Fritzbox met gesegmenteerd LAN

donderdag 16 juli 2020 16:00

Acties:

0 Henk 'm!

Topicstarter

Ik overweeg om mijn Fritzbox LAN instellingen te veranderen naar een /22 netwerk
bijv> 192.168.200.0 met netmask 255.255.252.0
waarbij bijv. 192.168.200.0 /24 bestemd voor apparaten met vast IP adres
192.168.201.0 /24 via secundaire router naar IoT netwerk
192.168.202.0/24 via secundaire router naar test netwerk
192.168.203.0/24 bestemd voor DHCP range van primaire netwerk.
Heeft iemand daar ervaring mee?
Zijn er zaken om rekening mee te houden die niet uit de publieke documentatie blijken?
Ik denk te weten hoe ik het moet configureren. Ik ben vooral geinteresseerd in onverwachte beperkingen die niet uit de handleidingen blijken

donderdag 16 juli 2020 16:08

Acties:

0 Henk 'm!

BAJansen

Zou je kunnen delen hoe je dit denkt te configureren? Voor zover ik weet kun je met Fritzboxen weinig doen op het gebied van netwerksegmentatie, afgezien van het opzetten van een gastnetwerk.

Verder is het op het gebied van netwerksegmentatie niet nodig om aansluitende subnets of een overkoepelend subnet te gebruiken. Bij de meeste gevallen van netwerksegmentatie routeert je router tussen de verschillende subnets, en dan kun je prima 192.168.1.0/24 naast 172.16.34.0/26 gebruiken of wat je maar zou willen. Alleen als je via VPN tussen verschillende locaties wilt routeren zou een overkoepelend subnet toegevoegde waarde kunnen hebben.

donderdag 16 juli 2020 16:09

Acties:

0 Henk 'm!

MAX3400

XBL: OctagonQontrol

Maar ga je alles dan dezelfde DNS & gateway geven?

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

donderdag 16 juli 2020 16:22

Acties:

0 Henk 'm!

semantix4me

Topicstarter

Bij thuisnetwerk/netwerkinstelllingen/ IP-adressen stel je in (in dit voorbeeld)
IPv4 adres: 192.168.200.1 en subnetmasker 255.255.252.0
DHCP server wijst IP adressen toe van 192.168.203.2 tot 192.168.203.200
Aannemend dat de secundaire routers de vaste IP-adressen 192.168.200.2 en 192.168.200.3 krijgen bij
thuisnetwerk/netwerkinstellingen/IPv4 routes voeg je toe (in dit voorbeeld):
netwerk 192.168.201.0 subnetmasker 255.255.255.0 gateway 192.168.200.2 en
netwerk 192.168.202.0 subnetmasker 255.255.255.0 gateway 192.168.200.3.
Uiteraard moet je de secundaire routers ook aaangepast configureren; dat hoeven geen Fritzboxen te zijn.(in mijn geval een Sitecom en een Draytek router)

donderdag 16 juli 2020 16:24

Acties:

0 Henk 'm!

semantix4me

Topicstarter

De fritzbox router hangt als enige direct aan een glasvezel internet aansluiting

donderdag 16 juli 2020 16:27

Acties:

+2 Henk 'm!

Rensjuh

En hoe denk jij vanuit 192.168.201.0/24 naar 192.168.200.2 te gaan zonder router?

PV Output

donderdag 16 juli 2020 16:30

Acties:

0 Henk 'm!

semantix4me

Topicstarter

Rensjuh schreef op donderdag 16 juli 2020 @ 16:27:
En hoe denk jij vanuit 192.168.201.0/24 naar 192.168.200.2 te gaan zonder router?

Niet. Het 192.168.201.0/24 netwerk zit achter de router met adres 192.168.200.2 in het Fritzbox LAN

donderdag 16 juli 2020 16:35

Acties:

0 Henk 'm!

Rensjuh

Maar ga je wel het internet/de andere subnets op moeten kunnen vanaf 192.168.201.0/24 ?
Anders ga je nog een router er tussen nodig hebben die de verbinding vanaf 192.168.201.0/24 naar je Fritzbox mogelijk maakt.

Vanaf 192.168.201.0/24 naar 192.168.200.2 gaat je niet lukken omdat dat in een ander /24 subnet zit.
Dan zul je dus een gateway in 201.0/24 moeten hebben die je routeert naar 192.168.200.2.
Andersom, vanaf 192.168.200.0/22 naar 192.168.201.0/24 gaat je wel lukken omdat 200.0/22 een groter subnet is waar 201.0/24 onder valt.

PV Output

donderdag 16 juli 2020 16:37

Acties:

0 Henk 'm!

semantix4me

Topicstarter

Rensjuh schreef op donderdag 16 juli 2020 @ 16:27:
En hoe denk jij vanuit 192.168.201.0/24 naar 192.168.200.2 te gaan zonder router?

Ik heb een vergelijkbare setup werkend met een /24 netwerk. De subnetten voor test en IoT zijn echter nu /28 netwerken en dat wordt wel erg krap. Daarom mijn vraag: als ik van het hoofdnetwerk /22 maak en de subnetwerken uitbreid naar /24, kan ik dan onverwachte verrassingen krijgen? Heeft iemand daar ervaring mee?

donderdag 16 juli 2020 16:40

Acties:

0 Henk 'm!

semantix4me

Topicstarter

Rensjuh schreef op donderdag 16 juli 2020 @ 16:35:
Maar ga je wel het internet/de andere subnets op moeten kunnen vanaf 192.168.201.0/24 ?
Anders ga je nog een router er tussen nodig hebben die de verbinding vanaf 192.168.201.0/24 naar je Fritzbox mogelijk maakt.

Er zit inderdaad een andere router tussen. Voor 2 subnetten dus 2 andere routers

donderdag 16 juli 2020 16:51

Acties:

0 Henk 'm!

semantix4me

Topicstarter

Rensjuh schreef op donderdag 16 juli 2020 @ 16:35:
Maar ga je wel het internet/de andere subnets op moeten kunnen vanaf 192.168.201.0/24 ?
Anders ga je nog een router er tussen nodig hebben die de verbinding vanaf 192.168.201.0/24 naar je Fritzbox mogelijk maakt.

Verschillend: het testnetwerk 192.168.202.0 heeft als gateway 192.168.200.1 (de fritzbox) en kan dus gewoon het internet op. Het IoT netwerk 192.168.201.0 heeft als gateway 192.168.200.20, hetgeen verwijst naar een firewall die heel precies bepaalt wat wel of niet het internet op mag. Die firewall hangt zelf in het 192.168.200.0 netwerk en kan dus "gewoon" via de Fritzbox het internet op.
Zoals gezegd, ik heb dit werkend op kleinere schaal met een /24 netwerk en 2 /28 subnetten.
De vraag is naar ervaring met opschalen naar een /22 netwerk met 2 /24 subnetten.

donderdag 16 juli 2020 16:57

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

semantix4me schreef op donderdag 16 juli 2020 @ 16:51:
[...]
De vraag is naar ervaring met opschalen naar een /22 netwerk met 2 /24 subnetten.

Denk niet dat die ervaring er is.
Een /22 hoofdsubnet maakt het nodeloos complex. Als je toch (4?) routers gaat gebruiken kun je net zo goed met 5 subnetten gaan werken die geen van allen overlappen. Dat maakt je route tabellen een stuk overzichtelijker

QnJhaGlld2FoaWV3YQ==

donderdag 16 juli 2020 17:06

Acties:

0 Henk 'm!

semantix4me

Topicstarter

Brahiewahiewa schreef op donderdag 16 juli 2020 @ 16:57:
[...]

Denk niet dat die ervaring er is.
Een /22 hoofdsubnet maakt het nodeloos complex. Als je toch (4?) routers gaat gebruiken kun je net zo goed met 5 subnetten gaan werken die geen van allen overlappen. Dat maakt je route tabellen een stuk overzichtelijker

Ik heb 3 routers en 2 subnetten. In de Fritzbox heb ik 2 statische routes gedefinieerd, 1 voor elk subnet. Het testsubnet heeft geen afwijkende instellingen. Het IoT subnet heeft als enige afwijkende instelling dat de gateway verwijst naar een (extra) firewall/sniffer in het hoofdnetwerk.

donderdag 16 juli 2020 17:52

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

semantix4me schreef op donderdag 16 juli 2020 @ 17:06:
[...]

Ik heb 3 routers en 2 subnetten. In de Fritzbox heb ik 2 statische routes gedefinieerd, 1 voor elk subnet. Het testsubnet heeft geen afwijkende instellingen. Het IoT subnet heeft als enige afwijkende instelling dat de gateway verwijst naar een (extra) firewall/sniffer in het hoofdnetwerk.

Maar wat is de meerwaarde t.o.v.
fritz: 192.168.200.0/24
192.168.200.2 router1: 192.168.201.0/24
192.168.200.3 router2: 192.168.202.0/24

QnJhaGlld2FoaWV3YQ==

donderdag 16 juli 2020 18:21

Acties:

0 Henk 'm!

semantix4me

Topicstarter

Brahiewahiewa schreef op donderdag 16 juli 2020 @ 17:52:
[...]

Maar wat is de meerwaarde t.o.v.
fritz: 192.168.200.0/24
192.168.200.2 router1: 192.168.201.0/24
192.168.200.3 router2: 192.168.202.0/24

Dat ik van buitenaf via een VPN het hele netwerk 192.168.200.0/22 in zijn geheel kan bereiken

vrijdag 17 juli 2020 01:22

Acties:

+1 Henk 'm!

Brahiewahiewa

boelkloedig

semantix4me schreef op donderdag 16 juli 2020 @ 18:21:
[...]

Dat ik van buitenaf via een VPN het hele netwerk 192.168.200.0/22 in zijn geheel kan bereiken

Want je kunt aan je vpn client geen routes meegeven?

QnJhaGlld2FoaWV3YQ==

vrijdag 17 juli 2020 20:28

Acties:

0 Henk 'm!

semantix4me

Topicstarter

De NAT functie op de WAN interface van de Fritzbox geldt voor het gehele LAN. En dat is het netwerk dat je configureert. Wanneer je een /24 netwerk configureert, kunnen andere subnetten niet via de NAT of een VPN naar buiten. Daarom wil ik een /22 netwerk. Er zijn wel andere routers waarmee dat wel zou kunnen, maar die hebben dan weer niet een aantal andere functies die de Fritzbox wel heeft. Bovendien wordt de Fritzbox gesupport door mijn ISP, dus einde van de discussie waar de Fritzbox moet staan. De enige uitzondering is het gastennetwerk, dat een vaste IP-reeks heeft (afhankelijk van model), zijn eigen NAT functie en afgescheiden van het gewone LAN.
Met een /22 netwerk kunnen in principe alle hosts met 192.168.200.2 t/m 192.168.203.254 van de NAT en de VPN gebruik maken. Afgezien van firewall configuraties dan.

Pagina: 1

Reageer

Onderwerpen