PC achter 2de router

[pa3hio]

Korte situatie schets:

de lokale omroep waar ik bij werk gaat verhuizen. De non-stop pc willen we bij mij thuis zetten, zodat gebruikers deze via teamviewer kunnen blijven benaderen. Achter mijn RT2600 router heb ik een tweede router gezet, waar de non-stop pc aan hangt. Dit werkt allemaal goed, (ben me bewust van NAT achter NAT), echter kunnen gebruikers nu ook in mijn prive netwerk komen. Ik heb geen managed switch voor bijvoorbeeld een VLAN. De opstelling is voor een maand, dus zeer tijdelijk...
Ik vraag me af, is dit probleem simpel op te lossen, zie ik iets over het hoofd?

Gr. Robert.

[DSGebruiker]

Wat je zou kunnen proberen is dus de PC (Windows?) te laten overnemen door een "gewone" gebruiker en vervolgens de Firewall functie van Windows gebruiken en daar te zeggen dat alle verkeer van/naar je "lokale IP-range" met uitzondering van je router moet gedropped worden. Gaat al een héél stuk helpen...

Standaard kan een gewone gebruiker de Firewall-functie niet kan veranderen zonder "admin" account.

Als je een "leek" op Windows bent zal je wel wat Google werk moeten  doen...maar het is zeker doenbaar.

[Ben(V)]

Teamviewer lijkt me niet de beste tool hiervoor
Ik zou gewoon RDP opzetten op die Windows PC en dan in je router de RDP port forwarden naar die PC.

Dan kunnen die gebruikers gewoon inloggen op die PC.
Als je dan de file en printervers uitzet kan niemand verder je prive lan op.
Uiteraard mag je die gebruikers account op de PC geen admin rechten geven want dan kunnen ze alles weer zelf veranderen.

[pa3hio]

Ben, is het niet zo dat RDP alleen binnen het LAN werkt? de teamview-gebruikers zitten niet bij mij thuis he 
Punt 2 is dat het maar tijdelijk is, dus iedereen werkt nu met teamviewer...

[Ben(V)]

Natuurlijk werkt RDP niet alleen via het lan.

[DSGebruiker]

Met RDP moet je natuurlijk weer het publieke IP van die kant kennen dat via port-forwarding dan gemapped is, met Teamviewer is dat netjes opgelost, je hoeft geen portmapping-config te doen.

Ja je kan natuurlijk een DynDNS client erbij sleuren (dan heb je nog steeds de statische portmapping nodig), maar met Teamviewer heb je die abstractie gelijk voor elkaar en voor de leek simpel een connectie te leggen ook.

[pa3hio]

Ik ga de opties bekijken, dank allen voor het meedenken. Prettig weekend

[Babylonia]

Verder zou je in de RT2600ac firewall regels kunnen toevoegen die toegang buiten het IP van je PC in je LAN niet toestaat.

[DSGebruiker]

Probleem is dat communicatie tussen hosts OP je LAN niet eens via je RT2600AC gaan passeren, tenzij je met VLAN's aan de slag gaat, en de Teamviewer-PC dus in een ander subnet steekt.

Dus de PC met Teamviewer kan alle "wired" PC/devices in de LAN benaderen zonder dat er een packet langs de RT2600AC hoeft te passeren. Draadloze devices geconnecteerd op de RT2600 zou je nog kunnen afschermen.

[Babylonia]

Ik zou niet weten waarom het niet te doen zou zijn?

Met twee routers heb je twee  verschillende LAN sub-nets.  (NAT achter NAT).
Met Teamviewer heb je een "VPN-verbinding" tot aan de PC in je tweede sub-net (van de tweede router), waar de connectie ligt.
Van daaruit zou je normaal gezien "terug" kunnen naar het sub-net van de eerste router (de RT2600ac).

Zoals aangegeven, door daarin een firewall regel extra in te voeren om het sub-net van de tweede router te blokkeren,
kun je vanuit die PC achter die tweede router niet op het sub-net van de eerste router komen.
(Die situatie met firewall regel heb ikzelf al eens ooit uitgeprobeerd met een "gewone" VPN-connectie, en dat werkt gewoon).

Je zou de functies / connecties van die twee routers ook kunnen omdraaien. (De RT2600ac als tweede router).

Zet die PC dan in het sub-net van de eerste router.
In de RT2600ac als tweede router een extra firewall regel om het sub-net van de eerste router te blokkeren.
Ondanks dat je mogelijk services achter je RT2600ac hebt draaien die "van buiten uit" zijn te benaderen,
de PC in je eerste sub-net komt ook in die setting niet meer meer op het sub-net van je RT2600ac.

[DSGebruiker]

Je hebt volledig gelijk, was even de 2e router vergeten   
Zolang je de TeamViewer PC kan isoleren op een subnet heb je mogelijkheden om enkel het hoogstnodige verkeer van/naar deze host toe te laten.

[pa3hio]

Het is me gelukt  Ik heb een andere (2de) router gepakt (eminent) In deze router kon ik een WAN IP-range zetten in de firewall, waar de betreffende pc niet bij kan. In die range heb ik mijn eigen netwerk gezet 192.168.1.1 t/m 192.168.1.254. Alles lijkt nu te werken zoals het moet.

We moesten bij teamviewer blijven, dus RDP is mooi, maar is in ons geval weer lastig.

iedereen dank voor het meendenken.

Gr. Robert