Meerdere IP adressen (1 + 8) op één xs4all VDSL verbinding? - Internet en hosting

maandag 8 juni 2015 15:59

Acties:

+1 Henk 'm!

Anoniem: 452672

Topicstarter

Bij xs4all heb ik een VDSL aansluiting met 1 vast IP adres en daarnaast nog 8 IP-adressen in een /29 subnet. Standaard biedt xs4all de mogelijkheid om alles via de Fritz!Box op één LAN te krijgen. Op het LAN heb je dan het 192.168.x.x network en tegelijkertijd je /29 subnet, waarop je nog 5 adressen vrij kunt gebruiken (eentje is voor de router en je hebt je broadcast en network address). Deze opzet vind ik niet wenselijk omdat je dan je thuisnetwerk en het /29 subnet op de zelfde fysieke omgeving hebt en ze veiligheidstechnisch niet gescheiden zijn.

Ik heb een oplossing in gedachten als volgt:
1) Neem los modem, dat de VDSL verbinding beschikbaar maakt op een Ethernet poort, volledig transparent, in bridge mode. Deze zet DSL op, maar geen IPv4 en IPv6. Er wordt ook geen VLAN tagging toegepast in het modem.
2) Sluit een switch aan op de Ethernet poort van het modem.
3) Sluit een WLAN router aan op de switch en gebruik PPPoE en VLAN tagging (VLAN 6 voor xs4all) om het thuisnetwerk, gebruikmakend van het ene IP-adres dat standaard bij de VDSL aansluiting wordt geleverd, aan de praat te krijgen.
4) Sluit nog een router aan op de switch om het /29 subnet te krijgen op een apart LAN.

Stappen 1, 2 en 3 heb ik succesvol aan de praat gekregen. Als los modem gebruik ik een Fritz!Box 7360, met aangepaste firmware (Freetz en een Linux hack om alleen DSL op te zetten en de DSL link over te zetten op een LAN poort). Als switch gebruik ik een simpele Netgear 5-poort GS105E. Als WLAN router gebruik ik een Draytek Vigor 2750, waarvan ik het modem-gedeelte niet gebruik. In deze router kan ik aangeven dat ik gebruikmaak van een Ethernet aansluiting met PPPoE en VLAN tagging. Achter de Vigor 2750 heb ik mijn thuisnetwerk en als public IP-adres heb ik het standaard IP-adres van de VDSL link.

Nu vroeg ik me af of dit de goede opzet is. Ik heb verder geen netwerkspullen in huis en wil voordat ik geld ga uitgeven voor nog een router graag weten wat ik het beste kan doen om dat /29 subnet achter die tweede router te krijgen in een apart LAN. Kan ik hier ook gebruik maken van PPPoE en VLAN ID 6? Hoe moet ik dan de boel instellen op die router om het hele subnet er achter te krijgen? Of moet ik voor ieder apart IP-adres een aparte PPPoE sessie opzetten? Als het laatste het geval is, zou ik dan ook de computers direct op de GS105E switch kunnen aansluiten en iedere computer een eigen PPPoE sessie kunnen laten opzetten?

Allemaal vragen. Ik hoop dat iemand me de juiste richting kan opsturen zodat ik weet wat ik evt. nog moet aanschaffen om het hele network compleet te krijgen.

maandag 8 juni 2015 21:25

Acties:

0 Henk 'm!

Out.of.Control

Dat gaat zo niet werken. Die /29 wordt over dezelfde PPP verbinding gestuurd als de rest, dus die komt nooit bij die tweede router terecht.
Wat je nodig hebt is een router met minimaal 3 fysieke poorten waarop je de buitenwereld, je LAN en die /29 kunt configureren, ofwel een router met VLAN-ondersteuning en een managed switch om de boel gescheiden te houden.

Of het kan met de hardware die je nu hebt weet ik helaas niet. Met de meeste routers met standaard-firmware zal het niet lukken, maar wellicht wel met Open-WRT.
Ik zou zelf kiezen voor een BSD of Linux-doos met 3 netwerk interfaces, maar of je daar genoeg kennis van hebt (of tijd en zin om je die kennis eigen te maken) kan ik niet inschatten.
Zo systeem hoeft overigens geen complete PC te zijn, een Alix 2d13 bordje of iets dergelijks zou prima voldoen (kost iets meer dan 100 euro, verbruikt niet meer dan 10 Watt en kan ca. 100 Mbit/s routeren).

maandag 8 juni 2015 21:29

Acties:

0 Henk 'm!

Deveon

Voor dat /29 subnet heb je helemaal geen router nodig.

Dus Modem -> Switch -> Router

De router heeft aan de lan kant 192.168.x.y en aan de wan kant /29. Vervolgens kan je op de switch extra apparaten aansluiten en vast het ip adres instellen in het /29 subnet.

Het /29 subnet is dan je DMZ.

[ Voor 8% gewijzigd door Deveon op 08-06-2015 21:38 ]

maandag 8 juni 2015 22:30

Acties:

0 Henk 'm!

Hugo__Boss

Ik zou ook voor het laatste gaan. Een routed subnet instellen in je modem die pppoe opbouwt en daarachter je apparaten met statisch publiek ip adres uit hrt subnet hangen.

dinsdag 9 juni 2015 09:15

Acties:

0 Henk 'm!

Anoniem: 452672

Topicstarter

@Deveon: Die oplossing zie ik nog niet helemaal voor mij. Jij bedoelt dat ik gewoon een apparaat op de switch aansluit en een vast IP-adres configureer op de network interface? Wat moet ik dan als gateway adres opgeven?

Volgens mij kan dat niet, want op die switch heb ik helemaal geen IP-koppeling, alleen maar ruwe DSL. Bovendien heb ik op de poorten op de switch nog geen VLAN scheiding gedaan. Datapakketten van een PC, rechtstreeks gekoppeld aan de switch moeten toch ingepakt worden in pakketten met VLAN tag ID gelijk aan 6?

Ik heb ondertussen wel een variant geprobeerd van jouw aanpak. Bij gebrek aan een tweede router heb ik een Odroid C1 gepakt (een klein systeempje à la de Raspberry PI, alleen iets sneller) en daarop een network interface geconfigureerd met VLAN tag 6 (eth0.6) en een PPPoE configuratie. Dit heb ik aan de praat gekregen. Ik krijg dan het ene standaard IP adres van de VDSL verbinding. In de router, die in een andere poort van de switch zit, heb ik ook PPPoE met VLAN tag 6 ingesteld, met daarin één van de IP-adressen uit het /29 subnet ingesteld als fixed IP-address. Dan krijg ik een tweede link, en vanaf het internet kan ik de Odroid benaderen via de standaard VDSL koppeling en de router via dat ene network uit de /29 range. Echter, ik heb op deze manier slechts één zo'n extra IP-adres. Ik zou voor ieder IP-adres een eigen PPPoE sessie moeten opzetten. Dat kan toch niet de bedoeling zijn?

@mauricej: Bovenstaande in gedachten nemend spreekt me jouw verhaal meer aan. Ik zou dus met één router alles voor elkaar kunnen krijgen? Op één poort mijn thuisnetwerk, op een andere poort het /29 network en dat fysiek gescheiden? Ik heb slechts beperkte kennis van routing, maar het lijkt mij inderdaad dat dit met de gangbare consumentenrouters niet kan. Op zich lijkt mijn testje aan te tonen dat er wel meerdere PPPoE sessies over de zelfde lijn kunnen gaan, dus ik hoop eigenlijk nog steeds dat ik met een tweede router het hele /29 subnet kan krijgen op die router. Ik heb op internet iets gelezen over MicroTik routers. Dat schijnen ook behoorlijk flexibele apparaatjes te zijn die ook betaalbaar zijn. Heb jij daar ervaring mee? Zelf een router opzetten met Linux op een bordje is denk ik net iets te hoog gegrepen voor mij. Ik heb inderdaad wel leuke bordjes gezien (Banana PI R1 met 2 1 GHz cores, 1 + 4 Ethernet interfaces en 1 GByte RAM, het bordje dat jij noemde, en bordjes van MicroTik), maar ben een beetje huiverig voor alle uitzoekwerk die me dit gaat kosten.

Als tussenoplossing zou ik kunnen leven met losse PC's, direct op de switch, elk met hun eigen PPPoE sessie. Ik heb echter niet voor elkaar kunnen krijgen dat ik een vast IP-adres adres vanuit Linux kan meegeven met een PPP-sessie (als ik <IP>: meegeef als argument aan pppd, dan wordt door de remote zijde de verbinding blijkbaar niet geaccepteerd, terwijl die wel moet kunnen, want die Draytek router krijgt het wel voor elkaar).

dinsdag 9 juni 2015 09:27

Acties:

0 Henk 'm!

Out.of.Control

Het verbaast me dat je test-opstelling met meerdere PPPoE sessies werkt. Als dat inderdaad zo is (en het is een ondersteunde configuratie die ook blijft werken), dan zou je dat best zo kunnen doen.
Het kost je in ieder geval niets aan extra hardware en aan tijd om dingen uit te zoeken.
Je zou die vraag in de nieuwsgroep xs4all.general kunnen stellen. Daar lezen ook een aantal XS4ALL medewerkers mee die kunnen zeggen of dit zo kan of niet.

Voor wat betreft Microtik: ik heb er geen ervaring mee, maar ik verwacht dat het daarmee prima mogelijk is om zo'n opstelling met gescheiden netwerken te maken. Van wat ik zo her en der lees is de leercurve van Microtik ook behoorlijk stijl en is het geen kwestie van een paar dingen bij elkaar klikken.
Er is op GOT (in Netwerken) wel een special Microtik topic, wellicht woont er iemand bij je in de buurt die het leuk vindt om dit bij jou thuis op te zetten.

dinsdag 9 juni 2015 22:27

Acties:

0 Henk 'm!

Anoniem: 452672

Topicstarter

Ik heb for the time being het probleem heel simpel opgelost, zonder extra hardware aan te moeten schaffen. Er zitten nadelen aan, maar voorlopig kan ik daar mee leven.

De Fritz!box heb ik weer als gewone router geconfigureerd, dus niet meer in bridge-mode. Op deze router kun je 1 publiek IP-adres als "exposed host" opgeven, zelf neemt deze router ook 1 publiek IP-adres uit de /29 reeks. Ieder pakket voor het IP-adres van de exposed host wordt dan direct van de WAN interface aan de DSL-kant op de LAN interface gezet. Op deze "exposed host" heb ik mijn Draytek router aangesloten met een statisch IP-adres. Dus een router achter router configuratie. Achter de Draytek heb ik mijn thuisnetwerk. In de Fritz!box heb ik nog 3 vrije LAN poorten, daar koppel ik direct mijn andere machines achter, elk met een publiek IP-adres. De Fritz!box heeft een firewall en ik kan poorten openzetten voor elk van de aangesloten publieke IP-adressen. Dit is geen NAT, het is simpelweg openzetten van poorten. Per publiek IP-adres kun je aangeven welke poorten voor welke protocollen open gezet moeten worden. Ook kun je per publiek IP-adres GRE openzetten.

Achter de Fritz!box zit ook nog een privaat LAN-netwerk, deze geef ik adresreeks 192.168.0.x/24 en gebruik ik verder niet. Het enige wat ik nu niet gebruik in deze oplossing is het standaard losse IP-adres van de VDSL-verbinding. Ik gebruik nu een IP-adres uit de /29 reeks welke ik de rol geef die ik eerst voor het losse VDSL adres had. Ik beheer zelf de DNS van mijn domein, dus verandering van het IP-adres is niet echt een probleem. Dat losse VDSL adres zit nog wel op de WAN-kant en de Fritz!box heeft dat als IP-adres gezien vanuit internet, maar verder doe ik er niks mee. Port forwarding (en echte NAT) zit nu niet meer in de Fritz!box, maar in de Draytek achter de Fritz!box.

Nog een voordeel is dat ik nu geen switch meer nodig heb, tenzij ik op een gegeven moment niet meer genoeg poorten op de Fritz!box heb. Nu heb ik er drie in gebruik (thuisnetwerk achter publiek adres x.x.x.2, en nog twee machines op x.x.x.3 en x.x.x.4) en nog eentje over.

Deze oplossing voldoet voorlopig wel even, maar ik ga ondertussen wel verder zoeken. Ik houd niet zo van die router-achter-router oplossingen en wie weet heeft de Fritz!box nog onverwachte beperkingen. Bovendien verspil ik op deze manier het standaard vaste IP-adres van mijn VDSL aansluiting. Ik ga me eens verdiepen in de Microtik routers en wie weet koop ik zo'n apparaat en gebruik ik de Fritz!box weer als modem. De oplossing die ik nu heb geeft wel veel kabelzooi.

dinsdag 9 juni 2015 23:28

Acties:

0 Henk 'm!

Anoniem: 452672

Topicstarter

Ik ben er nu al klaar mee , met bovengenoemde oplossing

Al weer meer dan een uur aan het prutsen.

De Fritz!box z'n firewall is ongelooflijk brak. Het openzetten van losse poorten naar een PC met een publiek IP-adres lijkt nauwelijks te werken.

In mijn opzet heb ik alleen SSH (poort 22) openstaan van buiten naar binnen. Als ik dit heb, dan haal ik vanaf die machine hooguit 10 kbit/s aan snelheid

. Als ik de hele range van 1 t/m 65535 open zet, dan haal ik downspeed bijna 47 Mbit/s en upspeed iets meer dan 20 Mbit/s (mijn lijn is 50/22, dus prima).

Enig idee wat dit zou kunnen zijn? In de machines achter de exposed host heb ik uitstekende performance, zowel upspeed als downspeed. In de machines direct achter de Fritz!box is het werkelijk dramatisch, alleen als ik de hele range open gooi heb ik een goede internetsnelheid.

Het vreemde is dat de verbinding niet helemaal stuk is. Als ik een download doe, dan heb ik na een minuut of 2 pakweg 100 kByte binnengehaald.
Als ik gewoon NAT gebruik naar een 192.168.0.x adres, dan heb ik ook prima performance. Alleen bij losse poorten opengezet naar een machine met publiek IP-adres is de performance zo slecht.

Pagina: 1

Reageer