Zakelijk glasvezel met 8 ip adressen

Van die 8 adressen is de laagste het netwerk-adres en de hoogste het broadcast-adres. Deze 2 kan je eigenlijk niet gebruiken.

Hou je er 6 over. Je router stel je met in met één van die adressen. Bij de hosts stel je één de overgebleven 5 adressen in met als gateway adres van de router. Dit kan je natuurlijk ook door een DHCP-server laten doen als je wil.

Denk er wel over na waar je deze adressen inzet. Eigenlijk wil je dit alleen voor servers wie ook van “buiten” beschikbaar moeten zijn. En je moet het met je firewall goed regelen.

[ Voor 23% gewijzigd door ewoutw op 24-11-2018 20:47 ]

Gewoon het WAN ip adres static instellen ipv dhcp.
Indien er maar 1 uitgang is op het modem van de glasvezelprovider kan je hier een switch op zetten

Zullen we anders beginnen bij het begin? Wat is precies het doel dat je probeert te bereiken?

YoshiBignose schreef op zondag 25 november 2018 @ 10:26:
Ik wil meerdere ip adressen gebruiken. Dus zeg 5 computers per ip. Eigenlijk alleen voor browsen e.d., dus als eentje bijvoorbeeld gebanned wordt, dan kan de rest gewoon door.

Dan zul je toch een wat slimmere router moeten hebben. Op een Mikrotik kun je dan gewoon het subnet zetten en bepaalde groepen of PC's via een eigen IP naar buiten laten gaan.

Mikrotiks worden hier op GoT vaak genoemd, aangezien die, ook voor de hobbyist, goed betaalbaar zijn.
Zakelijk ook een prima optie, afhankelijk van de internetsnelheid kun je dan een 3011, 4011 of 1009 nemen, die zijn allemaal net wat krachtiger.

Configuratie is echter wel wat lastiger. Ik zou eens met jullie systeembeheerder of ICT partij overleggen wat hun adviseren. Als t niet je vakgebied is kun je het beter laten doen, dan heb je ook een partij achter de hand die storingen fatsoenlijk kan debuggen.

Zakelijk zie je vaak ook dingen als Cisco of Fortigate. Die kunnen het ook. Daarnaast heb je dan ook mogelijkheden als IPS en andere security features. Veel uitgebreider dan bv een Mikrotik. Alleen is dat een wat hogere prijsklasse, dus daarom zie je hier die wat minder langskomen. Maar zakeljik zijn dat ook prima keuzes.

Overigens vind ik je reden wat dubieus. Waarom wil je via aparte IP's naar buiten? Als je gebanned wordt.. Misschien is een goede firewall die de security regelt (en dus voorkomt dat je gebanned wordt) een betere oplossing. Dan los je iets op. Lijkt me beter dan achter de feiten aanlopen door de gevolgen te proberen te beperken.

Ik zou eens kijken naar een FortiGate, inderdaad iets prijziger dan Mikrotik, maar wel een stuk meer functionaliteit en heel veel makkelijker te configureren.
Aangezien jullie nu genoeg hebben aan een consumentenrouter, zou een 50E of 60E al voldoende moeten zijn.

Een Edgerouter is ook een optie. Naar mijn mening net een tikje makkelijker te beheren dan een Mikrotik en ook zeker betaalbare kwaliteit

DJSmiley schreef op zondag 25 november 2018 @ 14:25:
[...]
Dan zul je toch een wat slimmere router moeten hebben. Op een Mikrotik kun je dan gewoon het subnet zetten en bepaalde groepen of PC's via een eigen IP naar buiten laten gaan.

Een router is geen oplossing, wat hij nodig heeft is een Firewall die het mogelijk maakt om meerdere IP ranges naar de buitenkant toe te NAT'en. Je kan bijvoorbeeld een pfSense doos aanschaffen, of zelf bouwen. Dan heb je de maximale doorvoer van je glasvezel, of je koopt een firewall, let wel op dat Interface to Interface wel 1Gbps is.

Houdt er rekening mee, als een 8 IP reeks hebt (dus een /29) dat de reeks als volgt is ingedeeld:
Adres 0: Netwerk
Adres 1: Gateway naar provider (dus adres 2-6 hebben dat als default gateway)
Adres 2-6: (5 stuks te gebruiken)
Adres 7: Broadcast adres


Wat jij eigenlijk wil dus is:
PC 1-5 -> NAT -> extern IP adres 2
PC 6-10 -> NAT -> extern IP adres 3
PC 11-15 -> NAT -> extern IP adres 4
PC 16-20 -> NAT -> extern IP adres 5
PC 21-25 -> NAT -> extern IP adres 6

Intern kan je dat eenvoudig op te lossen door dus een firewall neer te zetten en deze op 5 IP nummers te laten luisteren, deze 5 krijgen ieder een eigen NAT naar buiten toe, dit is geen issue, mogen zelfs in zelfde IP reeks komen, zelfs UPnP werkt gewoon.

Wim-Bart schreef op maandag 26 november 2018 @ 01:17:
[...]


Een router is geen oplossing

Een router is wel degelijk een oplossing, maar zeker weten niet de beste.

TommyboyNL schreef op maandag 26 november 2018 @ 01:27:
[...]

Een router is wel degelijk een oplossing, maar zeker weten niet de beste.

Een router is ook géén oplossing omdat de TS hier stelt dat 'ie verder wil kunnen "internetten" op 4 van de 5 PC's welke op die éne NAT router aangesloten zijn. Die éne NAT router claimt een adres uit het /29 netwerk wat 'ie aangeboden krijgt vanuit z'n provider en gaat vervolgens een NAT doen naar alles wat er achter aangesloten wordt.

Als er één adres uit dat /29 netwerk geblokkeerd wordt bij de andere partij dan is ALLES achter die NAT router geblokkeerd voor die partij (én kan 'ie 't daar vervolgens nog 5 keer proberen totdat z'n "publieke" adressen uit het /29 netwerk van de provider op zijn).

TommyboyNL schreef op maandag 26 november 2018 @ 01:27:
[...]

Een router is wel degelijk een oplossing, maar zeker weten niet de beste.

Een router kan je niet gebruiken omdat je NAT moet hebben. Een router zit al in de aansluiting (dat is de default gateway die je op krijgt van je /29). Omdat een IP reeks uit een RFC 1918 blok niet op internet te routeren is moet je dus een NAT doen. Een router (zegt de naam al) zorgt voor routering, waarbij bron en doel IP adres onaangetast blijft. Een Firewall doet echter wel NAT. TS wil meerdere PC's achter device hebben, dan moet je dus NAT doen en is een router de verkeerde oplossing.

Wat en hoe het werkt is vaak afhankelijk van de provider vraag daar eerst na wat geschikte routers zijn. Verder wordt het over het algemeen gebruikt om meerdere servers op basis van IP bereikbaar te maken. Wat jij wil kan ook wel maar simpel is het niet en op een Nighthawk gaat het zeker niet werken. Je kan ook naar Draytek kijjken die kunnen het zeker ook.

Wim-Bart schreef op maandag 26 november 2018 @ 01:38:
[...]


Een router kan je niet gebruiken omdat je NAT moet hebben. Een router zit al in de aansluiting (dat is de default gateway die je op krijgt van je /29). Omdat een IP reeks uit een RFC 1918 blok niet op internet te routeren is moet je dus een NAT doen. Een router (zegt de naam al) zorgt voor routering, waarbij bron en doel IP adres onaangetast blijft. Een Firewall doet echter wel NAT. TS wil meerdere PC's achter device hebben, dan moet je dus NAT doen en is een router de verkeerde oplossing.

Mwoah, dit wordt een semantische discussie. Er zijn plenty routers die ook NAT en firewall kunnen doen. De bekendste daarvan die hier van toepassing kunnen zijn, zijn hierboven al genoemd.

Maar ik ben het wel met opmerking eens dat het een tikje bijzondere setup is, voor als je gebanned wordt. Wat moet er achter deze IPs gebeuren dan?

Dit klinkt niet eens als nuttig gebruik van IP-adressen maar misbruik van traffic. Iets wat een goede proxy/firewal en aanverwante exceptionlist, gewoon moet kunnen oplossen.

En vanzelfsprekend een stukje bewustwording bij de medewerkers dat "handelingen die normaliter tot een ban leiden", je maar mooi thuis doet en niet op de zaak?

Overigens Microtik is geen router, het is gewoon een Multi network Linux machine met Router Software en Firewall Software. Het probleem is dat ze het wel een router noemen, dus is mijn vertrouwen in hun kunde en in de veiligheid van hun producten niet zo groot

Had liever dat ze het een "Netwerk Appliance" hadden genoemd met Router en Firewall functionaliteit. Maar tegenwoordig is het nogal in de mode om namen maar te pas en onpas toe te passen.

YoshiBignose schreef op zondag 25 november 2018 @ 10:26:
Ik wil meerdere ip adressen gebruiken. Dus zeg 5 computers per ip. Eigenlijk alleen voor browsen e.d., dus als eentje bijvoorbeeld gebanned wordt, dan kan de rest gewoon door.

Waarom zou je dit willen en uberhaubt "gebanned" worden... waar dan? Online games?

Zakelijk glasvezel gaat vaak gepaard met een firewall (Fortinet FortiGate / of vergelijkbaar)

Wim-Bart schreef op maandag 26 november 2018 @ 01:38:
[...]


Een router kan je niet gebruiken omdat je NAT moet hebben. Een router zit al in de aansluiting (dat is de default gateway die je op krijgt van je /29). Omdat een IP reeks uit een RFC 1918 blok niet op internet te routeren is moet je dus een NAT doen. Een router (zegt de naam al) zorgt voor routering, waarbij bron en doel IP adres onaangetast blijft. Een Firewall doet echter wel NAT. TS wil meerdere PC's achter device hebben, dan moet je dus NAT doen en is een router de verkeerde oplossing.

Psssst, geheimpje: Routers kunnen ook NATten. Niet doorvertellen hoor!
Pak voor de gein eens een CCNA boek erbij, en er zal een wereld voor je open gaan..

TommyboyNL schreef op maandag 26 november 2018 @ 17:33:
[...]

Psssst, geheimpje: Routers kunnen ook NATten. Niet doorvertellen hoor!
Pak voor de gein eens een CCNA boek erbij, en er zal een wereld voor je open gaan..

Ze noemen het een router. Maar een router NAT niet die routeert. En ja, Cisco heeft een zooi "broadband" spul gemaakt onder de naam router, heb er nog wat thuis in een doos liggen van de 700 en 800 series.

En ja, tegenwoordig kunnen routers ook NAT'en maar het is en blijft een halfbakken oplossing want NAT zonder echter Firewall is pertinent onveilig.

Wim-Bart schreef op dinsdag 27 november 2018 @ 13:58:
[...]


Ze noemen het een router. Maar een router NAT niet die routeert. En ja, Cisco heeft een zooi "broadband" spul gemaakt onder de naam router, heb er nog wat thuis in een doos liggen van de 700 en 800 series.

En ja, tegenwoordig kunnen routers ook NAT'en maar het is en blijft een halfbakken oplossing want NAT zonder echter Firewall is pertinent onveilig.

De routers die in dit topic werden aangeraden doen dat allemaal keurig. Jij vindt dat dat eigenlijk geen routers mogen worden genoemd, maar hoe noem jij ze dan wel? Een "Multinetwork Linux machine met softwarematige oplossing met ingebouwde NAT en Firewall, en routering" is best een mondvol iedere keer.

valkenier schreef op zondag 2 december 2018 @ 18:13:
[...]


De routers die in dit topic werden aangeraden doen dat allemaal keurig. Jij vindt dat dat eigenlijk geen routers mogen worden genoemd, maar hoe noem jij ze dan wel? Een "Multinetwork Linux machine met softwarematige oplossing met ingebouwde NAT en Firewall, en routering" is best een mondvol iedere keer.

Daarom houd ik ik ook van Cisco ASA's, oudere type Watchguards en andere niet linux gebaseerde firewall devices. Zodra er een desktop/server os gebruikt wordt om daar een firewall van te maken moet je je zorgen gaan maken. Omdat er, ondanks het OPEN, geen hond naar de code kijkt van Linux en er nog steeds bugs gevonden worden die er al 15 jaar in zitten. En daar baseert men dan een security device op. Zo iets als een fundering van een torenflat bouwen van ongewapend beton met verkeerde mengverhouding.

Wim-Bart schreef op maandag 26 november 2018 @ 13:31:
Overigens Microtik is geen router, het is gewoon een Multi network Linux machine met Router Software en Firewall Software. Het probleem is dat ze het wel een router noemen, dus is mijn vertrouwen in hun kunde en in de veiligheid van hun producten niet zo groot

Had liever dat ze het een "Netwerk Appliance" hadden genoemd met Router en Firewall functionaliteit. Maar tegenwoordig is het nogal in de mode om namen maar te pas en onpas toe te passen.

Een Microtik is wel degelijk (ook) een router. Het routeerd, dus is het een router.
Toevallig kan het ook firewallen, NATten en andere zaken maar hey, er zijn meer apparaten die functionaliteit combineren. Een Fortigate word verkocht als firewall, wel degelijk is het méér dan alleen een firewall en kan het routeren, virusfilteren, VPN terminator spelen, NAT doen en nog heel veel meer. (Ben je nu ook je vertrouwen in FortiNet kwijt omdat ze een apparaat een firewall noemen, terwijl het meer is dan dat?)

Wat betreft Fortigate, leuk spul, maar ik weet niet wat de budgetten en behoeftes van TS zijn. Het kán flink overkill zijn en een Fortigate wil je mét supportcontract en liefst ook een partij met verstand van zaken afnemen. Met alleen de aanschafprijs ben je er dus zeker niet.

@YoshiBignose Wat wil je er mee? Waarom is er gekozen voor een subnet en niet voor een enkel IP? Wat is de use-case en hoe is jullie ICT geregeld? Is er een supportpartij? (Of ben jij de ICTer?)

[ Voor 3% gewijzigd door unezra op 02-12-2018 18:53 ]