Edgerouter Specifiek WAN adres gebruiken in portforwarding

Portforwarding hoef je niet te gebruiken. Je wilt een WAN aan een LAN adres koppelen een zogenaamde DMZ. Elk bedrijf er achter moet zijn eigen router gebruiken. Ik kan me niet voorstellen dat verschillende bedrijven hun internet security laten afhangen van een gedeelde router.

Exacte config kan ik je zo niet zeggen. Heb wel ervaring met 2 verschillende LAN's 1 WAN adres aan te bieden.

[ Voor 16% gewijzigd door Fairy op 08-03-2018 14:01 ]

Even afgaande op wat Fairy zegt, het is me uit de OP niet duidelijk of de bedrijven bij elkaar horen, of dat ze echt allemaal afzonderlijke bedrijven zijn.

Verder lijkt het me veel handige om voor elk netwerk een aparte VPN-server neer te zetten. Die luistert dan op de WAN-poort van dat specifieke bedrijf en geeft dan toegang tot het specifieke interne netwerk van dat bedrijf.
Alleen weet ik niet of een Edgerouter dat ondersteunt.

Verschillende VLAN interfaces maken, deze vlan interfaces koppelen aan de betreffende interfaces per klant (ik gok dat je een edgerouter gaat pakken met 8 verschillende ethernet poorten) koppelen.

Natuurlijk wel door middel van de firewall de verschillende VLANs scheiden van elkaar zodat ze niet makkelijk bij hun eigen data kunnen.

Voor VPN kun je waarschijnlijk meerdere L2TP VPN servers maken op de edgerouter welke gekoppeld worden aan de verschillende VLAN interfaces.

Snoeiman schreef op donderdag 8 maart 2018 @ 13:56:
Er zit een verhuizing aan de komen en we komen dan met meerdere bedrijven van ons op een adres te zitten. We willen graag 1 internet aansluiting gebruiken voor alle bedrijven, er zijn 8 vaste WAN ip adressen beschikbaar aan de "WAN" kant. Alle bedrijven gebruiken o.a. VPN, die ik graag goed wil forwarden naar de betreffende server van elk bedrijf afzonderlijk.

Ik wil graag een Ubiquiti Edgerouter PoE gaan gebruiken (het ervaring met de Lite versie) om zo elk bedrijf een eigen ethX poort te kunnen geven (met DHCP servers). Voor elk bedrijf kan ik A records aanmaken en elk verwijzen naar de beschikbare IP adressen (remote.bedrijf1.nl xxx.xxx.xxx.xx1, remote.bedrijf2.nl xxx.xxx.xxx.xx2, enz).

Mijn vraag is hoe ik m'n portforwarding moet instellen zodat als een VPN gebruiker van bedrijf1 deze naar de juiste server intern (laten we zeggen eth1 is netwerk bedrijf1) wordt geleid en als er een gebruiker van bedrijf2 deze naar de juiste server op eth2 (=bedrijf2) gaat, ook al gebruiken ze beide hetzelfde VPN protocol.

Hopelijk heb ik 't duidelijk kunnen uitleggen...

Forwarding op basis van D-NAT (filteren op interface eth+ & ip) + Firewall policies om uberhaupt die VPN verbindingen toe te staan. Dan heb je ook Source NAT nodig om te zorgen dat elk bedrijf over het goede IP forward.

Snoeiman schreef op donderdag 8 maart 2018 @ 14:27:
@Fairy en @Arjan A De bedrijven horen allemaal tot dezelfde group waarbij ik voor alle bedrijven het aanspreekpunt ben voor 't stukje IT. Elk bedrijf heeft (nu) een eigen VPN server.

Okee. De IT is dus centraal.

Is er een administratieve reden dat je verschillende IPadressen voor de verschilende VPN-eindpunten wil gebruiken? Wil je blijven vasthouden aan een VPN-server per bedrijf?

Je kan namelijk ook prima demultiplexen op basis van VPN-gebruikersaccount. Dat kan al met een VPN-server die "pootjes heeft" in alle (virtuele) bedrijfsnetwerken. Als je meerdere VPN-servers aan wil houden, je zet nu in essentie een IPadres neer om één poort te kunnen forwarden.

Het is me niet 1-2-3 duidelijk dat je VPNs ook wil termineren op je edgerouter, aangezien het kennelijk client-VPNs zijn en niet router-to-router VPNs. Dan is iets met wat meer cryptografische rekenkracht wellicht een beter idee.

Maargoed, ik zie hier en daar wat verwarring, dus een plaatje tekenen is wel een goed idee.

De "oude" edgerouter zijn toch relatief traag met VPN. Volgens mij kunnen ze het niet hardwarematig versnellen en ben je gelimiteerd tot ongeveer 20Mbit...

Misschien dat de nieuwere versies hier beter in zijn?

Je haalt dingen doorelkaar. Port forwarding vanaf verschillende IPadressen is niet wezenlijk anders dan port forwarding vanaf een enkel adres, behalve dan dat je niet meer impliciet "het adres van de WANkant" kan aannemen. Dus moet je expliciet zeggen welk extern IPadres je vanaf wil forwarden.

Het doel van zo'n forwarding is nog steeds een intern IPadres plus een poort. Niet een interface.

Waarom zou je met portforwarding werken als je 13 IP adressen tot je beschikking hebt en er twee bedrijven zijn? Ten eerste zou je kunnen downscalen naar 5 IP adressen, ten tweede kun je beter routeren ipv poorten forwarden.

Hoe zou ik het doen.

Situatie 1:

Als elk bedrijf een eigen router/firewall gebruikt kan je de WAN uplink wellicht ook gewoon in een apart vLAN gooien samen met de WAN poorten van alle routers. Dan zitten die gewoon lekker aan het grote boze internet vast zonder een dubbel NAT oplossing. Dan kan je dat eventueel gewoon op je managed L2 switch afhandelen waardoor je geen 'dure' poorten beschikbaar hoeft te hebben op je router/firewall.

Situatie 2:

Wanneer de aparte organisaties geen eigen routers/firewalls hebben, en het via 1 router zou moeten lopen dan zou ik static nat inzetten. Ik zou een DMZ vLAN maken met een eigen subnet (wat afwijkt van hetgeen wat bijv de VPN in gerouteerd word) zodat alle VPN servers een aparte DMZ interface in het betreffende vLAN beschikbaar hebben. Dan zou ik elk publiek IP met een static NAT doorzetten naar de DMZ adressen van de VPN servers.

Bij een static NAT hoeft je router geen port-translation te doen. Dat vind VPN een stuk fijner.

Je /29 subnet:

Let trouwens wel op dat je met een /29 inderdaad 8 adressen hebt, maar dat de eerste het netwerk adres is, de laatste het broadcast adres is en je dus een totaal van 6 bruikbare IP adressen overhoud. Plus dat je ergens nog een gateway kwijt moet.

[ Voor 4% gewijzigd door Appel op 09-03-2018 16:41 ]

Appel schreef op vrijdag 9 maart 2018 @ 16:40:
Je /29 subnet:

In de OP staat dat hij een /28 heeft. Beste is om inderdaad terug te schalen naar een /29. Spaart een klein beetje in kosten

Trommelrem schreef op vrijdag 9 maart 2018 @ 16:51:
[...]

In de OP staat dat hij een /28 heeft. Beste is om inderdaad terug te schalen naar een /29. Spaart een klein beetje in kosten

Dat lees ik niet terug. In de OP staat:

8 vaste WAN ip adressen

En in zijn netwerktekening heeft hij het over een /29. Een /29 is 8 adressen groot, echter niet alle 8 zijn bruikbaar.

Snoeiman schreef op vrijdag 9 maart 2018 @ 16:14:
@Verwijderd dank voor je toelichting, het gaat me vooral over hoe ik dan in de Edgerouter kan aangeven dat een expliciet extern IP-adres ge-forward moet worden naar een intern IP-adres (op welke Eth poort dan ook).

Wat ik dan niet goed snap (en daarom dit topic) hoe ik dan een poort kan forwarden die ik dan voor beide bedrijven wil/moet gebruiken het enige wat ik aan de buitenkant kan aangeven is een ander WAN IP-adres per bedrijf en hoe dit dan goed wordt "vertaalt" (op basis van poortnummer EN WAN IP-adres) door de EdgeRouter naar het betreffende interne IP-adres.

Dit is dan wat je wilt. Op publiek adres een DNAT rule met een bijbehorende firewall rule om verkeer toe te staan.
Geen hogere wiskunde in dit geval. Echter, ik vermoed ook dat je zomaar zou willen (anders verwoord dan dit zou je ook moeten doen) dat ze ook allen gehide worden achter verschillende publieke adressen. Als elke bedrijf een eigen ingang heeft, dan wil je ook dat ie dat als uitgang gebruikt. Hiervoor gebruik je dan SNAT regels met source subnet als criterium.

Appel schreef op vrijdag 9 maart 2018 @ 16:54:
[...]


Dat lees ik niet terug. In de OP staat:


[...]


En in zijn netwerktekening heeft hij het over een /29. Een /29 is 8 adressen groot, echter niet alle 8 zijn bruikbaar.

/28:

er zijn 8 vaste WAN ip adressen beschikbaar

Betreft dus een /28 (16, minus broadcast, netwerk en router).

[ Voor 7% gewijzigd door Trommelrem op 09-03-2018 18:58 ]