Router achter router

het grootste nadeel is dat je hierdoor ook niet bij de computers, printers e.d. kunt komen bij de andere router. Hierdoor kun je dus niets uitprinten als de printer is verbonden met de andere router.

Welk voordeel denk je dat het heeft om de routers beide in routermodus te zetten, want misschien is er wel een veel betere oplossing.

Als je dit echt wilt, dan kan je evt. indien je routers het toestaan het volgende instellen:

Edgerouter:
-subnet 192.168.1.1/24
-NAT AAN
-een zelf ingesteld routing path voor subnet 192.168.2.1/24 via 192.168.1.254

Tweede router:
-wan IP 192.168.1.254
-intern subnet 192.168.2.1
-NAT UIT

Dat werkt, alleen dikke kans dat je dit niet kan instellen met de standaard ASUS firmware, en als het al kan heb je kans dat je custom routing tables wegvallen als de router reboot.

-edit- overigens zullen dingen als UPnP dan alleen werken op het subnet van de edgerouter.

[ Voor 8% gewijzigd door terror538 op 22-06-2016 20:32 ]

Gewoon die 2de router als router laten draaien, mag geen problemen geven

Heb je al eens gekeken naar vlans? Als het goed is ondersteund je Asus dat.

Dit is een betere oplossing dan 2 routers achter elkaar plaatsen( in ieder geval, in een thuis situatie) wat mij betreft, tenzij je iets exotisch wil bereiken

Bedenk eerst: WAAROM wil je een tweede netwerk? Moet deze gescheiden blijven van de eerste? Mogen de mensen van de tweede niet op de eerste en visa versa?

M.a.w.: Beschrijf hier je exacte doel.

shure-fan schreef op woensdag 22 juni 2016 @ 21:36:
Gewoon die 2de router als router laten draaien, mag geen problemen geven

Nee dan krijg je NAT problemen...

Spro schreef op woensdag 22 juni 2016 @ 21:44:
Heb je al eens gekeken naar vlans? Als het goed is ondersteund je Asus dat.

Dit is een betere oplossing dan 2 routers achter elkaar plaatsen( in ieder geval, in een thuis situatie) wat mij betreft, tenzij je iets exotisch wil bereiken

Dat heeft er geen zak mee te maken. Hij moet een tweede netwerk hebben dat niet met het 1e netwerk mag communiceren. Hij heeft dus een extra subnet nodig en in de firewall moet by default verkeer tussen dat subnet en z'n 1e subnet geblokkeerd zijn. Daarnaast moet dat subnet op een losse netwerkpoort aangeboden worden waar hij dan z'n 2e router op aansluit in bridge modus.

Dit gaat over het algemeen niet werken met consumentenfirmware, die zijn er niet voor gemaakt. Op z'n best kan je een gastnetwerk opzetten en dat zal dan gescheiden zijn. Nadeel is dat een gastnetwerk vaak ook nog andere restricties kent zoals client isolation, en soms om dat consumentenfirmware nou eenmaal brak is ook wireless-only.

Opties:

- Andere router
- Andere firmware

Met OpenWRT kan het, DD-WRT misschien ook. Maar om nou alles op 1 router te gooien die er niet voor gemaakt is is misschien ook niet handig. Bovendien kan je zonder de firmware van de fabrikant de 'geheime' NAT engine in de SoC niet gebruiken, de specs zijn alleen onder NDA te krijgen en de software er voor is niet open source, en werkt dus niet met OpenWRT of DD-WRT. Stel dat je router eerst 300Mbit WAN-LAN kon doen, dan zou het zomaar eens maximaal 80Mbit kunnen zijn na het flashen naar OpenWRT of DD-WRT.

Het beste is eigenlijk een 'normale' non-enterprise router, bijvoorbeeld een Ubiquiti EdgeRouter Lite, of een random pfSense computertje, en anders zijn er altijd nog die Mikrotik dingen.

[ Voor 43% gewijzigd door johnkeates op 23-06-2016 05:49 ]

Geef inderdaad even aan waarom je het van elkaar wilt scheiden. Router achter een router kan inderdaad problemen geven als je het niet goed insteld. hou er ook rekening mee dat in jou voorbeeld alles wat achter de nieuwe router zit wel bij het bestaande netwerk kan, terwijl het bestaande netwerk straks dus niet bij apparaten achter je nieuwe router kan (als je die gewoon als router aansluit in je huidige netwerk).

Als je het echt helemaal gescheiden wilt hebben, kun je het beste met Vlans gaan werken vanaf je huidige asus, of nieuwe router. Ik weet zo niet of je huidige asus het standard ondersteunt, maar je zou er alternative firmare op kunnen zetten waardoor hij het wel kan.

Ben echt benieuwd naar de reden waarom je dit zou willen.
Je kunt inderdaad de internetverbinding zo delen tussen 2 netwerken maar ideaal is het allemaal niet.

johnkeates schreef op donderdag 23 juni 2016 @ 05:45:
[...]


Dat heeft er geen zak mee te maken. Hij moet een tweede netwerk hebben dat niet met het 1e netwerk mag communiceren. Hij heeft dus een extra subnet nodig en in de firewall moet by default verkeer tussen dat subnet en z'n 1e subnet geblokkeerd zijn. Daarnaast moet dat subnet op een losse netwerkpoort aangeboden worden waar hij dan z'n 2e router op aansluit in bridge modus.

Dit gaat over het algemeen niet werken met consumentenfirmware, die zijn er niet voor gemaakt. Op z'n best kan je een gastnetwerk opzetten en dat zal dan gescheiden zijn. Nadeel is dat een gastnetwerk vaak ook nog andere restricties kent zoals client isolation, en soms om dat consumentenfirmware nou eenmaal brak is ook wireless-only.

Opties:

- Andere router
- Andere firmware

Met OpenWRT kan het, DD-WRT misschien ook. Maar om nou alles op 1 router te gooien die er niet voor gemaakt is is misschien ook niet handig. Bovendien kan je zonder de firmware van de fabrikant de 'geheime' NAT engine in de SoC niet gebruiken, de specs zijn alleen onder NDA te krijgen en de software er voor is niet open source, en werkt dus niet met OpenWRT of DD-WRT. Stel dat je router eerst 300Mbit WAN-LAN kon doen, dan zou het zomaar eens maximaal 80Mbit kunnen zijn na het flashen naar OpenWRT of DD-WRT.

Het beste is eigenlijk een 'normale' non-enterprise router, bijvoorbeeld een Ubiquiti EdgeRouter Lite, of een random pfSense computertje, en anders zijn er altijd nog die Mikrotik dingen.

Zit ik er dan zo naast?

Vlan 100 met subnet 192.168.100.0/24
Vlan 101 met subnet 192.168.101.0/24

Die gaan echt niet met elkaar babbelen zonder dat er een router tussen zit, toch?

Volgens mij kan de genoemde asus prima met vlans overweg( dwz, dat leerde Google me)

Spro schreef op donderdag 23 juni 2016 @ 11:49:
[...]


Zit ik er dan zo naast?

Vlan 100 met subnet 192.168.100.0/24
Vlan 101 met subnet 192.168.101.0/24

Die gaan echt niet met elkaar babbelen zonder dat er een router tussen zit, toch?

Volgens mij kan de genoemde asus prima met vlans overweg( dwz, dat leerde Google me)

Er zit toch een router tussen! Dat ding met dat Asus logo! Een VLAN is in de praktijk niks anders dan een los layer 2 netwerk. Maar zodra die op eenzelfde switch, router, gateway enz. binnen komen zijn ze niet meer gescheiden. Bovendien heb je niks aan VLANS als er maar 1 apparaat in het hele netwerk is dat 802.1q tagging ondersteunt! Wat je wil is 1 ethernet poort op je Asus voor het ene subnet, en 1 ethernet poort op je Asus voor het andere subnet!

Xuchi schreef op donderdag 23 juni 2016 @ 13:43:
Dank, voor de reacties. (En excuses voor de trage reactie van mijn kant.)

De reden dat ik de netwerken wil scheiden is dat we met twee gezinnen wonen in (officieel) één woning en dus maar één aansluiting hebben.

Dat vanaf het eerste netwerk niet kan worden gecommuniceerd met apparaten op het tweede netwerk is daarom juist een voordeel. Andersom maakt me minder uit.

Als de nadelen echter niet opwegen tegen mijn voorkeur voor een apart netwerk, dan laat ik het maar zitten. Belangrijkste doel is dat de netwerkopslag privé blijft.

Het werkt op zich best op de manier die jij in gedachten had, alleen zit je dan met 2x NAT achter elkaar en dat kan problemen geven voor bepaalde applicaties. Met name games die portforwards vereisen, of andere zaken die je van buitenaf bereikbaar wilt hebben.

Je zal in dergelijke gevallen de portforwards door beide routers heen moeten instellen en dat kan dan natuurlijk ook nog alleen als het gezin dat de ene router gebruikt niet dezelfde poorten wil gebruiken als het andere gezin. (meerdere gebruikers die dezelfde portforwards nodig hebben is overigens altijd een probleem zo lang je maar 1 publiek IP hebt, hoe je je netwerk ook inricht)

Verder is netwerkopslag natuurlijk ook prima op andere manieren te beveiligen. Gewoon netjes user accounts instellen bijvoorbeeld. Daarnaast kan je ook je router zo instellen dat bekende apparaten een vast IP krijgen toegekend, zodat je alleen die IPs toegang tot de netwerkopslag kan geven (aannemende dat die opslag iets van een firewall aan boord heeft).

[ Voor 18% gewijzigd door Orion84 op 23-06-2016 16:19 ]

In dat geval kun je op zich de nieuwe router als router aansluiten op het eerste netwerk (kabel van 1 van de lan poorten naar de wan poort van de nieuwe router). Wel kan je het beste op het 2e netwerk een andere ip range gebruiken om problemen te voorkomen. (bestaand is bijvoorbeeld 192.168.1.xxx, en de nieuwe zet je dan in de range 192.168.2.xxx

Het meeste gaat prima werken zeker gewoon browsen. Je kan wel problemen verwachten bij bijvoorbeeld een chromcast op het 2e netwerk, daar moet je dan zelf poorten voor gaan open zetten.

Je zou eventueel de 2e router in de DMZ van de eerste kunnen zetten, dat zal voor veel zaken al helpen. Lukt het op die manier niet (naar wens) dan moet je toch met Vlans aan de slag en alternatieve firmware op de eerste asus router. (of het opgeven)

Maar gezien je situatie kun je dit eerst wel proberen, maar hou in gedachte dat als er rare dingen gebeuren, dat dit dan aan je setup kan liggen (en je dus mogelijk wat zaken zelf moet instellen zoals poorten open zetten).

Vanuit het netwerk achter je nieuwe router kan je zowel de nieuwe als de oude router kunt beheren (en dus ook port forwards kan instellen indien nodig). Hou er wel rekening mee dat het gezin achter de 2e router wel toegang heeft /kan krijgen tot alles wat achter de eerste router zit (andersom dus niet).

MEt standaard spul werkt het niet want je moet ook een firewall tussen de netwerken hebben Goedkoopste en prima oplossing is een Edgerouter X voor € 65. Daar kan je twee netwerken op maken en de firewall zo instellen dat ze niet met elkaar communiceren. hierachter zet je de twee router in als AP/switch.

Standaard spul doet dat prima hoor. Het gaat TS er om dat iedereen die op router 1 zit niet bij de nas kan komen die achter router 2 wordt aan gesloten. Dat is precies wat er gebeurt bij een router achter een router. standaard blokeert router 2 al het inkomende verkeer, dus ook dat van gebruikers die op router 1 zitten, waardoor die niet bij de nas kunnen, die aan de lan zijde van router 2 wordt aangesloten.

Zoals aangegeven heb je kans dat je bij sommige zaken problemen gaat krijgen voor gebruikers achter router 2 door de dubbele nat (Chromcast bijvoorbeeld) maar dat is een ander verhaal. TS kan dus prima proberen of het dubbele nat voor hem de oplossing is. Loopt hij tegen problemen aan door dubbel Nat, dan kan hij als nog met Vlans gaan werken, door op router 1 custom firmware in te zetten (en juist in te stellen)
Als je custom firmare niet ziet zitten kun je dus ook bijvoorbeeld een edgerouter bij te plaatsen zoals Frogmen aangeeft (en dan de 2 routers daarachter als AP).

Het nadeel hiervan is dat het wat lastiger is om allemaal in te stellen (de edgerouter zul je ook moeten instellen) en de (eventuele) extra kosten voor een edgerouter. Het voordeel is wel dat je niet met dubbel Nat zit en dus ook niet met de eventuele problemen die dat oplevert. Als je dit 1 keer goed het (laten) instellen werkt het voor beide gezinnen zonder problemen*.

* enige waar je mee blijft zitten als beide perse 1 dezelfde poort exclusief nodig hebben, maar dat komt amper(meer) voor, zeker voor "standard" gebruik. Dit zal je ook niet kunnen oplossen omdat je nou een maal maar 1 extern IP hebt.

Ik draait 2 chromecasts over dubbel nat, en heb nergens problemen mee

Wat je zegt klopt 1 kan niet op het netwerk van 2 maar 2 wel op het netwerk van 1 en dat ga je dus met standaard spul niet oplossen. De edgerouter is hier goed voor in te stellen en dankzij een goede howto ook met weinig kennis.