Glasvezel opsplitsen

1 aansluiting, 1 abonnement. Ik weet niet in wat voor situatie je precies zit, anders kun je onderling de kosten delen oid.

Verwijderd schreef op maandag 19 oktober 2015 @ 08:56:
Er is bij ons glasvezel aangelegd en nu willen er meerdere personen afzonderlijk van elkaar abonnementen op afsluiten. Hoe kan ik dat doen? Kan glas gesplitst worden? Hoe werkt dat bij de aanvraag bij de provider?

In theorie kan het wel, maar of het in de praktijk ook gebeurd weet ik niet.

Anders gewoon een 500/500 abbo en dan met een stevige router de verbinding opdelen in enkele interne VLAN's.

Verwijderd schreef op maandag 19 oktober 2015 @ 08:56:
Er is bij ons glasvezel aangelegd en nu willen er meerdere personen afzonderlijk van elkaar abonnementen op afsluiten. Hoe kan ik dat doen? Kan glas gesplitst worden? Hoe werkt dat bij de aanvraag bij de provider?

En wat was het antwoord van de provider toen je hem dit vroeg?

Ik ben bang dat het niet mogelijk is tenzij je een extra vezelpaar aan laat sluiten. Maar, wat wil je precies bereiken? Wil je echt meerdere abonnementen afsluiten, of wil je de functionaliteit delen met anderen?

Verwijderd schreef op maandag 19 oktober 2015 @ 09:56:
Provider moet nog uitgezocht worden. Postcode check werkt ook nog niet. Maar er zitten hier 4 bedrijfjes die gewoon met consumenten internet willen werken. Deze zullen alle 4 een aansluiting op glas willen aanvragen aangezien adsl hier 8Mb maximaal is. Bij ADSL hebben we wel alle 4 de koperparen in gebruik en dus ook 4 afzonderlijke aansluitingen.

Ik kan natuurlijk voorstellen dat ik met VLANs ga goochelen. Maar of iedereen dat wil... Ik heb nog nooit iets met VLAN's gedaan, dus dat is ook nog wel het nodige uitzoek werk waarbij het wel belangrijk is dat we dan echt volledig en veilig gescheiden netwerken hebben.

Pak een 500/500 verbinding van XS4All en zet daar achter bijv een goede router van Cisco. Kost wat, heb je ook wat moois.

Vervolgens maak je 4 VLAN's:

- VLAN 1: 10.0.0.0/24
- VLAN 2: 10.0.1.0/24
- VLAN 3: 10.0.2.0/24
- VLAN 4: 10.0.3.0/24

Je krijgt ook een /48 IPv6 van XS4All, dus daarna zet je op elk VLAN ook een eigen /64 IPv6 subnet. Zo heeft iedereen een eigen VLAN en is het van elkaar gescheiden. Simpel en veilig.

En je kunt bij xs4all zelfs meerdere ipv4 adressen krijgen, dus als je eigen services wilt draaien kan zelfs dat onafhankelijk van elkaar.

Snow_King schreef op maandag 19 oktober 2015 @ 10:07:
[...]

Pak een 500/500 verbinding van XS4All en zet daar achter bijv een goede router van Cisco. Kost wat, heb je ook wat moois.

Vervolgens maak je 4 VLAN's:

- VLAN 1: 10.0.0.0/24
- VLAN 2: 10.0.1.0/24
- VLAN 3: 10.0.2.0/24
- VLAN 4: 10.0.3.0/24

Je krijgt ook een /48 IPv6 van XS4All, dus daarna zet je op elk VLAN ook een eigen /64 IPv6 subnet. Zo heeft iedereen een eigen VLAN en is het van elkaar gescheiden. Simpel en veilig.

Bij XS4ALL krijg je een prima Fritzbox 7490 bij die verbinding.

Behalve dan dat Fritzboxen echt kutdingen zijn dus 't is aan te raden om een echte router erbij te kopen. Met zoiets als een Ubiquiti Edgerouter en een switch kom je er wel.

Wat voog glas heb je eigenlijk ? FttH of een KPN POP aansluiting o.i.d. ?

Verwijderd schreef op zondag 15 november 2015 @ 14:25:
Zojuist xs4all 500/500 besteld met een fritzbox 7490. Weet iemand of ik met de fritzbox op de LAN poorten VLAN's kan configureren of moet ik daar nog een andere router achter hangen dan?

Ja ik weet of dat kan en nee dat kan niet. Tevens heb je met een Fritzbox maar 3 LAN poorten over als er gebruik gemaakt word van glasvezel. Een lanpoort word dan gebruikt om de glasvezelverbinding in te prikken.

DukeBox schreef op zondag 15 november 2015 @ 14:34:
Wat voog glas heb je eigenlijk ? FttH of een KPN POP aansluiting o.i.d. ?

Aangezien hij aangeeft 500/500 te hebben besteld is alleen FTTH mogelijk. Overigens ook totaal niet interessant.

Maarja zoals gezegd, een degelijke router kopen met een managed switch. En dan moet het wel goed komen.

rolandos582 schreef op maandag 16 november 2015 @ 07:21:
Overigens ook totaal niet interessant.

Wel degelijk, dan kan ieder zijn eigen dienst(en) afnemen.

DukeBox schreef op maandag 16 november 2015 @ 08:26:
[...]

Wel degelijk, dan kan ieder zijn eigen dienst(en) afnemen.

Alsnog je kunt geen 500/500 zonder FTTH. Oftewel er word een NT geplaatst. Je kunt dus alleen een eigen dienst afnemen als je 4x een NT geplaatst krijgt. Maar dat zal wel niet aangezien het waarschijnlijk 1 groot pand is wat is onderverdeeld.

Of ik begrijp je verkeerd, in dit geval mijn excuses.

[ Voor 6% gewijzigd door rolandos582 op 16-11-2015 08:30 ]

rolandos582 schreef op maandag 16 november 2015 @ 08:29:
Of ik begrijp je verkeerd...

Kan ook van mijn kant zijn
Maar wat ik bedoel, als je een POP connect hebt, zoals tele2, kpn en zelfs ziggo waar de (on premise) apparatuur eigendom is van de (glasvezel)provider kunnen daar meestal meerdere diensten op afgenomen worden. Bijv. KPN levert dan een glas bridge (CAP-ID xxx) met daar aan per klant een router (CAP-ID yyy, CAP-ID zzz).

DukeBox schreef op maandag 16 november 2015 @ 09:22:
[...]

Kan ook van mijn kant zijn
Maar wat ik bedoel, als je een POP connect hebt, zoals tele2, kpn en zelfs ziggo waar de (on premise) apparatuur eigendom is van de (glasvezel)provider kunnen daar meestal meerdere diensten op afgenomen worden. Bijv. KPN levert dan een glas bridge (CAP-ID xxx) met daar aan per klant een router (CAP-ID yyy, CAP-ID zzz).

Ah daar ben ik niet mee bekend. Dan zal dan alleen zo zijn bij zakelijke aansluitingen? Maarja in dit geval xs4all dus die is onderdeel van KPN maar lijkt me dan niet van toepassing? Dat zul je voor de zekerheid moeten gaan navragen lijkt me.

Ja, geen uitzondering bij verzamel gebouwen maar meestal heb je daar ook wel meerdere paren beschikbaar.
Vandaar de vraag aan TS, als er een verbinding naar een POP ligt dan geeft dat veel opties. Uiteindelijk wel gelimiteerd aan de max snelheid van 1 aderpaar (meestal maar 1Gbit maar in enkele gevallen is 10Gbit al een optie). Zo kun je er ook voor kiezen om andere diensten af te nemen zoals telefonie of televisie zonder dat je problemen hebt met het delen van de verbinding/rekening etc.

In jouw situatie met een 500/500 verbinding van je ISP zal ik een Cisco router en een switch aanschaffen. Op de router maak je voor elke 'klant' een VRF aan en op de switch een apart VLAN voor elke klant. Op die manier heb je een scheiding op laag 2 en 3. Als je alleen de scheiding op L2 maakt d.m.v. VLAN's moet je opletten dat je het onderlinge verkeer dichttimmert d.m.v. access-listen.

Dan krijg je zo iets als het onderstaande plaatje:

Ik zou ook contact opnemen met Heldenvan.nu. Die leveren bij de 500 verbinding een mikrotik router. Kun je misschien meer mee.

Verwijderd schreef op maandag 16 november 2015 @ 10:41:
Ik ben me een beetje aan het inleren op VLANs uiteraard. Ik wil in ieder geval het gewoon fysiek scheiden. Dus iedereen krijgt zijn eigen LAN poort waarop die zijn eigen ding mag doen.

Uit de reacties hierboven maak ik op de dat Fritz!box 7490 dat dus niet kan (op de overige 3 poorten). Ik moet er dus iets achter hangen.

Zou zoiets al voldoen? (1) pricewatch: Ubiquiti EdgeRouter X

Of moet ik dan echt deze hebben? (2) pricewatch: Ubiquiti EdgeRouter PoE - 5-Port

Met Cisco spullen gaan werken lijkt me een beetje overkill voor de situatie.

Als je ook de volle 500 Mbps wil gaan routeren dan heb je over het algemeen ook wat zwaarder spul nodig. Ik ken de Ubiquiti spullen niet die je opnoemt, maar dat is zeker wel iets om in de gaten te houden. Throughput wordt vaak aangegeven op het ideale geval (namelijk at de router niet tot nauwelijks iets doet, het is vaak zo dat als er wel wat moet gebeuren op de router de performance in wil zakken. Let hier dus goed op.

Verwijderd schreef op maandag 16 november 2015 @ 10:41:
Ik ben me een beetje aan het inleren op VLANs uiteraard. Ik wil in ieder geval het gewoon fysiek scheiden. Dus iedereen krijgt zijn eigen LAN poort waarop die zijn eigen ding mag doen.

Uit de reacties hierboven maak ik op de dat Fritz!box 7490 dat dus niet kan (op de overige 3 poorten). Ik moet er dus iets achter hangen.

Zou zoiets al voldoen? (1) pricewatch: Ubiquiti EdgeRouter X

Of moet ik dan echt deze hebben? (2) pricewatch: Ubiquiti EdgeRouter PoE - 5-Port Maar PoE heb ik niet nodig.

Met Cisco spullen gaan werken lijkt me een beetje overkill voor de situatie.

Ik zou die PoE-versie nemen. PoE mag je dan niet nodig hebben maar met 500Mbps is de hardware forwarding die de PoE wel en de X niet heeft wel fijn.

Ik zou eens bij watchguard kijken

Mss een specialist inhuren om primaire installatie goed werkend te krijgen?
Hoe kritisch is het internet bij de bedrijfjes, is het niet interessant om te kijken om toch een ADSL verbinding te behouden als fallback als de glasvezel er ff uit ligt? Kost heel wat minder dan een bedrijfsaansluiting met gegarandeerde uptime en geeft je toch een extra zekerheid dat je kan blijven draaien op lagere snelheid.

Een router aanschaffen welke een goede IMIX throughput aankan van 500. Vlans aanmaken met een ACL welke RFC1918 adressen tussen deze vlans niet toestaat.
Wil je het echt goed doen, schaf een statefull firewall aan, als het voor een bedrijfsvoering is voor 4 bedrijven lijkt me dat toch wel prettig en heb je net ff wat meer mogelijkheden (waarom je dan kiest voor een consumentenlijn is mij even een vraagteken, ws keuze voor de portemonnee tot de 1e keer dat alle 4 bedrijven een weekje of langer plat liggen met een consumenten SLA.....)
Misschien wil je per vlan nog rate-limiting/shaping toepassen ? QoS ? SIP ? IPsec ?

Wij hebben hier ook een deel van de gesplitste glasvezelverbinding, maar ik kan 't niemand aanraden.

De situatie hier:

• Lijntje komt bij één bedrijf binnen, omdat ze destijds op eigen initiatief de aansluiting hebben laten aanleggen.
• Daar wordt deze verdeeld, en iedereen die glasvezel wilt betaalt een deel aan dit bedrijf. Op zich heel goed natuurlijk.
• Per gesplitste "aansluiting" werken variërend tussen de 5-15 mensen op de verbinding.
• Nadeel is, dat je op élke lijn (behalve het origineel) een veel te hoge latency/lag krijgt. Zo erg zelfs, dat het merkbaar vertragend is als je een simpele en snelle website als Tweakers.net bezoekt.

Op zich is de beloofde snelheid precies wat men belooft, maar de lag/latency loopt in de seconden. Niet echt fijn dus.

Dat is níet inherent aan het delen van de verbinding, daar gaat iets anders mis.

Echt waar? Dan moet ik nodig eens met de IT-er praten die dat heeft geregeld geloof ik. Thanks!

Gekke vraag, waarom VLAN's? VLAN's zijn verre van veilig.

Waarom niet gewoon meerdere abonnementen over de access? Je betaalt immers maandelijks voor access. Laat ieder bedrijfje gewoon lekker z'n eigen internetlijn over die access nemen. Alle bovenstaande oplossingen is vragen om problemen en vragen om te veel beheer. Tegenwoordig levert zowel Ziggo, Eurofiber als KPN gewoon gigabit access. Je kunt dan 20 bedrijven 50 mbit geven, of iets minder, als je een voicelijn erbij neemt. Op die manier wordt de verbinding op een goede manier gedeeld zonder allerlei onveilige VLAN's.

Eurofiber heeft als bijkomend voordeel dat je niet perse internet van Eurofiber af hoeft te nemen. Eurofiber kan ook alleen de access leveren.

[ Voor 18% gewijzigd door Trommelrem op 16-11-2015 21:36 ]

Kun je ook aangeven waarom VLAN's naar jouw mening onveilig zijn? Zomaar roepen dat het niet veilig is, is wel erg makkelijk.

Out.of.Control schreef op maandag 16 november 2015 @ 21:46:
Kun je ook aangeven waarom VLAN's naar jouw mening onveilig zijn?

Netwerk 101.. VLAN's zijn bedoeld voor eenvoudiger management, niet voor security.
maar vooralsnog zijn ze idd nog niet onveilig gebleken.

Trommelrem schreef op maandag 16 november 2015 @ 21:32:
Waarom niet gewoon meerdere abonnementen over de access?

Precies wat ik ook al eerder noemde maar volgens mij betreft het hier een FthH aansluiting waar vaak maar 1 ISP op kan aanbieden.

Een firewall met per bedrijfje een eigen context zou het mooist zijn maar zal ook flink in het budget hakken. Als 1 het beheer/management op zich neemt zou dat ook niet nodig hoeven zijn.

De zwaardere firewalls zijn vaak beperkt met aantal interfaces, ondanks de eerdere opmerking over dat VLAN's niet bedoeld zijn voor security, ontkom je er denk ik niet aan om het daar toch voor te gebruiken.

Een beetje afhankelijk van het budget, misschien is een Cisco ASA 5506-X of 5508-X iets voor je ? Daar heb je wel de mogelijkheid direct een fysieke interface aan te bieden per bedrijf.

[ Voor 65% gewijzigd door DukeBox op 16-11-2015 22:11 ]

VLANs zijn niet onveilig. Apparatuur die ermee omgaat kán onveilig zijn maar het concept zelf is niet onveilig. Iemand die dat zegt praat gewoon anderen na die ook niet weten waar ze 't over hebben, of ze interpreteren iets verkeerd.

(Also, moet je nou 's gokken hoe die meerdere access abo's op 1 fysieke verbinding gerealiseerd worden.)

[ Voor 5% gewijzigd door CyBeR op 16-11-2015 22:33 ]

CyBeR schreef op maandag 16 november 2015 @ 22:32:
..moet je nou 's gokken hoe die meerdere access abo's op 1 fysieke verbinding gerealiseerd worden.

Meestal gebruikt men VRF, dat gaat niet middels VLAN's (L3 vs L2) en kiezen ze er ook nooit voor om poorten met VLAN tag's aan te bieden aangezien je zo als klant zelf volledige vrijheid hebt om te taggen.

Mja dat kan ook maar dat kan de (WWP LE310) CPE die bijvoorbeeld KPN levert niet aan dat ik weet.

Ik heb 't over internet access trouwens niet over eVPN.

[ Voor 23% gewijzigd door CyBeR op 16-11-2015 23:07 ]

DukeBox schreef op maandag 16 november 2015 @ 21:59:
Een beetje afhankelijk van het budget, misschien is een Cisco ASA 5506-X of 5508-X iets voor je ? Daar heb je wel de mogelijkheid direct een fysieke interface aan te bieden per bedrijf.

Als voordeliger alternatief gebruiken we hier op het werk veel MikroTik.
Groot voordeel is dat je enorm veel features krijgt (veel updates, ga wel voor L6, volgens de collega's), terwijl je voornamelijk de hardware betaald. En hier draait een gedeelte van de core van een ISP erop, het doet dus sommige dingen goed

TheGhostInc schreef op maandag 16 november 2015 @ 23:24:
Als voordeliger alternatief gebruiken we hier op het werk veel

Zoveel voordeliger is die niet.. de 5506 is net zo duur als je vergelijkt met de CCR1009. Persoonlijk vind ik de packet rate en session rate van microtik nogal tegenvallen. Pas bij de duurdere modellen heb je flink meer performance maar dan zit je ook weer met hele andere prijzen.

[ Voor 3% gewijzigd door DukeBox op 16-11-2015 23:34 ]

DukeBox schreef op maandag 16 november 2015 @ 23:34:
[...]

Zoveel voordeliger is die niet.. de 5506 is net zo duur als je vergelijkt met de CCR1009. Persoonlijk vind ik de packet rate en session rate van microtik nogal tegenvallen. Pas bij de duurdere modellen heb je flink meer performance maar dan zit je ook weer met hele andere prijzen.

Als ik de datasheet open van de 5506 dan moet je sommige features uitschakelen om de volledige 500Mbit te kunnen halen. Dus in die zin weet ik niet of je met de 5506 er wel bent.

Maar ik ben geen expert, ik ben wel gecharmeerd van de MikroTiks, vandaar de pointer, ik ga hier ook geen typenummers roepen.

Ps. @TS kijk even of je glas direct in je router mag, dat scheelt een apparaat...

bij XS4all kan je eenvoudig een subnetje krijgen (in elk geval via DSL, zal dus ook wel via glas, maar is aanname!)

Doe dat! Geef iedere gebruiker zijn eigen ip adres, met zijn eigen router. (die komt dus achter de router van de ISP)

Zo heb je in het geval van gezeur (illegale downloads, spam, etc) in elk geval nog een ip adres om te reclameren.

IMHO Beter nog: vergeet dit geneuzel in de marge en laat ieder bedrijf zelf z'n internet regelen. Eigenlijk wil je geen ISP gaan spelen voor 4 buren.. Daar zijn ISP's voor

Dan heb je nog steeds het probleem met lijn belasting. Bedrijf A kan de lijn zo dicht trekken dat bedrijf B daar last van heeft.

TheGhostInc schreef op dinsdag 17 november 2015 @ 00:01:
Als ik de datasheet open van de 5506 dan moet je sommige features uitschakelen...

Uitschakelen

[ Voor 23% gewijzigd door DukeBox op 17-11-2015 07:38 ]

DukeBox schreef op dinsdag 17 november 2015 @ 07:36:
Uitschakelen

Als ik die Cisco 5506 datasheet erbij pak dan zie ik maar weinig 'snelheden' boven de 500Mbps. Dus volgens mij krijg je een hoop features (vooral rondom de firewall) die een bottleneck kunnen gaan vormen. Dus uitschakelen...

Daarnaast zijn sommige specs voor de Security Plus License (volgens mij kost die nog een keer de prijs van het apparaat), zoals meer dan 5 VLAN's. Aangezien je al 4 VLAN's in gebruik hebt loop je het risico dat je ineens toch extra VLAN's nodig gaat hebben (Denk aan telefonie, of als er een bedrijfsruimte wordt gesplitst).

Maar goed, die Cisco is ook een security appliance, als je die Cisco daarvoor wilt inzetten op deze lijn vermoed ik dat je iets duurder uitkomt dan het instapmodel (en dat geld denk ik ook voor de concurrenten). Zet je hem alleen in als router dan zijn er denk ik betere apparaten te vinden. Maar als de TS daarover advies wil dan kan het topic beter verplaatst worden/een nieuw topic gestart worden.

TheGhostInc schreef op dinsdag 17 november 2015 @ 14:25:
[...]

Als ik die Cisco 5506 datasheet erbij pak dan zie ik maar weinig 'snelheden' boven de 500Mbps. Dus volgens mij krijg je een hoop features (vooral rondom de firewall) die een bottleneck kunnen gaan vormen. Dus uitschakelen...

Daarnaast zijn sommige specs voor de Security Plus License (volgens mij kost die nog een keer de prijs van het apparaat), zoals meer dan 5 VLAN's. Aangezien je al 4 VLAN's in gebruik hebt loop je het risico dat je ineens toch extra VLAN's nodig gaat hebben (Denk aan telefonie, of als er een bedrijfsruimte wordt gesplitst).

Maar goed, die Cisco is ook een security appliance, als je die Cisco daarvoor wilt inzetten op deze lijn vermoed ik dat je iets duurder uitkomt dan het instapmodel (en dat geld denk ik ook voor de concurrenten). Zet je hem alleen in als router dan zijn er denk ik betere apparaten te vinden. Maar als de TS daarover advies wil dan kan het topic beter verplaatst worden/een nieuw topic gestart worden.

Mijn ervaring met de Cisco ASA is dat deze niet goed overweg kan met IPv6 en DHCPv6 Prefix Delegation.

Onder Cisco iOS met bijv een 1901 router gaat zoiets een stuk beter.

In ons bedrijfsverzamelgebouw zijn inmiddels 3 glasvezels van Reggefiber binnengebracht, allemaal op hetzelfde huisnummer+toevoeging. Eén van OnsBrabantNet, één HeldenVanNu en de ander is mij niet bekend (grote kans dat het ook OBN is). Was geen enkel probleem, er wordt gewoon een nieuw buisje afgetakt van de bundel in de straat naar ons gebouw en daar blazen ze dan een vezel doorheen.

TheGhostInc schreef op dinsdag 17 november 2015 @ 14:25:
..zie ik maar weinig 'snelheden' boven de 500Mbps. Dus volgens mij krijg je een hoop features (vooral rondom de firewall) die een bottleneck kunnen gaan vormen. Dus uitschakelen...

Nee, dat is de max doorvoer bij de gekozen encryptie en IPS e.d. niet nodig in dit specifieke geval. De 500Mbps data rate is voldoende maar daarom ook de optie om voor de 5508-X te gaan.

...loop je het risico dat je ineens toch extra VLAN's nodig gaat hebben

Dat regel je natuurlijk op je eigen infra, dit is alleen de firewall om de verbinding op te splitsen per bedrijf.
Komt bedrijf 6 erbij, dan moet die gewoon de licentie betalen (die overigens bij de 5508 al in zit).

Zet je hem alleen in als router dan zijn er denk ik betere apparaten te vinden. Maar als de TS daarover advies wil dan kan het topic beter verplaatst worden/een nieuw topic gestart worden.

Heb je gelijk in, maar gaat het je puur om de externe ip's opslitsen naar interne interfaces/VLAN's én je wilt gedekt zijn met support dan is het zeker het overwegen waard. Ikzelf heb jaren een 5505 gebruikt en onlangs overgestapt naar een 5506-X, ik trek zonder problemen mijn 500Mbps lijn dicht.

Snow_King schreef op dinsdag 17 november 2015 @ 14:38:
Onder Cisco iOS met bijv een 1901 router gaat zoiets een stuk beter.

Je kan natuurlijk niet een firewall met een router vergelijken.

DukeBox schreef op dinsdag 17 november 2015 @ 15:43:
[...]
Je kan natuurlijk niet een firewall met een router vergelijken.

Maar waarom heeft hij een firewall nodig om de lijn te splitsen in VLAN's?
Hij is toch niet verantwoordelijk voor de beveiliging? En als hij dat wel is, dan is het handiger om eerst te kijken wat er nodig is. Misschien heeft 1 van de bedrijven wel expliciet content filtering nodig (kinderopvang bijvoorbeeld).

DukeBox schreef op dinsdag 17 november 2015 @ 17:46:
[...]
Daar gebruik je dan je eigen router/firewall voor.. de eerste firewallrouter is puur om te zorgen dat de toko's niet bij elkaar kunnen komen en om de bandbreedte netjes te verdelen.

Fixed it for you

Om de toko's uit elkaar te houden en de bandbreedte te verdelen heb je een router nodig met (eventueel) traffic shaping of QoS of iets dergelijks. Daarom is zo'n ASA ook eigenlijk het verkeerde apparaat, het is een security ding, terwijl je helemaal geen security wilt bieden, je wilt connectivity/routing bieden.

Een firewall heb je alleen nodig als je je netwerk (of device) wilt/moet beschermen (in een of meerdere richtingen)

Overigens vind ik een dergelijke firewall altijd maar gevaarlijk, het lijkt net of je netwerk beveiligd is, maar als er iets doorheen komt (bijvoorbeeld een USB stick met foute spullen of een machine die niet te vertrouwen is) dan lopen al je machines binnen het netwerk ineens veel gevaar. En aangezien je dacht dat je alles goed geregeld had zijn dan ineens al je machines de klos.
Als je er echter vanuit gaat dat je hele netwerk 'onveilig' is en je beveiligd alle machines apart en goed, dan hoef je niet te vertrouwen op een firewall aan de rand van je netwerk en hoef je ook niet panisch te doen over 'vreemde' apparaten op het netwerk.

Helemaal met IPv6 dat er nu aan zit te komen is het heel gevaarlijk om af te gaan op (alleen) netwerkbeveiliging. Alle machines hangen dadelijk effectief direct aan het internet (als je niks doet), waardoor de beveiliging van elke machine veel belangrijker wordt.
In dit voorbeeld zou je bijvoorbeeld 4 VLAN's hebben, dus via IPv4 kunnen ze elkaar niet bereiken, krijgen ze echter allemaal een IPv6 adres, dan kunnen ze elkaar ineens wel direct zien. En dan kom je op vragen uit als: gaat dit verkeer 2x door de firewall heen (eerst uit en daarna in) of gaat het voorlangs de firewall?
Dus je routing via IPv4 zou er weleens compleet anders uit kunnen zien dan via IPv6 (en dat is ook heel waarschijnlijk).

TheGhostInc schreef op dinsdag 17 november 2015 @ 18:23:
Fixed it for you

Nee, de router plaatst de ISP al. De ip's en load van die router wil je verdelen. Als de load niet van belang is kan ieder gewoon zijn eigen router/firewall plaatsen met een toegewezen extern ip. Hiermee heb je wel de kans dat bij een configuratiefout anderen last hebben.

je kan bij xs4all zelfs meerdere externe IPs aanvragen, gewoon 1x500mb abo en elk bedrijfje zn eigen ip plus routertje, is gelijk ook mooi goedkoop denk ik...

DukeBox schreef op dinsdag 17 november 2015 @ 15:43:
[...]

Je kan natuurlijk niet een firewall met een router vergelijken.

Ik denk dat de boel hier allemaal wel érg overdreven wordt.

Ik heb vaker met een Cisco 1901 met iOS verbindingen gedeeld tussen meerdere bedrijven. Elk bedrijf in zijn eigen VLAN en met ACL's verbieden dat deze contact met elkaar leggen.

QoS kan óók nog. De IPv6 split je op naar de VLAN's en klaar ben je. Zo lastig is het allemaal niet.

Snow_King schreef op dinsdag 17 november 2015 @ 21:52:
[...]

Ik denk dat de boel hier allemaal wel érg overdreven wordt.

Ik heb vaker met een Cisco 1901 met iOS verbindingen gedeeld tussen meerdere bedrijven. Elk bedrijf in zijn eigen VLAN en met ACL's verbieden dat deze contact met elkaar leggen.

QoS kan óók nog. De IPv6 split je op naar de VLAN's en klaar ben je. Zo lastig is het allemaal niet.

Inderdaad.. apparaten uit het ASA segment zijn daar prima voor geschikt. Wij gebruiken daar zelf bij een klant Juniper SRX voor, wat eigenlijk ook een firewall is maar prima kan routeren tussen VLANs met functionaliteit die je in zo'n situatie nodig hebt.

Bigs schreef op woensdag 18 november 2015 @ 08:45:
[...]


Inderdaad.. apparaten uit het ASA segment zijn daar prima voor geschikt. Wij gebruiken daar zelf bij een klant Juniper SRX voor, wat eigenlijk ook een firewall is maar prima kan routeren tussen VLANs met functionaliteit die je in zo'n situatie nodig hebt.

Punt is dus alleen, de IPv6 in een Cisco ASA is nogal bagger. De DHCPv6 werkt bijvoorbeeld totaal niet goed.

Waarom klooien met VLAN's. Keep it simple.

• (Glasvezel) modem zoals...Draytek Vigor 1000Vn uFTU High Speed Glasvezel Router (Fritzbox is ook prima)
• Range van 5 vaste IP adressen huren bij XS4All
• Iedere client zijn eigen modem/router met eigen vaste IP (max 5 dus)

Load balancen kan, maar ik zou gewoon fair use afspreken onderling. Dat kan je later nog altijd instellen.

Subnet IPv4

Bent u al klant bij XS4ALL en wilt u extra IP-adressen? Dat kan. Naast uw vaste IPv4-adres kan er een apart subnet (/29) naar uw lijn worden gerouteerd. Een Subnet is interessant voor de zeer gevorderde of zakelijke internetgebruiker.

Mail- of webserver altijd via internet bereikbaar
Heeft u een aparte mailserver of webserver die vanaf het internet bereikbaar moet zijn, dan kan het gebruik van extra IP-adressen interessant zijn. Een /29-subnet bestaat uit een serie van maximaal 8 IP-adressen, waarvan u er effectief 5 kunt gebruiken. Het subnet wordt op uw vaste verbinding gerouteerd naast het vaste IPv4-adres, waardoor u totaal gebruik kunt maken van 6 IPv4-adressen. De instelling voor de poortbeveiliging is van toepassing op al uw adressen.

[ Voor 50% gewijzigd door kwakzalver op 20-11-2015 15:49 ]