Eén WAN multiple LAN's

Ik zou inderdaad VLAN's aanmaken en per VLAN een WAN IP toekennen...

NOFI, maar is het wel verstandig om andere bedrijven (dus zakelijk belang!) via een verbinding te laten lopen die je pet eigenlijk te boven gaat? Wat doe je bijvoorbeeld bij storingen, en is de buurman nog wel zo vriendelijk als zijn webshop er 3 dagen uitligt??

Kijk in ieder geval uit dat je er geen ellende mee krijgt.

Verder moet je het inderdaad zoeken in Vlan's met meerdere WAN-ip's, om de zaken goed te scheiden.

Sowieso hangt het er natuurlijk een beetje van af over hoeveel kleine bedrijfjes het hier gaat, wil je er 8 aansluiten of bvb 16. Just to make a point. Hoe ga je dit verder met beveiliging doen? De router is leuk maar zal verder waarschijnlijk niet veel aan firewalling doen, of je moet de wan ip's één op één willen doorzetten. Ook zul je nog moeten nadenken over iets van limieten, zodat één bedrijfje niet voor iedereen de verbinding dicht trekt.

Ik denk dat je dus verder zal moeten kijken dan enkel een router. Wij hebben zelf een Cisco ASA 5510 aan de glasvezel van KPN hangen, die komt aardig in de buurt van wat jij wilt. Of ie echter alles ondersteund wat je er mee moet kunnen, zul je zelf na moeten gaan...

Edit: Hiernaast met ^ uiteraard ook iets waar je over na dient te denken.

[ Voor 9% gewijzigd door wasted247 op 01-09-2009 23:00 ]

wasted247 schreef op dinsdag 01 september 2009 @ 22:56:
Sowieso hangt het er natuurlijk een beetje van af over hoeveel kleine bedrijfjes het hier gaat, wil je er 8 aansluiten of bvb 16. Just to make a point. Hoe ga je dit verder met beveiliging doen? De router is leuk maar zal verder waarschijnlijk niet veel aan firewalling doen, of je moet de wan ip's één op één willen doorzetten. Ook zul je nog moeten nadenken over iets van limieten, zodat één bedrijfje niet voor iedereen de verbinding dicht trekt.

Inderdaad. Wat ga je doen als een van de bedrijfjes door een lek gaat spammen of malware verspreiden? Kun je ze zomaar afsluiten, of zal KPN dan iedereen afsluiten? Ik zou heel erg voorzichtig zijn en heel duidelijke contracten afsluiten, als je er al aan moet beginnen .

Als het goed is heb je van KPN een subnet gekregen. Standaard zeg ik uit m'n hoofd zijn dat 16 adressen op een glasvezelverbinding. Het absoluut simpelste is gewoon dat subnet gebruiken, daar IP's in toewijzen en mensen zelf verantwoordelijk laten zijn voor een router en hun eigen beveiliging. Dan heb je zo min mogelijk van jouw apparatuur ertussen (alleen die cisco 1811 en eventueel een switch) en dus zo min mogelijk wat kapot kan gaan en mocht dat toch gebeuren zo min mogelijk aansprakelijkheid. Je kunt die cisco door KPN laten beheren als je wilt.

gambieter schreef op dinsdag 01 september 2009 @ 23:01:
[...]

Inderdaad. Wat ga je doen als een van de bedrijfjes door een lek gaat spammen of malware verspreiden? Kun je ze zomaar afsluiten, of zal KPN dan iedereen afsluiten? Ik zou heel erg voorzichtig zijn en heel duidelijke contracten afsluiten, als je er al aan moet beginnen .

Afsluiten voor dat soort dingen hoef je alleen bang voor te zijn als je op een consumentenlijn zit. Je krijgt gewoon IP-adressen op naam namelijk, waarin je ook een abuse-mailbox kunt opnemen. KPN krijgt meldingen dan over 't algemeen niet eens binnen.

[ Voor 37% gewijzigd door CyBeR op 01-09-2009 23:08 ]

CyBeR schreef op dinsdag 01 september 2009 @ 23:05:
Afsluiten voor dat soort dingen hoef je alleen bang voor te zijn als je op een consumentenlijn zit. Je krijgt gewoon IP-adressen op naam namelijk, waarin je ook een abuse-mailbox kunt opnemen. KPN krijgt meldingen dan over 't algemeen niet eens binnen.

Er is natuurlijk ook blacklisten e.d. Maar ik zou dat dus heel goed regelen, en ook op papier krijgen van KPN etc

gambieter schreef op dinsdag 01 september 2009 @ 23:19:
[...]
Er is natuurlijk ook blacklisten e.d.

Dat gaat meestal op ip, dus is de impact beperkt. Niet dat ik het niet hardstikke met je eens ben. Daarnaast verwacht ik wel dat er voor zakelijke glasvezel van KPN een soortgelijke clausule bestaat als die voor consumenten verbindingen:

7.6
Het is de Klant niet toegestaan om het signaal dat van KPN wordt ontvangen, openbaar te maken, te verveelvoudigen of anderszins aan te wenden dan voor gebruik in huiselijke kring. Het delen of doorlijnen van de signalen met andere huishoudens, daaronder begrepen kamers in studentenhuizen en andere collectieve huisvestiging is niet toegestaan.

Dus zaken op papier krijgen van de KPN kun je denk ik wel vergeten.

Dan ben je met enkel een router waarschijnlijk het beste af idd... Toch zou ik me wel even verdiepen in de impact van mogelijke problemen, zoals eerder genoemd storing, abuse en meer van dat soort ongein. Ook lijkt het me verstandig de voorwaarden van de KPN er even op na te slaan.

Uiteraard was de webshop enkel een voorbeeld. Als er een bedrijf tussen zit wat voor zijn bedrijfsvoering redelijk afhankelijk is van de verbinding, en deze ligt er een dag uit, zou je zomaar een rekening op je deurmat kunnen vinden... Wederom just to make a point. Jezelf indekken moet je in ieder geval.

Dat je geen zin hebt om vervolgens een firewall te beheren voor meerdere bedrijven kan ik me voorstellen... Ik denk overigens wel dat bandwidth trotteling een redelijke must is. Hoe ga je anders afspraken maken met de gebruikers over de beschikbare bandbreedte e.d. Als de één de lijn constant dicht trekt, en de ander vervolgens niets heeft, zijn de rapen uiteraard gaar. Ze betalen je er immers voor...

TheBorg schreef op dinsdag 01 september 2009 @ 23:29:
Het zal over 2-3 bedrijfjes gaan. Ze hebben nu ADSL van 256 of 512kbit (i.v.m. de afstand naar de centrale). Er worden dus geen webshops e.d. gedraaid.

In princiepe geeft CyBeR wel gelijk, als ik een router/firewall voor ons netwerk zet dan kan de rest doen wat ze willen. Er zitten bij die bedrijfjes geen whizkids die gaan lopen hacken. Ik wil alleen niet dat als er iemand een subnet mask veranderd de buurman ineens documenten op mijn printer kan afdrukken. Iets als bandwidth throttling zou wel een mooie extra zijn.

Bandwidth throttling is idd leuk als 't kan, maar voor zo weinig gebruikers zie ik 't niet als een directe must. Zeker niet als je 't meteen goed hebt gedaan en de 50mbit-variant hebt genomen. Het is lastig om dat zodanig vol te proppen dat anderen er serieuze hinder van ondervinden. Ik stel wel voor dat je met ze afspreekt dat men 't torrenten e.d. voor thuis bewaart.

We hebben meen ik 8 IP adressen gekregen. De Cisco 1811 (of andere) router zou dus als een soort bridge moeten fungeren naar de routers van de bedrijfjes zelf, zodat ik niet bij elke scheet een poort open moet gaan zetten.

Ah, 8. Dan heb je er dus 5 die je kunt gebruiken (router, netwerkadres en broadcastadres gaan van die 8 af). Is die cisco al geconfigureerd zodat die 8 adressen te gebruiken zijn aan de switchkant van 't ding? Je hoeft niet te bridgen ofzo, dat is consumenten-lijn-speak. Die router doet wat 'ie moet doen: routen. Niet NATten zoals het woord 'router' tegenwoordig meestal gebruikt wordt.

Om even als voorbeeld te geven, als je van kpn subnet 1.2.3.0/29 gekregen hebt, dan heb je dus 1.2.3.0 tot en met 1.2.3.8. Daarvan vallen de eerste en laatste twee af, dus 1.2.3.1 tot en met 1.2.3.7 blijven over. Je router wil ook een adres, gebruikelijk is dat die op 1.2.3.1 zit. Dus kun je 1.2.3.2 tot en met 1.2.3.7 gebruiken voor andere apparaten.

Je kunt dan gewoon toewijzen: 1.2.3.2 ben jij, 1.2.3.3 is buurman A, 1.2.3.4 is buurman B, etc. Jullie kopen allemaal een NAT-router die een ethernet WAN-poort heeft, configureert het IP, de default gateway (1.2.3.1) hangt 'm aan je cisco en klaar is kees.

(Ik moet hier even bijzeggen dat ik uitga van hoe ik dit bij mij zou kunnen doen, ik heb een zakelijke ADSL van KPN die als 't goed is soortgelijk werkt. De glasvezelaansluiting van KPN ligt in 't gebouw maar ik moet er nog interne bekabeling voor fixen-- d'r zit niemand in de kelder te werken )

Overigens is het delen van zakelijke verbindingen geen probleem. Daar betaal je immers voor.

wasted247 schreef op dinsdag 01 september 2009 @ 22:56:
[...] De router is leuk maar zal verder waarschijnlijk niet veel aan firewalling doen, of je moet de wan ip's één op één willen doorzetten.

Op de 1811 zit Advanced IP Services IOS en IOS Firewalling is onderdeel van zijn feature set.

Verder ben ik het eens met CyBer.
De KPN lijn hang je aan een managed of unmanaged Layer 2 switch.
(In geval een managed switch, configureer je één interface als management interface. Deze interface, met het IP adres van de switch hang je dan in je eigen netwerk / DMZ.)
Jij en je buren kunnen kunnen hun routers / firewalls aan deze switch hangen. De 8 IP adressen verdeel je over jou en je buren.

Een andere oplossing is een ASA (of andere firewall) met virtuele firewalls. ( Of Security Contexts zoals Cisco dat noemt. ) Interfaces kan je aan een security context hangen. Een ASA5510 ondersteund maximaal 5 security contexts. Aan je buren kan je verschillende user accounts toewijzen waarmee men hun eigen security context / virtuele firewall kunnen beheren.

De 1811 router kan je beheren via command line, of via de grafische SDM (wordt meegeleverd) of via CCP.
( Kan je downloaden met een Smartnet / onderhoudscontract op de router.)

De ASA kan je beheren via de command line, of via de grafische ASDM. (wordt meegeleverd)

Voordeel van de ASA met security contexts is dat je dit als managed dienst kan doorverkopen aan je buren. ( Maar dan moet je het wel goed kunnen beheren. En/of afdekken met een onderhoudscontract. ) Een ander voordeel is dat je kan monitoren wat je buren doen. Nadeel van de ASA is dat virtuele firewalls / security contexts niet samenwerken met VPN. Hier heb je dan nog een apart device voor nodig.

Wij hadden hetzelfde probleem. PTT had onder ons bedrijventerrein een spoel aangelegd met 4 kilometer koper waardoor we 5 kilometer van de centrale af lagen. Snelheid: maximaal 256 kbit en veel storingen.

Uiteindelijk hebben we ook glas laten leggen. Je krijgt van de PTT een subnet en een beheerde router. Geef gewoon elk bedrijf een IP adres en laat ze lekker zelf een router van 10 euro bij de lokale computerboer halen. Zo heb jij geen kopzorgen over de verbinding.

Wat kost zoiets en is het overal beschikbaar? Ik kijk op www.kpnglasvezel.nl maar dat is meer voor consumenten (zit ook TV bij). Als bedrijf hoef ik dat allemaal niet, wij hebben alleen internet nodig.

Al eens gedacht om meerdere Internetdiensten af te nemen op één en dezelfde access. Dat scheelt een hoop geld, omdat de access al betaald is en alleen nog een extra dienst geactiveerd moet worden op een poort van de ethernetswitch. Op deze manier heb je ook nog eens een perfecte scheiding van de diensten. Je kunt de dienst ook routerloos laten opleveren en zelf zorgen voor bijvoorbeeld een Cisco 871.