Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 4002 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Segmented Home Network

kf59
I am in the process of trying to divide up my home network into two 'zones' - One for adults and one for the kids. This is a basic MS Windows Home workgroup with various consumer routers and such.

The first plan was in theory to have a subnet for the kids. A primary 192.168.0.x network would have a connection to the WAN port of another WiFi router ( Netgear WNR2000 ). I would configure the router to have a 192.168.0 WAN interface and an internal space of 192.168.1.x - The Netgear has settings to block services according to a schedule and I could use OpenDNS on that router for further control. It all sounded great... in theory.

It worked intermittently and the Level 2 support from netgear has been nonexistant. I put this query out there and someone suggested I look at the ASG product for home use.

While I'm very impressed and intimidated by the firewall and capabilities, I'm not sure I'm going about setting it up according to best practices.

First of all, instead of putting it between the incoming cable modem and the network, I have inserted it between the .0.x and .1.x networks, using the LAN port on the WNR2000 WiFi router this time. When I connect wirelessly to this router / access point now I cannot 'pass through' to the home segment.

I'm thinking I missed a static route to the main gateway or something. A 'bridge'? A larger subnet mask? I'm a bit out of my depth.

Additionally, I wonder if I should be using VLANs and place the ASG box at the default post-modem location. It seemed easy to have a rule apply to an entire network address ( i.e. the kids on 192.168.1.x ) but maybe that isn't the most efficient.

Any help for the noob?


This thread was automatically locked due to age.
Parents
  • 0
    This is what I, and many others are doing and recommend:

    1. Setup the Astaro box with 3 NICs.

    2. Plug the Cable modem into the External NIC on Astaro.

    3. Plug a switch or WiFi AP into the LAN-Adults interface of the firewall

    4. Plug a switch or WiFi AP into the Kids interface.

    5. enable DHCP and DNS on the firewall for both LANs

    6. configure packetfilters and/or proxies

    IMPORTANT:
    Both APs should be used as AP's only, NOT Routers, meaning:
    a. only use the LAN interfaces on the APs; do not plug the WAN interface into the firewall or anything else

    b. Disable the DHCP server in the APs.

    If you do all of the above, the firewall will handle _everything_ except the WiFi encryption; Astaro will do DNS, DHCP, Routing, NAT/Masq, and all network security.
    You can (should) set Astaro to use OpenDNS in the DNS settings, and then have Astaro's DHCP give out the firewall's LAN interface IPs for DNS.
    Astaro can also do time-based rules, btw.

    Caveats: The Astaro home license only allows 10 internal clients (IPs) to go through the firewall... if you have more internet-connected devices than that you have a problem.
    Astaro has been giving 25-ip licenses to beta testers on this forum however.

    Barry
  • 0 in reply to BarryG
    Hi guys,
    the only thing you have to becareful with is printing, not all printer servers are network friendly and won't route between segemtns.

    Barryg, I tried to get the vlan bit going again, got a little further than last time, 2 PCs would work, but the other PCs and my linux workstation not a hope. There appears to be a command missing from the NIC drivers that covers vlans or 802.x p. Took me 4 hours of fiddling to get the vlan bit working, partly because I didn't read the error message correctly.

    VLAns do work under 7.402 or at least the simpler ones do.

    Ian M
  • 0 in reply to RFCat_vk_01
    Thanks for the input.

    I've read that adding another NIC after the fact can be tricky. I don't have much to lose by a fresh install however.

    Right now I have 6PCs, 4 laptops, 3 WiFi routers / Access Points and the Print Server, Looks like I might need to 'upgrade' to beta...

    Here's a schematic of the network at present:

    Netgear WNR2000 ( LAN=192.168.1.x )
    |
    Netgear WPN824 ( LAN=192.168.0.x )
    |
    D-Link DI-624 ( LAN=192.168.0.x )
    |
    Netgear FR114P ( LAN=192.168.0.x )

    This represents the single CAT5e cable from the FR114P in the basement through to the WNR2000 on the top floor. It is looking more and more like I need to pull another run for the distinct .1.x network...
  • 0 in reply to kf59
    Barry's recommendation should result in none of the routers or APs having an IP.

    Cheers - Bob
    PS Thanks Barry! - for the clarification that the sentence above was incomplete and should have ended with "visible to the Astaro" - I guess no one could read my mind!  See his post for more details.
  • 0 in reply to BAlfson
    Barry's recommendation should result in none of the routers or APs having an IP.


    They'll still have an internal IP for management; but you do need to change it so it doesn't conflict with the firewall; e.g. make it 192.168.1.2 instead of 1.1, or whatever is appropriate for each LAN.
    This IP won't get counted by the firewall though, unless you cross through the firewall to manage an AP on another LAN.

    Barry
Reply
  • 0 in reply to BAlfson
    Barry's recommendation should result in none of the routers or APs having an IP.


    They'll still have an internal IP for management; but you do need to change it so it doesn't conflict with the firewall; e.g. make it 192.168.1.2 instead of 1.1, or whatever is appropriate for each LAN.
    This IP won't get counted by the firewall though, unless you cross through the firewall to manage an AP on another LAN.

    Barry
Children
No Data