Glasvezel internet delen maar wel gescheiden netwerken

ik weet niet hoe je huis in elkaar zit, maar is het niet handig om iedere gebruiker te verplichten een eigen router aan te laten schaffen ?

dan doet iedereen wat ie wil in woonruimte met zijn eigen netwerk , zonder dat hij een ander kan storen
gluren bij de buren zit er dan 99% kans niet meer in

bijkomstig kan jij als "admin" instellen dat enkel zijn router een ip adres krijgt (dhcp lijst aanleggen in de fritzbox).

ijske schreef op maandag 2 oktober 2017 @ 13:34:
ik weet niet hoe je huis in elkaar zit, maar is het niet handig om iedere gebruiker te verplichten een eigen router aan te laten schaffen ?

dan doet iedereen wat ie wil in woonruimte met zijn eigen netwerk , zonder dat hij een ander kan storen
gluren bij de buren zit er dan 99% kans niet meer in

bijkomstig kan jij als "admin" instellen dat enkel zijn router een ip adres krijgt (dhcp lijst aanleggen in de fritzbox).

Simpele en pragmatische oplossing inderdaad.

Nadeel is dat je daardoor wel dubbel NAT verplicht (tenzij je op die glasvezelverbinding meerdere publieke IPs kan regelen en elke huishouden zijn eigen publieke IP kan toekennen), wat niet altijd even prettig is voor sommige toepassingen.

Een oplossing met meer geavanceerde centrale router/switch die een en ander opdeelt in van elkaar gescheiden VLANs is dan netter, maar vereist wel het gezamenlijk aanschaffen (en instellen / onderhouden) van die centrale apparatuur.

Je zou eens kunnen vragen of je een /28 kunt krijgen bij XS4ALL, dan heeft iedereen zijn eigen IP-adres. (Ze bieden wel een /29 voor een tientje.)

Makkelijkst met huidige apparatuur.
- De individuele routers uit bridge halen en daadwerkelijk als router instellen.
- DHCP en/of Fixed IP alleen toewijzen aan de routers.
- Optie aan/uitvinken dat clients wel/niet met elkaar kunnen communiceren (zit niet bij mijn fritz, zit in de netwerk instellingen ergens)

Orion84 schreef op maandag 2 oktober 2017 @ 13:43:
[...]

Een oplossing met meer geavanceerde centrale router/switch die een en ander opdeelt in van elkaar gescheiden VLANs is dan netter, maar vereist wel het gezamenlijk aanschaffen (en instellen / onderhouden) van die centrale apparatuur.

goede oplossing indien er meerdere kabels per gebruiker bij de centrale switch aankomen
dat zal Selgera eerst moeten uitzoeken :-)

vlanning is niet iets voor beginnende gebruikers, en dat overlaten aan een professional gaat kosten meenemen.
een switch vervangen en een cisco/netgear routertje instellen lukt toch best veel mensen

Orion heeft gelijk.

Je moet zelf te rade gaan: Is er iemand die een VLAN switch en ditto router kan configureren en bij kan houden?

Als dat niet zo is, zou ik het uitbesteden. Zo duur hoeft het niet te zijn. Een Mikrotik router van rond de 80 euro moet voldoende zijn. En je kan dan de Fritzbox weglaten, of laten staan (als je telefonie afneemt bij xs4all).
Dubbele NAT kan de Mikrotik omzeilen.
De huidige switch voldoet perfect. Laten hangen (of laten staan)....

Je moet je alleen even goed nadenken wat je doet met de WiFi.

[ Voor 6% gewijzigd door Anoniem: 203842 op 02-10-2017 14:11 ]

Je bent er toch gewoon al als je die wifi-routers die nu in bridgemodus staan weer in router-modus zet waardoor ze allemaal zelf een DHCP-server worden voor de apparaten die hier weer achter zitten?

In hoeverre is eventuele dubbele NAT bij regulier gebruik een daadwerkelijk probleem? Is er geen optie dat de eind-router bij de bewoner zijn UPNP-request nog weer doorstuurt naar de hoofdrouter?

Anoniem: 203842 schreef op maandag 2 oktober 2017 @ 14:11:
Je moet je alleen even goed nadenken wat je doet met de WiFi.

IS dat niet heel simpel?

Er zijn 8 huishoudens, router met portbased vlan ondersteuning op 8 poorten aanschaffen en ieder huishouden krijgt 1 poort waarop ze een wireless AP en/of switch aansluiten. Instellen dat vlans niet bij elkaar kunnen kijken en klaar.

Apparatuur in de verschillende huishoudens hoeft niet eens vlan te ondersteunen, kan dus gewoon consumenten meuk zijn.

edit: En euh, geen UPNP is toch alleen maar een verbetering @MsG ?

[ Voor 6% gewijzigd door Anoniem: 63072 op 02-10-2017 14:22 ]

@Anoniem: 63072
Nou daar verschillen de meningen sterk over. In een normale consumentensituatie heb je genoeg apparatuur en software die een open poortje wil, veel plezier om dat in je flat als IT-nerd voor iedereen te mogen regelen, zeker met wisselende IP's, dan wordt je een halve IT-dienst. Ik heb het gewoon altijd aan, maar dat moet ieder maar voor zich bepalen :-P.

Ik heb hier een Mikrotik hangen die alles regelt (VLAN's, DHCP etc...) en er is dus GEEN dubbele NAT. Gewoon plat netwerk met één subnet.

De WiFi kan je óf gezamenlijk organiseren, óf per persoon laten oplossen. Verder heeft iemand niets meer nodig, zolang er maar enkele NAT is.

interessant.... Misschien wel een oplossing ja. Zonder extra hardware "zou' het kunnen wat drie van acht zegt.

Anoniem: 63072 schreef op maandag 2 oktober 2017 @ 14:20:
[...]

IS dat niet heel simpel?

Er zijn 8 huishoudens, router met portbased vlan ondersteuning op 8 poorten aanschaffen en ieder huishouden krijgt 1 poort waarop ze een wireless AP en/of switch aansluiten. Instellen dat vlans niet bij elkaar kunnen kijken en klaar.

Apparatuur in de verschillende huishoudens hoeft niet eens vlan te ondersteunen, kan dus gewoon consumenten meuk zijn.

Op layer 3 en hoger is het inderdaad zo simpel, maar zodra je het over WiFi hebt is "one AP per room" zeker niet de optimale oplossing.

Bedenk dat je in 2.4GHz maar 3 non-overlapping kanalen hebt en met gemiddelde consumentenapparatuur in de 5GHz ook max 4 (non-DFS). Met 8 woningen in zelfde pand ga je elk beschikbare 5GHz-kanaal twee keer gebruiken en elk beschikbare 2.4GHz-kanaal twee tot drie keer.

Als er sprake is van stevige bouwmaterialen die WiFi effectief dempen (gewapend beton, metaalhoudende isolatielagen) kan dat goed gaan, maar dan nog wil je zorgen dat je op zelfde verdieping in ieder geval verschillende kanalen gebruikt worden. En mijn eerste beeld van een pand in A'dam met 8 appartementen erin is een monumentaal 19e-eeuws geval met enkelsteens muren en voeren van hout waar WiFi volledig doorheen straalt. Met 8 AP's zonder enige vorm van management ben je je eigen ergste vijand, zeker als je dit lukraak neerplempt en hoopt dat het gaat werken.

Indien mijn vermoeden van bouwvorm klopt wil je dit anders aanvliegen: zoals al geroepen een VLAN per appartement, en daar niet alleen de bedrade aansluiting (port based) op aansluiten, maar ook een trunk naar de AP's, waar je meerdere VLANs op hebt, en dan een SSID per VLAN toewijzen. Zo heb je overal in huis genoeg - maar niet teveel! - signaal en overal kun je verbinden met je eigen draadloze netwerk (zelfs als je bij de buren op bezoek bent of even bij de voordeur/in de tuin bezig bent).

Enige kanttekening is dat je met zoveel SSIDs moet zorgen dat je de overhead door al die beacons beperkt door de laagste data rates uit te zetten (sowieso best practice, schakel hoe dan ook 1, 2, 5.5, 6, en 9 uit) en ws is het ook handig om de beacon interval van 100 naar 200ms te verhogen. Dan heb je met 8 SSID's per kanaal alsnog maar 1/4 van de overhead die je met default settings met een enkele SSID zou hebben.


Bovenstaande klinkt ingewikkeld, maar met bijv Ubiquiti's UniFi kun je het simpel point & click instellen als zowel router als AP's uit de UniFi-reeks komen. Enige beperking daar is dat je max 4 SSID's per AP kunt draaien, dus je zou het gebouw in tweeen moeten splitsen (4 appartementen op ene reeks AP's, 4 op de andere). Meer enterprise-grade spul zou trouwens wel 8 aan VLANs gekoppelde SSID's per AP aankunnen, maar dat is een stuk duurder.

Slechts één probleem: je hebt nu al geld uitgegeven aan dat Draytek geval en aan al die consumentenrouters die nu in "bridge" (feitelijk: AP) mode draaien. Dat is onverstandig geweest, want op unmanaged spul kun je het in zo'n high-density omgeving niet goed aanpakken, dus als je dat wel wilt kunnen de al aangeschafte spullen in de kliko

_{* dion_b mompelt iets over 'bezint eer ge begint'}

Ik zou de FB in bridge zetten en/of er een ubiquiti of mikrotik neerzetten. Hier is de FB eigenlijk niet voor bedoeld. Je kan in je privédomein aparte private-subnets en vlans in (laten) richten, per interface een DHCP pool. Dan zie je intern elkaars verkeer niet. Managed switches aan de deur en ubiquiti ap's voor de wifi.
Hou de FB wel achter de hand, deze gaat XS4ALL vragen als de lijn faalt.

dion_b schreef op maandag 2 oktober 2017 @ 15:29:
[...]

Op layer 3 en hoger is het inderdaad zo simpel, maar zodra je het over WiFi hebt is "one AP per room" zeker niet de optimale oplossing.

Bedenk dat je in 2.4GHz maar 3 non-overlapping kanalen hebt en met gemiddelde consumentenapparatuur in de 5GHz ook max 4 (non-DFS). Met 8 woningen in zelfde pand ga je elk beschikbare 5GHz-kanaal twee keer gebruiken en elk beschikbare 2.4GHz-kanaal twee tot drie keer.

Als er sprake is van stevige bouwmaterialen die WiFi effectief dempen (gewapend beton, metaalhoudende isolatielagen) kan dat goed gaan, maar dan nog wil je zorgen dat je op zelfde verdieping in ieder geval verschillende kanalen gebruikt worden. En mijn eerste beeld van een pand in A'dam met 8 appartementen erin is een monumentaal 19e-eeuws geval met enkelsteens muren en voeren van hout waar WiFi volledig doorheen straalt. Met 8 AP's zonder enige vorm van management ben je je eigen ergste vijand, zeker als je dit lukraak neerplempt en hoopt dat het gaat werken.

Indien mijn vermoeden van bouwvorm klopt wil je dit anders aanvliegen: zoals al geroepen een VLAN per appartement, en daar niet alleen de bedrade aansluiting (port based) op aansluiten, maar ook een trunk naar de AP's, waar je meerdere VLANs op hebt, en dan een SSID per VLAN toewijzen. Zo heb je overal in huis genoeg - maar niet teveel! - signaal en overal kun je verbinden met je eigen draadloze netwerk (zelfs als je bij de buren op bezoek bent of even bij de voordeur/in de tuin bezig bent).

Enige kanttekening is dat je met zoveel SSIDs moet zorgen dat je de overhead door al die beacons beperkt door de laagste data rates uit te zetten (sowieso best practice, schakel hoe dan ook 1, 2, 5.5, 6, en 9 uit) en ws is het ook handig om de beacon interval van 100 naar 200ms te verhogen. Dan heb je met 8 SSID's per kanaal alsnog maar 1/4 van de overhead die je met default settings met een enkele SSID zou hebben.


Bovenstaande klinkt ingewikkeld, maar met bijv Ubiquiti's UniFi kun je het simpel point & click instellen als zowel router als AP's uit de UniFi-reeks komen. Enige beperking daar is dat je max 4 SSID's per AP kunt draaien, dus je zou het gebouw in tweeen moeten splitsen (4 appartementen op ene reeks AP's, 4 op de andere). Meer enterprise-grade spul zou trouwens wel 8 aan VLANs gekoppelde SSID's per AP aankunnen, maar dat is een stuk duurder.

Slechts één probleem: je hebt nu al geld uitgegeven aan dat Draytek geval en aan al die consumentenrouters die nu in "bridge" (feitelijk: AP) mode draaien. Dat is onverstandig geweest, want op unmanaged spul kun je het in zo'n high-density omgeving niet goed aanpakken, dus als je dat wel wilt kunnen de al aangeschafte spullen in de kliko

_{* dion_b mompelt iets over 'bezint eer ge begint'}

Dit is zeker de meest complete oplossing. Over de invulling valt altijd te twisten.

Bedenk goed hoe je het inricht is van belang, teken het uit (netwerktekening).

[ Voor 79% gewijzigd door Lampiz op 03-10-2017 08:15 ]

Ik zie dit soort topic erg veel. Is er nou geen provider of bedrijf gespecialiseerd in het aanleggen van internet in dit soort woonconstructies?
Dat moet toch aantrekkelijk zijn voor de verhuurder, het uitbesteden van de verantwoordelijkheid?

jeroen3 schreef op dinsdag 3 oktober 2017 @ 08:11:
Ik zie dit soort topic erg veel. Is er nou geen provider of bedrijf gespecialiseerd in het aanleggen van internet in dit soort woonconstructies?
Dat moet toch aantrekkelijk zijn voor de verhuurder, het uitbesteden van de verantwoordelijkheid?

Die zijn er absoluut, maar kosten geld

jeroen3 schreef op dinsdag 3 oktober 2017 @ 08:11:
Ik zie dit soort topic erg veel. Is er nou geen provider of bedrijf gespecialiseerd in het aanleggen van internet in dit soort woonconstructies?
Dat moet toch aantrekkelijk zijn voor de verhuurder, het uitbesteden van de verantwoordelijkheid?

Mensen weten op allerlei manieren te slopen wat jij met veel tijd en moeite hebt gemaakt.
Je wordt voor elk wissewasje gebeld. Vraag maar aan electriciens in je omgeving.

RGAT schreef op dinsdag 3 oktober 2017 @ 08:17:
[...]


Die zijn er absoluut, maar kosten geld

Off-topic:
En terecht, mensen slopen meer dan dat ze je uiteindelijk voor betalen.
Vaak klooien ze zo lang door, dat het meer tijd kost om het te fixxen dan dat je het (op)nieuw neerzet.
Maar dan ben je behoorlijk duur bla bla. Terwijl als ze je gewoon gebeld hadden met de vraag had je ze of geadviseerd of het zelf kort opgelost. Minder duur etc.
Het neerzetten is vaak niet zo'n punt, meer als het stuk is wie gaat het maken. Als oud medewerker van XS4ALL kan ik al stellen wij niet . Glas op de lijn met FB eraan is supported, de rest zoekt de klant maar uit.
En als het stuk is, wie gaat de ICT'er betalen? Dit staat of valt met hele goed afspraken in het gebouw wanneer de kosten moeten worden gedekt door wie. Als een zoon/dochterlief van de bewoners gaat klooien en iedereen hun verbinding eruit gooit, wie gaat dat betalen . Maar als het eenmaal werkt, dan kan je ook wel echt genieten van een mooie lijn.

jeroen3 schreef op dinsdag 3 oktober 2017 @ 08:11:
Ik zie dit soort topic erg veel. Is er nou geen provider of bedrijf gespecialiseerd in het aanleggen van internet in dit soort woonconstructies?

Die zijn er zoals gezegd zeker, maar gratis zijn ze allerminst. Dat gezegd, er is IMHO een redelijk gat in de markt voor diensten specifiek op enigszins normale thuissituaties en niet bedrijven. Mocht ik op korte termijn m'n baan kwijtraken zonder gelijk een alternatief te hebben, dan staat kijken wat in dat gat concreet te verdienen valt hoog op de lijst van overbruggingsmogelijkheden tot ik weer iets bij een groot bedrijf vind

Dat moet toch aantrekkelijk zijn voor de verhuurder, het uitbesteden van de verantwoordelijkheid?

Mwoeah, dat hebben ze nu al gedaan: hier is een glasaansluiting, zoek het lekker zelf uit

Heikel punt is en blijft beheer. Daar wil een verhuurder niet aan (kost geld maar vooral ook gezeik), en de kosten die daarbij komen kijken schrikken particulieren ook af.

Neem bijv zo'n UniFi setup. De hardware zou waarschijnlijk goedkoper zijn dan wat er nu neergeplempt is (beetje afhankelijk van hoe cheap-ass die individuele router zijn), maar dan ben je er nog niet, je moet de boel fysiek installeren en beetje net wegwerken, en vervolgens configureren. Dat is paar uur werk bij elkaar. Dan nog zijn de kosten te overzien, en als de huidige "routers" best duur zijn (EUR 130+) dan zou het nog steeds goedkoper kunnen zijn om iemand a EUR 100/u te betalen om een USG + 4 UAP's te installeren ipv 8 stuks AC68U bijv.

Dan draait het. En als degene die installeert/configureert z'n werk goed gedaan heeft draait het ook goed. Halleluiah! Maar er komt een moment waarop iets mis gaat. Een AP kan kapot gaan, een kabel kan los schieten of kapot raken. Door gepruts of bug kan iets terug naar fabrieksinstellingen vliegen. De omgeving kan veranderen. Of een bewoner vergeet z'n logingegevens. Oh en de internetverbinding kan down zijn, maar dat wordt dan onterecht als "WiFi-probleem" gelogged.
Wat doe je dan? Je moet maar hopen dat degene die de boel installeerde nog beschikbaar is, nog weet wat hij gedaan heeft bij installatie en dan mag je uurtje factuurtje weer flink wat aftikken.

Alternatief is een dienst waar je een bedrag per maand betaalt om ontzorgd te worden. Probleem is dus dat dat meestal een bedrag is waar de gemiddelde thuisgebruiker niet vrolijk van wordt. Hier zit wel degelijk een gat in de markt, maar zo groot is die gat ook weer niet: als het niet rendabel is gaat niemand het aanbieden.

Goedkoopste voor de consument blijft alles zelf doen, probleem is dat dat bij hoge dichtheden gewoon niet goed werkt. En dan maar afgeven op kut-ISP, kut-apparatuur etc etc

Wat dion zegt: Het blijft gezeik als het niet werkt. Klopt, ook high end professioneel spul (zoals Cisco, HPE, Juniper etc...) gaan ook kapot en hebben onderhoud nodig. (maar goed, de Cisco Meraki die bij een klant hangt werkt al 3 jaar zonder enige probleem. "Het werkt gewoon!").

Daarom, makkelijker iedereen een kabeltje (één UTP aansluiting), en dan mogen ze zelf een router / AP etc.... neerzetten. En als de zooi "niet snel" is, dan is het "probleem" van de gebruiker, en niet de schuld van "het internet"..... (want bekabeld haal je gewoon de snelheid die je hoort te krijgen....).... Tja.... hoe zou dat nou komen....

dion_b schreef op maandag 2 oktober 2017 @ 15:29:
[...]


Enige kanttekening is dat je met zoveel SSIDs moet zorgen dat je de overhead door al die beacons beperkt door de laagste data rates uit te zetten (sowieso best practice, schakel hoe dan ook 1, 2, 5.5, 6, en 9 uit) en ws is het ook handig om de beacon interval van 100 naar 200ms te verhogen. Dan heb je met 8 SSID's per kanaal alsnog maar 1/4 van de overhead die je met default settings met een enkele SSID zou hebben.

Met een Aerohive (bv) kun je meerdere PSK keys maken, en adhv de key de user het juiste vlan in sturen. Dan heb je gewoon 1 SSID.

Een Unifi kan zoiets volgens mij ook, met Radius kun je een user-VLAN meegeven.
https://help.ubnt.com/hc/...outing-Switching-Hardware

Within UniFi controller v5, and subsequent releases, you will be able to use RADIUS controlled VLANs with UniFi APs and Switches. Instead of defining a VLAN, you enable this within the RADIUS profile.

Elke huurder een eigen key en dus eigen subnet, zowel bekabeld als wifi. Kunnen ze ook airplayen enz tussen wifi en wired.

Losse AP's wil je niet. Gebruiker een netwerkkabeltje geven en succes... resulteert in een wirwar van wifi gebruik en totaal geen controle meer over het spectrum.

Zoals Dion_B al aangeeft: Zeker met de 2.4Ghz wil je niet in elke ruimte een AP hebben. Voor 5Ghz zou dat kunnen, mits goed geconfigureerd (zodat ze echt minimaal zenden) maar dan nog...
Sitesurvey is de eerste stap.

Je kan dat overstraalrisico mischien nog wat beperken met richtantennes, bv 180 of 90 graden uitstralingsveld en "met z'n rug" naar de concurrentie. Als je APs met externe sprietjes hebt kan dat ook weer supergoedkoop: De freeantennas.com windsurfer is tien minuutjes knip- en plakwerk en werkt heel aardig (mits je de spriet netjes in het brandpunt weet te krijgen).

Persoonlijk zou ik 'b' uitzetten, de eurokanalen aanzetten, en 1,5,9,13 proberen, al wil je de 13 mischien reserveren voor mensen die de knop "eurokanalen aan" op hun wifi weten te vinden. Je kan ook alles op "automatisch" en "energiebesparen" zetten ('b' wel uit) en hopen dat dat goed gaat. En zoveel mogelijk op de draad zetten, dat is altijd stabieler. De moeite van een keer een kabeltje leggen naar een bureautje is de reductie in frustratie eigenlijk altijd waard. Client switches heb je al, in die APs in bridge mode.

Maar zoals upthread al gezegd sowieso een goed idee om eens te kijken wat er verder nog in de lucht zit, waar de storingsrisicos zijn, en zo verder. Ook als dat nu (nog) geen probleem lijkt, een beetje een idee is altijd goed.

En zorg dat je de hele setup netjes documenteert. Hoeft maar een paar velletjes in een klapper te zijn, als het er maar is. Settings met reden, beheerswachtwoorden, storings- en contractnummers ISP, en zo verder. Wil je het mooi doen en heb je de discipline om 't in te vullen, plak je er een incidentlog aan vast.

Oh, en "netwerk delen" kan natuurlijk door bijvoorbeeld een NAS aan een non-protected poort te hangen, dan kan iedereen er bij. Je kan ook een USB stick in die fritzbox steken en het bestandsdelen aanzetten en je bent al een heel eind. Als je daar precieze controle over wil, dat kan zelfs ook door met "freetz" op een stock samba over te gaan, maar dat opzetten is serieus knutselwerk. Een servertje als NAS optuigen is simpeler. Dus, mogelijkheden genoeg.

salgera schreef op zaterdag 7 oktober 2017 @ 17:18:
Nogmaals bedankt allemaal. Het antwoord van 'drie van acht' blijkt een prima en eenvoudige oplossing te zijn.

Nog een vraagje: is zo'n apart subnet (/29) nu met deze oplossing niet meer nodig?

Ligt eraan wat je wilt bereiken. Je hebt nu iig scheiding tussen de diverse gebruikers, maar dat is wel wat basaal. Liefst wil je wat slimmer hebben, ook beveiliging tegen loopjes enz, en wat bandbreedte beheersing. Nu kan 1 gebruiker nog wel de handel onderuit trekken.

Een /29 is een mooiere oplossing met het oog op logging. Als er nu iemand kiddypr0n of whatever voor stouts doet staan ze bij de eigenaar van de verbinding. En die kan niets verder bewijzen dat hij het niet was, want er is geen log.
Met een /29 kun je iedereen een eigen IP geven (naja, 5 personen) en dan is het simpel te traceren wie/wat doet.
Ook bij abusemeldingen is het dan makkelijk te zien waar de ellende vandaan komt als je afgesloten bent. Tevens kan men zelf indien gewenst portforwardings maken enz.