Vraag

woensdag 9 augustus 2017 05:20

Acties:
  • 0Henk 'm!
  • Dark_Obscurity
  • Registratie: Januari 2016
  • Laatst online: 10-12-2022

Dark_Obscurity

Topicstarter
Hallo,

Ik heb hier een Cisco ASA 5506-x firewall liggen van een vriend van me, hij heeft thuis een bedrijfs-pakket van Ziggo en wil graag 2 netwerken creëren thuis, een lokaal netwerk voor alle mensen die thuis gewoon internetten, en 1 netwerk voor zijn servers en eventuele collega' s die langs komen om te werken aan projecten. Nou wil hij ook graag dat beide netwerken onder verschillende publieke IP adressen naar buiten gaan. ( Hij heeft 5 IP adressen van Ziggo gekregen.) Hij heeft daarom een Cisco ASA firewall gekocht voor extra veiligheid, nou werd ik gevraagd om dit in te stellen alleen heb ik vrij weinig ervaring met dit soort apparatuur. Ik heb van alles en nog wat geprobeerd om het werkend te krijgen, en ik heb meerdere online topics gevonden over mensen die voor zo ver ik kon lezen hetzelfde wilden instellen, alleen kreeg ik het niet voor mekaar of snapte ik er vrij weinig van, dus ik hoop dat hier wat mensen zitten die hier meer verstand van hebben? :)

We willen graag 2 netwerken hebben: 192.168.1.1 - 192.168.1.254/24 die dan bijvoorbeeld uitkomt op 100.100.100.11/29 en 172.16.2.1 - 172.16.2.254/24 die dan bijvoorbeeld uit komt op 100.100.100.12/29
met bijvoorbeeld als default gateway 100.100.100.10/29

Ik weet dat dit een lastig iets is aangezien er veel bij komt kijken ( NAT, Acces-Lists etc.) maar ik hoop dat iemand hier er iets meer van snapt.

Alvast bedankt!

Beste antwoord (via Dark_Obscurity op 27-08-2017 19:18)

woensdag 9 augustus 2017 14:41

  • geonosys
  • Registratie: December 2009
  • Laatst online: 29-09-2022

geonosys

Ik ga er van uit dat de 5 adressen één subnet zijn? 5 adressen, default gateway en je netwerk en broadcast adres (subnet 255.255.255.248)?
In dat geval geef je één van de adressen aan de outside interface en gebruikt dat subnet. De overige vrije adressen kan je dan natten naar de diverse interne netwerken.

Alle reacties

woensdag 9 augustus 2017 05:47

Acties:
  • 0Henk 'm!
  • Japidoff
  • Registratie: November 2001
  • Laatst online: 24-03 08:05

Japidoff

op zich is je probleem niet zo ingewikkeld..

ik heb er niet zoveel ervaring mee, maar mijn boerenverstand zegt me dat het antwoord zit aan hoe je je WAN in moet stellen?

is dat met verschillende vlans? of heb je een modem met meerdere poorten? wat zegt ziggo hierover?

ik heb net ff bij mijn router zitten kijken,
daar moet ik een virtuele interface aanmaken op de zelfde WAN fysieke poort, die kan in een andere vlan, waar dan ook je gast netwerk aan koppelt.

als je je gast netwerk een ander ssid en een eigen dhcp server op dat vlan geeft, heb je met access lists enzo volgens mij niets te maken...

en nat? dat begrijpen de meeste routers tegewoordig zelf wel met automatisch aangemaakt firewall regels enzo (correct me if i'm wrong)

[Voor 49% gewijzigd door Japidoff op 09-08-2017 06:00]

gang is alles

woensdag 9 augustus 2017 06:28

Acties:
  • 0Henk 'm!
  • Fore!
  • Registratie: Februari 2009
  • Laatst online: 25-03 16:28

Fore!

Niet lullig bedoeld, maar de vriend heeft een prijzig apparaat gekocht (want hoe meer het kost des te beter het is toch?) En nu mag jij het inregelen want jij hebt verstand van IT.

Nou met de laatste zin van @Japidoff kan ik vertellen dat bij Cisco niks vanzelf gaat. Het apparaat is zo slim en goed als de gene die hem configureert.
En als je zelf geen idee hebt hoe je zo'n ding correct configureert, hoe kun je jouw vriend verzekeren dat hij veilig is?

Het mooie van Cisco is dat het inderdaad krachtige apparatuur is, vervelende is dat de community nogal gesloten is (letterlijk, met een account zonder gekoppelde certificaten kom je bijna nergens op de Cisco website).

Maak er toch een account aan en speur op het forum rond voor soortgelijke situaties of dat je verschillende setups kunt vinden om eerst 2 netwerken aan te maken en daarmee naar het www komt, dan te zien wat voor regels erbij komen kijken om met verschillende externe IP-adressen in gebruik te nemen.

Als je dat (of deels) al in een configuratie kan laten zien snap je vervolgens ook wat je erin zit te typen en wat je aanpast als mensen je corrigeren.

Op Tweakers verwachten we enigszins inzet, (imo bij Cisco heb je veel meer inzet nodig vanwege de steile leercurve en gesloten community).

Succes iniedergeval, en laat zeker hier en/of op het Cisco forum je configuratie nakijken zodat je niet perongeluk iets compleet open hebt laten staan.

woensdag 9 augustus 2017 09:14

Acties:
  • +1Henk 'm!
  • wutwutwhat
  • Registratie: Oktober 2010
  • Laatst online: 19-12-2022

wutwutwhat

Lomperik.

Ik zou beginnen met ASDM installeren. Scheelt al een hoop ten opzichte van CLI. Hierin zul je twee interfaces als 'outside' interface moeten definieren (en hierop je modem aansluiten), deze koppelen aan verschillende VLANs waarin je ook twee 'inside' interfaces definieert (één per VLAN). Op die interfaces sluit je Access Points / Switches aan.

Als ik me niet vergis is het niet nodig om te gaan rotzooien met NAT/ACLs (tenzij je specifieke applicaties wilt blokkeren/toestaan). Er is meer dan genoeg ASDM documentatie te vinden om dit te kunnen oplossen.. Bovenstaande is de rode draad, Google regelt de details ;)

Liever in Gulden betalen? Dat kan!

woensdag 9 augustus 2017 12:26

Acties:
  • 0Henk 'm!
  • _-= Erikje =-_
  • Registratie: Maart 2000
  • Laatst online: 26-03 11:12

_-= Erikje =-_

Hangt ook van de licentie af of je meerdere vlan's kan/mag gebruiken; de basis deed maar 2 zones (public/private)

woensdag 9 augustus 2017 14:33

Acties:
  • 0Henk 'm!
  • Dark_Obscurity
  • Registratie: Januari 2016
  • Laatst online: 10-12-2022

Dark_Obscurity

Topicstarter
Japidoff schreef op woensdag 9 augustus 2017 @ 05:47:
op zich is je probleem niet zo ingewikkeld..

ik heb er niet zoveel ervaring mee, maar mijn boerenverstand zegt me dat het antwoord zit aan hoe je je WAN in moet stellen?

is dat met verschillende vlans? of heb je een modem met meerdere poorten? wat zegt ziggo hierover?

ik heb net ff bij mijn router zitten kijken,
daar moet ik een virtuele interface aanmaken op de zelfde WAN fysieke poort, die kan in een andere vlan, waar dan ook je gast netwerk aan koppelt.

als je je gast netwerk een ander ssid en een eigen dhcp server op dat vlan geeft, heb je met access lists enzo volgens mij niets te maken...

en nat? dat begrijpen de meeste routers tegewoordig zelf wel met automatisch aangemaakt firewall regels enzo (correct me if i'm wrong)
Het ding is dat je de nat hierbij zelf moet instellen en niet automatisch gedaan wordt haha, daarbij komt dus het probleem kijken dat zodra ik die 2 WAN ip adressen invul hij gaat zeuren over het feit dat ze overlappen, dus in dezelfde range liggen, ziggo bied niet veel hulp hierbij, maar om nou voor elk ip adres een aparte router te moeten gaan halen dat leek mij ook zo raar haha.
Fore! schreef op woensdag 9 augustus 2017 @ 06:28:
Niet lullig bedoeld, maar de vriend heeft een prijzig apparaat gekocht (want hoe meer het kost des te beter het is toch?) En nu mag jij het inregelen want jij hebt verstand van IT.

Nou met de laatste zin van @Japidoff kan ik vertellen dat bij Cisco niks vanzelf gaat. Het apparaat is zo slim en goed als de gene die hem configureert.
En als je zelf geen idee hebt hoe je zo'n ding correct configureert, hoe kun je jouw vriend verzekeren dat hij veilig is?

Het mooie van Cisco is dat het inderdaad krachtige apparatuur is, vervelende is dat de community nogal gesloten is (letterlijk, met een account zonder gekoppelde certificaten kom je bijna nergens op de Cisco website).

Maak er toch een account aan en speur op het forum rond voor soortgelijke situaties of dat je verschillende setups kunt vinden om eerst 2 netwerken aan te maken en daarmee naar het www komt, dan te zien wat voor regels erbij komen kijken om met verschillende externe IP-adressen in gebruik te nemen.

Als je dat (of deels) al in een configuratie kan laten zien snap je vervolgens ook wat je erin zit te typen en wat je aanpast als mensen je corrigeren.

Op Tweakers verwachten we enigszins inzet, (imo bij Cisco heb je veel meer inzet nodig vanwege de steile leercurve en gesloten community).

Succes iniedergeval, en laat zeker hier en/of op het Cisco forum je configuratie nakijken zodat je niet perongeluk iets compleet open hebt laten staan.
Ja ik weet dat het een duurt apparaat is enzo haha, maar die vriend van me zit in de applicatie ontwikkeling en heeft daarvoor om te testen at apparatuur nodig en laatst werd hij getarget door een of andere poort scan die bepaalde services zocht, dusss voor de zekerheid wou hij toch maar een goede firewall hebben, en aangezien ik meer van de netwerkbeheer kant ben vroeg hij om mijn hulp, en ja het is ook deels mijn hobby dus het is wel een leuke uitdaging, maarja ik ben niet heel ver gekomen aangezien dit redelijk ingewikkeld is naar mijn mening haha.
wutwutwhat schreef op woensdag 9 augustus 2017 @ 09:14:
Ik zou beginnen met ASDM installeren. Scheelt al een hoop ten opzichte van CLI. Hierin zul je twee interfaces als 'outside' interface moeten definieren (en hierop je modem aansluiten), deze koppelen aan verschillende VLANs waarin je ook twee 'inside' interfaces definieert (één per VLAN). Op die interfaces sluit je Access Points / Switches aan.

Als ik me niet vergis is het niet nodig om te gaan rotzooien met NAT/ACLs (tenzij je specifieke applicaties wilt blokkeren/toestaan). Er is meer dan genoeg ASDM documentatie te vinden om dit te kunnen oplossen.. Bovenstaande is de rode draad, Google regelt de details ;)
Ik heb ASDM al geïnstalleerd, ik heb op school wel les gehad in de cisco commandline maar ik dacht dat een interface sowieso makkelijker zou zijn, maar ik heb van alles geprobeerd wat er op google staat, maar hij luistert niet naar de 2 WAN ip adressen als hij de configuratie al accepteerd dan werkt meestal geen een ip adres of hij begint over overlappende IP adressen, dus dan werkt het alsnog niet :/
_-= Erikje =-_ schreef op woensdag 9 augustus 2017 @ 12:26:
Hangt ook van de licentie af of je meerdere vlan's kan/mag gebruiken; de basis deed maar 2 zones (public/private)
De licentie is als het goed is een life time licentie met alle functies. :)

woensdag 9 augustus 2017 14:41

Acties:
  • Beste antwoord
  • +2Henk 'm!
  • geonosys
  • Registratie: December 2009
  • Laatst online: 29-09-2022

geonosys

Ik ga er van uit dat de 5 adressen één subnet zijn? 5 adressen, default gateway en je netwerk en broadcast adres (subnet 255.255.255.248)?
In dat geval geef je één van de adressen aan de outside interface en gebruikt dat subnet. De overige vrije adressen kan je dan natten naar de diverse interne netwerken.

woensdag 9 augustus 2017 14:42

Acties:
  • 0Henk 'm!
  • Dark_Obscurity
  • Registratie: Januari 2016
  • Laatst online: 10-12-2022

Dark_Obscurity

Topicstarter
geonosys schreef op woensdag 9 augustus 2017 @ 14:41:
Ik ga er van uit dat de 5 adressen één subnet zijn? 5 adressen, default gateway en je netwerk en broadcast adres (subnet 255.255.255.248)?
In dat geval geef je één van de adressen aan de outside interface en gebruikt dat subnet. De overige vrije adressen kan je dan natten naar de diverse interne netwerken.
Ik ga dit gelijk proberen!

woensdag 9 augustus 2017 14:43

Acties:
  • 0Henk 'm!
  • wutwutwhat
  • Registratie: Oktober 2010
  • Laatst online: 19-12-2022

wutwutwhat

Lomperik.

Dark_Obscurity schreef op woensdag 9 augustus 2017 @ 14:33:
[...]


Het ding is dat je de nat hierbij zelf moet instellen en niet automatisch gedaan wordt haha, daarbij komt dus het probleem kijken dat zodra ik die 2 WAN ip adressen invul hij gaat zeuren over het feit dat ze overlappen, dus in dezelfde range liggen, ziggo bied niet veel hulp hierbij, maar om nou voor elk ip adres een aparte router te moeten gaan halen dat leek mij ook zo raar haha.


[...]


[...]


[...]


Ik heb ASDM al geïnstalleerd, ik heb op school wel les gehad in de cisco commandline maar ik dacht dat een interface sowieso makkelijker zou zijn, maar ik heb van alles geprobeerd wat er op google staat, maar hij luistert niet naar de 2 WAN ip adressen als hij de configuratie al accepteerd dan werkt meestal geen een ip adres of hij begint over overlappende IP adressen, dus dan werkt het alsnog niet :/


[...]


[...]
Apparatuur gaat over het algemeen "zeuren" als je een configuratiefout maakt.. Welke range heb je toegewezen gekregen (mag in formaat x.x.x.???/?) en welke IP adressen probeer je toe te wijzen aan je interfaces?

Edit: spellen is een ding :+

Liever in Gulden betalen? Dat kan!

woensdag 9 augustus 2017 14:44

Acties:
  • 0Henk 'm!
  • TNO
  • Registratie: Februari 2004
  • Laatst online: 23-03 11:14

TNO

cake.

Ik ben het eens met @geonosys, zie ook deze configuratieguide van Cisco. https://www.cisco.com/c/e...ll-config/nat-basics.html

Er vanuit gaande dat je 'm op 9.x hebt draaien.

woensdag 9 augustus 2017 14:47

Acties:
  • 0Henk 'm!
  • geonosys
  • Registratie: December 2009
  • Laatst online: 29-09-2022

geonosys

Dark_Obscurity schreef op woensdag 9 augustus 2017 @ 14:42:
[...]


Ik ga dit gelijk proberen!
Hou er rekening mee dat de 8 lan poorten eigenlijk een soort switch vormen, voor de twee netwerken moet je dan wel met vlans gaan werken. Maar als je idd een volledige licentie hebt zou dat geen probleem mogen zijn.

Daarnaast is het wel handig als je infrastructuur (switches ed) dat ook aan kunnen.

[Voor 10% gewijzigd door geonosys op 09-08-2017 14:48]

Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee