DHCP over Tunnel/VPN

Als je een kant en klaar oplossing zoekt wat je op een server kan installeren dan moet je kijken naar dingen als pfsense en clearos. Echter in een professionele omgeving zou ik overwegen dedicated hardware te gebruiken, bijvoorbeeld cisco heeft prima oplossingen hiervoor. Want als ik het goed begrijp ben je gewoon op zoek naar een site to site VPN.

Maar sowieso moet je per locatie een ander subnet gebruiken, anders wordt de routering namelijk onmogelijk.

[ Voor 9% gewijzigd door ik222 op 18-01-2011 15:02 ]

Je wilt een tunnel maken over het internet. Dus simpel gezegd moet je router wel weten welk verkeer over de tunnel moet en welk verkeer lokaal moet blijven. En daarom is het nodig per locatie een ander subnet te gebruiken.

Aan beide kanten hetzelfde subnet kan dus niet.

[ Voor 12% gewijzigd door ik222 op 18-01-2011 15:26 ]

waarom wil je zo graag op beide sites hetzelfde subnet. Zeker als je het over honderden sites hebt is dat vragen om problemen. Je krijgt een enorm traag broadcast domein over alle sites. Bovendien als er een iemand een fuckup maakt op een site zijn veel eerder al je andere sites geimpact. L3 scheiding per site is echt veel makkelijker.

Misschien heel simpel gedacht, maar waarom überhaupt DHCP? Is een static IP geen optie?

Dat je per locatie een ander subnet gebruikt betekent niet dat je dan adressen uit het LAN subnet van de hooflocatie niet kan bereiken. Daar heb je nu juist routers voor

Het kan -> http://www.openvpn.net/in...76-ethernet-bridging.html

Ok geen ipsec maar ssl, maar dat mag de pret niet drukken imho.
Het probleem is vaak de lagere bandbreedte op je wan wat idd wel eens vol kan lopen met broadcasts
Als je nou een 1 gig lan hebt net als op werk oid , maar dat heb je niet denk ik ?

ik222 schreef op dinsdag 18 januari 2011 @ 15:34:
Dat je per locatie een ander subnet gebruikt betekent niet dat je dan adressen uit het LAN subnet van de hooflocatie niet kan bereiken. Daar heb je nu juist routers voor

Maar misschien maken die machines gebruik van multicast? (Ik doe ook maar een gok hoor!)

Ik kan me niet voorstellen dat het niet mogelijk zou zijn om het netwerk zodanig op te zetten dat elke site een eigen subnet kan krijgen. Als je aan de serverkant een degelijke machine met PfSense plaatst dan krijg je zowiezo default routes toegewezen in het systeem voor elk subnet. Als je dan het firewall gedeelte zo configureert dat er niet gefilterd wordt tussen die subnetten dan is het voor de server even makkelijk om zijn eigen subnet, danwel een remote subnet te bereiken zonder enige vorm van aanpassing van software op de server zelf. Hetzelfde is ook van toepassing op de andere kant van de verbinding, die drayteks maken ook default routes aan voor hun tunnels waarna je simpelweg het subnet van de server kan bereiken zonder aanpassing aan de software ... Zelfs multicast werkt hierover.

Ik gebruik dit soort opstelling veelvuldig in mijn bedrijf en werkt vlotjes.

Rijst de vraag dus, Waarom wil je maar 1 subnet ?

Sta je nu niet te kloten om ander gekloot te fixen ?

fish schreef op dinsdag 18 januari 2011 @ 15:34:
Het kan -> http://www.openvpn.net/in...76-ethernet-bridging.html

Ok geen ipsec maar ssl, maar dat mag de pret niet drukken imho.
Het probleem is vaak de lagere bandbreedte op je wan wat idd wel eens vol kan lopen met broadcasts
Als je nou een 1 gig lan hebt net als op werk oid , maar dat heb je niet denk ik ?

Dat moet je echt niet willen imo. Ik zou nu echt gewoon een degelijke netwerk setup bouwen waarin je sites netjes in een ander subnet hebt zitten.

AlexanderB schreef op dinsdag 18 januari 2011 @ 15:17:
hoezo onmogenlijk, een router snapt het toch ook gewoon als er een lankabel van 200m tussen zit? waarom dan niet een tunnel van ?? meter, die zich gedraagt als een kabel.. (iig, dat is de bedoeling uiteindelijk)

Omdat een tunnel geen kabel is. Hoe wil je van locatie A een tunnel op zetten, als je op locatie B geen plek hebt om naar te tunnelen.

Plemp gewoon op locatie A en B een server neer, pfsense kan prima, en dan draai je op locatie B gewoon een DHCP server die de DHCP server van locatie A relayed. Zelfs als het zou kunnen wat jij wilt, dan wil je nog mogelijkheden hebben tot het beveiligen van locatie B, als je daar zoveel domme apparaten hebt.

Tha_Butcha schreef op dinsdag 18 januari 2011 @ 15:52:
[...]
Plemp gewoon op locatie A en B een server neer, pfsense kan prima, en dan draai je op locatie B gewoon een DHCP server die de DHCP server van locatie A relayed. Zelfs als het zou kunnen wat jij wilt, dan wil je nog mogelijkheden hebben tot het beveiligen van locatie B, als je daar zoveel domme apparaten hebt.

Aangezien de TS niet al te veel netwerk kennis heet is het denk ik helemaal vragen om problemen om daar een Linux server neer te zetten.
En kosten technisch is het denk ik veel interessanter om gewoon een site-to-site vpn oplossing te bouwen met routers.

@TS: dat systeem wat jullie gaan implementeren is dat een thin-client/Citrix oplossing ?

[ Voor 6% gewijzigd door Remco op 18-01-2011 16:08 ]

Remco schreef op dinsdag 18 januari 2011 @ 16:07:
[...]

Aangezien de TS niet al te veel netwerk kennis heet is het denk ik helemaal vragen om problemen om daar een Linux server neer te zetten.
En kosten technisch is het denk ik veel interessanter om gewoon een site-to-site vpn oplossing te bouwen met routers.

@TS: dat systeem wat jullie gaan implementeren is dat een thin-client/Citrix oplossing ?

Als de TS aan de server kant een draytek neerzet met tientallen tunnels naar de remote sites, dan vrees ik echt voor de performance, aan die kant van de verbinding moet toch echt iets staan die genoeg power aan boord heeft om tientallen tunnels gelijktijdig up te houden, met nog een goeie bandbreedte naar alle remote sites erbovenop.

ik222 schreef op dinsdag 18 januari 2011 @ 15:49:
[...]

Dat moet je echt niet willen imo. Ik zou nu echt gewoon een degelijke netwerk setup bouwen waarin je sites netjes in een ander subnet hebt zitten.

Ik ben het met je eens dat het over het algemeen een afrader is (zonder enige andere kennis van zijn opzet)
Maar het kan dus wel itt wat je hierboven beweerd

Dus je gaat er geld mee verdienen? Niet lullig naar jou bedoeld, maar dan kunnen ze toch wel een fatsoenlijke netwerk gast er op zetten. Die hotspots wil je sowieso los koppelen in dit geval (al dan niet met een DMZ).

Voor de rest ben ik met itsvalium: die draytek is leuk voor thuis, maar om daar nou tientallen clients aan te hangen?

AlexanderB,

Ik kan je alvast vertellen dat ik hier veel ervaring mee heb. Op tientallen locaties draaien "hotspots" waarover ik het beheer heb. Dit zijn campings, hotels, bedrijfspanden en conferentiecentra. Als je hier echt verder mee wil gaan raad ik je toch echt aan om te gaan investeren in het opzetten van een degelijke infrastructuur. Als je dit niet doet kan dit je later zuur gaan opbreken, als in UREN/DAGEN/WEKEN tijd verliezen in het troubleshooten en zoeken van oplossingen voor onder andere netwerkproblemen en verbindingsproblemen. Om dan nog maar te zwijgen over klachten van de gebruikers, eventuele restituties enz.

Om even een kort tipje van de sluier op te lichten: Centrale server met beheersinterface - Server met PfSense - internet - draytek - hotspotAP's. (Ik ga niet verder in detail treden, maar hou rekening met redundantie en zoverder)

Zo doe ik het hier en heb tot nu toe geen enkele probleem ondervonden (2.5 jaar up and running). De beide servers draaien in het datacenter, de internetlijnen zijn voorzien van voldoende bandbreedte voor de beoogde gebruikersaantallen op de remote sites. En de gebruikers moeten via een goed opgezette structuur inloggen op een portal site vooraleer ze kunnen surfen. Ik heb net even ingelogd op de server en er zijn op dit moment iets meer dan 3400 gebruikers verspreid over 107 locaties aan het surfen via dit systeem. Om maar even te duiden dat je het beheer over dergelijke omgevingen echt wel goed moet plannen en implementeren.

[ Voor 6% gewijzigd door ItsValium op 18-01-2011 19:06 ]

Wat door ItsValium gezegd wordt,hang de servers in een datacenter. Deze hebben dan altijd voldoende uplink. Als je dan tussen de vestigingen en het datacenter een IP-VPN realiseert, kan performance nooit een issue zijn.

Zoek trouwens ook eens op cisco een een DHCP-Helper.

en ga eens op zoek naar wat je allemaal kan doen met een radius server

Zo, die heb je snel gevonden.

wat krijg je precies niet voor elkaar ?

AlexanderB schreef op dinsdag 18 januari 2011 @ 16:57:
tipje van de sluier, het gaat om hotspots die via een centrale server de billing en services krijgt, die server deelt dhcp uit en aan de hand daarvan identificeert ie zn klanten.

Begrijp ik nou goed dat die server maar 1 scope kan draaien?
Denk dat je het met die bridging setup echt veel te ingewikkeld gaat maken,..

Flyduck schreef op woensdag 02 februari 2011 @ 19:58:
[...]
Denk dat je het met die bridging setup echt veel te ingewikkeld gaat maken,..

Ja, dat zeggen we allemaal, maar de TS wil het volgens mij nog steeds niet begrijpen.

Mogelijk dat Cisco pseudo wire ook een oplossing zou zijn, deze maakt een L2 lan verbinding over een L3 netwerk.

Hmm, OpenVPN met l2 tunneling is wel de oplossing hiervoor (alhoewel, brakke kop, dus pin me d'r niet op vast ). Draai je het op Windows machines? Volgens mij moet je dan nog de adapter defineren in je config (de adapternaam die je in het configuratiescherm ziet).

En niet de bridge vergeten met de netwerkkaart die aan het LAN hangt

[ Voor 8% gewijzigd door BHQ op 04-02-2011 11:07 ]

brrr, deze oplossing kan je dus niet integreren met een ander netwerk zonder problemen. Zijn de clients allemaal exclusief op het kastje geinstalleerd dat de tunnel maakt?

Kan je niet beter een andere hotspot oplossing kiezen ?

Ben zelf ook iets dergelijks aan het opzetten met (ja funy name) http://www.ruckuswireless.com/ wireless spul.

Kan je corperate wifi sidd aanbieden op meerdere locaties + gasten wifi/hotspot waarbij je het hotspot/gasten wifi van alle locaties inclusief dhcp kan tunnelen naar een centrale wifi controller in een data centre en daar via een appart vlan aan je internet router knopen.