Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

3 gescheiden netwerken met 3 routers en 1 internetverbinding

Pagina: 1
Acties:

  • RaulMadrid
  • Registratie: april 2015
  • Laatst online: 21-08-2015
Een vriend van mij zit in een pand met zijn bedrijf en deelt met 2 andere bedrijven 1 internet verbinding. Alles gaat via zijn switch en router naar buiten en binnen. Nu wil ik het scheiden van elkaar en wil de andere 2 bedrijven een eigen router laten kopen. Deze 2 routers wil ik via hun Router WAN port koppelen aan zijn Router (router 1) (LAN poort) zodat ze een eigen netwerk krijgen, maar nu is het wel zo dat in deze opstelling de 2 andere routers altijd zijn clients kunnen pingen en zien, terwijl clients op Router 1 niet bij de clients van Router 2 en Router 3 kunnen (wat dus op zich goed is). Ik wil een oplossing waarin alle drie de bedrijven wel 1 internetverbinding delen, maar dat ze elkaars clients nooit kunnen pingen, benaderen of zelfs zien. Dit moet toch mogelijk zijn?

Router 1 is dus van hem, router 2 en router 3 worden van de andere bedrijven. Clients op Router 1 kunnen in deze opstelling NOOIT bij de clients van Router 2 en Router 3 maar omdat Router 2 en Router 3 altijd via Router 1 naar buiten gaan, kunnen ze dus ook de clients op Router 1 pingen en zien. En dat wil ik uit zien te schakelen.

Hieronder zoals ik het zie:
Router 1 : 192.168.1.x (rechtstreeks verbonden met internet)
Router 2 : 192.168.2.x (Via WAN koppelen aan LAN op Router 1)
Router3 : 192.168.3.x (Via WAN koppelen aan LAN op Router 1)

Volgens mij is het dan zo :
Vanuit Router 1 niet mogelijk te pingen naar 192.168.2.x of 192.168.3.x
Vanuit Router 2 niet mogelijk te pingen naar 192.168.3.x maar WEL mogelijk te pingen naar 192.168.1.x
Vanuit Router 3 niet mogelijk te pingen naar 192.168.2.x maar WEL mogelijk te pingen naar 192.168.1.x

Maar het moet wel mogelijk blijven om vanuit alle netwerken te kunnen internetten via ROUTER 1. Maar de wens is dus om alle netwerken gescheiden te houden, men moet elkaar niet kunnen zien of pingen, puur en alleen kunnen internetten en hun eigen router beheren.

Wat kan ik het beste doen om dit voor elkaar te krijgen.
Alvast bedankt voor de tips.

  • maarud
  • Registratie: mei 2005
  • Laatst online: 15:46
VLANs? Heb je maar 1 (goede) router nodig.

  • lasharor
  • Registratie: december 2004
  • Laatst online: 21:44
Kan je die extra routers dan niet in de DMZ plaatsen?

First Person View Drone racen!! - Ook meedoen? - Zelf proberen?


  • RaulMadrid
  • Registratie: april 2015
  • Laatst online: 21-08-2015
Dank voor deze snelle reacties.

LASHAROR:
In de DMZ plaatsen is op zich wel een optie, maar dat is toch niet superveilig? En als ik dat wel doe, krijg ik dan de situatie zoals gewenst. Worden het dan 3 echt gescheiden netwerken die elkaar niet kunnen zien of benaderen, maar die wel allemaal het internet op kunnen? In dat geval is het het overwegen waard.

MAARUD:
De cisco router die er nu hangt moet ik later even bekijken of die VLAN's ondersteund. Moet ik in deze opstelling dan elke LAN port van de router apart configureren, of moet ik dit op de switch doen. Zover rijkt mijn kennis (nog) niet, maar ik wil het best uitpluizen. Kun je me svp op het juiste spoor zetten hoe je dit precies bedoeld. Er is nu een unmanaged simpele switch aanwezig om alle clients te connecten.

Dank jullie wel alvast.

  • Yariva
  • Registratie: november 2012
  • Laatst online: 16:13

Yariva

Power to the people!

Wat er nu gebeurt is verkeer word ge-nat achter router 2 en 3. Die kunnen dan al het verkeer bereiken van router 1 omdat deze in het zelfde subnet zitten. Verkeer komt weer terug bij R2 of R3, en die sturen het weer door naar de betreffende host. Allemaal zoals het hoort.

Maar wanneer iemand uit het R1 subnet probeert te pingen naar 2.x of 3.x komt deze aan bij zijn gateway (R1) en deze heeft geen flauw idee hoe hij bij die subnetten komen, dus word het verkeer gedropt. Eigenlijk niet helemaal zoals het hoort maar wel de situatie die jij probeert te bereiken.

Heb je 2 keuzes, als het leuke moderne routertjes zijn knal je er een access-list op om intern verkeer te blokken. Optie 2: Koop een nieuwe router (R4) en zet deze in een soort gelijke opstelling als R2 en R3, namelijk achter R4. Laat deze ook NAT'ten en je heb wat je wil.

Mensen zijn gelijk, maar sommige zijn gelijker dan andere | Humans need not apply


  • CyBeR
  • Registratie: september 2001
  • Niet online

CyBeR

💩

Neem een internetverbinding met meerdere IP-adressen (UPC/Ziggo zakelijk met 5 IP-optie of KPN OfficeDSL met hetzelfde bijvoorbeeld) en sluit je 3 routers aan op het verkregen modem. Klaar.

All my posts are provided as-is. They come with NO WARRANTY at all.


  • maarud
  • Registratie: mei 2005
  • Laatst online: 15:46
Als je een VLAN ID op een poort zet, en achter die poort hang je een switch, krijgen alle devices op de switch alleen IP-adressen en routes voor dat VLAN. Lekker simpel dus :)

  • Yariva
  • Registratie: november 2012
  • Laatst online: 16:13

Yariva

Power to the people!

maarud schreef op dinsdag 14 april 2015 @ 14:19:
Als je een VLAN ID op een poort zet, en achter die poort hang je een switch, krijgen alle devices op de switch alleen IP-adressen en routes voor dat VLAN. Lekker simpel dus :)
Maar dan blijf je met het probleem dat de router de routeringen weet voor de overige subnets.

Mensen zijn gelijk, maar sommige zijn gelijker dan andere | Humans need not apply


  • maarud
  • Registratie: mei 2005
  • Laatst online: 15:46
Als je in je firewall instelt dat inter-VLAN communicatie not-done is, ben je er toch al? Dan kan elk VLAN lekker internetten zonder dat je in elkaars netwerk komt.

  • Yariva
  • Registratie: november 2012
  • Laatst online: 16:13

Yariva

Power to the people!

maarud schreef op dinsdag 14 april 2015 @ 14:27:
Als je in je firewall instelt dat inter-VLAN communicatie not-done is, ben je er toch al? Dan kan elk VLAN lekker internetten zonder dat je in elkaars netwerk komt.
Dat zal dan idd moeten worden geactiveerd, dan is het een uitstekende optie :)

Mensen zijn gelijk, maar sommige zijn gelijker dan andere | Humans need not apply


  • maarud
  • Registratie: mei 2005
  • Laatst online: 15:46
Beide opties werken, though. Als je huidige routerapparatuur VLANs ondersteunt is het in ieder geval de moeite waard om er eens mee te spelen. Als je toch nieuwe spullen moet kopen dan werkt de vier-router optie uiteraard ook. Dan ga je van het NAT-principe uit om zo niet in elkaars netwerk te kunnen komen.

  • RaulMadrid
  • Registratie: april 2015
  • Laatst online: 21-08-2015
compjunkie schreef op dinsdag 14 april 2015 @ 14:14:
Wat er nu gebeurt is verkeer word ge-nat achter router 2 en 3. Die kunnen dan al het verkeer bereiken van router 1 omdat deze in het zelfde subnet zitten. Verkeer komt weer terug bij R2 of R3, en die sturen het weer door naar de betreffende host. Allemaal zoals het hoort.

Maar wanneer iemand uit het R1 subnet probeert te pingen naar 2.x of 3.x komt deze aan bij zijn gateway (R1) en deze heeft geen flauw idee hoe hij bij die subnetten komen, dus word het verkeer gedropt. Eigenlijk niet helemaal zoals het hoort maar wel de situatie die jij probeert te bereiken.

Heb je 2 keuzes, als het leuke moderne routertjes zijn knal je er een access-list op om intern verkeer te blokken. Optie 2: Koop een nieuwe router (R4) en zet deze in een soort gelijke opstelling als R2 en R3, namelijk achter R4. Laat deze ook NAT'ten en je heb wat je wil.
Ik denk als ik dit zo lees, dat het inderdaad vrij simpel op te lossen is, door een R4 ook aan te laten schaffen en die voor hem te gebruiken. Krijg je dus 3 routers gekoppeld aan Router 1 en kunnen die elkaar niet zien of bereiken en kunnen ze toch allemaal het internet op. Tja, dat is het voorstellen waard. Dat van die Access lists, is dat simpel op te zetten. Kun je me wat hints geven hoe dit te doen. Thanks

  • ShadowAS1
  • Registratie: september 2010
  • Laatst online: 04-04-2019

ShadowAS1

IT Security Nerd

RaulMadrid schreef op dinsdag 14 april 2015 @ 14:35:
[...]

Ik denk als ik dit zo lees, dat het inderdaad vrij simpel op te lossen is, door een R4 ook aan te laten schaffen en die voor hem te gebruiken. Krijg je dus 3 routers gekoppeld aan Router 1 en kunnen die elkaar niet zien of bereiken en kunnen ze toch allemaal het internet op. Tja, dat is het voorstellen waard. Dat van die Access lists, is dat simpel op te zetten. Kun je me wat hints geven hoe dit te doen. Thanks
En dan krijg je dual-nat, als het ondertussen al niet triple is.
Dat levert alleen maar problemen op terwijl je simpelweg vlans kan gebruiken gezien je toch op 1 interverbinding zit.

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.


  • RaulMadrid
  • Registratie: april 2015
  • Laatst online: 21-08-2015
Mooi om te zien hoe er wordt meegedacht, wordt zeer gewaardeerd. Ik denk dat ik de VLAN optie zeker ga verkennen, ook al weet ik er (nog) niet veel vanaf, dit is het proberen wel waard, anders heb ik nog wel wat slimme mensen om mij heen om me daarbij te helpen. Dan houd ik de optie van Router 4 achter de hand. Maar als ik het zo lees, dan is de beste optie het instellen van VLAN's.

Dit doe je dus op de router zelf, en doe je per port begrijp ik. Aan elke routerport hang ik dan een eigen switch (per bedrijf) en alle hosts op die switch gaan via die VLAN naar buiten.
Het is overigens een Cisco router (type moet ik nog achterhalen) maar ik ga het zeker proberen, heb er nu al zin in. Thanks all.

  • Yariva
  • Registratie: november 2012
  • Laatst online: 16:13

Yariva

Power to the people!

ShadowAS1 schreef op dinsdag 14 april 2015 @ 14:38:
[...]

En dan krijg je dual-nat, als het ondertussen al niet triple is.
Dat levert alleen maar problemen op terwijl je simpelweg vlans kan gebruiken gezien je toch op 1 interverbinding zit.
Tuurlijk is het verre van ideaal, maar TS heeft al 2 routers in deze constructie staan. Daarom stelde ik het voor ;)

@RaulMadrid VLAN's doe je op een managed switch. En een leuke Cisco box (zoals jij misschien daar heb staan) helpt een boel door middel van subinterfaces. Als je er nieuwsgierig in bent, zoek is naar "router on a stick" :)

Mensen zijn gelijk, maar sommige zijn gelijker dan andere | Humans need not apply


  • yzf1kr
  • Registratie: november 2005
  • Laatst online: 20-07 09:45
1 router met 3 Vlans is idd een optie.

Andere optie is 1 router, met waarbij alle 3 de netwerken een eigen hardware poort krijgen en softwarematig een eigen router.

Dan kan je per poort een volledig eigen netwerk opzetten met vlans etc etc.

https://www.facebook.com/hausbrandeck


  • Fairy
  • Registratie: januari 2001
  • Niet online

Fairy

11.260wp and building more

Als netwerk-/systeembeheerder ben ik ernstig allergisch voor jouw opstelling.

Denk aan het volgende:

1. Gebeuren er illegale dingen over jouw lijn, dan ben jij het eerste aanspreekpunt
2. De provider vind het niet leuk. Is volgens mij ook niet toegestaan dat verschillende klanten een account delen. Ze kunnen je niet beboeten, wel afsluiten (onverwacht).
3. De 2 andere bedrijven, ik kan me niet voorstellen dat die zomaar met hun interne netwerk gekoppeld willen worden aan jouw router.

Simpelste oplossing:

1. Een binnenkomende router plaatsen die het internet deelt en elk bedrijf een eigen router laten beheren zodat ze zelf de security in handen hebben

Nadelen: NAT-achter-NAT, geen port forwarding, geen beheer mogelijk van inkomende router door andere bedrijven, dus geen website, geen VPN connectiviteit, mailserver etc. etc. Alleen een beetje surfen blijft over

2. Professionelere router die de 3 netwerk gescheiden kan houden.
Nadeel: Beheer kan niet door de 3 bedrijven worden gedaan, want dat is een major security issue. Als een knutselaar die router verkloot hebben anderen er last van, nog los van de veiligheidsissues. Ook kunnen nog steeds geen poorten gedeeld worden, waardoor bepaalde diensten niet mogelijk zijn (inkomend HTTP(S), FTP, mail etc is dan niet mogelijk voor 2 van de 3.

3. Allemaal een eigen verbinding laten aanleggen.
Iets duurder, maar scheelt een hoop ellende achteraf!

4. Vraag het eens aan je provider. Misschien hebben die wel een goede oplossing (1 modem, meerdere IP's), maar wees dan wel eerlijk en geef aan dat je 3 bedrijfjes hebt draaien. Dat is toch netter.

  • RaulMadrid
  • Registratie: april 2015
  • Laatst online: 21-08-2015
Allen, nogmaals bedankt voor jullie tijd, en goede adviezen. Inmiddels heb ik besloten voor te stellen om een zakelijke abonnement bij Ziggo af te sluiten waarmee ze 5 ip adressen krijgen. Ieder bedrijf schaft zijn eigen router aan, en krijgt zijn eigen IP adres. Tillen we meteen de snelheid omhoog naar 500 MB (nu nog 100 MB) en het kost niet eens zoveel (119 Euro per maand). Probleem wordt daarmee opgelost en niemand kan dan bij de ander zijn netwerk. Het enige wat ze dan delen is de internetverbinding.
Pagina: 1


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True