Netwerk logisch inrichten met afgeschermd router

Ik zit sinds enige tijd met een kleine uitdaging hier in huis.

Sinds dit voorjaar heb ik een nieuwe woning met glasvezel internet van T-Mobile. Van T-Mobile krijg je een prachtige Draytek Vigor 2132FVn modem/router met SFP-aansluiting voor glas. Een behoorlijk krachtig apparaat, maar met een paar (voor mij) grote nadelen.

Zo ondersteunt deze geen 5 GHz wifi, kan ik geen eigen software erop draaien (zoals een torrent-cliënt) en is deze router door beperkingen vanuit T-Mobile niet in bridge mode of Active True IP te zetten.

Uit mijn oude installatie heb ik een Netgear WNDR3700v1 / 37AV. Op deze router draait OpenWRT Chaos Calmer met wat eigen applicaties en wil ik daarom maar al te graag blijven gebruiken voor het afhandelen van alle netwerktaken in het huis (dus DHCP, firewall, NAT, etc). Daarnaast hangt er op een andere verdieping nog een Linksys WRT320N V1-router met LEDE als extra access point voor de wifi.

Op dit moment zit het als volgt aangesloten/ geconfigureerd:

1. Modem - router : DrayTek Vigor met NAT en DHCP ingeschakeld, intern netwerk range 10.0.0.0/24
2. Router : Netgear met NAT en DHCP ingeschakeld, via de WAN-poort aangesloten op de DrayTek, intern netwerk range 192.168.1.0/24
3. Switch : TP-Link TL-SG1016D 16-poorts unmanaged switch
4. Router : LinkSys als dom access point die via de WAN-poort alles via de TP-link doorstuurt naar de Netgear (voor € 2,50 op de kop getikt bij een kringloop).

Verplicht plaatje van de setup:
20170604_231024 by Chris Hogevonder, on Flickr
De paarse UTP-kabels die net te zien zijn, zijn van de IPTV en gaan rechtstreeks vanaf de Vigor naar een Cat6 aansluiting in het huis.

Nu het probleem waar ik mee zit. Door de huidige setup heb ik een NAT achter NAT. Over het algemeen werkt het goed, met speedtest haal ik meer dan regelmatig meer dan 120 mbit up en down (op een 100 mbit abo) en de ping is laag genoeg. Maar af en toe hapert het internet toch en is het een ware hel om poorten van buiten naar binnen open te zetten.

Ik wil dus naar een meer zinnige configuratie. Ik zou daarvoor ook de Netgear als dom AP in kunnen stellen, net zoals de LinkSys, maar dan zit ik feitelijk OpenWRT buiten spel.

Kort samengevat, ik kan de DrayTek niet elimineren en heb die nodig voor de NAT-functionaliteit, maar ik wil de Netgear als centraal punt in mijn netwerk houden.

Gaat het werken door:

• de DrayTek een vast intern IP te geven van 192.168.1.1,
• de Netgear IP 192.168.1.2, in OpenWRT de WAN- en LAN-poorten in één interfacegroep op te nemen (daarmee NAT uitschakelend op de Netgear)
• de LinkSys IP 192.168.1.3, in OpenWRT de WAN- en LAN-poorten in één interfacegroep op te nemen en DHCP en firewall uit (dom AP)
• DHCP op de DrayTek uitschakelen
• DHCP op de Netgear actief houden met een logische pool (bijv. 192.168.1.50 - 192.168.1.200)
• Firewall op de DrayTek uit

of is een andere setup die beter is in deze situatie, en zo ja, hoe dan?

Dank jullie alvast voor de suggesties.

Telefonie hebben we wel, maar gebruiken we niet (een jaar abo met telefoon was onder aan de streep goedkoper dan zonder ), dus dat kan me eigenlijk gestolen worden.

@chickpoint
Over het gebruiken van een mediaconverter heb ik ook al nagedacht, maar ik weet niet of mijn Netgear de multicast stream aan kan nodig voor IPTV in combinatie met de andere taken die ik hem laat uitvoeren (er draait bijv. een torrent-cliënt op en die wil de CPU nog weleens zwaar belasten).

@Ora et Labora
Met een DMZ heb ik al gestoeid, maar wou niet werken. Wat ik heb begrepen, houdt de DrayTek toch nog enig toezicht op de data die via de DMZ loopt en geeft het geen volledig vrije toegang tot het internet.

@ThinkPad
In OpenWRT kan ik bijna alles regelen, op een enkel hardware beperkt protocol na (ik zou bijv. graag 802.11r willen implementeren, maar dat ondersteund de Netgear hardware niet...) VLAN's zijn echter geen enkel probleem.

Aangezien een TP-link mediaconverter blijkbaar maar € 23 kost, is dat wellicht de route om gaan.

Ubiquiti is inderdaad erg mooi spul, maar ook prijzig. Voor ik daar m'n geld aan ga uitgeven, zijn er eerst andere, meer belangrijkere zaken in huis die moeten gebeuren.

@Edwin88
Waarom die Netgear? Omdat die, toen ik hem kocht, als één van de beste routers gold en binnen de OpenWRT/LEDE community nog steeds als één van de meest flexibele routers geldt. Je kan een WNDR3700 met OpenWRT niet vergelijken met dezelfde router met stock firmware. Het enige waar hij het eigenlijk aflegt ten opzichte van nieuwe routers, zijn geavanceerde wifi-protocollen waarvoor hardware ondersteuning nodig is. Maar aangezien geen enkele cliënt hier in huis daar gebruik van kan maken, is dat voor mij geen issue.

Waarom ik de DrayTek buitenspel wil zetten? Omdat dat ding een verschrikkelijk complexe en onlogische interface heeft en totaal niet duidelijk is waar welke functie zit. Ik zou ook zeker niet durven stellen dat de DrayTek krachtigere hardware heeft, qua CPU's is er niet eens zoveel veranderd de afgelopen jaren en op gebied van wifi is de DrayTek zelfs zwakker dan de Netgear. Daarnaast zit de kracht van een router in de software, niet zozeer de hardware (of je moet wel echt onder in het spectrum gaan zitten). Het enige wat ik niet zeker weet, is of de Netgear multicast IPTV aan kan, mocht ik de DrayTek helemaal buiten spel willen zetten.

Switch had achteraf een managed-versie moeten zijn, maar dat heb ik mij te laat gerealiseerd. Toen ik hem aan het uitzoeken was, vond ik het prijsverschil te groot voor iets waarvan ik dacht dat ik het toch niet zou gebruiken. En net als met het Ubiquiti-spul heb ik nu eerst andere zaken waar het geld aan op gaat.
Maar echt last heb ik er niet van, nu zijn er 2 UTP-poort op de DrayTek toegewezen aan de VLAN's voor IPTV en via m'n patchpanel gaan die rechtstreeks naar de ontvangers. Pas als ik een derde ontvanger toe wil voegen, zou een managed switch nodig zijn.