Internet delen met de buren. Gescheiden LAN?

DieterKoblenz schreef op dinsdag 10 oktober 2017 @ 11:27:
Ik wil graag het internet delen met de buren. Op dit moment gebruik ik internet van Ziggo...

je weet dat wat jij wilt, bij Ziggo niet is toegestaan?

Zoals vanaalten al aangeeft, AV van Ziggo:

11.8 U mag het signaal dat u van Ziggo ontvangt niet
openbaar maken, verveelvoudigen, doorleveren,
delen of doorlijnen met andere huishoudens.

Anders kun je idd met VLANs werken. Moet je dit wel goed inregelen met FW rules.

Moeilijk te bewijzen met een sterk draadloos signaal dat je oppakt van de buren met je mobiel, als de hoofdbewoner van dat andere adres niet op dat net zit en zijn kids en vrouw wel.
(je komt bijelkaar over de vloer immers)

Maar idd een kabel leggen zou hard te maken zijn en mag niet.

[ Voor 21% gewijzigd door Mel33 op 10-10-2017 12:46 ]

Heb je hier iets aan:

Internet delen met buurman - 2 gescheiden vlan's
jayjay1990 in "Internet delen met Buurman"

Kwa performance maakt het nauwelijks uit of je 1 of 2 (V)LAN's aan je router hebt hangen. Het zware werk is het NATten, en daar veranderd niets aan.
De impact van een extra dhcp server is alleen wat extra geheugengebruik.

Kan je niet de ziggo-router weer als router gebruiken, en jij daar rechtstreeks achter, en jouw eigen router als Access Point (dus zonder DHCP) en dat hij achter 1 van de kabels van de Ziggo router een eigen router plaatst (met DHCP aan). Om dubbel NAT te voorkomen zet je het ip van zijn router in de DMZ-reeks. Zodat elke connectie naar die IP wordt toegestaan en pas weer wordt tegengehouden door zijn router.

Da's een stuk goedkoper dan allemaal VLAN spul te kopen. Kan me voorstellen dat je Ziggo deelt vanwege kostenbesparing. Beetje sneu als je dat meteen teniet doet met duur spul kopen hiervoor.

[ Voor 19% gewijzigd door MsG op 10-10-2017 13:28 ]

MsG schreef op dinsdag 10 oktober 2017 @ 13:28:
Kan je niet de ziggo-router weer als router gebruiken, en jij daar rechtstreeks achter, en jouw eigen router als Access Point (dus zonder DHCP) en dat hij achter 1 van de kabels van de Ziggo router een eigen router plaatst (met DHCP aan). Om dubbel NAT te voorkomen zet je het ip van zijn router in de DMZ-reeks. Zodat elke connectie naar die IP wordt toegestaan en pas weer wordt tegengehouden door zijn router.

Dan kan de buurman juist in zijn netwerk. De router van de buurman maakt dan immers deel uit van de lan van de TS. Hij zou juist zelf achter de tweede router moeten gaan zitten om dat te voorkomen!

MsG schreef op dinsdag 10 oktober 2017 @ 13:28:
Da's een stuk goedkoper dan allemaal VLAN spul te kopen. Kan me voorstellen dat je Ziggo deelt vanwege kostenbesparing. Beetje sneu als je dat meteen teniet doet met duur spul kopen hiervoor.

Met de juiste router en de juiste firmware kan een consumenten router prima 2 lan netwerken hebben. Beiden (v)lan netwerken kan je dan aan verschillende lan-poorten toewijzen. Daarna kun je aan die lan-poorten weer gewoon met access points en switches werken. Zolang je geen trunk aanbied via de poort naar zo'n apparaat zonder 802.1q, kun je volgens mij zonder vlan support werken. Niet alle netwerkapparatuur hoeft 802.1q te ondersteunen, echter zal zo'n apparaat dan niet in beiden netwerken kunnen hangen.

Groentjuh schreef op dinsdag 10 oktober 2017 @ 13:49:
[...]

Dan kan de buurman juist in zijn netwerk. De router van de buurman maakt dan immers deel uit van de lan van de TS. Hij zou juist zelf achter de tweede router moeten gaan zitten om dat te voorkomen!

De router van de buurman zorgt dan toch gewoon voor zijn eigen subnet? Als de buurman netjes alles achter die router van hem plaatst kan apparatuur daar niet zomaar bij toch? Pas als hij rechtstreeks een apparaat op de LAN-kabel achter de eerste ziggo-router zou zetten is daar toch sprake van? Lijkt me dat je enkel de kosten split met iemand die je enigszins vertrouwd? :-P

[...]


Met de juiste router en de juiste firmware kan een consumenten router prima 2 lan netwerken hebben. Beiden (v)lan netwerken kan je dan aan verschillende lan-poorten toewijzen. Daarna kun je aan die lan-poorten weer gewoon met access points en switches werken. Zolang je geen trunk aanbeid via de poort kun je volgens mij zonder vlan support werken. Niet alle netwerkapparatuur hoeft 802.1q te ondersteunen, echter zal zo'n apparaat dan niet in beiden netwerken kunnen hangen.

@MsG, ik kan je het volgende voorbeeld geven:

Router ziggo heeft binnen het lan-segment 192.168.178.1 en geeft een ip uit de range 192.168.178.0/24 aan iedereen, die daarom vraagt.
De computer van de TS hangt aan de ziggo router en krijgt van de ziggo router 192.168.178.2.
De router van de buurman hangt met de wan poort ook aan de ziggo router en krijgt van de ziggo router 192.168.178.3.
Router van de buurman heeft binnen het lan-segment 10.0.0.1 en geeft een ip uit de range 10.0.0.0/24 aan iedereen, die daarom vraagt.
De computer van de buurman hangt aan zijn eigen router en krijgt van de router van de buurman dan 10.0.0.2.

Als de computer van de buurman naar de computer naar de TS wil, dan kan dat.
De computer van de buurman wil iets sturen naar 192.168.178.2. Dat valt buiten het netwerk 10.0.0.0/24, wat deze computer kent. Daarom stuurt deze computer het naar de gateway. De gateway is de router van de buurman. Deze router kent de netwerken 192.168.178.0/24 en 10.0.0.0/24. Daarin valt 192.168.178.2 wel, dus deze router stuurt dat via de NAT door naar 192.168.178.2! De computer van de TS ziet daardoor dat dat packet van 192.168.178.3 komt en kan daarnaartoe pakketjes terugsturen, want de NAT van de router van de buurman stuurt dat dan weer correct door naar zijn computer op 10.0.0.2.

De computer van de TS kan in die situatie geen pakketjes sturen naar 10.0.0.2. 10.0.0.2 valt niet binnen 192.168.178.0/24, dus stuurt de computer van de TS het pakket naar zijn gateway; de ziggo router. De ziggo router kent 10.0.0.0/24 ook niet en gooit het pakket weg of gooit het naar zijn gateway. In ieder geval komt het niet bij de router van de buurman aan. Mocht dat wel gebeuren, dan weet die router niet naar welk adres dit pakketje moet ivm NAT.

@Groentjuh Bedankt voor de uitleg, dat verheldert wel wat. Maar in redelijkheid zou je dus kunnen stellen dat die methode dus wel veilig is voor situaties waarbij je elkaar wel kent? Want als de buurman alleen naar de TS kan pingen maar de TS kan nooit iets terugsturen dan kan de buurman in de praktijk toch helemaal niet bij de TS? Bijvoorbeeld netwerkshares vereisen bidirectioneel contact lijkt me?

@MsG de buurman kan een verbinding met de computer van de TS beginnen, omdat hij door een NAT moet om naar de computer van de TS te gaan. Zodra die verbinding er is, kan de computer van de TS via de router van de buurman wel antwoorden!

10.0.0.2 --> 10.0.0.1 = gateway --> 192.168.178.3 (ivm met NAT) --> 192.168.178.2

en dan terug 192.168.178.2 --> 192.168.178.3 (, want volgens 192.168.178.2 kwam daar het pakket vandaan; niet van 10.0.0.2) --> 10.0.0.1 (ivm met NAT) -> 10.0.0.2 (, want in de NAT tabel stond dat)

Groentjuh schreef op dinsdag 10 oktober 2017 @ 14:56:
@MsG de buurman kan een verbinding met de computer van de TS beginnen, omdat hij door een NAT moet om naar de computer van de TS te gaan. Zodra die verbinding er is, kan de computer van de TS via de router van de buurman wel antwoorden!

10.0.0.2 --> 10.0.0.1 = gateway --> 192.168.178.3 (ivm met NAT) --> 192.168.178.2

en dan terug 192.168.178.2 --> 192.168.178.3 (, want volgens 192.168.178.2 kwam daar het pakket vandaan; niet van 10.0.0.2) --> 10.0.0.1 (ivm met NAT) -> 10.0.0.2 (, want in de NAT tabel stond dat)

Samengevat kun je dus wèl vanachter de router een verbinding naar een host in de dmz initiëren, maar omgekeerd niet. Dus dan wil je twee routers: ééntje voor de TS en z'n gezin en ééntje voor de buren. De dmz bestaat dan uit drie hosts: de wan ports van beide routers en de lan port van het ziggo modem/router (die staat dus niet meer in bridge mode)

Jammer dat 't niet mag

Zet bv. een Mikrotik in. één poort voor buurman, en de rest van de poorten voor jou. Desnoods kan je die poorten vermenigvuldigen door bv een switch (goedkope) erachter te plaatsen.

Mikrotik heb je in verschillende smaken. Mét en zonder WiFi (2,4 of 5 GHz). Met en zonder LTE backup etc.... Zeer betaalbaar.

Het is niet makkelijk om in te stellen, maar er zijn tig voorbeelden ( al dan niet met Youtube begeleiding).

Zodoende kan je twee netwerken maken, zonder dat ze elkaar "zien en ruiken". Ik heb zo'n systeem in een kerk hangen. WiFi voor publiek, en LAN voor vaste PC's, bibliotheek, administratie etc.... en de WiFi gasten kunnen niet op het LAN gedeelte komen, en visa versa. Één poort op de Mikrotik heeft dienst als service (voor mij), maar ik beheer dit meestal remote via een VPN.