Discussie: welke problemen met 2 routers achter elkaar?

dinsdag 22 augustus 2017 13:14

Acties:

0 Henk 'm!

Topicstarter

In topics hier op GoT over netwerkconfiguraties (maar ook op veel andere websites) lees ik vaak dat het inrichten van een netwerk met 2 routers achter elkaar wordt afgeraden (termen als "recipe for disaster", "heeft grote nadelen", etc.), maar verder dan dat gaat de uitleg eigenlijk zelden.

Zelf heb ik al jaren de volgende opstelling van mijn netwerk:

Internet (coax)
\/
Ziggo modem/router (NIET in bridgemodus, DHCP deelt 192.168.178.xxx range uit, regelt Ziggo WiFi hotspots)
\/
WAN poort Cisco router (DHCP deelt 192.168.2.xxx range uit, regelt mijn eigen WiFi netwerk)
\/
LAN poort TPLink router (DHCP disabled, fungeert als AP op zolder)

Mijn interne netwerk (PCs, telefoons, consoles, TV, etc.) zitten allemaal op het netwerk van de Cisco router (+AP). Ik heb met deze configuratie echt nog nooit problemen gehad. Er is niets (wat ik gebruik) dat niet werkt (ik game erg veel), maar toch wordt deze configuratie door veel mensen afgeraden. Ik wil mijn Ziggo router niet in bridgemodus hebben omdat ik nog wel van de Ziggo hotspots gebruik wil maken, maar omdat het WiFi netwerk van het Ziggo modem instabiel was (regelmatig verbrak de verbinding), ben ik het netwerk op deze manier gaan configureren.

Ik kan me voorstellen dat als je servers wilt draaien o.i.d. het lastig kan zijn om beide routers goed ingesteld te krijgen, maar is dat de enige reden dat mensen deze configuratie zouden afraden, of welke andere nadelen zouden er zijn?

edit: grammatica

dinsdag 22 augustus 2017 13:27

Acties:

+2 Henk 'm!

Breezers

Het gaat er niet zo zeer om dat het niet mogelijk is, maar eerder dat het niet altijd wenselijk is:

Als je voldoende kennis hebt en doelbewust deze opstelling kiest is er niets aan de hand en werkt alles "by design".

Echter.... de gemiddelde gebruiker koopt een router om "beter WiFi" te hebben en de vele marketing kreten en features die bij de hardware horen. Deze router wordt dan zonder kennis van zaken in het netwerk geprikt en "ineens" hebben we geen internet meer, wegvallende verbindingen, kunnen we op de Xbox/PS3 etc niet meer online games joinen, kunnen we beveiligingscamera niet meer bereiken, kunnen we geen films meer streamen van de NAS etc, etc.

Vaak door niet te snappen dat er meerdere DHCP servers, gateways, dubbel NAT en andere IP ranges etc aanwezig kunnen zijn treden er dus vaak "onbedoelde"problemen op die vaak niet zelfstandig opgelost kunnen worden. Dit is de reden waarom er vaak wordt aangegeven om dit niet doen als je dit niet perse wilt of nodig hebt.

“We don't make mistakes just happy little accidents” - Bob Ross

dinsdag 22 augustus 2017 13:33

Acties:

0 Henk 'm!

Ora et Labora

Zijn inderdaad geen nadelen, alleen voordelen, mits het met verstand gebruikt wordt.
Zelf heb ik KPN met een Experiabox, daarachter een Asus router. Deze Asus is als DMZ geconfigureerd op de Experiabox zodat ik niet hoef te dubbelnatten.
Ik zie alleen maar voordelen.
- Betere WIFI, inclusief 5ghz.
- Volledig beheer op de eigen router in plaats van de zeer beperkte mogelijkheden op de Experiabox.
- Bij wisselen van provider draaien al m'n apparaten gewoon door en hoef ik daar de WIFI niet opnieuw voor in te stellen als ik de Asus wederom achter de modem van de provider hang.

Who's general failure, and why is he reading my disk?

dinsdag 22 augustus 2017 13:38

Acties:

0 Henk 'm!

FreakNL

Well do ya punk?

Er zijn zeker wel nadelen! Maar het hangt van de apparatuur af.

Dubbel NAT is sowieso onhandig met port-forwarding, maar dat valt nog wel op te lossen als je weet wat je doet.

Het belangrijkste nadeel blijf dat er routers zijn die het aantal connecties per client limiteren! En de 2e router is nu eenmaal een client van 1e...

Als je echt aan scheiding van netwerken wilt doen kun je beter naar VLANs kijken.

@Ora et Labora
De dingen die jij noemt zijn geen voordelen van dubbel NAT, het zijn de voordelen van een eigen router. Ik ben ook een voorstander van eigen apparatuur, dus ik kies mijn ISP op basis van het feit of hun modem al dan niet in bridge kan.. Ik zie bij jouw case niet in wat jouw voordelen zijn van dubbel NAT t.o.v. bridge.. Ik zou die modem dus lekker in bridge zetten als ik jou was.. DMZ is niet hetzelfde als bridge....

[ Voor 40% gewijzigd door FreakNL op 22-08-2017 13:42 ]

dinsdag 22 augustus 2017 13:42

Acties:

0 Henk 'm!

GlowMouse

Een nadeel is dat elke router een eigen NAT-tabel bijhoudt met elk een eigen timeout en geheugenlimiet. Met twee routers word je beperkt door de slechtste router. Je kunt mogelijk een bottleneck wegnemen door de Ciscorouter als DMZ in te stellen van het Ziggomodem.

Wat er ook mis kan gaan als je wifi op het Ziggomodem niet hebt uitgeschakeld en dezelfde SSID gebruikt op elk device, is dat een apparaat een IP-adres krijgt van het Ziggomodem en daarna overschakelt op het interne netwerk. Je moet dan handmatig een DHCP-aanvraag doen om een IP-adres in de juiste range te krijgen.

dinsdag 22 augustus 2017 13:46

Acties:

0 Henk 'm!

Cpt.Morgan

Topicstarter

GlowMouse schreef op dinsdag 22 augustus 2017 @ 13:42:
Een nadeel is dat elke router een eigen NAT-tabel bijhoudt met elk een eigen timeout en geheugenlimiet. Met twee routers word je beperkt door de slechtste router. Je kunt mogelijk een bottleneck wegnemen door de Ciscorouter als DMZ in te stellen van het Ziggomodem.

Helder, dit is iets om goed in de gaten te houden (dank aan zowel FreakNL als GlowMouse voor dit punt). Ik moet bekennen dat ik even niet meer weet of ik op dit moment een DMZ heb ingesteld

. Iets om eens te controleren en uit te proberen.

GlowMouse schreef op dinsdag 22 augustus 2017 @ 13:42:
Wat er ook mis kan gaan als je wifi op het Ziggomodem niet hebt uitgeschakeld en dezelfde SSID gebruikt op elk device, is dat een apparaat een IP-adres krijgt van het Ziggomodem en daarna overschakelt op het interne netwerk. Je moet dan handmatig een DHCP-aanvraag doen om een IP-adres in de juiste range te krijgen.

Natuurlijk, maar dit geldt ook als niet uitkijkt hoe je een extra AP aansluit. Ik heb juist bewust gekozen voor een eigen WiFi netwerk (en SSID) dat niet door de Ziggo router geregeld wordt (omdat die problemen gaf met WiFi stabiliteit).

Bij verkeerde configuratie kan natuurlijk altijd van alles misgaan (hoe je je netwerk ook inricht). Maar ik vroeg me vooral af of er nadelen zijn bij correcte configuratie (zoals die dubbele NAT tabellen en limiet op connecties).

[ Voor 9% gewijzigd door Cpt.Morgan op 22-08-2017 13:50 ]

dinsdag 22 augustus 2017 13:53

Acties:

0 Henk 'm!

Ora et Labora

FreakNL schreef op dinsdag 22 augustus 2017 @ 13:38:

Als je echt aan scheiding van netwerken wilt doen kun je beter naar VLANs kijken.

@Ora et Labora
De dingen die jij noemt zijn geen voordelen van dubbel NAT, het zijn de voordelen van een eigen router. Ik ben ook een voorstander van eigen apparatuur, dus ik kies mijn ISP op basis van het feit of hun modem al dan niet in bridge kan.. Ik zie bij jouw case niet in wat jouw voordelen zijn van dubbel NAT t.o.v. bridge.. Ik zou die modem dus lekker in bridge zetten als ik jou was.. DMZ is niet hetzelfde als bridge....

Dubbel NAT heeft geen voordelen, vandaar dat ik de DMZ van KPN gebruik. Al het inkomend verkeer wat niet gespecificeerd is in de Experiabox, wordt naar m'n Asus geforward. Inderdaad zou in mijn geval Bridge nog beter werken, alleen heb ik nog een verouderde Experiabox, en die kan naar mijn weten alleen met wat tweaks in bridge modus, niet standaard.
Bridge heeft zeker voordelen.

Who's general failure, and why is he reading my disk?

dinsdag 22 augustus 2017 13:57

Acties:

0 Henk 'm!

Mijzelf

Volgens mij zijn er 2 echte nadelen:

Je hebt een extra hop. en dus worden de ping tijden langer.
uPnp is niet meer mogelijk

En je netwerk wordt onoverzichtelijker. Portforwarden is lastiger. Maar dat is alleen een nadeel als je het niet meer kunt overzien.

De nadelen die ik verder genoemd zie zijn nadelen van een brakke router, en niet zozeer van dubbel NAT.

dinsdag 22 augustus 2017 14:04

Acties:

0 Henk 'm!

Qlimaxxx

Geldt het nadeel met dubbele NAT tabellen en limiet op connecties eigenlijk ook bij gebruik van DMZ? Aangezien KPN op hun Experiaboxen geen bridgemodus ondersteund, en DMZ dan de enige optie is als je met VLAN's aan het werk wil?

dinsdag 22 augustus 2017 14:08

Acties:

0 Henk 'm!

Ora et Labora

Qlimaxxx schreef op dinsdag 22 augustus 2017 @ 14:04:
Geldt het nadeel met dubbele NAT tabellen en limiet op connecties eigenlijk ook bij gebruik van DMZ? Aangezien KPN op hun Experiaboxen geen bridgemodus ondersteund, en DMZ dan de enige optie is als je met VLAN's aan het werk wil?

Bij KPN zit er geen limiet op connecties voor zover ik weet.
Je hoeft NAT maar 1x in te stellen, op je eigen router aangezien KPN al het niet gespecificeerde verkeer in de Experiabox, doorstuurt naar z'n NAT, je eigen router dus.
Check: https://forum.kpn.com/thu...ter-de-experia-box-164983

Who's general failure, and why is he reading my disk?

dinsdag 22 augustus 2017 14:11

Acties:

0 Henk 'm!

MaartenBW

Ora et Labora schreef op dinsdag 22 augustus 2017 @ 13:33:
Zijn inderdaad geen nadelen, alleen voordelen, mits het met verstand gebruikt wordt.
Zelf heb ik KPN met een Experiabox, daarachter een Asus router. Deze Asus is als DMZ geconfigureerd op de Experiabox zodat ik niet hoef te dubbelnatten.
Ik zie alleen maar voordelen.
- Betere WIFI, inclusief 5ghz.
- Volledig beheer op de eigen router in plaats van de zeer beperkte mogelijkheden op de Experiabox.
- Bij wisselen van provider draaien al m'n apparaten gewoon door en hoef ik daar de WIFI niet opnieuw voor in te stellen als ik de Asus wederom achter de modem van de provider hang.

Ik heb in deze configuratie wel problemen gehad. (experiobox v8)

Bij mij werkte bijvoorbeeld mijn ING app niet meer op mijn telefoon wanneer ik met wifi van router zat. Ook andere apparaten/ services deden niet wat ze moesten doen.

Toen in ik de DMZ weer uitzette, waren alle problemen weg.(dus configuratie van TS)

Lijkt me dus niks mis met configuratie van TS, alleen port forwarding wordt een vervelend klusje

dinsdag 22 augustus 2017 14:17

Acties:

0 Henk 'm!

Equator

Crew Council

#whisky #barista

Qlimaxxx schreef op dinsdag 22 augustus 2017 @ 14:04:
Geldt het nadeel met dubbele NAT tabellen en limiet op connecties eigenlijk ook bij gebruik van DMZ? Aangezien KPN op hun Experiaboxen geen bridgemodus ondersteund, en DMZ dan de enige optie is als je met VLAN's aan het werk wil?

In beide gevallen zal de NAT tabel bijgehouden moeten worden, dus ja waarschijnlijk wel

Ik zoek nog een engineer met affiniteit voor Security in de regio Breda. Kennis van Linux, Endpoint Security is een pré. Interesse, neem contact met me op via DM.

dinsdag 22 augustus 2017 15:37

Acties:

0 Henk 'm!

GlowMouse

Mijzelf schreef op dinsdag 22 augustus 2017 @ 13:57:
Volgens mij zijn er 2 echte nadelen:
Je hebt een extra hop. en dus worden de ping tijden langer.
uPnp is niet meer mogelijk

De hogere pingtijd is niet merkbaar, en UPnP kan toch beter uit voor de veiligheid.

Onderwerpen