en niet op IP niveau dus dan is routing toevoegen niet mogelijk.

Doe maar een paar schermafdrukken van hoe je het gastnetwerk nu hebt ingesteld. Laat ook zien wat ipconfig /all aangeeft in een cmd.exe venster zodra je verbonden bent met het gastnetwerk.
En maakt het (als test) verschil als je het vinkje van "Allow Guest to access my local network" wél aanzet? Ik vermoed sterk van niet, want wat blijft er over als én toegang tot het lokale netwerk én Internet beiden geblokkeerd zouden worden als het vinkje uit staat.

Ik vermoed dus sterk dat je ergens een (grote) fout maakt, bijv. bij de DHCP server instellingen op de router voor de gast-gebruikers... (of dat je een vast ip-adres hebt ingesteld staan op je wifi verbinding, waar je op het gastennetwerk niets mee kunt!)

Tijs.

dnties zei:

En maakt het (als test) verschil als je het vinkje van "Allow Guest to access my local network" wél aanzet? Ik vermoed sterk van niet

Klik om te vergroten...

Als de archer als switch wordt gebruikt en niet als router en het gastnetwerk wordt gescheiden met behulp van MAC tagging kun je ook de router niet bereiken via de switch poort (maar dus afhankelijk van de techniek)

@wampier: Als het zo zie in de startposting werkt de Archer router gewoon als router, dus niet als (omgebouwde) accesspoint/switch. De Archer moet dus (ook) zélf DHCP server spelen etc.

Wat bijv. (naast wat ik al noemde) zou kunnen zijn is dat het gastennetwerk dezelfde ip-reeks heeft/gebruikt als de Internet router die vóór de Archer staat. Sterker nog: Dat lijkt me de meeste logische verklaring van het genoemde probleem, omdat een vast ip-adres niet van toepassing lijkt (uitleg: Internet op het 'normale' wifi netwerk van de Archer zou dan niet mogen werken, omdat het 'normale' wifi netwerk van de Archer een andere ip-reeks moet gebruiken dan de Internet-router die er voor staat).

Tijs.

dnties zei:

En maakt het (als test) verschil als je het vinkje van "Allow Guest to access my local network" wél aanzet? Ik vermoed sterk van niet

Klik om te vergroten...

Ja, dan werkt het internet via het gastnetwerk gewoon. Het lijkt wel of er geen verkeer naar de modem "mag" omdat het onderdeel is van het interne netwerk.

De Archer wordt als router (normale netwerk + gast) en DHCP server gebruikt, de modem als switch. Via het 'normale' draadloze netwerk werkt alles gewoon.

Handleiding: hier
Er zijn 2 opties (zie pagina 31) m.b.t. het Gastnetwerk:

Allow guests to see each other
Tick this checkbox if you want to allow the wireless clients on your guest network
to communicate with each other via methods such as network neighbors and Ping.

Allow guests to access my local network
Tick this checkbox if you want to allow the wireless clients on your guest network
to communicate with the devices connected to your router’s LAN ports or main
network via methods such as network neighbors and Ping.

Klik om te vergroten...

De eerste optie moet je zeker afzetten, dus dat de gasten onderling elkaar niet kunnen hacken etc.

De tweede optie ("Allow guests to access my local network") is nogal vaag omschreven.
Ik zou zeggen: Zet het vinkje aan, en kijk na of de ip-reeks hetzelfde is op het gastennetwerk als op het 'normale' (wifi) netwerk van de Archer. Indien niet, dan moet de gast inside kennis hebben van het normale netwerk om iets te kunnen bereiken op dat normale netwerk.
[Vervelend dat via trial-and-error het "bereik" van het gastennetwerk moet worden getest (ipv. dat het duidelijk in de handleiding staat).]

Meer tips heb ik niet voor je.

Tijs.

Toevoeging1: (Alleen) in dit artikel wordt het zo gebracht alsof de optie "Allow guests to access my local network" hetzelfde is als "you want guests to see the Internet and nothing but the Internet." Dat is niet wat de omschrijving in de TP-Link handleiding zegt, maar mogelijk klopt het wel.
Ik zou het overigens nogal raar vinden dat vanaf een gastennetwerk via welke optie dan ook toegang wordt verschaft tot apparaten in het normale (wifi) netwerk, maar dat is mijn mening. Anderzijds zou (stel dat je gasten de mogelijkheid zou willen geven tot gebruik van een netwerkprinter) de eerste optie "Allow guests to see each other" weer aangezet moeten worden om een netwerkprinter die via wifi verbonden is met het gastennetwerk toegankelijk te maken, maar daarmee maak je meteen alle computers/printers/smartphones etc. bereikbaar op het gastennetwerk (wat je eigenlijk, onder normale omstandigheden, ook niet zou willen).

Wel is het zo dat als je ervoor kiest (aanbevolen!) om het gastennetwerk te beveiligen met een wifi wachtwoord (dus niet "open" te maken) de kans op hacken etc. behoorlijk kleiner behoort te zijn omdat dan een (grote) drempel is opgeworpen voor toegang tot het gastennetwerk en je (enige) controle hebt over wie toegang krijgt en (hopelijk) vooraf een inschatting maakt of personen die je toegang geeft tot het gastennetwerk wel de juiste bedoelingen hebben (of minstens een pc/laptop/smartphone hebben waar géén malware op staat).

Afhankelijk van waar je mee terugkomt o.b.v. mijn vorige posting (zoals ip-reeks van het gastennetwerk VS ip-reeks van het normale wifi netwerk etc.) kun je een test doen vanaf het gastennetwerk, zoals het PINGen van een apparaat dat zich op het "normale" (wifi) netwerk zich bevindt en reageert op PING (een netwerkprinter, NAS, etc.)
Komt er geen reactie terwijl, verbonden met het normale wifi netwerk, er wel een reactie komt, dan is de handleiding fout en klopt wat het boven gelinkte artikel schrijft over de optie.

Toevoeging2: In een tele2 gebruikersgroep wordt gepraat over een ander type TP-link, waarbij wordt gemeld:

Nog aparter: Als ik een gastnetwerk aanmaak op de TP-Link, en "Allow Guests To Access My Local Network" niet (!) aanvink, dus hij niet in de configuratie van de router kan komen, doet de WiFi het weer wel. Wanneer ik deze wel aanvink, doet hij hetzelfde als het hoofdnetwerk, dus wel verbinden maar wil hij me niet op het internet laten.

Klik om te vergroten...

Daarvóór hebben ze in de DHCP Server opties van de router aangegeven dat als DNS servers moet worden uitgereikt/gemeld aan de clients: 8.8.8.8 en 8.8.4.4
Oftewel: Dat standaard de DHCP Server opties als DNS servers wordt uitgereikt het ip-adres van de router zélf is en die is (met de optie "Allow guests to access my local network" afgezet) niet bereikbaar maar wel DNS servers 'op Internet' (zoals de publieke DNS servers van Google, dus 8.8.8.8 en 8.8.4.4).
DUS: Wat je ook kunt proberen is een tracert 8.8.8.8 (in een cmd.exe prompt "Als Administrator starten") vanaf het gastennetwerk met de optie "Allow guests to access my local network" eerst afgezet. Geeft dat zinvol resultaat terug, dan is er gewoon Internet toegang, maar een DNS probleem. Je zou dan dus in de DHCP Server instellingen van de router kunnen aangeven inderdaad 8.8.8.8 en 8.8.4.4 uit te laten reiken, dan de router even uit- en aan te zetten en dan weer te verbinden met het gastennetwerk en kijken of alles werkt (incl. websurfen etc.), zelfs met de optie "Allow guests to access my local network" afgezet...

We horen het wel.

Tijs.

Allereerst ontzettend bedankt voor het meedenken en alle informatie tot nu toe gegeven! :thumb:

De afgelopen dagen zijn wat hectisch geweest, maar kon gisteravond gelukkig weer naar het netwerk kijken. Ik heb een aantal dingen vastgesteld:

• Als "Allow guests to access my local network" uit staat, dan kan ik vanaf het netwerk niet de router benaderen via zijn IP adres, hetzelfde geldt voor de modem en andere apparaten in het netwerk. Ik heb hierbij geen internetverbinding.
• Als "Allow guests to access my local network" aan staat, dan kan ik de router, modem en andere apparaten bereiken via hun IP adressen en heb ik internettoegang.
• Ik heb de modem inmiddels op Bridge Mode gezet, "Allow guests to access my local network" uit en dan werkt het gastnetwerk zoals het hoort. Ik kan geen enkel apparaat via hun IP adres benaderen, maar ik heb wel gewoon internettoegang. Het probleem van deze oplossing is dat wat apparaten dichtbij de modem niet meer direct verbonden kunnen worden aan de modem, omdat slechts port 1 het nog doet.

Hieruit kan ik (volgens mij) concluderen dat alle apparaten niet benaderbaar zijn via het gastnetwerk als "Allow guests to access my local network" uit staat (zoals we verwachtten). Internettoegang wordt geblokkeerd als de modem "normaal" ingesteld staat, en wel goed werkt als hij soort van overgeslagen wordt als hij in Bridge Mode staat. Het lijkt dus wel alsof het verkeer via het gasttoegang naar de modem gestuurd wordt, maar dat niet geaccepteerd wordt omdat de modem onderdeel is van het interne netwerk.

Ik gebruik zelf Mac, dus ik moet even de alternatieven voor de tools ipconfig, tracert, etc. bepalen, uitvoeren en terugkoppelen. Het potentiële DNS probleem klinkt goed om even naar te kijken, ik zal dit binnenkort proberen.

Ik heb gisteren weer naar het netwerk gekeken. Ik heb via het gastnetwerk met "Allow guests to access my local network" uit de router proberen te pingen; dat werkt. De modem pingen werkt al niet, dus het lijkt er echt op dat je via het gastnetwerk niet met andere apparaten mag verbinden anders dan de router met het gastnetwerk. Met "Allow guests to access my local network" aan werkt alles naar behoren, maar kan ik ook apparaten via hun IP adres benaderen (iets wat niet de bedoeling is van het gastnetwerk).

Ik zit er nu aan te denken om een managed switch aan te schaffen zoals @wampier suggereerde, en dan met de modem op bridge mode, zodat de Archer 'direct' op het WAN zit.
Ik las ergens dat een managed switch ook een IP-adres heeft ivm 't beheer, daardoor zegt mijn onderbuikgevoel me dan dat dit dan waarschijnlijk ook niet gaat werken aangezien alle IP adres anders dan die van de Archer geblokkeerd worden.

EDIT: tracert gaf geen enkel resultaat terug via het gastnetwerk met "Allow guests to access my local network" uit, met aan wel. Ook de DNS servers handigmatig instellen in de Archer van m'n ISP werkte niet, ook de DNS servers van Google maakte geen verschil.

Dat is dan een behoorlijke misser van tp-link, anders kan ik het niet noemen.
Dat daar (blijkbaar) nooit wat aan gedaan is verbaast me hogelijk. Uiteraard moet je (als "Gast") dan wel wat inside informatie hebben van het "local network", maar juist met hulpmiddelen als ping is 'onderzoek' al mogelijk (uiteraard moet dan wel bekend zijn (of gegokt worden) welk ip-netwerk het "local network" heeft, maar dat zal met tracert weer onthuld worden).

M.b.t. gastennetwerk: Je kunt ook dd-wrt installeren als firmware op je Archer C7, conform informatie van (o.a.) deze link en dit Youtube filmpje
Lees je vooraf even in m.b.t. de (instel-)mogelijkheden van gastnetwerk in dd-wrt, om te zien of je 'het aan kunt' en of je ermee wél kunt bereiken wat je voor ogen staat m.b.t. het gastennetwerk.
Een paar basisstappen (zoals hoe de instellingen van een dd-wrt router te kunnen aanpassen) zou ik dan zeker even uitprinten, zodat je niet in de problemen komt zodra je dd-wrt firmware geïnstalleerd hebt op jouw Archer C7.

Tijs.