Kabelnoord zakelijk - eigen firewall + router

Als je die Fortigate wil gebruiken dan zou ik die neerzetten in plaats van je router. Zo'n Fortigate kan die taken namelijk ook prima uitvoeren.

Apparaten die we "Firewall" of "Router" noemen zijn steeds meer op elkaar gaan lijken en zijn steeds vaker voorzien van elkaars functionaliteiten. De kans is best groot dat het appraat wat je nu "router" ook een ingebouwde firewall heeft.


Mocht je de Fortigate gaan gebruiken dan moet je inderdaad het MAC-adres daarvan doorgeven aan Kabelnoord. Er zitten twee WAN-poorten op de Fortigate, met elk een eigen MAC-adres. Alleen het MAC-adres van de poort waar je Kabelnoord op aansluit hoef je door te geven.

space_lion schreef op donderdag 25 juli 2024 @ 10:38:
Hi allen,

Ik ben helaas geen netwerk guru, dus vandaar dat ik hier mijn vraag kom stellen. Ik ga straks verhuizen en neem dan glasvezel zakelijk (vast ip) af bij kabelnoord.

Ik weet dat ik in geval van eigen router aansluiten het Mac-adres moet doorgeven, maar vroeg me af hoe het werkt als ik er een firewall tussen zou willen hebben, heeft iemand daar ervaring mee?

Ik heb straks een tweedehands fortigate 60e in bezit namelijk. Heb wel wat ervaring met beheer van de apparatuur op kleine schaal, en eigen router instellen lukt ook wel, maar de initiële aansluiting van een firewall in het netwerk heb ik geen ervaring mee. Hij moet voor de router, dat weet ik, maar hoe zit dit dan met aansluiting op kabelnoord modem? Moet ik daarvan dan dus het Mac-adres gaan doorgeven?

Bedankt voor het meedenken

1. Waarom zakelijk? De TS is wel erg incompleet.
2. Met de context van de TS kan ik maar 1 conclusie maken: huur iemand in. Je benoemd een zakelijke aansluiting en een Fortigate. Een zakelijke aansluiting kost meer dan een consumentenaansluiting en heeft daarmee ook een hogere SLA en afspraken met de provider. Vanaf dit punt is het speculatie maar: ik ga ervan uit dat je niet voor je lol extra wil betalen en daarom dan ook bewust heb gekozen voor een business lijntje. En daarmee dan ook behoefte heb aan deze extra dikke SLA voor bijv een aantal vaste diensten welke je achter de Fortigate wil draaien.
3. Die Fortigate zijn complete cursussen voor en zijn 100 wegen voor naar Rome. Ga je dat ding in proxy of flow mode draaien? Je VPN IPSEC of L2TP? Hoeveel adressen heb je op de zakelijke lijn en ga je deze opvangen met een aantal VIP's? Ga je je netwerk segmenteren met VLAN's? Ik noem maar wat Fortinet gerelateerde dingen maar je snapt hopelijk waar ik op doel.

space_lion schreef op donderdag 25 juli 2024 @ 11:29:
[...]


Dank voor je reactie, echter kan zo’n fortigate geen wifi uitzenden dacht ik? Daar wil ik graag nog wel gebruik van maken namelijk.
De functies die ik zou willen gebruiken is o.a. vpn en mijn router voor wifi. Hoe zou ik dit moeten indelen dan?

De 60e heeft geen wifi aan boord. Daarvoor zal je naar een Wifi alternatief moeten kijken. Mocht het om een huis-tuin-keuken setup gaan zou ik de access point lijn van Fortigate niet adviseren. Dat is de Fortinet oplossing, integreert leuk met een Fortigate (router / firewall) maar kost veel te veel voor een simpele setup.

[ Voor 7% gewijzigd door Yariva op 25-07-2024 11:35 ]

space_lion schreef op donderdag 25 juli 2024 @ 11:29:
[...]
De functies die ik zou willen gebruiken is o.a. vpn en mijn router voor wifi. Hoe zou ik dit moeten indelen dan?

Wifi access points na je firewall, heeft Kabelnoord niks meer mee te maken.

Ik zou iemand inhuren die een ochtend dat voor je inregelt, dan heb je meteen een goed geconfigureerde firewall. Je geeft aan dat je er niet heel kennis van hebt, dan is een Fortigate goed configureren niet zo even gedaan.

space_lion schreef op donderdag 25 juli 2024 @ 11:35:
@Yariva ik ben ZZPer en gebruik een vast ip-adres voor connecties met klantomgevingen. Dat is de reden voor zakelijke aansluiting.

Duidelijk, maar dit kan ook met genoeg commerciële lijnboeren zoals een Freedom internet. Dat je huidige IP adres nu bij een zooi klanten in de ACL's zit snap ik maar dit maakt je wel erg afhankelijk van de provider en eventuele toekomstige kostenverhogingen.

Hoe ik dit altijd aan pak is ergens een centraal punt hebben in een datacenter en vanuit daar doorhoppen naar klanten. Hoeft niet veel te kosten en zorgt wel dat je provider onafhankelijk bent. Een beetje captain hindsight vibes maar wie weet heb je er iets aan.

Nog mooier natuurlijk met eigen IP space maar dan gaat de kassa wel rinkelen en zou overkill zijn voor de situatie.

Overigens nog inhoudelijk op je vraag: houdt er ook rekening mee dat zo'n Fortigate een abonnement vereist voor de NGFW functionaliteit. Voor VPN functionaliteit, routing en wat basis L4 firewalling voldoet hij prima zonder licentie. Zo heb ik hem ook draaien in de meterkast. Maar zodra je de daadwerkelijk leuke dingen zoals IPS / IDS, Antivirus, Web filtering etc. wil inschakelen dan is een jaarlijkse licentie a €80 verplicht.

[ Voor 19% gewijzigd door Yariva op 25-07-2024 12:44 ]

space_lion schreef op donderdag 25 juli 2024 @ 11:29:
[...]


Dank voor je reactie, echter kan zo’n fortigate geen wifi uitzenden dacht ik? Daar wil ik graag nog wel gebruik van maken namelijk.
De functies die ik zou willen gebruiken is o.a. vpn en mijn router voor wifi. Hoe zou ik dit moeten indelen dan?

Beste optie is inderdaad de Fortigate als router/firewall in te zetten en dus ook voor VPN (ondersteunt SSL en IPSec VPN waarvan die laatste fatsoenlijke hardware offload heeft en dus sneller is). Wi-Fi moet je altijd los zien van een router omdat een combinatieapparaat vrijwel altijd een vervelende compromis is, hoewel er ook een FortiWiFi bestaat (Fortigate met ingebouwde WiFi), maar die zijn niet heel bijzonder.

Als je al een Asus router hebt kan die prima als AP inzetten, sluit hem dan ook LAN to LAN aan, dus de WAN poort van de Asus niet aansluiten, zo voorkom je dat een verkeerd geconfigureerde Asus router IP adressen gaat uitdelen en je in de weg gaat zitten. Als het ding een aparte AP modus heeft, nog beter

nelizmastr schreef op vrijdag 26 juli 2024 @ 16:10:
Als je al een Asus router hebt kan die prima als AP inzetten, sluit hem dan ook LAN to LAN aan, dus de WAN poort van de Asus niet aansluiten, zo voorkom je dat een verkeerd geconfigureerde Asus router IP adressen gaat uitdelen en je in de weg gaat zitten.

Als je de LAN van de Asus op de LAN van de Fortinet aansluit zit je opeens met twee actieve DHCP-servers en dan krijg juist wat je niet wil hebben.
Dus eerst de DHCP-server uitzetten op de Asus, dan kan de LAN-poorten van beide apparaten onderling verbinden/

FredvZ schreef op vrijdag 26 juli 2024 @ 16:42:
[...]

Als je de LAN van de Asus op de LAN van de Fortinet aansluit zit je opeens met twee actieve DHCP-servers en dan krijg juist wat je niet wil hebben.
Dus eerst de DHCP-server uitzetten op de Asus, dan kan de LAN-poorten van beide apparaten onderling verbinden/

Dat was ik inderdaad vergeten te vermelden. Dat doe ik impliciet maar dat geldt natuurlijk niet voor iedereen.