Netwerk met meerdere routers. Hoe zonder problemen?

Sommige switches kunnen dit blokkeren, Cisco noemt het 'dhcp snooping'. Maar dat zijn vaak prijzige dure modellen.

Iets simpeler; zorg voor een vlan per kamer en dan is dat ook verleden tijd. Sluiten ze dan de router verkeerd om aan, dan merkt de rest dat niet.(Dhcp wordt -standaard tenminste- niet buiten het vlan verspreid).

Zodra je vlans hebt kun je ook (simpeler) wat aan maximale bandbreedte inregelen etc.

Je Ziggo router ondersteunt geen vlans dus daar heb je een router/firewall voor nodig.

Kostentechnisch, 2 8 poorts managed tplink switches van +/- €35 per stuk, vlan router(tje) kan een EdgerouterX zijn van een paar tientjes.

[ Voor 37% gewijzigd door ChaserBoZ_ op 16-06-2024 15:09 ]

de Ziggo router ondersteund geen vlans, dus dat gaat niet werken.
verder kunnen menige managed switches 'Rogue' DHCP detecteren en blokkeren.
wat je ook kan doen is de poorten op de switch zo configureren dat ze niet met elkaar mogen praten behalve naar de Ziggo router.

Misschien een managed switch met mac address filtering waar je de mac adressen van de WAN poort toelaat ?

vrotogel schreef op zondag 16 juni 2024 @ 17:00:
Misschien een managed switch met mac address filtering waar je de mac adressen van de WAN poort toelaat ?

Die oplossing zou ik ook aanraden. Dat moet lukken met één of twee voordelige managed switches.

ChaserBoZ_ schreef op zondag 16 juni 2024 @ 15:04:
Sommige switches kunnen dit blokkeren, Cisco noemt het 'dhcp snooping'. Maar dat zijn vaak prijzige dure modellen.

[...]
Kostentechnisch, 2 8 poorts managed tplink switches van +/- €35 per stuk, vlan router(tje) kan een EdgerouterX zijn van een paar tientjes.

De managed TP-Link Jetstream routers doen ook DHCP snooping, stukje betaalbaarder dan Cisco.

Als je echt een nette oplossing wilt dan komt die van @ChaserBoZ_ het meest in de buurt echter zou ik het niet zo doen zoals hij het aanraad.

Ik zou het volgende doen:
Ziggo modem/router omzetten naar bridge
Daarachter een router die vlans ondersteund
Achter de router met vlans kun je 1x 16 poorts managed switch plaatsen waarbij je op elke poort 1 aparte vlan configureert.

Hierna kun je per studio aanraden om een goedkope switch met access point neer te zetten of de wan/lan poort van de router te gebruiken. Als ze de lan poort gebruiken dan moet je wel erbij uitleggen dat ze de dhcp server van de router uit zetten omdat er al een dhcp server op het vlan zit.

Het voordeel is dat de studio's elkaar niet kunnen zien op het netwerk en elkaar dus ook niet dwars kunnen liggen door de lan poort per ongeluk te gebruiken ipv de wan poort. Ze zitten dan alleen zichzelf dwars.

Edit: om het af te maken kun je kijken of je ook de wifi in eigen beheer kunt nemen. Dan moet je wel een access point hebben die met vlans kan werken, dan kun je elke studio een eigen ssid geven die naar hun vlan gaat. Je hebt dan minder wifi storingen omdat er minder access points elkaar storen.

[ Voor 14% gewijzigd door DutchKel op 16-06-2024 17:20 ]

Twazerty schreef op zondag 16 juni 2024 @ 17:25:
[...]

Mmh, dit klinkt interessant.

Zou dat lukken met een simpele managed tp link switch? Of een netgear eventueel.

[...]

heb hier even gekeken in een netgear gs308E, die heeft geen ondersteuning voor DHCP snooping.

een snelle duckduckgo zoektochtje doet me wel melden dat zowel Netgear als TP-link switches heeft welke dit wel ondersteunen.
verder heb ik geen Netgear/TP-link spul in gebruik, heb er dus geen ervaring mee.
gebruik zelf unifi / Mikrotik (swOS) en deze hebben beide functies ingebakken

hier nog wat info betreft DHCP-snooping:
https://fiberroad.com/nl/...nd-why-should-you-use-it/

hier beetje info betreft poort filter isolatie:
Wikipedia: Private VLAN
https://wiki.mikrotik.com/wiki/SwOS/CSS326#Port_Isolation

Twazerty schreef op zondag 16 juni 2024 @ 20:25:
Als ik een Edgerouter zou kopen, maakt het dan nog uit of ik een managed switch zonder DCHP snooping koop? Dus enkel VLAN toepassen?

Nee, je opties zijn ;
- dhcp snooping
- vlans

Die opties zijn te combineren maar dat kost extra en levert (nu) geen extra voordeel op.

Koop voor elke gebruiker een simpele router en plaats die centraal achter de Ziggo router.
Stel de dhcp server van elke router in op een ander subnet voor elke gebruiker.

Een MikroTik hEX lite kost maar zon'n 45 euro.

Ben(V) schreef op maandag 17 juni 2024 @ 00:00:
Koop voor elke gebruiker een simpele router en plaats die centraal achter de Ziggo router.
Stel de dhcp server van elke router in op een ander subnet voor elke gebruiker.

Een MikroTik hEX lite kost maar zon'n 45 euro.

Dat is wat die nu heeft. Dat gaat goed zolang iedereen zijn eigen router op de WAN poort aansluit. Blijkbaar zijn er knuppels die er regelmatig aan zitten en hem in de LAN poort prikken. Dan ga je problemen krijgen met meerdere dhcp servers etc.

Nee hij heeft nu per gebruiker een router die ze zelf beheren.
Je moet die routers centraal houden zodat de eindgebruikers de boel niet verkeerd kunnen gebruiken.

Je kunt beter de ziggo modem in bridge laten zetten en dan een firewall/router met geintegreerde switch erachter installeren. Je kunt dan elke interface in een apart vlan zetten (met een eigen dhcp pool voor de wan adressen van achterliggende routers).

Daarnaast wil je ook dat er een vorm van traffic shaping plaatsvindt lijkt me, zodat niet 1 gebruiker de lijn kan dichtrekken.

Wat is het budget?

Ik weet ook niet of Ziggo uberhaupt toestaat dat je op deze manier een internetlijn deelt. Daarnaast moet je zelf denk ik ook niet willen dat iedereen via hetzelfde IP adres naar buiten gaat, i.v.m. misbruik e.d. Wie is de eigenaar van de lijn?

Ik zou per kamer een vlan gebruiken en unieke subnets. Met bijv. een mikrotik rb4011 of 5009 zet je per vlan een dhcp server neer. De poorten stel je in met een PVID (access port), en vlan filtering aan op de bridge. DHCP snooping is icm vlan isolatie niet eens nodig. Je kunt met nat-pmp en/of upnp zelfs "open nat" krijgen op evt. xbox/ps5 clients. Kamers kunnen het beste een domme switch plaatsen. Mochten ze toch een L3 router aansluiten op diens WAN poort dan zitten ze met dubbele NAT, maar het werkt wel. Mochten ze een router met dhcp op een LAN poort aansluiten op de muur dan heb je 2 concurrerende dhcp servers, waar de gebruiker zijn router zichzelf als gateway zal opgeven, en daar is niets tegen bestand. De dhcp pakketten zijn wel geïsoleerd en veroorzaken geen problemen in de andere kamers. De enige oplossing is dat de gebruiker z'n dhcp uitzet.

Je zorg is nu rogue DHCP servers (terecht overigens), maar heb je ook gedacht aan de WiFi-situatie? 9 studio's, allemaal met eigen, verschillende, vaak minder optimaal ingestelde WiFi gaat een totale bende worden

Dit zou je veel beter aan kunnen pakken door zelf ook WiFi te beheren, en dan alles - bedraad en draadloos - via 802.1X (Port-based access control cq WPA2-Enterprise) en RADIUS beheren.

Dus:
- modem in bridge mode (of vervangen door eigen modem zonder routerfunctie)
- router erachter met support voor multi-VLAN
- elke bewoner een eigen VLAN met eigen DHCP reeks, geconfigureerd in die centrale router
- managed switch in technische ruimte, trunk (tagged VLANs) tussen router en switch, dan port-based untagged VLANs naar elke studio toe.
- AP's op basis van site survey ophangen. Waarschijnlijk stuk minder dan 9 nodig om hele gebouw >=-67dBm te dekken.
- AP's met support voor 802.1X, via WPA2-Enterprise laten inloggen, en op basis daarvan per gebruiker de VLAN toewijzen.
- RADIUS server met LDAP opzetten. Gezien we het hier over 9 gebruikers (plus misschien 10e account voor guests of onderhoud) hebben kan dat met handmatig statische input gaan.

Een router met VLAN support met een managed switch lijkt mij de beste oplossing. Dan kunnen de bewoners nooit onbedoeld verkeer over elkaars netwerk heen sturen.

geenwindows schreef op zondag 16 juni 2024 @ 16:02:
de Ziggo router ondersteund geen vlans, dus dat gaat niet werken.
verder kunnen menige managed switches 'Rogue' DHCP detecteren en blokkeren.
wat je ook kan doen is de poorten op de switch zo configureren dat ze niet met elkaar mogen praten behalve naar de Ziggo router.

Maakt geen jota uit, zolang je de Ziggo router maar in VLAN1 hangt.
Wat je nodig hebt is een managed switch met ondersteuning voor voldoende VLANs.
Je geeft elke aansluiting zijn eigen VLAN en voor de switch is de gateway of last resort de SVI van VLAN1.
Verkeer gaat dan keurig via de Ziggo router naar buiten. Waar je wel op moet letten is dat je inter-VLAN verkeer niet toestaat. Dit om te voorkomen dat men op elkaars netwerk kan komen.

Een andere optie is om de mensen geen router te laten gebruiken, maar gewoon een los wireless access point.

De beste oplossing is een switch met Port Isolation aka Private VLANs Wikipedia: Private VLAN . Dat is een feature die alleen communicatie met de uplink toestaat en niet tussen andere poorten onderling.

De Ziggo-router sluit je aan op de uplink en de kamers op de andere poorten van die switch. Iedereen kan dan alleen met de Ziggo-router praten. Onderling verkeer is niet meer mogelijk, dus ook geen rogue DHCP.

Naast dat het goed werkt is het een goede oplossing omdat je geen rekening hoeft te houden met wat er op de kamers gebeurt. Je hoeft geen mac-adressen bij te houden, specifieke hardware op de kamers neer te zetten, of mensen vragen om hun apparatuur op een bepaalde manier te configureren. Bij verhuizingen hoef je ook niks te veranderen.

Het nadeel is dat deze feature niet standaard is op alle switches, wellicht moet je dus een nieuwe switch kopen. Met gewone vlan's kun je miin of meer hetzelfde bereiken zoals eerder aangegeven in deze thread maar dat is iets meer werk.

[ Voor 13% gewijzigd door CAPSLOCK2000 op 17-06-2024 13:58 ]

Twazerty schreef op zondag 16 juni 2024 @ 17:25:
Ben dus op zoek naar een oplossing waarbij er geen configuratie nodig is om nieuwe bewoners in te pluggen. Een volledig door mij voorgeconfiugeerde oplossing is geen probleem.

Ik zou een Ubiquiti Unifi Cloud Gateway Ultra router en Ubiquiti Unifi Ultra switch gebruiken.
2 studio's sluit je dan direct aan op de router
7 studio's sluit je aan op de switch

Voor elk switchpoortje maak je een apart VLAN met als subnet 255.255.255.252 (/30) zodat op elk poortje maar één apparaat kan worden aangesloten. (De WAN-poort van de router van de bewoner)

De beheeromgeving van Ubiquiti Unifi is ook op afstand te beheren. Mocht het toch mis gaan hoef je dan direct op pad te gaan en kan je eerst proberen van afstand het issue te verhelpen. (niet vergeten toegang tot de beheerinterface vanaf de VLANs te blokkeren)

[ Voor 5% gewijzigd door FredvZ op 17-06-2024 14:44 ]

Switches met DHCP trusts naar interfaces werkt ook prima, de meeste enterprise switches hebben een dergelijke feature.

Ook oudere switches, dus het hoeft niet per se veel geld te kosten.

The Jester schreef op maandag 17 juni 2024 @ 13:35:
[...]


Maakt geen jota uit, zolang je de Ziggo router maar in VLAN1 hangt.
Wat je nodig hebt is een managed switch met ondersteuning voor voldoende VLANs.
Je geeft elke aansluiting zijn eigen VLAN en voor de switch is de gateway of last resort de SVI van VLAN1.
Verkeer gaat dan keurig via de Ziggo router naar buiten. Waar je wel op moet letten is dat je inter-VLAN verkeer niet toestaat. Dit om te voorkomen dat men op elkaars netwerk kan komen.

Een andere optie is om de mensen geen router te laten gebruiken, maar gewoon een los wireless access point.

Ziggo router heeft geen ondersteuning voor vlans, en de switch als gateway/router laten werken heb je dus een L3 switch nodig, die zijn nogal aan de prijs...

/moraalriddermodus
Je weet dat het delen van de internetverbinding bij veel providers volgens de voorwaarden niet toegestaan is?

Tevens als één van de bewoners illegale activiteiten er op nahoudt, ben je dan in staat om dat te herleidien tot één van de studio's, of ben jij straks de pineut in het geval van hacking, of auteursrechtelijke schendingen?

geenwindows schreef op maandag 17 juni 2024 @ 17:46:
[...]


Ziggo router heeft geen ondersteuning voor vlans, en de switch als gateway/router laten werken heb je dus een L3 switch nodig, die zijn nogal aan de prijs...

Valt wel mee. In de pricewatch staan ze al voor iets meer dan €100,-
Maar je kunt het inderdaad zo gek maken als je wil.

En zoals ik al zei: als je de Ziggo router in VLAN1 gooit, untagged, dan is een goedkope L3 switch een prima alternatief. Zeker omdat nu iedereen in het pand van de TS in hetzelfde broadcast-domain zit.
Als ze allemaal €15,- lappen kunnen ze die switch morgen al in huis hebben

The Jester schreef op dinsdag 18 juni 2024 @ 10:32:
[...]

Valt wel mee. In de pricewatch staan ze al voor iets meer dan €100,-
Maar je kunt het inderdaad zo gek maken als je wil.

Goedkopere optie: ipv L3 switch, scheiden in router met VLAN support (bijv MikroTik hEX) en L2 managed switch erachter.

En zoals ik al zei: als je de Ziggo router in VLAN1 gooit, untagged, dan is een goedkope L3 switch een prima alternatief. Zeker omdat nu iedereen in het pand van de TS in hetzelfde broadcast-domain zit.
Als ze allemaal €15,- lappen kunnen ze die switch morgen al in huis hebben

Dat. En als ze nog eens EUR 15 erbij doen is WiFi ook gelijk geregeld ipv iedereen eigen routertje met eigen AP met eigen instelling en een enorme cacofonie.

The Jester schreef op maandag 17 juni 2024 @ 13:35:
[...]


Maakt geen jota uit, zolang je de Ziggo router maar in VLAN1 hangt.
Wat je nodig hebt is een managed switch met ondersteuning voor voldoende VLANs.
Je geeft elke aansluiting zijn eigen VLAN en voor de switch is de gateway of last resort de SVI van VLAN1.
Verkeer gaat dan keurig via de Ziggo router naar buiten.

Hoe ga je de Ziggo router er van overtuigen dat retour verkeer van 10 onbekende subnetten via de SVI van vlan1 moet?

Ik stem ook voor een switch met private vlans/port isolation.

Dan kun je de router namelijk voor wat het is (ziggo router) en is het plug en play.
Gaat die switch ooit stuq, dan prik je weer dingen terug in de ziggo en alles blijft werken (alleen je isolation gedeelte valt dan om).

Met custom routers is dat stuk een stuk complexer.

The Jester schreef op maandag 17 juni 2024 @ 13:35:
[...]


Maakt geen jota uit, zolang je de Ziggo router maar in VLAN1 hangt.
Wat je nodig hebt is een managed switch met ondersteuning voor voldoende VLANs.
Je geeft elke aansluiting zijn eigen VLAN en voor de switch is de gateway of last resort de SVI van VLAN1.
Verkeer gaat dan keurig via de Ziggo router naar buiten. Waar je wel op moet letten is dat je inter-VLAN verkeer niet toestaat. Dit om te voorkomen dat men op elkaars netwerk kan komen.

Een andere optie is om de mensen geen router te laten gebruiken, maar gewoon een los wireless access point.

Dan moet de Ziggo router wel routes terug hebben & ook NAT'en voor die 'vlan reeksen'. Het eerste heb ik niet getest, het tweede werkt bij mij echt niet, maar kan afhangen van welk type brooddoos je van Ziggo hebt.
[/quote]

dion_b schreef op dinsdag 18 juni 2024 @ 11:12:
[...]

Goedkopere optie: ipv L3 switch, scheiden in router met VLAN support (bijv MikroTik hEX) en L2 managed switch erachter.

Precies mijn eerste post idd

laurens0619 schreef op dinsdag 18 juni 2024 @ 11:29:
Ik stem ook voor een switch met private vlans/port isolation.

Dan kun je de router namelijk voor wat het is (ziggo router) en is het plug en play.
Gaat die switch ooit stuq, dan prik je weer dingen terug in de ziggo en alles blijft werken (alleen je isolation gedeelte valt dan om).

Met custom routers is dat stuk een stuk complexer.

Alles heeft voor- en nadelen inderdaad. Maar in een dergelijke setup is vast haalbaar om wat apparatuur op de plank te leggen, zodat één defect apparaat niet direct een showstopper is.

[ Voor 33% gewijzigd door ChaserBoZ_ op 18-06-2024 12:03 ]

Twazerty schreef op dinsdag 18 juni 2024 @ 19:38:
Dus dan neem ik aan dat ik de uplink via SFP moet doen?

tl;dr Nee, niet nodig.

Ik denk het niet. Ik ken dit specifieke apparaat niet, maar normaal gesproken is er helemaal geen aparte uplink poort. Dat is gewoon een naam die we geven aan de poort die toevallig met de router verbonden is.
Sommige switches hebben een of twee poorten die extra snel zijn en meestal worden die als uplink gebruikt. Die snellere poorten gebruiken vaak SFP, maar het hoeft niet.
Volgens mij heeft deze switch dat ook niet. In dat geval heeft het helemaal geen zin om naar SFP over te stappen, die zijn dan vooral voor als je glasvezelkabels gebruikt die populair zijn in de zakelijke wereld.

Op dit moment heb je daar niks aan omdat je internetverbinding de bottleneck is, Ziggo kan toch niet meer dan 1gbit leveren. Als dat ooit veranderd (en dat verwacht ik pas over een paar jaar) dan kun je dan alsnog een SFP kopen. Al zou het best kunnen dat het dan interessanter is om een nieuwe 2.5gbit switch te kopen zodat de kamers de volle snelheid kunnen gebruiken

Twazerty schreef op dinsdag 18 juni 2024 @ 19:38:
Bedankt voor alle input. @laurens0619 komt heel dicht bij de situatie die ik voor ogen heb.

Ik lees nu 2 interessante opstellingen:

optie 1) Router met VLAN supprt + L2 Managed switch. MikroTik hEX (55 euro) + TP-Link TL-SG1016DE (70 euro) - 125 euro totaal. Ziggo router kan eventueel in bridge mode. Wisselen we naar glasvezel dan heb je hier het theoretische voordeel dat je enkel de MikroTik in het netwerk hebt zitten als router. Dat betekend wel dat ik de router moet configureren voor een nieuwe glasvezelverbinding. Het is dan geen plug en play. Door gebruik te maken van de router van de provider (ziggo of glazvezel) dan is het plug en play. Dat betekend dan wel router achter router. Beetje zoals nu, maar dan met 1 extra router ertussen.

[...]

Alle andere voorstellen met centrale wifi, meerdere centrale routers, etc zie ik niet als haalbaar (qua budget en complexiteit).


Op dit moment neig ik naar optie 2. Als iemand (naast @CAPSLOCK2000) kan bevestigen dat dit werkt heb ik iets meer zekerheid. Qua kosten is dit vrijwel gelijk aan optie 1.

Ik neig naar optie 1.

Router on a stick is een managed L2 switch gebruiken om zoveel poorten in een aparte VLAN te zetten als dat je wilt en met een tagged dot1q trunk "trek" je alle VLAN's door 1 netwerkkabel naar een router door. Voor redundantie en meer bandbreedte kan je link-aggregation instellen.



Op de router definieer je ook de VLAN's en creëer een sub-interface voor elke VLAN. 1 LAN-poort aan je router kan 10+ sub-interfaces hebben en het maakt niet uit of je een bepaalde sub-interface en VLAN als LAN- of WAN-poort wilt gebruiken. Dit is goed voor wie meer dan 1 of 2 WAN-poorten wilt.

Ik heb interesse in een gewone kabelinternetaansluiting + fiber + 4G/5G backup voor lagere kans op downtime (dat bij mijn kabelboer teveel gebeurt). De functionaliteit van 3 WAN-poorten kan ik op de switch en router zomaar configureren.

De verdere configuratie ga ik niet in detail uitschrijven: NAT PAT overload, DHCP pools,...

Het hoeft niet perse CCNA labo's te worden. Zowel switches als routers kan je ook in de web interface ipv CLI configureren.

Als je later centraal beheerde Wi-Fi wilt, dan is een managed L2 switch ook handig om de AP's aan trunkpoorten aansluiten en voor elke studio een aparte SSID met bijhorende VLAN definiëren. De bewoners van verschillende studio's kunnen op dezelfde AP via een eigen SSID op hun eigen VLAN gaan.

Je kan achteraf ook nog beveiligingscamera's toevoegen. Teveel poorten op een switch tegen beperkte meerprijs is beter dan achteraf een tweede switch toevoegen. Zolang je niet overdrijft, 48 poorten is voor 9 studio's niet nodig.

24 poorten uitvoering: TP-Link TL-SG1024DE kost niet veel meer: van 68 naar 88 euro

Twazerty schreef op dinsdag 18 juni 2024 @ 19:38:

[...]

Op dit moment neig ik naar optie 2. Als iemand (naast @CAPSLOCK2000) kan bevestigen dat dit werkt heb ik iets meer zekerheid. Qua kosten is dit vrijwel gelijk aan optie 1.

Optie 2 is het makkelijkst, en is met beperkte netwerk kennis wel te voltooien,
bij optie 1 krijg je te maken met Mikrotik's RouterOS, die vereist toch wel wat gevorderde netwerkkennis, heeft een behoorlijke leer-curve...

Mikrotik's SwitchOS is prima te configureren met enige basis kennis. paar uurtjes door de documentatie bladeren en je rijgt het wel voor elkaar...

CAPSLOCK2000 schreef op maandag 17 juni 2024 @ 13:53:
De beste oplossing is een switch met Port Isolation aka Private VLANs Wikipedia: Private VLAN . Dat is een feature die alleen communicatie met de uplink toestaat en niet tussen andere poorten onderling.

De Ziggo-router sluit je aan op de uplink en de kamers op de andere poorten van die switch. Iedereen kan dan alleen met de Ziggo-router praten. Onderling verkeer is niet meer mogelijk, dus ook geen rogue DHCP.

Naast dat het goed werkt is het een goede oplossing omdat je geen rekening hoeft te houden met wat er op de kamers gebeurt. Je hoeft geen mac-adressen bij te houden, specifieke hardware op de kamers neer te zetten, of mensen vragen om hun apparatuur op een bepaalde manier te configureren. Bij verhuizingen hoef je ook niks te veranderen.

Het nadeel is dat deze feature niet standaard is op alle switches, wellicht moet je dus een nieuwe switch kopen. Met gewone vlan's kun je miin of meer hetzelfde bereiken zoals eerder aangegeven in deze thread maar dat is iets meer werk.

Gaat die optie niet alsnog gedoe opleveren wanneer iemand z'n router verkeerd aansluit (en DHCP aan laat staan)? Dan heb je, op dat specifieke stukje van het LAN immers nog steeds 2 DHCP servers. Met dus ook het risico dat de verkeerd aangesloten eigen router aan een client eenzelfde adres uitdeelt wat de ziggo modemrouter ook al aan een andere kamer had uitgedeeld. Wat dan, ondanks de port isolation, nog steeds allemaal 1 LAN is en conflicten veroorzaakt.
Idem voor de oplossing met VLANs trouwens, of mis ik iets?

Dat is een goed punt ,daar had ik niet aan gedacht. Een dubbel ip-adres zou nog wel lastig zijn. Als de router van ziggo een niet te voor de hand liggende range wordt gekozen (10.45.123.0. ofzo) zou dat wel behoorlijk onwaarschijnlijk maken. Het beste kunnen de kamerbewoners zelf een switch of wifi-bridge neerzetten.

Er zijn betere oplossingen die dit risico niet hebben, maar die zijn wel ingewikkelder en al snel duurder, Daarom denk ik nog steeds dat het een goede aanpak is, maar het is inderdaad niet onfeilbaar.

Orion84 schreef op woensdag 19 juni 2024 @ 18:46:
Idem voor de oplossing met VLANs trouwens, of mis ik iets?

Dan gaat het alleen mis voor de bewoner die zijn router verkeerd configureerd. De overige bewoners kunnen dan ongestoord blijven internetten.

@Orion84
Dat gaat alleen mis dan als de bewoner op de poort:
- Switch aansluit
- Op poort 1 de router met DHCP server zet
- Op poort 2 de client zet die het conflicterende ip krijgt

Of dat dubbele ip daarna theoretisch dwars zit is een 2e. Hij zal namelijk als gateway de eigen router krijgen en daarheen willen communiceren. Tenzij de dhcp server ook een ip heeft wat hetzelfde is als Ziggo.

Theoretisch inderdaad risico maar ik denk wel een lage kans.

jadjong schreef op dinsdag 18 juni 2024 @ 11:21:
[...]

Hoe ga je de Ziggo router er van overtuigen dat retour verkeer van 10 onbekende subnetten via de SVI van vlan1 moet?

Kan op verschillende manieren. Bijvoorbeeld: je stelt voor de LAN-zijde 172.16.0.0/12 in en geeft alle gebruikers een eigen /16 netwerk. Is niet zo ingewikkeld:
- 172.16.0.0/16 voor VLAN1
- 172.17.0.0/16 voor de eerste huurder en zo verder.

En als je L3-switch intelligent is zou die ook kunnen NATten. Onnodig ingewikkeld, maar het kan wel

@The Jester een aanpasbaar subnet? Die memo had ik even gemist.

The Jester schreef op woensdag 26 juni 2024 @ 15:19:
Kan op verschillende manieren. Bijvoorbeeld: je stelt voor de LAN-zijde 172.16.0.0/12 in en geeft alle gebruikers een eigen /16 netwerk. Is niet zo ingewikkeld:
- 172.16.0.0/16 voor VLAN1
- 172.17.0.0/16 voor de eerste huurder en zo verder.

En als je L3-switch intelligent is zou die ook kunnen NATten. Onnodig ingewikkeld, maar het kan wel

Wat gebruik je dan als gateway in die subnets?

Meest simpele low no budget oplossing is volgens mij: DHCP uit zetten op de Ziggo router en een onverwacht IP instellen op de Ziggo router. ( dus geen .1 of .254 maar) iets als 200. Vervolgens laat je iedereen de WAN configuratie handmatig instellen op de eigen router bijvoorbeeld op.10, .20, .30 enz als host IP en Gateway natuurlijk het IP van Ziggo. Op deze manier heb je minder risico op duplicate IP adressen van routers en moet iedereen netjes zijn huiswerk doen om internet werkend te krijgen. Als er iemand een fout maakt heeft dan heeft de rest er geen last van omdat ze een handmatige config hebben op de WAN interface waardoor de verkeerd aangesloten router geen DHCP uit geeft aan de andere routers.

Deze oplossing gaat alleen werken voor IPv4 ( maar volgens mij geldt dat ook voor de andere oplossingen voor zover ik het allemaal gelezen heb)

[ Voor 12% gewijzigd door k-janssen op 28-06-2024 12:39 ]

k-janssen schreef op vrijdag 28 juni 2024 @ 12:32:
Meest simpele low no budget oplossing is volgens mij: DHCP uit zetten op de Ziggo router en een onverwacht IP instellen op de Ziggo router. ( dus geen .1 of .254 maar) iets als 200. Vervolgens laat je iedereen de WAN configuratie handmatig instellen op de eigen router bijvoorbeeld op.10, .20, .30 enz als host IP en Gateway natuurlijk het IP van Ziggo. Op deze manier heb je minder risico op duplicate IP adressen van routers en moet iedereen netjes zijn huiswerk doen om internet werkend te krijgen. Als er iemand een fout maakt heeft dan heeft de rest er geen last van omdat ze een handmatige config hebben op de WAN interface waardoor de verkeerd aangesloten router geen DHCP uit geeft aan de andere routers.

Deze oplossing gaat alleen werken voor IPv4 ( maar volgens mij geldt dat ook voor de andere oplossingen voor zover ik het allemaal gelezen heb)

Grotere groepen mensen vragen handmatig dingen te doen en dan hopen dat het goed gaat is een crime _{ik heb nog op de helpdesk gewerkt in de tijd dat mensen vaste IP-adressen moesten invullen...} Je gaat misschien conflicten tegen, maar het is ook op dat vlak niet waterdicht en support gaat bij een voor de gebruiker niet plug&play oplossing een continue hoofdpijn zijn.

Sowieso is dit als je naar totaalplaatje kijkt allerminst goedkoopste oplossing: er gaan nog steeds 9 routers gekocht moeten worden. Dat dat individueel gebeurt en niet collectief maakt uiteindelijk niets uit.

Ik blijf erbij dat het goedkoper en simpler (voor beheer maar ook voor gebruikers) is om met VLANs en gezamenlijke WiFi op basis van 802.1X te doen. Heb vorige week een training gehad waarin FreeRADIUS voorbij kwam en het is echt doodsimpel, zeker als je geen LDAP erbij nodig hebt; met 9 gebruikers kun je ze gewoon hardcoden in configfile en klaar.

Om DHCP conflicten te voorkomen bij gebruikers die alsnog iets met DHCP server aansluiten kun je eenvoudigweg port 67 outbound en 68 inbound blokkeren in ACL/firewall op de router richting de VLANs per kamer. Dan kan een client op de LAN alleen bij een server aan routerzijde, maar niet omgekeerd.

Apparatuur dat je nodig hebt is een VLAN-capable router, een VLAN-capable switch en max 3 of 4 AP's. Dat is alvast minder dan 9 routers. Een bewoner met enkele vaste PC (of laptop docking station) heeft alleen een UTP kabel nodig, verder geen hardware, en hoeft voor die vaste PC niets in te stellen zolang DHCP client aan staat. Draadloos heeft iedereen een gebruikersnaam en wachtwoord waar draadloze meuk op kan dat dan automatisch in zelfde (V)LAN zit als hun bedrade appaaratuur en gescheiden van die van andere bewoners.

dion_b schreef op vrijdag 28 juni 2024 @ 14:57:
[...]

Grotere groepen mensen vragen handmatig dingen te doen en dan hopen dat het goed gaat is een crime _{ik heb nog op de helpdesk gewerkt in de tijd dat mensen vaste IP-adressen moesten invullen...} Je gaat misschien conflicten tegen, maar het is ook op dat vlak niet waterdicht en support gaat bij een voor de gebruiker niet plug&play oplossing een continue hoofdpijn zijn.

Sowieso is dit als je naar totaalplaatje kijkt allerminst goedkoopste oplossing: er gaan nog steeds 9 routers gekocht moeten worden. Dat dat individueel gebeurt en niet collectief maakt uiteindelijk niets uit.

Ik blijf erbij dat het goedkoper en simpler (voor beheer maar ook voor gebruikers) is om met VLANs en gezamenlijke WiFi op basis van 802.1X te doen. Heb vorige week een training gehad waarin FreeRADIUS voorbij kwam en het is echt doodsimpel, zeker als je geen LDAP erbij nodig hebt; met 9 gebruikers kun je ze gewoon hardcoden in configfile en klaar.

Om DHCP conflicten te voorkomen bij gebruikers die alsnog iets met DHCP server aansluiten kun je eenvoudigweg port 67 outbound en 68 inbound blokkeren in ACL/firewall op de router richting de VLANs per kamer. Dan kan een client op de LAN alleen bij een server aan routerzijde, maar niet omgekeerd.

Apparatuur dat je nodig hebt is een VLAN-capable router, een VLAN-capable switch en max 3 of 4 AP's. Dat is alvast minder dan 9 routers. Een bewoner met enkele vaste PC (of laptop docking station) heeft alleen een UTP kabel nodig, verder geen hardware, en hoeft voor die vaste PC niets in te stellen zolang DHCP client aan staat. Draadloos heeft iedereen een gebruikersnaam en wachtwoord waar draadloze meuk op kan dat dan automatisch in zelfde (V)LAN zit als hun bedrade appaaratuur en gescheiden van die van andere bewoners.

FreeRadius is idd simpel, zeker als je de GUI eromheen gebruikt. Maar ik kan me voorstellen dat iedere huurder een 'eigen stukje' wenst, met een eigen router/wifi.

Ik zou DHCP verder niet meer filteren per vlan, dat is broadcast verkeer wat sowieso het vlan niet verlaat (tenzij je dat expliciet configureert). Het enige andere apparaat is de laag3 interface van firewall/router/switch, die alleen uitdeelt, niet vraagt.

ChaserBoZ_ schreef op vrijdag 28 juni 2024 @ 15:15:
[...]


FreeRadius is idd simpel, zeker als je de GUI eromheen gebruikt. Maar ik kan me voorstellen dat iedere huurder een 'eigen stukje' wenst, met een eigen router/wifi.

Met VLANs hebben ze exact dat - alles wat uit de UTP-poort in hun kamer komt (nouja, specifieker: uit de aan hen toegewezen poort op de centrale switch) is van hen, ze kunnen een switch erachter hangen voor meer computers. En WiFi zit op zelfde VLAN (die toegewezen wordt op basis van RADIUS config) dus alle draadloze dingen kunnen met bedrade dingen communiceren, en de draadloze dingen van de buren kunnen er niet mee communiceren.

Ik zou DHCP verder niet meer filteren per vlan, dat is broadcast verkeer wat sowieso het vlan niet verlaat (tenzij je dat expliciet configureert). Het enige andere apparaat is de laag3 interface van firewall/router/switch, die alleen uitdeelt, niet vraagt.

Zolang het broadcast is, gaat dat goed, maar clients kunnen ook unicast doen als ze denken de DHCP server al te kennen - je zou corner cases kunnen krijgen waarin iemand z'n DHCP server niet alleen aan de LAN hangt maar ook nog zelfde IP geeft als de centrale DHCP server, waardoor het mogelijk gerichte unicast requests zou kunnen krijgen waar het dan op gaat reageren. Er is geen reden waarom een DHCP discover of request richting een van de kamers zou moeten gaan of een DHCP offer of ack richting de router, dus kan allerminst kwaad dat tegen te houden.

dion_b schreef op vrijdag 28 juni 2024 @ 14:57:
[...]

Grotere …….bewoners.

Eens dat potentieel lastig is om per studio de instelling goed te krijgen maar mijn oplossing maakt fout opsporing eenvoudig zonder budget. In de OP staat duidelijk dat iedere studio zijn eigen router moet aanleveren ( of iets dat mij die conclusie doet trekken). Tussenoplossing kan dhcp snooping zijn op een switch maar als je een totaal oplossing wil bieden dan iedere studio een eigen vlan en eigen accesspoint met een redelijke router die het werk van de ziggo router over kan nemen aangezien die niet met glans m kan gaan maar dan valt er voor de bewoners ook niet zo veel meer te kiezen en levert je naast de min of meer eenmalige configuratie voordelen niet zo veel op. We hebben het hier immers maar over 9 studios geen helpdesk van een ISP.

Mijn oplossing leek mij de problemen te adresseren op een KISS manier

[ Voor 3% gewijzigd door k-janssen op 28-06-2024 21:21 ]

k-janssen schreef op vrijdag 28 juni 2024 @ 21:20:
[...]

Eens dat potentieel lastig is om per studio de instelling goed te krijgen maar mijn oplossing maakt fout opsporing eenvoudig zonder budget. In de OP staat duidelijk dat iedere studio zijn eigen router moet aanleveren ( of iets dat mij die conclusie doet trekken).

Correct. Dat is dus 9x een router/AP kopen. Wederom of de studio/kamer het rechtstreeks betaalt of via servicekosten maakt het niet uit, er moet negen keer iets komen en de gebruikers betalen. Mijn oplossing levert meer gemak en gelijke (of in geval van WiFi: betere) performance voor de prijs van hooguit vijf keer router/AP-categorie apparaat.

Tussenoplossing kan dhcp snooping zijn op een switch maar als je een totaal oplossing wil bieden dan iedere studio een eigen vlan en eigen accesspoint met een redelijke router die het werk van de ziggo router over kan nemen aangezien die niet met glans m kan gaan maar dan valt er voor de bewoners ook niet zo veel meer te kiezen en levert je naast de min of meer eenmalige configuratie voordelen niet zo veel op. We hebben het hier immers maar over 9 studios geen helpdesk van een ISP.

Ieder studio z'n eigen AP levert negen netwerken op een kluitje In 2.4GHz zijn er drie niet-overlappende kanalen als je 20MHz gebruikt, en veel consumentenapparatuur doet default 40MHz waar je hooguit twee hebt en die overlappen per definitie met alle 20MHz kanalen die evt in gebruik zijn. In de 5GHz heb je met de default 80MHz vier bruikbare kanalen, maar gemiddeld consumentenmeuk doet geen DFS en gaat dus altijd op dezelfde (eerste) van die kanalen zitten. Erger nog: met WiFi-6 zie je deffault naar 160MHz verschuiven. Daar heb je dus maar twee van, zelfs met DFS. Dat is zonder management een totale bende waar buren elkaar gaan proberen te overschreeuwen en iedereen gaat klagen richting eigenaar dat 'het internet' ruk is.

Als je mensen geen eigen passieve overnamepunt geeft waardoor ze zelf een abo bij de provider af kunnen nemen (en de cacafonie in de lucht hun probleem is, niet die van de eigenaar), hebben ze sowieso fundamentele dingen niet te kiezen. Dan kun je het net zo goed fatsoenlijk inrichten in plaats van vleesch ncch visch wat alleen maar gedonder gaat opleveren.

Ruckus DPSK met een verzameling vlan kan ook. 1 SSID en een password per vlan.

dion_b schreef op vrijdag 28 juni 2024 @ 21:52:
[...]

Correct. Dat is dus 9x een router/AP kopen. Wederom of de studio/kamer het rechtstreeks betaalt of via servicekosten maakt het niet uit, er moet negen keer iets komen en de gebruikers betalen. Mijn oplossing levert meer gemak en gelijke (of in geval van WiFi: betere) performance voor de prijs van hooguit vijf keer router/AP-categorie apparaat.

[...]

Ieder studio z'n eigen AP levert negen netwerken op een kluitje In 2.4GHz zijn er drie niet-overlappende kanalen als je 20MHz gebruikt, en veel consumentenapparatuur doet default 40MHz waar je hooguit twee hebt en die overlappen per definitie met alle 20MHz kanalen die evt in gebruik zijn. In de 5GHz heb je met de default 80MHz vier bruikbare kanalen, maar gemiddeld consumentenmeuk doet geen DFS en gaat dus altijd op dezelfde (eerste) van die kanalen zitten. Erger nog: met WiFi-6 zie je deffault naar 160MHz verschuiven. Daar heb je dus maar twee van, zelfs met DFS. Dat is zonder management een totale bende waar buren elkaar gaan proberen te overschreeuwen en iedereen gaat klagen richting eigenaar dat 'het internet' ruk is.

Als je mensen geen eigen passieve overnamepunt geeft waardoor ze zelf een abo bij de provider af kunnen nemen (en de cacafonie in de lucht hun probleem is, niet die van de eigenaar), hebben ze sowieso fundamentele dingen niet te kiezen. Dan kun je het net zo goed fatsoenlijk inrichten in plaats van vleesch ncch visch wat alleen maar gedonder gaat opleveren.

Maar als er in de OP staat dat iedere studio zijn eigen lokale infra moet regelen en er een oplossing gezocht wordt voor ongewenste DHCP servers die anderen tot last zijn dan probeer ik mijn oplossing te beperken tot de vraag er is nergens gezegd dat er problemen zijn met gedeelde kanalen of overlappende kanalen. Dat je een andere mening hebt is prima ik zag vooral overengineerd oplossingen terwijl het heel simpel ook kan.

volgens mij laat dit weinig ruimte tot misverstanden:

Situatieschets:
Huis met 9 studio's. Iedere kamer voorzien van een netwerkaansluting in de muur. Ziggo verbinding met ziggo router. Iedere bewoner dient zijn eigen router aan te sluiten voor wifi.

maar goed, het zal wel aan mij liggen. Ik zal mijn onzin in het vervolg voor mij houden.

k-janssen schreef op zaterdag 29 juni 2024 @ 12:08:
[...]


Maar als er in de OP staat dat iedere studio zijn eigen lokale infra moet regelen en er een oplossing gezocht wordt voor ongewenste DHCP servers die anderen tot last zijn dan probeer ik mijn oplossing te beperken tot de vraag er is nergens gezegd dat er problemen zijn met gedeelde kanalen of overlappende kanalen. Dat je een andere mening hebt is prima ik zag vooral overengineerd oplossingen terwijl het heel simpel ook kan.

volgens mij laat dit weinig ruimte tot misverstanden:

Situatieschets:
Huis met 9 studio's. Iedere kamer voorzien van een netwerkaansluting in de muur. Ziggo verbinding met ziggo router. Iedere bewoner dient zijn eigen router aan te sluiten voor wifi.

maar goed, het zal wel aan mij liggen. Ik zal mijn onzin in het vervolg voor mij houden.

Ben jij de TS? Nee. Ga dan ook niet voor hem praten. Ik geef een mogelijk oplossing aan dat in gebruik en beheer eenvoudiger zal zijn voor lagere totaal kosten. Het is aan TS om te bepalen of hij daar oor naar heeft of niet.

WiFi is niet in ts ter sprake gekomen, maar ik voeg iets toe op basis van mijn kennis en ervaringen van wat er gebeurt in situaties als dit, ook getuige de vele topics die gestart worden door mensen in zo'n gebouw waar iedereen maar geacht wordt iets te kopen en het een puinhoop is.

Context was sowieso mensen die met 'oplossingen' komen als router een ongebruikelijk IP-adres geven om kans op conflict te reduceren. Dat kan beter.

[ Voor 4% gewijzigd door dion_b op 29-06-2024 12:20 ]