vraag inrichting thuisnetwerk

[jutuiz]

Hello,

Mag ik jullie mening even?
Ik zit wat vast en voor ik begin te puzzelen wou ik weten of ik iets over het hoofd zie...

Ik heb een Fritzbox 7490. In hoek v/d woning.
Hierin 2,4 Ghz netwerk "A" enkel voor Ring-bel en wat IOT stuff (beperkte lijst MAC's).
Ook het Wifi guest network staat open (voor bezoekers in thuiskantoor).
Dat wifi netwerk is net goed genoeg voor meeting in buro en woonruimte.

Dan. Een TPlink EAP hangt wired centraal in de woning die onze privé wifi "B" regelt .
Netwerk B werkt perfect, nooit geen storingen, werkt al 3 jaar zeer stabiel, zeer tevreden.

Mijn netwerk wordt ook professioneel gebruikt, en ik ben op mijn hoede voor misbruik.
De belangrijkste zaken (kantoordesktop, printers, Nassen, Nvidia shield,...) hangen allemaal Wired aan de Fritzbox.

Nu wou ik drie zaken verbeteren:

- ik wil mijn Ring systeem uitbreiden, en dus hebben ik een hidden network op 2,4Ghz over de ganse woning en tuin nodig.
- ik wil betere kwaliteit voor het Guest network zodat dit het default netwerk wordt voor iedereen die niets met de zaak te maken heeft
- we beginnen langzamerhand wat smart-dinges aan onze netwerk te hangen, moet ik die systematisch ook op de Guest hangen?

Ik heb een Fritzbox 1600 Repeater liggen die ik kan gebruiken. Ligt nog in de kast.

Ik twijfel tussen deze scenario's:

Scenario 1:
- de TP link niet meer gebruiken (in weerspraak met "if it ain't broke, don't fix it")
- de 2 wifi netwerken op de Fritbox volledig activeren, alsook de Guest
- de Fritzbox 1600 repeater op een goede locatie hangen en in Mesh zetten, en deze de 3 SSID's van de FB7490 laten repeaten
- als bereik niet voldoende is, nog een Fritzbox repeater kopen en ergens in de tuin (overdekt terras) hangen ook in Mesh
- de IOT's aan de Guest hangen (??)

Voordeel, 't is simpel, maar twijfels aan de capaciteit...

Scenario 2:
- alles laten gelijk het is
- enkel de Guest laten repeaten door de 1600

Voordeel: ook simpel, een beetje twijfels want de Fritbox 1600 gaat de Guest alleen maar kunnen repeaten als hij ook het basisnetwerk repeat, dus....

Scenario 3
- in de Fritbox de wifi netwerken activeren, behalve de Guest Wifi
- in de Fritzbox de Guest acces op lan 4 zetten
- de TP link op lan 4 hangen, en de Tp-Link zo de guest access laten regelen
- de Fritzbox repeater in Mesh zetten
- de IOT's aan de Guest hangen (??)

Thx voor 2nd opinion.

[Sasuke]

Scenario-4
- Wifi disablen op de Fritzbox
- Extra AP's kopen (TPLink EAP245 of Unifi ACPRO of...)
- Genieten van een goed en stabiel netwerk
- Vereist extra UTP bekabeling naar de AP's

'repeaters' en 'mesh' werken in de praktijk echt niet goed genoeg imho.

[glda19]

Zou zeker guest en kantoor op een andre ip range zetten dan prive. Bv prive op 192.168.0.1 tot bv 100 en guest op 192.168.1.1 tot bv 100
En kantoor op 192.1682.2.1 tot bv 100
Dan heb je 3 verschillende netwerken
Die niet met kaar kunnen communiceren.
Of zoek eens op supnet in google.
Zet je alles op 1 netwerk dan in het bereik direkt groter.
Ik heb hier telenet modem router en d-link router.
Vroeger een telenet modem only. Dus d-link router gaf de ip aan de pc en wifi toestellen.
Maar met de omschakeling naar de telenet router. En te zitten spelen met een raspberry pi eerste versie. Daar we voor dien geen wifi nodug haden. Merkte ik dat ik plots 2 netwerken had. Daar de d-link niet tot de tuin geraakt en telenet wel. En op d-link de vaste pc zijn verbonden op de d-link de router functie uitgeschakeld. Dus nu maar 1 net werk met een goed bereik van de op rit tot redelijk netwerk in de tuin. Das niet erg want zit meer op pc dan op wifi. Eens kijken bij minder weer om indien mogelijk een guest netwerk op te zetten.

[heist_175]

Scenario-4
- Wifi disablen op de Fritzbox
- Extra AP's kopen (TPLink EAP245 of Unifi ACPRO of...)
- Genieten van een goed en stabiel netwerk
- Vereist extra UTP bekabeling naar de AP's

'repeaters' en 'mesh' werken in de praktijk echt niet goed genoeg imho.

Ik heb bovenstaande gedaan: alle wifi toestanden af en enkel nog Unifi.
- eigen netwerk: onze eigen toestellen, beveiligd met een lang WPA2 pw
- guest netwerk1: enkel "trusted" personen, beveiligd met een lang WPA2 pw
- guest netwerk2: echte gasten, tijdelijke toegang, ... met een simpel WPA2 pw én een token die vervalt na x uur (babysit, aannemers, ...)

[ITnetadmin]

Nieuwe vlan capable router, bv pfsense.
Vlan capable switches die de backbone ronddragen.
Fatsoenlijke APs, bv Edimax Pro of Unifi, om vlan separated ssids de lucht in te pompen.

@heist: hoe heb je dat token systeem geimplementeerd?

Mag ik ook effe opmerken dat binnenkort WPA3 gaat uitkomen, en zwaar investeren in APs op dit moment kan backfiren, tenzij ze garanderen om updates te voorzien.
Ook OWA wordt een interessante development, want met OWA gaat een open (dus no pwd) wifi toch ook encrypted verlopen; waardoor je flexibeler met portals kan werken zonder transmissies in de clear te hebben (voor zij die geinteresseerd zijn).
Maw veranderingen op wifi vlak op komst, en ikzelf heb ook besloten om de wifi vernieuwing hier met gerecupereerde 2.4 units te doen ipv nu al nieuwe te kopen.

[Sasuke]

WPA2 met 802.1x authenticatie (cert. Of radius/LDAP) is vooralsnog voldoende, ik zie de nood niet om te wachten op WPA3. En als AP, de TPlink EAP245 (Pro reeks) met de Omada controller software is evenwaardig/beter dan Ubiquiti en kost zelfs iets minder.

In de controller is captive portal met tokens e.d. Ingebakken.

[ITnetadmin]

Uhu.
Voor de security moet je het niet doen; ook wpa3 is al gecracked, fixen zou betekenen de standaard veranderen, en patchen zou non-trivial zijn, volgens de researchers.
(Source: https://arstechnica.com/information-tec ... -passwords )

Maar probleem bij captive portal nu is dat de wifi zelf niet encrypted verloopt; iets dat owa kan fixen.

Nu, het is maar een bedenking, dat je achteraf niet denkt "damn, ik had beter effe afgewacht".

[jutuiz]

Scenario-4
- Wifi disablen op de Fritzbox
- Extra AP's kopen (TPLink EAP245 of Unifi ACPRO of...)
- Genieten van een goed en stabiel netwerk
- Vereist extra UTP bekabeling naar de AP's

'repeaters' en 'mesh' werken in de praktijk echt niet goed genoeg imho.

Ik heb bovenstaande gedaan: alle wifi toestanden af en enkel nog Unifi.
- eigen netwerk: onze eigen toestellen, beveiligd met een lang WPA2 pw
- guest netwerk1: enkel "trusted" personen, beveiligd met een lang WPA2 pw
- guest netwerk2: echte gasten, tijdelijke toegang, ... met een simpel WPA2 pw én een token die vervalt na x uur (babysit, aannemers, ...)

Denk dat ik met deze combinatie aan het werk zal gaan;
Dank allemaal.

[heist_175]

@heist: hoe heb je dat token systeem geimplementeerd?

https://help.ubnt.com/hc/en-us/articles ... pot-System
Functionaliteit die standaard in de controller ingebouwd zit.

Ook heel handig om een smartphone, tablet, laptop, ... de eerst keer internet te geven om vanuit de cloud de WPA2 sleutels te kopiëren (password manager, Onenote, ...)

[ITnetadmin]

Oh, built in to the unifi software.
Ik heb geen unifis draaien hier, dus ben ik niet veel mee; thx anyway.

[heist_175]

Ik heb geen unifis draaien

nog niet...

[ITnetadmin]

Mmm... Ik heb zo mijn redenen daarvoor.
Ik draai momenteel Edimax Pro CAPs.
Die dingen zijn voor mij handiger in kleine omgevingen, want ze hebben een eigen onboard webui (een gigantisch groot gemis bij de unifis), en ze kunnen *zelf* controller spelen over hun soortgenoten, wat hardware besparend is.
Je hebt dan wel die apps enzo niet, maar ik ben geen cloud en app liefhebber (clouds zijn niet onder mijn controle, en apps worden ooit niet meer geupdate, terwijl die webuis 20 jaar na vandaag nog zullen werken), dus dat vind ik geen groot gemis.

Dat gezegd zijnde, zou ik de AP zelf niet graag toegangscontrole laten uitoefenen op het netwerk; dat is voor mij eerder een taak voor de router of een aparte server.
Dingen zoals ticket systems bv, zijn nuttig genoeg dat ik ze liever independent van de APs uitvoer, dan ben ik ook meer platform independent.
Te geintegreerde oplossingen betekenen ook lock-in, en dan kan je alles herdoen als je beslist naar een ander merk over te stappen in de toekomst.

[CCatalyst]

terwijl die webuis 20 jaar na vandaag nog zullen werken

Vanaf jaar 5 wel met de nodige waarschuwingen die je moet doorklikken wegens gebruik van TLS versies met vulnerabilities, vanaf jaar 10 geen doorklikmogelijkheid meer waardoor je trucs van de foor moet toepassen om er nog te raken, vanaf jaar 15 enkel nog met oudere versies van browsers omdat support voor zowel vulnerable TLS als verouderde HTML code gedropt is, en vanaf jaar 20 enkel nog met oudere versies van een OS die die oudere browsers nog ondersteunt. Dit gerekend vanaf de tijd dat ze stoppen met het te onderhouden uiteraard.

[ITnetadmin]

Waar is de tijd van simpele html sites idd

Ik heb zo een set hp switches die java applets in hun UI gebruiken; enkel te managen via een XP VM met een oudere java versie op (want java is notoir niet backwards compatible).
Maar kom, het valt te fixen.
Bij toestellen "waar je geen echte eigenaar van bent" (maw dingen die je moet hacken om admin te zijn) is de miserie veel groter.
One-way upgrade paths voor zowel OS als app zijn een miserie.
Dan nog liever iets waar ik later wat moet knoeien met een VM (of tegen dan mss gewoon een container), dat is tenminste nog redelijk eenvoudig fixbaar.

De meeste webuis draaien overigens ook nog altijd in gewone http, iets wat ik intern thuis nog altijd prefereer (minder miserie en toch niemand die eraan kan).