NAT router op gelijk subnet of toch Transparent?

Ik ben op dit moment bezig met de voorbereiding op aansluiting op "KPN One" dit lijkt een beetje op Epacity. Je krijgt op het kantoor een router, op elke locatie stel je die simpel gezegd in als default gateway en dan heb je verbinding met elkaar.

Echter, vanuit onze hoofdlocatie willen we de verbinding gaan beveiligen. Die locatie is eigenlijk ook het hoofdpunt. Er kan onderling niet gecommuniceerd worden, enkel vanuit een locatie naar de hoofdlocatie en terug.

Nu heb ik een Fortigate 200a router aangeschaft met FortiAnalyzer.

Deze router kan zowel in NAT als in Transparant werken. Transparant zou ik het wel werkende krijgen, maar in de gewone modus weet ik niet hoe ik het voor elkaar ga krijgen. Transparant wil ik niet gebruiken aangezien je e.e.a. aan fucties gaat missen, en omdat we tevens de 2e WAN poort willen gebruiken om internet verkeer te firewallen.

Nu heb ik even een voorbeeldje 2 locatie

Hoofdkantoor: 192.168.0.x 255.255.255.0
Router hoofdkantoor: 192.168.0.254

Kantoor 2: 192.168.5.x
Router kantoor 2: 192.168.5.254

Deze routers kunnen dus zonder problemen gegevens met elkaar uitwisselen, maar zoals je ziet zit de router op het hoofdkantoor al in hetzelfde subnet als het gewone netwerk. Kan ik hier uberhaupt een NAT router tussen plaatsen als het subnet gelijk is? Ik dacht het toch niet?

Ik zat zelf te denken of ik dan de router op 192.168.1.254 moet laten afleveren, maar volgens mij kom ik dan met de routering te zitten, want dan weet het KPN One netwerk niet dat er ook nog een 192.168.0.x netwerk is.

De andere mogelijkheid is om transparant te draaien, maar kan kom ik te zitten met de internetfaciliteiten van de router.

Wie heeft hier ervaring mee?

Bedankt voor je input.

Ik ben wel redelijk thuis in netwerken maar als het op routering aankomt zo met routers achter elkaar dan wordt het toch even wat complex.

Er is hier pas een dedicated glasvezel door KPN gegraven voor ons. Daarvan hebben we nu 1 glasvezel internet verbinding (met een Cisco er achter, kun je 16 IP adressen mee adresseren (minus overhead)). En een KPN One koppeling van 20MBit ook met een eigen router (alleen die moeten ze nog plaatsen).

De Fortigate router 200a krijg ik binnenkort binnen, deze heb ik nog niet. (Heb nu een Fortigate 100A, en 2x 50A routers, maar die draaien in productie). Ik heb nog even tijd om te experimenteren, maar als ik het zelf niet werkende krijg dan moet ik het gaan uitbesteden, maar daar heb ik niet zo'n zin in, ik wil het namelijk ook zelf kunnen. Sowieso in beide gevallen wordt de configuratie door een externe partij gevalideerd en geevalueerd dus al zou ik configuratiefouten maken, dan is dit ondervangen.

Zelf zit ik te twijfel hoe te gaan werken.

Wat ik ook kan doen is het volgende:

Router in transparant modus:

Dan krijgt alleen elk device dat rechtstreeks op internet moet een eigen IP op internet. Dus de mailserver een eigen IP, de ISA server een eigen IP. Op zich is dat óók wel weer prettig. Na levering heb ik een dikke maand om er mee te gaan kloten, dus ik heb nog even de tijd. Vraag me alleen af of de antivirus, spamfilter etc etc lekker functioneert als ik transparant draai.

Dat gaat ook niet werken, want dan kom ik te zitten met dat ik elke server een extra netwerkkaart moet gaan geven.

[ Voor 9% gewijzigd door Fairy op 11-03-2008 13:23 ]

De dienst is zo in te richten zoals je dat zelf wilt. Het gaat hier om heel wat meer dan 4 kantoren.
Ik ben ondertussen zo ver dat ik de lijn op een aparte range wil laten binnenkomen en deze zelf ga routeren. Dit zal ik dus met de provider goed moeten afstemmen.

[ Voor 12% gewijzigd door Fairy op 11-03-2008 14:55 ]