Als ik het goed begrijp heb je 2 routers achter elkaar geplaatst met beide een eigen draadloos netwerk. Beide routers zijn verbonden met een netwerk kabel.

Feitelijk heb je dan NAT achter NAT, hetgeen problemen kan opleveren als je een poort voor de buitenwereld wilt openzetten. Dit moet je dan op 2 routers instellen. Een dubbele firewall is geeft snelheidsverlies en is overkill. Die kun je beter alleen op de eerste router instellen. Gewoon internetten gaat overigens met deze opzet doorgaans prima.

Je zou kunnen overwegen de eerste router in bridge mode te plaatsen, waardoor het eerste netwerk komt te vervallen. Dit is wellicht niet mogelijk als je provider de router beheert.

Wanneer de draadloze netwerken elk op een eigen kanaal zitten (1, 6 of 11), storen ze elkaar niet. Als je niet in een vrijstaand huis woont met veel grond dat zul je waarschijnlijk wel storingen van je buren ondervinden.

Als je nu het bereik van het tweede draadloze netwerk gaat vergroten met een repeater/extender dan doe je dit alleen op het kanaal van het tweede draadloze netwerk. De halvering van de snelheid geldt dan ook alleen voor dit netwerk. Het eerste netwerk heeft hier geen last van, want dat zit immers op een ander kanaal.

Range extender halveert de snelheid , beter een access point nemen .

Als het enigszins mogelijk is, is een gaatje boren voor een cat5e of cat7 kabel (evt met kabelgootje erover) echt de beste oplossing.
Op geeft aan dat dat echter niet kan.

Netwerk via het stopcontact werkt tegenwoordig veel beter dan vroeger. Zelfs met fasesprong heb ik met de een set nieuwe Devolo dlan1200 setje zonder noemenswaardig snelheidsverlies een netwerk uitgebreid in een pand waar niet geboord kan worden. De buren van Hardware info hadden er recent een review van.

Een WIFI Range Extender is een laatste redmiddel. In praktijk verlies je meer dan de helft van de bandbreedte en de latency is ook nooit prettig.
Zoals hierboven al aangegeven dien je bij wifi netwerken niet-overlappende frequenties in de te stellen.
De SSID naam van het netwerk en het wachtwoord hetzelfde houden is wel zo makkelijk.

Wellicht ten overvloede, maar ik wil het toch melden. Bij een range extender verlies je niet alleen snelheid door eventuele storing op het gebruikte frequentiekanaal. Extenders zo werken zo: je computer (of smartphone, of tv, etc) verbindt met het punt van de extender, die extender vang het signaal, en stuurt dan de pakketjes door naar het draadloze punt van een router. Zie het als een tussenstation waar je even moet wachten, daarmee daalt je gemiddelde snelheid enorm.
Eventueel kun je proberen, als je nu 5g of N verbinding gebruikt, om 2.4b of g een langzamere maar stabielere verbinding kunt krijgen.
Een verbinding via stroomnet met een goede powerline set is mijns inziens de te prefereren oplossing, eventueel met een acces point daaraan geknoopt.

bedankt voor jullie reacties


Klopt beide routers hebben een draadloos netwerk en zijn verbonden met een netwerkkabel.

Maar hoe bedoel je precies met een dat NAT achter NAT problemen kan opgeven als een poort met de buitenwereld wil openzetten? Op de apparaten achter router 2 heb ik gewoon een internet verbinding.

In principe wil ik de twee netwerken van elkaar gescheiden houden en dat de apparaten op netwerk 1 de apparaten van netwerk 2 niet kunnen herken. (netwerk 1 is vooral voor mobiele apparaten en netwerk 2 voor computers). Deze strikte scheiding krijg ik toch alleen voor elkaar door de firewall van router 2 aan te zetten, of is er ook een andere manier?

router 1 in bridge plaatsen is dus ook geen oplossing.


De router van mijn provider kiest automatisch een kanaal, mijn Sitecom router staat op kanaal 11 ingesteld, mocht ik teveel storing ondervinden kan ik nog overstappen 5GHz netwerk in plaats van 2.4GHz.

Als ik een extender zou plaatsen om het tweede netwerk te vergroten, zou ik deze dus kunnen instellen op het kanaal van het eerste netwerk?

Een gaatje boren zou mogelijk zijn, maar gaat niet heel gemakkelijk.


Met halveren van de snelheid ben ik beken maar du vraag ik mij af omdat er ook al een router staat achter een router, hou ik dan niet maar 1/4 van de snelheid over?

dit stukje begrijp ik niet helemaal. Bedoel je dat als ik een 5GHz verbindig heb, over te stappen op 2.4GHz om hiermee een stabieler maar langzamer netwerk te creëren?

@Anoniem 13-12-2014 14:10 uur

Ik had eerst even niet in de gaten wat je beoelde met NAT maar ik begrijp dat je het dus over het uitdelen van de IP adressen had?

De router van mijn internet provider deelt de IP adressen op 192.168.2.xxx

Mijn tweede router (de Sitecom router) deelt IP adressen uit op 192.168.0.xxx

Poorten openzetten is nodig voor bijvoorbeeld online gaming en torrent-clients. Voor gewoon internetten heb je dit niet nodig.


Netwerk 2 (192.168.0.x) zit gekoppeld aan netwerk 1 (192.168.2.x).
De router van je provider keert zelf IP adressen uit in de 192.168.2.x reeks (dit gebeurt via DHCP). Elk apparaat dat wil verbinden krijgt zo'n adres bijvoorbeeld 192.168.2.15. Een van de verbonden apparaten is de Sitecom router; deze zit immers middels een netwerk kabel verbonden. Deze krijgt bijvoorbeeld 192.168.2.16.

Je Sitecom router keert zelf ook IP adressen uit in de 192.168.0.x reeks (via DHCP). Al het verkeer van de apparaten die met je Sitecom router verbonden zijn, wordt doorgeleid naar netwerk 1 via het IP adres dat je Sitecom router heeft gekregen nml. 192.168.2.16.

Al het verkeer dat je op netwerk 2 genereert, loopt dus over netwerk 1. Een firewall op je Sitecom router zal dit verkeer niet scheiden. Het filtert alleen het verkeer met netwerk 1.
Wellicht is het mogelijk dit wel te doen via de firewall op de router van je provider, maar mijn ervaring is dat deze firewalls doorgaans niet zo geavanceerd zijn.


Nee, het netwerk dat je wilt vergroten met een extender/repeater gebeurt altijd op hetzelfde kanaal als waar het netwerk zit. Wil je dus het draadloos netwerk van je Sitecom dat op kanaal 11 versterken dan werkt deze extender ook op kanaal 11. De extender ontvangt de signalen en zendt deze opnieuw uit. Dit gebeurt allemaal op hetzelfde kanaal. Vandaar ook de halvering van de snelheid.

Oké bedankt. Ik maak geen gebruik van online gaming of zo. Gewoon kunnen internetten is genoeg. Dus dan neem ik aan dat ik geen poorten of zo hoef te gaan openzetten maar ze gewoon gesloten kan houden.


Ik denk dat bij de router van mijn provider het mogelijk is met de firewall het verkeer van netwerk 1 en 2 te scheiden, zoals je al zegt omdat de firewall waarschijnlijk niet zo geavanceerd is, maar mij is het toch vooral te doen dat apparaten uit netwerk 1 en 2 gewoon gescheiden zijn.

Mocht ik een extender gebruiken zal ik er neem ik aan op moeten letten dat deze de IP adressen niet op 192.168.2.x of op192.168.0.x uitdeelt maar bijvoorbeeld op 192.168.6.x. Aangezien deze ook over DHCP functionaliteit beschikken.

Verder heb ik mijn Sitecom router een vast IP adres gegeven in de router van mijn provider.


Oké mocht ik het tweede netwerk met een extender/ repeater willen vergroten moet ik het uitzendkanaal op 11 zetten.

Bedankt voor de uitleg.

Nu nog even uitzoeken of betreffende apparaten wel een extender ondersteunen, HP printers doen het b.v. niet..... have phun! ;)

Ik sluit mijn printer toch al niet aan op het netwerk dus dat scheelt dan weer ;-)

even het bestandje dat geprint moet worden op een USB-stick plaatsen op de PC waarop de printer zit aangesloten inpluggen en printen maar :-)

Misschien de moeite waard:
over hoe NAT-routers functioneren, kun je hier lezen: https://www.grc.com/nat/nat.htm

Je tweede router isoleert hoogst waarschijnlijk standaard dus al grotendeels netwerk2 van netwerk1.
(ik bedoel: router2 blokkeert vanwege de SPI-functie standaard het netwerkverkeer afkomstig van netwerk1)
Maar hij isoleert niet netwerk1 van netwerk2. (ik bedoel: er blijft vrij netwerkverkeer mogelijk van netwerk2 naar netwerk1,
en eenmaal aangesproken kan het aparaat in netwerk1 daarna ook terugcommuniceren met het apparaat in netwerk2)

Als je meer isolatie mocht willen, dan zul je apart een firewallregel moeten instellen in router2 om alle uitgaande netwerkverkeer van netwerk2 dat is geadresseerd aan een adres in de IP-range van netwerk1 te blokkeren.
Alleen moet je daarbij in router2 het netwerkverkeer naar de gateway van router1 (=óók een adres in de IP-range
van netwerk1!!!) uiteraard niet blokkeren. Want anders kun je vanaf netwerk2 het internet niet meer op.

Succes!
Mvg, cluc-cluc

Inmiddels kan ik melden dat ik geen extender meer hoef te gebruiken voor een beter netwerk te krijgen

Ik ben uiteindelijk ervoor gekozen om gewoon kabels te gebruiken, is waarschijnlijk wel meer werk, maar dan halveert tenminste niet de snelheid van de verbinding en zal ik er uiteindelijk wel meer plezier van beleven als de kabels er dan uiteindelijk liggen ( tenminste daar ga ik vanuit )

Hoewel ik geen extender meer ga gebruiken heb ik met jullie reacties de kwaliteit van mijn netwerk wel flink kunnen verbeteren, en weet ik beter hoe mijn eigen netwerk in elkaar zit :-)

Dus bedankt voor jullie reacties!


Bedank voor jouw pagina met wat meer informatie over hoe NAT routers functioneren cluc-cluc. Interssant leesvoer. Ook naar de firewall zal ik eens kijken. Maar moet de router dan niet over een 2 richtingsfirewall beschikken om het verkeer naar een adres in de IP-range van netwerk 1te kunnen blokkeren?

De gateway van netwerk 1 is neem ik aan dus gewoon het IP adres van router 1?

Wijziging 03-01-2015 00:32 aanpassing in laatste regel

Ah, kijk! Mij snapten al niet waarom mij verder met geen woord hadden geschreven over die range extender. hehehe ;-P
Zal wel weer een mysterieus indiaans voorgevoel zijn geweest. ;-)

Wat ik niet zo goed begrijp, is wat je hier precies bedoelt met "de firewall van router 2 aanzetten".
Een firewall zet je doorgaans niet alleen maar "aan" of "uit". Ik ben gewend dat je een firewall (ook) moet configureren?
En wat heb jij dan precies geconfigureerd in die firewall?

Als je met een volwaardige router werkt, die beschikt over NAT en SPI (dus géén simpele switch of hub) dan is in één richting blokkeren (nl. van netwerk2 naar netwerk1) al voldoende. Voor de zekerheid kun je ook twee richtingen blokkeren.
Router2 moet hiervoor beschikken over een zgn. instelbaar IP-filter (= een firewallfunctie), die op zijn minst het uitgaande netwerkverkeer van router2 naar alle adressen in de IP-range van netwerk1 kan blokkeren. (uitgezonderd de gateway)
(voorbeeldje van hoe een IP-filter instelling er ongeveer uit zou kunnen zien: http://www.tp-link.com/no/article/?faqid=156)

Maar hoe dan ook:
je kunt om te beginnen zonder firewallblokkades (en router2 ingesteld op "ping enabled" voor zowel LAN als WAN)
eens testen of je inderdaad kunt pingen vanaf een apparaat dat hangt aan netwerk2,
naar het IP-adres van een apparaat dat normaal op ping wil reageren, en dat is aangesloten op netwerk1.
(even om zeker te weten of ik het in dit geval bij het rechte eind heb, want er zitten wat haken en ogen aan)

Hangt er van af wat jij hier precies mee bedoelt. Maar om aan de veilige kant te blijven: het IP-adres van de gateway
van router1 kun je vinden door even "ipconfig" uit te voeren vanaf een computer die aan netwerk1 hangt.

En o ja: voor 2015 nog de beste wensen terug _Kraai_! ;-)

Mvg, cluc-cluc

Bij mijn Sitecom router staat onder het kopje "firewall" de optie om de firewall aan of uit te zetten.

Ik heb de firewall vrij standaard staan

Niets bij DMZ ingesteld
een aantal aanvallen worden geblokkeerd. staat een lijstje met welke dat zijn. Verder kan ik ook nog URL's blokkeeren en iets met toegang wat volgens mij de IP filter is.


Of de router SPI heeft weet ik niet. Hij bevat wel NAT Ik werk met een Sitecom x6 N900 router.

De router heeft volgens mij wel een IP filter.

Ik heb namelijk de mogelijkheid een PC toestemming te geven welke service deze mag gebruiken. Ik moet dan het PC IP adres, de clientservice, het protocol en het poortbereik opgeven.

Hoe ik ping vanaf een apparaat uit netwerk 2 naar een apparaat naar netwerk 1 zou ik niet weten.

Overigens kan ik wel melden dat in de firewall geschiedenis op mijn PC in netwerk 2 (1), meldingen zijn terug te vinden dat een inkomende verbinding is geblokkeerd. Het IP adres is van router 1 (overigens worden er ook inkomende verbindingen geblokkeerd waarbij het IP adres van router 2 straat genoemd, en ik ga ervanuit dat ik dit ook gewoon zo kan laten staan).

Er zijn meldingen te vinden over verbindingen die zijn geblokkeerd tussen apparaten uit netwerk 1 en netwerk 2 (er zit een PC aangesloten op netwerk 1) wel zijn er meldingen te vinden over verbindingen die zijn geblokkeerd tussen 2 computers die allebei in netwerk 2 zitten.

Ik weet niet of dit betekent dat de apparaten uit netwerk 1 en netwerk 2 dus al strikt gescheiden zijn aangezien de firewall op mijn PC geen blokkering laat zien van een IPadres uit netwerk 1 op dat van de router 1 na. Maar wel laat zien dat er een IP adres is geblokkeerd uit netwerk 2.

(1) het betreft hier de firewall van het beveiliging pakket welke ik voor de betreffende computer gebruik),


Ik had een foutje gemaakt in mijn reactie en heb dit nog later aangepast. Ik bedoelde of de gateway van netwerk 1 het IPadres van router 1 is?

Maar waarschijnlijk heeft dit zich gekruist met jouw reactie, cluc-cluc.


Bedankt cluc-cluc. Je bedoelt met terug neem ik aan mijn reactie in https://www.security.nl/posting/413622#posting413655

Ach ja in iedergeval de beste voor 2015 wensen cluc-cluc! :-)

Ps
In mijn reactie van 02-01-2015 "ik ben ervoor gekozen" moet eigenlijk zijn "ik heb ervoor gekozen".

Het lijkt me een volwaardige router, die vast wel zoiets als SPI aan boord zal hebben.
Maar ik ken deze router niet goed genoeg om je er echt goed mee te kunnen helpen.
Ze hebben volgens mij geen complete gebruikershandleiding on-line staan waar je eens op je gemak
doorheen kunt snuffelen om alle opties, ins en outs, van deze router te leren kennen.

Wegens bar weinig detailinformatie van Sitecom op het web over hun routers, kun je denk ik verder het beste
met dit soort vragen worden geholpen door iemand die goed bekend is met zulke Sitecom routermodellen.
Ik kan je met deze informatie niet helemaal 100% zeker garanderen of dit wel of geen IP-filter betreft.

Huh?... Werkt Google dan niet? ;-)
Achter commandprompt intypen "ping" en dan het IP-adres van de machine waarmee je wil pingen.
Misschien toch wel verstandig om te doen, en om te testen of dingen wel echt zo werken als jij denkt?
Tenminste het klonk alsof je twee gescheiden netwerken wilde met het oog op de veiligheid,
en wilde bereiken dat apparaten van het ene netwerk niet zomaar bij het andere netwerk kunnen komen?
En eigenlijk weet je dit niet eerder dan na een geslaagde grondige test. (waarbij "pingen" een beginnetje is...;
wil je het echt gedegen testen, dan zou je denk ik ook nog met een netwerkscanner aan de gang moeten gaan)

Maar ook "pingen" kan wat problematisch zijn, omdat nieuwere systemen vaak standaard niet meer op ping antwoorden.
Moet je weer gaan uitzoeken hoe je dat eventueel allemaal weer "aan" kunt zetten en zo...
Verder hebben ook routers er tegenwoordig vaak één of meerdere instellingen voor.
De ellende is: als deze zaken op beide netwerkapparaten waartussen wordt "gepingd" én in de tussenliggende router
niet 100% goed staan ingesteld, dan is de hele pingtest waardeloos. En als ik op afstand niet exact kan meekijken
wat je doet en wat er allemaal precies gebeurt, dan is het risico van verkeerde conclusies nogal groot.

'k Vrees dat je hier vooral zelf mee aan de slag moet, en de tijd moet nemen om jezelf "in te lezen" in deze materie.
Maar hoop toch dat ik je een stap in de goede richting heb kunnen helpen om tot een zo veilig mogelijke oplossing
te komen? Mocht je nog tegen een specifiek twijfelachtig of onwenselijk verschijnsel aanlopen waar je met de beste wil
van de wereld niet uitkomt, dan mag je het natuurlijk altijd hier nog even (genuanceerd en duidelijk) voorleggen.

Mvg, cluc-cluc

Ik heb ook nog geen complete gebruikers handleiding kunnen vinden waar alle opties in staan beschreven, maar op de pagina waar je instellingen kunt maken, staat meestal wel een korte beschrijving wat de mogelijkheden inhouden


Ik had even iets verder moeten kijken, excuses.

Mijn doel is een tweede netwerk waarin mijn computers en harde schijven staan en tussen deze computers en harde schijven, bestanden kan uitwisselen. Ik wil mijn apparaten waarmee ik geen bestanden deel, zoals bijvoorbeeld een telefoon, uit dit netwerk houden. Verder wil ik een goede beveiliging van mijn computers en harde schijven, vandaar de Sitecom router met cloud security en de firewall


Ik ga eens kijken wat ik nog kan doen voor een beter netwerk. in ieder geval "pingen" naar een van mijn apparaten kan ik proberen, en eventueel een netwerkscan.

Verder nog bedankt voor de moeite cluc-cluc.

Oké _Kraai_. In elk geval is volgens mij het inzetten van twee routers op de door jouw geschetste manier
al een redelijk begin om je doel te bereiken, mits goed ingesteld en geconfigureerd.
Naar verwachting zal het zelfs al zonder gebruik van een firewall erg lastig zijn om van netwerk1 op netwerk2 te komen. Want het is gebruikelijk dat je niet op eigen inititiatief vanaf de WAN-zijde van router2 zomaar op netwerk2 kunt komen.
Maar je zult een keuze moeten maken of apparaten van netwerk2 eventueel een verbinding mogen maken met apparaten op netwerk1. Want volgens mij is zulk netwerkverkeer normaalgesproken niet standaard geblokkeerd.
Om dit te blokkeren zul je waarschijnlijk een firewallregel moeten instellen in router2 (hopelijk heeft ie zulke opties).

Wat me een nadeel lijkt, is dat de Sitecom met extra veiligheidsfuncties en cloudsecurity nu eigenlijk de tweede router is.
Hoe die cloudsecurity precies werkt, weet ik niet. Maar gelet op de benaming lijkt het me dat er beveiligingsfuncties
via internet lopen. En... internet kan in deze configuratie (helaas) alleen worden bereikt via router1!
Dus als er iets mis gaat (hack?) met router1, dan werkt de cloudsecurity van router2 waarschijnlijk ook niet meer?...

Daarom zou het volgens mij nog beter zo kunnen:
router1 (van provider) in bridgemode zetten, dan de Sitecom met Cloudsecurity waaraan netwerk1 hangt, en nog een derde router met een firewall die netwerk1 en netwerk2 goed kan scheiden, en die je computers en harde schijven verzorgt.

Bijkomend voordeel is dat netwerk1 dan óók door Cloudsecurity beschermd zal zijn.
(maar misschien wel maatregelen nemen dat men niet te makkelijk op die cruciale Sitecom router kan inloggen
en de configuratie overhoop gooien?...)

Afijn, dit zijn zo mijn laatste gedachten en tips hierover. Doe er (voor zover mogelijk) je voordeel mee _Kraai_.

Mvg, cluc-cluc

Bedankt voor de informatie cluc-cluc. Ik ga eens kijken of het mij lukt om vanaf een apparaat in netwerk 2 een apparaat in netwerk 1 te benaderen.

Mocht dit het geval zijn dan ga ik kijken of ik dit kan voorkomen met behulp van de firewall.


Op de volgende pagina kun je lezen wat Sitecom cloud security precies is, cluc-cluc mocht je interesse hierin hebben
https://www.sitecom.com/nl/sitecom-cloud-security/347

Ik weet niet of ik de router van mijn provider wel zomaar in bvridgemode kan ztetten omdat ook telefoon en televisie via de router van mijn provider gaat. Dit zou ik moeten opzoeken, maar je hebt wel gelijk netwerk 1 kan beter aan de sitecom router hangen en beschermt zijn door Sitecom cloud security. en dan een derde router voor netwerk 2. Ik ga kijken of dit mogelijk is.


Bedank voor je tijd en moeite cluc-cluc, ik ga zeker mijn voordeel mee proberen te doen.

Verder kan ik nog melden dat zodra ik mijn netwerk op orde heb, en ik klaar ben met het inrichten van de Windows 8.1 laptop waar ik momenteel mee bezig ben, ik van plan ben jouw aangepaste code voor VTexplorer te gaan testen op Windows 8.1 64 bits met IE11. Maar goed dit kan misschien nog wel een weekje duren, cluc-cluc.

Ja, inderdaad. Dank je _Kraai_. Zoiets had ik ook al eens gelezen, waardoor er wel een indruk was blijven hangen.
Ze vertellen daar dus wel wát het allemaal doet, maar weinig tot niets over hoé ze dat precies technisch realiseren.
Zoals ze het omschrijven geeft het me een gevoel dat netwerkverkeer dat gericht is aan jouw computer eerst door de controlepost van Sitecom's Cloudsecurity gaat, en pas bij "no virus/malware/fishingsite found" vanuit die cloud wordt doorgesluisd naar je thuisnetwerk achter de Sitecom router, of anders krijg je een waarschuwing?

Maar ik kan er helaas niet uit opmaken of bijv. een extra voorgeplaatste router met bijv. valse DNS-instellingen wel of niet
roet in het eten kan gooien in al die cloudcontroleprocessen. Vandaar dus mijn voorzichtigheid/bedenkingen
om zo'n Sitecom als tweede router in te zetten achter een andere (mogelijk iets minder veilige?) router.
Zonder alle details te kennen kan ik alleen maar zeggen: misschien valt het mee, misschien valt het tegen.
Feit is gelukkig nog wel dat "men meestal niet in zeven sloten tegelijk loopt", ook al bestaan er allerlei sloten. ;-)

Ah, kijk. Fijn _Kraai_! Dan weten we binnenkort ook of die combinatie goed werkt. :-)
Neem er maar rustig de tijd voor hoor.
Alle sjampie in de buurt is geloof ik zo'n beetje uitverkocht, dus ik heb zelf ook even tijd nodig... ;-)

Mvg, cluc-cluc

Ik heb nog nooit een waarschuwing van Sitecom cloud security ontvangen maar ik gebruik deze dienst ook pas net.

Ik kan mij jouw voorzichtigheid/bedenkingen echter wel voorstellen. Echter zoals ik aangaf, geen idee of het wel mogelijk is om de experiabox in bridge mode te zetten in verband met telefoon en televisie maar goed dit ga ik nog opzoeken en mocht dit niet mogelijk zijn zal ik de Sitecom router als tweede router moeten blijven gebruiken. En welke van de twee veiliger is, ik zou het niet weten.


Vanwege de vele keren sjampie naar aanleiding van een post in het "VTexplorer issue IE11 x64" topic, of toch gewoon vanwege de jaarwisseling ;-)

Er bestaan modellen van experiabox die dat zeker kunnen, dus ik hoop dat je ook zo'n model hebt.
Zo niet, misschien kun je dan wel de standaard ingestelde DNS-servers in de experiabox uitschakelen of blokkeren?
Het lijkt me dat in ieder geval DNS bij voorkeur uitsluitend moet worden geregeld door je Sitecom met cloudsecurity,
en dat je zoveel mogelijk moet uitsluiten dat de experia daar onderweg nog iets aan zou kunnen veranderen.

Naar verwachting zou het geen negatieve gevolgen moeten hebben voor telefoon en televisie. Afijn, dat zie je vanzelf.
tip: als je in de configuratie van je experiabox duikt, stel dan ook een supersterk wachtwoord in voor de toegang tot de router, en vergeet dat wachtwoord niet.
Afijn je weet er alles van wat je allemaal nog kan doen om de veiligheid nog verder op te schroeven:
https://www.security.nl/posting/409296/Tips+voor+het+beveiligen+van+je+thuisnetwerk_+WiFi+netwerk

Dat, beste _Kraai_, is inderdaad de juiste vraag op het goede antwoord! ;-)

Mvg, cluc-cluc

Aan de DNS instellingen in de experiabox kan ik niets wijzigen, deze zijn staan op disable De televisie wordt gewoon op een internetpoort aangesloten, maar waar de telefoon op zit aangesloten lijkt mij geen LAN poort, en de Sitecom router beschikt alleen over 2 USB poorten 4 LAN poorten en een WAN poort, dus dat opgelost krijgen lijkt me niet zo eenvoudig. Moet eens na kijken of mogelijk is het model van de experiabox die ik gebruik in bridge mode te zetten, de telefoon misschien wel gewoon blijft werken en het daarop geen invloed heeft want daarvan heb ik werkelijk geen idee.


Wachtwoorden schrijf ik ergens op, en wat betreft het topic "Tips voor het beveiligen van je thuisnetwerk/ WiFi netwerk" en het vorige "Tips voor het maken van een back-up" vraag ik mij af of ik nu wel of niet vaker zo'n soort topic zal posten op security.nl. Mij lijken ze wel nuttig.

Er worden gevallen gemeld waarbij alles wel werkt. Maar soms lukt het niet.
Het verschil zal vermoedelijk in de details zitten. Interessante links op dit gebied zijn misschien:
http://kpn.gebruikers.eu/forum/viewthread.php?thread_id=3736
http://www.tvdw.eu/blog/2013/04/11/kpn-experia-box-v8-and-pppoe-passthrough/

KPN schijnt overigens bridgemode niet te ondersteunen (en ik ook niet: ik probeer alleen maar met je mee te denken om iets ideaal voor elkaar te krijgen, maar garanties zijn er niet. Maar uitproberen kan, en met voldoende doorzettingsvermogen en wat mazzel zou het misschien kunnen lukken). Alleen het kan best nog een gepruts worden, waarbij de "hard reset" knop van de Experia een goede vriend zal blijken?...

Dan vraag ik me wel af hoe die Experia een DNS-request afhandelt... Het is toch in principe een router?
Gebruikt ie soms inwendig zijn eigen vast voorgeprogrammeerde KPN DNS-servers? Zou me niet verbazen.
Of moet je op alle machines die je er op aansluit DNS-servers gaan instellen? Nee toch?

Maar als je in de Experia werkelijk niets aan de DNS-instellingen kunt veranderen, dan kan dat in deze situatie ook juist gunstig zijn. Op dat gebied kunnen kwaadwillende hackers dan immers ook niet gemakkelijk de boel manipuleren!

En mocht het zelfs zo zijn dat de Experia totaal niets met DNS doet (maar ik betwijfel dit) dan zou dat kunnen betekenen
dat er altijd keurig wordt geluisterd naar alle DNS-aanvragen afkomstig van je Sitecom?... (waar je dan je DNS-server(s)
op moet instellen, en sowieso altijd met sterk wachtwoord toegang tot routerconfiguratie goed moet beveiligen)

Als je de Experia dan niet in bridgemode kunt (of wilt) zetten, en manipulatie van DNS-instellingen geen noemenswaardig
reëel gevaar vormt, dan blijft voornamelijk het nadeel over van enige vertraging wegens die één of twee extra routers.
Maar als dit binnen de perken blijft, dan hoeft dat niet zo hinderlijk te zijn.
(gewoon voor de eenvoud dit eerst dan maar even uitproberen dus?...)

Mvg, cluc-cluc

Ik maak gebruik van de V9, waarin als ik goed lees geen bridge mode wordt ondersteund. Ik wil ook niet te gekken dingen gaan uitvoeren met de experiabox om dit wel mogelijk te maken. Ik moet hem nog een beetje aardig kunnen teruggeven ;-) aangezien de exeriabox eigendom blijft van KPN.



Er zijn wel instellingen gemaakt bij DNS in de experiabox, en deze instellingen zijn disable. Ik gebruik dus gewoon de eigen vast voor geprogrammeerde KPN DNS-servers.

Ik hoef op mijn apparaten ook geen DNS instellingen zelf in te stellen.

In de KPN experiabox kan ik werkelijk niet aan de DNS instellingen aanpassen. Alleen zien wat er is ingesteld. Of dit een voordeel en veiliger is, geen idee.

De vertraging van de routers achter elkaar valt mee en is prima mee te leven.

PS.
Ik verwacht zaterdag te kunnen testen de aangepaste code voor VTexplorer die jij hebt geschreven om mijn Windows 8.1 x64 systeem.

Klopt _Kraai_. En...? Heeft KPN hem inmiddels terug?... ;-))

Het is in zoverre veiliger dat een "bad guy" dan niet gemakkelijk de DNS kan veranderen naar een valse DNS-server,
die op zijn beurt meestal het IP-adres van een nepsite of van een site met malware aan je computer voorschotelt
om die te bezoeken. (echter er zijn natuurlijk nog wel meer factoren die de veiligheid van je router bepalen)

Maar er zijn voor de gebruiker ook nadelen verbonden aan zo'n inflexibele DNS. Zoals bijvoorbeeld:
- als de toegewezen DNS servers traag zijn, dan kun je de DNS-servers in de Experia niet wijzigen
- wie OpenDNS gebruikt, kan geen OpenDNS-servers instellen in de Experia om daarmee in één keer
alle apparaten op je thuisnetwerk van de gekozen OpenDNS-filterservices gebruik te laten maken.

En of alle Sitecom Cloud Security services nog werken, zou ik voor de zekerheid toch maar even uittesten als ik jou was. (tenminste: als je dit belangrijk vindt)
Op deze pagina staan enkele downloads voor een AV-test: http://www.eicar.org/85-0-Download.html.
Het is onschadelijk: het gaat om een unieke string, speciaal bedoeld om mee te testen. Geen echt virus.
Maar alle AV-producten zouden het dus wel helemaal als een echt virus moeten beschouwen en behandelen.

Men is wel zelf verantwoordelijk voor de gevolgen! Niet dat je mag verwachten dat het bestand schade veroorzaakt aan je PC, maar als je bijvoorbeeld met bepaalde AV-SW niet weet hoe je het bestand weer uit quarantaine verwijdert,
dan is er dus wel een probleempje... En als je PC dankzij rotte AV-software zo erg op tilt gaat dat je er niets mee weet te beginnen, dan ook. Maar de oorzaak hiervan ligt niet aan het gedownloade test-bestandje.
Want dat is nu juist bedoeld om zulke zaken te testen, te oefenen, en disfunctioneren aan het licht te brengen.

Ok, prima! Niet smeer aan doen dan... ;-)

Mvg, cluc-cluc

Bedank voor het attenderen om te testen of Sitecom cloud security wel werkt aangezien de DNS instellingen van de experiabox niet kunnen worden gewijzigd. En bedank voor de link naar de pagina met enkele downloads voor een AV test.

het resultaat, voor de werking van Sitecom cloud security lijkt het niets uit te maken dat de DNS instellingen in de experiabox niet kunnen worden gewijzigd en de Sitecom router als tweede router staat.

Bij het proberen te bezoeken van de pagina krijg ik al een waarschuwing, en bij het proberen te downloaden van een test bestand springen Sitecom cloud security, en Microsoft SmartScreen-filter er bovenop. Mooi :-)

Alleen als ik het test bestand via een beveiligde verbinding wil downloaden, reageert Sitecom cloudsecurity niet en is het alleen Microsoft SmartScreen-filter die waarschuwt.

Bedankt voor de feedback _Kraai_.

Wat je hebt gezien lijkt me normaal, aangezien cloudsecurity (net als iedereen die netwerkverkeer onderschept)
bij een beveiligde verbinding niets kan ontcijferen van wat er inhoudelijk over de lijn gaat. Ook een virus kan dan niet worden ontdekt. Anders gezegd: een beveiligde verbinding werkt dus goed tegen inhoudelijk afluisteren!

Maar iedere afluisteraar kan bij https nog wel zien welke webserver(s) je bezoekt, en ook cloudsecurity zou dus
kunnen detecteren welke website je bezoekt. En vervolgens aan de hand van bijv. blacklists waarschuwen
dat er iets mis is met die website. (indien dit dus algemeen bekend is m.b.t. die website)

Sitecom cloudsecurity werkt voor wat betreft inhoudelijke data dus wel bij http, maar niet bij https!
Op dat moment ben je overgeleverd aan de kwaliteiten van andere AV-detectie die op je PC draait,
zoals bijvoorbeeld het "vangnet" van Microsoft smartscreen.

Waarschijnlijk kun je met alle opgedane kennis nu redelijk gerust en veilig aan de slag _Kraai__.
En mooi dat het voldoende naar jouw tevredenheid werkt! :-)

Mvg, cluc-cluc

Ah, natuurlijk inderdaad even niet aan gedacht, maar inderdaad de versleutelde gegevens kunnen niet door Sitecom cloudsecurity worden ontcijferd.


Ik kan met een PC in netwerk 2 geen apparaten zien, of mee verbinden uit netwerk 1. de computers hebben een internetverbinding. De computers zijn met een kabel aangesloten. Alleen sommige website werken niet altijd helemaal goed , volgens mij wordt er door de advertentie filter soms iets teveel geblokkeerd (met name bij websites van winkels treden namelijk problemen op). Maar goed ik test nog even verder.

Bedankt voor je hulp cluc-cluc, maar ook natuurlijk voor anderen die mij geholpen hebben in dit topic, bedankt voor jullie hulp.

Let nog wel even op:
afhankelijk van je huidige configuratie, en van de manier waarop je het precies hebt getest,
zou het nog kunnen dat nu je "network mask" het contact met alle apparaten op netwerk1 voorkomt.
Niet omdat er op geen enkele manier verbinding met netwerk1 mogelijk zou zijn, maar simpelweg omdat standaard niet verder wordt gekeken dan het ene netwerk achter router2.
(network mask staat waarschijnlijk ingesteld op 255.255.255.0 en wordt door de router doorgegeven aan je PC('s),
zodat OS & applicaties op die PC('s) standaard niet verder kijken dan binnen dit lokale netwerk)

Je zult daarom ook m.b.v. een applicatie of een tool (netwerkscan of "ping") heel nadrukkelijk contact moeten zoeken
vanuit een apparaat aan netwerk2 met het IP-adres van een apparaat dat hangt aan netwerk1,
en dat bereidwillig is om op die test te antwoorden. Anders kun je geen betrouwbare conclusies trekken.

Laat ik het zo zeggen:
juist als je géén enkel contact kunt krijgen vanuit het netwerk aan je tweede router met een apparaat dat hangt aan
het netwerk van je eerste router (die met internet is verbonden) zou ik het niet zondermeer vertrouwen.
Tenzij heel duidelijk en concreet en zonder enige twijfel dankzij gedegen testen is aan te wijzen wat daarvan precies de reden is. (andersom geen contact kunnen krijgen, dus van netwerk1 naar netwerk2, zou ik daarentegen wél normaal vinden)

Maar je zei al dat je nog even verder ging testen... ;-)

Mvg, cluc-cluc

Ik ben aan het kijken voor een netwerkscan, moet alleen een programma vinden welke ik betrouwbaar vindt, liefst dus van een vertrouwde uitgever met een certificaat of zo erbij. Network mask staat inderdaad ingesteld op 255.255.255.0.