Vraag

woensdag 4 mei 2016 13:10

Acties:
  • 0 Henk 'm!
  • icerunner
  • Registratie: Augustus 2013
  • Laatst online: 06-10 13:42

icerunner

Topicstarter
Ik beheer een klein serversetje voor mijn vaders thuiskantoor. Vanwege een wisseling van een provider is er weer een verandering in de setup nodig. We gaan van Ziggo (kabel, incl /29 subnet) over naar Xs4All (glas, ook incl /29 subnet vaste IPv4 adressen).

Huidig
In de huidige setup wordt de verbinding opgezet door een combi modem + losse professionele router van Ziggo (buiten eigen beheer). De router van Ziggo staat in Bridge, direct daarachter staat de Mikrotik. De Mikrotik doet NAT, naar een 192.168.1.0 netwerk erachter. Alle pc's en servers draaien in dat interne subnet. De Mikrotik regelt per extern IP uit de toegevoegde pool port-forwards via NAT naar de juiste interne adressen, al het verkeer vanuit intern naar buiten gaat via 1 publiek IP (nodig ivm bepaalde beveiligde RDP-verbindingen naar elders die o.a. toegangscontrole obv IP doen).

Nieuw
In de nieuwe setup heb ik glasvezel via een FritzBox 7490. Aangezien de FritzBox geen NAT tussen het publieke subnet en intern kan doen, zouden de publieke IP's alleen gebruikt kunnen worden door rechtstreeks aan de servers toe te kennen. Dientengevolge staan ze blootgesteld aan de buitenwereld, en staan ze ook direct buiten het interne netwerk - allemaal onhandig en niet gewenst.

Wens
Het plan: Direct achter de FritzBox de Mikrotik (RB2011UAS-2HnD) hangen. De MikroTik het interne netwerkverkeer af laten handelen, conform de huidige situatie (publieke subnet mbv NAT bij de juiste PC's intern uit laten komen). De FritzBox blijft zo de telefonie afhandelen, de MikroTik het netwerkverkeer.

Het probleem is dat de laatste keer dat ik dat deed ik een stuk meer tijd had, er volledig in zat en het 100% begreep (student). Inmiddels ben ik fulltime huisarts, is het nog steeds een grote hobby, maar begint het toch allemaal net wat meer tricky te worden :o

De vraag: Kan ik met de MikroTik bovenstaande bereiken? Hoe regelt de FritzBox precies het doorzetten van het verkeer van het subnet - het zal via 1 link-IP binnenkomen bij de FritzBox, en de FritzBox routeert het verkeer normaal naar de het juiste IP in het subnet - stuurt hij alles door naar de MikroTik als ik daar het subnet toevoeg? Puntje van aandacht is dat er beperkte probeer-mogelijkheden zijn - het is een bedrijfskritieke setup die dagelijks gebruikt wordt...

(ooit als 12-jarige langzaam de ICT van mijn vaders 1-mans-kantoor op gang geholpen, en gaandeweg groei je er in, en draai ik nu dus een Windows Server en een Terminal Server voor enkele mensen die op afstand werken, alsmede een backupsysteem dat dagelijks lokaal en off-site backups draait... het is een blok aan mijn been, maar zie het maar is fatsoenlijk over te dragen aan een ander, zonder exorbitante prijzen... zucht 8)7 )

Alle reacties

woensdag 4 mei 2016 14:05

Acties:
  • +1 Henk 'm!
  • Dennism
  • Registratie: September 1999
  • Laatst online: 23:46

Dennism

Ik weet niet of de Microtik voldoet aan onderstaande, maar volgens XS4all moet een router die voldoet aan onderstaande zaken de Fritzbox kunnen kunnen vervangen waardoor je deze niet meer nodig hebt.
Vereisten Glasvezel/VDSL modem

Om naar behoren te werken dient een Glasvezel/VDSL modem te voldoen aan bepaalde standaarden. Op de NTU (glasvezelkastje) moet apparatuur aangesloten worden die met verschillende VLANs kan omgaan.

VLAN 6 is voor de internet verbinding die met PPPoE opgebouwd moet worden. Via de PPPoE verbinding loopt dan zowel IPv4 als IPv6 verkeer.
VLAN 4 is voor TV (indien men ook TV gebruikt) en die moet doorgezet worden naar de TV SetTopBox.
VDSL/Glasvezel parameters

Internet: PPPoE via VLAN6 (802.1Q).
PTV: VLAN 4 (802.1Q) gebridged naar de poort(en) waar de STB(s) op staan aangesloten

We ondersteunen RFC4638 voor VDSL en Glasvezel klanten. Dit betekent dat u als klant een MTU van 1500 kunt gebruiken als uw router RFC4638 ondersteund.
Zie ook: https://www.xs4all.nl/ser...an-fritzbox-instellen.htm

woensdag 4 mei 2016 14:23

Acties:
  • 0 Henk 'm!
  • icerunner
  • Registratie: Augustus 2013
  • Laatst online: 06-10 13:42

icerunner

Topicstarter
De MikroTik kan VLAN's aan - heb er nog niet eerder mee gewerkt maar wel al over ingelezen. Het is een goede mogelijkheid. Moet dan alleen eens gaan nadenken over VOIP van Xs4All - nu wordt dat afgehandeld door de FritzBox.

Heb ergens gelezen dat er mensen zijn die noemden hun FritzBox voor alleen de VOIP overeind gehouden te hebben ACHTER hun nieuwe primaire (PPPoE opbouwende) router. Ging wel over ouder model FritzBox...

In het kader van keep-it-simple-stupid misschien wel het elegantste, dank

woensdag 4 mei 2016 21:39

Acties:
  • +1 Henk 'm!
  • nescafe
  • Registratie: Januari 2001
  • Laatst online: 19:48

nescafe

De FRITZ! stel je in op client-modus, dan kun je hem als VoIP-client gebruiken.
Onder View: Advanced => Internet => Account Information => Internet service provider.

Kies hier "Other Internet service provider", "External modem or router" en "Share existing Internet connection in the network (IP client mode)":

Afbeeldingslocatie: http://content.screencast.com/users/nescafe2002/folders/Snagit/media/1685f253-6577-454a-8721-cc91fb403125/05.07.2015-17.27.png

De MikroTik stel je in op PPPoE/VLAN6:
code:
1
2
3
4
5
6

/interface vlan
add interface=ether1-gateway name=ether1-vlan6 vlan-id=6
/interface pppoe-client
add add-default-route=yes allow=pap default-route-distance=1 disabled=no \
    interface=ether1-vlan6 keepalive-timeout=20 max-mru=1500 max-mtu=1500 name=\
    pppoe-xs4all password=kpn use-peer-dns=yes user=FB7490@xs4all.nl


SIP ALG schakel je uit:
code:
1
2

/ip firewall service-port
set sip disabled=yes


Het subnet (bijv. 2.2.2.0/29) voeg je toe als extra ip-adres:
code:
1
2

/ip address
add interface=pppoe-xs4all address=2.2.2.0/29


NAT kan op 4 manieren:

1. Inkomende traffic naar WAN (ip 2.2.2.1) naar een server op LAN (192.168.88.11) inzake http en https
code:
1
2
3
4
5

/ip firewall nat
add chain=dstnat action=dst-nat in-interface=pppoe-xs4all dst-address=2.2.2.1 \
    protocol=tcp dst-port=80,443 to-addresses=192.168.88.11
add chain=srcnat action=src-nat out-interface=pppoe-xs4all src-address=192.168.88.11 \
    protocol=tcp src-port=80,443 to-addresses=2.2.2.1


2. Uitgaande traffic van een pc op het LAN (192.168.88.60) via WAN (ip 2.2.2.2)
code:
1
2

/ip firewall nat
add chain=srcnat action=src-nat out-interface=pppoe-xs4all src-address=192.168.88.60 to-addresses=2.2.2.2


3. 1-op-1 NAT van WAN-subnet (2.2.2.0-7) naar LAN-subnet (192.168.88.16-23):
code:
1
2
3

/ip firewall nat
add chain=dstnat action=netmap in-interface=pppoe-xs4all dst-address=2.2.2.0/29 to-addresses=192.168.88.16/29
add chain=srcnat action=netmap out-interface=pppoe-xs4all src-address=192.168.88.16/29 to-addresses=2.2.2.0/29


4. Overige uitgaande traffic via WAN (dynamisch ip, pref. source in routing table)
code:
1
2

/ip firewall nat
add chain=srcnat action=masquerade out-interface=pppoe-xs4all


Vergeet uiteraard niet te firewallen :)

input chain:

code:
1
2
3
4
5

/ip firewall filter
add chain=input action=accept connection-state=established,related
add chain=input action=drop connection-state=invalid
add chain=input action=accept in-interface=bridge-local
add chain=input action=drop


forward chain:

code:
1
2
3
4
5
6
7

/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related
add chain=forward action=accept connection-state=established,related
add chain=forward action=drop connection-state=invalid
add chain=forward action=accept in-interface=bridge-local
add chain=forward action=accept connection-nat-state=dstnat # pas op in combinatie met 1-op-1 NAT!
add chain=forward action=drop


(let erop dat je deze dstnat accept-rule vrij gevaarlijk is: als je upnp wilt gebruiken is hij handig (noodzakelijk) maar als je hem in combinatie met netmap / dstnat zonder -to-ports gebruikt stel je hele devices open naar de buitenwereld)
icerunner schreef op woensdag 04 mei 2016 @ 13:10:

[...]

Het probleem is dat de laatste keer dat ik dat deed ik een stuk meer tijd had, er volledig in zat en het 100% begreep (student). Inmiddels ben ik fulltime huisarts, is het nog steeds een grote hobby, maar begint het toch allemaal net wat meer tricky te worden :o

[...]

Puntje van aandacht is dat er beperkte probeer-mogelijkheden zijn - het is een bedrijfskritieke setup die dagelijks gebruikt wordt...

[...]
Ik kan me voorstellen dat, zelfs met deze aanwijzingen, je nog wel even bezig bent om de setup voor elkaar te krijgen. Ik ben al met al meerdere dagen bezig geweest om het naar m'n zin te krijgen. Wat dat betreft kun je het subnet beter tot het laatst bewaren :)

Nog een puntje ten aanzien van de FRITZ!, ikzelf heb altijd asterisk gebruikt met een vaste RTP-range.. voor de FRITZ! schijnt dit UDP 7078-7098 te zijn maar je kunt natuurlijk ook een 1-to-1 NAT-mapping maken.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

donderdag 5 mei 2016 09:08

Acties:
  • 0 Henk 'm!
  • bigfoot1942
  • Registratie: Juni 2003
  • Niet online

bigfoot1942

@icerunner
Van een afstand even geobserveerd:
1. Je hebt te maken met een geavanceerde(re) omgeving welke bedrijfskritisch is (en je thread staat in PNS)
2. Zowel jij als je vader verdienen redelijk tot goed.
3. Vanuit een verleden (student met loyaliteit en goede kennis) heb je tegen nagenoeg geen kosten een prima omgeving opgebouwd, echter deze situatie is niet meer houdbaar (jij hebt betere dingen te doen).
4. overdragen van het beheer is niet gelukt ivm te hoge prijzen van mensen welke wel hun beroep hebben gemaakt van dit soort dingen? Mag ik vragen welke prijsstelling jij bent tegengekomen en welke je redelijk vind?

Mijn advies is toch iemand te zoeken en deze dit probleem voor te leggen, heb je gelijk een goede inschatting van zijn niveau. Verder geef je hem de mogelijkheid de omgeving vorm te geven op een manier welke hem het beste beheerbaar maakt voor je ondersteuner.

Effectief is dit een ideaal keuzemoment.

Wat inhoudelijke overwegingen:
-NAT is geen firewall; een goede firewall kan ook transparant werken.
-Mikrotik is goede 'value for money' maar is het ook een goede firewall (virusscanning etc?) / heb je al eens gekeken naar Juniper of Fortigate firewalls?
-Wat doe je qua logging (evt alarmering / herkenning / tracebility bij een intrusion)
-Wat kan je / doe je in geval van een (internet) storing? (availability)
-Wat verwacht je qua ondersteuning bij issues?

vrijdag 13 mei 2016 15:53

Acties:
  • 0 Henk 'm!
  • Bastiaan V
  • Registratie: Juni 2005
  • Niet online

Bastiaan V

Tux's lil' helper

Ik heb een aantal mikrotiks in gebruik, op plaatsen waar niet veel dataverkeer nodig is (POS systemen bijvoorbeeld).
Mikrotik heeft belachelijk veel mogelijkheden, voor erg weinig geld, maar zodra je features ook daadwerklijk gaat gebruiken, stort de throughput heel snel in.

Zodra je bijvoorbeeld firewalling gaat gebruiken (een regel of tien) gebeurt het regelmatig dat je al 50% van de performance kwijt bent.

zondag 15 mei 2016 12:07

Acties:
  • 0 Henk 'm!
  • icerunner
  • Registratie: Augustus 2013
  • Laatst online: 06-10 13:42

icerunner

Topicstarter
@Bigfoot1942 Ik weet het, ik weet het... je hebt verschrikkelijk gelijk. Elke keer schuif ik de beslissing echter een stukje verder vooruit, zucht.

Het werkt inmiddels! Ben aan de slag gegaan, VLAN etc ingesteld, maar bleven kleine haperingen en problemen komen. Heb het toen simpeler aangepakt. De Fritzbox doet zijn ding (PPPoE opzetten, VOIP, IPTV). Het gehele internet (VLAN6 maar inmiddels niet meer getagged) verloopt vervolgens naar de Mikrotik, die daarna de rest afhandelt.

Eigenlijk heb ik dus weinig aan hoeven passen: De Fritzbox draait een 192.168.2.0 netwerk, de Mikrotik hangt daar direct achter, en draait zijn oude vertrouwde 192.168.1.0 met NAT; De nieuwe publieke IP-adressen heb ik in de Mikrotik toegevoegd aan de ethernet1 (welke aan de Fritzbox hangt), en de Mikrotik doet daar NAT overheen naar ether2-5 (heb ze als local-bridge gekoppeld - maar ik gebruik in de praktijk alleen ether2, waar dan weer de gigabitswitch aan hangt. Ether6-10 gebruik ik geheel niet, zijn 100Mbps ipv gigabit-poorten).


De Fritzbox blijkt voor het publieke subnet simpelweg als losse router op te treden, naast zijn verder reguliere functies. Ideaal. Je krijgt dus een subnet van 8 adressen, náást je reguliere WAN-ip. De Mikrotik heeft de Fritzbox als gateway naar buiten via het eerste beschikbare adres uit het publieke subnet - de Mikrotik blijft dus geheel uit het 192.168.2.0-subnet van de Fritzbox.

Nadelen van deze oplossing? Ja:
1) De Fritzbox is niet bereikbaar vanuit het netwerk van de Mikrotik (wel te realiseren - maar aangezien niemand er bij hoeft, ben ik niet met de routingtables gaan stoeien om problemen te voorkomen)
2) De Mikrotik handelt al het Wifi-verkeer af (heeft alleen 2,4Ghz) - De Fritzbox zijn wifi staat uitgeschakeld
3) De Mikrotik heeft inderdaad issues mbt snelheid... Hoewel 700Mbps geadverteerd, haalt hij slechts 200-225mbps beide kanten op (al eerder gemeld door tweakers). Niet heel erg - hij doet alleen het WAN-verkeer, maar ons abbo biedt 500/500 - die gaan we bijstellen naar 200/200 dus. De off-site backups draaien er met 200/200 ook prima doorheen (max 80Gb per nacht - uurtje werk dus, meestal maar 1Gb)

------------------------------

Slotconclusie: Alles draait, maar nu toch maar eens gaan kijken naar iemand die dit professioneel wil gaan beheren. Iemand nog goede tips? :-)


EDIT: https://aacable.files.wor...-replacement-diagram1.jpg geeft mooi weer hoe mijn setup nu is (https://aacable.wordpress...-ips-and-port-forwarding/). Met als enige verschil dat waar "ISP Gateway/Internet" staat, de Fritzbox geplaatst is. En daar hoef je alleen je publieke subnet in aan te geven

[ Voor 7% gewijzigd door icerunner op 15-05-2016 13:13 . Reden: Diagram toegevoegd ]

zondag 15 mei 2016 13:25

Acties:
  • 0 Henk 'm!
  • bigfoot1942
  • Registratie: Juni 2003
  • Niet online

bigfoot1942

Nice, setup klinkt nu inderdaad redelijk optimaal, nadelen zijn marginaal.
Persoonlijk zou ik voor de Wifi een Ubiquiti AC lite / LR neerhangen, dan zit je redelijk gebakken, inclusief 5GHz support.

Je zit verder niet toevallig in omgeving Zwolle? ;-)

zondag 15 mei 2016 21:30

Acties:
  • 0 Henk 'm!
  • nescafe
  • Registratie: Januari 2001
  • Laatst online: 19:48

nescafe

icerunner schreef op zondag 15 mei 2016 @ 12:07:
Nadelen van deze oplossing? Ja:
1) De Fritzbox is niet bereikbaar vanuit het netwerk van de Mikrotik (wel te realiseren - maar aangezien niemand er bij hoeft, ben ik niet met de routingtables gaan stoeien om problemen te voorkomen)
2) De Mikrotik handelt al het Wifi-verkeer af (heeft alleen 2,4Ghz) - De Fritzbox zijn wifi staat uitgeschakeld
3) De Mikrotik heeft inderdaad issues mbt snelheid... Hoewel 700Mbps geadverteerd, haalt hij slechts 200-225mbps beide kanten op (al eerder gemeld door tweakers). Niet heel erg - hij doet alleen het WAN-verkeer, maar ons abbo biedt 500/500 - die gaan we bijstellen naar 200/200 dus. De off-site backups draaien er met 200/200 ook prima doorheen (max 80Gb per nacht - uurtje werk dus, meestal maar 1Gb)
Nr 2 is natuurlijk op te lossen door WiFi op de FRITZ! in te schakelen ;) je kunt alleen niet je interne netwerk benaderen..

Nr 3 is opmerkelijk.. je moet echt even kijken of je fasttrack goed hebt ingeregeld. 850 Mbps op IPv4 is mogelijk, sinds kort zelfs met pppoe.

Er is nog wel een voordeel aan deze opstelling: Je gebruikt de FRITZ!Box nu als primaire router waardoor je bij eventuele problemen terug kunt vallen op ondersteuning door de provider.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

maandag 16 mei 2016 10:33

Acties:
  • 0 Henk 'm!
  • icerunner
  • Registratie: Augustus 2013
  • Laatst online: 06-10 13:42

icerunner

Topicstarter
nescafe schreef op zondag 15 mei 2016 @ 21:30:
[...]

Nr 2 is natuurlijk op te lossen door WiFi op de FRITZ! in te schakelen ;) je kunt alleen niet je interne netwerk benaderen..
Het interne netwerk moet echter wel bereikbaar zijn. Ik kan de 5Ghz op de Fritzbox wel openzetten als 'guest network', maar dat voelt toch een beetje als een mogelijk zwakke plek in de security
Nr 3 is opmerkelijk.. je moet echt even kijken of je fasttrack goed hebt ingeregeld. 850 Mbps op IPv4 is mogelijk, sinds kort zelfs met pppoe.
Thnx - eerste keer dat ik de term hoor - kennelijk pas in v6.29 van RouterOS geintroduceerd, ik had hem nog niet tot 6.29 bijgewerkt (6.32.3 momenteel zelfs, zie ik) - ga het direct implementeren, ben benieuwd!
UPDATE: Holymoly, wereld van verschil. Up&down trekt nu de volle 500Mbps - THNX >:)
bigfoot1942 schreef op zondag 15 mei 2016 @ 13:25:
Je zit verder niet toevallig in omgeving Zwolle? ;-)
Nee :-) 't Gooi, lekker centraal.

[ Voor 4% gewijzigd door icerunner op 16-05-2016 11:09 . Reden: Fasttrack geimplementeerd ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq