Router (configuratie) voor buitenverblijf

[Kattekrab]

Thuis heb ik na m'n BBOX3 een Synology RT1900ac router staan die zorgt voor het netwerk. De BBOX3 wordt enkel gebruikt als domme modem. Voor m'n wifi gebruik ik m'n Synology router gecombineerd met een Ubiquiti Access Point. Die router heeft al heel wat jaren op de teller, maar 'k heb geen klagen en nooit uitval geweten.

Binnenkort wordt ons buitenverblijf opgeleverd wat ook occasioneel zal worden verhuurd. Ik ben niet van plan om gewoon iedereen full access te geven. Ik ben fan van Synology producten, maar ik vrees dat ik er met de laatste router niet ga komen qua configuratie.

Wat ik wil?

Een apart wifi-netwerk voor gasten. Via dit netwerk wil ik configureren op welk ander apparaat op het netwerk ze toegang hebben. Bijvoorbeeld vreemden hebben niets te zoeken bij m'n router of NAS. Langs de andere kant wil ik ze wel toegang geven tot m'n versterker om bijvoorbeeld Spotify te streamen.

De meeste kamers zijn ook voorzien van een UTP aansluiting. Vreemde apparaten die worden ingeplugd moeten standaard geweigerd worden door de router. Als er een nieuw vertrouwd apparaat wordt aangesloten, zou ik dit moet kunnen aanvinken in de router als vertrouwd apparaat vooraleer het meespeelt in mijn netwerk.

Ik heb dit onlangs besproken met een goede vriend die beter thuis is in netwerken dan ik zelf. Hij raadt aan om voor een Ubiquiti Dream Machine Pro te gaan in combinatie met een Ubiquiti Unifi 6 Pro access point.

Met deze thread wil ik even dubbel checken of dit mogelijk is voor ik mij deze apparaten aanschaf. Mensen die ervaring hebben met soortgelijk scenario? Of zijn er alternatieven?

Dank!

 

[zephir]

Ja, dat is mogelijk.


Laten we eerste even de basis bespreken:

Wat je doet is VLAN's maken, 1 voor je vertrouwde LAN, enkel voor jezelf / je gezin / je trusted devices.
Een 2e is een Guest LAN met internettoegang, maar geen toegang tot je LAN. Je kan je LAN wel instellen dat het naar je guest VLAN kan, maar niet andersom. Je kan de devices op de Guest VLAN ook van elkaar isoleren.

Dan kan je de versterker bij op de Guest zetten of, wat ik zou doen, een 3e IoT netwerk maken, waar zowel je Guest als je LAN netwerk aan kan. Zaken zoals een versterker, home automation stuff zoals Philips Hue, etc zet je dan op dat IoT VLAN.

Op je Unifi switch (of de ingebouwde switch poorten van je Dream Machine Pro - of UDMP in't kort) kan je dan per poort/kabel een profiel toepassen: LAN, Guest of IoT, of ze gewoon af zetten. Het device dat daar in steekt, heeft dan toegang tot de geconfigureerde VLAN. Dit is de eenvoudige versie, die niet bestand is tegen kabels versteken.

WiFi AP's zoals de U6-Pro configureer je dan zodat die 3 SSID's hebben, die elke een andere VLAN gebruiken. Een WiFi toestel op de Guest kan streamen zoveel ie wil via je guest SSID=>IoT VLAN. Jij wandelt binnen, met je device op de LAN SSID en je kan naast aan de versterker ook aan je NAS, etc...

Het makkelijkste lijkt me alle UTP drops op Guest of IoT zetten en fysieke toegang tot de andere poorten onmogelijk maken.

Wil of kan dat niet, dan zijn er een paar opties:

Je kan "topology change notifications" opzetten op poorten, dan krijg je een push notification op je smartphone als een LAN port wijzigt. Het kan dus nog, maar je weet het direct.

Dan is de volgende optie om per port een "MAC address whitelist" toe te passen. Whitelist het device dat daarop hangt en niets anders werkt nog, tenzij je gasten weten hoe ze een MAC moeten clonen en dan spoofen. Tenzij je aan de KGB / FSB denkt te verhuren lijkt die kans me minimaal. Dit werkt voor alle drops, behalve die voor AP's. Als men een AP van de muur krijgt, en die kabel gebruikt kan men alsnog op je LAN. Unifi AP's zijn wel notoir vervelend om van hun mount te halen, het is dus eerder een theoretisch risico.

Als laatste kan je nog met een RADIUS server werken, maar dat is al een enterprise feature.

 

[Kattekrab]

Dank voor de feedback! Ik ben zelf geen netwerkspecialist, maar ik snap het concept. Just één opmerking ...

Dan is de volgende optie om per port een "MAC address whitelist" toe te passen. Whitelist het device dat daarop hangt en niets anders werkt nog, tenzij je gasten weten hoe ze een MAC moeten clonen en dan spoofen. Tenzij je aan de KGB / FSB denkt te verhuren lijkt die kans me minimaal. Dit werkt voor alle drops, behalve die voor AP's. Als men een AP van de muur krijgt, en die kabel gebruikt kan men alsnog op je LAN. Unifi AP's zijn wel notoir vervelend om van hun mount te halen, het is dus eerder een theoretisch risico.

Het is voor een huurder toch makkelijk om het MAC address van de TV op te zoeken via het OS, de kabel uit de TV de trekken en in een ander apparaat te steken en te spoofen? Misschien ben ik al veel te ver aan't gaan in m'n redenering hoor ...

Het AP, router, NAS, etc zit weg onder de trap achter een gesloten deur. Dus da's fysiek beveiligd.

 

[zephir]

Het is voor een huurder toch makkelijk om het MAC address van de TV op te zoeken via het OS, de kabel uit de TV de trekken en in een ander apparaat te steken en te spoofen? Misschien ben ik al veel te ver aan't gaan in m'n redenering hoor ...

Klopt, maar ik ken niet veel mensen die op vakantie mac adressen gaan lopen spoofen.
Als je de UTP poorten waar je huurders aan kunnen de optie geeft om op de LAN te kunnen, is dat een issue. Als je ze via "VLAN tagging" enkel op de Guest en IoT VLAN's laat, kunnen ze spoofen zo veel ze willen, dan geraken ze toch niet aan je LAN.

Heb je ergens UTP drops waarop je je LAN VLAN nodig hebt? Zo niet, heb je geen issue.

Een AP onder een trap en achter een deur is ok als het een klein appartementje is, maar meestal is dat niet genoeg voor een hele woning.