3 gescheiden netwerken met 3 routers en 1 internetverbinding

Een vriend van mij zit in een pand met zijn bedrijf en deelt met 2 andere bedrijven 1 internet verbinding. Alles gaat via zijn switch en router naar buiten en binnen. Nu wil ik het scheiden van elkaar en wil de andere 2 bedrijven een eigen router laten kopen. Deze 2 routers wil ik via hun Router WAN port koppelen aan zijn Router (router 1) (LAN poort) zodat ze een eigen netwerk krijgen, maar nu is het wel zo dat in deze opstelling de 2 andere routers altijd zijn clients kunnen pingen en zien, terwijl clients op Router 1 niet bij de clients van Router 2 en Router 3 kunnen (wat dus op zich goed is). Ik wil een oplossing waarin alle drie de bedrijven wel 1 internetverbinding delen, maar dat ze elkaars clients nooit kunnen pingen, benaderen of zelfs zien. Dit moet toch mogelijk zijn?

Router 1 is dus van hem, router 2 en router 3 worden van de andere bedrijven. Clients op Router 1 kunnen in deze opstelling NOOIT bij de clients van Router 2 en Router 3 maar omdat Router 2 en Router 3 altijd via Router 1 naar buiten gaan, kunnen ze dus ook de clients op Router 1 pingen en zien. En dat wil ik uit zien te schakelen.

Hieronder zoals ik het zie:
Router 1 : 192.168.1.x (rechtstreeks verbonden met internet)
Router 2 : 192.168.2.x (Via WAN koppelen aan LAN op Router 1)
Router3 : 192.168.3.x (Via WAN koppelen aan LAN op Router 1)

Volgens mij is het dan zo :
Vanuit Router 1 niet mogelijk te pingen naar 192.168.2.x of 192.168.3.x
Vanuit Router 2 niet mogelijk te pingen naar 192.168.3.x maar WEL mogelijk te pingen naar 192.168.1.x
Vanuit Router 3 niet mogelijk te pingen naar 192.168.2.x maar WEL mogelijk te pingen naar 192.168.1.x

Maar het moet wel mogelijk blijven om vanuit alle netwerken te kunnen internetten via ROUTER 1. Maar de wens is dus om alle netwerken gescheiden te houden, men moet elkaar niet kunnen zien of pingen, puur en alleen kunnen internetten en hun eigen router beheren.

Wat kan ik het beste doen om dit voor elkaar te krijgen.
Alvast bedankt voor de tips.

Dank voor deze snelle reacties.

LASHAROR:
In de DMZ plaatsen is op zich wel een optie, maar dat is toch niet superveilig? En als ik dat wel doe, krijg ik dan de situatie zoals gewenst. Worden het dan 3 echt gescheiden netwerken die elkaar niet kunnen zien of benaderen, maar die wel allemaal het internet op kunnen? In dat geval is het het overwegen waard.

MAARUD:
De cisco router die er nu hangt moet ik later even bekijken of die VLAN's ondersteund. Moet ik in deze opstelling dan elke LAN port van de router apart configureren, of moet ik dit op de switch doen. Zover rijkt mijn kennis (nog) niet, maar ik wil het best uitpluizen. Kun je me svp op het juiste spoor zetten hoe je dit precies bedoeld. Er is nu een unmanaged simpele switch aanwezig om alle clients te connecten.

Dank jullie wel alvast.

compjunkie schreef op dinsdag 14 april 2015 @ 14:14:
Wat er nu gebeurt is verkeer word ge-nat achter router 2 en 3. Die kunnen dan al het verkeer bereiken van router 1 omdat deze in het zelfde subnet zitten. Verkeer komt weer terug bij R2 of R3, en die sturen het weer door naar de betreffende host. Allemaal zoals het hoort.

Maar wanneer iemand uit het R1 subnet probeert te pingen naar 2.x of 3.x komt deze aan bij zijn gateway (R1) en deze heeft geen flauw idee hoe hij bij die subnetten komen, dus word het verkeer gedropt. Eigenlijk niet helemaal zoals het hoort maar wel de situatie die jij probeert te bereiken.

Heb je 2 keuzes, als het leuke moderne routertjes zijn knal je er een access-list op om intern verkeer te blokken. Optie 2: Koop een nieuwe router (R4) en zet deze in een soort gelijke opstelling als R2 en R3, namelijk achter R4. Laat deze ook NAT'ten en je heb wat je wil.

Ik denk als ik dit zo lees, dat het inderdaad vrij simpel op te lossen is, door een R4 ook aan te laten schaffen en die voor hem te gebruiken. Krijg je dus 3 routers gekoppeld aan Router 1 en kunnen die elkaar niet zien of bereiken en kunnen ze toch allemaal het internet op. Tja, dat is het voorstellen waard. Dat van die Access lists, is dat simpel op te zetten. Kun je me wat hints geven hoe dit te doen. Thanks

Mooi om te zien hoe er wordt meegedacht, wordt zeer gewaardeerd. Ik denk dat ik de VLAN optie zeker ga verkennen, ook al weet ik er (nog) niet veel vanaf, dit is het proberen wel waard, anders heb ik nog wel wat slimme mensen om mij heen om me daarbij te helpen. Dan houd ik de optie van Router 4 achter de hand. Maar als ik het zo lees, dan is de beste optie het instellen van VLAN's.

Dit doe je dus op de router zelf, en doe je per port begrijp ik. Aan elke routerport hang ik dan een eigen switch (per bedrijf) en alle hosts op die switch gaan via die VLAN naar buiten.
Het is overigens een Cisco router (type moet ik nog achterhalen) maar ik ga het zeker proberen, heb er nu al zin in. Thanks all.

Allen, nogmaals bedankt voor jullie tijd, en goede adviezen. Inmiddels heb ik besloten voor te stellen om een zakelijke abonnement bij Ziggo af te sluiten waarmee ze 5 ip adressen krijgen. Ieder bedrijf schaft zijn eigen router aan, en krijgt zijn eigen IP adres. Tillen we meteen de snelheid omhoog naar 500 MB (nu nog 100 MB) en het kost niet eens zoveel (119 Euro per maand). Probleem wordt daarmee opgelost en niemand kan dan bij de ander zijn netwerk. Het enige wat ze dan delen is de internetverbinding.