Wireless network voor gasten aanleggen

maandag 19 september 2011 10:33

Acties:

0 Henk 'm!

/* No Comment */

Topicstarter

Ik wil in mijn bedrijf een wireless network aanleggen waarmee gasten gebruik kunnen maken van het internet, maar niet bij onze servers en workstations kunnen komen. We hebben verschillende apparaten waarmee dit geregeld kan worden, maar hoe ik dit het handigst/veilig doe is me niet helemaal duidelijk.

Huidige setup:

Internet
Glasvezelmodem in de meterkast
|
Linksys WRT610n
Internet router, tevens wifi access point voor medewerkers
|
Netgear GSM7248R
Managed 48 poorts switch, ondersteund VLANs en ondersteund static routing, wordt momenteel gebruikt als gigabit switch (het managed gedeelte wordt dus niet gebruikt)
|
Diverse servers/workstations/andere netwerkapparatuur
Waaronder een Windows SBS 2008 domain controller die ook DHCP server speelt. (tevens mail server, LDAP server, etc)

Verder hebben we in de serverkast nog de volgende ongebruikte hardware liggen:
Linksys WRT54g2
Linksys WRT54g (oudje)

Ik heb gekeken naar verschillende subnets te gebruiken, maar weet niet zeker of dat handig is. Tevens heb je dan 2 DHCP servers nodig die beide op hun eigen subnet IP addressen uitdelen. Hoe ik dat zou moeten instellen heb ik geen idee van. Verder heb ik mijn twijfels over de veiligheid, als ik op het gastennetwerk mijn pc een IP op het thuisnetwerk toe ken, kan ik volgens mij nog steeds gewoon bij de servers.

Tevens heb ik naar verschillende VLANs, mijn netwerkkennis schiet me me hier iets te kort. Ik heb de handleiding van de switch uiteraard doorgespit, maar begrijp het gewoon niet 100%. Tevens ondersteunen de linksys routers geen VLAN. maar ik geloof dat daar omheen is te werken door in de switch een VLAN ID aan een of meer poorten toe te kennen.

Wie kan me een zetje in de goede richting geven, en een hint geven hoe ik dit het beste kan opzetten?

maandag 19 september 2011 10:53

Acties:

0 Henk 'm!

Cafe Del Mar

Als je 2 keer NAT, geraak je dan nog aan de originele adressen?
ISP - modem (10.0.x.x) - bedrijfsnetwerk + router-voor-gasten (192.168.y.y)

Kan je met een 192.168.y.y adres nog tot op die 10.0.x.x geraken? Volgens mij niet.
Als je dan de router-voor-gasten instelt dat ze enkel poort 80 (web) mogen gebruiken, ga je al veel fratsen uitsluiten denk ik.

maandag 19 september 2011 11:30

Acties:

0 Henk 'm!

Martijn02

/* No Comment */

Topicstarter

2 keer NAT heeft niet mijn voorkeur, in mijn ervaring is het niet erg stabiel (moest vroeger mijn zyxel telfort modem ongeveer 2 keer per dag herstarten, voordat ik doorhad dat ik hem ook in bridge mode kon zetten), daarbij kan je volgens mij nog steeds gewoon bij de 10.0.x.x adressen.

De gastenrouter heeft in die situatie gewoon een 10.0.x.x adres in het hoofdnetwerk, en zal alles wat niet in zijn eigen 192.168.x.x netwerk zit routeren naar zijn hoofdnetwerk.

maandag 19 september 2011 11:36

Acties:

0 Henk 'm!

TrekDude101

Je kan je Linksys routers flashen met DDWRT, en vervolgens via dat gebruik maken van de guest wifi opties. DD WRT kan bijvoorbeeld standaard al een guest wifi opzetten die niet met het bedraadde netwerk kan communiceren.

maandag 19 september 2011 11:37

Acties:

0 Henk 'm!

Hipska

Maak op je switch een 'internet' VLAN met 3 poorten daarop aangewezen.
Poort 1 naar glasmodem, poort 2 naar huidige linksys router, poort 3 naar gasten linksys router.

Zo is het bij ons ook geregeld en werkt perfect. Gasten hebben dan ook een apart publiek IP dan de eigen werknemers.

maandag 19 september 2011 12:48

Acties:

0 Henk 'm!

CyBeR

💩

Zoals ik 't zie kun je routing met ACL's instellen op je switch.

Wat je dan kunt doen (en incidenteel is dit ook hoe ik het gasten-VLAN bij mij op kantoor van de rest afzonder) is:
• Drie VLANs maken. Een voor je medewerkers, een voor je gasten, een voor je router.
• Je router instellen op, bijvoorbeeld, 10.0.1.1/24, je switch op 10.0.1.2/24
• Op je switch de medewerker-vlan een IP interface geven, bijvoorbeeld 10.0.2.1/24. Idem gasten met 10.0.3.1/24. Eventueel IP routing aanzetten.
• Op je switch een ACL instellen dat 10.0.3.0/24 deny't naar 10.0.0.0/8 te gaan.
• Op je router een route aanmaken 10.0.0.0/8 via 10.0.1.2
• In je gasten-vlan iets neerzetten wat DHCP doet. (Daar gebruik ik dan m'n normale DHCP server voor met een publiek adres zodat 'ie niet onder de ACL valt.)

Dan zou 't al moeten werken.

Eventueel kun je je ACL's zo maken dat DHCP van en naar die DHCP server wel doorgelaten worden. Helaas heeft NetGear al niet echt meer iets online staan over die switch dus dat kan ik niet nazoeken.

[ Voor 10% gewijzigd door CyBeR op 19-09-2011 12:49 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

maandag 19 september 2011 12:56

Acties:

0 Henk 'm!

Paul

NAT-over-NAT is geen probleem, ook niet qua stabiliteit. Enkel als je port-forwards wilt maken moet dat op 2 locaties

Ik denk die Zyxel een ander probleem had om eerlijk te zijn; wij gebruiken het ook op een aantal plaatsen.

Als je echter een wireless router (met de WAN-kant) in je LAN hangt voor de gasten kunnen deze gasten wel bij je LAN, en dat wil je over het algemeen niet.

Ik lees echter 'glasvezelmodem' en 'bedrijf', heb je toevallig (de mogelijkheid tot) 2 (of meer) publieke IP-adressen? Dan zet je gewoon één van de WRT54g's ook op de glasvezelswitch en geef je die het 2e IP-adres

Als DD-WRT echter met de 160N die je hebt al een gasten-lan op kan zetten is dat ook een optie

Kan het niet, dan kan het meen ik wel door op je LAN (of port-based, zo goed ken ik DD-WRT ook niet) VLANs aan te maken en dan het gasten-VLAN op je Netgear naar een WRT54g brengen (of als het port-based is, die WRT54g rechtstreeks aan de WRT160N).

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

maandag 19 september 2011 14:39

Acties:

0 Henk 'm!

Martijn02

/* No Comment */

Topicstarter

Heel erg bedankt voor de reacties tot nu toe.

Het idee van Hipska (en ook van Paul) om een switch tussen de internetmodem en de router te zetten klinkt wel goed. We hebben een internetverbinding van XMS (gewone consumentenlijn) waar we een vast IP adres op hebben. Volgens mij werkt het packetfront modem echter zo dat hij maar 1 mac-adres aan de andere kant accepteert. Bij het aansluiten van de router duurde het een uur voordat de modem weer een nieuw mac-adres accepteerde, en daarmee wilde praten. Dat gaat dus niet lukken ben ik bang.

Ik probeer intussen in de switch te kijken wat ik kan doen met routeren, ACLs etc.

Meer info over de switch: http://support.netgear.com/app/products/model/a_id/2468

maandag 19 september 2011 14:52

Acties:

0 Henk 'm!

Paul

De meest transparante manier (waarbij je dus wel nat-over-nat gebruikt) waarbij je dus niet met VLANs en meerdere interfaces op één router en zo in de weer moet is één router op glas, en dan 2 routers aan de LAN-kant daarvan. Op die manier kunnen de netwerken niet bij elkaar komen en blijft je config ook redelijk rechttoe, rechtaan. Enige puntje is dat je routers wel snel genoeg moeten zijn, anders is het jammer van de bandbreedte (de oude WRT54G kon op WAN meen ik maar 20mbit aan of zo, XMS particulier impliceert 50?).

Als het concept VLAN je niet vreemd is en je hebt routers die het aankunnen is dat wel een oplossing die minder hardware kost

Afbeeldingslocatie: http://tweakers.net/ext/f/MJLvSnvIfGHi4RFY37wnlKFa/full.png

Afbeeldingslocatie: http://tweakers.net/ext/f/jxGekKecF4ipU2jmF22nqFTT/full.png

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

maandag 19 september 2011 15:01

Acties:

0 Henk 'm!

Martijn02

/* No Comment */

Topicstarter

Mooie tekeningetjes Paul

Onze internetverbinding is 100mbit up/down. De WRT610n (dus niet 160n) is de enige router in ons netwerk die dat ook echt aankan.

Het tweede tekeningetje is dus een beetje waar ik heen wil. Het liefst verander ik zo weinig mogelijk aan de huidige situatie. Alles hangt nu in 10.0.0.x, inclusief DNS, etc.

Waar ik nu aan denk ik om de WRT54g2 als 2e NAT in ons netwerk te hangen. (dus WAN port in ons netwerk met een vast IP (zeg 10.0.0.2), en dan mogelijk in de switch met of een vlan, of ACL's ervoor zorgen dat die alleen met de hoofdrouter op 10.0.0.1 kan communiceren?

maandag 19 september 2011 15:08

Acties:

0 Henk 'm!

Paul

Als ik de handleiding van die 610 erbij pak kan die helaas niet meerdere netwerken aan de LAN-kant aan.

Ik denk dat je beste optie dan is om inderdaad de 54 in je bedrijfsnetwerk te hangen en te kijken of je met ACL's het MAC-adres van de WAN-kant van de 54 kunt deny'en op alles behalve de poort waar de 610 aan hangt

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

maandag 19 september 2011 15:08

Acties:

0 Henk 'm!

CyBeR

💩

Als je switch ACL's op L2-poorten kan toepassen dan kun je inderdaad instellen dat die gewoon alles naar 10.0.0.0/8 moet deny'en. (Om via de router te kunnen internetten hoef je niet bij 10.0.0.1 te kunnen.)

All my posts are provided as-is. They come with NO WARRANTY at all.

maandag 19 september 2011 15:12

Acties:

0 Henk 'm!

Paul

Voor zover ik de handleiding van de switch heb bekeken hebben ze het daar alleen over MAC-ACL's? Maar goed, 'de' handleiding zie ik snel ook niet staan daar, alleen quickstarts en een paar specialty manuals...

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

maandag 19 september 2011 15:26

Acties:

0 Henk 'm!

Martijn02

/* No Comment */

Topicstarter

Ja dat geloof ik ook.

Andere insteek dan. Stel ik maak in de switch een VLAN voor gasten, voeg daar een aantal poorten aan toe. hoe stel ik het dan zo in dat ze alleen met de router kunnen praten?

maandag 19 september 2011 15:27

Acties:

0 Henk 'm!

Anoniem: 383381

Waarom niet voor dames?

maandag 19 september 2011 15:29

Acties:

0 Henk 'm!

Paul

Je router moet dan ook VLANs snappen, en dat kom ik in de handleiding van de Linksysjes niet tegen

Kun je geen MAC-ACL maken op alle poorten (behalve die met de 54g en de 610n) die verkeer van het MAC van de 54g blokkeert?

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

maandag 19 september 2011 15:30

Acties:

0 Henk 'm!

CyBeR

💩

Paul schreef op maandag 19 september 2011 @ 15:12:
Voor zover ik de handleiding van de switch heb bekeken hebben ze het daar alleen over MAC-ACL's? Maar goed, 'de' handleiding zie ik snel ook niet staan daar, alleen quickstarts en een paar specialty manuals...

De CLI reference geeft op dat zowel MAC-acl's gemaakt kunnen worden (wat trouwens ook kan) en IP-acl's.

Ik denk dat je dan uitkomt op het volgende:

access-list 101 deny ip any 10.0.0.0 255.0.0.0

En dan die acl toevoegen op de poort waar die gastrouter aan zit:

ip access group 101 in

Bij gebrek aan NetGear-evaring moet ik wel bekennen dat 't een beetje natte-vingerwerk is

Voor de volledigheid, ik zei dat ik zoiets op kantoor ook doe. Dat is met een Cisco switch dus niet direct over te zetten, maar dit is hoe:

interface Vlan200
 ip address 10.0.2.1 255.255.255.0
 ip access-group deny-workshops in
 ip helper-address bla

en de acl:

ip access-list extended deny-workshops
 remark Deny traffic from workshops vlan to anywhere private
 deny   ip any 10.0.0.0 0.0.255.255
 deny   ip any 192.169.0.0 0.0.0.255
 deny   ip any 192.168.0.0 0.0.255.255
 permit ip any any

Een andere optie die ik me net bedenk-- kun je geen uitgaande firewall filter instellen op de router die je voor je gasten gebruikt?

[ Voor 31% gewijzigd door CyBeR op 19-09-2011 15:35 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

maandag 19 september 2011 20:07

Acties:

0 Henk 'm!

Bartjezz

Als je gewoon ergens op je bedrijfsnetwerk een AP insteekt met een WAN poort, dan kun je de WAN-poort gewoon een IP adres geven in je bedrijfsnetwerk en kunnen gasten gewoon over wifi internetten zonder dat ze in je bedrijfsnetwerk kunnen komen.

maandag 19 september 2011 20:14

Acties:

0 Henk 'm!

CyBeR

💩

Zonder verdere configuratie is dat alvast niet zo.

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 20 september 2011 10:43

Acties:

0 Henk 'm!

Martijn02

/* No Comment */

Topicstarter

Wat Bartjezz zegt is wat ik nu gedaan heb. En zoals Cyber al aangaf is dat inderdaad niet voldoende.

Wat ik nu gedaan heb.

Hoofd router heeft IP 10.0.0.1/255.255.255.0

Guest router geeft WAN IP 10.0.0.2, en heeft aan de LAN kant 10.0.10.1/255.255.255.0
als ik met een wireless cliënt inlog op het guest wifi kan ik gewoon naar 10.0.0.x adressen, evenals het verdere internet.

Dit probeer ik op te lossen met een ACL op de poort waarin de guest router gestoken zit. Alleen wil dat niet helemaal lukken. (of helemaal niet, net hoe je het bekijkt)

Ik heb geprobeerd via de web interface de ACL toe te voegen, maar kreeg daar steeds een vage error "Cannot add this ACL." Uiteindelijk via de CLI-interface uitgezocht wat ik precies moet doen, en het de volgende stappen gedaan.

login as: admin
admin@10.0.0.3's password:

(GSM7248R) >enable
Password:

(GSM7248R) #configure

(GSM7248R) (Config)#access-list 101 deny ip any 10.0.0.0 255.0.0.0

(GSM7248R) (Config)#interface 0/48

(GSM7248R) (Interface 0/48)#ip access-group 101 in

Error:  ACL and Diffserv can not be used on the same interface in the same
direction. 0/48

Hehe.. nu snap ik eindelijk waarom ik die ACL niet kon toevoegen, iemand had met QoS een DiffServ rule aangemaakt op alle poorten. Nadat ik de poort weer heb vrijgemaakt alsnog de ACL toegevoegd.

(GSM7248R) (Interface 0/48)#ip access-group 101 in

Alleen.. als ik nu met een laptop inlog op het guest wifi krijg ik netjes een IP (10.0.10.101) in de goede range. Ik kan de guestrouter pingen (10.0.10.1) maar de hoofdrouter niet. ook adressen buiten ons netwerk krijg ik niet gepingd.

dinsdag 20 september 2011 10:58

Acties:

0 Henk 'm!

jeka

Support your local club.

Misschien niet wat je zoekt maar wij hebben een aparte internetlijn voor gasten. Simpel adsl-etje. Kost 10 euro in de maand en je bent snel klaar. (maar de bovenstaande oplossingen zijn natuurlijk een stuk mooier)

FCG

dinsdag 20 september 2011 11:17

Acties:

0 Henk 'm!

CyBeR

💩

Martijn02 schreef op dinsdag 20 september 2011 @ 10:43:

Alleen.. als ik nu met een laptop inlog op het guest wifi krijg ik netjes een IP (10.0.10.101) in de goede range. Ik kan de guestrouter pingen (10.0.10.1) maar de hoofdrouter niet.

Dat klopt, die valt onder 10.0.0.0/8.

ook adressen buiten ons netwerk krijg ik niet gepingd.

Dat is wel vreemd. Normaal gesproken is het kunnen bereiken van de router niet nodig, zolang je de ARPs maar terug krijgt zodat je via 't ding kunt routen. Wellicht blokkeert jouw switch ook de ARPs.

Dat zou je moeten kunnen oplossen door de access-list twee items te geven:

no access-list 101 # even de bestaande weghalen
access-list 101 permit ip any 10.0.0.1 255.255.255.255
access-list 102 deny ip any 10.0.0.0 255.0.0.0

interface 0/48
ip access-group 101 in 1
ip access-group 102 in 2

Again, config is wat natte-vingerwerk.

[ Voor 6% gewijzigd door CyBeR op 20-09-2011 11:22 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 20 september 2011 11:44

Acties:

0 Henk 'm!

Martijn02

/* No Comment */

Topicstarter

Nee, je configs zijn prima. Alleen na deze ingevoerd te hebben kan ik nu overal weer bij. (ook de andere servers op het 10.0.0.x segment)

Aargh, zou het kunnen dat de linksys hoofdrouter het verkeer weer terug de switch in stuurt?

dus Laptop -> Guest router -> Switch (ACL) -> Hoofdrouter -> Switch (andere poort dus geen ACL) -> Interne server

Als ik in de hoofdrouter kijk, dan kan je bij geavanceerde instellingen de routingtabel weergeven. Die ziet er als volgt uit.

IP-adres doel-LAN	Subnetmasker	Gateway	Aantal sprongen	Interface
10.0.0.0	255.255.255.0	0.0.0.0	1	LAN en WLAN
85.223.48.0	255.255.240.0	0.0.0.0	1	Internet (WAN)
0.0.0.0	0.0.0.0	85.223.48.1	1	Internet (WAN)

dinsdag 20 september 2011 11:51

Acties:

0 Henk 'm!

CyBeR

💩

Hoewel niet onmogelijk lijkt 't mij wel sterk. Kun je checken met traceroute?

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 20 september 2011 12:01

Acties:

0 Henk 'm!

Martijn02

/* No Comment */

Topicstarter

Je hebt gelijk.. Traceroute heeft maar 2 hops:

10.0.10.1 (quest router)
10.0.0.120 (ip van een server die ik niet zou moeten kunnen bereiken)

dinsdag 20 september 2011 12:27

Acties:

0 Henk 'm!

CyBeR

💩

Kun je eens proberen de 1 en de 2 om te wisselen?

Een andere optie is dat 't mischien toch zo moet:

access-list 101 permit ip any 10.0.0.1 255.255.255.255
access-list 101 deny ip any 10.0.0.0 255.0.0.0

interface 0/48
ip access-group 101 in

D'r is zelfs nog een optie, als ze écht cisco zo hard mogelijk na willen doen:

access-list 101 deny ip any 10.0.0.0 0.255.255.255

interface 0/48
ip access-group 101 in

Probeer die laatste als eerste, zou ik zeggen.

Uiteraard eerst even de bestaande lists en groups weghalen.

[ Voor 110% gewijzigd door CyBeR op 20-09-2011 12:33 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 20 september 2011 13:21

Acties:

0 Henk 'm!

Martijn02

/* No Comment */

Topicstarter

Met de laatste oplossing kan ik niets bereiken anders dan de guest router.

Met de oplossing daarvoor kan ik overal bij, inclusief de afgeschermde servers. (dit had ik trouwens zelf ook al geprobeerd)

Ik begin er langzaam aan te twijfelen of die Netgear niet een bug heeft oid.

[ Voor 8% gewijzigd door Martijn02 op 20-09-2011 13:24 ]

dinsdag 20 september 2011 13:28

Acties:

0 Henk 'm!

CyBeR

💩

Dat zal wel meevallen, maar ik mis hier de Netgear-ervaring om je precies te vertellen wat er mis gaat.. Elke vendor heeft z'n eigen ideeeën over hoe dit soort dingen werken namelijk, ook al is de cli syntax vaak verdacht soortgelijk.

All my posts are provided as-is. They come with NO WARRANTY at all.

Onderwerpen