Advies Design thuis netwerk

maandag 1 november 2010 20:19

Acties:

0 Henk 'm!

Topicstarter

Hallo,

Ik ben opzoek naar iemand met voldoende kennis om mij te helpen met het ontwerpen van ons thuis netwerk.
Momenteel hebben we een abbo bij SurfSnelADSL met 8publieke ip adressen waarvan er ééntje wordt ingenomen door het modem. Internet is alleen beschikbaar als je (via) met een publiek IP adres het net op gaat.
Momenteel is de situatie op deze manier:

CopperJet Modem (publiek IP, DHCP server)
<kabel>
Linksys Wireless modem (local IP, als AccesPoint)
- Laptop 1 (wireless)
- Laptop 2 (wireless)
- Thuis PC (wireless, kutverbinding btw)
- PC (Kabel)
- Phone 1 (wireless)
- Phone 2 (wireless)
- Phone 3 (wireless)

Alle apparaten hebben een publiek IP adres (ééntje statisch buiten bereik van de DHCP server, en de rest via DHCP in de publieke range). Nu vind ik dit niet praktisch om verschillende redenen: als bezoek komt is er geen internet meer beschikbaar, elk apparaat heeft een eigen firewall nodig etc.

Mijn idee was om het hele netwerk te veranderen naar één publiek IP adres met daarachter een LAN netwerk dat via een firewall (van de modem of de linksys) verbonden is aan interwebz. Zaken als FTP server en Remote Desktop zijn goed op te lossen via port-forwarding aangezien ik de enige ben die ze gebruik

Is dit door jullie aan te raden, en zijn er dingen die k over het hoofd zie? Verder heb ik helaas niet veel ervaring met het ontwerpen van netwerken (al kan ik mn router wel zonder hulp instellen als AccesPoint na wat kloten

, om er dan achter te komen dat er een handleiding is!) dus zijn tips over expliciete implementatie zijn zeker welkom. Het liefste gebruik ik de firewall van de router en/of het modem, en wil ik locale servers opzetten zowel publiek als lokaal.
Hopelijk kunnen jullie mij met wat aanwijzingen adviseren en helpen met alles instellen

Ctrl+k

maandag 1 november 2010 20:28

Acties:

0 Henk 'm!

Verwijderd

Je AP instellen als router en laten natten. Interne IP reeks een private range en je bent klaar.

dinsdag 2 november 2010 18:09

Acties:

0 Henk 'm!

Sibylle

Topicstarter

Ik moet schaamtevol toegeven dat ik het niet werkende krijg

Ik heb een CopperJet modem en een linksys WRT54G router.

Op dit moment staat het zo:
Linksys als gateway (lokaal ip adres) kabel van het modem in een LAN poort.
CopperJet als DHCP server (LAN als WAN ip zijn hetzelfde en is publiek).

Ik heb heel simpel de DHCP van de CopperJet uitgezet en aangezet in de Linksys. Vervolgens via StaticIP configuratie ingevuld.

Linksys:
Internet IP: lokaal ip
Gateway: LAN ip van de CopperJet
DNS servers: de juiste DNS servers
Router mode: Gateway, geen statische routings

CopperJet:
WAN IP: krijg ik blijkbaar via DHCP, want kan ik niet permanent veranderen
LAN IP: een lokaal ip (niet publiek)
WAN NAT: aan
LAN NAT: aan

De router geeft echter zijn eigen IP adres als gateway mee via DHCP, dat moet dus niet (moet namelijk het LAN ip van de CopperJet zijn). Verder is de CopperJet helemaal niet te bereiken als ik de kabel in de WAN poort van de Linksys stop

Ik heb geprobeerd static routing
in te vullen als volgt:
Destination IP: LAN ip CopperJet
mask: 255.255.255.0
Gateway: LAN ip router (ook lan/wan copperjet geprobeerd)
maar dan krijg ik een foutmelding dat t LAN ip verkeerd is

Kan iemand mij een duwtje geven ajb?
btw, UpnP aan uiteraard

Ctrl+k

dinsdag 2 november 2010 18:54

Acties:

0 Henk 'm!

Verwijderd

Geef eens wat meer info?

Zoals ik het nu inschat heb je het zo:

i-net----copperjet---- (ipadres instellen in lokale range) linksys (draadloos+lanpoorten)---lokaal netwerk

Je geeft aan dat de lankant van de copperjet een lokaal IP adres heeft. (welk?)
Laat nu de linksys eens in bridgemode met hetzelfde subnet. Beperk de dhcp range van de copperjet tot bijvoorbeeld 192.168.0.20 -192.168.0.50
Laat de Linksys Ipadressen uitgeven in hetzelfde subnet maar met een verschove range: bijv 192.168.0.51 - 192.168.0.100

[ Voor 63% gewijzigd door Verwijderd op 02-11-2010 18:59 ]

woensdag 3 november 2010 09:28

Acties:

0 Henk 'm!

Sibylle

Topicstarter

Verwijderd schreef op dinsdag 02 november 2010 @ 18:54:
Geef eens wat meer info?

Zoals ik het nu inschat heb je het zo:

i-net----copperjet---- (ipadres instellen in lokale range) linksys (draadloos+lanpoorten)---lokaal netwerk

Je geeft aan dat de lankant van de copperjet een lokaal IP adres heeft. (welk?)
Laat nu de linksys eens in bridgemode met hetzelfde subnet. Beperk de dhcp range van de copperjet tot bijvoorbeeld 192.168.0.20 -192.168.0.50
Laat de Linksys Ipadressen uitgeven in hetzelfde subnet maar met een verschove range: bijv 192.168.0.51 - 192.168.0.100

Algemeen:
Range publieke IP's (alleen hiermee kan je op internet) 145.99.158.64-71

CoppetJet:
Wan: 145.99.158.65 NAT:uit
Lan: 145.99.158.65 NAT:uit
DHCP server range: 145.99.158.66-71 (.64 is statisch aangewezen)

Linksys:
LAN: 145.99.158.50
DHCP server: uit
Mode: gateway
Kabel van modem zin in LAN poort (dus werkt als AP)

Wat ik heb geprobeerd:
Copperjet:
Wan: 145.99.158.65 NAT:aan
Lan: 145.99.158.1 NAT:aan
DHCP server: uit

Linksys:
InternetIP: 145.99.158.2
LAN: 145.99.158.2
Gateway: 145.99.158.1 (het modem)
DHCP server range: 145.99.158.10-50
NAT: kan ik nergens vinden
mode: gateway

De router geeft echter als default gateway zichzelf mee (dus 145.99.158.2), en NAT werkt niet want met handmatig deze gateway goed zetten levert nog geen internet. Als ik het IP van een computer in de range .64-71 zet en gateway naar het modem dan werk het wel allemaal.

Ctrl+k

woensdag 3 november 2010 23:34

Acties:

0 Henk 'm!

Picaroon

Zet Copperjet op standaard zodat je met directe verbinding op een computer internet hebt.
Linksys instellen dat hij automatisch een ip adres toegewezen krijgt door Copperjet (dus automatic config door dhcp aan). Vervolgens voor Linksys LAN een lokaal ip toewijzen (192.168.1.1 bijv) en DHCP voor LAN inschakelen (192.168.1.100 bijv.)

Kabel van Copperlink naar Linksys WAN, computer sluit je aan op de relevante LAN poorten of Wifi van de Linksys

woensdag 3 november 2010 23:48

Acties:

0 Henk 'm!

wagenveld

Je maakt het jezelf onnodig ingewikkeld, simpel gezegd met de modem in de wan poort van de router en beide apparaten helemaal gereset naar default gaat al gewoon werken. Iets uitgebreider: modem moet in bridge mode staan als die optie erop zit, router gewoon op default. Op die manier is het normaal dat je niet meer bij de modem kan komen, dat is het hele idee van een router immers. Betekent ook dat niemand van de internets op jouw pc kan komen

donderdag 4 november 2010 19:12

Acties:

0 Henk 'm!

Picaroon

Dat is idd de makkelijkste oplossing

maandag 8 november 2010 15:24

Acties:

0 Henk 'm!

wankel

Er zijn al een paar dagen geen updates geweest; is het opgelost of heb je helemaal geen verbinding meer? :-P

Uit de thread maak ik nog niet op of de WAN-aansluiting van de Linksys in de LAN-aansluiting van de Copperjett zit.

In jouw situatie, met "zoveel" IP's, kan ik me voorstellen dat je van je Linksys alleen de switch en AP gebruikt hebt maar niet de router. Dus: enkel de vier(?) LAN-poortjes.

Ik gok dat je Copperjet aan de switch hangt. Dat "moet" eigenlijk wel, omdat er tussen "jouw" 8 IP-adressen niets te routeren valt.

Kijk nog 's goed naar je Linksys, en verbind de LAN-aansluiting ("uitgang") van je Copperjet met de WAN-aansluiting op de Linksys.

In de Linksys moet je dan je eigen DHCP-server aanzetten (of althans, die van de Linksys). Je krijgt dan normaliter adressen in de 192.168.x.x-range toegekend.

Wat je trouwens geprobeerd hebt, met 145.99.158.x búiten de jouw toegewezen range, is niet zo aardig: je knikkert daarmee een ander systeem van het internet (of die van jouw, of allebei, althans, het hangt ook een beetje van je provider af).

Wel gaaf hoor, zoveel IPs :-)

maandag 8 november 2010 16:56

Acties:

0 Henk 'm!

Verwijderd

Ja zeker dat je Lan interfaces met deze ip's configureert enig idee wat het verschil tussen lan en wan is ? .

maandag 8 november 2010 16:59

Acties:

0 Henk 'm!

Crazius

Je router snapt hier niks meer van. Dit omdat hij de routering niet kan doen omdat zowel de lan als wan dezelfde ranges hebben.

Doet eens het volgende:

CoppetJet:
Wan: 145.99.158.65 NAT:aan
Lan: 192.168.0.254/24
DHCP server range: 192.168.0.1 - 200

Linksys:
LAN: 192.168.0.253
Gateway: 192.168.0.254
DHCP server : uit

Daarna werkt nat volledig en heb je een draaiend netwerk.

dinsdag 9 november 2010 14:16

Acties:

0 Henk 'm!

Sibylle

Topicstarter

Ik had tentamens en heb het ff in de koelkast gezet, maar het verheugt mij dit alles te lezen

Ik wist niet dat de router niet overweg kan met dezelfde range voor LAN en WAN, leek mij juist praktisch omdat ik dan toch nog snel ff bij het modem kan komen.

wankel schreef op maandag 08 november 2010 @ 15:24:
Er zijn al een paar dagen geen updates geweest; is het opgelost of heb je helemaal geen verbinding meer? :-P

Uit de thread maak ik nog niet op of de WAN-aansluiting van de Linksys in de LAN-aansluiting van de Copperjett zit.

In jouw situatie, met "zoveel" IP's, kan ik me voorstellen dat je van je Linksys alleen de switch en AP gebruikt hebt maar niet de router. Dus: enkel de vier(?) LAN-poortjes.

Ik gok dat je Copperjet aan de switch hangt. Dat "moet" eigenlijk wel, omdat er tussen "jouw" 8 IP-adressen niets te routeren valt.

Kijk nog 's goed naar je Linksys, en verbind de LAN-aansluiting ("uitgang") van je Copperjet met de WAN-aansluiting op de Linksys.

In de Linksys moet je dan je eigen DHCP-server aanzetten (of althans, die van de Linksys). Je krijgt dan normaliter adressen in de 192.168.x.x-range toegekend.

Wat je trouwens geprobeerd hebt, met 145.99.158.x búiten de jouw toegewezen range, is niet zo aardig: je knikkert daarmee een ander systeem van het internet (of die van jouw, of allebei, althans, het hangt ook een beetje van je provider af).

Wel gaaf hoor, zoveel IPs :-)

Veel ip's is wel fijn opzich, maar nu er telkens meer apparaten komen wil ik ze niet zichtbaar met een publiek ip ivm veiligheid. Ik gebruik eigenlijk maar één LAN poort (ofjah, twee want de CopperJet hangt er ook in) voor mijn eigen PC, de rest is wireless

De CopperJet hangt dus in de LAN poort van de linksys en de WAN poort van de linksys is leeg (aangezien het alleen een AP is).

Morgen ga ik gelijk proberen met een andere range voor LAN, is wel stom dat ik daar niet aan gedacht heb

Kunnen modernere routers dit wel btw?

Ctrl+k

dinsdag 9 november 2010 22:36

Acties:

0 Henk 'm!

Picaroon

Crazius schreef op maandag 08 november 2010 @ 16:59:
Je router snapt hier niks meer van. Dit omdat hij de routering niet kan doen omdat zowel de lan als wan dezelfde ranges hebben.

Doet eens het volgende:

CoppetJet:
Wan: 145.99.158.65 NAT:aan
Lan: 192.168.0.254/24
DHCP server range: 192.168.0.1 - 200

Linksys:
LAN: 192.168.0.253
Gateway: 192.168.0.254
DHCP server : uit

Daarna werkt nat volledig en heb je een draaiend netwerk.

Gateway hoef je niet in te stellen op de linksys, dhcp staat aan op de copperjet die de juiste gateway meestuurt aan de cliënts

dinsdag 9 november 2010 22:54

Acties:

0 Henk 'm!

DrClaw

hmm, ik heb ongeveer hetzelfde als jij, maar dan werkend; 1x surfsnel 8 IP adressen waarvan 5 te gebruiken door computers. en daarop heb ik dan 2 computers, 1 telefoon en een accesspoint van linksys. verder heb ik nog 2 switches ertussen, om het kabeltechnisch enigzins goed te laten lopen tussen de kamers in, en net zoals jij wil ik nog wat apparaten achter NAT zetten vanwege de veiligheid enzo..

maar goed, hier komt mn werkende config zoals ik m voor jou zie:

* het ISRA punt is verbonden met de WAN port van je copperjet. je modem staat op bridged (quickstart PPPoA unnumbered). je modem is GEEN dhcp server.
* je accesspoint is verbonden met de LAN port van de coppertjet, OF je accesspoint is verbonden met een switch, waarvan een andere port van de switch weer verbonden is met de LAN port van je copperjet. je accesspoint heeft een vast IP in de range die je gekregen hebt van surfnet. je accesspoint heeft DHCP actief staan, doet aan NAT, en geeft IPs weg in een private range.
* al je computers zijn verbonden met de LAN ports van je accesspoint, zij het via een (2e) switch, zij het direct op de LAN port, zij het via wireless.

done.

edit: je kunt ook zoals hierboven al gezegd, je modem toch als DHCP laten fungeren voor de 5 IP adressen die je van surf kreeg .. en dan kun je je accesspoint zo instellen, dat ie zijn IP krijgt via DHCP, terwijl hij zelf dan ook weer DHCP is maar dan van een private range. ik vind het prettiger, dat 'servers' gewoon een vast IP hebben, en dat geldt mi ook voor accesspoints.

nog meer geedit: even een korte uitleg wat je dan van surf hebt gekregen:

surf gaf je een brief met daarin je publieke IP range: 145.99.158.64 tot en met 145.99.158.71 ofwel 145.99.158.64/29

dan geldt:
x.x.x.64 (reserved)
x.x.x.65 (publiek adres van je modem)
x.x.x.66 tm 70 (publieke adressen door jou te gebruiken)
x.x.x.71 (reserved, broadcast adres)

verdorie edit maar dan de laatste: je noemt je accesspoint een 'linksys wireless modem' .. wil dat zeggen, dat die ook ADSL aan kan? zo ja, dan kunnen we de copperjet weglaten uit je verhaal .. spaart toch weer een apparaat en daarmee ook een wallwart aan de muur =)

[ Voor 30% gewijzigd door DrClaw op 09-11-2010 23:11 ]

woensdag 10 november 2010 10:28

Acties:

0 Henk 'm!

Sibylle

Topicstarter

DrClaw schreef op dinsdag 09 november 2010 @ 22:54:
hmm, ik heb ongeveer hetzelfde als jij, maar dan werkend; 1x surfsnel 8 IP adressen waarvan 5 te gebruiken door computers. en daarop heb ik dan 2 computers, 1 telefoon en een accesspoint van linksys. verder heb ik nog 2 switches ertussen, om het kabeltechnisch enigzins goed te laten lopen tussen de kamers in, en net zoals jij wil ik nog wat apparaten achter NAT zetten vanwege de veiligheid enzo..

maar goed, hier komt mn werkende config zoals ik m voor jou zie:

* het ISRA punt is verbonden met de WAN port van je copperjet. je modem staat op bridged (quickstart PPPoA unnumbered). je modem is GEEN dhcp server.
* je accesspoint is verbonden met de LAN port van de coppertjet, OF je accesspoint is verbonden met een switch, waarvan een andere port van de switch weer verbonden is met de LAN port van je copperjet. je accesspoint heeft een vast IP in de range die je gekregen hebt van surfnet. je accesspoint heeft DHCP actief staan, doet aan NAT, en geeft IPs weg in een private range.
* al je computers zijn verbonden met de LAN ports van je accesspoint, zij het via een (2e) switch, zij het direct op de LAN port, zij het via wireless.

done.

edit: je kunt ook zoals hierboven al gezegd, je modem toch als DHCP laten fungeren voor de 5 IP adressen die je van surf kreeg .. en dan kun je je accesspoint zo instellen, dat ie zijn IP krijgt via DHCP, terwijl hij zelf dan ook weer DHCP is maar dan van een private range. ik vind het prettiger, dat 'servers' gewoon een vast IP hebben, en dat geldt mi ook voor accesspoints.

nog meer geedit: even een korte uitleg wat je dan van surf hebt gekregen:

surf gaf je een brief met daarin je publieke IP range: 145.99.158.64 tot en met 145.99.158.71 ofwel 145.99.158.64/29

dan geldt:
x.x.x.64 (reserved)
x.x.x.65 (publiek adres van je modem)
x.x.x.66 tm 70 (publieke adressen door jou te gebruiken)
x.x.x.71 (reserved, broadcast adres)

verdorie edit maar dan de laatste: je noemt je accesspoint een 'linksys wireless modem' .. wil dat zeggen, dat die ook ADSL aan kan? zo ja, dan kunnen we de copperjet weglaten uit je verhaal .. spaart toch weer een apparaat en daarmee ook een wallwart aan de muur =)

Fijn om te horen van iemand die ongeveer hetzelfde heeft

Wat betekent onderstaande precies? Deze kan ik namelijk gewoon gebruiken als publieke adressen met internet toegang.
x.x.x.64 (reserved)
x.x.x.71 (reserved, broadcast adres)

Ik zie dat ik wat gehaast getyped heb, want ' linksys modem' is onzin, het is een router

Als het goed is werkt het vanavond goed, ik ga het zo doen:

Linksys Router achter het CopperJet modem, DHCP op de Linksys in LAN range (192.x ofzo). dus eigenlijk zoals DrClaw heeft, alleen moet ik nog NAT vinden op mn router want dat heb ik nog nergens gezien in de menu's (Linksys WRT54G) hopelijk automatisch of ergens verstopt.

Ik vind het wel jammer dat ik nu maar met 1publiek IP het internet opga, ik kan niet handmatig een tweede publiek IP toekennen aan een computer zodat ik met meerdere thuiscomputers kan connecten van buitenaf (voor FTP, Remote desktop, share etc.). Maar na enig denkwerk en overleg met netwerkbeheerders die hier naast me zitten, besef ik dat dat ook niet had gekund met wat ik als eerste probeerde. De routs werken altijd maar 1kant op natuurlijk

Dus als het echt nodig is een switch en tweede netwerkkaart in sommige PC's..

Ctrl+k

woensdag 10 november 2010 12:07

Acties:

0 Henk 'm!

DrClaw

je kreeg van surfnet 8 ip-adressen, waarvan 5 te gebruiken zijn. dat zijn voor jou dan .66 tm .70. de eerste en de laatste van je totale range zijn speciale subnetadressen, en kun je wel specificeren maar dat zou ik niet doen, om problemen te voorkomen. op .65 zit je modem.

als je je modem op unnumbered hebt ingesteld, dan kun je aan verschillende apparaten in je netwerk een IP toekennen uit jouw publieke range. als je je modem op routed hebt ingesteld, dan gooi je je publieke raqnge eigenlijk de deur uit, en gebruik je alleen maar je modem IP als WAN IP.

je kunt dus wel zowel een intern netwerk en een publiek netwerk gebruiken. zoals ik dus doe. mijn AP heeft een WAN IP in mijn publieke range, en deelt private IPs uit. Er is hiermee wel een nadeel: je ziet in het private netwerk geen PCs uit het publieke netwerk. Daarentegen kun je wel weer op je public network sharing aanzetten.

elk AP is wel in te stellen op routed, dus ook de wrt54g. da's trouwens de meest standaard router die er is. als je wat meer mogelijkheden op die router wilt, kun je ook overwegen om er dd-wrt op te flashen. google er maar eens op.

en wat betreft je ene IP op het internet .. je hebt daar wel wat voordelen mee. je kunt je modem gebruiken als firewall; dan heb je 1 locatie waar je van alles dicht kunt zetten.

woensdag 10 november 2010 15:23

Acties:

0 Henk 'm!

Picaroon

Sibylle schreef op woensdag 10 november 2010 @ 10:28:
[...]
Ik vind het wel jammer dat ik nu maar met 1publiek IP het internet opga, ik kan niet handmatig een tweede publiek IP toekennen aan een computer zodat ik met meerdere thuiscomputers kan connecten van buitenaf (voor FTP, Remote desktop, share etc.). Maar na enig denkwerk en overleg met netwerkbeheerders die hier naast me zitten, besef ik dat dat ook niet had gekund met wat ik als eerste probeerde. De routs werken altijd maar 1kant op natuurlijk
Dus als het echt nodig is een switch en tweede netwerkkaart in sommige PC's..

Erm, dat is wel degelijk mogelijk met port forwarding. Je kan inkomend verkeer op een bepaalde port forwarden naar een private address. <extern ip>: 80 -> webserver1, <extern ip>: 81 -> webserver 2 etc..

Wat bedoel je trouwens met meerdere thuiscomputers connecten van buitenaf.... sommige zaken leg je niet altijd even duidelijk uit.

[ Voor 11% gewijzigd door Picaroon op 10-11-2010 15:27 ]

woensdag 10 november 2010 19:45

Acties:

0 Henk 'm!

Sibylle

Topicstarter

Picaroon schreef op woensdag 10 november 2010 @ 15:23:
[...]

Erm, dat is wel degelijk mogelijk met port forwarding. Je kan inkomend verkeer op een bepaalde port forwarden naar een private address. <extern ip>: 80 -> webserver1, <extern ip>: 81 -> webserver 2 etc..

Wat bedoel je trouwens met meerdere thuiscomputers connecten van buitenaf.... sommige zaken leg je niet altijd even duidelijk uit.

Sorry, ik bedoel dus dat ik met poortmapping gelimiteerd ben. Ik wil bijvoorbeeld remote desktop vanaf buitenaf kunnen gebruiken op meerdere computers op het LAN netwerk. Of als ik meerdere computers gebruik als FTP server, kan ik er maar eentje benaderen vanaf buiten.
Hopelijk is het zo wat duidelijker

Ctrl+k

woensdag 10 november 2010 20:40

Acties:

0 Henk 'm!

Picaroon

@sibylle: mmm, begrijp wat je bedoelt. Ik heb hier ook een wrt54g staan met standaard firmware en je kan poorten maar 1x doorsturen en dat doet hij ook nog 1:1 (bijv. 3389 -> 3389).

Als je wat uitgebreidere functionaliteit wil, zou ik eens kijken naar een gecombineerde router/firewall/vpn server. Kun je prima doen met een linux bak en 2 NICS en tevens veiliger dan port forwarding.

woensdag 10 november 2010 20:59

Acties:

0 Henk 'm!

Harrie

NederVlaming

Als je een wrt54g hebt waar custom firmware op kan draaien, kan je via VLAN's eventueel een LAN poort zo configureren dat een PC die aan die poort hangt (of meerdere via een eventuele switch) wel een publiek IP krijgt, en zo op internet gaat, ipv via het lokale netwerk. Maar gezien de problemen die je al had om het normaal aan de praat te krijgen, zou ik hier niet aan beginnen.

http://www.dd-wrt.com/wik..._LAN_port#Second_WAN_port

Het is dan alsof een pc aan deze poort direct aan je Copperjet hangt.

vrijdag 12 november 2010 07:37

Acties:

0 Henk 'm!

DrClaw

je kunt je wifi modem instellen op wireless bridged, en m geen DHCP uit laten delen. dat doet je ADSL modem dan. Je ADSL modem staat ingesteld als bridge (dus, pppoa unnumbered uit het lijstje prefab configs) en doet wel aan DHCP, namelijk hij deelt je 5 publieke IPs uit (tenzij je die liever vast wilt hebben .. is ook handiger als je altijd wilt rdp'en naar hetzelfde IP om dezelfde computer te pakken te krijgen).

maar .. als je het allemaal zo instelt, dan ben je gelimiteerd tot 5 computers.

vrijdag 19 november 2010 22:36

Acties:

0 Henk 'm!

Sibylle

Topicstarter

Het is mooi geworden hier thuis

Enige (grote) probleem is dat ik mijn firewall niet ingesteld krijg in het modem.

Ik heb nu het modem als DHCP server en daarachter een access point, het functioneert prima en het modem heeft wel "Intrusion Detection" aan. Het probleem is echter dat als ikde firewall ook aanzet, ik sommige websites niet meer kan bereiken.
Onafhankelijk van de setting van de firewall (none, low, medium, high) doen de meeste websites het prima, behalve:
hotmail.com
webmail.tue.nl
?
Ik krijg gewoon time out, ook als ik ping naar ip-adres van die sites. De standaard poorten staan open (80, 110, 23, 25 etc.)

Zonder firewall werkt alles naar behoren (heb nog gewoon firewalls op de computers, dus veiligheid is ook in orde) maar ik wil graag de firewall in het modem toch aan. Heeft iemand ervaring met CopperJet 1616-2P?

Ctrl+k

zaterdag 20 november 2010 02:16

Acties:

0 Henk 'm!

DrClaw

tja, ik dan maar weer?

persoonlijk ben ik helemaal niet blij met de firewall in de modem, omdat die toch enigzins als een black box werkt. bepaalde protocollen worden bijvoorbeeld bij 'hammering' al geblockt, en dan werkt iets plotseling niet terwijl het normaliter altijd wel werkt.

Mijn insteek is dan ook, dat de modem in principe gewoon open moet staan, en een firewall op de PC houdt alle niet-gewenste dingen wel tegen. Dan kan iedereen zelf bepalen wat wel en niet doorkomt.

Maar ja, een korte beschrijving dan maar van de instellingen op de 'security' page.

de eerste radiobutton 'security' zet de _mogelijkheid_ tot het instellen van security options aan of uit.
de tweede radiobutton 'firewall' zet de predefined firewall rules selector aan of uit.
de derde radiobutton 'intrusion detection' zet de 'hammering' detectie aan of uit. als je deze uitzet is je bovenstaande probleem denk ik al weg. Sommige sites van grote bedrijven zijn zo snel met het leveren van hun data, dat dat door een firewall met een 'hair trigger' response al snel tot een DDOS wordt gezien. En ik denk dat hotmail wel als een van de grotere sites gezien kan worden. hotmail is ook niet 1 website, het zijn er tientallen, die elk een stukje van de webpagina naar jou toe sturen (de een stuurt een plaatje, de ander de html, de volgende de css enzovoort). Dit ziet een slechte firewall ook als een distributed attack als het te snel achter elkaar gebeurt.

naja, als je firewall aangezet hebt, krijg je dus een selector met daarin een 4tal keuzes. wat de keuzes eigenlijk doen, is de 'security policy' velden invullen. daartoe worden er eerst aan de verschillende netwerkports namen gehangen zoals 'external', 'internal' en 'dmz'.

'external' is gewoon altijd de WAN port. de boze buitenwereld.
je eth0 netwerkport op je modem kun je laten uitkomen op een demilitarized zone. dat is het gedeelte van je netwerk dat tussen je interne netwerk en je externe netwerk zit, en dat van beide zijden aanspreekbaar moet zijn. iets waar je services aanbiedt zoals je eigen webservertje ofzo.
je kunt ook zeggen, dat eth0 direct aansluit op je 'internal' network. maar ja, in jouw geval zou je ook je AP kunnen zien als de gateway naar je interne netwerk, en alles wat tussen AP en modem zit als 'dmz'. Dit is gewoon een architectonische beslissing.

Enfin, als je een firewall setting hebt gekozen, dan moet je maar eens kijken in de lijst van de security policy configuration. Hoe strenger je firewall, hoe groter de restricties in je policies. Zoals al gezegd, ik word hier niet blij van.

Waar ik wel blij van word, is de logging. Hier kun je dan zien wat er allemaal is beslist door de modem, en als er problemen optreden, dan kun je ze gericht verhelpen =)

Ik hoop, dat zo eea duidelijker is geworden?

ohh, en over ping en dergelijke? veel sites laten het niet toe dat ze gepinged worden. Misschien om de zogenaamde ping of death attacks tegen te gaa, of smurf attack of dergelijke dingen? Dus het feit, dat je een site niet kunt pingen zegt niks over het 'up' zijn van een site.

[ Voor 4% gewijzigd door DrClaw op 20-11-2010 02:19 ]

Onderwerpen