Dubbele hardware voorkomen

Dit ga je niet voorkomen; desnoods een instructie schrijven, op basis van boete ofzo, welke adressen ze niet zelf mogen uitdelen?

In principe zou ik het niet echt gaan bestrijden, meer onderhoudsvrij maken dan je nu al hebt.

Iedereen gooit zijn router op 192.168.0.1 neer. Waarom zet je die van jouw niet op 172.16.0.1 ofzo neer.

Over DHCP, een thuisroutertje stuurt geen DHCP over zijn WAN verbinding. Als er DHCP pakketjes van andere routers over jouw netwerk heen gaan zijn ze LAN poorten aan het aansluiten. Dit zou je inderdaad met VLAN's kunnen beperken.

Ducktape schreef op vrijdag 14 september 2007 @ 17:38:
Hoe voorkomen ze dit dan in grote bedrijfsnetwerken?

Over het algemeen gaan werknemers niet eigen routers meenemen naar het werk en wordt verder het netwerk netjes gedocumenteerd om problemen te voorkomen.

Ducktape schreef op vrijdag 14 september 2007 @ 17:38:
Hoe voorkomen ze dit dan in grote bedrijfsnetwerken?

Euh... Hoe vaak zie jij een werknemer binnenlopen met een eigen router?

Het uitdelen van IP-adressen kan natuurlijk wel worden vastgelegd maar binnen een beetje organisatie (met bepaalde naamsconventies), kan een vreemde client erg snel worden opgespoord en geblockt.

Ducktape schreef op vrijdag 14 september 2007 @ 17:42:
[...]
dat bedoel ik dan heb je op een LAN 2 x een DHCP (wel op het zelfde adres)
Hoe zou ik dat met VLAN aan moeten pakken? DHCP moet dan in de router. en de router moet de VLAN's aan elkaar knopen?

No offence, maar VLAN's redelijk onderhoudsvrij maken/houden is net zo'n prutswerk als dat je voor MAC-filtering zou kiezen. Ik weet niet hoe professioneel jouw werkzaamheden zijn, maar ik lees dat je het probleem bij jezelf neerlegt, terwijl het eigenlijk een tekort is aan kennis van de gebruikers.

Je zal inderdaad een switch moeten hebben met VLAN ondersteuning. Vervolgens een firewall die hier mee om kan gaan dat wil zeggen een device wat een 802.1q trunk ondersteunt. Je kan dit met een linux machientje doen die dan ook DHCP server is op elk VLAN. Elke kamer een eigen VLAN en ze kunnen klooien wat ze willen. Als het niet meer werkt eigen schuld. Je moet er wel rekening mee houden dat als ze naar elkaar toewillen dat alles via de firewall gaat.

Wat natuurlijk kan schelen is als je zelf een Wifi-AP neerzet (hangt ook een beetje van de locatie af natuurlijk). Dan hoeft men ook niet meer zelf spullen aan het netwerk te knopen en ben je van het gezeur af.

Ducktape schreef op vrijdag 14 september 2007 @ 17:42:
[...]
dat bedoel ik dan heb je op een LAN 2 x een DHCP (wel op het zelfde adres)
Hoe zou ik dat met VLAN aan moeten pakken? DHCP moet dan in de router. en de router moet de VLAN's aan elkaar knopen?

Zoals ook al aangegeven, ik zou me er niet druk om maken.

Enige wat ik zou doen is die IP range veranderen in iets wat praktisch niemand gebruikt voor zijn netwerk maar wat toch voor publiek gebruik bedoeld is. 172.16.x.x t/m 172.31.x.x is hier een prima kandidaat voor, enkel af en toe een bedrijf waar je het ziet maar heb het nog nooit iemand thuis zien draaien.

Wat dacht je van "regels/deal", verklooit je het wil ik het best repareren maar dan wordt het dus betalen. Dan leren ze het vast wel af, aangezien studenten meestal zo min mogelijk geld uit willen geven.

Ik zag vanochtend dit op 't grote interweb: http://meraki.com/products/mini/
mischien kun je dat gebruiken om wifi aan te bieden. het kan nog rate-limiten enzo ook.

Als je remote bij je eigen routers kan, dan is MAC-filtering een idee. Laat een gebruiker een dag van te voren zijn MAC doormailen en dan heb je tijd zat om het te implementeren. En op het moment dat 10 mensen bellen dat het niet meer werkt, gooi je het laatst toegevoegde MAC eruit?

Wat is er mis met zeggen "zelf klooien betekent geen service?". Eerst overleg over wat ze aanschaffen, en anders hebben ze pech.

Ducktape schreef op vrijdag 14 september 2007 @ 18:03:
[...]
Als ze wifi willen moeten ze het zelf doen.

Maar dat zelf doen is juist het hele probleem

Dan is de gateway veilig. Enige wat nog kan gebeuren is dat ze een alternatieve DHCP service draaien en dat je dus PC's in een andere range krijgt na het verlopen van een lease.

En dan zitten mensen zonder werkend internet/netwerk en mag je alsnog komen opdraven. Heb je dus niks bereikt.

Je hebt hetzelfde probleem als veel IT-afdelingen. Je kunt niet service geven als je niet de grenzen van te voren aangeeft. Dus eerst duidelijk maken wat wel en niet mag, en wat uitsluiting van service oplevert.

Ducktape schreef op vrijdag 14 september 2007 @ 18:36:
dus alle hardware mag mits het geen service bied op het netwerk (DHCP, Gateway) en zoland het een statisch IP heeft. Volgens mij heb ik dan in een regel wat wel en niet mag.

Alles wat niet vooraf is overlegd en goedgekeurd valt buiten de service. Internetproblemen worden niet bekeken totdat de apparatuur is verwijderd en instellingen terug zijn gezet naar installatie.

TrailBlazer schreef op vrijdag 14 september 2007 @ 17:45:
Je zal inderdaad een switch moeten hebben met VLAN ondersteuning. Vervolgens een firewall die hier mee om kan gaan dat wil zeggen een device wat een 802.1q trunk ondersteunt. Je kan dit met een linux machientje doen die dan ook DHCP server is op elk VLAN. Elke kamer een eigen VLAN en ze kunnen klooien wat ze willen. Als het niet meer werkt eigen schuld. Je moet er wel rekening mee houden dat als ze naar elkaar toewillen dat alles via de firewall gaat.

Idd

Per aansluiting een vlan, koop via ebay een oude Cisco Catalyst 24 poorts (rond de 50€) meer dan 10 mbps heb je toch niet nodig per gebruiker.

Een linux firewall die kant en klaar te krijgen is met vlan ondersteuning is Monowall (http://m0n0.ch/wall/). 1 netwerkkaart naar je modem, andere als trunk naar de Catalyst.

Monowall draait al aardig op een oude pc, en is volledig webbased te beheren

Catalyst + oude pc voor Monowall = < 150€

Wat je mischien ook kan doen is een oude pc vol stampen met netwerk kaarten en linux software als hierboven al genoemd wordt op draaien heeft iedereen eigen netwerk soort van alles in 1.

Een gemiddelde pc kan wel 5 netwerk kaarten in als het geen conflicten met elkaar geeft teminste.
4 als LAN
1 als WAN

Stel je gelijk in dat je via putty de pc kan beheren hoef je nooit meer voor onderhoud erheen te reizen.

Ik thuis heb een pc met 3 netwerk kaarten met ISA server erop werkt perfect LAN en WLAN van elkaar gescheiden.

Ik heb geen idee hoeveel mensen in een gemiddelde studentenhuis zitten.

EDIT:

De goedkoopste manier is gewoon regels opstellen wat mag en niet mag en hebben ze een DHCP server in het netwerk draaien is heel simpel om erachter te komen gewoon alle stekkers uit de switch hallen en 1 voor 1 er weer in doen kom je vanzelf bij de goede.

[ Voor 55% gewijzigd door Verwijderd op 15-09-2007 18:21 ]

Een wireless router in een netwerk hangen kan best als die maar op de Wan-poort is aangesloten. Verder zou ik gewoon aangeven dat per patchaansluiting maar 1 computer mag worden aangesloten en routers alleen in overleg. Op straffe van afsluiting (als je die macht hebt). En DHCP servers zijn uit den boze natuurlijk.

Zoals al gezegd, gooi die router nou in een ander subnet wat niet veel wordt gebruikt.

75% van de mensen welke DHCP uit gaan delen op je netwerk doen dat omdat "het internet niet werkt als de router op de wan poort wordt aangesloten".

De meeste mensen begrijpen wel, of krijgen wel uitgelegd, dat de WAN poort voor internet is en de LAN poorten van een router voor netwerk.

Maar goed, als jij graag wilt investeren dan heb je wel goede spullen daarvoor uitgekozen ja.

Hier heb ik gewoon een oude PC die het internet voor het huis serveert.
Als je een Linux commandline niet vies bent kan dat best een leuke optie zijn.

Situatie hier is als volgt, van boven(WAN) naar beneden (client):

- Modem-router van ADSL aanbieder (wegens gebrek aan bridge stand staat de server in de DMZ)
- Linux server eth1, die het door een firewall gooit en de te forwarden pakketjes doorgeeft via eth0
- Switch
- Kabeltjes naar clientjes

In mijn geval heb ik echter geen last van mensen die ineens routers of accesspoints er aan hangen. Mocht dat wel het geval zijn dan is het vrij simpel om de instellingen van de DHCP daemon een beetje aan te passen zodat deze in Authoritative mode zijn werk gaat doen en elke andere DHCP server de mond snoert door als het ware te zeggen dat hij de baas is.
Ik zal eerlijk zeggen dat ik de optie nooit geprobeert hebt, puur omdat ik het niet nodig heb, maar misschien bestaat hij voor dit soort situaties.
Ik denk dat het de clienten waar niet aan geprutst is met extra tussen routers prima zal kunnen voorzien van een lease en dat alleen de mensen die lopen te mieren de pech zullen hebben dat hun nieuw geplaatste routertje zich of koest houdt of bij de pakken neer gaat zitten.

Policy schrijven is altijd verstandig om te doen, zij dat vroeg of laat. Stel alleen wel iedereen op de hoogte

Ik lees nu dat je in meerdere huizen aanlegt, dan is dat PC idee misschien geen optie...
Maar beginnen met je eigen gateway een andere ip range te geven kan al helpen.