Vraag


  • salgera
  • Registratie: Mei 2002
  • Laatst online: 23-09-2021
Ik woon met 7 andere huishoudens in 1 pand in Amsterdam en wij delen gezamenlijk de 500mbit glasvezel internetverbinding. Dit gebeurt nu vrij houtje-touwtje door mijn beperkte netwerkkennis. Glasvezel/internet van XS4ALL komt binnen bij een Fritz!Box 7490 router. Vandaar gaat er één netwerkkabel naar een centrale switch (Netgear ProSAFE GS724Tv4).
De verschillende wifi-routers in de woningen zijn verbonden met deze Netgear switch. Al deze wifi-routers staan in bridge-modus en iedereen krijgt zijn ip-adres uitgedeeld door de centrale DHCP-server in de Fritz!Box. Hierdoor kan ook iedereen op ieders netwerk in huis rondneuzen waardoor de buurman bij mij mijn Sonos-boxen besturen, inloggen op NAS, printer aansturen, etc.

De bedoeling is dat de huishoudens enkel de internetconnectie met elkaar delen (om kosten te besparen), maar niet meer bij elkaar op het netwerk kunnen.

Hoe kan dit het eenvoudigst geregeld worden (ieder eigen DHCP-service instellen? VLANs? Iets anders?) en wie zou dit bij ons in Amsterdam willen inregelen (tegen vergoeding natuurlijk)?

Mogelijk willen we in de toekomst toch iets van het netwerk met elkaar delen (anders dan de internetverbinding), maar voorlopig niet.

P.S. Deze vraag heb ik eerder gesteld (begin dit jaar) in Vraag&Aanbod, maar toen niet op de reacties gereageerd ivm ziekte destijds. Mijn excuses nog daarvoor als je dit herkent. Deze keer wil ik (en mede-bewoners) het echt goed aangepakt hebben.

Beste antwoord (via salgera op 07-10-2017 17:14)


  • drie van acht
  • Registratie: December 2015
  • Niet online
Het kan nog simpeler: Poortjes op de centrale switch zo instellen dat ze wel allemaal met de fritzbox mogen praten, maar niet met elkaar. Dit heet "protected port", en je hoeft er geen vlan-gymnastiek voor uit te voeren. Dit is wat de handleiding voor jouw GS724Tv4, erover zegt:
If a port is configured as protected, it does not forward traffic to any other protected port on
the switch, but it will forward traffic to unprotected ports. Use the Protected Ports Membership
screen to configure the ports as protected or unprotected.
Is dat te simpel en als verschillende IPadressen niet te krijgen zijn kun je wellicht nog een routertje pakken dat verschillende subnetten achter een- en dezelfde NAT-laag kan plakken. Desnoods een pfsense doosje neerzetten, wellicht met genoeg poorten en anders met alle vlans op de lijn en je switch dat weer laten uitsplitsen. Dat zijn dan inderdaad port-based vlans. Nadeel is dat je vlans (port-based of trunked) weer aanelkaar moet routeren en dus met zowel vlans als subnetten bezig moet. Dus ik zou eerst naar dat protected port feature kijken.

Alle reacties


  • ijske
  • Registratie: Juli 2004
  • Laatst online: 05-06 17:28
ik weet niet hoe je huis in elkaar zit, maar is het niet handig om iedere gebruiker te verplichten een eigen router aan te laten schaffen ?

dan doet iedereen wat ie wil in woonruimte met zijn eigen netwerk , zonder dat hij een ander kan storen
gluren bij de buren zit er dan 99% kans niet meer in

bijkomstig kan jij als "admin" instellen dat enkel zijn router een ip adres krijgt (dhcp lijst aanleggen in de fritzbox).

  • Orion84
  • Registratie: April 2002
  • Laatst online: 13:20

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

ijske schreef op maandag 2 oktober 2017 @ 13:34:
ik weet niet hoe je huis in elkaar zit, maar is het niet handig om iedere gebruiker te verplichten een eigen router aan te laten schaffen ?

dan doet iedereen wat ie wil in woonruimte met zijn eigen netwerk , zonder dat hij een ander kan storen
gluren bij de buren zit er dan 99% kans niet meer in

bijkomstig kan jij als "admin" instellen dat enkel zijn router een ip adres krijgt (dhcp lijst aanleggen in de fritzbox).
Simpele en pragmatische oplossing inderdaad.

Nadeel is dat je daardoor wel dubbel NAT verplicht (tenzij je op die glasvezelverbinding meerdere publieke IPs kan regelen en elke huishouden zijn eigen publieke IP kan toekennen), wat niet altijd even prettig is voor sommige toepassingen.

Een oplossing met meer geavanceerde centrale router/switch die een en ander opdeelt in van elkaar gescheiden VLANs is dan netter, maar vereist wel het gezamenlijk aanschaffen (en instellen / onderhouden) van die centrale apparatuur.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr


  • hcQd
  • Registratie: September 2009
  • Laatst online: 08:21
Je zou eens kunnen vragen of je een /28 kunt krijgen bij XS4ALL, dan heeft iedereen zijn eigen IP-adres. (Ze bieden wel een /29 voor een tientje.)

  • Dieks77
  • Registratie: November 2009
  • Nu online
Makkelijkst met huidige apparatuur.
- De individuele routers uit bridge halen en daadwerkelijk als router instellen.
- DHCP en/of Fixed IP alleen toewijzen aan de routers.
- Optie aan/uitvinken dat clients wel/niet met elkaar kunnen communiceren (zit niet bij mijn fritz, zit in de netwerk instellingen ergens)

  • ijske
  • Registratie: Juli 2004
  • Laatst online: 05-06 17:28
Orion84 schreef op maandag 2 oktober 2017 @ 13:43:
[...]

Een oplossing met meer geavanceerde centrale router/switch die een en ander opdeelt in van elkaar gescheiden VLANs is dan netter, maar vereist wel het gezamenlijk aanschaffen (en instellen / onderhouden) van die centrale apparatuur.
goede oplossing indien er meerdere kabels per gebruiker bij de centrale switch aankomen
dat zal Selgera eerst moeten uitzoeken :-)

vlanning is niet iets voor beginnende gebruikers, en dat overlaten aan een professional gaat kosten meenemen.
een switch vervangen en een cisco/netgear routertje instellen lukt toch best veel mensen

  • haik01
  • Registratie: Januari 2007
  • Laatst online: 13-06-2018
Orion heeft gelijk.

Je moet zelf te rade gaan: Is er iemand die een VLAN switch en ditto router kan configureren en bij kan houden?

Als dat niet zo is, zou ik het uitbesteden. Zo duur hoeft het niet te zijn. Een Mikrotik router van rond de 80 euro moet voldoende zijn. En je kan dan de Fritzbox weglaten, of laten staan (als je telefonie afneemt bij xs4all).
Dubbele NAT kan de Mikrotik omzeilen.
De huidige switch voldoet perfect. Laten hangen (of laten staan)....

Je moet je alleen even goed nadenken wat je doet met de WiFi.

[Voor 6% gewijzigd door haik01 op 02-10-2017 14:11]


  • MsG
  • Registratie: November 2007
  • Laatst online: 12:30

MsG

Forumzwerver

Je bent er toch gewoon al als je die wifi-routers die nu in bridgemodus staan weer in router-modus zet waardoor ze allemaal zelf een DHCP-server worden voor de apparaten die hier weer achter zitten?

In hoeverre is eventuele dubbele NAT bij regulier gebruik een daadwerkelijk probleem? Is er geen optie dat de eind-router bij de bewoner zijn UPNP-request nog weer doorstuurt naar de hoofdrouter?

Denk om uw spatiegebruik. Dit scheelt Tweakers.net kostbare databaseruimte! | Groninger en geïnteresseerd in Domotica? Kom naar DomoticaGrunn


  • Omega Supreme
  • Registratie: Augustus 2002
  • Laatst online: 14:10

Omega Supreme

The God of Death

haik01 schreef op maandag 2 oktober 2017 @ 14:11:
Je moet je alleen even goed nadenken wat je doet met de WiFi.
IS dat niet heel simpel?

Er zijn 8 huishoudens, router met portbased vlan ondersteuning op 8 poorten aanschaffen en ieder huishouden krijgt 1 poort waarop ze een wireless AP en/of switch aansluiten. Instellen dat vlans niet bij elkaar kunnen kijken en klaar.

Apparatuur in de verschillende huishoudens hoeft niet eens vlan te ondersteunen, kan dus gewoon consumenten meuk zijn.

edit: En euh, geen UPNP is toch alleen maar een verbetering @MsG ?

[Voor 6% gewijzigd door Omega Supreme op 02-10-2017 14:22]

It's hard to light a candle, easy to curse the dark instead. This moment the dawn of humanity, last ride of the day"


  • MsG
  • Registratie: November 2007
  • Laatst online: 12:30

MsG

Forumzwerver

@Omega Supreme
Nou daar verschillen de meningen sterk over. In een normale consumentensituatie heb je genoeg apparatuur en software die een open poortje wil, veel plezier om dat in je flat als IT-nerd voor iedereen te mogen regelen, zeker met wisselende IP's, dan wordt je een halve IT-dienst. Ik heb het gewoon altijd aan, maar dat moet ieder maar voor zich bepalen :-P.

Denk om uw spatiegebruik. Dit scheelt Tweakers.net kostbare databaseruimte! | Groninger en geïnteresseerd in Domotica? Kom naar DomoticaGrunn


  • haik01
  • Registratie: Januari 2007
  • Laatst online: 13-06-2018
Ik heb hier een Mikrotik hangen die alles regelt (VLAN's, DHCP etc...) en er is dus GEEN dubbele NAT. Gewoon plat netwerk met één subnet.

De WiFi kan je óf gezamenlijk organiseren, óf per persoon laten oplossen. Verder heeft iemand niets meer nodig, zolang er maar enkele NAT is.

Acties:
  • Beste antwoord
  • +2Henk 'm!

  • drie van acht
  • Registratie: December 2015
  • Niet online
Het kan nog simpeler: Poortjes op de centrale switch zo instellen dat ze wel allemaal met de fritzbox mogen praten, maar niet met elkaar. Dit heet "protected port", en je hoeft er geen vlan-gymnastiek voor uit te voeren. Dit is wat de handleiding voor jouw GS724Tv4, erover zegt:
If a port is configured as protected, it does not forward traffic to any other protected port on
the switch, but it will forward traffic to unprotected ports. Use the Protected Ports Membership
screen to configure the ports as protected or unprotected.
Is dat te simpel en als verschillende IPadressen niet te krijgen zijn kun je wellicht nog een routertje pakken dat verschillende subnetten achter een- en dezelfde NAT-laag kan plakken. Desnoods een pfsense doosje neerzetten, wellicht met genoeg poorten en anders met alle vlans op de lijn en je switch dat weer laten uitsplitsen. Dat zijn dan inderdaad port-based vlans. Nadeel is dat je vlans (port-based of trunked) weer aanelkaar moet routeren en dus met zowel vlans als subnetten bezig moet. Dus ik zou eerst naar dat protected port feature kijken.

  • haik01
  • Registratie: Januari 2007
  • Laatst online: 13-06-2018
interessant.... Misschien wel een oplossing ja. Zonder extra hardware "zou' het kunnen wat drie van acht zegt.

  • dion_b
  • Registratie: September 2000
  • Nu online

dion_b

Moderator Harde Waren

say Baah

Omega Supreme schreef op maandag 2 oktober 2017 @ 14:20:
[...]

IS dat niet heel simpel?

Er zijn 8 huishoudens, router met portbased vlan ondersteuning op 8 poorten aanschaffen en ieder huishouden krijgt 1 poort waarop ze een wireless AP en/of switch aansluiten. Instellen dat vlans niet bij elkaar kunnen kijken en klaar.

Apparatuur in de verschillende huishoudens hoeft niet eens vlan te ondersteunen, kan dus gewoon consumenten meuk zijn.
Op layer 3 en hoger is het inderdaad zo simpel, maar zodra je het over WiFi hebt is "one AP per room" zeker niet de optimale oplossing.

Bedenk dat je in 2.4GHz maar 3 non-overlapping kanalen hebt en met gemiddelde consumentenapparatuur in de 5GHz ook max 4 (non-DFS). Met 8 woningen in zelfde pand ga je elk beschikbare 5GHz-kanaal twee keer gebruiken en elk beschikbare 2.4GHz-kanaal twee tot drie keer.

Als er sprake is van stevige bouwmaterialen die WiFi effectief dempen (gewapend beton, metaalhoudende isolatielagen) kan dat goed gaan, maar dan nog wil je zorgen dat je op zelfde verdieping in ieder geval verschillende kanalen gebruikt worden. En mijn eerste beeld van een pand in A'dam met 8 appartementen erin is een monumentaal 19e-eeuws geval met enkelsteens muren en voeren van hout waar WiFi volledig doorheen straalt. Met 8 AP's zonder enige vorm van management ben je je eigen ergste vijand, zeker als je dit lukraak neerplempt en hoopt dat het gaat werken.

Indien mijn vermoeden van bouwvorm klopt wil je dit anders aanvliegen: zoals al geroepen een VLAN per appartement, en daar niet alleen de bedrade aansluiting (port based) op aansluiten, maar ook een trunk naar de AP's, waar je meerdere VLANs op hebt, en dan een SSID per VLAN toewijzen. Zo heb je overal in huis genoeg - maar niet teveel! - signaal en overal kun je verbinden met je eigen draadloze netwerk (zelfs als je bij de buren op bezoek bent of even bij de voordeur/in de tuin bezig bent).

Enige kanttekening is dat je met zoveel SSIDs moet zorgen dat je de overhead door al die beacons beperkt door de laagste data rates uit te zetten (sowieso best practice, schakel hoe dan ook 1, 2, 5.5, 6, en 9 uit) en ws is het ook handig om de beacon interval van 100 naar 200ms te verhogen. Dan heb je met 8 SSID's per kanaal alsnog maar 1/4 van de overhead die je met default settings met een enkele SSID zou hebben.


Bovenstaande klinkt ingewikkeld, maar met bijv Ubiquiti's UniFi kun je het simpel point & click instellen als zowel router als AP's uit de UniFi-reeks komen. Enige beperking daar is dat je max 4 SSID's per AP kunt draaien, dus je zou het gebouw in tweeen moeten splitsen (4 appartementen op ene reeks AP's, 4 op de andere). Meer enterprise-grade spul zou trouwens wel 8 aan VLANs gekoppelde SSID's per AP aankunnen, maar dat is een stuk duurder.

Slechts één probleem: je hebt nu al geld uitgegeven aan dat Draytek geval en aan al die consumentenrouters die nu in "bridge" (feitelijk: AP) mode draaien. Dat is onverstandig geweest, want op unmanaged spul kun je het in zo'n high-density omgeving niet goed aanpakken, dus als je dat wel wilt kunnen de al aangeschafte spullen in de kliko :o

* dion_b mompelt iets over 'bezint eer ge begint'

Soittakaa Paranoid!


  • Lampiz
  • Registratie: December 2007
  • Laatst online: 05-06 14:58
Ik zou de FB in bridge zetten en/of er een ubiquiti of mikrotik neerzetten. Hier is de FB eigenlijk niet voor bedoeld. Je kan in je privédomein aparte private-subnets en vlans in (laten) richten, per interface een DHCP pool. Dan zie je intern elkaars verkeer niet. Managed switches aan de deur en ubiquiti ap's voor de wifi.
Hou de FB wel achter de hand, deze gaat XS4ALL vragen als de lijn faalt.
dion_b schreef op maandag 2 oktober 2017 @ 15:29:
[...]

Op layer 3 en hoger is het inderdaad zo simpel, maar zodra je het over WiFi hebt is "one AP per room" zeker niet de optimale oplossing.

Bedenk dat je in 2.4GHz maar 3 non-overlapping kanalen hebt en met gemiddelde consumentenapparatuur in de 5GHz ook max 4 (non-DFS). Met 8 woningen in zelfde pand ga je elk beschikbare 5GHz-kanaal twee keer gebruiken en elk beschikbare 2.4GHz-kanaal twee tot drie keer.

Als er sprake is van stevige bouwmaterialen die WiFi effectief dempen (gewapend beton, metaalhoudende isolatielagen) kan dat goed gaan, maar dan nog wil je zorgen dat je op zelfde verdieping in ieder geval verschillende kanalen gebruikt worden. En mijn eerste beeld van een pand in A'dam met 8 appartementen erin is een monumentaal 19e-eeuws geval met enkelsteens muren en voeren van hout waar WiFi volledig doorheen straalt. Met 8 AP's zonder enige vorm van management ben je je eigen ergste vijand, zeker als je dit lukraak neerplempt en hoopt dat het gaat werken.

Indien mijn vermoeden van bouwvorm klopt wil je dit anders aanvliegen: zoals al geroepen een VLAN per appartement, en daar niet alleen de bedrade aansluiting (port based) op aansluiten, maar ook een trunk naar de AP's, waar je meerdere VLANs op hebt, en dan een SSID per VLAN toewijzen. Zo heb je overal in huis genoeg - maar niet teveel! - signaal en overal kun je verbinden met je eigen draadloze netwerk (zelfs als je bij de buren op bezoek bent of even bij de voordeur/in de tuin bezig bent).

Enige kanttekening is dat je met zoveel SSIDs moet zorgen dat je de overhead door al die beacons beperkt door de laagste data rates uit te zetten (sowieso best practice, schakel hoe dan ook 1, 2, 5.5, 6, en 9 uit) en ws is het ook handig om de beacon interval van 100 naar 200ms te verhogen. Dan heb je met 8 SSID's per kanaal alsnog maar 1/4 van de overhead die je met default settings met een enkele SSID zou hebben.


Bovenstaande klinkt ingewikkeld, maar met bijv Ubiquiti's UniFi kun je het simpel point & click instellen als zowel router als AP's uit de UniFi-reeks komen. Enige beperking daar is dat je max 4 SSID's per AP kunt draaien, dus je zou het gebouw in tweeen moeten splitsen (4 appartementen op ene reeks AP's, 4 op de andere). Meer enterprise-grade spul zou trouwens wel 8 aan VLANs gekoppelde SSID's per AP aankunnen, maar dat is een stuk duurder.

Slechts één probleem: je hebt nu al geld uitgegeven aan dat Draytek geval en aan al die consumentenrouters die nu in "bridge" (feitelijk: AP) mode draaien. Dat is onverstandig geweest, want op unmanaged spul kun je het in zo'n high-density omgeving niet goed aanpakken, dus als je dat wel wilt kunnen de al aangeschafte spullen in de kliko :o

* dion_b mompelt iets over 'bezint eer ge begint'
Dit is zeker de meest complete oplossing. Over de invulling valt altijd te twisten.

Bedenk goed hoe je het inricht is van belang, teken het uit (netwerktekening).

[Voor 79% gewijzigd door Lampiz op 03-10-2017 08:15]


  • jeroen3
  • Registratie: Mei 2010
  • Laatst online: 14:18
Ik zie dit soort topic erg veel. Is er nou geen provider of bedrijf gespecialiseerd in het aanleggen van internet in dit soort woonconstructies?
Dat moet toch aantrekkelijk zijn voor de verhuurder, het uitbesteden van de verantwoordelijkheid?

  • RGAT
  • Registratie: Augustus 2011
  • Niet online
jeroen3 schreef op dinsdag 3 oktober 2017 @ 08:11:
Ik zie dit soort topic erg veel. Is er nou geen provider of bedrijf gespecialiseerd in het aanleggen van internet in dit soort woonconstructies?
Dat moet toch aantrekkelijk zijn voor de verhuurder, het uitbesteden van de verantwoordelijkheid?
Die zijn er absoluut, maar kosten geld ;)

Fixing things to the breaking point...


  • Lampiz
  • Registratie: December 2007
  • Laatst online: 05-06 14:58
jeroen3 schreef op dinsdag 3 oktober 2017 @ 08:11:
Ik zie dit soort topic erg veel. Is er nou geen provider of bedrijf gespecialiseerd in het aanleggen van internet in dit soort woonconstructies?
Dat moet toch aantrekkelijk zijn voor de verhuurder, het uitbesteden van de verantwoordelijkheid?
Mensen weten op allerlei manieren te slopen wat jij met veel tijd en moeite hebt gemaakt.
Je wordt voor elk wissewasje gebeld. Vraag maar aan electriciens in je omgeving.
RGAT schreef op dinsdag 3 oktober 2017 @ 08:17:
[...]


Die zijn er absoluut, maar kosten geld ;)
Off-topic:
En terecht, mensen slopen meer dan dat ze je uiteindelijk voor betalen.
Vaak klooien ze zo lang door, dat het meer tijd kost om het te fixxen dan dat je het (op)nieuw neerzet.
Maar dan ben je behoorlijk duur bla bla. Terwijl als ze je gewoon gebeld hadden met de vraag had je ze of geadviseerd of het zelf kort opgelost. Minder duur etc.
Het neerzetten is vaak niet zo'n punt, meer als het stuk is wie gaat het maken. Als oud medewerker van XS4ALL kan ik al stellen wij niet :P. Glas op de lijn met FB eraan is supported, de rest zoekt de klant maar uit.
En als het stuk is, wie gaat de ICT'er betalen? Dit staat of valt met hele goed afspraken in het gebouw wanneer de kosten moeten worden gedekt door wie. Als een zoon/dochterlief van de bewoners gaat klooien en iedereen hun verbinding eruit gooit, wie gaat dat betalen :P. Maar als het eenmaal werkt, dan kan je ook wel echt genieten van een mooie lijn.

  • dion_b
  • Registratie: September 2000
  • Nu online

dion_b

Moderator Harde Waren

say Baah

jeroen3 schreef op dinsdag 3 oktober 2017 @ 08:11:
Ik zie dit soort topic erg veel. Is er nou geen provider of bedrijf gespecialiseerd in het aanleggen van internet in dit soort woonconstructies?
Die zijn er zoals gezegd zeker, maar gratis zijn ze allerminst. Dat gezegd, er is IMHO een redelijk gat in de markt voor diensten specifiek op enigszins normale thuissituaties en niet bedrijven. Mocht ik op korte termijn m'n baan kwijtraken zonder gelijk een alternatief te hebben, dan staat kijken wat in dat gat concreet te verdienen valt hoog op de lijst van overbruggingsmogelijkheden tot ik weer iets bij een groot bedrijf vind ;)
Dat moet toch aantrekkelijk zijn voor de verhuurder, het uitbesteden van de verantwoordelijkheid?
Mwoeah, dat hebben ze nu al gedaan: hier is een glasaansluiting, zoek het lekker zelf uit :z

Heikel punt is en blijft beheer. Daar wil een verhuurder niet aan (kost geld maar vooral ook gezeik), en de kosten die daarbij komen kijken schrikken particulieren ook af.

Neem bijv zo'n UniFi setup. De hardware zou waarschijnlijk goedkoper zijn dan wat er nu neergeplempt is (beetje afhankelijk van hoe cheap-ass die individuele router zijn), maar dan ben je er nog niet, je moet de boel fysiek installeren en beetje net wegwerken, en vervolgens configureren. Dat is paar uur werk bij elkaar. Dan nog zijn de kosten te overzien, en als de huidige "routers" best duur zijn (EUR 130+) dan zou het nog steeds goedkoper kunnen zijn om iemand a EUR 100/u te betalen om een USG + 4 UAP's te installeren ipv 8 stuks AC68U bijv.

Dan draait het. En als degene die installeert/configureert z'n werk goed gedaan heeft draait het ook goed. Halleluiah! Maar er komt een moment waarop iets mis gaat. Een AP kan kapot gaan, een kabel kan los schieten of kapot raken. Door gepruts of bug kan iets terug naar fabrieksinstellingen vliegen. De omgeving kan veranderen. Of een bewoner vergeet z'n logingegevens. Oh en de internetverbinding kan down zijn, maar dat wordt dan onterecht als "WiFi-probleem" gelogged.
Wat doe je dan? Je moet maar hopen dat degene die de boel installeerde nog beschikbaar is, nog weet wat hij gedaan heeft bij installatie en dan mag je uurtje factuurtje weer flink wat aftikken.

Alternatief is een dienst waar je een bedrag per maand betaalt om ontzorgd te worden. Probleem is dus dat dat meestal een bedrag is waar de gemiddelde thuisgebruiker niet vrolijk van wordt. Hier zit wel degelijk een gat in de markt, maar zo groot is die gat ook weer niet: als het niet rendabel is gaat niemand het aanbieden.

Goedkoopste voor de consument blijft alles zelf doen, probleem is dat dat bij hoge dichtheden gewoon niet goed werkt. En dan maar afgeven op kut-ISP, kut-apparatuur etc etc :')

Soittakaa Paranoid!


  • haik01
  • Registratie: Januari 2007
  • Laatst online: 13-06-2018
Wat dion zegt: Het blijft gezeik als het niet werkt. Klopt, ook high end professioneel spul (zoals Cisco, HPE, Juniper etc...) gaan ook kapot en hebben onderhoud nodig. (maar goed, de Cisco Meraki die bij een klant hangt werkt al 3 jaar zonder enige probleem. "Het werkt gewoon!").

Daarom, makkelijker iedereen een kabeltje (één UTP aansluiting), en dan mogen ze zelf een router / AP etc.... neerzetten. En als de zooi "niet snel" is, dan is het "probleem" van de gebruiker, en niet de schuld van "het internet"..... (want bekabeld haal je gewoon de snelheid die je hoort te krijgen....).... Tja.... hoe zou dat nou komen....

  • DJSmiley
  • Registratie: Mei 2000
  • Laatst online: 13:47

DJSmiley

Moderator Internet & Netwerken
dion_b schreef op maandag 2 oktober 2017 @ 15:29:
[...]


Enige kanttekening is dat je met zoveel SSIDs moet zorgen dat je de overhead door al die beacons beperkt door de laagste data rates uit te zetten (sowieso best practice, schakel hoe dan ook 1, 2, 5.5, 6, en 9 uit) en ws is het ook handig om de beacon interval van 100 naar 200ms te verhogen. Dan heb je met 8 SSID's per kanaal alsnog maar 1/4 van de overhead die je met default settings met een enkele SSID zou hebben.
Met een Aerohive (bv) kun je meerdere PSK keys maken, en adhv de key de user het juiste vlan in sturen. Dan heb je gewoon 1 SSID.

Een Unifi kan zoiets volgens mij ook, met Radius kun je een user-VLAN meegeven.
https://help.ubnt.com/hc/...outing-Switching-Hardware
Within UniFi controller v5, and subsequent releases, you will be able to use RADIUS controlled VLANs with UniFi APs and Switches. Instead of defining a VLAN, you enable this within the RADIUS profile.
Elke huurder een eigen key en dus eigen subnet, zowel bekabeld als wifi. Kunnen ze ook airplayen enz tussen wifi en wired.

Losse AP's wil je niet. Gebruiker een netwerkkabeltje geven en succes... resulteert in een wirwar van wifi gebruik en totaal geen controle meer over het spectrum.

Zoals Dion_B al aangeeft: Zeker met de 2.4Ghz wil je niet in elke ruimte een AP hebben. Voor 5Ghz zou dat kunnen, mits goed geconfigureerd (zodat ze echt minimaal zenden) maar dan nog...
Sitesurvey is de eerste stap.

  • salgera
  • Registratie: Mei 2002
  • Laatst online: 23-09-2021
drie van acht schreef op maandag 2 oktober 2017 @ 14:54:
Het kan nog simpeler: Poortjes op de centrale switch zo instellen dat ze wel allemaal met de fritzbox mogen praten, maar niet met elkaar. Dit heet "protected port", en je hoeft er geen vlan-gymnastiek voor uit te voeren. Dit is wat de handleiding voor jouw GS724Tv4, erover zegt:


[...]


Is dat te simpel en als verschillende IPadressen niet te krijgen zijn kun je wellicht nog een routertje pakken dat verschillende subnetten achter een- en dezelfde NAT-laag kan plakken. Desnoods een pfsense doosje neerzetten, wellicht met genoeg poorten en anders met alle vlans op de lijn en je switch dat weer laten uitsplitsen. Dat zijn dan inderdaad port-based vlans. Nadeel is dat je vlans (port-based of trunked) weer aanelkaar moet routeren en dus met zowel vlans als subnetten bezig moet. Dus ik zou eerst naar dat protected port feature kijken.
Dank voor al jullie reactie, top! d:)b
Door ziekte kon ik niet eerder reageren. Als ik mij weer beter voel, ga ik bovenstaande reactie allereerst uitproberen.
We wonen trouwens in een nieuwbouwpand waardoor signalen niet gemakkelijk door muren gaan ivm gewapend beton.

  • drie van acht
  • Registratie: December 2015
  • Niet online
Je kan dat overstraalrisico mischien nog wat beperken met richtantennes, bv 180 of 90 graden uitstralingsveld en "met z'n rug" naar de concurrentie. Als je APs met externe sprietjes hebt kan dat ook weer supergoedkoop: De freeantennas.com windsurfer is tien minuutjes knip- en plakwerk en werkt heel aardig (mits je de spriet netjes in het brandpunt weet te krijgen).

Persoonlijk zou ik 'b' uitzetten, de eurokanalen aanzetten, en 1,5,9,13 proberen, al wil je de 13 mischien reserveren voor mensen die de knop "eurokanalen aan" op hun wifi weten te vinden. Je kan ook alles op "automatisch" en "energiebesparen" zetten ('b' wel uit) en hopen dat dat goed gaat. En zoveel mogelijk op de draad zetten, dat is altijd stabieler. De moeite van een keer een kabeltje leggen naar een bureautje is de reductie in frustratie eigenlijk altijd waard. Client switches heb je al, in die APs in bridge mode.

Maar zoals upthread al gezegd sowieso een goed idee om eens te kijken wat er verder nog in de lucht zit, waar de storingsrisicos zijn, en zo verder. Ook als dat nu (nog) geen probleem lijkt, een beetje een idee is altijd goed.

En zorg dat je de hele setup netjes documenteert. Hoeft maar een paar velletjes in een klapper te zijn, als het er maar is. Settings met reden, beheerswachtwoorden, storings- en contractnummers ISP, en zo verder. Wil je het mooi doen en heb je de discipline om 't in te vullen, plak je er een incidentlog aan vast.

Oh, en "netwerk delen" kan natuurlijk door bijvoorbeeld een NAS aan een non-protected poort te hangen, dan kan iedereen er bij. Je kan ook een USB stick in die fritzbox steken en het bestandsdelen aanzetten en je bent al een heel eind. Als je daar precieze controle over wil, dat kan zelfs ook door met "freetz" op een stock samba over te gaan, maar dat opzetten is serieus knutselwerk. Een servertje als NAS optuigen is simpeler. Dus, mogelijkheden genoeg.

  • salgera
  • Registratie: Mei 2002
  • Laatst online: 23-09-2021
Nogmaals bedankt allemaal. Het antwoord van 'drie van acht' blijkt een prima en eenvoudige oplossing te zijn.

Nog een vraagje: is zo'n apart subnet (/29) nu met deze oplossing niet meer nodig?

[Voor 28% gewijzigd door salgera op 07-10-2017 17:22. Reden: vraag toegevoegd]


  • DJSmiley
  • Registratie: Mei 2000
  • Laatst online: 13:47

DJSmiley

Moderator Internet & Netwerken
salgera schreef op zaterdag 7 oktober 2017 @ 17:18:
Nogmaals bedankt allemaal. Het antwoord van 'drie van acht' blijkt een prima en eenvoudige oplossing te zijn.

Nog een vraagje: is zo'n apart subnet (/29) nu met deze oplossing niet meer nodig?
Ligt eraan wat je wilt bereiken. Je hebt nu iig scheiding tussen de diverse gebruikers, maar dat is wel wat basaal. Liefst wil je wat slimmer hebben, ook beveiliging tegen loopjes enz, en wat bandbreedte beheersing. Nu kan 1 gebruiker nog wel de handel onderuit trekken.

Een /29 is een mooiere oplossing met het oog op logging. Als er nu iemand kiddypr0n of whatever voor stouts doet staan ze bij de eigenaar van de verbinding. En die kan niets verder bewijzen dat hij het niet was, want er is geen log.
Met een /29 kun je iedereen een eigen IP geven (naja, 5 personen) en dan is het simpel te traceren wie/wat doet.
Ook bij abusemeldingen is het dan makkelijk te zien waar de ellende vandaan komt als je afgesloten bent. Tevens kan men zelf indien gewenst portforwardings maken enz.
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee