Kan deze netwerkopstelling werken?

dinsdag 20 oktober 2020 14:10

Acties:

0 Henk 'm!

Genius2000

Topicstarter

Ik heb een kabelmodem waarop ik een USG wil aansluiten. Probleem is dat de modem niet in bridge modus kan gezet worden. Het is daarentegen wel mogelijk om naar een eigen DHCP server te verwijzen (werkt zeer goed).

Daarom had ik gedacht dat de DHCP server naast het toewijzen van een IP adres ook een alternatieve gateway meegeeft aan de clients ipv het adres van de modem. De clients weten op die manier dat voortaan niet de modem de router is, maar de USG. USG routeert intern trafiek, maar trafiek bestemd voor het internet routeert de USG naar de modem. De modem heeft 2 poorten open naar de buitenwereld : 1 proxy en 1 VPN. Inkomend verkeer op 1 van deze 2 poorten wordt gerouted naar de USG en de USG rout het trafiek verder naar de juiste server.

Gaat dit goed werken of zien jullie allerlei valkuilen?

Afbeeldingslocatie: https://tweakers.net/i/qkw6M0TE1eyvTxahpDtK0Ipqe4s=/800x/filters:strip_exif()/f/image/MCjUxuKZ1aav3B6s4xMeAoOg.png?f=fotoalbum_large

dinsdag 20 oktober 2020 14:20

Acties:

+1 Henk 'm!

The Eagle

I wear my sunglasses at night

Een USG kan op zijn WAN poort gewoon een DHCP server aan. Gewoon even zorgen dat beide netwerken niet het zelfde subnet gebruiken.
Dus kabelmodem deelt IP in de range 192.168.0.x uit aan de WAN kant van je USG. USG op de lan kant geef je 192.168.1.x en laat je router en DHCP spelen voor je interne netwerk.

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

dinsdag 20 oktober 2020 14:27

Acties:

0 Henk 'm!

Frogmen

Waarom zou je dit zo willen ?

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

dinsdag 20 oktober 2020 14:30

Acties:

0 Henk 'm!

Ora et Labora

Wat @The Eagle zegt, zoals in je tekening gaat het niet werken, of wellicht wel met wat omwegen maar dat is niet zinnig.
Modem ISP LAN naar WAN van de USG aansluiten, dan de USG in een ander subnet zetten en DHCP in een ander subnet uit laten delen.
Dan heb je wel dubbel NAT overigens maar het zou geen probleem mogen opleveren.

[ Voor 8% gewijzigd door Ora et Labora op 20-10-2020 14:31 ]

Who's general failure, and why is he reading my disk?

dinsdag 20 oktober 2020 15:12

Acties:

0 Henk 'm!

Genius2000

Topicstarter

Bijkomende info op basis van jullie feedback:
1) op dit moment heb ik een raspberry pi met Adguard (met dhcp enabled) en PiVPN.
De ISP modem is niet betrouwbaar bij het leasen van vaste ip adressen, vandaar de dhcp server van Adguard. Een bijkomstig positief punt is dat Adguard op die manier automatisch de juiste hostnames toont bij het bekijken van de logs (bespaart tijd om dit manueel te gaan invoeren.

2) Ik denk er aan een ubiquiti USG (of eventueel een pfsense server) aan te schaffen als hoofd router/firewall (voor o.a. toewijzen QOS, toewijzen een vaste bandbreedte aan bepaalde clients binnen het netwerk; monitoren van traffiek en inzicht verwerken, security, ...). Er zijn namelijk heel wat IOT devices die op een apart VLAN moeten komen.

3) Het liefst zie ik de modem in bridge modus met mac passthrough naar de USG met als voordelen o.a. geen dubbele nat. Maar voorlopig gaat het denk ik even niet anders tot de ISP beslist om bridge modus/mac passthrough beschikbaar te maken.

@Ora et Labora
Bedoel je het volgende? :
- de DHCP server modem enablen (range 192.168.0.x)
- de USG verbinden met modem (krijgt ip 192.168.0.2 van modem)
- USG : opzetten subnet 192.168.1.x waarbij de Adguard server, eveneens gekoppeld aan de USG de ip adressen leased voor het 192.168.1.x netwerk?

Om de dubbele nat te voorkomen zou je eventueel een DMZ kunnen opzetten in de modem naar de USG toe? Op die manier bypass je de NAT, firewall en DHCP van de modem en krijgen clients aangesloten op de USG rechstreeks hun ip adres van de adguard server.
==> Hoe sta jij daar tegenover?

dinsdag 20 oktober 2020 15:14

Acties:

+1 Henk 'm!

Ora et Labora

Genius2000 schreef op dinsdag 20 oktober 2020 @ 15:12:

@Ora et Labora
Bedoel je het volgende? :
- de DHCP server modem enablen (range 192.168.0.x)
- de USG verbinden met modem (krijgt ip 192.168.0.2 van modem)
- USG : opzetten subnet 192.168.1.x waarbij de Adguard server, eveneens gekoppeld aan de USG de ip adressen leased voor het 192.168.1.x netwerk?

Om de dubbele nat te voorkomen zou je eventueel een DMZ kunnen opzetten in de modem naar de USG toe? Op die manier bypass je de NAT, firewall en DHCP van de modem en krijgen clients aangesloten op de USG rechstreeks hun ip adres van de adguard server.
==> Hoe sta jij daar tegenover?

Dit inderdaad alleen zou ik de DHCP op de modem niet enablen maar met LAN naar WAN van USG en op de USG een statisch WAN ip-adres (192.168.0.x) opgeven, of wel de DHCP op de modem aan maar met een reservering werken. Dat WAN-adres op de USG moet namelijk altijd hetzelfde zijn.

DMZ is inderdaad een goed idee, dan heb je overigens nog steeds dubbel NAT alleen hoef je dit niet handmatig in te stellen maar forward de modem alles naar de USG.

Who's general failure, and why is he reading my disk?

dinsdag 20 oktober 2020 15:30

Acties:

+1 Henk 'm!

The Eagle

I wear my sunglasses at night

Genius2000 schreef op dinsdag 20 oktober 2020 @ 15:12:
Bijkomende info op basis van jullie feedback:
1) op dit moment heb ik een raspberry pi met Adguard (met dhcp enabled) en PiVPN.
De ISP modem is niet betrouwbaar bij het leasen van vaste ip adressen, vandaar de dhcp server van Adguard. Een bijkomstig positief punt is dat Adguard op die manier automatisch de juiste hostnames toont bij het bekijken van de logs (bespaart tijd om dit manueel te gaan invoeren.

2) Ik denk er aan een ubiquiti USG (of eventueel een pfsense server) aan te schaffen als hoofd router/firewall (voor o.a. toewijzen QOS, toewijzen een vaste bandbreedte aan bepaalde clients binnen het netwerk; monitoren van traffiek en inzicht verwerken, security, ...). Er zijn namelijk heel wat IOT devices die op een apart VLAN moeten komen.

3) Het liefst zie ik de modem in bridge modus met mac passthrough naar de USG met als voordelen o.a. geen dubbele nat. Maar voorlopig gaat het denk ik even niet anders tot de ISP beslist om bridge modus/mac passthrough beschikbaar te maken.

@Ora et Labora
Bedoel je het volgende? :
- de DHCP server modem enablen (range 192.168.0.x)
- de USG verbinden met modem (krijgt ip 192.168.0.2 van modem)
- USG : opzetten subnet 192.168.1.x waarbij de Adguard server, eveneens gekoppeld aan de USG de ip adressen leased voor het 192.168.1.x netwerk?

Om de dubbele nat te voorkomen zou je eventueel een DMZ kunnen opzetten in de modem naar de USG toe? Op die manier bypass je de NAT, firewall en DHCP van de modem en krijgen clients aangesloten op de USG rechstreeks hun ip adres van de adguard server.
==> Hoe sta jij daar tegenover?

Je denkt te moeilijk. PiVPN er uit, USG lekker VPN servertje laten zijn. Evt DynDNS account oid er aan om altijd op het juiste adres te kunnen connecten.
Je pi met adguard kan blijven maar hoeft geef DHCP meer te doen, dat kan je USG over nemen. DNS voor je interne lan clients stel je in op het adres van de Pi met adguard, en laat je lekker door de USG toewijzen. Pi met adguard krijgt als DNS 1.1.1.1 (of de provider van je keuze).

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

vrijdag 23 oktober 2020 17:32

Acties:

0 Henk 'm!

Genius2000

Topicstarter

Bedankt @Ora et Labora @The Eagle

Vraag

Alle reacties