2 aparte netwerken via lan met elkaar verbinden

laurens0619 schreef op maandag 2 januari 2017 @ 21:51:
[...]

Ik quotte wel even heel selectief, ik bedoelde dat ik die interfaces inderdaad ookzo uit elkaar zou trekken, ik doelde niet op de rest van het plaatje waar je 2 routers icm aparte ip range inzet.

Deze setup had ik voor ogen (en snap nog steeds niet hoe icmp redirects daar mis in kunnen gaan :):
[afbeelding]

Goeie paint-skillz

In je setup heb je nog steeds ICMP Redirects nodig (of je laat de rechter router hairpinnen) En als de camera en router beide een fatsoenlijke TCP/IP stack hebben, zal dit plaatje gewoon werken.

Het punt is, dat je niet kan verwachten dat deze low-cost devices een fatsoenlijke TCP/IP stack hebben. En dan is het einde zoek.

JackBol schreef op maandag 2 januari 2017 @ 21:55:
[...]


Goeie paint-skillz

In je setup heb je nog steeds ICMP Redirects nodig (of je laat de rechter router hairpinnen) En als de camera en router beide een fatsoenlijke TCP/IP stack hebben, zal dit plaatje gewoon werken.

Het punt is, dat je niet kan verwachten dat deze low-cost devices een fatsoenlijke TCP/IP stack hebben. En dan is het einde zoek.

Voor de tigste keer
Je kan op de cam gewoon een static route instellen heb je geen ICMP redirect nodg

TAMW schreef op maandag 2 januari 2017 @ 21:57:
[...]


Voor de tigste keer
Je kan op de cam gewoon een static route instellen heb je geen ICMP redirect nodg

huh nu ben ik echt de draad kwijt ( )
Als je die router laat SRC NATTEN (wat geloof ik ook al "besloten" was), dan zijn er toch geen static routes of icmp redirect nodig?

TAMW schreef op maandag 2 januari 2017 @ 21:57:
[...]


Voor de tigste keer
Je kan op de cam gewoon een static route instellen heb je geen ICMP redirect nodg

Network engineers lossen alles in het netwerk op
Maar als de cam dat kan, is dat een oplossing.

Thralas schreef op maandag 2 januari 2017 @ 21:55:

Gezien je zo mooi kunt tekenen Kun je dat eens kort uitwerken? Net als TAMW snap ik niet helemaal hoe je dat zou realiseren zonder 't vervangen.

EDIT: Tenzij je beoogt ze voor de gateways te hangen. Dan ben je van je asymmetrische routering af, maar wordt het geheel weer een stuk minder mooi imo.

Ik vrees dat TS inmiddels door de bomen het bos niet meer ziet (waarvoor excuus), maar blijkbaar is dit voor veel anderen een interessante discussie. Hopelijk komen we tot 1 beste oplossing

Zo dan he, met een default op alle routers naar buiten en de more specifics naar binnen wijzend.


edit: ik bestrijd overigens niet dat er andere oplossingen zijn die werken. Ik doe dit (op ietsje grotere schaal) voor mijn werk en ben dan ook voorstander van "hoe het heurt"... Met daarbij het uitgangspunt dat het fire&forget moet zijn. I.e. 1x bouwen en dan nooit meer aan denken.

Als je statics op cameras gaat plaatsen, ICMP redirects nodig hebt, of specifieke IP adressen gaat SRC NATten, ga je gegarandeerd in de toekomst een keer tegen de problemen aanlopen en kan je weer een hele dag gaan troubleshooten. Beter eenmalig 100 euro extra investeren dan over een jaar deze ongedocumenteerde situatie reverse-engineeren.

[ Voor 22% gewijzigd door JackBol op 02-01-2017 22:09 ]

laurens0619 schreef op maandag 2 januari 2017 @ 22:01:
[...]

huh nu ben ik echt de draad kwijt ( )
Als je die router laat SRC NATTEN (wat geloof ik ook al "besloten" was), dan zijn er toch geen static routes of icmp redirect nodig?

klopt
Als je hem laat src natten zijn er geen redirects of of static route nodig.
Dat station was al gepasseerd omdat er nog mensen vonden dat het beter anders kon

Blijf er ook nog steeds bij dat dat de beste oplossing is.

(trust me I am a network engineer )

[ Voor 9% gewijzigd door TAMW op 02-01-2017 22:11 ]

Helder, dank!

Dat blijft dus complexer (aan beide netwerken sleutelen, 2 routers), maar wel 100% voorspelbaar qua gedrag.

Absoluut een valide en verdedigbare oplossing, maar uit pragmatisme zou ik het zelf eerst met 1 router extra proberen. Werkt het dan? Mooi. Werkt het niet dan koop je eenzelfde router nogmaals en klus je de boel om.

Ik ben echter benieuwd of TS het uberhaupt aandurft om 1 van de 2 uit te werken op *WRT/Mikrotik/Ubiquiti.

Ok even opsommen:

Oplossing 1(1 router, SRC nat op netwerk buren)


Oplossing 2 (2 routers, aparte ip ranges voor verbinding)


Oplossing 3 (2 routers, gebruik maken van bestaande netwerken)


Als ik de 3 oplossing bekijk, dan zie ik nergens verkeer over dezelfde interfaces gaan (of mogelijkheden voor een shortcut wat een icmp redirect doet).

Waar zien jullie icmp redirects (mogelijk/noodzakelijk?)

Moet echt een beter alternatief voor paint hebben

[ Voor 9% gewijzigd door laurens0619 op 02-01-2017 22:21 ]

Thralas schreef op maandag 2 januari 2017 @ 22:12:
Helder, dank!

Dat blijft dus complexer (aan beide netwerken sleutelen, 2 routers), maar wel 100% voorspelbaar qua gedrag.

Voor zo'n thuisoplossing kan natuurlijk van alles.

Mijn achtergrond is voornamelijk in dienstverlenende netwerken. Hier heb je vaak klant-specifieke oplossingen nodig. Vroeger was het nog een businesscase (hoe groot is de kans dat het in de soep loopt * kosten voor een network engineer om het op te lossen).

Tegenwoordig met heel die cloud-filosofie is non-standard helemaal gone. Non-standard namelijk niet te automatiseren en kost ook de bouw veel meer tijd dan een een gestandaardiseerde oplossing. Zelfs als je dan een paar centen (lees 10-tallen k's tot tonnen) extra moet uitgeven aan hardware, is dat op de totale kosten verwaarloosbaar.

Thralas schreef op maandag 2 januari 2017 @ 22:12:
...Ik ben echter benieuwd of TS het uberhaupt aandurft om 1 van de 2 uit te werken op *WRT/Mikrotik/Ubiquiti.

Tja, moeilijk kiezen: een extra netwerk kaart van 2 tientjes in je PC stoppen, waarna alles werkt zoals verwacht versus een burgermansfortuin uitgeven aan routers plus (feitelijk) je CCNA moet halen

Versimpeld is dit de huidige situatie.

Vraag TS, ik wil de cam kunnen bekijken hoe moet ik dat doen.

TS wil 2 internet verbindingen behouden.
Aan de huidige ISP router kun je geen extra interface toevoegen.

Zal straks wel mijn oplossings plaatje posten

[ Voor 19% gewijzigd door TAMW op 02-01-2017 22:23 ]

laurens0619 schreef op maandag 2 januari 2017 @ 22:18:
Als ik de 3 oplossing bekijk, dan zie ik nergens verkeer over dezelfde interfaces gaan (of mogelijkheden voor een shortcut wat een icmp redirect doet).

Waar zien jullie icmp redirects (mogelijk/noodzakelijk?)

Hahaha, volgens mij hebben we bijna alle permutaties van dit probleem gehad.
Volgens mij geen ICMP redirects meer, inderdaad.
Maar als de switch geen tagging naar de externe poorten ondersteunt, moet je twee kabels tussen de routers trekken.

Moet echt een beter alternatief voor paint hebben

Powerpoint

JackBol schreef op maandag 2 januari 2017 @ 22:25:
[...]

Hahaha, volgens mij hebben we bijna alle permutaties van dit probleem gehad.
Volgens mij geen ICMP redirects meer, inderdaad.
Maar als de switch geen tagging naar de externe poorten ondersteunt, moet je twee kabels tussen de routers trekken.

[...]


Powerpoint

Stom genoeg realiseer ik mij dat nu pas. Inderdaad, met 2 routers en 1 kabel lijkt het mij ook dat je een aparte interface/subnet wilt gebruiken. Ik begreep van TAMW anders maar daar ben ik niet netwerk guru genoeg om dat te painten powerpointen

offtopic: ik ben een oud Deloitte techneut, Powerpoint is my middle name, de rest van de office suite kan mij gestolen worden helaas op deze mac geen powerpoint geïnstalleerd...

[ Voor 3% gewijzigd door laurens0619 op 02-01-2017 22:33 ]

Shoot!!!

• Geen ICMP redirect
• Geen aanpassingen nodig in het netwerk van de broer van de TS
• Er hoeft maar 1 router te worden aangeschaft,

[ Voor 49% gewijzigd door TAMW op 02-01-2017 22:34 ]

TAMW schreef op maandag 2 januari 2017 @ 22:33:
Shoot!!!

• Geen ICMP redirect
• Geen aanpassingen nodig in het netwerk van de broer van de TS
• Er hoeft maar 1 router te worden aangeschaft,

[afbeelding]

Exact, dit of de router van de isp vervangen (oplossing 1).

Ik doelde op deze quote van jou:

TAMW schreef op zaterdag 31 december 2016 @ 12:28:
[...]


Waarom het tussen netwerk (10.0.0.0/30) totaal onnodig.

Hieruit begreep ik dat je oplossing 2 ook kon maken zonder de extra ip range, maar heb nu het vermoeden dat je op oplossing 1 doelde

[ Voor 5% gewijzigd door laurens0619 op 02-01-2017 22:37 ]

TAMW schreef op maandag 2 januari 2017 @ 22:33:
Shoot!!!

• Geen ICMP redirect
• Geen aanpassingen nodig in het netwerk van de broer van de TS
• Er hoeft maar 1 router te worden aangeschaft,

[afbeelding]

Ja, werkt

laurens0619 schreef op maandag 2 januari 2017 @ 22:36:
[...]

Exact, dat is oplossing 1 uit mijn plaatje right? ok iets mooier getekend

Ik doelde op deze quote van jou:

[...]


Hieruit begreep ik dat je oplossing 2 ook kon maken zonder de extra ip range, maar heb nu het vermoeden dat je op oplossing 1 doelde

Weet even niet meer wat 3 exact was maar:
extra netwerk is ook niet nodig, alleen vinden sommige de ICMP redirects dan een probleem, wat je kan oplossen door de cam een static route te geven.

[ Voor 3% gewijzigd door TAMW op 02-01-2017 22:39 ]

TAMW schreef op maandag 2 januari 2017 @ 22:38:
[...]


Weet even niet meer wat 3 exact was maar:
extra netwerk is ook niet nodig, alleen vinden sommige de ICMP redirects dan een probleem, wat je kan oplossen door de cam een static route te geven.

Ok dan hou ik erover op, in welke netwerkplaat/situatie ga je icmp redirect krijgen. ik snap het niet meer

JackBol schreef op maandag 2 januari 2017 @ 22:38:
[...]


Ja, werkt

Dat wist ik ook wel
Trust me i am ...

Brahiewahiewa schreef op maandag 2 januari 2017 @ 22:21:
Tja, moeilijk kiezen: een extra netwerk kaart van 2 tientjes in je PC stoppen, waarna alles werkt zoals verwacht versus een burgermansfortuin uitgeven aan routers plus (feitelijk) je CCNA moet halen

Scherp. Pragmatischer gaat 'ie niet worden, ook al ben je dan beperkt tot 1 client.

Of dat een probleem is (of de CCNA overslaan waard) ligt aan TS

laurens0619 schreef op maandag 2 januari 2017 @ 22:40:
[...]

Ok dan hou ik erover op, in welke netwerkplaat/situatie ga je icmp redirect krijgen. ik snap het niet meer

Als je mijn laatste plaatje neemt en je NAT niet.
Op de router van de broer van de TS moet dan nog wel een static route worden toegevoegd dat 192.168.3.0/24 te vinden is achter 192.168.1.2

Heenweg packet:

PC-----"nieuwe Router" -----Cam

Terugweg packet aangezien de cam het netwerk 192.168.3.0/24 niet kent zal hij het via zijn default GW sturen :

Cam-----Router broer TS ----"nieuwe Router"-----PC


Router stuurt een:icmp redirect waardoor de cam leert (non persistent) dat 192.168.3.0/24 te vinden is achter 192.168.1.2
Cam----"nieuwe Router"-----PC


Dus pas NA een ICMP redirect is het verkeer weer symmetrisch
Wat ook kan is op de cam een static route toevoegen, dan is het verkeer altijd symmetrisch

[ Voor 40% gewijzigd door TAMW op 02-01-2017 23:07 ]

Brahiewahiewa schreef op maandag 2 januari 2017 @ 22:21:
[...]

Tja, moeilijk kiezen: een extra netwerk kaart van 2 tientjes in je PC stoppen, waarna alles werkt zoals verwacht versus een burgermansfortuin uitgeven aan routers plus (feitelijk) je CCNA moet halen

Hoe wil je vervolgens van die 2e NIC naar de cams?
Kabel rechtstreeks van die 2e NIC de switch van cam's in duwen en geen DHCP aanzetten op die NIC?
(En dus de netwerken niet op switch / router niveau met elkaar verbinden.)

Dat vind ik eigenlijk ook best heel erg lelijk en ontzettend inflexibel.

Mijn broer zit ook in het bedrijf en bepaalde ip camera's gaan via zijn internetabbonement. Dat is praktisch het eenvoudigst.

Gooi het even op een andere boeg met een controle vraagje tussendoor.

Wat is de fyieke afstand tussen het bedrijf van je broer je jouzelf?
(Of anders gesteld wat is de kortste afstand tussen 2 netwerkaansluitpunten tussen jou en je broer)

Met een brakke internetprovider bij jou is wellicht het fysiek samenvoegen van het netwerk van jou en je broer een betere oplossing.

Verwijderd schreef op dinsdag 3 januari 2017 @ 10:10:
@kwakzalver: de kabellengte zal uitkomen tussen de 80 en 100m. met een kwaliteitskabel moet dat prima te doen zijn.

Toch kan glas daar de overweging waard zijn. Ja, 100m werkt op een goede kwaliteit koper, maar je moet als ik het goed begrijp door de grond heen. Moet je sowieso buitenkabel voor gebruiken en goed ingraven, niet een standaard stuk kabel zo over de grond gooien.

waarom zou het een betere oplossing zijn? hier is al over gesproken. ik wil mijn broer niet tot last zijn en geen capaciteit van hem afpakken

Routing-technisch is het *veel* minder complex en als je zorgt voor een betere internet verbinding, schiet je er beiden mee op. Als het bedrijfsbelang is, kun je die kosten daarvoor ook nog eens op het bedrijf opvoeren. (Graafwerk dus voor het aansluiten van Ziggo Zakelijk of glas.)

Al eens met een glasboer gepraat om te kijken wat er op dat gebied mogelijk is? Als je dicht bij een ring zit kunnen de kosten wel meevallen.

Ook met Ziggo valt wel te praten, zeker als ze een beetje in de buurt zitten.

TAMW schreef op maandag 2 januari 2017 @ 22:47:
[...]


Als je mijn laatste plaatje neemt en je NAT niet.
Op de router van de broer van de TS moet dan nog wel een static route worden toegevoegd dat 192.168.3.0/24 te vinden is achter 192.168.1.2

Heenweg packet:

PC-----"nieuwe Router" -----Cam

Terugweg packet aangezien de cam het netwerk 192.168.3.0/24 niet kent zal hij het via zijn default GW sturen :

Cam-----Router broer TS ----"nieuwe Router"-----PC


Router stuurt een:icmp redirect waardoor de cam leert (non persistent) dat 192.168.3.0/24 te vinden is achter 192.168.1.2
Cam----"nieuwe Router"-----PC


Dus pas NA een ICMP redirect is het verkeer weer symmetrisch
Wat ook kan is op de cam een static route toevoegen, dan is het verkeer altijd symmetrisch

Kijk nu begrijp ik hem! De (isp) router van de buurman zal het verkeer terugsturen over dezelfde lan interface richting de nieuwr router door een static route entry. Zonder die entry zou het retour verkeer gewoon stuklopen. In dir situatje heb je idd kans op een icmp redirect. Het kostte iemand zn topic maar nu begrijp ik het verhaal iig (sorry ts )

Verwijderd schreef op dinsdag 3 januari 2017 @ 10:10:
@kwakzalver: de kabellengte zal uitkomen tussen de 80 en 100m. met een kwaliteitskabel moet dat prima te doen zijn.
waarom zou het een betere oplossing zijn? hier is al over gesproken. ik wil mijn broer niet tot last zijn en geen capaciteit van hem afpakken

Keep it simple denk ik. Als je via het web je camera's bij hem benaderd neem je zo en zo capaciteit weg zowel bij je broer als bij jezelf.
(Je kan ook 'redundant' denken. 1 gezamelijk netwerk met 2 gateways...)

De simpelste oplossing is IP camera's die je remote kan benaderen, desnoods met dynamic dns.
Dan hoef je ook niet zoveel aanpassingen te doen.

De daarna volgende oplossing zou gewoon een VPN tunnel zijn. Geen gezeik met redirects.
Desnoods 2 routers die onderling een vpn tunnel kunnen opzetten.

Nu creeer je, mijns inziens, een nodeloos complexe oplossing met meer 'points-of-failure'. Het werkt, maar is het nodig. En als er een internet storing is bij je broer? Wie lost het op?

Een schonere oplossing zou werken middels een vlan zijn. Kan je de camera isoleren van het thuisnetwerk van je broer.

Verwijderd schreef op dinsdag 3 januari 2017 @ 10:10:
@kwakzalver: de kabellengte zal uitkomen tussen de 80 en 100m. met een kwaliteitskabel moet dat prima te doen zijn.
waarom zou het een betere oplossing zijn? hier is al over gesproken. ik wil mijn broer niet tot last zijn en geen capaciteit van hem afpakken

Ik zou glas pakken voor deze afstand, zeker omdat je naar een ander gebouw gaat.
Je wilt deze netwerken namelijk galvanisch gescheiden houden.
Het potentiaalverschil kan voldoende zijn om aan beide kanten de router op te blazen.

JackBol schreef op dinsdag 3 januari 2017 @ 12:12:
[...]


Ik zou glas pakken voor deze afstand, zeker omdat je naar een ander gebouw gaat.
Je wilt deze netwerken namelijk galvanisch gescheiden houden.
Het potentiaalverschil kan voldoende zijn om aan beide kanten de router op te blazen.

Hangt er van af hoe de opbouw van elekto technische installatie is. Als ze beide op dezelfde hoofd aansluiting zitten is dat echt niet nodig.

Ook kun je een netwerkisolator voor galvanische scheiding in Ethernet-netwerken gebruiken bv: https://www.conrad.nl/nl/...net-poorten-1-193854.html

TAMW schreef op dinsdag 3 januari 2017 @ 13:23:
[...]


Hangt er van af hoe de opbouw van elekto technische installatie is. Als ze beide op dezelfde hoofd aansluiting zitten is dat echt niet nodig.

Aangezien het twee aparte huizen met eigen internet aansluiting, zijn verwacht ik niet dat ze op dezelfde hoofdaansluiting zitten.

Ook kun je een netwerkisolator voor galvanische scheiding in Ethernet-netwerken gebruiken bv: https://www.conrad.nl/nl/...net-poorten-1-193854.html

Dit ding is zeker interessant! Een inductie scheiding natuurlijk ook een goede manier om te scheiden.
Ik denk ook goedkoper dan glas. De TX naar FX adapters zijn een paar tientjes maar 100 meter MMF fiber op rol is waarschijnlijk duurder dan 100m CAT5 op rol. Daarnaast kan je UTP makkelijker aanknijpen dan fiber-connectoren.

unezra schreef op dinsdag 3 januari 2017 @ 11:14:

Routing-technisch is het *veel* minder complex en als je zorgt voor een betere internet verbinding, schiet je er beiden mee op. Als het bedrijfsbelang is, kun je die kosten daarvoor ook nog eens op het bedrijf opvoeren. (Graafwerk dus voor het aansluiten van Ziggo Zakelijk of glas.)

Al eens met een glasboer gepraat om te kijken wat er op dat gebied mogelijk is? Als je dicht bij een ring zit kunnen de kosten wel meevallen.

Ook met Ziggo valt wel te praten, zeker als ze een beetje in de buurt zitten.

Hier ben ik het niet mee eens. Sowieso is het routing-technisch allemaal niet zo complex (dat hebben wij ervan gemaakt met de icmp redirect issue ) maar ook al zou je 1 internet verbinding delen, dan zou ik het nog opknippen in 2 logische verschillende netwerken die gekoppeld zijn met een router. Het enigste verschil is dat het internet dan via 1 route naar buiten gaat ipv 1.

Waarom? Het zijn tenslotte 2 verschillende huishoudens/netwerken, de business case is dat hij ENKEL bij de cameras van de buren wilt en zo min mogelijke impact op het netwerk. Dan ga je er geen 1 groot netwerk van maken.

Edit:
Ik zat al te wachten wanneer hier op tweakers de galvanische scheiding/blikseminslag/glasvezel discussie zou losbarsten Je kunt er de klok op gelijk zetten.

Ik heb het eens uitgezocht en de hele galvanische scheiden discussie is 99% van de gevallen kul.
Blikseminslag valt ook wel allemaal mee. Gewoon een utp kabel trekken
edit: lees ook hier. Je ziet het vooral in de medische wereld en wordt soms toegepast als "For private or commercial networks, where inherent potential differences within a building, or between buildings, become problematic, and a fibre-optic solution is not economically viable;". Als dat "problematic" er niet is, zou ik mij er niet druk om maken.

Als voorbeeld: Wij hebben jaren (toen er nog geen kabel internet was) een UTP kabel aan een STAALkabel tussen 2 huizen opgehangen in de straat zodat we unreal tournament konden spelen. Achteraf zal het vast wel een risico zijn geweest maar het is al die jaren in weer en wind geen probleem geweset. Soms beetje risico nemen he

[ Voor 42% gewijzigd door laurens0619 op 03-01-2017 17:01 ]

Zit nog even na te denken over het vlan gebeuren...
Het gaat om monitoring, is het dan niet uberhaupt een goed idee om daar een *aparte* PC voor aan te schaffen waarop je die beelden permanent ziet?

Zo ja, dan is het verhaal volgens mij veel eenvoudiger, mits je een paar switches hebt die vlans ondersteunen.

Je maakt 2 vlans aan, 1 voor broer 1 zonder cams, 1 voor broer 2 met cams.
Vlan trek je door over je switches. Daar hang je die aparte monitoring PC aan die je in dat vlan duwt en dus onderdeel word van het netwerk van broer 2 met cams.

Geen gedoe met lastige routeringen en asymetrie, gewoon L2 netwerk, mooi gescheiden EN ook nog eens die monitoring PC lekker in zijn eigen leefwereld, namelijk die waar de cams zitten.

Is dat wat?

unezra schreef op dinsdag 3 januari 2017 @ 17:01:
Zit nog even na te denken over het vlan gebeuren...
Het gaat om monitoring, is het dan niet uberhaupt een goed idee om daar een *aparte* PC voor aan te schaffen waarop je die beelden permanent ziet?

Zo ja, dan is het verhaal volgens mij veel eenvoudiger, mits je een paar switches hebt die vlans ondersteunen.

Je maakt 2 vlans aan, 1 voor broer 1 zonder cams, 1 voor broer 2 met cams.
Vlan trek je door over je switches. Daar hang je die aparte monitoring PC aan die je in dat vlan duwt en dus onderdeel word van het netwerk van broer 2 met cams.

Geen gedoe met lastige routeringen en asymetrie, gewoon L2 netwerk, mooi gescheiden EN ook nog eens die monitoring PC lekker in zijn eigen leefwereld, namelijk die waar de cams zitten.

Is dat wat?

Nee, je mist een belangrijk punt. Hij wilde de ip cams kunnen benaderen via internet. Omdat zn broer zn verbinding sneller is heeft hij de cameras in zijn netwerk gehangen. Als je ze in een apart vlan met een monitoring pc stopt dan kan hij er via internet niet mee bij. Dat zou je misschien nog kunnen realiseren als het hele netwerk (en router vlan) capable is maar ik zie niet echt in hoe je het allemaal minder complex aan het maken bent

Als internet upload geen eis was dan had hij ze net zo goed in zn eigen netwerk kunnen hangen.

Alhoewel de discussie leuk is, denk ik niet dat we het allemaal nog complexer voor de ts moeten maken en met nog meer oplossingen komen

[ Voor 5% gewijzigd door laurens0619 op 03-01-2017 17:22 ]

laurens0619 schreef op dinsdag 3 januari 2017 @ 17:21:
[...]

Nee, je mist een belangrijk punt. Hij wilde de ip cams kunnen benaderen via internet. Omdat zn broer zn verbinding sneller is heeft hij de cameras in zijn netwerk gehangen.

Nee, in zijn OP staat juist dat hij NU via internet moet en omdat dat traag is, hij een rechtstreekse verbinding met die cams wil hebben. Daarom wil TS de netwerken koppelen.

Hij wil dus juist NIET meer via het internet, want traag. (Via internet is namelijk niet spannend, dat werkt nu ook al en daarvoor hoef je de 2 netwerken niet te koppelen.)

Als je ze in een apart vlan met een monitoring pc stopt dan kan hij er via internet niet mee bij. Dat zou je misschien nog kunnen realiseren als het hele netwerk (en router vlan) capable is maar ik zie niet echt in hoe je het allemaal minder complex aan het maken bent

Hoezo zou hij er dan niet meer OOK via het internet bij kunnen?

Hij stopt dat hele netwerk van zijn broer met cams in een apart vlan, dat kent zijn eigen route naar buiten toe via de internet verbinding van zijn broer. DAT netwerk koppelt hij dmv een vlan aan zijn eigen netwerk en binnen dat vlan hangt hij een aparte monitoring PC.

Heeft 'ie de keuze.

- Via internet via zijn eigen PC (traag)
- Via een aparte monitoring PC direct (snel)

Als internet upload geen eis was dan had hij ze net zo goed in zn eigen netwerk kunnen hangen.

Alhoewel de discussie leuk is, denk ik niet dat we het allemaal nog complexer voor de ts moeten maken en met nog meer oplossingen komen

Ik zie niet in hoe opeens door dat netwerk van broer in een vlan te hangen, die cams niet meer via internet benaderbaar zijn. Het enige dat je met mijn nieuwe suggestie voorkomt, is een gekke routering omdat je het op laag 2 af gaat handelen.

Zijn eigen PC kan er dan niet meer rechtstreeks bij, enkel via het internet, maar je hebt dan juist wel een apart monitoring station waarop je die cams kunt bekijken en DAT lijkt mij dan weer fijn.

unezra schreef op dinsdag 3 januari 2017 @ 17:26:
[...]


Nee, in zijn OP staat juist dat hij NU via internet moet en omdat dat traag is, hij een rechtstreekse verbinding met die cams wil hebben. Daarom wil TS de netwerken koppelen.

Hij wil dus juist NIET meer via het internet, want traag. (Via internet is namelijk niet spannend, dat werkt nu ook al en daarvoor hoef je de 2 netwerken niet te koppelen.)


[...]

Hoezo zou hij er dan niet meer OOK via het internet bij kunnen?

Hij stopt dat hele netwerk van zijn broer met cams in een apart vlan, dat kent zijn eigen route naar buiten toe via de internet verbinding van zijn broer. DAT netwerk koppelt hij dmv een vlan aan zijn eigen netwerk en binnen dat vlan hangt hij een aparte monitoring PC.

Heeft 'ie de keuze.

- Via internet via zijn eigen PC (traag)
- Via een aparte monitoring PC direct (snel)


[...]


Ik zie niet in hoe opeens door dat netwerk van broer in een vlan te hangen, die cams niet meer via internet benaderbaar zijn. Het enige dat je met mijn nieuwe suggestie voorkomt, is een gekke routering omdat je het op laag 2 af gaat handelen.

Zijn eigen PC kan er dan niet meer rechtstreeks bij, enkel via het internet, maar je hebt dan juist wel een apart monitoring station waarop je die cams kunt bekijken en DAT lijkt mij dan weer fijn.

In je post beschreef je dat slechts de monitoring pc en de cameras lid werden van het vlan, niet de router. Vanuit daar impliceerde ik dus dat ze geen internet toegang krijgen

Alles netjes in vlans in prima nette oplossing hoor! Maar wat mij betreft overkil voor de situatie en je niet goed de vraag + impact meeneemt (ga er maar vanuit dat die "routers" (switches met AP) geen vlans praten, niet echt realistisch dat je die allemaal gaat vervangen in DEZE situatie.) Je lost er problemen mee op die er niet zijn, maar de impact (kosten, complexiteit (voor de TS/broer)) zijn wel aanzienlijk

Nogmaals, technisch prachtige oplossing. Er is meer dan techniek

[ Voor 3% gewijzigd door laurens0619 op 03-01-2017 17:33 ]

laurens0619 schreef op dinsdag 3 januari 2017 @ 17:32:
[...]

In je post beschreef je dat slechts de monitoring pc en de cameras lid werden van het vlan, niet de router. Vanuit daar impliceerde ik dus dat ze geen internet toegang krijgen

Router hoeft helemaal geen "lid" te zijn van het vlan.
Tenzij ik er met mijn theorie totaal naast zit, heb je alleen 2 switches nodig die vlan-capable zijn. Switch waar de cams op hangen zet je de poort waar de router op zit gewoon op untagged, router krijgt untagged verkeer en doet daarmee wat 'ie er mee moet doen. Dus dat ding hoeft in mijn beleving niets van vlans te weten en dus niet vervangen te worden.

Dat maakt dit voorstel juist zo simpel. Het enige dat je nodig hebt zijn 2 vlan-capable switches en die kosten een appel en een half ei tegenwoordig.

Alles netjes in vlans in prima nette oplossing hoor! Maar wat mij betreft overkil voor de situatie en je niet goed de vraag + impact meeneemt (ga er maar vanuit dat die "routers" (switches met AP) geen vlans praten, niet echt realistisch dat je die allemaal gaat vervangen in DEZE situatie.) Je lost er problemen mee op die er niet zijn, maar de impact (kosten, complexiteit (voor de TS/broer)) zijn wel aanzienlijk

De kosten voor het vervangen van die 2 switches samen zijn, afhankelijk van de grootte, misschien 100-200 EUR. Je koopt een 24 poorts Zyxel GS-1900-8 met 8 poorten al voor 72 EUR, een ZyXEL GS1900-24E met 24 poorten voor 82 EUR.

pricewatch: ZyXEL GS1900-8
pricewatch: ZyXEL GS1900-24E

Meer heb je in mijn scenario volgens mij niet nodig en het houd het relatief simpel, want geen routeringen. Enkel relatief eenvoudige L2 switching.

Natuurlijk, domweg een ethernet kabel doortrekken naar die PC zoals iemand anders opperde kan natuurlijk ook, da's nog goedkoper maar persoonlijk vind ik dat dan weer erg lelijk en als je d'r dan toch switches tussen gaat zetten, dan een beetje goede die meteen wat mogelijkheden bieden.

Nogmaals, technisch prachtige oplossing. Er is meer dan techniek

Ja, daarom juist.
Met mijn oplossing heeft TS keuze (eigen PC via internet en dedicated PC via intern), terwijl de configuratie relatief eenvoudig is en de kosten laag, want alleen een paar L2 managed switches nodig.

Die 24E kan trouwens geen glas aan, da's misschien een nadeel. Eentje die dat wel kan is iets duurder, 123 EUR, de gewone 24.
pricewatch: ZyXEL GS1900-24

unezra schreef op woensdag 4 januari 2017 @ 07:14:
[...]


Router hoeft helemaal geen "lid" te zijn van het vlan.
Tenzij ik er met mijn theorie totaal naast zit, heb je alleen 2 switches nodig die vlan-capable zijn. Switch waar de cams op hangen zet je de poort waar de router op zit gewoon op untagged, router krijgt untagged verkeer en doet daarmee wat 'ie er mee moet doen. Dus dat ding hoeft in mijn beleving niets van vlans te weten en dus niet vervangen te worden.

Dat maakt dit voorstel juist zo simpel. Het enige dat je nodig hebt zijn 2 vlan-capable switches en die kosten een appel en een half ei tegenwoordig.


[...]


De kosten voor het vervangen van die 2 switches samen zijn, afhankelijk van de grootte, misschien 100-200 EUR. Je koopt een 24 poorts Zyxel GS-1900-8 met 8 poorten al voor 72 EUR, een ZyXEL GS1900-24E met 24 poorten voor 82 EUR.

pricewatch: ZyXEL GS1900-8
pricewatch: ZyXEL GS1900-24E

Meer heb je in mijn scenario volgens mij niet nodig en het houd het relatief simpel, want geen routeringen. Enkel relatief eenvoudige L2 switching.

Natuurlijk, domweg een ethernet kabel doortrekken naar die PC zoals iemand anders opperde kan natuurlijk ook, da's nog goedkoper maar persoonlijk vind ik dat dan weer erg lelijk en als je d'r dan toch switches tussen gaat zetten, dan een beetje goede die meteen wat mogelijkheden bieden.


[...]


Ja, daarom juist.
Met mijn oplossing heeft TS keuze (eigen PC via internet en dedicated PC via intern), terwijl de configuratie relatief eenvoudig is en de kosten laag, want alleen een paar L2 managed switches nodig.

Die 24E kan trouwens geen glas aan, da's misschien een nadeel. Eentje die dat wel kan is iets duurder, 123 EUR, de gewone 24.
pricewatch: ZyXEL GS1900-24

Als je de router in de untagged poort stopt, dan neem ik aan dat je verkeer tussen de tagged poorten van de cams en de untagged poort bridged. Uiteindelijk stop je alles dan weer in hetzelfde netwerk.
Je wilt dus het VLAN t/m de router doortrekken om het gescheiden te houden. Tenzij je er halverwege een router tussen zet om verkeer tussen de VLAN en het lokale netwerk (met internet access) te routeren

Als ik naar de TS kijk, dan maakt zn broer momenteel gebruik van 3 WiFi routers in AP mode (switch + wifi). Omdat dit gedeelte ook VLAN aware moet zijn, moet je de huidige switches en dus ook de WiFi "routers" vervangen.

Daarbij vergeet je de kosten van een dedicated PC en is het niet geheel onwaarschijnlijk dat hij de cams gewoon vanaf zn smartphone/ipad wil kunnen zien en geen dedicated device wilt gebruiken.

[ Voor 3% gewijzigd door laurens0619 op 04-01-2017 08:54 ]

laurens0619 schreef op woensdag 4 januari 2017 @ 08:51:
[...]

Als je de router in de untagged poort stopt, dan neem ik aan dat je verkeer tussen de tagged poorten van de cams en de untagged poort bridged. Uiteindelijk stop je alles dan weer in hetzelfde netwerk.
Je wilt dus het VLAN t/m de router doortrekken om het gescheiden te houden. Tenzij je er halverwege een router tussen zet om verkeer tussen de VLAN en het lokale netwerk (met internet access) te routeren

Als ik naar de TS kijk, dan maakt zn broer momenteel gebruik van 3 WiFi routers in AP mode (switch + wifi). Omdat dit gedeelte ook VLAN aware moet zijn, moet je de huidige switches en dus ook de WiFi "routers" vervangen.

Waarom zouden die AP's vlan aware moeten zijn?

Je hangt die dingen aan een centrale switch. Dingen krijgen hun eigen poort en op die poort doe je ingress tagged, egress untagged. Kortom, binnen die switch heb je alles in een vlan en zodra het de switch verlaat richting een device dat niet vlan aware is, strip je de tag.

Het grootste voordeel dat je hier haalt is dat je waar de monitoring PC staat, je maar 1 (vlan aware) switch hoeft op te hangen. Hetzelfde effect bereik je door waar die monitoring PC staat een aparte switch te zetten en die rechtstreeks aan het LAN van de cam te hangen. Dan hoef je niets met vlans te doen.

Daarbij vergeet je de kosten van een dedicated PC en is het niet geheel onwaarschijnlijk dat hij de cams gewoon vanaf zn smartphone/ipad wil kunnen zien en geen dedicated device wilt gebruiken.

Kan, maar dat is me tot nu toe uit het topic niet duidelijk geworden.
Dus is net zo'n aanname als dat een extra PC geen optie is.

unezra schreef op woensdag 4 januari 2017 @ 09:23:
[...]


Waarom zouden die AP's vlan aware moeten zijn?

Je hangt die dingen aan een centrale switch. Dingen krijgen hun eigen poort en op die poort doe je ingress tagged, egress untagged. Kortom, binnen die switch heb je alles in een vlan en zodra het de switch verlaat richting een device dat niet vlan aware is, strip je de tag.

Het grootste voordeel dat je hier haalt is dat je waar de monitoring PC staat, je maar 1 (vlan aware) switch hoeft op te hangen. Hetzelfde effect bereik je door waar die monitoring PC staat een aparte switch te zetten en die rechtstreeks aan het LAN van de cam te hangen. Dan hoef je niets met vlans te doen.


[...]


Kan, maar dat is me tot nu toe uit het topic niet duidelijk geworden.
Dus is net zo'n aanname als dat een extra PC geen optie is.

Het AP niet zozeer, maar wel de switch die in het AP(/router) zit. Dat zijn momenteel de switches in het netwerk waar de apparatuur (inclusief IP CAMS) mee verbonden zijn. Omdat de AP en switch 1 apparaat is, moet je dus automagisch ook het AP vervangen.

Tenzij je een aparte VLAN-aware switches naast de oude "routers" legt en de "routers" puur als AP gaat inzetten met een untagged verbinding onderling.
Naar mijn idee hoop extra apparatuur/kosten en ik snap nog steeds niet welk probleem je precies aan het oplossen bent.
Als je een dedicated PC inzet, dan kan je die PC toch ook net zo goed direct lid maken van het huidige netwerk van zijn broer? Zijn geen vlans etc voor nodig. Slechts 1 utp kabel

unezra schreef op dinsdag 3 januari 2017 @ 17:01:
Zit nog even na te denken over het vlan gebeuren...
Het gaat om monitoring, is het dan niet uberhaupt een goed idee om daar een *aparte* PC voor aan te schaffen waarop je die beelden permanent ziet?

Zo ja, dan is het verhaal volgens mij veel eenvoudiger, mits je een paar switches hebt die vlans ondersteunen.

Je maakt 2 vlans aan, 1 voor broer 1 zonder cams, 1 voor broer 2 met cams.
Vlan trek je door over je switches. Daar hang je die aparte monitoring PC aan die je in dat vlan duwt en dus onderdeel word van het netwerk van broer 2 met cams.

Geen gedoe met lastige routeringen en asymetrie, gewoon L2 netwerk, mooi gescheiden EN ook nog eens die monitoring PC lekker in zijn eigen leefwereld, namelijk die waar de cams zitten.

Is dat wat?

Zo gaat dat niet werken, wil je weten waarom maak dan eerst meer eens een tekening.
Dan wordt het denk ik wel duidelijk.

Als je de pc manier wil gebruiken is het veeeeel makkelijker om de pc 2 nics te geven en zo de 2 netwerken aan de pc te koppelen. Hoef helemaal niets in het netwerk te veranderen.

[ Voor 6% gewijzigd door TAMW op 04-01-2017 11:38 ]

Verwijderd schreef op dinsdag 3 januari 2017 @ 10:10:
@kwakzalver: de kabellengte zal uitkomen tussen de 80 en 100m. met een kwaliteitskabel moet dat prima te doen zijn.
waarom zou het een betere oplossing zijn? hier is al over gesproken. ik wil mijn broer niet tot last zijn en geen capaciteit van hem afpakken

Als je hem gaat ingraven is het verstandig om hem in een hwa pvc buis te leggen. Je wil niet bij de eerste de beste keer dat je een spa in de grond steekt dwars door je cat 5 kabel heen steken. Extra touwtje erbij en je kan later nog een andere kabel bij trekken ook.

Overigens is de meest simpele oplossing volgens mij maar één (1) router. Met op de WAN interface de kabel vanaf de andere kant. Deze krijgt met DHCP automatisch een ipnummer uit de 192.168.2.x range . Op de LAN kant een ipnummer uit je eigen range 192.168.1.x instellen en DHCP uitschakelen. Vervolgens een statische route toevoegen aan je bestaande router en bij je broer ook en het probleem is opgelost.

[ Voor 24% gewijzigd door synoniem op 04-01-2017 10:37 ]

Verwijderd schreef op woensdag 4 januari 2017 @ 21:19:
@TAMW,
is het misschien mogelijk dat je het zelf eens probeert? bijvoorbeeld door je telefoon als modem te gebruiken?

Wat bedoel je precies?

Verwijderd schreef op woensdag 4 januari 2017 @ 21:54:
Dat je mijn situatie na bootst bij jezelf thuis. Jij hebt toch een edgerouter en mikrotik en dergelijke?
Als je dan 2 netwerken wil na bootsen kan je dan misschien doen met een telefoon als modem. Maar dat weet jij vast beter

De oplossing die ik getekend heb in 1 van mijn vorige posts werkt voor 100%
Dat is echt basis routing er zit niet aparts in.

Zelf werk ik nooit met mikrotik of edgerouters, maar in deze opstelling zullen ze zeer waarschijnlijk wel voldoen.

[ Voor 10% gewijzigd door TAMW op 04-01-2017 22:57 ]

Zit het netwerk van je broer wel in eth1 van de edgerouter? Het volgende doet mij vermoeden van niet:
"-de kabel komt terecht bij een willekeurige accespoint (thuis/zelf)"

Waar staat de edgerouter verder? als vervanging van je huidige router? erachter? werkt je eigen internet wel via de edgerouter?

hangt er vanaf voor welke setup je kiest. Het meest eenvoudige is als je de edgerouter inzet als internet router.
Sowieso moet de kabel van je broer direct in deze router, bij welke opstelling dan ook. Zoals je het nu hebt aangesloten zou het (goed) mis moeten gaan omdat je 2 dhcp servers op een gebridged netwerk hebt

Verwijderd schreef op maandag 23 januari 2017 @ 08:04:
de edgerouter staat bij mij in huis. aangesloten na een accespoint. DHCP dacht ik uit te zetten op de edgerouter.
het maakt toch niet uit waar de router fysiek in het netwerk geprikt zit?

Het maakt wel degelijk uit waar je de router plaatst in een netwerk.
Tevens is het (helaas) niet zo dat alles plug-en-play is bij netwerken.

Je router dient als eerste te staan, daarna pas de AP's (die krijgen immers van de router een DHCP).
Het kan inderdaad ook dat je de DHCP-leases overlaadt aan een ander device, maar ik zou proberen die Edgerouter voor alles te gebruiken en het modem in bridge-mode te zetten (daar dus DHCP-server uitzetten).

Wat is precies je provider?

Op de Edgerouter sluit je vervolgens een UTP-kabel aan die loopt naar een switch in het netwerk van je broer. Geef vervolgens op de Edgerouter in de routertabellen het netwerk aan, bijv.:
192.168.2.0
255.255.255.0
192.168.2.254

Daarmee is het voor de router duidelijk dat deze range ook bestaat in het LAN.

Uit de topichistorie blijkt dat je een Ubiquit Edgerouter hebt. Die zou geen probleem moeten hebben met meedere subnets.

Typisch configureer je de router dan op .1 binnen alle subnets, met inderdaad een eigen DHCP-configuratie.

Het 4G-modem (welk modem?) zou ik voornamelijk als 'dom' modem beschouwen; routing doe je op de Edgerouter (liefst met het 4G-modem in 'briged' mode, maar die luxe is er niet altijd).