Hoe kan ik router, modem en AP in ander netwerk beheren?

Beste medetweakers,

Eerst even een situatieschets:
Ik heb twee pubers in huis die af en toe het netwerk zo intensief gebruiken dat voor de anderen in huis het soms onmogelijk is om nog van het internet gebruik te maken. Ik heb glasvezel maar ook nog ADSL dus daarom heb ik deze week een oude router/firewall uit het stof getrokken, geüpdatet naar de laatste firmware, en het ADSL-modem hier op aangesloten. Daarna was het een kwestie van hun kabeltje op het patchpaneel in de meterkast uit de ene router te halen en bij de andere router er waar instoppen. Nu kan ik (en mijn vrouw) weer gewoon zonder vertraging internetten, dus dat is opgelost.

Nu mijn probleem: hoe kan ik vanaf mijn pc het beste hun netwerk beheren? Ik wil dus volledige toegang tot de router/firewall, het modem, de switch in hun kamer en hun AP.

Netwerk van de kinderen bestaat uit:
ADSL (Online.nl) --> Huawei HG655d --> pricewatch: Netgear Prosafe FVS338 --> patchpaneel meterkast --> pricewatch: Netgear Prosafe Gigabit Plus GS108E --> pricewatch: Netgear WN802T

Netwerk voor rest van het huis :
Glasvezel (KPN) --> pricewatch: Netgear Prosafe Gigabit Plus GS105E (om VLAN's te scheiden; TV en telefoon naar Arcadyan KPN Experia Box v8) --> internet naar pricewatch: Netgear SRX5308 --> patchpaneel meterkast --> diverse malen pricewatch: Netgear Prosafe Gigabit Plus GS105E --> (nog aan te sluiten pricewatch: Netgear WN802T met ander SSID dan die van de kinderen)

Is het mogelijk om de 2 routers rechtstreeks op elkaar aan te sluiten zonder dat de netwerken door elkaar gaan lopen of moet er toch een andere constructie komen? Ik heb nog een of twee GS105E's in de kast liggen en ook een niet in gebruik zijnde pricewatch: Netgear Prosafe GS108T-200.

Ik zou het probleem graag oplossen met de hardware die ik heb. Maar als er goede ideeën zijn voor een alternatieve oplossing met andere (niet te dure) hardware waarbij ik bijv. de ouder router/firewalls kwijt kan (lees 2e hands verkopen (hoewel ... wie wil er nu nog een FVS338?)) dan hoor ik dat graag. Dat laatste zou dan wel een oplossing voor een latere datum zijn want wil/kan er nu niet (te veel) geld aan uitgeven. (Je kent het misschien wel: vakantie + pubers die weer van alles nodig hebben als school begint.)

Alvast bedankt voor de suggesties.

johnkeates schreef op donderdag 14 augustus 2014 @ 18:13:
Eigenlijk is dit allemaal ook helemaal niet de oplossing voor je probleem: je hebt op het moment blijkbaar zulke brakke netwerkhardware dat 1 persoon het netwerk plat kan trekken. Eigenlijk moet je dat gewoon oplossen. Gebruik een fatsoenlijke router en je probleem is dus solved.

Je zou toch denken dat dat met een SRX5308 (en de jongens op een appart VLAN voor het geval dat ze toch iets stoms uithalen) het toch goed zou moeten gaan. Het gaat met name fout als ze weer een nieuw spel downloaden en als de ander dat leuk vindt downloadt die het ook meteen nog een keer. Ik zal toch nog eens goed naar de QoS-settings moeten kijken denk ik.

N.B. ... de SRX5308 is een quad-WAN router! .. had er op een geven moment 3 modems aan hangen (overkill!).

[ Voor 6% gewijzigd door Eric70 op 14-08-2014 18:50 ]

Ik moet voor werk morgenochtend voor 4 dagen op pad, ik zal nog eens beter in de instellingen van de SRX5308 duiken als ik terug kom. Lijkt wel weer een beetje op studeren.

.... Maar nu zal m'n vrouw het wel weer jammer vinden want nu kan ze gewoon 's avonds ( of op elk ander moment dat de kinderen achter de pc vandaan moeten maar niet willen) heel simpel de router van de kinderen beneden uitzetten. Lol

Soms vraag ik mij af of ik wel een verstandige keus heb gemaakt met die SRX5308, maar ik heb eerlijk gezegd sinds ik die in huis heb weinig tijd gehad/genomen om me in alle ins en outs te verdiepen.
Maar moet me er als ik nu weer terug ben uit Mexico toch maar eens wat meer in verdiepen, of een andere oplossing zoeken, desnoods met andere hardware.

N.b. Ik geloof niet dat de jongens enige p2p programma's draaien, heb er wel voor gezorgd dat ikzelf het admin account heb en heb daarvan nog niks gevonden de laatste keer dat ik gekeken heb. Daarnaast draait er op alle pc's Norton 360 dus ik hoop de meeste malware buiten de deur te houden, maar aangezien je nooit zeker weet draaiden ze toen alles nog via 1 router ging mooi op hun eigen VLAN.

Edit: veel user reviews klagen er ook over dat de beloofde WAN-LAN throughput helemaal niet gehaald wordt en vaak blijft steken op 70-80Mbit. Ook veel klachten dat er regelmatig een harde reset nodig is, waar ik ook wel eens last van heb.

[ Voor 32% gewijzigd door Eric70 op 16-08-2014 21:47 ]

Ik heb ondertussen iets meer gelezen (helaas lang niet zoveel als ik zou willen, zit met 3 kinderen thuis terwijl vrouw tot 's avonds werkt.) en ben er nog niet helemaal over uit. Vrouw zegt wel blij te zijn dat ze nu met één druk op de knop het internetverkeer voor de (2 oudere) kinderen uit kan zetten als ik in Verwegistan ben (en dat is nogal vaak).

Dit zijn de mogelijkheden waar ik wat serieuzer over heb na zitten denken:

• Beide modems op één router aansluiten en dan elke WAN aan één specifiek VLAN koppelen. Helaas nog niet kunnen ontdekken of dat mogelijk is op de pricewatch: Netgear SRX5308. Wat wel mogelijk is aan WAN-configuraties is: Weighted Load Balancing, Round Robin of Failover. Zijn er routers die dit überhaupt wel kunnen? Zou namelijk wellicht als voordeel kunnen hebben dat de WANs als elkaars failover zouden kunnen dienen.
• De routers verbinden d.m.v. Stactic Routing. Totaal geen ervaring hiermee en moet er nog wel wat meer over lezen. Eerste artikel waarin ik hierover las leek te suggereren dat normale routering hierdoor uitgeschakeld zou worden, maar dat lijkt me toch wel onlogisch. Veel uit te zoeken hierover waarschijnlijk tenzij het simpeler is dan ik me voorstel.
• Wat ik zelf heb lopen bedenken: beide routers hun eigen netwerk laten houden, maar op hetzelfde subnetwerk; via pricewatch: Netgear Prosafe GS108T-200 elke router aan een eigen VLAN koppelen en de rest van het netwerk opsplitsen in de bijbehorende VLANs. Waarschijnlijk moet ik hiervoor DHCP-server op één van beiden uitzetten.

Edit: Doh! Als die laatste oplossing werkt kan ik natuurlijk wel beide routers hun eigen DHCP-server enablen, alleen moet ik dan beiden een ander IP-range te beheren geven, en zorgen dat de gedeelde hardware, zoals voornoemde GS108T-switch een eigen IP krijgt dat buiten de range ligt die beide routers mogen beheren. Toch?

[ Voor 9% gewijzigd door Eric70 op 21-08-2014 23:24 ]

Ik heb even snel op de cFos Speed site gekeken, en zal er straks wat verder erover lezen, maar als ik het goed begrijp moet ik dus wel voor elke PC een licentie hebben van bijna 20 € 15,90 ... met 6 PC's (en in toekomst nog meer) tikt dit dus al aardig aan, terwijl de hardware toch al in m'n huis staat. ... Maar zal zeker nog eens de site en GoT (en andere fora wellicht) doorlezen om te zien of het wat is voor mij. Ik zit ook naar pricewatch: DrayTek Vigor 2925 Dual Wan VPN te kijken, wat denk ik de opvolger is van de 2920, en die zou als ik productreview: DrayTek Vigor 2920 review door WhiteDog (waarvan de 2925 denk ik de opvolger van is) goed lees wel elke WAN aan een bepaald (V)LAN kunnen koppelen. Misschien dat cFos Speed daar dan ook goed mee werkt, als het nodig is.

[ Voor 5% gewijzigd door Eric70 op 22-08-2014 13:55 ]

Heb beide routers even iets anders geconfigureerd.

De SRX5308 heeft als vast IP xxx.xxx.1.2 en diens DHCP-server krijgt het beheer over range xxx.xxx.1.51 tot xxx.xxx.1.150. Switches en het AP die via deze router bediend worden krijgen een vast IP eindigend op ...1.2x; dus bijv. xxx.xxx.1.21.

De FVS338 heeft zelf xxx.xxx.1.3 en diens DHCP-server krijgt het beheer over xxx.xxx.1.151 tot xxx.xxx.1.200. Switches en het AP die via deze router bediend worden krijgen een vast IP eindigend op ...1.3x; dus bijv. xxx.xxx.1.34.

Beide netwerken zijn nu nog niet met elkaar verbonden, even paar dagen op stap geweest met gezin en zit nu weer eventjes voor werk in het buitenland. Ik moet dus de switch, de GS108T, die beide netwerken met elkaar combineert nog instellen. Dit wil ik als volgt doen:
De FVS338 en de switches met IP eindigend op ...1.3x komen op VLAN 3, alles untagged. De SRX5308 en de switches met IP eindigend op ...1.2x komen op VLAN 2 ook allemaal untagged op 1 switch na.
(Edit: de GS108T krijgt als IP xxx.xxx.1.4.)

Die laatste switch (waarvandaan dus alle netwerkhardware beheerd moet worden) krijgt beide VLANs tagged aangeboden en moet ze zelf untaggen. Op één poort na krijgen de poorten VLAN 2 untagged aangeboden, maar nu zit ik nog te twijfelen over die laatste poort, de poort waar de pc (of laptop) wordt aangesloten waarmee ik dus de hardware wil beheren. Twee opties:
1) Deze poort biedt VLANs 2 en 3 untagged aan zodat ik het hele netwerk in een keer kan beheren. Echter krijg ik dan met twee DHCP-servers te maken (één van elke router). Hoeft dit geen probleem te zijn of kan ik dan beter die pc een vast IP geven dat buiten de range ligt die de DHCP-serveersters mogen beheren zoals ik bij de switches heb gedaan en dan het IP van één van de routers opgeven als gateway? Of zijn er nog andere manieren om dit juist in te stellen of zie ik juist iets over hoofd?
2) Deze optie wil ik dus liever vermijden, maar ik kan die poort ook alleen maar VLAN 3 untagged door laten geven. Dan moet ik als ik dus de hardware op dat VLAN wil beheren even de ethernetkabel van de pc tijdelijk in deze poort hangen waarbij ik dus deze pc wel gewoon z'n IP instellingen gewoon automatisch kan laten ophalen.

Een vriendelijke medetweaker heeft mij een DrayTek Vigor 2920 aangeboden dus ongeacht of ik bovenstaande wel of niet voor elkaar krijg kan ik daar ook nog mee gaan experimenteren als ik die eenmaal thuis heb staan.

Even een update:

Milmoor schreef op dinsdag 26 augustus 2014 @ 08:20:
De apparatuur hoeft niet in verschillende IP-segmenten te zitten om met VLAN's te kunnen werken. Mijn router/DHCP-server zit in meerdere VLAN's, maar antwoord altijd op 1 VLAN (1, 47, 100, en praat op 1). Mijn apparatuur ook, maar net anders (47, 1, 8 en praat op 47/100, 1, 8 en praat op 100). Hierdoor kunnen VLAN's 47 en 100 elkaar niet bereiken, maar wel gebruik maken van de DHCP. Beter nog, ik had een verbinding met de buren die geen last van mijn DHCP server moesten hebben (8, 47, 100 en praat op 8 ). Die konden dus wel bij mijn pc's, maar niet bij mijn DHCP server. Alles op 192.168.1.x. De VLAN's zijn puur intern in de switch met forced untagging.

Ongebruikelijk, maar het werkt wel.

Heb ondertussen al een beetje met meerdere VLANs zitten 'spelen' maar door chronisch tijdgebrek het nog niet zo gekregen zoals ik wil. Moet het nog eens rustig uitvogelen hoe het precies te doen.

Ondertussen op het Netgear forum de tip gekregen om met verschillende subnet masks te werken. Dus bijv. voor de kinderen 255.255.255.0 terwijl routers en switches een grotere range krijgen met 255.255.0.0. Ik zal nog even flink moeten googlen over dit onderwerp want dit is voor mij een totaal nieuwe manier om naar m'n netwerk te kijken; ik ben niet anders gewend dan altijd van xxx.xxx.xxx.xxx/24 uit te gaan. Hoewel ik wel een globaal idee heb van wat ik dan zou moeten doen zoek ik nog wat concrete info op het internet, maar wat ik tot nu toe gegoogled heb is bijna allemaal info over wat een subnet mask is (soms vrij diepgaand) en eigenlijk nog geen duidelijke voorbeelden van netwerk configuraties die enigszins vergelijkbaar zijn met wat ik voor ogen heb. Dat wordt dus nog even verder zoeken. Mocht iemand hierover nog tips hebben dan hoor ik dat graag.

Daarnaast heb ik van een zeer vriendelijke Tweaker een DrayTek Vigor 2920n gekregen dus daar gaan we later ook nog eens mee spelen. Ik ben nu weer voor m'n werk bijna een week van huis dus het gaat weer even duren voordat ik aan dit alles toekom.

Als laatste had ik ook nog een mooi diagrammetje gemaakt van hoe m'n netwerk er op dit moment uitziet. (VLAN 2 is eigenlijk VLAN 20 en VLAN 3 is 30, maar dat maakt voor het plaatje verder niet uit.)

[ Voor 0% gewijzigd door Eric70 op 07-09-2014 22:03 . Reden: Typo ]

Milmoor schreef op donderdag 04 september 2014 @ 11:48:
.....
Je moet wel kiezen: of netjes, of via de hack. Je kan ze niet door elkaar heen gebruiken.

Zoiets vreesde ik al, maar ga als ik weer thuis ben en wat tijd ervoor heb gewoon het één en ander uitproberen en hoop dan wel iets te vinden wat voor mij het beste/prettigste werkt. Wellicht ga ik het via beide methoden proberen, dan leer ik er ook weer iets van. Het is me wel duidelijk dat als ik het via subnet maskers wil doen er een goede precieze voorbereiding nodig is.

Toch wel ergens een beetje vreemd dat als ik met subnet maskers zou werken geen VLANs zou kunnen gebruiken.

Edit: Ik zit er wel aan te denken om de GS108Tv2 in de meterkast te vervangen door een 24 poorts switch aangezien ik met toekomstige uitbreidingen nogal wat extra poorten nodig heb. Op dit moment denk ik aan een pricewatch: TP-Link JetStream TL-SG3424 of een pricewatch: Netgear Prosafe Smart Switch GS724Tv4.

[ Voor 25% gewijzigd door Eric70 op 04-09-2014 15:48 ]

Alle kamers hebben één of meerdere loze leidingen naar de meterkast, daar heb ik meteen cat.6 doorheen getrokken en aangesloten op een patchpaneel in de meterkast. Via dat patchpaneel gaan ook de verbindingen voor de tv (via KPN glas alles-in-1). Dat vind ik prettiger dan kabels van kamer tot kamer te moeten laten lopen. Sterker nog: als ik nu weer nieuwbouw zou kopen zou ik nog meer loze leidingen laten aanleggen!

Wat doe je als je in Verwegistan zit en je kunt door het tijdsverschil niet slapen? Juist, dan pak je pen en papier, gebruik je de iPad om meer info over VLANs en subnetting te vinden en ga je lekker mogelijke schema's uittekenen. Maar zover van huis kan ik helaas niks uitproberen. Wat betreft de VLANs denk ik dat ik het redelijk op een rijtje heb staan, maar dat subnetting nog niet helemaal (of wellicht wel helemaal niet).

Een aantal vragen:

Stel dat ik drie subnets aanmaak, waarbij ik een /24 netwerk opdeel in twee /26 subnets en één /25 subnet. Het eerste /26 blok reserveer ik, het tweede wordt 192.168.1.64/26 (subnet ID 192.168.1.64, broadcast address 192.168.1.127, subnet mask 255.255.255.192) en wordt het netwerk van de kinderen. Het derde wordt het hoofdnetwerk met 192.168.1.128/25 (subnet ID 192.168.1.128, broadcast address 192.168.1.255, subnet mask 255.255.255.128).
Als ik nu mijn PC (die dus primair onderdeel moet zijn van dat laatste subnet, maar met een "wijdere blik") een vast IP address geef, bijv. 192.168.1.254 met subnet mask 255.255.255.0 dan heeft hij een ander subnet ID dan de rest van het netwerk waar hij in hangt. Is dat een probleem?

Als ik dan vanaf mijn PC toegang wil tot de andere router heb ik wellicht twee problemen:
1) Niet alleen heb ik nu twee verschillende subnet IDs, ik heb nu ook twee verschillende broadcast adressen. Geeft dat een probleem, ook al type ik het IP address van de router rechtstreeks in in m'n browser?
2) Mijn PC kan nu het hele /24 blok zien en dus ook die andere router, maar die router ziet alleen maar een kwart daarvan, en daar valt het het IP address van mijn PC dus niet onder. Kan ik als ik het IP address van de router in de browser invoer dan toch met de router communiceren?
Let wel, bij deze twee vragen is het alleen de bedoeling dat ik in de GUI van de router kan komen en daar instellingen kan veranderen of de firmware kan updaten. Ik hoef voor mijn PC geen internet toegang via deze router, sterker nog, dat wil ik zelfs voorkomen!

Als ik in de netwerkinstellingen van mijn PC de gateway laat verwijzen naar de primaire router, is dat voldoende om ervoor te zorgen dat ik alleen maar met het internet verbinding heb via die router, of kan het dan ook zo zijn dat ik ongemerkt toch ook via de router van de kinderen het internet opga?

De router van de kinderen heeft ook settings voor multi-home LAN IPs. Daar heb ik misschien ook nog één of twee vraagjes over maar ik ga daar eerst meer over lezen.

[ Voor 13% gewijzigd door Eric70 op 07-09-2014 08:17 ]

Ik zit er inderdaad heel sterk over te denken om zoals jullie zeggen gewoon twee volledige en aparte /24 subnets te maken. Vooral sinds ik onderstaande heb ontdekt.

Eric70 schreef op zondag 07 september 2014 @ 08:05:
....
De router van de kinderen heeft ook settings voor multi-home LAN IPs. Daar heb ik misschien ook nog één of twee vraagjes over maar ik ga daar eerst meer over lezen.

Ik moet alleen dan nog wel uitzoeken hoe ik ervoor zorg dat die router dan geen verkeer routeert tussen die poort waarop ik (via VLAN) mijn pc verbindt en het netwerk van de kinderen, oftewel de andere poorten op die router.

Ik zou dan alleen niet weten hoe ik dan via mijn PC het AP op het netwerk van de kinderen kan beheren, maar dat is niet zo belangrijk. Als je een AP eenmaal goed ingesteld hebt is het eigenlijk een soort van "fire and forget". De switch in het netwerk van de kinderen krijgt dan wel een IP adres uit het andere (hoofd-)netwerk zodat ik die wel kan beheren vanaf mijn PC. Ik wil nogal eens een poort isoleren zodat die geen internettoegang meer heeft zonder dat de rest daar last van heeft. (En helaas voor de kinderen heeft mijn vrouw daar geen verstand van, dus als zij wit ingrijpen zet ze dus gewoon hun router uit )

Als het zo op een redelijk simpele manier zou lukken, heb ik heel lang heel moeilijk zitten puzzelen, maar dan heb ik wel weer aardig wat over netwerken geleerd.

[ Voor 26% gewijzigd door Eric70 op 08-09-2014 01:56 ]

Na flink zoeken en puzzelen de conclusie:

De verbinding die ik voor ogen heb (mijn PC in het ene (sub)netwerk, de te beheren router in het andere (sub)netwerk terwijl de beide netwerken wel gescheiden blijven) is met deze router, de Netgear FVS338, gewoon niet mogelijk via een verbinding aan de LAN zijde. (Maar het was voor mij wel een leerzame exercitie.)

De FVS338 kent wel multi-homing, maar gaat dan meteen routeren tussen de twee subnetten en dat is dus precies wat ik niet wil. Dit is ook niet op te lossen via VLANs want de FVS338 is niet VLAN-aware (Zie o.a. FVS338 - Multihoming en FVS338 Separating/Isolating LAN.)

De enige optie met de huidige hardware die ik nu nog kan bedenken is om 'buitenom' te gaan via VPN. Maar eerst even precies uitvogelen hoe en wat er precies in te stellen valt voor wat betreft VPN op deze FVS338.

ufear schreef op maandag 08 september 2014 @ 03:57:
Misschien een RouterBoard (RB2011 bv.) aanschaffen?

johnkeates schreef op maandag 08 september 2014 @ 04:02:
Ik zou hoe dan ook voor een beter soort software gaan. pfSense bijvoorbeeld. Of Mikrotik.

Naast dat ik, zoald eerder vermeld, naar de pricewatch: DrayTek Vigor 2925 Dual Wan VPN aan het kijken ben heb ik ook overwogen om eventueel voor een MikroTik te gaan. Dit vooral door het enthousiasme van tweaker Pogostokje hierover in [KPN] Glasvezel en op zijn site Bouw je eigen netwerk met KPN Glasvezel. Daarin wordt de pricewatch: MikroTik Routerboard RB2011UiAS-2HnD-IN genoemd.
Zelf zit ik dan eerder te kijken naar de pricewatch: MikroTik Routerboard RB2011UAS-RM die volgens mij hetzelfde Routerboard maar dan zonder WiFi heeft.

Maar voordat ik over ga tot een keuze daarover ga ik eerst nog even spelen met een oude pricewatch: DrayTek Vigor 2920n die ik van een vriendelijke medetweaker heb gekregen.