Eigen firewall achter Telenet modem

S

SilentDeath

Banned
Mijn vader heeft een mini bouwbedrijfje en verhuist binnenkort naar een nieuwe locatie. Nu wil ik hier een aantal zaken optimaliseren en vroeg ik mij af of een firewall nuttig zou zijn. Mijn inziens is dit niet opportuun gezien de Telenet modem reeds als (mini) firewall acteert en private adressen uitdeelt binnen het netwerk.

Om zeker te zijn heb ik eens gebeld naar de Telenet klantendienst en volgens hem deelt een Telenet modem geen private IP's uit. Maw: alle devices achter modem hebben een publiek Telenet IP. Ik was verrast en vertelde dat momenteel alle IP's een privaat IP hebben binnen 192.168.0.0/24 netwerk. Hij antwoordde dat dit wel degelijk publieke Telenet IP's zijn.

Kan iemand dit bevestigen? Ik weiger nog steeds het antwoord van de klantendienst als juist aan te nemen. Ik herinner mij dat je een Telenet modem in bridge kon zetten waardoor het publieke IP kon doorgegeven en rechtstreeks op je Router/Firewall kon toekomen, maar standaard wordt dit niet gedaan.
 
Klopt niet wat ze daar zeggen.

Je modem heeft standaard een dynamisch publiek IP, tegen extra betaling een vast.

Achter de Telenet router (die beperkte firewalling doet), heb je NAT: een ander subnet (standaard 192.168.1.x/24) dat niet van buitenaf bereikbaar is.

Afhankelijk van wat er in het netwerk van dat bedrijf staat, is het al-dan-niet nuttig een eigen router en firewall met wat meer opties te voorzien. Ik doe dat standaard wel, zodat ik intern wat verkeer kan scheiden, typisch voorbeeld is gasten Wifi, maar je kan daar ook verder in gaan en IoT en infrastructuur zoals switchen en AP's een eigen management VLAN geven. Ook specifieke firewall rules zijn handiger in je eigen apparatuur dan in die rommel van de ISP.

Bridge mode kan niet meer. Je kan wel (VOORAF!, of bijbetalen) een modem-only vragen en dadelijk een eigen router/firewall zetten. Met de standaard modem/routercombinatie kan je alleen je eigen apparatuur in de DMZ zetten, maar dan blijf je double NAT hebben, wat soms een issue is...

Succes daar
 
Ook dat klopt niet helemaal meer zephir. De "modem only" modellen zijn nog van die zwarte en dus DOCSIS 3.0. Daar willen ze vanaf omdat een deel van de kabel wordt ingenomen door 3.0 en een ander deel door 3.1. Als ze 3.0 weg doen kunnen ze alles gebruiken voor 3.1.

Indien men nu een publiek IP op de internetpoort van een firewall wil dan is er één model nog te verkrijgen: de CV8560E. Die kan in bridging worden gezet via Mijn Telenet. Het vereist dat je het MAC-adres kent van je internetpoort. Je hebt sowieso dit model nodig als je een vast WAN IP rechtstreeks op je firewall zijn WAN-poort wil.

In principe geven ze die niet aan particulieren (wat hier geen probleem is, want gaat om een firma) maar als je naar een Telenet verdeelpunt gaat en je vraagt wat ze nog liggen hebben van CV8560E omdat je wil bridgen naar je router/firewall, dan zijn ze meestal zeer meegaand.

Nog even terugkerend op TS zijn vraag: in principe heeft elke nieuwe Telenet-modem (foutieve benaming maar ja) een router-functie en zal die dus op de LAN-poorten en wifi private adressen uitdelen. Standaard is dat de range 192.168.0.0/24 voor Telenet. Ter vgl: Proximus is standaard 192.168.1.0/24. Indien er wordt gekozen om enkel de Telenet-router te gebruiken kan die interne range worden gewijzigd. Enkel het derde cijfer kan worden gewijzigd, bv naar 192.168.100.0/24. Port forwarding via Mijn Telenet kan ook. DHCP kan men niet uitzetten. Voor de meesten is dat voldoende.

Ook naar verwoording toe: het is de router-functie van een firewall die zorgt dat het interne netwerk aan het internet hangt, al dan niet ondersteund door een intern DHCP-servertje voor het dynamisch uitdelen van interne adressen. Het firewall-gedeelte is beveiliging. Eigenlijk is een firewall voor KMO's een router met extra functies (afhankelijk van in welke mode die staat), zoals meer geavanceerde filtering en port forwarding, evt VPN-functionaliteiten en meer intelligentie. Ook het opsporen en al dan niet blokkeren van kwetsbaarheden zit erin.
 
Laatst bewerkt:
Otani zei:
Ook dat klopt niet helemaal meer zephir. De "modem only" modellen zijn nog van die zwarte en dus DOCSIS 3.0. Daar willen ze vanaf omdat een deel van de kabel wordt ingenomen door 3.0 en een ander deel door 3.1. Als ze 3.0 weg doen kunnen ze alles gebruiken voor 3.1.

Indien men nu een publiek IP op de internetpoort van een firewall wil dan is er één model nog te verkrijgen: de CV8560E. Die kan in bridging worden gezet via Mijn Telenet. Het vereist dat je het MAC-adres kent van je internetpoort. Je hebt sowieso dit model nodig als je een vast WAN IP rechtstreeks op je firewall zijn WAN-poort wil.

In principe geven ze die niet aan particulieren (wat hier geen probleem is, want gaat om een firma) maar als je naar een Telenet verdeelpunt gaat en je vraagt wat ze nog liggen hebben van CV8560E omdat je wil bridgen naar je router/firewall, dan zijn ze meestal zeer meegaand.

Nog even terugkerend op TS zijn vraag: in principe heeft elke nieuwe Telenet-modem (foutieve benaming maar ja) een router-functie en zal die dus op de LAN-poorten en wifi private adressen uitdelen. Standaard is dat de range 192.168.0.0/24 voor Telenet. Ter vgl: Proximus is standaard 192.168.1.0/24. Indien er wordt gekozen om enkel de Telenet-router te gebruiken kan die interne range worden gewijzigd. Enkel het derde cijfer kan worden gewijzigd, bv naar 192.168.100.0/24. Port forwarding via Mijn Telenet kan ook. DHCP kan men niet uitzetten. Voor de meesten is dat voldoende.

Ook naar verwoording toe: het is de router-functie van een firewall die zorgt dat het interne netwerk aan het internet hangt, al dan niet ondersteund door een intern DHCP-servertje voor het dynamisch uitdelen van interne adressen. Het firewall-gedeelte is beveiliging. Eigenlijk is een firewall voor KMO's een router met extra functies (afhankelijk van in welke mode die staat), zoals meer geavanceerde filtering en port forwarding, evt VPN-functionaliteiten en meer intelligentie. Ook het opsporen en al dan niet blokkeren van kwetsbaarheden zit erin.
Klik om te vergroten...
Bedankt voor de verduidelijking. Hieruit concludeer ik dat voor deze set-up een firewall niet persé nodig is.

Als ze een interne file-share hebben, kunnen mailen en internetten is dat voor hen voldoende.
 
Je moet ingelogd zijn om te kunnen reageren. Aanmelden | Registreren

Vergelijkbare onderwerpen

T
Telenet modem en eigen router
Reacties
6
Weergaven
3K
zephir
Z
T
Eigen router achter Telenet modem
Reacties
12
Weergaven
5K
Tyfius
Tyfius
Mulle
Vervangen Telenet router en AP door eigen router en AP (+50 apparaten)
2
Reacties
38
Weergaven
7K
zephir
Z
Terug
Bovenaan