Router op modem maar exclusief netwerk

[djpaul78]

Hoi,
Een apart vraagje. Ik moet voor een klant een onbeveilgd draadloos netwerk maken voor hun klanten.
Deze wordt dan elke dag in en uitgeschakeld zodat er niemand 's avonds kan liggen (of staan) rommelen.

Maar dat is nog het makkelijkste gedeelte.

De klant wil niet dat via het openbaar netwerk iemand op z'n bedrijfsnetwerk kan komen.
Nu gaat dat dus wel, maar hoe kan ik dat fixen zodat dat niet gaat. Het is een kpn modem met een belkin router erachter.
Dus (zoals bekend) met die modem valt niet zo heel veel te schroeven...

Thanks!

 

[Koetsie]

Kun je de situatie iets verduidelijken? Is het zo dat je klant zijn klanten een accesspoint wil aanbieden zodat ze het internet op kunnen? En dat dit netwerk gescheiden wordt van zijn interne bedrijfsnetwerk? of moet ik me wat anders voorstellen?

 

[djpaul78]

Hoi,
Ja zo moet het inderdaad worden. accesspoint voor de klanten en dat netwerk moet idd van het bedrijfsnetwerk gescheiden blijven..

 

[Koetsie]

Hmm.. dat wordt een hele lastige. De Belkin gaat waarschijnlijk voor de klanten zijn en de KPN router voor het interne netwerk.

Even denken hoor... KPN Router standaard 192.168.1.254. Belkin vast ip-adres geven in dezelfde range bijvoorbeeld 192.168.253. Beide routers moeten een eigen SSID houden... KPN bijv. "Bedrijf" Belkin "Openbaar". Het SSID van de KPN niet openbaar maken en de bedrijfspc's / laptops alleen laten inloggen op de KPN-router.

Ook zou ik de Belkin router een andere set IP-adressen laten uitgeven, bijvoorbeeld 10.168.1.100 tot 10.168.1.254. Dat moet genoeg zijn om niet op het bedrijfsnetwerk te kunnen komen, omdat het op deze manier een ander netwerk betreft. Wel van te voren even testen of de gebruikers het internet op kunnen, maar ik denk dat dat wel gaat. En indien mogelijk in de Belkin aangeven van wanneer tot wanneer er gebruik gemaakt kan worden van de WIFI spot (access control). Dan hoeft deze niet fysiek elke keer uitgeschakeld worden.

In verband met de veiligheid een andere user aanmaken dan admin en deze een leuk password geven (ik zou voor een makkelijk te onthouden wachtwoordzin gaan van plusminus 26 letters.. Duurt een eeuwigheid voordat zoiets met een laptopje gekraakt wordt, ervan uitgaand dat de beveiliging vanuit de Belkin een beetje kosher is. Hintje.. bedrijfX_Is-0pgericht@I912|en|bestaat1ooJa4r. Vang je ook direct dictionary attacks af, want een bruteforce attack is met zo'n wachtwoord al lastig genoeg).

En wellicht op de KPN (blegh...) router alle MAC-adressen opsporen die gebruik maken van het bedrijfsnetwerk en die alleen toegang verlenen. En natuurlijk een WPA2 sleuteltje.

Mocht je klant gebruik maken van een windows 2008 of Linux server, dan wordt het verhaal een beetje anders, maar niet zoveel. Ik ga er dan wel vanuit dat alle computers en randapparaten via ethernet zijn verbonden.Dan wordt de KPN-router alleen het internet-modem voor beide netwerken. DHCP op de KPN modem uitschakelen, de server configureren dat deze de DHCP-server wordt en het ip-adres van de kpn-router instellen als standaard gateway. Daarna domeintje, usergroups en users aanmaken en klaar is Klara! Ik denk dat je zo wel verder moet kunnen komen.

 

[denlesser]

Ik heb geen ervaring met deze router maar het lijkt mij het makkelijkst om voor de klanten een aparte router te installeren, deze sluit je gewoon aan op de eerste router.
De tweede mogelijkheid maar is waarschijnlijk niet mogelijk met deze router is het signaal splitsen over 2 netwerken.

 

[Koetsie]

Het KPN-modem is ook een router... Thomson / Siemens..

 

[TheKnight]

Ik heb geen ervaring met deze router maar het lijkt mij het makkelijkst om voor de klanten een aparte router te installeren, deze sluit je gewoon aan op de eerste router.

Ja, zo heb ik het ook tot voor kort gedaan om draadloos internet voor mijn buren beschikbaar te stellen, helaas heeft onlangs na de derde stroomstoring in de wijk de wifi van die router het begeven...

In ieder geval, extra draadloze router op de switch van de hoofdmodem/router & dan gaan de klanten in principe rechtstreeks het Internet op.

Ikzelf heb mijn interne netwerk altijd aangesloten op een zgn. bastion-server, feitelijk een computer met twee netwerkkaarten, een verbonden met de router, de tweede via een switch naar het interne netwerk.

 

[Koetsie]

Ik ben ervan uitgegaan dat ook het bedrijfsnetwerk via WIFI toegankelijk moet zijn. Als het een thomson-gateway (want dat is een router met adslmodem) is heeft ook deze WIFI. Ben niet kapot van KPN.. heb liever iets van Cisco / Linksys. Een Bastion-server is ook geen slecht idee... Monitor-software erop en je kan dan ook nog zien of er toevallig "snuffelaars" op je netwerk rondspoken.

 

[djpaul78]

Ok thanks. Ik had hem op 192.168.1.xx gezet maar kon nog erop komen. Misschien idd 10.0.0.xx van maken.
Ga er binnekort weer mee aan de gang en laat wel ff weten!

 

[djpaul78]

hoi,
Ik heb het dus nog even getest maar helaas werkt het niet goed. Zowel 192.168.1.x range en de 10.0.0.x range werkt niet. Denk dat er toch een vlan-netje tussen moet komen...

 

[TheKnight]

Ok, ik ben nu (even) niet meer in staat om dit uit te pluizen, maar kan je even ter jouwer tijd een Opdrachtregel openen op het primaire systeem (&/of proberen op verschillende clienten) & dan typen:

ipconfig

Kijk dan of je een IP-nummer in de reeks 169.x.x.x (*) krijgt inplaats van 192.168.x.x, 172.16.x.x of 10.x.x.x. (http://www.ietf.org/rfc/rfc1918.txt?number=1918). Zoja, dan is er sprake van een misconfiguratie.


(*): http://www.ietf.org/rfc/rfc3927.txt Dynamic Configuration of IPv4 Link-Local Addresses