3 gescheiden netwerken

Je zou kunnen kijken naar routers welke met Vlans overweg kunnen...

Ik gebruik zelf een Draytek router. Die zijn in ieder geval goedkoper dan de ZyXel die jij daar noemt...

Volgens mij kan je wel een router achter een router gebruiken. Je sluit gewoon de WAN ingang van de router aan op een van de netwerkpoorten van de router waar je internet op binnenkomt. De router scheidt zelf de LAN en WAN zijde van elkaar... Echter is dit lastig als je iets met portforwarding wilt doen. Je zult dit dan van de ene naar de andere router naar het internet moeten instellen.

Denk ook even aan het dubbel NAT probleem wat je gaat krijgen en of je ze niet op een 'eigen' publiek IP wil hebben, stel ze gaan spammen of jou IP wordt geblacklist omdat daar een pc staat vol met mallware dan kan je netwerktechnisch wel met VLAN's dit opgelost hebben maar dan nog staan jullie op een blacklist.

Mooiste zou zijn doormiddel van Cisco ASA bijvoorbeeld 5505 en dan met VLAN's een eigen publiek IP te geven aan ze.
Is niet goedkoop wel stabiel.
Daarnaast kan je hiermee volgens mij ook wel netwerk verkeer prioriteit geven.

productreview: MikroTik Routerboard RB2011UiAS-2HnD-IN review door Femme

http://www.interprojekt.com.pl/rb2011uias-2hnd-p-1282.html

Op de asus kun je ook meerder vlans instellen mbv telnet of een custom (ddwrt?) firmware. Maar aangezien je toch meerdere poorten nodig zult hebben moet je iets nieuws kopen.

Waarom begint iedereen meteen over VLANs te schreeuwen als je in de praktijk toch al fysieke LANs hebt?

Wat je nodig hebt is een router die meerdere subnets van DHCP, NAT en Firewalling kan voorzien, en die meerdere interfaces heeft om dat mogelijk te maken. Dat kan een stuk eenvoudiger dan je denkt:

- Bouw/bestel een van de goedkoopste BBG systemen van dit forum
- Stop er 3 netwerkkaarten bij in, dan heb je 4 aansluitingen (1x WAN, 3x LAN)
- Installeer iets als pfSense

By default heb je nu dat de 3 LANs niet met elkaar mogen communiceren maar wel met WAN, je kan zelf uitkiezen wat voor subnets te moeten hebben, en je kan als je meerdere IP's hebt ook uitgaande NAT per WAN IP voor elke LAN instellen. Het is goedkoper en krachtiger dan je entry level Cisco/Juniper/HP spul en kan meer dan je Mikrotik/Routerboard/Ubiquiti/EnGenius apparatuur ooit gaat doen, puur vanuit hardware perspectief.

johnkeates schreef op woensdag 28 januari 2015 @ 17:04:
- Bouw/bestel een van de goedkoopste BBG systemen van dit forum
- Stop er 3 netwerkkaarten bij in, dan heb je 4 aansluitingen (1x WAN, 3x LAN)

En dat kan jij voor onder de honderd euro?

ElMacaroni schreef op woensdag 28 januari 2015 @ 17:11:
[...]
En dat kan jij voor onder de honderd euro?

Goedkoopste BBG systeem van september 2014 is €230
Daar zitten de 3 extra netwerk-adapters niet in.

Daar heb je toch een goed routertje voor XD.

johnkeates schreef op woensdag 28 januari 2015 @ 17:04:
Waarom begint iedereen meteen over VLANs te schreeuwen als je in de praktijk toch al fysieke LANs hebt?

Wat je nodig hebt is een router die meerdere subnets van DHCP, NAT en Firewalling kan voorzien, en die meerdere interfaces heeft om dat mogelijk te maken. Dat kan een stuk eenvoudiger dan je denkt:

- Bouw/bestel een van de goedkoopste BBG systemen van dit forum
- Stop er 3 netwerkkaarten bij in, dan heb je 4 aansluitingen (1x WAN, 3x LAN)
- Installeer iets als pfSense

By default heb je nu dat de 3 LANs niet met elkaar mogen communiceren maar wel met WAN, je kan zelf uitkiezen wat voor subnets te moeten hebben, en je kan als je meerdere IP's hebt ook uitgaande NAT per WAN IP voor elke LAN instellen. Het is goedkoper en krachtiger dan je entry level Cisco/Juniper/HP spul en kan meer dan je Mikrotik/Routerboard/Ubiquiti/EnGenius apparatuur ooit gaat doen, puur vanuit hardware perspectief.

Neem een simpel routertje en zet er DDWRT oid op, dan heb ongeveer dezelfde mogelijkheid, elke poort kan je volledig isoleren. En dan heb je geen PC staan die je moet onderhouden, ruimte en stroom vreet.

Zet dan een Edgerouter lite neer, ben je ook voor 150 euro ex btw klaar en heb je een degelijke prefab oplossing. VLAN support en kan zeer veel connecties aan. De ERPoe-5 heeft voldoende poorten voor een uplink en 3 gescheiden LANs.

[ Voor 22% gewijzigd door andy88 op 28-01-2015 17:59 ]

andy88 schreef op woensdag 28 januari 2015 @ 17:56:
Zet dan een Edgerouter lite neer, ben je ook voor 150 euro ex btw klaar en heb je een degelijke prefab oplossing. VLAN support en kan zeer veel connecties aan. De ERPoe-5 heeft voldoende poorten voor een uplink en 3 gescheiden LANs.

Volgens mij €120 incl. en ik denk zelfs dat het nog goedkoper kan. Heb je maar 3 poorten waarvan je er al 1 voor de WAN kwijt bent. Goed, kun je wel vlannen aanmaken dus er komt een managed switch bij. Maar ook die kosten tegenwoordig de wereld niet.

Goedkoper dan een systeem bouwen iig en dan niet alleen in de aanschaf maar ook in verbruik en onderhoud. Zelfde kun je maken met een DDWRT, RouterOS etc. capable hardware

Zonder te weten wat de te verwachten pps gaat zijn or tenminste de bandbreedte heeft het eigenlijk weinig zin om hardware te selecteren bedenk ik me nu...

johnkeates schreef op woensdag 28 januari 2015 @ 18:19:
Zonder te weten wat de te verwachten pps gaat zijn or tenminste de bandbreedte heeft het eigenlijk weinig zin om hardware te selecteren bedenk ik me nu...

Als hij nu met een Asus RT-N66U uit de voeten kan dan voldoet een ERL zoals hierboven genoemd meer dan.

andy88 schreef op woensdag 28 januari 2015 @ 18:24:
[...]


Als hij nu met een Asus RT-N66U uit de voeten kan dan voldoet een ERL zoals hierboven genoemd meer dan.

Is dat zo? Want 3 netwerken is precies hetzelfde als 1? Want een WAN link die niet gesauteerd wordt is een goede maatstaaf voor 3 netwerken die dat samen misschien wel doen?

johnkeates schreef op woensdag 28 januari 2015 @ 18:34:
[...]


Is dat zo? Want 3 netwerken is precies hetzelfde als 1? Want een WAN link die niet gesauteerd wordt is een goede maatstaaf voor 3 netwerken die dat samen misschien wel doen?

Oke, stel hij heeft een up en downlink van 1 gbit/s via fiber en toevallig huren 2 zware tweakers beide bovenwoningen ja dan zou je wellicht gelijk kunnen hebben. Gelukkig hebben we nog zoiets als QoS waarbij de diverse vlans kan prioriteren

edit: Zie hier de EdgeOS mogelijkheden voor QoS, hardnekkige torrent downloadende pubers zijn hiermee prima in goede banen te leiden. http://wiki.ubnt.com/Quality_of_Service_%28QoS%29

[ Voor 15% gewijzigd door andy88 op 28-01-2015 18:45 ]

johnkeates schreef op woensdag 28 januari 2015 @ 17:04:
Waarom begint iedereen meteen over VLANs te schreeuwen als je in de praktijk toch al fysieke LANs hebt?

Wat je nodig hebt is een router die meerdere subnets van DHCP, NAT en Firewalling kan voorzien, en die meerdere interfaces heeft om dat mogelijk te maken. Dat kan een stuk eenvoudiger dan je denkt:

- Bouw/bestel een van de goedkoopste BBG systemen van dit forum
- Stop er 3 netwerkkaarten bij in, dan heb je 4 aansluitingen (1x WAN, 3x LAN)
- Installeer iets als pfSense

By default heb je nu dat de 3 LANs niet met elkaar mogen communiceren maar wel met WAN, je kan zelf uitkiezen wat voor subnets te moeten hebben, en je kan als je meerdere IP's hebt ook uitgaande NAT per WAN IP voor elke LAN instellen. Het is goedkoper en krachtiger dan je entry level Cisco/Juniper/HP spul en kan meer dan je Mikrotik/Routerboard/Ubiquiti/EnGenius apparatuur ooit gaat doen, puur vanuit hardware perspectief.

wtf, over schreeuwen gesproken. Je vindt een VLAN een "overkill" terwijl je zelf met zo'n bak hardware aan komt zetten? Vrij "simpele" routers kunnen al een VLAN aan, en dan is je probleem per definitie al opgelost.

Tsja, waarom niet 3 routers?

Onze eigen router met daarachter 2 andere routers. Maar als je je best doet kom je volgens mij alsnog in ons netwerk.

Antwoord is gewoon nee.

Ik zou ook gaan voor 3 fysiek gescheiden netwerken die tezamen komen bij de router/firewall en daar het Internet op gaan.
Maar houd inderdaad rekening met het feit dat als men gaat spammen het publieke ip adres geblokt kan worden.

Ik draai hier al jaren een apart VLAN omdat ik samen me de buurman internet deel.
Gebruik Tomato firmware van Shibby.
De Asus router van jou kan zo 4 volledig gescheiden netwerken aan die niet onderling communiceren, maar wel alle 4 een connectie met het WAN hebben.

http://tomato.groov.pl/

Instellen VLAN:

http://somethingk.com/main/?p=323

Wat is de snelheid van de internetlijn?

Ik heb zakelijk een Mikrotik CCR1009 hangen met twee WAN connecties en twee gescheiden netwerken. Zou ook prima kunnen met één WAN en drie interne netwerken. Afhankelijk van de snelheid kun je wellicht al met een minder snelle router af.

Mooiste zou wel zijn om elk LAN een eigen publiek IP toe te kennen. Weet niet of je de mogelijkheid hebt om meerdere IP's aan te vragen op je huidige lijn?

Als je voor een software router gaat heb je de keuze in pfsense en vyos (oss fork uit overleden vyatta van brocade nu). Voor hardware kan je bij ubiquiti een edgeos product halen (vyatta 6.3 fork) of zou ik naar een mikrotik neigen (gruwelijke interface).

johnkeates schreef op woensdag 28 januari 2015 @ 17:04:
Waarom begint iedereen meteen over VLANs te schreeuwen als je in de praktijk toch al fysieke LANs hebt?

Wat je nodig hebt is een router die meerdere subnets van DHCP, NAT en Firewalling kan voorzien, en die meerdere interfaces heeft om dat mogelijk te maken. Dat kan een stuk eenvoudiger dan je denkt:

- Bouw/bestel een van de goedkoopste BBG systemen van dit forum
- Stop er 3 netwerkkaarten bij in, dan heb je 4 aansluitingen (1x WAN, 3x LAN)
- Installeer iets als pfSense

By default heb je nu dat de 3 LANs niet met elkaar mogen communiceren maar wel met WAN, je kan zelf uitkiezen wat voor subnets te moeten hebben, en je kan als je meerdere IP's hebt ook uitgaande NAT per WAN IP voor elke LAN instellen. Het is goedkoper en krachtiger dan je entry level Cisco/Juniper/HP spul en kan meer dan je Mikrotik/Routerboard/Ubiquiti/EnGenius apparatuur ooit gaat doen, puur vanuit hardware perspectief.

Hey... pssst.... Weet je hoe binnen pfSense die 3 LAN netwerken heten? Dat heten VLANs..... Een VLAN is niets meer en niets minder dan een geïsoleerd LAN op een aansluiting van een router.

Ofwel: Je oplossing maakt OOK VLANs aan, net als alle andere voorstellen. Hij doet dat echter veel ingewikkelder met veel duurdere en ingewikkeldere hardware. Ik zie het voordeel niet.

Croga schreef op woensdag 28 januari 2015 @ 19:22:
[...]

Hey... pssst.... Weet je hoe binnen pfSense die 3 LAN netwerken heten? Dat heten VLANs..... Een VLAN is niets meer en niets minder dan een geïsoleerd LAN op een aansluiting van een router.

Ofwel: Je oplossing maakt OOK VLANs aan, net als alle andere voorstellen. Hij doet dat echter veel ingewikkelder met veel duurdere en ingewikkeldere hardware. Ik zie het voordeel niet.

euh... nee

binnen pfsense heb je verschillende netwerken. Deze kan je ofwel aan een fysieke interface koppelen, of met .1q tagging (de meest voorkomende vlan tagging) aan een interface knopen.

vlan-ing heeft absoluut niets te maken met routing en nog minder met firewalling, dit is een pure L2 aangelegenheid.

99% van alle keren dat hier op tweakers het woord VLAN valt is het compleet foutief gebruikt, zo ook hier. ik hoop dat dat ooit eens stopt, maar 'k heb een vermoeden dat VLAN het modewoordje van 2014 geworden is en z'n trend wil doorzetten in 2015...

dus, wat is hier wel nodig: 3 gescheiden netwerken. hoe kom je daaraan?
- ofwel 3 gescheiden internet abonnementen, zeer eenvoudig voor de boekhouding en legally waterdicht
- ofwel 1 abo met minstens 3 publieke IP adressen, waarbij elk netwerk z'n eigen router heeft achter de modem
- ofwel 1 abo met een routed range (minstens /28) waarbij een firewall (of een L3 switch met ACL's) de 3 netwerken aan het internet kan knopen zonder deze netwerken elkaar te laten storen

Je vergeet optie 4:
- 1 abonnement met 1 publiek IP-adres, waarbij je voor alle (gescheiden) backendnetwerken NAT doet naar 1 IP.

Zal niet de eerste keer zijn dat meer dan 1 IP'tje krijgen 'onmogelijk' is.

PerfectPC schreef op woensdag 28 januari 2015 @ 19:38:
99% van alle keren dat hier op tweakers het woord VLAN valt is het compleet foutief gebruikt, zo ook hier. ik hoop dat dat ooit eens stopt, maar 'k heb een vermoeden dat VLAN het modewoordje van 2014 geworden is en z'n trend wil doorzetten in 2015...

Ik ben zo blij dat jij het beter weet dan Cisco. En al die andere router leveranciers.

dus, wat is hier wel nodig: 3 gescheiden netwerken. hoe kom je daaraan?
- ofwel 3 gescheiden internet abonnementen, zeer eenvoudig voor de boekhouding en legally waterdicht
- ofwel 1 abo met minstens 3 publieke IP adressen, waarbij elk netwerk z'n eigen router heeft achter de modem
- ofwel 1 abo met een routed range (minstens /28) waarbij een firewall (of een L3 switch met ACL's) de 3 netwerken aan het internet kan knopen zonder deze netwerken elkaar te laten storen

Leuk maar dat is niet de situatie die TS heeft. Dus als jij dat wilt doen met pfSense dan is dat voorstel al helemaal zinloos geworden.

Douweegbertje schreef op woensdag 28 januari 2015 @ 18:44:
[...]


wtf, over schreeuwen gesproken. Je vindt een VLAN een "overkill" terwijl je zelf met zo'n bak hardware aan komt zetten? Vrij "simpele" routers kunnen al een VLAN aan, en dan is je probleem per definitie al opgelost.

Nee. Je hebt niks aan VLANs als je 3 fysieke netwerkkabels voor je 3 losse subnets gaat trekken. Een VLAN is niks anders dan een tag op een fysieke interface. Sure, you zou elk van je losse interfaces kunnen gaan raggen, maar wat schiet je daar mee op? Als je 1 fysiek netwerk hebt en daar meerdere netwerken op wil laten draaien gebruik je VLANs, in alle andere gevallen niet. Dat is waar VLAN voor bestaat, niet voor iets anders. Je kan als je wil 3 subnets op 1 LAN draaien (of 1 VLAN als je gek bent en graag iets gaat taggen wat niet getagd hoeft te worden), met als nadeel dat iemand dus alle andere subnets kan sniffen als een swtichport alle subnets uitpoept.


OT:

De TS heeft een bedrijfsnetwerk met een internetverbinding. We weten niet hoe het bedrijfsnetwerk gebruikt wordt, we weten niet wat voor WAN er is, en we weten niet wat voor type aansluiting er is.

Het enige wat we weten is dat er 'iets' is, en dat er 2 LAN's bij komen, twee fysieke LANs op twee fysiek verschillende plekken. Dus niet 1 kabel waar 2 LAN's doorheen moeten of 1 Switch waar meerdere LANs doorheen moeten.

Meer informatie is dus nodig.

- Wat voor WAN verbinding?
- Wat voor gebruik voor het bedrijf op het moment?
- Wat voor gebruik voor de twee extra netwerken?
- Wat voor verkeer is er nu?

Je kan iets blind neerzetten en hopen dat het wert om dat 'het dat meestal wel doet', maar dat is het meest idiote wat je kan doen bij een bedrijfsnetwerk. Er hoeft geen enterprise oplossing te komen lijkt me (gezien de TS het hier komt vragen en blijkbaar dus zelf mag beslissen wat er gebeurt), maar op z'n minst iets waar je als bedrijf geen last van hebt.

[ Voor 33% gewijzigd door johnkeates op 28-01-2015 20:37 ]

Misschien onstaat de verwarring doordat je op een simpele (managed) L2 switch alleen poorten kunt groeperen op basis van VLAN ids (dat denk ik, geen ervaring mee)?

Op RouterOS klik ik gewoon wat poorten aan losse bridges, komt geen VLAN id bij kijken.

Thralas schreef op woensdag 28 januari 2015 @ 19:55:
Je vergeet optie 4:
- 1 abonnement met 1 publiek IP-adres, waarbij je voor alle (gescheiden) backendnetwerken NAT doet naar 1 IP.

Zal niet de eerste keer zijn dat meer dan 1 IP'tje krijgen 'onmogelijk' is.

nee die ben ik zeker niet vergeten, maar deze optie wil je juridisch gezien nooit implementeren als bedrijf

Croga schreef op woensdag 28 januari 2015 @ 20:07:
[...]

Ik ben zo blij dat jij het beter weet dan Cisco. En al die andere router leveranciers.

[...]

Leuk maar dat is niet de situatie die TS heeft. Dus als jij dat wilt doen met pfSense dan is dat voorstel al helemaal zinloos geworden.

1) ik weet het zeker niet beter dan cisco, maar al mijn cisco apparatuur gaat met mij akkoord hoor. vermoedelijk heb jij het over de rebranded linksys rommel en andere huis-tuin-keuken gerief?
2) wanneer heb ik ooit gezegd dat pfsense hier de oplossing is

PerfectPC schreef op woensdag 28 januari 2015 @ 20:45:
nee die ben ik zeker niet vergeten, maar deze optie wil je juridisch gezien nooit implementeren als bedrijf

De andere oplossingen die je aandraagt waarschijnlijk ook niet. Ook al heb je 3 IPs, dan staan deze nog op jouw naam. Kun je zelf wel raden bij wie men aanklopt in geval van misbruik.

Als je dat risico niet aandurft moet je deze constructie uberhaupt niet willen, en gewoon iedereen zelf z'n internet laten regelen. Naast aansprakelijkheid jegens derden zit je natuurlijk ook met verantwoordelijkheid naar de gebruikers toe, als het stuk is mag jij het debuggen, nog zo'n dingetje dat mogelijk niet wenselijk is voor een bedrijf dat niet primair ISP is.

In dat licht valt de additionele problematiek rond 1 IP ipv. 3 een beetje in het niet wmb. Het is maar de vraag hoeveel je daar juridisch mee opschiet, alleen zaken als blocklists zijn dan geen probleem meer (stel dat een van je gebruikers een boel spam verstuurt en daarmee je bedrijfsmailserver op een blacklist zet).

Als je Ubiquiti wil gebruiken, kijk dan eens naar deze: http://www.ubnt.com/unifi-switching-routing/usg/

doet precies wat je wil. Eenvoudige switch met vlan's er achter om het fysiek te scheiden en eventueel ook gelijk wifi mogelijk met dezelfde interface. Ze hebben ook een switch die via dezelfde interface is te beheren, maar die is misschien wat overkill voor jullie.

Een RB2011 van Mikrotik kan PER POORT een DHCP scope maken, die elkaar niet storen.

Bv.:

scope 1: 192.168.1.1 ...
scope 2: 172.0.1.1.....
scope 3: 10.0.0.1.....

Uiteraard, wordt de router zo ingesteld dat ze wel "naar buiten kunnen". Maar per definitie kan een PC met een subnet van 10.0.0.1 niet naar een subnet van 172.0.1.1 etc... Uiteraard behalve dát, moet je ook nog een firewall instellen tussen de subnetten.

Ik heb dat ook bij een kerk gedaan. Hun fysieke LAN heeft 192.168.0.0.... en de WiFi (publiek toegankelijk) zit op 172.1.1.0. UIteraard, met een firewall ertussen. Dus de WiFi mensen kunnen niet op de LAN.

Zelfs de default gateways die de wifi clients krijgen ligt buiten de DHCP scope, zodat ze niet op de AP's zelf kunnen komen. Beheer van de AP's kan alleen gedaan worden van één bepaalde poort op de router.

En dat allemaal ui één doosje. Is niet makkelijk in te stellen, maar als het eenmaal werkt, loppt het als een trein.

En waarom kunnen die subnets niet bij elkaar dan? De functie van een router is dat dat wel kan... dus lijkt me dat je dat zelf uit moet zetten / moet blokkeren

De routing verzorgt dat het kan maar firewall rules/ACL's kunnen dit juist weer voorkomen.

Haribo112 schreef op donderdag 29 januari 2015 @ 11:54:
En waarom kunnen die subnets niet bij elkaar dan? De functie van een router is dat dat wel kan... dus lijkt me dat je dat zelf uit moet zetten / moet blokkeren

In de zin daarna geeft hij dat ook aan. Beetje tegenstrijdige informatie, want je kunt er inderdaad van uitgaan dat een router gemiddeld genomen zoveel mogelijk routeert.

Ook bij Mikrotik RouterOS is dat zo, sterker nog, de default firewall hanteert een 'default accept' policy.

Verwijderd schreef op donderdag 29 januari 2015 @ 11:45:
Een RB2011 van Mikrotik kan PER POORT een DHCP scope maken, die elkaar niet storen.

Ik snap de fascinatie voor die RB2011 niet echt, gezien de RB951G in de meeste gevallen ook volstaat. Desalniettemin een prima apparaat, mits je geen hoge (> 200 Mbit/s) WAN-bandbreedte-eisen hebt.

Uiteraard behalve dát, moet je ook nog een firewall instellen tussen de subnetten.

Ik zou een default deny policy hanteren, dan hoef je 'tussen de subnetten' niets te regelen. Binnen een subnet kan verkeer sowieso vrij vloeien, want dat deelt (in dit geval) dezelfde L2.

Zelfs de default gateways die de wifi clients krijgen ligt buiten de DHCP scope, zodat ze niet op de AP's zelf kunnen komen.