Netwerk opzet voor NGO office's in Haiti

Beste tweakers,

Op het moment zit in Haiti en ben ik gevraagd om een blik te werpen op de manier waarop hier de netwerken in elkaar zitten. Nu heb ik zelf wat iets van IT achtergrond en ben ik wel bekend met netwerken maar toch zou ik graag jullie blik op het geheel willen vragen. De reden hiervoor is dat ik maar korte tijd hier ben, er verder weinig tot geen netwerk specialisten zijn en dan met name de boel stabiel moet blijven draaien zonder (professioneel) onderhoud. Als ik langer aanwezig zou zijn, was het natuurlijk een ander verhaal en had ik meer tijd gehad om in te grijpen en diverse zaken zelf uit te proberen.

Dat gezegd hebbende, heb ik natuurlijk wel een aantal zaken zelf uitgezocht en diverse mogelijkheden bekeken. Ik zal hieronder allereerst de huidige opzet uiteen zetten, daarna de wensen van de NGO en vervolgens de opties die ik reeds heb bekeken. Het voornaamste punt is echter dat de middellen hier beperkt zijn en dus dat er weinig apparatuur voor handen is. Daarom graag in de adviezen meerdere opties neer zetten zodat we mensen op pad kunnen sturen om te gaan zoeken naar het juiste spul. Hopelijk kunnen jullie helpen en zien jullie hier wellicht een intressante uitdaging in.

Noot: ik weet dat het werk van NGO's in Haiti nog wel eens bekritiseerd wordt en heb daar ook begrip voor. Ik wil daarover ook best vragen beantwoorden als die er zijn. (bijv. wat moet een halve IT'er daar, kunnen ze niet beter iemand sturen die er echt verstand van heeft ). Maar liever geen uitgebreide politieke discussies.

Organisatie structuur
De NGO heeft 2 kantoren: 1 in Port au Prince (PaP) en 1 in Leogane, zo'n 30 kilometer buiten PaP. Beide kantoren beschikken over een (min of meer) stabiele internetverbinding van ongeveer 1mbps. Verder zijn er diverse Guest Houses waar werknemers verblijven en waar ook "breedband" internet is.

Huidige netwerk opzet
Internet
Ieder vestiging/house beschikt over een Linsys router (wrt54g2), gekoppeld aan een internetverbinding (Multilink haiti). Echter lijkt deze connectie ook geNAT te zijn. (als dat een woord is). Maw het ip-adres op de router is anders dan dat zichtbaar op internet (http://whatismyipaddress.com).

Intern netwerk
De interne netwerken zijn over het algemeen maar 1 router met DHCP (wrt54g2), behalve het hoofdkantoor dan meerdere routers heeft met verschillende SSIDs. (is niet door mij bedacht). Vervolgens hangen aan deze routers ook servers en printers die via het netwerk benaderbaar zijn.

Wensen
Er zijn feitelijk 2 wensen: bereik/capaciteits uitbreiding en remote access. Ik heb ze hier bij elkaar gezet, maar indien gewenst kan ik er ook 2 losse posts van maken.
Bereik/Capaciteit

• We zijn op zoek naar een manier om meerdere SSIDs te hebben, aangezien we ook veel bezoekers hebben die wel internet toegang willen hebben maar niet tot onze netwerk resources. Dit is natuurlijk met moderne routers niet zo'n probleem. Hoewel de WRT54G2 het niet out of the box ondersteunt is dit geloof ik wel mogelijk met DD-WRT firmware.
• Daarnaast willen we graag meerdere accespoints gebruiken omdat een kantoor/basis vrij groot is. We kunnen wel netwerkkabels trekken naar de verschillende AP's en deze verbinden met de router om zo het bereik en de capaciteit te vergroten.
• Mijn vraag hierbij is eigenlijk: is het mogelijk om met meerdere AP's te werken met multiple SSIDs? Moeten deze dan op iedere router of AP worden ingesteld of kunnen deze vanzelf doorgegeven worden. Het kan namelijk zo zijn dat het wachtwoord af en toe verandert word om de 'beveiliging' te vergroten. (tegen oud-werknemers).

Remote access

• De tweede vraag is om mensen vanaf verschillende plekken toegang te geven tot andere netwerken en resources.
• Het probleem is dat de "internet" verbinding dus ook NAT is en dus geen publiek IP heeft. Dus een VPN server bijvoorbeeld niet zonder meer te benaderen zal zijn vanuit een ander kantoor.
• Wellicht is een centrale VPN server elders (bijvoorbeeld in NL) een oplossing hiervoor. Echter zou dit alleen voor VPN gebruikt kunnen wordne aangezien de internetverbinding te langzaam en onstabiel is om de bestanden daar ook op te slaan.
• Daarbij, zijn er misschien nog andere oplossingen mogelijk om de netwerk te kopppelen. Het gaat hierbij met name om (windows) file access en toegang tot databases (file maker pro).

Beperkingen/Overwegingen

• We hebben hier met name WRT54G2 routers in gebruik en beschikbaar. We kunnen op zoek gaan naar andere apparatuur maar meerdere alternatieven maakt dat wel makkelijker.
• Het moet vooral beheerbaar blijven, de kennis/tijd voor IT zaken is maar beperkt hier. Simpel en efficient zijn de voornaamste doelen hierbij. M.a.w. ingewikkelde configuraties zijn tricky. Dit is natuurlijk een trade-off tegen functionaliteit/stabiliteit maar vandaar dat ik juist advies vraag.
• Internet/Stroom is niet gegarandeerd beschikbaar. M.a.w. een en ander moet ook werken zonder internetverbinding en vanzelf online komen als de spanning terugkomt.

Ideen

• In het kader van simpel houden dacht ik aan het WiFi netwerk aan WRT54G2 router met DD-WRT, met een AP. Ik weet echter niet of een AP dus multiple SSIDs kan doorgeven en hoe dit werk met password. Ik heb hier geen AP op het moment om het proberen.
• Voor het bestanden delen, kan het misschien worden opgelost met synchronisatie software op de file server op ieder kantoor. Misschien zelfs met een proffesioneel dropbox account en (lokaal) gesharde folders).
• Alleen voor het toegang verlenen tot database (die een webpagina produceert) heb ik nog geen oplossing gevonden. Ik weet niet hoe ik er voor kan zorgen dat het IP van het andere kantoor benadert kan worden. Ik heb hier echter wel een ticket voor naar de ISP gestuurd, maar dat kan even duren.

Tot slot, sorry voor de lange post, maar ik hoop in ieder geval op deze manier zoveel mogelijk achtergrond informatie te geven. Ik ben benieuwd naar hoe jullie dit zouden aanpakken. Laat maar weten als er nog onduidelijkheden zijn en mijn excuses als ik andere posts/bronnen over het hoofd heb gezien.

Alvast bedankt en met vriendelijke groet,

Mijzelf schreef op dinsdag 18 oktober 2011 @ 13:07:
Wat remote access/VPN betreft zou je eens naar Hamachi kunnen kijken. Dat werkt simpel en betrouwbaar. Nadeel is wel dat je van een 3th party server gebruik maakt, dus echt sensitieve data zou ik er niet doorheen sturen. Of je moet er weer een tunnel doorheen leggen.

Ik ga er eens naar kijken. Echt gevoelige data hebben we hier niet, althans niet iets waar mensen echt kwaad mee zouden kunnen doen. Bedankt voor de tip.

Voor het wifi heb ik inmiddels gevonden dat ik inderdaad op de Linksys router meerdere SSIDs kan draaien met DD-WRT. Het enige nadeel waar ik dan tegen aanloop is dat op ieder AP het netwerk gelijk moet worden ingesteld. Als het wachtwoord wijzigt moet dit dus ook ieder AP worden bijgewerkt. Van wat ik heb kunnen vinden begrijp ik dat managed AP het alternatief hiervoor zouden zijn.

Heeft hier iemand ervaring mee, wat zou een lage drempelige instap oplossing zijn? Deze reeks: http://www.dlink.com/products/?pid=396. Maar ik ben bang dat deze niet te krijgen zijn hier en daarbij dat het te lastig is.

Spacecowboy schreef op dinsdag 18 oktober 2011 @ 17:58:
Wat bedoel je precies? Elke routeer heeft een publiek en een privaat adres en is dus ook vanaf buiten te benaderen.

Misschien maakt dit voorbeeld het wat duidelijker, dit is het kantoor in PaP:
(intern) 192.168.1.1) <-> Router <-> (extern) 192.168.3.1 < ISP > 200.80.112.106
Het ip-adres dat de router extern krijgt (192.168.3.1) is dus anders dan het ip-adres waarmee ik 'op internet zit'. (www.mijnip.nl) Ik vermoed dus dat de ISP ook een NAT oplossing gebruikt om het publiek IP (van internet) te delen over meerdere locaties. Dit lijkt mss vreemd, maar volgens mij gebruiken ze hier straalantennes opgezet door de UN om een netwerk op te zetten, dat vervolgens in hun NOC terecht komt en vanuit daar internet opgaat.

Spacecowboy schreef op dinsdag 18 oktober 2011 @ 17:58:
Andere vraag: Wat staat er nu zoal aan apparatuur wat je misschien zou kunnen hergebruiken hiervoor?

Ik heb gevonden:
Linksys e1200 (3x)
Linksys WRT54G2 (2x)
Een server in een kast (windows Home Server) (1x)
UTP kabels
Switch: 10/100mb 24 ports (2x)

Er is dus vooral linksys apparatuur voorhanden. Ik kan ook kijken er iets anders te krijgen is, dus dat mag ook gerust als advies. Maar meerder alternatieven maken de vindkans groter

Op het moment zit het zo:
inet -> WRT45g2 -> switch -> pc's & E1200's

In ieder geval bedankt voor je antwoord en intresse

Dank voor de antwoorden en vragen. Helaas hadden we afgelopen weekend door een storm een grote stroomstoring en heb ik niet eerder kunnen reageren. Inmiddels snort de generator weer rustig verder dus bij deze het gevraagde.

Ik heb een (poging tot het maken van) een opzetje gedaan:


De zwarte lijnen zijn dus de huidige infrastructuur. De rode lijnen de uitbreidingen waarover ik het had met WiFi Accesspoints en guest network. En de groene lijn staat voor de 'business' access, waarbij mensen vanuit het ene kantoor de 'server' op het andere netwerk kunnen benaderen. Eventueel zou dit uitgebreid kunnen worden met een de guesthouses, maar dat is in de nog verder toekomst.

Van wat ik denk zitten de meeste in PaP allemaal op het zelfde netwerk, maar die in Leogane niet. Ik moet verder even testen of de provider inderdaad onderlinge verbindingen heeft openstaan. Ik zal het deze week proberen te testen. Verder ga ik ook met deze opzet aan de slag: http://logmeinwiki.com/wi...ridging_Networks_Together.

Ik ben verder inderdaad op het moment in contact met UN die een deel van het netwerk verzorgen hier via hun basis (http://ictemergency.wfp.org) alleen zijn zij op het moment bezig met het overdragen van hun netwerk aan lokale ISPs. Deze zullen in eerste instantie het netwerk gewoon overnemen maar zullen nog niet voldoende getraind zijn om een specifieke verzoeken te voldoen (en alles duurt gewoon heel lang hier)

Bedankt voor deze en alle volgende tips.