Twee subnetten verbinden zodat apparaten elkaar kunnen zien

vrijdag 17 december 2021 16:11

Acties:

0 Henk 'm!

Topicstarter

Situatie: ik heb twee routers in mijn netwerk. De hoofdrouter die alles met internet verbindt heeft IP-adres 192.168.1.1, subnetmasker 255.255.255.0 en daarop zitten de meeste apparaten aangesloten, die allemaal een vast IP-adres hebben via de DHCP-server.

Achter deze router heb ik nog een router, bewust in een ander subnet, met IP-adres 192.168.2.1 en subnetmasker 255.255.255.0. Ook hier heb ik een aantal apparaten achter zitten met een vast IP-adres via de DHCP-server van de tweede router.

De reden van deze setup is dat ik achter de tweede router een aantal apparaten heb, die ik dan onafhankelijk van de rest van het netwerk achter een PPTP-VPN-server kan gooien. Deze setup werkt vooralsnog prima. Met een druk op de knop in de GUI van de tweede router heb ik alle apparaten die daarachter hangen op de VPN of juist niet.

Nu wil ik dat de apparaten achter de tweede router kunnen praten met apparaten achter de hoofdrouter, wanneer bijvoorbeeld de VPN-verbinding uit staat en vice versa. En hier loop ik vast. Ik heb geen idee waar te beginnen namelijk. Na een uur googlen gok ik dat ik iets met static route moet moet doen op één of beide Asus routers, maar op welke router ik wat in moet stellen is mij helaas onduidelijk.

Hoofdrouter: Asus RT-AC86U
Tweede router: Asus RT-AC68U

Tijdens het googlen zag ik wellicht ook nog een alternatief voor mijn doeleinde trouwens, namelijk Merlin draaien op de RT-AC86U en selective routing instellen voor de betreffende apparaten. De overgebleven RT-AC68U kan ik dan inzetten als AiMesh-node. Voor OpenVPN zag ik al dat het kon, maar kan dit ook (out of the box) met PPTP?

vrijdag 17 december 2021 16:18

Acties:

0 Henk 'm!

Faifz

Op de hoofdrouter: destination network 192.168.2.0/24 en next-hop 192.168.1.100 (WAN adres van 2de router)
Op de 2de router: destination network 0.0.0.0/0 en next-hop 192.168.1.1 (default-gateway 1ste router)

vrijdag 17 december 2021 16:41

Acties:

0 Henk 'm!

Saekerhett

Topicstarter

Faifz schreef op vrijdag 17 december 2021 @ 16:18:
Op de hoofdrouter: destination network 192.168.2.0/24 en next-hop 192.168.1.100 (WAN adres van 2de router)
Op de 2de router: destination network 0.0.0.0/0 en next-hop 192.168.1.1 (default-gateway 1ste router)

Bedankt voor je snelle reactie!

Ik snap alleen niet goed wat je bedoelt met next-hop. En het IP-adres 192.168.1.100 moet denk ik dan 192.168.1.2 zijn in mijn geval, want dat IP-adres heb ik hem meegegeven via de DHCP. En moet ik de / ook ergens invullen? Want in de Asus routers kan ik bij LAN - Route puur IP-adressen invullen:

Afbeeldingslocatie: https://tweakers.net/i/BAyUxBOoMkK1Su4c5y5cvkQCZRA=/800x/filters:strip_exif()/f/image/1sk38SdphIv05tfF4OVnWSxl.png?f=fotoalbum_large

En wat moet ik bij Netmask en Interface instellen? Kabel loopt van Hoofdrouter LAN ------------ VPN router WAN. Moet ik dan op de hoofdrouter LAN doen en de VPN-router WAN?

[ Voor 6% gewijzigd door Saekerhett op 17-12-2021 16:43 ]

vrijdag 17 december 2021 17:58

Acties:

0 Henk 'm!

Faifz

Next-hop = Gateway

Dus als 192.168.1.2 het WAN adres is van je 2de hoofdrouter, vul het volgende in:
network/host IP = 192.168.2.0
netmask = 255.255.255.0
gateway = 192.168.1.2
interface = LAN

De 2de router zou al een default-route moeten hebben, dus daar hoef je niks te doen. Ik was vergeten dat dit ook automatisch gedaan wordt door de meeste routers, sorry.

vrijdag 17 december 2021 19:04

Acties:

0 Henk 'm!

Saekerhett

Topicstarter

Faifz schreef op vrijdag 17 december 2021 @ 17:58:
Next-hop = Gateway

Dus als 192.168.1.2 het WAN adres is van je 2de hoofdrouter, vul het volgende in:
network/host IP = 192.168.2.0
netmask = 255.255.255.0
gateway = 192.168.1.2
interface = LAN

De 2de router zou al een default-route moeten hebben, dus daar hoef je niks te doen. Ik was vergeten dat dit ook automatisch gedaan wordt door de meeste routers, sorry.

Ok, ik heb op de hoofdrouter nu dit ingesteld:

Afbeeldingslocatie: https://tweakers.net/i/0skPw4l_r1XE8bKFKnCO3c_czmY=/800x/filters:strip_exif()/f/image/hXnXZzaXvjuDgOB5DkPM4ALP.png?f=fotoalbum_large

Maar als ik dan van mijn pc (192.168.1.10) wil pingen naar bijvoorbeeld de Apple TV (192.168.2.10) achter de tweede router, dan krijg ik:

code:

Pinging 192.168.2.10 with 32 bytes of data:
Reply from 192.168.1.10: Destination host unreachable.
Reply from 192.168.1.10: Destination host unreachable.
Reply from 192.168.1.10: Destination host unreachable.
Reply from 192.168.1.10: Destination host unreachable.

Ping statistics for 192.168.2.10:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Wat mis ik nog dan? Op de tweede router heb ik, zoals je aangaf, nog niets ingesteld.

vrijdag 17 december 2021 20:07

Acties:

+2 Henk 'm!

Ben(V)

Als je gaat routeren tussen die subnets schiet je volgens mij het doel dat je had met het maken van die twee subnets volkomen lek.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

vrijdag 17 december 2021 20:14

Acties:

0 Henk 'm!

Saekerhett

Topicstarter

Ben(V) schreef op vrijdag 17 december 2021 @ 20:07:
Als je gaat routeren tussen die subnets schiet je volgens mij het doel dat je had met het maken van die twee subnets volkomen lek.

Mijn doel is om apparaten achter de tweede router achter een VPN te krijgen met een druk op de knop, onafhankelijk van apparaten achter de hoofdrouter. Ze moeten elkaar onderling gewoon kunnen zien want ik wil bijvoorbeeld dat mijn Apple TV via LAN mijn Plex server kan benaderen.

vrijdag 17 december 2021 20:39

Acties:

0 Henk 'm!

Faifz

Saekerhett schreef op vrijdag 17 december 2021 @ 19:04:
[...]

Ok, ik heb op de hoofdrouter nu dit ingesteld:

Maar als ik dan van mijn pc (192.168.1.10) wil pingen naar bijvoorbeeld de Apple TV (192.168.2.10) achter de tweede router, dan krijg ik:
code:
1
2
3
4
5
6
7
8
Pinging 192.168.2.10 with 32 bytes of data:
Reply from 192.168.1.10: Destination host unreachable.
Reply from 192.168.1.10: Destination host unreachable.
Reply from 192.168.1.10: Destination host unreachable.
Reply from 192.168.1.10: Destination host unreachable.

Ping statistics for 192.168.2.10:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Wat mis ik nog dan? Op de tweede router heb ik, zoals je aangaf, nog niets ingesteld.

Probeer eens uit 192.168.2.0/24 het adres 192.168.1.1 te pingen.

vrijdag 17 december 2021 20:43

Acties:

0 Henk 'm!

Saekerhett

Topicstarter

Faifz schreef op vrijdag 17 december 2021 @ 20:39:
[...]

Probeer eens uit 192.168.2.0/24 het adres 192.168.1.1 te pingen.

Die werkt!

Moet ik dan hetzelfde geintje uithalen op de tweede router in LAN - Route als dat ik bij de hoofdrouter gedaan heb?

vrijdag 17 december 2021 21:39

Acties:

+1 Henk 'm!

Faifz

Saekerhett schreef op vrijdag 17 december 2021 @ 20:43:
[...]

Die werkt!

Moet ik dan hetzelfde geintje uithalen op de tweede router in LAN - Route als dat ik bij de hoofdrouter gedaan heb?

Het kan zijn dat de firewall het blokkeert. Kan de firewall van de 2de router zijn of op die van de Apple TV. Ik zou eens proberen om een PC te steken in de 192.168.2.0/24 range en schakel windows firewall uit (of laat ping gewoon toe).

vrijdag 17 december 2021 21:47

Acties:

0 Henk 'm!

Saekerhett

Topicstarter

Faifz schreef op vrijdag 17 december 2021 @ 21:39:
[...]

Het kan zijn dat de firewall het blokkeert. Kan de firewall van de 2de router zijn of op die van de Apple TV. Ik zou eens proberen om een PC te steken in de 192.168.2.0/24 range en schakel windows firewall uit (of laat ping gewoon toe).

De firewall was het inderdaad! Ik heb de firewall uitgeschakeld op de tweede router en nu kan ik alles zien of in elk geval pingen

Even verder spelen met wat settings maar ik denk dat ik nu een heel eind kom

vrijdag 17 december 2021 21:53

Acties:

0 Henk 'm!

Faifz

Saekerhett schreef op vrijdag 17 december 2021 @ 21:47:
[...]

De firewall was het inderdaad! Ik heb de firewall uitgeschakeld op de tweede router en nu kan ik alles zien of in elk geval pingen

Even verder spelen met wat settings maar ik denk dat ik nu een heel eind kom

Firewalls zijn stateful, ze laten outbound verkeer altijd toe en de return traffic - maar inbound traffic wordt altijd gedropped. Vandaar dat ik het had gevraagd om vanuit 192.168.2.0/24 te proberen.

vrijdag 17 december 2021 21:55

Acties:

0 Henk 'm!

Saekerhett

Topicstarter

Faifz schreef op vrijdag 17 december 2021 @ 21:53:
[...]

Firewalls zijn stateful, ze laten outbound verkeer altijd toe en de return traffic - maar inbound traffic wordt altijd gedropped. Vandaar dat ik het had gevraagd om vanuit 192.168.2.0/24 te proberen.

Thanks voor de uitleg. Ik zie nu dat ik zonder firewall ook gewoon vanaf 192.168.1.x naar de web GUI kan op 192.168.2.1 en met firewall niet

vrijdag 17 december 2021 23:11

Acties:

+1 Henk 'm!

DJSmiley

Dat het vanuit de 192.168.2.x nu werkt klopt.

De router voor 2.0/24 kent 1.0/24 niet en nat het dus naar de wan. Daar hangt een /24 waar de 1.0/24 in valt. Dus dat is lokaal verkeer.

Echter, elk device in 1.0/24 ziet nu het wan IP van 2.0/24, immers, het is geNAT. Daardoor kan er ook een reply naar de 2e router. Omdat de connectie vanuit de LAN van de 2e router is, zal de weg terug ook gaan.

Andersom niet: Je 1.0/24 netwerk kent het 2.0/24 netwerk niet. Dat heb je opgelost met die static route, nu stuurt ie dat verkeer naar de WAN van de 2e router ipv het internet op.

Echter, die weet niet waar jij verder heen wilt. Dat ding routeert niet (dan wist ie t wel) maar doet NAT. En dan houd het op.

Maar los daarvan ga je het wel lastig maken. Een router die gewoon 2 subnetten kan routeren, zonder creatief gedoe als dubbel NAT, maakt het een stuk makkelijker. Dan is je source/destination gewoon het echte IP, en niet een geNAT adres.

Je apple / airplay dingen blijven wel een dingetje. Ook al routeer je ze compleet, het blijven 2 aparte /24 netwerken. Bonjour dingen gaan dan problemen opgeven, tenzij je dat ook weer gaat proxyen

Het lijkt me veel makkelijker om dus 1 router te nemen, en alles in 1 /24 subnet te houden.
Je kan alles default over het internet gooien.

Je devices die je via een VPN wilt laten lopen geef je vaste IP's, bv 192.168.1.192 t/m 192.168.1.254

Vervolgens zorg je voor een dynamische masquerade rule die 192.168.1.192/26 routeert door de VPN, waarbij die rule alleen actief is als jij wilt. Zonder die rule nat je het gewoon je normale internet lijn op. (rule disabled)

Ik weet dat dat op een Mikrotik bv allemaal kan. Je kan bv de HEX button gebruiken om dat te scripten, met een druk op de knop je VPN aan/uit en automatisch de routes fixen.

vrijdag 17 december 2021 23:38

Acties:

+1 Henk 'm!

Faifz

DJSmiley schreef op vrijdag 17 december 2021 @ 23:11:
Dat het vanuit de 192.168.2.x nu werkt klopt.

De router voor 2.0/24 kent 1.0/24 niet en nat het dus naar de wan. Daar hangt een /24 waar de 1.0/24 in valt. Dus dat is lokaal verkeer.

Echter, elk device in 1.0/24 ziet nu het wan IP van 2.0/24, immers, het is geNAT. Daardoor kan er ook een reply naar de 2e router. Omdat de connectie vanuit de LAN van de 2e router is, zal de weg terug ook gaan.

Tuurlijk kent de 2de router de route naar 1.0/24 (default route 0.0.0.0/0). Nee, het wordt gerouted en niet geNAT'ed. Dus devices uit 1.0/24 zien verkeer van het 2.0/24 adres en andersom. Als je de static route naar 192.168.2.0/24 & 192.168.1.2 zou weghalen, dan wordt 2.0/24 geNAT'ed achter 192.168.1.2 als je 1.0/24 wil bereiken.

zaterdag 18 december 2021 10:50

Acties:

0 Henk 'm!

Saekerhett

Topicstarter

Dank voor de uitgebreide reacties! Het makkelijkste / de meest 'cleane' manier is dus:

DJSmiley schreef op vrijdag 17 december 2021 @ 23:11:
Het lijkt me veel makkelijker om dus 1 router te nemen, en alles in 1 /24 subnet te houden.
Je kan alles default over het internet gooien.

Je devices die je via een VPN wilt laten lopen geef je vaste IP's, bv 192.168.1.192 t/m 192.168.1.254

Vervolgens zorg je voor een dynamische masquerade rule die 192.168.1.192/26 routeert door de VPN, waarbij die rule alleen actief is als jij wilt. Zonder die rule nat je het gewoon je normale internet lijn op. (rule disabled)

Ik weet dat dat op een Mikrotik bv allemaal kan. Je kan bv de HEX button gebruiken om dat te scripten, met een druk op de knop je VPN aan/uit en automatisch de routes fixen.

Wat denk ik een beetje op hetzelfde neerkomt als:

Saekerhett schreef op vrijdag 17 december 2021 @ 16:11:
Tijdens het googlen zag ik wellicht ook nog een alternatief voor mijn doeleinde trouwens, namelijk Merlin draaien op de RT-AC86U en selective routing instellen voor de betreffende apparaten. De overgebleven RT-AC68U kan ik dan inzetten als AiMesh-node. Voor OpenVPN zag ik al dat het kon, maar kan dit ook (out of the box) met PPTP?

Intussen heb ik de VPN-server, ook vanwege veiligheid, al omgezet naar OpenVPN en die verbinding loopt ook goed, alleen zit ik even na te denken of selective routing in mijn geval kan, want ik heb mijn eigen RT-AC86U ook direct als vervanger van de KPN Box 12 ingezet. De verbinding werkt nu probleemloos met stock Asus firmware, maar kan ik zonder problemen daar selective routing toepassen als ik er Merlin op zet? Of is dat in mijn geval lastig omdat ik dat ding dus ook als modem gebruik?

zaterdag 18 december 2021 10:57

Acties:

0 Henk 'm!

c-nan

DJSmiley schreef op vrijdag 17 december 2021 @ 23:11:
Dat het vanuit de 192.168.2.x nu werkt klopt.

De router voor 2.0/24 kent 1.0/24 niet en nat het dus naar de wan. Daar hangt een /24 waar de 1.0/24 in valt. Dus dat is lokaal verkeer.

Echter, elk device in 1.0/24 ziet nu het wan IP van 2.0/24, immers, het is geNAT. Daardoor kan er ook een reply naar de 2e router. Omdat de connectie vanuit de LAN van de 2e router is, zal de weg terug ook gaan.

Andersom niet: Je 1.0/24 netwerk kent het 2.0/24 netwerk niet. Dat heb je opgelost met die static route, nu stuurt ie dat verkeer naar de WAN van de 2e router ipv het internet op.

Echter, die weet niet waar jij verder heen wilt. Dat ding routeert niet (dan wist ie t wel) maar doet NAT. En dan houd het op.

Maar los daarvan ga je het wel lastig maken. Een router die gewoon 2 subnetten kan routeren, zonder creatief gedoe als dubbel NAT, maakt het een stuk makkelijker. Dan is je source/destination gewoon het echte IP, en niet een geNAT adres.

Je apple / airplay dingen blijven wel een dingetje. Ook al routeer je ze compleet, het blijven 2 aparte /24 netwerken. Bonjour dingen gaan dan problemen opgeven, tenzij je dat ook weer gaat proxyen

Het lijkt me veel makkelijker om dus 1 router te nemen, en alles in 1 /24 subnet te houden.
Je kan alles default over het internet gooien.

Je devices die je via een VPN wilt laten lopen geef je vaste IP's, bv 192.168.1.192 t/m 192.168.1.254

Vervolgens zorg je voor een dynamische masquerade rule die 192.168.1.192/26 routeert door de VPN, waarbij die rule alleen actief is als jij wilt. Zonder die rule nat je het gewoon je normale internet lijn op. (rule disabled)

Ik weet dat dat op een Mikrotik bv allemaal kan. Je kan bv de HEX button gebruiken om dat te scripten, met een druk op de knop je VPN aan/uit en automatisch de routes fixen.

Waarom denk jij dat er genat wordt?

zaterdag 18 december 2021 13:03

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

c-nan schreef op zaterdag 18 december 2021 @ 10:57:
[...]

Waarom denk jij dat er genat wordt?

Omdat de TS zegt dat de ene router 192.168.1.0/24 als LAN heeft en de andere router 192.168.2.0/24.
Theoretisch zou het dan kunnen dat de WAN van beide routers in 192.168.1.0/24 of 192.168.2.0/24 zitten.
Maar als de TS dat voor elkaar heeft gebokst, zou hij deze vraag niet stellen

QnJhaGlld2FoaWV3YQ==

maandag 20 juni 2022 13:23

Acties:

0 Henk 'm!

Dick el Ul

Hallo allemaal,
Ik heb ongeveer de helft kunnen volgen .🙈
Ik heb een zyxel T50 ISP modemrouter die géén VPN ondersteunt en daarom heb ik de tp-link Archer ax50 AX3000 aangeschaft.
1. Moet ik nu de zyxel bridgen (wat nogal lastig is, omdat er 8! verbinding zijn, waarvan er feitelijk maar 2 gebruikt worden.(DSL en IPTV), of DHCP server uit, lan1 naar Wan tp-link en deze laten routeren?
Beide hebben standaard 192.168.1.1 als IP/gateway.
2. Zyxel op 192.168.0.1 of tp-link op 192.168.2.1?
Zal IPtv dan nog wel werken, los van de VPN die ik daarna pas in zal proberen te stellen?
3. Kan viaplay door een of andere regel (en indien nodig IPTV dus ook), buiten de VPN geleid worden, omdat viaplay niet onder VPN werkt?

Ik hoop dat jullie mij hierbij kunnen helpen, in de oude topics heb ik nog niets kunnen vinden, al zal ik vast niet de eerste zijn met deze vraag.

maandag 20 juni 2022 13:46

Acties:

0 Henk 'm!

rens-br

Admin IN & Moderator Mobile

@Dick el Ul zou je even een nieuw topic willen starten? Het kicken van een bestaand topic heeft niet de voorkeur.

Onderwerpen