Gastnetwerk; geen toegang tot interne DNS server

maandag 29 juni 2015 10:58

Acties:

0 Henk 'm!

Topicstarter

Op kantoor hebben we een TP-LINK Archer C7 als 'hoofd' router. Deze is verbonden met het modem en regelt de DHCP en er draait ook een DNS server op. De firmware is OpenWrt Barrier Breaker r39969 / LuCI Trunk (svn-r9961).
We hebben een Netgear Nighthawk R7000 toegevoegd als wireless AP. Het idee is dat daar ook een gastnetwerk op komt te draaien, niet al te lastig zou je zeggen.
Het probleem is echter dat we dit verkeer willen scheiden van het reguliere interne netwerk, dit kan de router OOTB bieden met de het uitgevinkt laten van de optie "Gasten toestaan om elkaar te zien en toegang geven tot mijn lokale netwerk".
Maar aangezien de DNS server op dit lokale netwerk draait, is er geen internet verkeer mogelijk door het niet kunnen benaderen van de DNS server.
Een medewerker van Netgear verklaarde dat dit inderdaad niet gaat werken, aangezien de Netgear geen routing uitvoert.

Nou is mijn vraag; zou dit met een custom firmware als DD-WRT wel mogelijk zijn?

maandag 29 juni 2015 11:55

Acties:

0 Henk 'm!

EverLast2002

Ik zit te denken aan VLANs, zit die optie niet in OpenWrt ?
Eventueel een static route aanmaken kan een oplossing zijn.

[ Voor 34% gewijzigd door EverLast2002 op 29-06-2015 12:04 ]

maandag 29 juni 2015 11:55

Acties:

0 Henk 'm!

lier

MikroTik nerd

Accesspoints

Ik zou verwachten bij het instellen van een gastennetwerk dat de DNS servers van de provider meegegeven wordt. Is dat niet het geval? Of is dat niet gewenst?

Eerst het probleem, dan de oplossing

maandag 29 juni 2015 12:02

Acties:

0 Henk 'm!

DiedX

Dus: je hebt een router met OpenWRT, en een losse Nighthawk met standaard software.

Volgens mij moet je die netgear kunnen programmeren dat zijn WAN-poort aangesloten is op de TP-Link in een aparte zone. Dan kan jij zelf inter-zone routing toepassen op de OpenWRT.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

maandag 29 juni 2015 14:30

Acties:

0 Henk 'm!

Oilman

Dit gaat zo niet werken. Al het verkeer komt immers bij de TP-link uit en die 'weet' helemaal niets van een apart gastnetwerk.

maandag 29 juni 2015 16:38

Acties:

0 Henk 'm!

plofkip

Topicstarter

Hmm dit lijkt wel erg veel op wat ik voor mekaar wil krijgen: http://blog.danjoannis.com/?p=1362
Klopt dat of zie ik iets over het hoofd?

maandag 29 juni 2015 16:45

Acties:

0 Henk 'm!

EverLast2002

kipusoep schreef op maandag 29 juni 2015 @ 16:38:
Hmm dit lijkt wel erg veel op wat ik voor mekaar wil krijgen: http://blog.danjoannis.com/?p=1362
Klopt dat of zie ik iets over het hoofd?

Het lijkt inderdaad een stappenplan wat jij in gedachten had. Alleen met DD-WRT ipv OpenWRT.....
(Je wilt dus persé je huidige config en firmware vervangen door DD-WRT ?)

dinsdag 30 juni 2015 09:29

Acties:

0 Henk 'm!

plofkip

Topicstarter

EverLast2002 schreef op maandag 29 juni 2015 @ 16:45:
[...]

Het lijkt inderdaad een stappenplan wat jij in gedachten had. Alleen met DD-WRT ipv OpenWRT.....
(Je wilt dus persé je huidige config en firmware vervangen door DD-WRT ?)

Ik wil niets per se, het gaat om het behalen van het doel (gastnetwerk mogelijk maken op een AP) en als daar een custom firmware voor nodig is, dan is dat een optie om te overwegen. Welke custom firmware maakt mij in principe niet uit. We draaien al OpenWRT op een andere router, dus die zou misschien zelfs een lichte voorkeur genieten.

dinsdag 30 juni 2015 10:05

Acties:

0 Henk 'm!

EverLast2002

Oke, ik denk dat ik je situatie nu snap. Je wilt DD-WRT op de Netgear gaan draaien. Uit je verhaal begreep ik dat je OpenWRT op de TP-Link wilde vervangen door DD-WRT.

dinsdag 30 juni 2015 10:07

Acties:

0 Henk 'm!

soulrider

volgens de info die ik vind is je netgear toch echt wel een router...

http://www.netgear.com/ho...g/wifi-routers/R7000.aspx

en kan die dus voor de wifi-gasten die met hem connecteren perfect zelf de dns-server spelen met als upstream dns je TP-link-router. (waarvoor de request dus van client uit het eigen netwerk komt).

Maw: ascii-art:
klanten -))) 192.168.2.x (((- netgear(gastwifirouter) --- 192.168.1.x----- TP-link (router)

en dan is het even zorgen dat je netgear geen verkeer van 192.168.2.x doorlaat naar 192.168.1.x, met eventuele uitzondering van/naar 192.168.1.1, en dat ook je TP-Link alle verkeer van 192.168.2.x en vanuit het 192.168.1.y adres dat de netgear heeft enkel naar de modem toelaat en niet naar de rest van de .1.x-clients.

ps: je kunt natuurlijk ook - als je 2 ip-adressen krijgt van je provider ook achter de modem een switch hangen, met daar aan je TP-link voor je eigen netwerk en de netgear (jawel: toch een router volgens mij) voor je gasten.
Als ze dan beiden een eigen 192.168.x.y range krijgen kunnen ze sowieso al niet met elkaar spreken want beide routers krijgen aan wan-zijde een openbaar ip-adres en die private range is niet extern routeerbaar...

dinsdag 30 juni 2015 10:09

Acties:

0 Henk 'm!

plofkip

Topicstarter

soulrider schreef op dinsdag 30 juni 2015 @ 10:07:
volgens de info die ik vind is je netgear toch echt wel een router...

http://www.netgear.com/ho...g/wifi-routers/R7000.aspx

Uiteraard, we gebruiken hem alleen als AP momenteel.

en kan die dus voor de wifi-gasten die met hem connecteren perfect zelf de dns-server spelen met als upstream dns je TP-link-router. (waarvoor de request dus van client uit het eigen netwerk komt).

Maw: ascii-art:
klanten -))) 192.168.2.x (((- netgear(gastwifirouter) --- 192.168.1.x----- TP-link (router)

en dan is het even zorgen dat je netgear geen verkeer van 192.168.2.x doorlaat naar 192.168.1.x, met eventuele uitzondering van/naar 192.168.1.1, en dat ook je TP-Link alle verkeer van 192.168.2.x en vanuit het 192.168.1.y adres dat de netgear heeft enkel naar de modem toelaat en niet naar de rest van de .1.x-clients.

ps: je kunt natuurlijk ook - als je 2 ip-adressen krijgt van je provider ook achter de modem een switch hangen, met daar aan je TP-link voor je eigen netwerk en de netgear (jawel: toch een router volgens mij) voor je gasten.
Als ze dan beiden een eigen 192.168.x.y range krijgen kunnen ze sowieso al niet met elkaar spreken want beide routers krijgen aan wan-zijde een openbaar ip-adres en die private range is niet extern routeerbaar...

Volgens mij is in dit verhaal alleen niet meegenomen dat de Netgear AP voor zowel medewerkers als gasten is (4 WiFi netwerken; 2 op 2.4 GHz en 2 op 5 GHz), toch?

dinsdag 30 juni 2015 10:20

Acties:

0 Henk 'm!

soulrider

dan mis je dus redelijk wat info in je TP...
je zegt daar dat je TP-LINK voor je eigen netwerk dient, en de netgear een AP is (een AP zijn en een router zijn die als AP gaat moeten werken zijn 2 verschillende dingen) en nergens zei je dat ook medewerkers op die netgear moeten verbinden...

Maar oke: in dat laatste geval (met switch tussen modem en de 2 routers) zou ik de netgear enkel voor de klanten gebruiken, en de TP-link voor de medewerkers en als je dan sterker wifi-signaal nodig hebt voor je medewerkers zou ik achter die TP-link mbv een kabeltje een echte AP hangen op de plaats dat nodig is... (en dan dus geen router misbruiken als AP)

Waarom het jezelf moeilijk gaan maken:
oftewel gebruik je de netgear als een AP en dan hangen alle wifi klanten eigenlijk direct aan je TP-LINK qua ip-adres. (want netgear doet dan niets anders dan wifi <-> kabel vertaling want dat doet een AP)
en dan zijn het voor die TP-LINK dus allemaal 'bedrade klanten' (want de gasten hangen niet op zijn gasten-SSID) en dan gaat die dus niets kunnen afscheiden...
tenzij je mbv DD-WRT/openWRTmet VLAN's gaat prullen op beide routers...

oftewel dient je netgear enkel voor je gasten en kan die werken als router
- hang je hem achter je TP-link, kan de netgear dns-server voor je gasten zijn, en dns-client van je TP-link. Moet je je firewall rules wel goet moeten instellen - indien mogelijk - zodat ongewenst verkeer wordt geblokkeerd.
- hang je hem vanuit de modem gezien 'naast' de TP-link en beiden dus mbv een switch aan de modem, dan moet je vooral de QoS in't oog houden zodat je gasten de lijn niet dichttrekken en het werk-verkeer dus van de lijn duwen

[ Voor 10% gewijzigd door soulrider op 30-06-2015 10:28 ]

dinsdag 30 juni 2015 10:26

Acties:

0 Henk 'm!

plofkip

Topicstarter

soulrider schreef op dinsdag 30 juni 2015 @ 10:20:
dan mis je dus redelijk wat info in je TP...
je zegt daar dat je TP-LINK voor je eigen netwerk dient, en de netgear een AP is (een AP zijn en een router zijn die als AP gaat moeten werken zijn 2 verschillende dingen) en nergens zei je dat ook medewerkers op die netgear moeten verbinden...

I beg to differ:
"Het idee is dat daar ook een gastnetwerk op komt te draaien"

Maar oke: in dat laatste geval (met switch tussen modem en de 2 routers) zou ik de netgear enkel voor de klanten gebruiken, en de TP-link voor de medewerkers en als je dan sterker wifi-signaal nodig hebt voor je medewerkers zou ik achter die TP-link mbv een kabeltje een echte AP hangen op de plaats dat nodig is...

Waarom het jezelf moeilijk gaan maken:
oftewel is je netgear een AP en dan hangen alle wifi klanten eigenlijk direct aan je TP-LINK qua ip-adres.
en dan zijn het voor hem allemaal 'bedrade klanten' (want de gasten hangen niet op zijn gasten-SSID)
en dan gaat die dus niets kunnen afscheiden... tenzij je met VLAN's gaat prullen op beide routers...

oftewel dient je netgear enkel voor je gasten en kan die werken als router
- hang je ham achter je TP-link, kan hij dnsserver voor je gasten zijn, en dns-client van je TP-link.
moet je je firewall rules wel goet moeten instellen - indien mogelijk
- hang je hem 'naast' de TP-link en beiden dus mbv een switch aan de modem, dan moet je vooral de QoS in't oog houden

De TP-LINK hangt in de meterkast op de begane grond, terwijl de Netgear op de 2e verdieping staat.
De reden dat we de Netgear aangeschaft hebben is dan ook in eerste instantie om medewerkers van goede WiFi te voorzien. Op de tweede plaats zou het leuk zijn als klanten via een gastnetwerk gebruik kunnen maken van onze internetverbinding.
Het zou in mijn ogen zonde zijn om daar nóg een router voor aan te schaffen, vooral als deze apparaten tegenwoordig OOTB een gastnetwerk modus hebben (helaas werkt dat dus niet OOTB in deze situatie).

dinsdag 30 juni 2015 10:45

Acties:

0 Henk 'm!

soulrider

Even de handleiding van die netgear opgezocht: blz42 geeft een leuke optie: bridge/VLAN-tagging in te schakelen per lan-poort en per ssid, of willekeurig combinatie ervan.

maw:
Je laat de netgear router zijn achter de TP-link router, en dus met zijn WAN-poort verbinden met de TP-LINK-LAN-poort maar schakelt de bridge in voor alle netwerken (LAN-poorten en wifi-SSID's) waarop medewerkers zitten... zodat zij virtueel rechtstreeks op de TP-link hangen (je TP-link is voor hen dan de "provider" waarover op blz42 wordt gesproken) en de netgear dus gaat optreden als AP/switch voor dat verkeer.
Hierdoor hangen je gasten dus nog steeds achter de Netgear-router, die voor hen dan DHCP, DNS en gateway-server kan zijn.
wederom: firewall-rules nakijken zodat de gast die de interne dns-naam van bv je fileserver kan raden er toch niet aangeraakt. (want je TP-link gaat die - als upstream dns-server van je netgear - natuurlijk graag vertalen naar het juiste ip-adres)

gevolg: netgear wordt daardoor switch/AP voor je medewerkers, en TP-LINK is voor hen de DHCP- & DNS-server/router/firewall.
Netgear is wel router voor je gasten en voor hen dus de DHCP- &DNS-server/router/firewall

OOTB voor je gasten stel je in op je netgear, TP-LINK kan je eventueel wifi laten spelen voor je wedewerkers en alsnog ook OOTB een (2de) netwerk laten aanbieden voor je gasten...

Ingewikkeld maar moet volgens mij gaan...

[ Voor 48% gewijzigd door soulrider op 30-06-2015 10:58 ]

Onderwerpen