VLAN instellen voor 23 kamers

donderdag 29 september 2016 01:25

Acties:

0 Henk 'm!

Topicstarter

Dag deskundigen,

Ik beheer het internet voor een antikraakcomplex en wil er voor zorgen dat iedere kamer een eigen VLAN heeft, of in ieder geval niet kan rondneuzen in andermans computer. Dit is vooral ook om de stabiliteit te vergroten: mocht er één apparaat (access point) verkeerd geconfigureerd zijn of resetten en daardoor een DHCP instellen etc, heeft de rest daar in de nieuwe situatie geen last van. Op alle kamers hangt een access point van TP-Link, die ik allemaal heb ingesteld: DHCP uit en dynamisch IP, de router deelt de IP-adressen dus uit.

Verder heb ik hier een Netgear GS724T switch staan, hier moeten de VLAN's ingesteld worden. De firmware heb ik zojuist, voor de zekerheid, geupdate. De router is een Fritz!Box Fon WLAN 7360.

De router is verbonden met de switch op poort 1. De overige 23 poorten zijn voor de kamers. Poort 2 t/m 24 moeten dus verbinding kunnen maken met het internet (via de router) door poort 1, maar geen toegang onderling hebben.

Ik heb Google al afgestruind: https://www.experts-excha...-on-a-Netgear-GS724T.html, https://support.biamp.com...N_on_the_Netgear_GS724Tv4, https://community.hpe.com...-vs-Untagged/td-p/4004330 en zo nog een aantal pagina's.

Mijn vragen zijn, redelijk vanzelfsprekend:

1. Hoe configureer ik in vredesnaam de switch als gewenst? Ik heb ook e.e.a. gelezen over tagged en untagged, meerdere variaties geprobeerd, maar ben hier te onervaren voor. Jip en Janneke taal graag

2. De DHCP server is nu de router. Dit kan zo blijven?

Overigens vind ik de interface van de Netgear uiterst irritant, het is niet makkelijk om snel 23 VLAN's te maken, daarna nog eens de poorten toe te wijzen (Tagged/Untagged) en vervolgens ook nog eens een VLAN id toe te wijzen aan de poorten.... Ik mis de logica hiervan, of mis ik gewoon dingen? De interface is gelijk aan de afbeeldingen op deze site: https://support.biamp.com...N_on_the_Netgear_GS724Tv4

Bij voorbaat dank!

donderdag 29 september 2016 01:29

Acties:

+2 Henk 'm!

CyBeR

💩

Dit gaat je met deze apparatuur niet lukken. Die netgear is onhandig qua instellen maar op zich functioneel, maar fritzboxen zijn kut en kunnen niet vlannen. Je moet een router hebben die VLANs ondersteunt, of een switch die kan routen tussen VLANs (en dan een router die ook routes kan instellen, wat volgens mij een fritzbox óók niet kan.)

De simpelste optie is die fritzbox vervangen door een echte router.

All my posts are provided as-is. They come with NO WARRANTY at all.

donderdag 29 september 2016 09:39

Acties:

0 Henk 'm!

hichelay

Topicstarter

Dag Cyber,

Bedankt voor je reactie. Vervelend, ik had verwacht dat een Fritzbox wel aardig in orde was.

Ik ben dus aardig een leek wat betreft netwerken, welke raad je/raden jullie mij aan?

donderdag 29 september 2016 09:49

Acties:

0 Henk 'm!

j-a-s-p-e-r

Je zou goed kunnen kijken naar Ubiquiti (bijv edge router lite) of Mikrotik. Beide hebben overigens als nadeel dat ze niet super makkelijk in te stellen zijn, je moet wel wat (meer) onderzoek doen dan voor de huis,tuin en keuken-router.

Beide goede snelle en stabiele routers, beide ervaring mee.

donderdag 29 september 2016 09:50

Acties:

0 Henk 'm!

mindwarper

Ik gebruik hiervoor een Layer 3 switch die dus interVLAN routing kan doen

L3 switch heeft dan ook een eigen IPv4 adres in elk van de door mij gespecificeerde VLANs

dan op de L3 switch regels ingesteld dat sommige VLANs andere niet kunnen benaderen... (ACLs)

Ik heb het hier dan over een Cisco WS-C3750G-24TS-E1U device

MIjn Ziggo modem is in bridge mode gezet geweest daarachter is mijn ASUS RT-AC68U geplaatst.
Mijn ASUS RT-AC68U router heb ik vervolgens ook statische routes gegeven naar de verschillende VLANs op L3 switch van mij, zodat die weet hoe te moeten routeren naar buiten toe (en ook naar binnen).

Dus als je FritzBox een mogelijkheid heeft om static routing te doen naar de L3 switch VLANs dan is het opgelost.. nog wel een (Cisco) L3 switch configureren dan... kan ik evt. wel doen aan de hand van bijv. een sample config van mij

Ik kan je wellicht wel even een crash-course geven lol

en mijn Cisco switch heb ik 2e hands gehaald bij eBay tijdje terug... voor ongeveer 400 € destijds...
dus ik kan je evt. wel helpen met een idee uit te werken o.i.d.

Alternatief is idd een Ubiquite EdgeRouter of Mikrotik RouterBoard...

[ Voor 19% gewijzigd door mindwarper op 29-09-2016 10:08 ]

Enthoo Primo || Ryzen 9 5900X || Asus VIII Dark Hero || TridentZ Royal Silver F4-3600C14D-32GTRS Samsung B-Die || Radeon 6800 XT || Kraken X73 w/ 6x NF-A12x25 || 2x WD Black SN850 1TB || WD-HGST 6TB en 18TB || Seasonic Prime Titanium Ultra 1kW

donderdag 29 september 2016 10:20

Acties:

0 Henk 'm!

hichelay

Topicstarter

Bedankt voor de snelle reactie weer,

Ik denk dat ik in dat geval liever een andere router neerzet, in plaats van €400 neertellen voor een andere switch

Aan welke instellingen moet ik dan denken, als het zo lastig is?

donderdag 29 september 2016 10:26

Acties:

0 Henk 'm!

Case

ik zag laatst dat TP-link een manier heeft om het zonder al te veel gedoe te doen.

http://www.tp-link.us/faq-525.html

Wellicht is dat nog te betalen? Ik zie dat die switches voor 140 euro al te krijgen zijn (24 poorts)

Mijn Firewizzie

donderdag 29 september 2016 10:30

Acties:

0 Henk 'm!

mindwarper

Wellicht helpt dit je:
24 port 3750G IP Services image Cisco L3 switch (2 generaties oud, maar nog prima hoor, heb exact dezelfde unit bij mij thuis)
Prijs valt toch mee?
Alleen je hebt er wel even werk aan om het .e.e.a.te configureren denk ik

dan wordt de L3 switch ook DHCPserver eventueel per VLAN
Maar daar kan ik evt. bij helpen...

http://www.ebay.nl/sch/i....w=3750G-24TS-E1U&_sacat=0

maar wellicht is dit iets overkill en ben je af met een andere oplossing... mar dat weet ik niet zeker

[ Voor 16% gewijzigd door mindwarper op 29-09-2016 10:34 ]

Enthoo Primo || Ryzen 9 5900X || Asus VIII Dark Hero || TridentZ Royal Silver F4-3600C14D-32GTRS Samsung B-Die || Radeon 6800 XT || Kraken X73 w/ 6x NF-A12x25 || 2x WD Black SN850 1TB || WD-HGST 6TB en 18TB || Seasonic Prime Titanium Ultra 1kW

donderdag 29 september 2016 11:38

Acties:

+1 Henk 'm!

Yariva

Moderator Internet & Netwerken

Power to the people!

mindwarper schreef op donderdag 29 september 2016 @ 10:30:
Wellicht helpt dit je:
24 port 3750G IP Services image Cisco L3 switch (2 generaties oud, maar nog prima hoor, heb exact dezelfde unit bij mij thuis)
Prijs valt toch mee?
Alleen je hebt er wel even werk aan om het .e.e.a.te configureren denk ik
dan wordt de L3 switch ook DHCPserver eventueel per VLAN
Maar daar kan ik evt. bij helpen...

http://www.ebay.nl/sch/i....w=3750G-24TS-E1U&_sacat=0

maar wellicht is dit iets overkill en ben je af met een andere oplossing... mar dat weet ik niet zeker

Sorry hoor, maar het is echt beter om gewoon een goede router aan te schaffen. Niet alleen vanwege de data die 23 individuen kunnen pompen maar ook omdat de huidige switch best wel snor zit. En met een gelimiteerd budget is een 3750 aanschaffen het laatste wat ik zou doen. Hell, koop dan een 2950 / 2960 op 100mb/s. Het lijkt me stug dat die mensen allemaal 23x100mb/s over een lijn kunnen rammen in een antikraakpand

Niet onbelangrijk, wat is de snelheid van je uplink @TS? Glaskabeltje, of 120 down DSL..?

[ Voor 3% gewijzigd door Yariva op 29-09-2016 11:39 ]

Mensen zijn gelijk, maar sommige zijn gelijker dan andere | Humans need not apply

donderdag 29 september 2016 12:05

Acties:

0 Henk 'm!

kosz

Yup, same thoughts here.... goede router plaatsen ACL erop en klaar, geen verkeer toelaten tussen de RFC1918 adressen.

donderdag 29 september 2016 12:12

Acties:

0 Henk 'm!

Paul

Inderdaad, een router is hier veel beter in. Dat hoeft niet de wereld de kosten, als je nog een PC hebt staan met 1 of 2 netwerkkaarten dan kun je daar bijvoorbeeld pfSense op zetten en hier 24 interfaces (23 kamers en een internetverbinding) op definiëren.

Ook kun je dan met QoS gaan spelen om er voor te zorgen dat die ene Torrenter niet het spelplezier van de 22 anderen gaat vergallen...

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

donderdag 29 september 2016 12:17

Acties:

0 Henk 'm!

johnkeates

Je hebt niet 23 VLAN's nodig, maar 23 subnets die niet met elkaar mogen praten. Waarom subnets? Om dat je niet weet wat mensen in hun kamer gaan aansluiten, en om gezeur te voorkomen kan je ze net zo makkelijk een /24 geven. Als je dan 1 switch hebt en de poorten niet met ACL's kan scheiden heb je wel weer VLANs nodig.

Daarna op je router alle subnets maken, DHCP pools, NAT, en de firewall zo instellen dat ze wel met WAN maar niet met LAN mogen praten.

donderdag 29 september 2016 12:19

Acties:

+1 Henk 'm!

CyBeR

💩

Om 23 subnets te hebben moet je ook 23 netwerken hebben. Kun je zonder vlans oplossen maar dat is niet heel kosteneffectief, zo met 23 aparte switches. De nette oplossing hier is vlans gebruiken.

[ Voor 12% gewijzigd door CyBeR op 29-09-2016 12:20 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

donderdag 29 september 2016 13:06

Acties:

0 Henk 'm!

hichelay

Topicstarter

Wauw, het is weer duidelijk dat ik bij Tweakers zit, top mensen! Ik zie alweer wat begrippen langskomen die mij nu nog weinig zeggen (ACL, RFC1918), dus daar ga ik mij eens iets meer in verdiepen.

Het pand is overigens een verzameling van containers, gelijkvloers, wat vroeger tijdelijke bewoning voor verslaafden was (don't judge

). Gebouwd in 2010, dus geen normaal antikraak pand. Er ligt een CAT5 netwerk, dus 100mb/s naar elke kamer toe. Het internetabbo is 100/10, in praktijk is dit 103/33 ongeveer, via XS4all. Helaas is er geen glasvezel, dus het komt gewoon binnen via een telefoonlijn.

Goed, conclusie is dus een andere router in combinatie met de aanwezige switch. Voldoet de volgende router aan de eisen die ik heb?
pricewatch: Ubiquiti EdgeRouter X

donderdag 29 september 2016 13:11

Acties:

0 Henk 'm!

Mr_gadget

C8H10N4O2 powered

Volgens mij kan je met OpenWrt ook VLANs beheren e.d. Maar heb er zelf geen ervaring mee dus weet niet wat er allemaal mogelijk is.

donderdag 29 september 2016 13:18

Acties:

0 Henk 'm!

Yariva

Moderator Internet & Netwerken

Power to the people!

Met openwrt en dd-wrt kan dit ook idd. Echter draait dit natuurlijk niet op je fritzboxje. Een alternatief is pfSensse op een oude bak draaien met 2 interfaces zoals al eerder is genoemd. Maar dit kan voor een leek uitdagend zijn.

De bovengenoemde edgerouter lijkt prima te zijn. Volgens de reviews haalt hij fijne snelheden en support hij subinterfaces + de standaard protocollen zoals DHCP. Leuke GUI, verbruikt weinig en leuk prijsje.

En mocht hij niet bevallen, voor 55 piek zit je standaard niet snel fout

Kan je hem altijd verkopen en een dikker model halen.

Suc6!

[ Voor 18% gewijzigd door Yariva op 29-09-2016 13:20 ]

Mensen zijn gelijk, maar sommige zijn gelijker dan andere | Humans need not apply

donderdag 29 september 2016 13:20

Acties:

0 Henk 'm!

kosz

Ubiquiti Edgerouter X kan, zelf gebruik ik een Edgerouter Lite... De config van de firewall kan best wel ingewikkeld voor je zijn als je er geen affiniteit mee hebt.
https://help.ubnt.com/hc/...-access-control-list-ACL-

Een goedkope Cisco router is misschien makkelijker..

access-list 110 remark geen-onderling-verkeer
access-list 110 deny ip 10.0.0.0 0.255.255.255 any
access-list 110 deny ip 172.16.0.0 0.15.255.255 any
access-list 110 deny ip 192.168.0.0 0.0.255.255 any
access-list 110 permit ip any any

en op je interface / vlan waar je switch aan hangt

ip access-group 110 out

donderdag 29 september 2016 13:31

Acties:

0 Henk 'm!

hichelay

Topicstarter

Kosz, welke Cisco router zou je dan aanbevelen?

donderdag 29 september 2016 13:33

Acties:

0 Henk 'm!

Yariva

Moderator Internet & Netwerken

Power to the people!

hichelay schreef op donderdag 29 september 2016 @ 13:31:
Kosz, welke Cisco router zou je dan aanbevelen?

Natuurlijk die van mij in v&a

En om het nog even mooier te maken, gooi je er een biertje bij kom ik hem wel even langs brengen en de boel opzetten

/end schaamteloos zelf adverteren

[ Voor 16% gewijzigd door Yariva op 29-09-2016 13:35 ]

Mensen zijn gelijk, maar sommige zijn gelijker dan andere | Humans need not apply

donderdag 29 september 2016 13:34

Acties:

0 Henk 'm!

Kevjoe

Now 100% more ecto-y.

Let wel op dat er bij een Cisco router instellen heel wat meer komt kijken en dat dit volledig via command line moet.. en dat je alles moet instellen, anders werkt er helemaal niets (je moet alle poorten explicitiet activeren en configureren).

Als je niet het vertrouwen hebt dat dat je gaat lukken, dan kan je best zoeken naar een andere oplossing of iemand laten komen. Als je het zelf wilt proberen dan raad ik je aan eerst wat te oefenen via Packet Tracer (oefenprogramma van Cisco) om te kijken of het lukt. Maar het is niet zomaar iets wat je in een uurtje zelf direct klaarspeelt als je er helemaal geen ervaring mee hebt.

[ Voor 3% gewijzigd door Kevjoe op 29-09-2016 13:35 ]

donderdag 29 september 2016 13:40

Acties:

0 Henk 'm!

kosz

Yariva schreef op donderdag 29 september 2016 @ 13:33:
[...]

Natuurlijk die van mij in v&a

En om het nog even mooier te maken, gooi je er een biertje bij kom ik hem wel even langs brengen en de boel opzetten

/end schaamteloos zelf adverteren

Ja zoiets bijvoorbeeld, of een 881 werkt ook prima moet lukken onder de 100 euro

Uiteindelijk moet je altijd iets van kennis hebben als je iets wilt configureren.......

donderdag 29 september 2016 14:26

Acties:

0 Henk 'm!

laurens0619

hichelay schreef op donderdag 29 september 2016 @ 13:06:
Wauw, het is weer duidelijk dat ik bij Tweakers zit, top mensen! Ik zie alweer wat begrippen langskomen die mij nu nog weinig zeggen (ACL, RFC1918), dus daar ga ik mij eens iets meer in verdiepen.

Het pand is overigens een verzameling van containers, gelijkvloers, wat vroeger tijdelijke bewoning voor verslaafden was (don't judge ). Gebouwd in 2010, dus geen normaal antikraak pand. Er ligt een CAT5 netwerk, dus 100mb/s naar elke kamer toe. Het internetabbo is 100/10, in praktijk is dit 103/33 ongeveer, via XS4all. Helaas is er geen glasvezel, dus het komt gewoon binnen via een telefoonlijn.

Goed, conclusie is dus een andere router in combinatie met de aanwezige switch. Voldoet de volgende router aan de eisen die ik heb?
pricewatch: Ubiquiti EdgeRouter X

Met een edgerouter X gaat dit. Ik heb het thuis in het klein met een edgerouter X (guest Wifi actief op apart VLAN)
Kijk anders ook even in dit topic voor soortgelijk verhaal: 1 verbinding met 1 IP delen

of deze handleiding wat je kunt verwachten:
https://help.ubnt.com/hc/...ample-Enterprise-Topology
Afbeeldingslocatie: https://help.ubnt.com/hc/en-us/article_attachments/202818330/LAN_topo.png

Afbeeldingslocatie: https://help.ubnt.com/hc/en-us/article_attachments/202818330/LAN_topo.png

om je even op weg te helpen:
untagged = Een bepaalde poort komt uit op een VLAN (je kan dus alles in die poort stoppen, je komt altijd op het ingestelde vlan uit)
tagged = de client kan bepalen op welke VLAN hij uitkomt.

In de praktijk:
Maak op je edgerouter 24 TAGGED vlans aan en koppel deze allemaal aan 1 poort.
Maak op je edgerouter 24 dhcp servers aan
Stel op je switch op 1 poort (die naar de router gaat) dezelfde 24 tagged vlans in
Stel op je switch op de overige poorten untagged vlan per poort in
dus poort 1 krijgt untagged 11, poort 2 krijgt untagged 12, poort 3 krijgt untagged 13

De reden dat ik bij 11 begin is omdat je vlan 0/1 niet altijd kunt gebruiken

[ Voor 22% gewijzigd door laurens0619 op 29-09-2016 14:40 ]

CISSP! Drop your encryption keys!

donderdag 29 september 2016 14:41

Acties:

0 Henk 'm!

Verwijderd

Toevallig heb ik hier vorige een soortgelijk artikel over geschreven.
Kijk eens op http://www.icttipsandtric...17/introductie-tot-vlans/

Dit is wel op HP Procurve switches gebaseerd, maar ik denk dat je hier een eind mee komt.
vLAN's en bijbehorende subnets inrichten voor alle kamers is inderdaad the way to go.
DHCP requests vanuit verschillende vLAN's worden doorgestuurd naar de router.
Alleen moet die router wel meerdere DHCP scope's aankunnen, maar de meeste kunnen dat.

Check het artikel maar even, misschien heb je er wat aan !

donderdag 29 september 2016 15:53

Acties:

0 Henk 'm!

Verwijderd

OM het echt "dicht te timmeren" :

* Maak verschillende subnet's aan. Dus bv. 10.10.1.0/24 t/m 10.10.23.0/24. Zodoende "praten" deze al niet met elkaar.
* Maak 23 verschillende DHCP servers aan, ieder zijn eigen range dus.
* Maak VLAN's aan. Zorg dat als er op een untagged poort tóch tagged verkeer komt, deze tag gestript wordt (dit om "slimmerikken" die aan VLAN spoof doen de pas af te snijden).
* Stel de firewall in dat je alles dropt vanuit een ander subnet dan die van jou, en vis versa.
* Maak de default gateway helemaal buiten de subnet (bv. 172.17.0.158)

En er zijn nog wel wat "trucjes" om het dicht te timmeren. Dit gewoon om te voorkomen dat er "gezeik" komt.

donderdag 29 september 2016 16:00

Acties:

+1 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Verwijderd schreef op donderdag 29 september 2016 @ 15:53:
* Maak 23 verschillende DHCP servers aan, ieder zijn eigen range dus.

Waarom? Één DHCP-server die 23 scopes heeft is toch veel handiger?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 29 september 2016 16:06

Acties:

0 Henk 'm!

Verwijderd

Verwijderd schreef op donderdag 29 september 2016 @ 15:53:
OM het echt "dicht te timmeren" :

* Maak verschillende subnet's aan. Dus bv. 10.10.1.0/24 t/m 10.10.23.0/24. Zodoende "praten" deze al niet met elkaar.
* Maak 23 verschillende DHCP servers aan, ieder zijn eigen range dus.
* Maak VLAN's aan. Zorg dat als er op een untagged poort tóch tagged verkeer komt, deze tag gestript wordt (dit om "slimmerikken" die aan VLAN spoof doen de pas af te snijden).
* Stel de firewall in dat je alles dropt vanuit een ander subnet dan die van jou, en vis versa.
* Maak de default gateway helemaal buiten de subnet (bv. 172.17.0.158)

En er zijn nog wel wat "trucjes" om het dicht te timmeren. Dit gewoon om te voorkomen dat er "gezeik" komt.

Dat is niet helemaal waar....

Door verschillende subnets aan te maken kunnen deze alsnog met elkaar "praten" aangezien er een router achter hangt die het verkeer kan routeren tussen deze subnets.
Dat moet je dichttimmeren met ACL's of op de firewall

23 DHCP servers aanmaken is onzin, gewoon 1 DHCP server met 23 Scopes doet ook zijn werk goed.

Op een untagged poort kun je geen tagged verkeer kwijt. op de kamers moet de aansluiting untagged uitkomen en aangezien dit geen trunk of een tagged poort is, zul je er weinig andere dingen mee kunnen doen.

Firewall inderdaad instellen dat verschillende subnets alleen naar buiten het internet op mogen. niet naar andere interne subnets. Als de switch ACL's aan kan, kun je dat op de switch ook inrichten, dat is nog mooier trouwens.

De default gateway zal tóch voor elk subnet bereikbaar moeten zijn, anders kunnen de subnets niet het internet op.

Er zijn inderdaad nog wel meer manieren die naar Rome leiden, maar ik denk niet dat je het ingewikkelder moet maken dan dat het is...

donderdag 29 september 2016 16:14

Acties:

0 Henk 'm!

hichelay

Topicstarter

Top mensen,

Heb zojuist de EdgeRouter X besteld, hoop dit weekend dit te kunnen doen. Ik bedenk me alleen iets... De WAN op de huidige router is een RJ11, geen RJ45. Hoe kan ik dat nu praktisch oplossen

(er moet dus een rj11 stekker op een router met rj45 aansluiting aangesloten worden? Of gaat het alsnog door de standaard router heen?)

Ik zie ook door de bomen het bos even niet meer met wat ik nu praktisch, stap voor stap, moet uitvoeren. Ik begrijp dat het wellicht veel werk is, maar zou het erg waarderen als iemand dat zou kunnen vertellen.

[ Voor 14% gewijzigd door hichelay op 29-09-2016 16:16 ]

donderdag 29 september 2016 16:15

Acties:

0 Henk 'm!

Verwijderd

Ja, je hebt gelijk. Afhankelijk welke router hoe dat doet.

Bij Mikrotik maak je 23 DHCP servers aan, ieder met zijn eigen pool. Maar misschien bij Edgerouter is dat weer anders.

donderdag 29 september 2016 16:30

Acties:

0 Henk 'm!

Verwijderd

Question Mark schreef op donderdag 29 september 2016 @ 16:00:
[...]

Waarom? Één DHCP-server die 23 scopes heeft is toch veel handiger?

Hij zal wel scopes bedoelen

donderdag 29 september 2016 16:31

Acties:

0 Henk 'm!

laurens0619

hichelay schreef op donderdag 29 september 2016 @ 16:14:
Top mensen,

Heb zojuist de EdgeRouter X besteld, hoop dit weekend dit te kunnen doen. Ik bedenk me alleen iets... De WAN op de huidige router is een RJ11, geen RJ45. Hoe kan ik dat nu praktisch oplossen (er moet dus een rj11 stekker op een router met rj45 aansluiting aangesloten worden? Of gaat het alsnog door de standaard router heen?)

Ik zie ook door de bomen het bos even niet meer met wat ik nu praktisch, stap voor stap, moet uitvoeren. Ik begrijp dat het wellicht veel werk is, maar zou het erg waarderen als iemand dat zou kunnen vertellen.

De fritzbox is een adsl modem + router.
De edgerouter is alleen een router.

Je zal je fritzbox dus moeten laten staan en in bridge zetten (of nat over nat wat niet de voorkeur heeft).
Dus:
Fritzbox LAN >WAN(eth0) poort edgerouter
Edgerouter LAN > LAN switch

Verwijderd schreef op donderdag 29 september 2016 @ 16:06:
[...]

Dat is niet helemaal waar....

Door verschillende subnets aan te maken kunnen deze alsnog met elkaar "praten" aangezien er een router achter hangt die het verkeer kan routeren tussen deze subnets.
Dat moet je dichttimmeren met ACL's of op de firewall

je moet inderdaad wel subnet icm vlans gebruiken. AFAIK hoef je verder geen firewall rules in te stellen hoor. Als je geen routering tussen de vlans maakt dan zal de edgerouter cross-vlan niets routeren.

[ Voor 28% gewijzigd door laurens0619 op 29-09-2016 16:35 ]

CISSP! Drop your encryption keys!

donderdag 29 september 2016 16:31

Acties:

0 Henk 'm!

Verwijderd

hichelay schreef op donderdag 29 september 2016 @ 16:14:
Top mensen,

Heb zojuist de EdgeRouter X besteld, hoop dit weekend dit te kunnen doen. Ik bedenk me alleen iets... De WAN op de huidige router is een RJ11, geen RJ45. Hoe kan ik dat nu praktisch oplossen

De huidige router met RJ11 is een DSL Modem met router functie. vandaar de RJ11.
Theoretisch kun je het huidige modem blijven gebruiken en de LAN aansluiting op de WAN aansluiting van de EdgeRouter aansluiten.
Je krijgt dan wel NAT achter NAT wat vreemde problemen met zich mee kan brengen.
Maar in ieder geval is dit niet op te lossen met een verloopje van RJ11 naar RJ45 helaas

donderdag 29 september 2016 16:34

Acties:

+1 Henk 'm!

hichelay

Topicstarter

Prima! Dan ga ik eerst alles in de nieuwe router maar eens goed proberen te krijgen, dat is natuurlijk stap 1.

Zijn daar nog dingen waar ik aan moet denken of is het simpelweg kabel er in en het werkt?

donderdag 29 september 2016 16:37

Acties:

+1 Henk 'm!

Yariva

Moderator Internet & Netwerken

Power to the people!

Fritzbox in bridge laten zetten, doet de ISP graag voor je.

WAN IP op dynamisch / DHCP zetten.

Houdt rekening met je subnetten, maak nu alvast een plan:

Container 1: 172.16.1.0/24
Container 2: 172.16.2.0/24

Management netwerk van 172.17.0.0/24 etc etc. Hoeft niet netjes, zolang het maar duidelijk voor jou is.

Mensen zijn gelijk, maar sommige zijn gelijker dan andere | Humans need not apply

donderdag 29 september 2016 16:48

Acties:

0 Henk 'm!

borft

gateway buiten alle subnets gaat natuurlijk niet werken, dan weet de client niet hoe ie er moet komen

Als je dus 23 verschillende subnets gaat gebruiken, moet je ook 23 gateways hebben (1 in elk subnet)

donderdag 29 september 2016 16:51

Acties:

0 Henk 'm!

Yariva

Moderator Internet & Netwerken

Power to the people!

borft schreef op donderdag 29 september 2016 @ 16:48:
gateway buiten alle subnets gaat natuurlijk niet werken, dan weet de client niet hoe ie er moet komen Als je dus 23 verschillende subnets gaat gebruiken, moet je ook 23 gateways hebben (1 in elk subnet)

Huh... Hoezo zou je dat niet hebben met 23 subinterfaces op de router (waar het hele topic al over is gesproken?)

Mensen zijn gelijk, maar sommige zijn gelijker dan andere | Humans need not apply

donderdag 29 september 2016 18:06

Acties:

0 Henk 'm!

rc5proxy

Misschien rare vraag maar welke accespoints heb je in de kamers hangen ?
zit hier geen optie voor eigen dhcp te draaien in ?
Dan zou je zonder zorgen alles zonder vlans aan 1 grote switch kunnen hangen.
fritzbox verzorgd dhcp voor alles accespoints en de accespoints hebben hun eigen pool voor de kamer.

donderdag 29 september 2016 19:50

Acties:

0 Henk 'm!

Paul

Yariva schreef op donderdag 29 september 2016 @ 16:51:
Huh... Hoezo zou je dat niet hebben met 23 subinterfaces op de router (waar het hele topic al over is gesproken?)

...en ieder subinterface heeft een IP-adres in dat subnet wat dient als gateway voor dat subnet

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

donderdag 29 september 2016 21:01

Acties:

0 Henk 'm!

MisteRMeesteR

Moderator Internet & Netwerken

Is Gek op... :)

Yariva schreef op donderdag 29 september 2016 @ 16:37:
Fritzbox in bridge laten zetten, doet de ISP graag voor je.

WAN IP op dynamisch / DHCP zetten.

Houdt rekening met je subnetten, maak nu alvast een plan:

Container 1: 172.16.1.0/24
Container 2: 172.16.2.0/24

Management netwerk van 172.17.0.0/24 etc etc. Hoeft niet netjes, zolang het maar duidelijk voor jou is.

De TS heeft geen Ziggo he? KPN/XS4ALL zet je modem niet in bridge en vziw kan een FritzBox ook niet 100% in bridge gezet worden (en dus puur enkel als modem functioneren).

De TS zit met de huidige oplossing (lees: FritzBox) vast aan dubbel NAT.

www.google.nl

donderdag 29 september 2016 21:35

Acties:

0 Henk 'm!

Vliegvlug

Flight Simple

Waarom zo moeilijk doen met een hele berg vlans?

Voor jouw situatie is "Port Isolation / Private Vlan" zo'n beetje uitgevonden.

Dan kan je gewoon met 1 subnet en 1 gateway adres blijven werken en heb je ook geen extra router met 802.1Q (vlan trunking) ondersteuning nodig. Om nog maar te zwijgen van het instellen van ACL's om al die losse vlans weer van elkaar te scheiden

Dus ik zou zeker eerst kijken of jouw switch dat ondersteund want dat zou verreweg de makkelijkste oplossing zijn.

Enige ding waar je wel op moet letten is dat men niet zelf IP adressen gaat instellen maar dat aan DHCP overlaat anders heb je kans op IP conflicten

donderdag 29 september 2016 22:30

Acties:

0 Henk 'm!

Verwijderd

Je moet gewoon een gateway hebben met een subnet buiten de echte modem (anders tikt de gebruiker "effe" het adres van de gateway in de browser en gaat leuke dingen doen (helemaal als de inlog admin / admin is)

Uiteraard, wel een static route / NAT maken anders kom je nooit buiten.

En als je de Fritz in bridge mode zet, dan ben je VoIP telefonie kwijt. Als je deze niet gebruikt, geen probleem dan.

donderdag 29 september 2016 22:34

Acties:

0 Henk 'm!

albino71

Leef rijk, sterf arm

Kun je niet gewoon guest netwerk aanzetten op de FB en instellen dat ze elkaar niet zien?

Dan gebruik je poort 4 geloof ik. Die dan dus op je switch en klaar.

Misschien stel ik het me te simpel voor, maar proberen kan altijd.

Succes.

Te koop....

vrijdag 30 september 2016 18:31

Acties:

0 Henk 'm!

Koffie

Koffiebierbrouwer

Braaimeneer

Ik snap dat je enthousiast bent en leergierig, maar de gewenst situatie (en kennis) vind ik niet helemaal overeenkomen met "Ik beheer het internet voor een antikraakcomplex".
Ik ben bang dat dit vragen om problemen is als straks 'iets' niet meer werkt.

Tijd voor een nieuwe sig..

vrijdag 30 september 2016 23:39

Acties:

0 Henk 'm!

kwakzalver

https://en.avm.de/service...-use-with-another-router/
Setting up the FRITZ!Box for use with another router (Geldt ook voor de 7360)

In het kort Van een LAN poort van de Fritz!Box naar de WAN poort van je nieuwe router.
Deze verbinding dan in de DMZ zetten.
Zoals hierboven gezegd dubbel NATten....
maar het WWW bestaat al uit zoveel routers. Dus een extra hop is het ergste niet.

[ Voor 38% gewijzigd door kwakzalver op 30-09-2016 23:42 ]

Onderwerpen

Vraag

Alle reacties