Gedeelde internetverbinding wooncomplex

Je zal er een eigen router tussen moeten hangen of moeilijk willen gaan doen met een managed switch. Het klinkt alsof je die gekochte router momenteel enkel als accesspoint gebruikt.

[ Voor 31% gewijzigd door D4NG3R op 06-08-2018 17:08 ]

Wat voor router heb je en wat voor apparatuur is er aanwezig? Het liefste regel je centraal dat er (minstens) 6 gescheiden netwerken zijn.

Is jouw router via de WAN poort op de rest van het netwerk aangesloten? Het is opzich niet erg dat jij netwerken kan zien via je WAN poort. Zolang die netwerken maar niet jouw netwerk in kunnen.

Als jij de enige bent die hier hinder door ervaart kan je toch gewoon je router in de dmz zetten?

lasharor schreef op maandag 6 augustus 2018 @ 17:11:
Als jij de enige bent die hier hinder door ervaart kan je toch gewoon je router in de dmz zetten?

Ik denk dat de TS óók een beetje mee wil denken met de gebouwbeheerder en alle andere huurders? Siert 'm overigens wel dat 'ie dat wil doen.

Je zou eens aan de provider kunnen vragen (of beter, de verhuurder dit laten doen) of ze een /28 kunnen leveren. Dan kan iedereen een eigen IP-adres krijgen.

Het klinkt mij in de oren alsof er een houtje touwtje netwerk is gemaakt, waarbij er geen logische scheiding plaats vind tussen de 'woningen'.

Mijn advies: plaats een firewall tussen de internet router en het bestaande netwerk en ga werken met VLAN's. Dan kun je thuis een eigen switch c.q. accespoint gebruiken en hebben jullie geen last van elkaar.

En hoe zit het met de verantwoordelijkheden? Wat als de buur verboden dingen gaat doen op jouw verbinding? Ik zou er nog eens goed over na denken met wie ik mijn verbinding deel.

@vdb819 Je zou aan de verhuurder kunnen vragen of 'ie er een degelijke L3 Switch (=router) neer wil zetten maar dan is daarna de vraag: WIE gaat dát ding 24/7 beheren??

Ik doe overigens even de aanname dat er maar een simpele "Consumergrade" lijn binnen komt van bijv. Ziggo óf een (v)DSL leverancier waarbij je maar één IPv4-Adres krijgt en dus geen /29 netwerk met 8 publieke adressen?

[ Voor 49% gewijzigd door Will_M op 06-08-2018 17:37 ]

@vdb819 Precies, en als die actie dan op jouw naam staat?

Napsju schreef op maandag 6 augustus 2018 @ 17:40:
@vdb819 Precies, en als die actie dan op jouw naam staat?

Niks aan't handje.... WAN-IP staat op naam van de verhuurder en de huidige "NAT Router" van 'm logt waarschijnlijk precies "0,NIKS" aan de LAN kant

[ Voor 5% gewijzigd door Will_M op 06-08-2018 17:52 ]

vdb819 schreef op maandag 6 augustus 2018 @ 17:26:
Als ik mijn router via de WAN poort aansluit werkt het internet helemaal niet meer, weet niet precies waarom. Op dit moment is mijn router aangesloten op LAN poort 1.

Met die methode sloop je het netwerk!

Je moet hem aansluiten op de WAN poort. En je moet zorgen dat de 2 netwerken een andere IP-reeks gebruiken voor het LAN segment. Dit moet je aanpassen op jouw router, DHCP / LAN IP reeks. De gebouw-verhuurder heeft niets te maken met jouw netwerk.

Je zal waarschijnlijk een IP als 192.168.1.x/24 op de WAN poort krijgen. Je moet dan zorgen dat jouw router op b.v. 192.168.255.x/24 werkt. Dan werkt het zonder rare problemen.

[ Voor 18% gewijzigd door Verwijderd op 06-08-2018 17:59 ]

Verwijderd schreef op maandag 6 augustus 2018 @ 17:55:
[...]

Met die methode sloop je het netwerk!

Je moet hem aansluiten op de WAN poort. En je moet zorgen dat de 2 netwerken een andere IP-reeks gebruiken voor het LAN segment. Dit moet je aanpassen op jouw router, DHCP / LAN IP reeks. De gebouw-verhuurder heeft niets te maken met jouw netwerk.

Je zal waarschijnlijk een IP als 192.168.1.x/24 op de WAN poort krijgen. Je moet dan zorgen dat jouw router op b.v. 192.168.255.x/24 werkt. Dan werkt het zonder rare problemen.

Véél (bijna alle) consumergrade "routers" welke je kunt kopen accepteren zo'n Class-C adres niet op de WAN poort middels DHCP en het statisch instellen daarvan is vaak ook een No-No. Nou staat er hier nog nergens iets vermeldt aangaande de in gebruik zijnde apparatuur bij zowel de verhuurder als ook bij de TS maar ik doe wederom de aanname dat de TS géén router heeft welke door hem/haar zelf van een adres voorzien kan worden op de WAN poort....

Eigenlijk moet de TS dit probleem gewoon bij de verhuurder aan kaarten en daarbij misschien aangeven dat HIJ er zorg voor moet dragen dat er een /29 netwerk komt + een L3 router welke die 8 adressen kan toebedelen aan verschillende VLAN's.

[ Voor 11% gewijzigd door Will_M op 06-08-2018 18:12 ]

Waar KingOfDos op doelt is dat de problemen die ts ondervindt bij router gebruik mogelijk komen doordat zowel de wan als lan kant hetzelfde subnet gebruiken, waardoor nat niet lekker werkt. Daarom dat hij aangaf de lan kant aan te passen naar een andere range.

De simpelste manier is om een ("web"-)managed switch tussen CPE en de zes aansluitingen te introduceren en de zes poortjes in port protection modus te zetten. Dat is dus wel een meterkast-wijziging en zul je wellicht via de VvE oid moeten spelen, maar het argument van "ik wil graag netwerkscheiding" is wellicht ook voor medebewoners wel aantrekkelijk?

Als je het alleen voor jezelf wil doen dan kun je kijken of je je wr1043ndv2 niet als packet filter* kan inzetten. Liefst zonder NAT en dan oftewel routed met proxy arp (of evt. RIP als de CPE dat ook doet, of statisch als je daar toegang toe hebt om het in te stellen) oftewel als "filtering bridge", maar ik weet even niet of dd-wrt dat kan. Dit is wel redelijk geavanceerde truukerij, dus een hoop inlezen.

* "firewall" in de volksmond, maar we hebben alleen <=L3 functionaliteit nodig hier.

@Verwijderd Ik zou (stel dat ik TS was) als TS eigenlijk ook gewoon willen dat er érgens wat aan logging gedaan werd. Met de switchpoorten in protected mode kun je dan wel niet meer aan elkaars netwerken komen (?... MAC Spoofing / ARP Poisoning) maar stél dat er daarna alsnog wat fout gaat op het netwerk van de verhuurder dan is daar niemand verantwoordelijke voor te stellen BEHALVE de verhuurder omdat HIJ de eigenaar is van 't énige WAN IP en er vervolgens nergens iets op papier /in een log staat aangaande de feitelijke "eindgebruiker" waar de "error" ontstaan is....

wimmel_1 schreef op maandag 6 augustus 2018 @ 18:07:
[...]


Véél (bijna alle) consumergrade "routers" welke je kunt kopen accepteren zo'n Class-C adres niet op de WAN poort middels DHCP en het statisch instellen daarvan is vaak ook een No-No. Nou staat er hier nog nergens iets vermeldt aangaande de in gebruik zijnde apparatuur bij zowel de verhuurder als ook bij de TS maar ik doe wederom de aanname dat de TS géén router heeft welke door hem/haar zelf van een adres voorzien kan worden op de WAN poort....

Eigenlijk moet de TS dit probleem gewoon bij de verhuurder aan kaarten en daarbij misschien aangeven dat HIJ er zorg voor moet dragen dat er een /29 netwerk komt + een L3 router welke die 8 adressen kan toebedelen aan verschillende VLAN's.

Class C adressen op de WAN poort kan elke router, anders zou een flink deel van het internet niet werken. Wat je waarschijnlijk bedoelt is dat ze geen IP's binnen de private ranges toestaan, iets wat ik nog nooit ben tegen gekomen, heb je een voorbeeld van een router die dat doet?
Daarbij hoeft TS niks met de WAN poort te doen, je kan die wel leuk een statisch IP geven maar dat lost geen probleem op. TS zou op de LAN kant van zijn router het subnet moeten veranderen, dat heeft niks met de WAN poort te maken aangezien dat een ander netwerk is en onder de router van de verhuurder valt...
De WAN poort op 192.168.2.1 zetten terwijl die op het 192.168.1.0/24 subnet hangt zorgt er alleen maar voor dat je geen verbinding meer hebt

RGAT schreef op maandag 6 augustus 2018 @ 18:40:
[...]


Class C adressen op de WAN poort kan elke router, anders zou een flink deel van het internet niet werken. Wat je waarschijnlijk bedoelt is dat ze geen IP's binnen de private ranges toestaan, iets wat ik nog nooit ben tegen gekomen, heb je een voorbeeld van een router die dat doet?
Daarbij hoeft TS niks met de WAN poort te doen, je kan die wel leuk een statisch IP geven maar dat lost geen probleem op. TS zou op de LAN kant van zijn router het subnet moeten veranderen, dat heeft niks met de WAN poort te maken aangezien dat een ander netwerk is en onder de router van de verhuurder valt...
De WAN poort op 192.168.2.1 zetten terwijl die op het 192.168.1.0/24 subnet hangt zorgt er alleen maar voor dat je geen verbinding meer hebt

Ik (be)noemde 't Class C segment toevallig omdat de router van de verhuurder naar alle waarschijnlijkheid in dát segment z'n LAN (Private) adressen aan het uitdelen is (192.168.0.0/0). Een adres in die range is/ wás op de spullen van Netgear bijv. nooit op de WAN poort in te stellen.

Maar: Waarom zou je als huurder met subnetten moeten gaan lopen klooien terwijl 't probleem qua scheiden van huurders (netwerken) volledig bij de verhuurder ligt?

wimmel_1 schreef op maandag 6 augustus 2018 @ 19:10:
[...]


Ik (be)noemde 't Class C segment toevallig omdat de router van de verhuurder naar alle waarschijnlijkheid in dát segment z'n LAN (Private) adressen aan het uitdelen is (192.168.0.0/0). Een adres in die range is/ wás op de spullen van Netgear bijv. nooit op de WAN poort in te stellen.

Maar: Waarom zou je als huurder met subnetten moeten gaan lopen klooien terwijl 't probleem qua scheiden van huurders (netwerken) volledig bij de verhuurder ligt?

Heb op dit moment meerdere klanten met Netgear routers waar dat gewoon kan, zowel ProSafe als consumenten routers van ze?... Dat is volgens mij een bug of foutje geweest dan want ze kunnen het wel gewoon
Weet iig dat Asus, Draytek, Netgear, Ubiquiti (Unifi en EdgeMax), Fitzbox, Cisco, Ubee, Sweex, TP-Link, Arris, Siemens en zelfs Sitecom dit gewoon kunnen, ik had hier nog nooit iets over gehoord en kan er ook niets over vinden, zelfs niet bij Netgear specifiek? Mogelijk een firmware bug (waar Netgear wel eens vaker last van heeft to be fair) maar anders kan elke router dit gewoon.
In ieder geval moet je nooit een statisch IP buiten het subnet instellen voor normaal netwerk gebruik, zeker niet op de WAN poort van je router.

Waarom scheiden? Omdat als TS zijn router met de LAN poort op het netwerk gooit en DHCP aan laat je hele 'leuke' effecten gaat krijgen. Het kan de verhuurder motiveren het netwerk aan te pakken als iedereen steeds klaagt dubbele IP's te hebben
In dat geval zal jouw interne netwerk dus een andere range moeten hebben dan het netwerk van je verhuurder, die verhuurder gaat niet vandaag nog een goede setup plaatsen met public /28 oid en goede client isolation dus in de tussentijd is dit een goed begin om er zelf wat voor te regelen, maar dan moet dat wel goed gebeuren natuurlijk.

192.168.0.0/0 bestaat niet, 192.168.0.0/16 is de range die je bedoelt

wimmel_1 schreef op maandag 6 augustus 2018 @ 19:10:
Ik (be)noemde 't Class C segment toevallig

Classes zijn dood sinds 1993. Zie CIDR

omdat de router van de verhuurder naar alle waarschijnlijkheid in dát segment z'n LAN (Private) adressen aan het uitdelen is (192.168.0.0/0). Een adres in die range is/ wás op de spullen van Netgear bijv. nooit op de WAN poort in te stellen.

Weet je het zeker? Want /0 is erg groot, lijkt me zeer onwaarschijnlijk dat het gebruikt is.

Maar: Waarom zou je als huurder met subnetten moeten gaan lopen klooien terwijl 't probleem qua scheiden van huurders (netwerken) volledig bij de verhuurder ligt?

De verhuurder is "more or less" een CGN (al valt dit buiten de CGN reeks).

De verhuurder levert een ethernet met een RFC1918 adres, daar is niets mis mee. Je wil gewoon geen overlappende IP-reeks gebruiken in een dubbel NAT scenario. Anders kan NAT achter NAT gewoonweg niet (oke, 1:1 NAT even daargelaten, want dat doen consumentenrouters niet).

vdb819 schreef op maandag 6 augustus 2018 @ 17:26:
[...]


Ik heb een eigen router hiertussen gehangen. Maar die gebruik ik enkel als access point. Om een of andere reden zorgt elke andere modus voor problemen. Dan werkt het internet veelal helemaal niet meer.

Het gedeelde netwerk hangt aan de WAN poort en je eigen netwerk hang je aan de LAN poort. De router vormt op dat moment de scheiding tussen beide netwerken, bij voorkeur zou je het IP welke je router krijgt van het gedeelde netwerk ook nog eens in DMZ gooien - maar bij veel routers krijgen alle andere IP's dan geen verbinding meer, dus dat zou je vooraf moeten testen.

[ Voor 25% gewijzigd door D4NG3R op 06-08-2018 19:57 ]

D4NG3R schreef op maandag 6 augustus 2018 @ 19:56:
[...]

Het gedeelde netwerk hangt aan de WAN poort en je eigen netwerk hang je aan de LAN poort.

Jup, exact.

Configureer eerst het lokale netwerk (zonder WAN kabel) zodat de router een andere RFC1918 reeks gebruikt op het LAN segment (dan het wooncomplex).

Daarna ziet je route er ongeveer zo uit:
192.168.255.1 (Thuis router van @vdb819)
192.168.1.1 (Gebouw router)
12.34.56.78 (ISP)
87.65.43.21 (...)

Je wil tenslotte niet dat andere bewoners zomaar bij je apparatuur kunnen (NAS, TV, etc).

bij voorkeur zou je het IP welke je router krijgt van het gedeelde netwerk ook nog eens in DMZ gooien

1) DMZ term is misbruikt. Dat werdt/wordt gebruikt als los netwerkzone/segment voor externe services.
2) DMZ in SOHO-routers niet gebruiken (en de naam van die functie is FOUT). En blijkbaar is de consument dan te lui om decent poorten te forwarden (voor inkomend verkeer).

[ Voor 28% gewijzigd door Verwijderd op 06-08-2018 20:07 ]

Verwijderd schreef op maandag 6 augustus 2018 @ 20:01:
1) DMZ term is misbruikt. Dat werdt/wordt gebruikt als los netwerkzone/segment voor externe services.
2) DMZ in SOHO-routers niet gebruiken (en de naam van die functie is FOUT). En blijkbaar is de consument dan te lui om decent poorten te forwarden (voor inkomend verkeer).

In de praktijk geld dat op consumentenrouters bij DMZ alle poorten gewoonweg open worden gegooid richting 1 IP en dat er geen NAT op dat adres word toegepast. Iets wat de TS graag moet willen gezien de opstelling met 2 routers.

Werken met een dubbele NAT is behoorlijk rottig, zeker als je iets hebt draaien wat je van buitenaf wil kunnen bereiken of graag online games speelt.

[ Voor 10% gewijzigd door D4NG3R op 06-08-2018 20:07 ]

D4NG3R schreef op maandag 6 augustus 2018 @ 20:07:
[...]

In de praktijk geld dat op consumentenrouters bij DMZ alle poorten gewoonweg open worden gegooid richting 1 IP

Zie mijn URL's (edit voordat jij poste). De term is verkeerd, zou eerder "route all unforwarded traffic to internal IP" moeten heten.

En dat er geen NAT op dat adres word toegepast.

Er wordt zeker wel NAT toegepast, anders kan die host niet naar buiten praten. Het gaat puur om een "catch all" and forward richting 1 (single) IP.

Iets wat de TS graag moet willen gezien de opstelling met 2 routers.

Is nergens voor nodig.

[ Voor 13% gewijzigd door Verwijderd op 06-08-2018 20:09 ]

Verwijderd schreef op maandag 6 augustus 2018 @ 20:08:
Er wordt zeker wel NAT toegepast, anders kan die host niet naar buiten praten.

NAT word normaliter enkel toegepast wanneer er meerdere apparaten via 1 lijn naar buiten praten, die lijn word nu afgehandeld door de TS zijn eigen router.

[...]

Is nergens voor nodig.

Een dubbele NAT is extreem rottig, en vereist een bak extra werk wanneer er iets geforward moet worden.

D4NG3R schreef op maandag 6 augustus 2018 @ 20:09:
[...]

NAT word normaliter enkel toegepast wanneer er meerdere apparaten via 1 lijn naar buiten praten, die lijn word nu afgehandeld door de TS zijn eigen router.

Er zijn meerdere huurders. Er kan maar 1 unrouted forward zijn. Hoe los je dat op met het 1e netwerk (complex)?

Een dubbele NAT is extreem rottig, en vereist een bak extra werk wanneer er iets geforward moet worden.

Rottig? En hoe denk je dat het beheer van grote netwerken wordt uitgevoerd? Daar zit veel meer configuratie in. Ik zou niet wakker liggen van een entry in slechts 2 routers.

Zoveel werk is een incoming NAT entry op 2 routers niet. En het is de enige manier dat dit netjes gaat werken (netwerk achter netwerk). Ik betwijfel überhaupt of de TS wel admin heeft op de complex-router.

[ Voor 3% gewijzigd door Verwijderd op 06-08-2018 20:15 ]

D4NG3R schreef op maandag 6 augustus 2018 @ 20:07:
[...]
Werken met een dubbele NAT is behoorlijk rottig, zeker als je iets hebt draaien wat je van buitenaf wil kunnen bereiken of graag online games speelt.

Dit valt, in mijn ervaring, enorm mee. Ik heb jaren bewust een dubbele NAT situatie gedraaid thuis en heb daar nooit problemen door gehad. Elke online game die ik speelde (o.a. Dota 2, Overwatch, L4D2, om er maar een paar te noemen) werkten probleemloos.

Ik ben er ooit een discussietopic over gestart, omdat ik echt niet begreep/begrijp waarom mensen dit als een groot probleem zien (Discussie: welke problemen met 2 routers achter elkaar?). Als je servers wilt draaien die van buitenaf toegankelijk moeten zijn, dan moet inderdaad alles in 2 routers worden ingesteld, maar dat is het enige en is voor meeste mensen toch niet van toepassing. Dus als de de TS dat niet doet, is dit precies de (simpele) oplossing waar hij/zij naar op zoek is....

[ Voor 5% gewijzigd door Cpt.Morgan op 07-08-2018 11:27 ]

De rede dat 't vaak wel werkt is niet omdat 't simpel is maar omdat veel consumergrade routers standaard UPnP ondersteunen én het per definitie aan hebben staan.

In een volledig managed omgeving is het gebruik van UPnP zowat een doodzonde

wimmel_1 schreef op dinsdag 7 augustus 2018 @ 11:57:
De rede dat 't vaak wel werkt is niet omdat 't simpel is maar omdat veel consumergrade routers standaard UPnP ondersteunen én het per definitie aan hebben staan.

In een volledig managed omgeving is het gebruik van UPnP zowat een doodzonde

Met dat laatste ben ik het zeker eens , al is het maar de vraag of de TS daar naar op zoek is, of meer naar een praktische oplossing.

En daarnaast werken (iig op PC) veel games ook prima zonder UPnP open te hebben staan. Het hangt er dus ook vanaf welke games je speelt. De games die ik noemde gebruiken allemaal centrale servers, en dat werkt prima zonder UPnP (wat in mijn geval wel degelijk uit stond). En veel andere toepassingen werken ook prima met UPnP uit. Gaming consoles zijn wat lastiger hierin, zo heb ik begrepen, maar daar heb ik zelf geen ervaring mee.

[ Voor 11% gewijzigd door Cpt.Morgan op 07-08-2018 12:54 ]

wimmel_1 schreef op dinsdag 7 augustus 2018 @ 11:57:
De rede dat 't vaak wel werkt is niet omdat 't simpel is maar omdat veel consumergrade routers standaard UPnP ondersteunen én het per definitie aan hebben staan.

In een volledig managed omgeving is het gebruik van UPnP zowat een doodzonde

Maar we praten hier niet over een volledig managed omgeving. En TS heeft geen invloed op de 2de router, een portje openzetten op die router gaat hoogstwaarschijnlijk toch niet gebeuren omdat de verhuurder er geen verstand van heeft.

Gewoon die 2de router plaatsen dus en goed instellen.

wimmel_1 schreef op dinsdag 7 augustus 2018 @ 11:57:
De rede dat 't vaak wel werkt is niet omdat 't simpel is maar omdat veel consumergrade routers standaard UPnP ondersteunen én het per definitie aan hebben staan.

Snel UPnP uitzetten! Dan doe ik alsof ik het niet gelezen heb. Security issue by design!

Verwijderd schreef op dinsdag 7 augustus 2018 @ 17:00:
[...]

Snel UPnP uitzetten! Dan doe ik alsof ik het niet gelezen heb. Security issue by design!