/27 subnet en twee WAN aanbieders

Misschien ben ik wel te authoristisch ingesteld, maar is het geen idee om procedureel of in het ergste geval technisch af te dwingen dat de misgebruikers de mogelijkheden wordt ontnomen of dat zij worden gesanctioneerd?

Daarnaast heb ik op technisch vlak geen ideeën in te brengen betreffende bovenstaande, maar ik moest het toch kwijt.

Een NAT zal gewoon de pakketten bestemd voor pc x doorsturen via het NAT-toestel en dit koppelen aan een poort uniek voor pc x. Ik kan niet zeggen of je hierdoor veel bandbreedte zult verliezen, maar ik denk dat dat meestal relatief meevalt.

Waarom stap je niet over op kabel en probeer je u ip-adressen overgenomen te krijgen bij je nieuwe provider?

Of je torrent verkeer afsluiten (dmv poorten blokkeren edm.) Want je upload bij die zaken speelt serieus op je bandbreedte.

Verkeer als torrents moet je gewoon sluiten inderdaad. Dual WAN is eigenlijk alleen nuttig als je internetverbinding absoluut niet mag uitvallen. Dan heb je altijd een backup waarnaar overgeschakeld kan worden.

Als je bandbreedte tekort komt kun je ook bij je huidige provider meestal wel upgraden.

Los van het technische klinkt het alsof jullie een gruwelijk policy-enforcement probleem hebben

Allicht dat als management vindt dat downloads en privegesurf (incl "verkeerde sites") aanvaardbaar is, er bijv. in een gemeenschappelijke ruimte een download/surfbak ingericht kan worden die op een kabelmodem gehangen wordt oid.

Ik lees hier dat mensen het hebben over dat de nieuwe ISP maar ff de bestaande reeks moet overnemen. Dit gaat dus niet werken!

Elke ISP in Nederland neemt via RIPE IP adressen af. Dit zijn vaak grote ranges (/20 of groter) en een /27 valt dan weer in een /24. In zo'n /24 zitten vaak meerdere /27, /28, /29 en ga zo maar door. Je kan dan niet even het beheer van een enkele /27 uit een grotere reeks overdragen aan een andere ISP.

Wat je wel kan doen (alleen zou ik niet weten waarom je dat in een studentenhuis wilt qua kosten) is een PI (Provider Independent) space aanvragen. Dit is een IP reeks die je aanvraagt (meestal via je ISP) en die door RIPE op jouw naam gezet wordt. Deze kan dan weer gerouteerd worden door bijvoorbeeld je ISP of door een andere. Op die manier blijf je altijd dezelfde reeks houden, ook al stap je over.

Waarom zou je ze niet kunnen loskoppelen? De 32 ip-adressen kan je gebruiken voor inkomend verkeer, en de nieuwe verbinding (bijv. kabel, UPC heeft nu 120MBit verbindingen ) voor al het verkeer wat geen last heeft van NAT. Het eenvoudigste kan je dat regelen met een proxy: default gateway laat je op de 32 IP-adressen staan, en HTTP-verkeer (of eigenlijk alles wat via een proxy kan werken) laat je via de kabel gaan. Is geheel opt-in, dus wie last heeft van te weinig bandbreedte kan de UPC-verbinding gebruiken

Die oude Pentium 1 die je vast nog wel ergens hebt liggen kan dat sowieso prima, en je kan zoeken naar een linksys-router met firmware die te hacken is. Je zou ook een externe proxy kunnen gebruiken, en alleen dat IP via de UPC-router laten routeren.

Ik zou geen 100+ Mbit verkeer proberen te routeren (en eventueel NAPT toe te passen) op een P1. De interrupt-afhandeling van de P1 is niet goed genoeg om dit soepeltjes op dat tempo te doen (zeker niet bij bergen UDP).

Thans, bovenstaande is mijn eigen ervaring. Wellicht dat het met andere software wel haalbaar is (of met netwerkkaarten met zwaarde TCP/IP-offloading etc).

Beaves schreef op maandag 26 januari 2009 @ 16:22:
Ik lees hier dat mensen het hebben over dat de nieuwe ISP maar ff de bestaande reeks moet overnemen. Dit gaat dus niet werken!

Elke ISP in Nederland neemt via RIPE IP adressen af. Dit zijn vaak grote ranges (/20 of groter) en een /27 valt dan weer in een /24. In zo'n /24 zitten vaak meerdere /27, /28, /29 en ga zo maar door. Je kan dan niet even het beheer van een enkele /27 uit een grotere reeks overdragen aan een andere ISP.

Jawel. Het is alleen niet de bedoeling van PA addressen maar het kan wel. Belangrijker echter is dat subnetten kleiner dan een /24 (dus hoger getal) door bijna iedereen uit de global routing table geflikkerd worden.

kalizec schreef op maandag 26 januari 2009 @ 17:22:
Ik zou geen 100+ Mbit verkeer proberen te routeren (en eventueel NAPT toe te passen) op een P1. De interrupt-afhandeling van de P1 is niet goed genoeg om dit soepeltjes op dat tempo te doen (zeker niet bij bergen UDP).

Thans, bovenstaande is mijn eigen ervaring. Wellicht dat het met andere software wel haalbaar is (of met netwerkkaarten met zwaarde TCP/IP-offloading etc).

IPCop schijnt erg efficiënt te zijn. meer dan 100MBit is misschien niet haalbaar , maar 100MBit op een P3 is geen probleem:
http://www.tomshardware.c...view-ipcop-linux-firewall
_{sowieso ontgaat mij het nut een beetje, 10MBit per persoon is meer dan genoeg IMHO}

En een P3 is te koop op marktplaats voor bijna niks, toch?
V&A aangeboden: Huis tuin en keuken pc

[ Voor 14% gewijzigd door MBV op 26-01-2009 17:46 ]

Je kan ook overwegen zo'n verbinding te stacken... Dus je neemt over een tweede aderpaar nog zo'n verbinding af (ik vermoed Surfsnel ADSL oid?) en knoopt dat alles met een Linksys met DD-WRT (maar neem dan geen linksys maar een andere, staat daar wel ergens, er is er ééntje heel erg snel) zodat je fatsoenlijke QoS kan doen, evt via vlans en whatnot.

Eventueel kan je al gewoon QoS doen zonder de tweede lijn, kijken of het genoeg helpt. Mensen die asociaal lopen te torrenten moeten maar gewoon even ... iets minder asociaal gaan torrenten ofzo (en daar help je ze op die manier een subtiel handje bij ;-) ).

Is 6-7MByte/s niet heel erg normaal voor 100 mbit netwerk? Theoretisch maximum is namelijk 10MByte/s. Je zal dus moeten upgraden naar gigabit om betere performance te krijgen.
Als je IPCop op een P3-bak met 2 gigabit-netwerkkaarten gooit, dan zou je toch haast wel betere performance moeten krijgen (alhoewel de beperkte PCI-bus roet in het eten kan gooien), en met IPCop kan je achterlijk veel instellen qua performance-management. Ook 3 netwerkkaarten, met een gigabit-switch aan de groene zone en 2 internetverbindingen zou geen probleem moeten zijn voor IPCop.
_{disclaimer: geen ervaring}

MBV schreef op maandag 26 januari 2009 @ 18:56:
Is 6-7MByte/s niet heel erg normaal voor 100 mbit netwerk? Theoretisch maximum is namelijk 10MByte/s. Je zal dus moeten upgraden naar gigabit om betere performance te krijgen.

Theoretisch maximum is 12MB/sec. Maar met overhead meegerekend zit je meestal tussen de 10 en 11MB/sec in. En met enigszins moderne hardware haal je dat ook wel.

WhosYaDaddy schreef op maandag 26 januari 2009 @ 16:12:
Oh, misschien extra info: het is een studentenhuis, geen bedrijf :-)
Maakt het policy-beleid misschien wat makkelijker te doorgronden (en buitenlandse studenten gebruiken graag skype)...

Dat verklaart een hoop

Ik was op het verkeerde been gezet (en anderen met mij allicht) doo de nadruk op servers en VPN verbindingen. En door dit:

We kwamen van een NAT situatie, en voor de "systeembeheerders" waren de IP adressen echt een godsgeschenk: Als er weer eens iemand "op de verkeerde site gestumbled" was, werd dat IP adres afgesloten door de provider, waardoor dus iedereen zonder zat, en die situatie is nu opgelost.

Wat bedoel je hier dan precies mee Iedere ISP die ik ken staat je prima toe je pols lam te rukken met willekeurig welke vunzigheid, en zal zeker niet zonder waarschuwing overgaan tot afsluiten van een IP wegens surfgedrag.

Of heb je het over virussen die de boel tot zombies maakte? Daar kun je (ook in een NAT situatie) aardig secuur tegen optreden door een goed ingestelde firewall voor uitgaande verbidingen. Maak per PC een lijst van uitgaande poorten die nodig zijn en waar mogelijk met welk IP/hostname ze mogen verbinden. Verbied per default alle uitgaande verbindingen en sta per LAN IP alleen de nodige verbindingen toe, incl bestemming waar mogelijk. Goed voorbeeld is SMTP (TCP poort 25). Die hoeft alleen verbinding te maken met mail.jouwprovider.nl. Iedere andere SMTP verbinding is verdacht en kan geblokkeerd worden tenzij gebruiker in kwestie kan aantonen waarom dat wel nodig is.

Bovenstaande is doodsimpel in 5 minuten in te stellen in Shorewall, een van de meest gangbare Linux firewall packages dat prima op een P1 zou draaien. Zelf draai ik het op een mooie zuinige Atom bord die ook NAT regelt. Als een P1 mogelijk te traag is en een Atom buiten budget valt zou je goed een kleine P3 desktop kunnen pakken. Een Compaq Deskpro EN SFF met P3-600 erin en een tweede NIC met Intel chipset kan tot zo'n 55Mbit/s routeren incl firewall en kost (nagenoeg) niets (zo heb ik er eentje laatst uit de container achter ons bedrijf gevist ). Voordeel van een P3 tov een P1 is naast de hogere snelheden dat het PCI 2.2 aankan en je er dus dmv een EUR 10 SATA controller kaart een grote moderne HDD in kunt hangen. Voila, gelijk een huisserver erbij

Dan nog trouwens, geen provider die ik ken die zonder waarschuwing afsluit. Iemand moet ook de door de provider geleverde (hoofd)emailadres goed in de gaten houden voor waarschuwingsmails en gelijk optreden als het fout gaat.

Als bovenstaande allemaal te ingewikkeld klinkt voor een vrijwillige systeembeheerder zou je hem in een studentenhuis bijv. vrij kunenn stellen van zijn bijdrage aan de internetverbinding, mits hij aan een paar eisen voldoet (IP niet geblacklist, niemand meer dan een paar dagen moeten wachten op opening nodige poorten). Zo heeft hij stimulans om goed werk te doen

Maar alvast bedankt voor de input. Alleen zitten we nog steeds met het NAT verhaal in ons haar. De vaste Ip adressen zijn alleen nodig voor bepaalde toepassingen, dus eigenlijk zou het surfen (de internet-gateway) dus losgekoppeld kunnen worden, maar ze zijn denk ik niet te "scheiden" op die manier...

Dat is een kwestie van uitzoeken. Als jullie echt zoveel servers hebben die unieke IPs nodig hebben zou je die in een kast kunen gooien samen met de ADSL die je nu hebt, en dan een gemeenschappelijke fiber of coax aansluiting nemen voor het betere surf- en downloadwerk voor de afzonderlijke kamers.

[ Voor 3% gewijzigd door dion_b op 26-01-2009 19:21 ]

Om me maar even te mengen in de discussie als huisgenoot van WhosYaDaddy

We hebben een domein-server draaien omdat het netwerk echt belachelijk traag was met het 'gewoone' windows workgroup netwerk. Op deze server draaien momenteel verder geen dingen die van buitenaf beschikbaar moeten zijn.

Wel heeft iedere huisgenoot 1 of meerdere persoonlijke PC's en zijn er velen die gebruik maken van Remote Desktop en eigen FTP servers.

We willen graag onze vaste IPs houden omdat onze ISP IPs in quarantaine zet zodra er een virus wordt gevonden. (dit waren de verkeerde sites, om even te verduidelijken) Maar vooral ook voor de externe connecties (Remote Desktop, FTP, etc). En als laatste hebben we op onze website een gedeelte wat alleen beschikbaar is voor een bepaalde IPrange zodat je hiervoor niet hoeft in te loggen.

Deze website draait op een externe host omdat is gebleken dat vanwege de internet verbinding de website erg traag was vanbuiten toen deze nog op de domain-server draaide

Als je een router hebt die policy based routing aankan, dan kun je het verkeer naar die webservers over je huidige laten gaan, dus met je huidige IP adressen.

De 'rest' kun je dan via de nieuwe verbinding laten lopen, wat dan ge-NAT moet worden.

Niet zo heel lastig

http://www.peplink.com/balance/tech-spec/ ;-)

hoeveel mbit moet je routen , ik ben momenteel aan het testen met een 380 . werkt ideaal policy based routing.
zolang je je modem maar goed instelt,
Tevens kan je kijken naar IIS met RDP plugin , kan je via 1 website meerdere interne RDP sessies beheren.
1 Extern ip 10 pc''s om over te nemen.

WhosYaDaddy schreef op dinsdag 27 januari 2009 @ 09:35:
Daar zijn we dus naar op zoek . Enige tips/hints/duidelijke site met uitleg over hoe in vredesnaam die dual WAN dingen over een fixed-Ip range denken?
Een Edimax BR6624 bvb heeft paginas vol in zn manual over 'fixed external IP's', maar er staat dan wel niet duidelijk bij (misschien omdat het vertaald chinees is) of er dan wel of niet ge-load-balanced kan worden...

Anders wordt het toch de afvalbak-proxy denk ik, maar we zitten al verlegen om IP adressen...

Huh? Lokaal verlegen zitten om IP-adressen? Je mag 192.168.0.0/16 of 172.16.0.0/14 voor privé-gebruik in beslag nemen, daar moet je toch wel genoeg uit kunnen halen 192.168.0.0/16 is al 2^16 = 65K adressen...
En een IPCop-bakkie neemt maar 1 extra IP-adres in, in het lokale netwerk. De externe netwerken hang je elk aan een eigen netwerkkaart

Ik weet wel een hele mooie router voor je:

De Draytek 2820

Zit ongelooflijk veel mogelijkheden op. Overzichtelijke webinterface, proxyserver, Vlan..

Als je de handleiding ervan zou doorlezen krijg je misschien een idee wat je ermee kan

WhosYaDaddy schreef op dinsdag 27 januari 2009 @ 15:53:
[...]


Niet als je dus vaste (externe) IP adressen hebt, dan is de pool van 32 vrij beperkt. Met NAT is het idd een ander verhaal

@ LuckyY: Heb er wel oren naar; ik las bij die Peplinks dat ze maar een throughput van 20 mbit hadden...

Depends on the model

WhosYaDaddy schreef op woensdag 28 januari 2009 @ 09:22:
(de Draytek's kunnen maar 8 IP's 'aliasen', de Netgear 64 of meer)

Je kan toch gewoon een tweede subnet op de interne interface hangen?
Waarom zou je dan maar 8 externe IP's kunnen gebruiken?

Ik weet dat er bij de multi-NAT feature inderdaad een beperking qua aantal op zit,
maar intern een publiek subnet kunnen routeren is toch alles wat je nodig hebt in jouw geval?

Dat vind je op de Draytek onder: LAN >> General Setup >> For IP Routing Usage
Dan heet iedereen die dat wil gewoon intern z'n eigen echte IP.

Grootste probleem voor jullie lijkt me dat je aan de extra bandbreedte van de 2de WAN niks hebt voor die machines met een extern IP, want die gaan altijd via de 1 ste WAN met subnet naar buiten.
Maar volgens mij is dat standaard,extern IP benaderen via WAN 1 en dan antwoorden via WAN 2 is voor de buitenwereld redelijk onbegrijpelijk.

Maar alles op het interne IP subnet gebruikt dan gewoon de gecombineerde bandbreedte van die 2 WAN's samen.

na het doorlezen van de usermanuals krijg ik het volgende beeld, maar correct me if I'm wrong.

Wat je instelt bij de Multi-Nat / IP's aliassen is enkel voor Inbound verkeer.

Outbound kun je dus via alle beschikbare IP's werken. en zal dus ook de WAN2 kunnen worden aangesproken.

Met enkel interne unieke IP's kun je deze van buitenaf niet benaderen voor een FTP, of remote desktop. toch?

Ik zat dus te denken aan:

stel 20 PC's
dan heb je 20 van de 32 vaste IP's die One-to-One gaan. en kan je de overige 10 plus de dynamic van WAN2 gebruiken om al het verkeer over te verdelen.

Je gebruikt de 20 vastegezette IP's dan enkel voor inbound. Wellicht een lichte verspilling maar wel een oplossing.