Vraag


  • Dark_Obscurity
  • Registratie: januari 2016
  • Laatst online: 09-09 16:08
Hallo,

Ik heb hier een Cisco ASA 5506-x firewall liggen van een vriend van me, hij heeft thuis een bedrijfs-pakket van Ziggo en wil graag 2 netwerken creëren thuis, een lokaal netwerk voor alle mensen die thuis gewoon internetten, en 1 netwerk voor zijn servers en eventuele collega' s die langs komen om te werken aan projecten. Nou wil hij ook graag dat beide netwerken onder verschillende publieke IP adressen naar buiten gaan. ( Hij heeft 5 IP adressen van Ziggo gekregen.) Hij heeft daarom een Cisco ASA firewall gekocht voor extra veiligheid, nou werd ik gevraagd om dit in te stellen alleen heb ik vrij weinig ervaring met dit soort apparatuur. Ik heb van alles en nog wat geprobeerd om het werkend te krijgen, en ik heb meerdere online topics gevonden over mensen die voor zo ver ik kon lezen hetzelfde wilden instellen, alleen kreeg ik het niet voor mekaar of snapte ik er vrij weinig van, dus ik hoop dat hier wat mensen zitten die hier meer verstand van hebben? :)

We willen graag 2 netwerken hebben: 192.168.1.1 - 192.168.1.254/24 die dan bijvoorbeeld uitkomt op 100.100.100.11/29 en 172.16.2.1 - 172.16.2.254/24 die dan bijvoorbeeld uit komt op 100.100.100.12/29
met bijvoorbeeld als default gateway 100.100.100.10/29

Ik weet dat dit een lastig iets is aangezien er veel bij komt kijken ( NAT, Acces-Lists etc.) maar ik hoop dat iemand hier er iets meer van snapt.

Alvast bedankt!

Beste antwoord (via Dark_Obscurity op 27-08-2017 19:18)


  • geonosys
  • Registratie: december 2009
  • Laatst online: 11-11 11:39
Ik ga er van uit dat de 5 adressen één subnet zijn? 5 adressen, default gateway en je netwerk en broadcast adres (subnet 255.255.255.248)?
In dat geval geef je één van de adressen aan de outside interface en gebruikt dat subnet. De overige vrije adressen kan je dan natten naar de diverse interne netwerken.

Alle reacties


  • Japidoff
  • Registratie: november 2001
  • Laatst online: 23-11 21:06
op zich is je probleem niet zo ingewikkeld..

ik heb er niet zoveel ervaring mee, maar mijn boerenverstand zegt me dat het antwoord zit aan hoe je je WAN in moet stellen?

is dat met verschillende vlans? of heb je een modem met meerdere poorten? wat zegt ziggo hierover?

ik heb net ff bij mijn router zitten kijken,
daar moet ik een virtuele interface aanmaken op de zelfde WAN fysieke poort, die kan in een andere vlan, waar dan ook je gast netwerk aan koppelt.

als je je gast netwerk een ander ssid en een eigen dhcp server op dat vlan geeft, heb je met access lists enzo volgens mij niets te maken...

en nat? dat begrijpen de meeste routers tegewoordig zelf wel met automatisch aangemaakt firewall regels enzo (correct me if i'm wrong)

[Voor 49% gewijzigd door Japidoff op 09-08-2017 06:00]

gang is alles


  • Fore!
  • Registratie: februari 2009
  • Laatst online: 08:38
Niet lullig bedoeld, maar de vriend heeft een prijzig apparaat gekocht (want hoe meer het kost des te beter het is toch?) En nu mag jij het inregelen want jij hebt verstand van IT.

Nou met de laatste zin van @Japidoff kan ik vertellen dat bij Cisco niks vanzelf gaat. Het apparaat is zo slim en goed als de gene die hem configureert.
En als je zelf geen idee hebt hoe je zo'n ding correct configureert, hoe kun je jouw vriend verzekeren dat hij veilig is?

Het mooie van Cisco is dat het inderdaad krachtige apparatuur is, vervelende is dat de community nogal gesloten is (letterlijk, met een account zonder gekoppelde certificaten kom je bijna nergens op de Cisco website).

Maak er toch een account aan en speur op het forum rond voor soortgelijke situaties of dat je verschillende setups kunt vinden om eerst 2 netwerken aan te maken en daarmee naar het www komt, dan te zien wat voor regels erbij komen kijken om met verschillende externe IP-adressen in gebruik te nemen.

Als je dat (of deels) al in een configuratie kan laten zien snap je vervolgens ook wat je erin zit te typen en wat je aanpast als mensen je corrigeren.

Op Tweakers verwachten we enigszins inzet, (imo bij Cisco heb je veel meer inzet nodig vanwege de steile leercurve en gesloten community).

Succes iniedergeval, en laat zeker hier en/of op het Cisco forum je configuratie nakijken zodat je niet perongeluk iets compleet open hebt laten staan.

  • wutwutwhat
  • Registratie: oktober 2010
  • Laatst online: 16-11 07:03

wutwutwhat

Lomperik.

Ik zou beginnen met ASDM installeren. Scheelt al een hoop ten opzichte van CLI. Hierin zul je twee interfaces als 'outside' interface moeten definieren (en hierop je modem aansluiten), deze koppelen aan verschillende VLANs waarin je ook twee 'inside' interfaces definieert (één per VLAN). Op die interfaces sluit je Access Points / Switches aan.

Als ik me niet vergis is het niet nodig om te gaan rotzooien met NAT/ACLs (tenzij je specifieke applicaties wilt blokkeren/toestaan). Er is meer dan genoeg ASDM documentatie te vinden om dit te kunnen oplossen.. Bovenstaande is de rode draad, Google regelt de details ;)

Liever in Gulden betalen? Dat kan!


  • _-= Erikje =-_
  • Registratie: maart 2000
  • Laatst online: 15:10
Hangt ook van de licentie af of je meerdere vlan's kan/mag gebruiken; de basis deed maar 2 zones (public/private)

2x270Wp JA-Solar op APS YC500i / 6x Canadian Solar cs3k-295p 295Wp op Goodwe1500NS / 11x Ja Solar Mono315Wp op GoodWe 3000NS verwacht: Kona EV premium Acid Yellow (september 2019)


  • Dark_Obscurity
  • Registratie: januari 2016
  • Laatst online: 09-09 16:08
Japidoff schreef op woensdag 9 augustus 2017 @ 05:47:
op zich is je probleem niet zo ingewikkeld..

ik heb er niet zoveel ervaring mee, maar mijn boerenverstand zegt me dat het antwoord zit aan hoe je je WAN in moet stellen?

is dat met verschillende vlans? of heb je een modem met meerdere poorten? wat zegt ziggo hierover?

ik heb net ff bij mijn router zitten kijken,
daar moet ik een virtuele interface aanmaken op de zelfde WAN fysieke poort, die kan in een andere vlan, waar dan ook je gast netwerk aan koppelt.

als je je gast netwerk een ander ssid en een eigen dhcp server op dat vlan geeft, heb je met access lists enzo volgens mij niets te maken...

en nat? dat begrijpen de meeste routers tegewoordig zelf wel met automatisch aangemaakt firewall regels enzo (correct me if i'm wrong)
Het ding is dat je de nat hierbij zelf moet instellen en niet automatisch gedaan wordt haha, daarbij komt dus het probleem kijken dat zodra ik die 2 WAN ip adressen invul hij gaat zeuren over het feit dat ze overlappen, dus in dezelfde range liggen, ziggo bied niet veel hulp hierbij, maar om nou voor elk ip adres een aparte router te moeten gaan halen dat leek mij ook zo raar haha.
Fore! schreef op woensdag 9 augustus 2017 @ 06:28:
Niet lullig bedoeld, maar de vriend heeft een prijzig apparaat gekocht (want hoe meer het kost des te beter het is toch?) En nu mag jij het inregelen want jij hebt verstand van IT.

Nou met de laatste zin van @Japidoff kan ik vertellen dat bij Cisco niks vanzelf gaat. Het apparaat is zo slim en goed als de gene die hem configureert.
En als je zelf geen idee hebt hoe je zo'n ding correct configureert, hoe kun je jouw vriend verzekeren dat hij veilig is?

Het mooie van Cisco is dat het inderdaad krachtige apparatuur is, vervelende is dat de community nogal gesloten is (letterlijk, met een account zonder gekoppelde certificaten kom je bijna nergens op de Cisco website).

Maak er toch een account aan en speur op het forum rond voor soortgelijke situaties of dat je verschillende setups kunt vinden om eerst 2 netwerken aan te maken en daarmee naar het www komt, dan te zien wat voor regels erbij komen kijken om met verschillende externe IP-adressen in gebruik te nemen.

Als je dat (of deels) al in een configuratie kan laten zien snap je vervolgens ook wat je erin zit te typen en wat je aanpast als mensen je corrigeren.

Op Tweakers verwachten we enigszins inzet, (imo bij Cisco heb je veel meer inzet nodig vanwege de steile leercurve en gesloten community).

Succes iniedergeval, en laat zeker hier en/of op het Cisco forum je configuratie nakijken zodat je niet perongeluk iets compleet open hebt laten staan.
Ja ik weet dat het een duurt apparaat is enzo haha, maar die vriend van me zit in de applicatie ontwikkeling en heeft daarvoor om te testen at apparatuur nodig en laatst werd hij getarget door een of andere poort scan die bepaalde services zocht, dusss voor de zekerheid wou hij toch maar een goede firewall hebben, en aangezien ik meer van de netwerkbeheer kant ben vroeg hij om mijn hulp, en ja het is ook deels mijn hobby dus het is wel een leuke uitdaging, maarja ik ben niet heel ver gekomen aangezien dit redelijk ingewikkeld is naar mijn mening haha.
wutwutwhat schreef op woensdag 9 augustus 2017 @ 09:14:
Ik zou beginnen met ASDM installeren. Scheelt al een hoop ten opzichte van CLI. Hierin zul je twee interfaces als 'outside' interface moeten definieren (en hierop je modem aansluiten), deze koppelen aan verschillende VLANs waarin je ook twee 'inside' interfaces definieert (één per VLAN). Op die interfaces sluit je Access Points / Switches aan.

Als ik me niet vergis is het niet nodig om te gaan rotzooien met NAT/ACLs (tenzij je specifieke applicaties wilt blokkeren/toestaan). Er is meer dan genoeg ASDM documentatie te vinden om dit te kunnen oplossen.. Bovenstaande is de rode draad, Google regelt de details ;)
Ik heb ASDM al geïnstalleerd, ik heb op school wel les gehad in de cisco commandline maar ik dacht dat een interface sowieso makkelijker zou zijn, maar ik heb van alles geprobeerd wat er op google staat, maar hij luistert niet naar de 2 WAN ip adressen als hij de configuratie al accepteerd dan werkt meestal geen een ip adres of hij begint over overlappende IP adressen, dus dan werkt het alsnog niet :/
_-= Erikje =-_ schreef op woensdag 9 augustus 2017 @ 12:26:
Hangt ook van de licentie af of je meerdere vlan's kan/mag gebruiken; de basis deed maar 2 zones (public/private)
De licentie is als het goed is een life time licentie met alle functies. :)

Acties:
  • Beste antwoord
  • +2Henk 'm!

  • geonosys
  • Registratie: december 2009
  • Laatst online: 11-11 11:39
Ik ga er van uit dat de 5 adressen één subnet zijn? 5 adressen, default gateway en je netwerk en broadcast adres (subnet 255.255.255.248)?
In dat geval geef je één van de adressen aan de outside interface en gebruikt dat subnet. De overige vrije adressen kan je dan natten naar de diverse interne netwerken.

  • Dark_Obscurity
  • Registratie: januari 2016
  • Laatst online: 09-09 16:08
geonosys schreef op woensdag 9 augustus 2017 @ 14:41:
Ik ga er van uit dat de 5 adressen één subnet zijn? 5 adressen, default gateway en je netwerk en broadcast adres (subnet 255.255.255.248)?
In dat geval geef je één van de adressen aan de outside interface en gebruikt dat subnet. De overige vrije adressen kan je dan natten naar de diverse interne netwerken.
Ik ga dit gelijk proberen!

  • wutwutwhat
  • Registratie: oktober 2010
  • Laatst online: 16-11 07:03

wutwutwhat

Lomperik.

Dark_Obscurity schreef op woensdag 9 augustus 2017 @ 14:33:
[...]


Het ding is dat je de nat hierbij zelf moet instellen en niet automatisch gedaan wordt haha, daarbij komt dus het probleem kijken dat zodra ik die 2 WAN ip adressen invul hij gaat zeuren over het feit dat ze overlappen, dus in dezelfde range liggen, ziggo bied niet veel hulp hierbij, maar om nou voor elk ip adres een aparte router te moeten gaan halen dat leek mij ook zo raar haha.


[...]


[...]


[...]


Ik heb ASDM al geïnstalleerd, ik heb op school wel les gehad in de cisco commandline maar ik dacht dat een interface sowieso makkelijker zou zijn, maar ik heb van alles geprobeerd wat er op google staat, maar hij luistert niet naar de 2 WAN ip adressen als hij de configuratie al accepteerd dan werkt meestal geen een ip adres of hij begint over overlappende IP adressen, dus dan werkt het alsnog niet :/


[...]


[...]
Apparatuur gaat over het algemeen "zeuren" als je een configuratiefout maakt.. Welke range heb je toegewezen gekregen (mag in formaat x.x.x.???/?) en welke IP adressen probeer je toe te wijzen aan je interfaces?

Edit: spellen is een ding :+

Liever in Gulden betalen? Dat kan!


  • TNO
  • Registratie: februari 2004
  • Laatst online: 25-11 16:58

TNO

cake.

Ik ben het eens met @geonosys, zie ook deze configuratieguide van Cisco. https://www.cisco.com/c/e...ll-config/nat-basics.html

Er vanuit gaande dat je 'm op 9.x hebt draaien.

  • geonosys
  • Registratie: december 2009
  • Laatst online: 11-11 11:39
Hou er rekening mee dat de 8 lan poorten eigenlijk een soort switch vormen, voor de twee netwerken moet je dan wel met vlans gaan werken. Maar als je idd een volledige licentie hebt zou dat geen probleem mogen zijn.

Daarnaast is het wel handig als je infrastructuur (switches ed) dat ook aan kunnen.

[Voor 10% gewijzigd door geonosys op 09-08-2017 14:48]

Pagina: 1


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee