Netwerk scheiden met 2 routers

Quakie schreef op woensdag 16 mei 2007 @ 21:46:
Totaal offtopic, maar met welke programma worden zulke screens gemaakt?
Ik zie ze nl. vaker voorbij komen en het kan best handig zijn als je een keer je netwerkje wilt uittekenen.

job schreef op woensdag 16 mei 2007 @ 21:50:
Die pc's die 2 nics heeft moet je wel goed configureren.
Je wil niet dat het verkeer alsnog via die 2 nics van het ene netwerk naar het andere gaat.
Of dat in windows kan zou ik overigens niet weten.

jvanhambelgium schreef op woensdag 16 mei 2007 @ 22:02:
Euh ... gewoon een IP-filter op de BEFSR41 ??

- alle verkeer toelaten naar 10.10.1.1 (dit is de default gateway voor de downstream BEFSR41) ongeacht het source-ip
- alle traffiek blokkeren destination 10.10.1.10/25 source eventueel range 10.0.0.10/25

2 zulke filtering statement zullen wel kunnen op de linksys doos zekers ?

Keep It Simple Stupid!


Allemaal niet te moeilijk maken...

jvanhambelgium schreef op woensdag 16 mei 2007 @ 23:25:
euh ... de netwerkkabel die richting "internet" gaat moet in de WAN poort dan hé.
vervolgens kan de de LAN-port (of 1 van de LAN ports) gebruiken om naar de onderliggende USR gigabit switch te gaan ?

IK kan ook niet uitmaken of de BEF41SR ook via DHCP een "WAN" ip addres krijgt van de upstream INternet Linksys ?? Of heb je statische adressen erin geklopt ?

Moet lukken hoor.
Desnoods kan je veiligheidshalve additioneel nog een filtering rule zetten dat je ALLE inbound verkeer op de WAN-port van de BEFSR41 dropped wat komt van DHCP-scope 10.10.1.10/25 MAAR dan moet je wel zorgen dat je BEFSR41 eventueel een statisch WAN-ip heeft net buiten deze scope ? Begrijp je ?

Jan

rapture schreef op donderdag 17 mei 2007 @ 19:11:
Die Linksys huishoudrouter heeft slechts 1 LAN-interface, ik zou het anders oplossen. Hoeveel IP-adressen krijg je? Als je 2 IP-adressen krijgt, dan kan je het zo oplossen.

2 gescheiden netwerken die via hun eigen huishoudrouter aan de WAN gehangen worden. Deze kunnen naar het Internet, maar buiten de huishoudrouter kan je dankzij NAT niet meer zomaar terug naar binnen. Tenzij als je portforwarding of andere zaken configureer.
[afbeelding]

rapture schreef op donderdag 17 mei 2007 @ 20:19:
[...]
Op die 2 publieke (WAN) IP-adressen kan je toch net die 2 routers hangen?

[...]
Als je VLAN's gebruikt, dan horen de VLAN's van elkaar gescheiden te zijn, anders heb je geen werkende VLAN's. Tussen de gescheiden VLAN's wordt er gerouteerd door 1 of ander apparaat die dat kan.

De voorbeelden van Twee VLAN's op 1 internetverbinding. gaan over een interne LAN en een rij publieke servers.

Dit plaatje in de topicstart zorgt ervoor dat 10.0.0.0 subnet niet van buitenaf (en 10.10.1.0 subnet) bereikbaar zijn. Maar vanuit 10.0.0.0 kan je wel alles van 10.10.1.0 bereiken.

jvanhambelgium schreef op donderdag 17 mei 2007 @ 20:27:
Heb je nu al eens een poging gedaan met dezelfde DHCP-pool op BEFSR41 te zetten als dat je Internet-Linksys geeft ?

rapture schreef op donderdag 17 mei 2007 @ 22:01:
Een Vigor huishoudrouter die de LAN-poortjes in VLAN's kunnen opdelen en deze VLAN's van Internet kunnen voorzien.

Of je zet een goedkope huishoudrouter aan de WAN, hierachter kan je 2 huishoudrouters hangen om 2 aparte netwerken te hebben.
[afbeelding]

rapture schreef op donderdag 17 mei 2007 @ 22:12:
@ jvanhambelgium
Het gaat wel (achterliggende theorie klopt), als de router ervan uit gaat, dat pakketjes die naar dezelfde subnet moet, langs de andere interface naar buiten moet. Waarschijnlijk valt dit op een Linux-router ook wel "bijeen te hacken".

Indien de router andere dingen met die pakketjes doet, dan mag het zelfs succesvol NAT'en en nog altijd gaan de pakketjes nergens heen.

[...]
Weet wat je zoal bezit en verkoopt.
[afbeelding]
http://www.draytek.nl/pag.../2800/specs.php?show=vlan

rapture schreef op donderdag 17 mei 2007 @ 22:28:
In de handleiding zie ik iets als IP-based ACL's, dat kan je eens uitproberen.

rapture schreef op donderdag 17 mei 2007 @ 22:28:
In de handleiding zie ik iets als IP-based ACL's, dat kan je eens uitproberen.

jvanhambelgium schreef op vrijdag 18 mei 2007 @ 09:31:
Allez, die BEFSR41 unit moet je dan even vervangen door de Vigor .....
Hmm ok .. .vergeet die Cisco wild-card theorie ook maar al ... ik zat nog met die Linksys BEFSR41 in m'n kop.
Ik weet niet hoe de Vigor de interpretatie doen van "wildcard" mask ... effe handleiding opsnorren hé!

Conan schreef op vrijdag 18 mei 2007 @ 14:18:
[...]


Euhhmzz...ik wil wel die BEFSR41 gebruiken, want die Vigor heb ik niet langer
Dan kan ik toch wel gewoon de instellingen gebruiken zoals u net aangaf?

jvanhambelgium schreef op maandag 21 mei 2007 @ 08:15:
Enkele posts hoger zie ik hier een menu om IP ACL's te maken, is deze screenshot van de Linksys of Vigor ?? Het enige probleem dat hier nog overschiet is het beperken van de toegang van LAN2 naar LAN1.
Indien je IP ACL's kan maken op de BEFSR41 moet je ze eens proberen zoals ik schreef met de Cisco "methodiek" van de wildcard mask.
Indien het IP ACL menu op de Vigor was ... tja ... dan heb je nog steeds een probleem ;-)

Jan

jvanhambelgium schreef op maandag 21 mei 2007 @ 12:24:
Je moet dan eens proberen om op de SRW208 slecht 1 VLAN te maken (anders heb je toch weer een probleem omdat deze swich PORT BASED VLAN's doet en geen L3-switch is met volle IP-routing capaciteiten)

Als je gewoon alles in 1 VLAN stopt en vervolgens zo een filter aanmaakt -> IP filter met een DENY/DROP van de DHCP-ranges van LAN2 naar de DHCP-ranges van LAN1 kan je de oplossing wel hebben.

Ik veronderstel dat deze filter binnen een VLAN het verkeer zal checken, dus IP-packets komende op elks van de poorten zal screening ondergaan.

Dus :
- zwier alle (allez, minstens 3) poorten in 1 VLAN dewelke liefst niet de "management VLAN" is
- definieer een ip-acl (probeer desnoods met 1 host ipv gans de DHCP van LAN2)
* ik heb even gekeken en de wildcard-bits zijn zoals de Cisco implementatie.
- vervolgens eens kijken bij de Security TAB - ACL "binding" om de ACL een poort te zetten (vb op de poort waar de BEFSR41 richting LAN2 in zit) en dan proberen maar.

PAS OP : Ik heb de indruk dat je een 2e IP ACL moet maken om de rest van het verkeer erdoor te laten anders heb je een "drop" op alles verkeer die buiten de ACL valt.(device is nogal security centric)
Dus vb 1e ACL met een DENY/DROP van LAN2 naar LAN1
Dan een 2e ACL (of de DEFAULT RULE aanpassen) met een PERMIT van al de rest, anders gaat er niet veel meer werken ;-)

Lees sowieso de handleiding eens door ,staat redelijk goed beschreven.
Succes!
Jan

jvanhambelgium schreef op maandag 21 mei 2007 @ 12:24:
Je moet dan eens proberen om op de SRW208 slecht 1 VLAN te maken (anders heb je toch weer een probleem omdat deze swich PORT BASED VLAN's doet en geen L3-switch is met volle IP-routing capaciteiten)

Als je gewoon alles in 1 VLAN stopt en vervolgens zo een filter aanmaakt -> IP filter met een DENY/DROP van de DHCP-ranges van LAN2 naar de DHCP-ranges van LAN1 kan je de oplossing wel hebben.

Ik veronderstel dat deze filter binnen een VLAN het verkeer zal checken, dus IP-packets komende op elks van de poorten zal screening ondergaan.

Dus :
- zwier alle (allez, minstens 3) poorten in 1 VLAN dewelke liefst niet de "management VLAN" is
- definieer een ip-acl (probeer desnoods met 1 host ipv gans de DHCP van LAN2)
* ik heb even gekeken en de wildcard-bits zijn zoals de Cisco implementatie.
- vervolgens eens kijken bij de Security TAB - ACL "binding" om de ACL een poort te zetten (vb op de poort waar de BEFSR41 richting LAN2 in zit) en dan proberen maar.

PAS OP : Ik heb de indruk dat je een 2e IP ACL moet maken om de rest van het verkeer erdoor te laten anders heb je een "drop" op alles verkeer die buiten de ACL valt.(device is nogal security centric)
Dus vb 1e ACL met een DENY/DROP van LAN2 naar LAN1
Dan een 2e ACL (of de DEFAULT RULE aanpassen) met een PERMIT van al de rest, anders gaat er niet veel meer werken ;-)

Lees sowieso de handleiding eens door ,staat redelijk goed beschreven.
Succes!
Jan

jvanhambelgium schreef op woensdag 23 mei 2007 @ 07:25:
Toch wel ?? Daar dient nou het die wildcard mask voor !

Source-ip : 10.0.0.10 met wildcardmask 0.0.0.127
Destination-ip : 10.10.1.10 met wildcardmak 0.0.0.127

dit gaat dus over de volledige DHCP-range van BEFSR41 zijne 10.0.0.10/25 richting DHCP-range van LAN1 zijnde 10.10.1.10/25
Als je kleine stukken wilt definieren moet je spelen met de wildcard-mask .. zie handleiding ;-)


all de rest zo laten en enkel bovenaan kiezen dat je een drop/deny wilt doen ipv permit/pass of zoiets.
Vervolgens die rule nog op de poort gooien waar BEFSR41 aan hangt.

Succes!

Jan


Zo moet je toch 1 "rule" kunnen maken ??