Hoi KPNers
Ik heb gister 2 Tp link eap245 accesspoints aangeschaft die ik persoonlijk heel fijn en uitgebreid vind, nu wil ik die accesspoints ook voor een gastnetwerk voorzien ik heb op mijn experiabox v10a het gastnetwerk voor alsnog open staan, maar hoe zorg ik dat mijn accesspoints dat ook gaan doorgeven, zit dat op een andere vlan zoja welke?
Alvast bedankt!
Bladzijde 1 / 2
Hallo, ik begrijp dat de EAP245 een eigen gastnetwerk heeft om in te stellen, die zou je dan met dezelfde SSID en wachtwoord kunnen instellen als je modem.
Zelf hebben ze geen gastnetwerk optie maar je kan wel apparte vlans bvb instellen de instellingen zijn veel uitgebreider dan een normaal accesspoint
Dan heb je zelf het antwoord al gegeven op je eigen vraag.
Helaas is het gastnetwerk niet op een apart vlan beschikbaar waardoor het niet mogelijk is om wifi accesspoints op het gastnetwerk van de V10A aan te sluiten.
Zelf gebruik ik geen Experia Box meer, maar een EdgeRouter en die heeft gelukkig wel vlans waardoor zoiets wel mogelijk is.
Ik gebruik EDIMAX CAP1200 wifi accesspoints met op vlan 1 het privé netwerk, vlan 2 het gastnetwerk en vlan 10 mijn zakelijke netwerk.
Zelf gebruik ik geen Experia Box meer, maar een EdgeRouter en die heeft gelukkig wel vlans waardoor zoiets wel mogelijk is.
Ik gebruik EDIMAX CAP1200 wifi accesspoints met op vlan 1 het privé netwerk, vlan 2 het gastnetwerk en vlan 10 mijn zakelijke netwerk.
Zelf gebruik ik geen Experia Box meer, maar een EdgeRouter en die heeft gelukkig wel vlans waardoor zoiets wel mogelijk is.
Ik gebruik EDIMAX CAP1200 wifi accesspoints met op vlan 1 het privé netwerk, vlan 2 het gastnetwerk en vlan 10 mijn zakelijke netwerk.
Maar het gastnetwerk op de v10a loopt zelf toch ook op een aparte vlan of hoe zit dit want werkt het dan niet als ik weet welke vlan dat is die ook als vlan nummer bij mijn accesspoints in te stellen?!
Het gastnetwerk op de Experia Box heeft zijn eigen DHCP server en dus zou je eigenlijk mogen verwachten dat deze op een apart vlan staat. Dit vlan is echter niet beschikbaar op de LAN poorten van de Experia Box en daardoor kan je dus niet jouw eigen accesspoints aansluiten op dat vlan.
Ah oke duidelijk, en als ik er nou bvb een eigen router tussen doe dan moet ik zeker aparte kabels vanaf de experiabox trekken voor tv of kan dit gewoon door de tussenliggende router doorgegeven worden via hrtzelfde subnet
Dat heeft helemaal geen zin, alle apparaten die via een LAN poort op de Experia Box aangesloten worden zitten in het 192.168.2.x netwerk van de Experia Box en kunnen babbelen met andere apparaten binnen dat subnet.
Als de accesspoints IP adres filtering hebben, dan kan je heel ver komen door verkeer naar de router toe te staan en verkeer naar alle andere IP adressen binnen het subnet te blokkeren.
Ik heb hier ook een 2-tal TP-Link EAP245v3 hangen. Zelf heb ik de wifi op de V10 uitgeschakeld en een apart gastnetwerk op de EAP245 geconfigureerd. Eigen SSID en een dubbel wachtwoord: eentje om op het gastnetwerk te komen en vervolgens een extra wachtwoord via de portal. Het gastnetwerk is ingesteld op SSID-isolation dus kunnen ze verder ook geen apparaten op het netwerk zien.
Weliswaar iets minder veilig dan een aparte vlan (is dat wel zo?) maar voor een particulier netwerk is dit naar mijn mening ruim voldoende.
Weliswaar iets minder veilig dan een aparte vlan (is dat wel zo?) maar voor een particulier netwerk is dit naar mijn mening ruim voldoende.
Dat is mijns inziens meer dan voldoende. Alleen zorgen voor een sterk wachtwoord op de Experia Box en absoluut SSID, AP of STA isolation aanzetten.
Wachtwoord EB bestaat uit 11 karakters en bestaat uit (hoofd-)letters, cijfers en tekens. Goed genoeg lijkt me. Gastnetwerk ook 11 karakters (natuurlijk anders dan die van de V10) en wachtoord van portal ietsje minder maar genoeg 😉
Bij ons is het wachtwoord van het wifi gastnetwerk heel eenvoudig en staat ook gewoon op een kaartje dat aan het prikbord hangt en we gebruiken geen portal.
Zolang je STA isolation aan hebt staan en een heel goed wachtwoord op de router, dan kan er weinig gebeuren. Let op, sommige SSID/AP isolations zorgen er alleen voor dat mobiele apparaten binnen de SSID elkaar niet kunnen zien maar dat bekabeld aangesloten apparaten wel gewoon zichtbaar zijn.
Zolang je STA isolation aan hebt staan en een heel goed wachtwoord op de router, dan kan er weinig gebeuren. Let op, sommige SSID/AP isolations zorgen er alleen voor dat mobiele apparaten binnen de SSID elkaar niet kunnen zien maar dat bekabeld aangesloten apparaten wel gewoon zichtbaar zijn.
De wachtwoorden voor het gastnetwerk zijn hier ook niet zo moeilijk en staan ook op een 'bordje'. STA isolation kent de EAP245 niet (wel de EnGenius die jij hebt). Overigens komen er hier geen "bekabelde gasten"...alleen de telefoonverslaafde pubervriendinnen van mijn dochter
Ik heb geen EnGenius. Onze router is een EdgeRouter Lite 3 en als accesspoints gebruiken we EDIMAX CAP1200's.
Het gaat er juist om dat jouw eigen bekabeld aangesloten apparaten ook niet zichtbaar mogen zijn voor via het wifi gastnetwerk aangesloten apparaten.
Op de EAP245 moet je dat net als op een EDIMAX CAP1200 zelf expliciet instellen en de benodigde functionaliteit is daarvoor aanwezig.
O wacht ja...Access Control heet dat bij de EAP245. Klopt.
Precies.
Rule mode: Block
Rule members: 192.168.2.0/24
Exclude: 192.168.2.254/32
Rule mode: Block
Rule members: 192.168.2.0/24
Exclude: 192.168.2.254/32
Die staan er bij mij exact zo in. Ik twijfel alleen over ip-adres waar de Omada controller software op draait (mini pc). Volgens de beschrijving zou die ook exclude moeten zijn.
Tekst volgens beschrijving:
1. Add an Access Control Rule at Wireless Control->Access Control->Add Access Control Rule, then click Apply. For example, if the wireless clients and wired clients belong to same subnet (192.168.1.x). We can set Block Subnets as 192.168.1.0/24, Block Exclude Subnets as 192.168.1.1(Gateway), 192.168.1.7(IP address of Omada Controller). (If guest clients need to connect to some special devices, you can add the IP address of these devices to Exclude Subnets list.
Rule mode: Block
Rule members: 192.168.2.0/24
Exclude: 192.168.2.254/32
Tekst volgens beschrijving:
1. Add an Access Control Rule at Wireless Control->Access Control->Add Access Control Rule, then click Apply. For example, if the wireless clients and wired clients belong to same subnet (192.168.1.x). We can set Block Subnets as 192.168.1.0/24, Block Exclude Subnets as 192.168.1.1(Gateway), 192.168.1.7(IP address of Omada Controller). (If guest clients need to connect to some special devices, you can add the IP address of these devices to Exclude Subnets list.
Ik heb het even getest en het ip ades van de pc waar de software op staat, verwijderd bij 'exclude'. Gastnetwerk kan gewoon internet op dus blijkt genoeg te zijn om alleen 192.168.2.254 te 'excluden'.
Rule mode: Block
Rule members: 192.168.2.0/24
Exclude: 192.168.2.254/32
Nee hoor, dat is nergens voor nodig, jouw gasten hebben toch niets te zoeken op die Omada controller.
Al met al moet het voor @Lukas_ nu duidelijk zij hoe een gastnetwerk op een veilige manier ingericht kan worden op de EAP245
Weliswaar iets minder veilig dan een aparte vlan (is dat wel zo?) maar voor een particulier netwerk is dit naar mijn mening ruim voldoende.
Ah oke, heb jij verder nog iets in de settings veranderd wat voor mij ook belangrijk zou zijn? Bvb fast roaming ofzo of band sweering enz! En ik heb trouwens de ssid isolation aan gezet maar zie nog steeds Chromecast apparaten via het zelfgemaakte gastnetwerk en is er trouwens een oplossing dat de portal met beide accesspoints samenwerken? want als ik nu naar boven loop moet ik in de portal opnieuw aanmelden omdat hij naar het andere accesspoint gaat!
Als je de wifi op de Experia Box uit zet, zet fast roaming dan aan.
Bandsteering zet je altijd aan, dat zorgt er voor dat apparaten automatisch met de beste band (2.4GHz of 5GHz) verbonden worden. Je moet dan wel dezelfde SSID voor beide banden gebruiken.
En vergeet dit niet.
Bandsteering zet je altijd aan, dat zorgt er voor dat apparaten automatisch met de beste band (2.4GHz of 5GHz) verbonden worden. Je moet dan wel dezelfde SSID voor beide banden gebruiken.
En vergeet dit niet.
Weliswaar iets minder veilig dan een aparte vlan (is dat wel zo?) maar voor een particulier netwerk is dit naar mijn mening ruim voldoende.
Gebruik je wel de Omada software controller?
Rule mode: Block
Rule members: 192.168.2.0/24
Exclude: 192.168.2.254/32
Dit kan ik niet via de interface vinden! Of is dat via software die ik moet downloaden op mijn pc?
Rule mode: Block
Rule members: 192.168.2.0/24
Exclude: 192.168.2.254/32
Inderdaad. Dat kan alleen met de software. Wil je altijd blijven monitoren dan moet die pc aanblijven of je zult een OC200 controller aan moeten schaffen.
Op de app zie je o.a. dit:
Reageer
Enter your E-mail address. We'll send you an e-mail with instructions to reset your password.