Instellen Extra IP adressen Delta glasvezel

Er zijn twee manieren waarop je het kan doen.

1. Je maakt een tweede interface onder jouw interne netwerk waar van je een van de 8 adressen gebruikt als interface adres. Voorbeeld je hebt 81.1..1.0/29 gekregen. Dan kan je 81.1.1.0 en 81.1.1.7 niet gebruiken want dat zijn netwerk en broadcast adressen. Je stelt dan 81.1.1.1 in als ip adres op de interface en dan kan je 81.1.1.2 tot en met 81.1.1.6 gebruiken als ip adressen van servers.

2. Delta routeert 81.1.1.0/29 naar jouw externe ip adres. Dan stel je in de firewall in dat een intern ip vanuit vlan 107 wordt vertaald naar naar 1 van de ip adressen uit jouw externe blokje (NAT).

jos dumont schreef op maandag 30 september 2024 @ 16:11:
Ik heb van Delta een subnet ( 81.***.***.***/29) gekregen waarmee ik 8 extra IP adressen moet kunnen gebruiken.

Je hebt 81.*.*.*/29 gekregen zeg je.

Dan heb je 6 IP's beschikbaar met netmask 255.255.255.248.
Delta zal jou ook de gateway IP hebben doorgegeven. De rest is dan als wij uit gaan van de standaard indelingen:

Network ID is 81.*.*.*
IP adres 1 is 81.*.*.(*+1)
IP adres 2 is 81.*.*.(*+2)
IP adres 3 is 81.*.*.(*+3)
IP adres 4 is 81.*.*.(*+4)
IP adres 5 is 81.*.*.(*+5)
IP adres 6 is 81.*.*.(*+6)
Broadcast is dan het laatste adres 81.*.*.(*+7)

jos dumont schreef op maandag 30 september 2024 @ 21:17:
[...]


Hoi Seriph,
Bedankt voor jou reactie.
Kun je mij aub op de bijgevoegde afbeelding aangeven wat ik waar moet invullen? Ik neem aan dat ik hier ook het Vlan moet taggen. Maar wordt dit dan een Lan of Wan interface?

[Afbeelding]

Omdat een plaatje meer zegt dan woorden.




Je hebt aan jouw WAN 1 adres 82.123.145.19. Dat is het internet adres. Dat heb je van Delta gekregen. Dat is jouw WAN adres of ook wel jouw outside.

Je hebt een extra subnet gekregen van Delta. Ik ga ervanuuit dat Delta dat subnet op een of andere manier naar jou heeft gerouteerd. Dat komt dan aan op 82.123.145.19. Daar moet de firewall iets mee doen. Dat kan op twee manieren.

1. Jij behandelt dat als een VIP (Virtual IP) pool en maakt in jouw firewall statische of dynamische NAT pools aan. Statische doe je 1 intern ip adres direct 1 op 1 vertalen naar een extern ip adres. Dynamisch doe je een interne ip reeks vertalen naar 1 extern ip adres. (Dat is waarschijnlijk ook hoe de firewall jouw huidige WAN ip adres behandelt).

2. Je maakt zoals op het plaatje een tweede LAN interface aan. Dat kan al op een fysieke interface of in een vlan. Je geeft dan 1 van de adressen (in het plaatje 81.1.1.1) aand de firewall en de andere 5 adressen kun je dan vrij uitgeven aan machines in het server netwerk. In het server netwerk gebruik je dan geen DHCP maar geef je iedere server zijn eigen ip adres.

Mijn voorkeur heeft het wel om servers en gebruikersmachines gescheiden te houden zodat je verkeer daartussen kan reguleren.

Hoe ik jouw plaatje zou invullen zonder verdere kennis van de andere instellingen van de firewall

Wat je ook kunt doen:
Een switch met een WAN-VLAN met 3 poorten untagged, bijvoorbeeld 999
Kabel van delta doe je op de eerste untagged poort.
Dan een kabel vanaf untagged poort naar je WAN1 van je FG met je primaire externe adres.
En een kabel vanaf untagged poort naar WAN2 van je FG met je secundaire extenre adres.
Beide poorten configureer je als WAN uiteraard.
Dit kun je in je FG als SD-WAN/Virtuel Wan Link, instellen. Daar stel je ook de gateway in.

99% zeker dat Delta jouw "nieuwe" subnet routeert naar het adres wat jij nu als "WAN" adres ziet.
Het is logisch dat je geen gateway krijgt van Delta want die is er namelijk ook niet, Jouw Fortigate wordt namelijk de gateway/router om dit subnet af te handelen. Nu is mijn ervaring met Fortigate beperkt maar kun je geen loopback interfaces aanmaken met de IP-adressen?
Normaal zou ik zeggen:
1: Maak per IP-adres een loopback interface aan (met het IP-adres erop geconfigureerd).
2: Configureer source NAT (per IP) voor uitgaande verbindingen.
3: Eventuele DNAT voor binnenkomende verbindingen.
4: Firewall?

Het zou best kunnen dat Fortigate VIP's kan aanmaken net als bijvoorbeeld Pfsense dan zou je aan 1 (loopback) interface genoeg hebben. Ik ben persoonlijk altijd een beetje huiverig om in dit soort situaties een fysieke poort te gebruiken voor het extra WAN subnet, deze kunnen namelijk nog wel eens down gaan.

jos dumont schreef op maandag 30 september 2024 @ 16:11:
Ik heb al diverse keren met Delta gebeld. Zij kunnen mij niet veel verder helpen. Het enige wat steeds duidelijk gezegd wordt is dat mijn primaire adres moet blijven bestaan en dat de Extra IP adressen toegevoegd moeten worden en vervolgens gerouteerd moeten worden naar het primaire adres.

Ben jij de netwerkbeheerder daar? Want een routed subnet is echt extreem basic IPv4, en wat de rest al zegt: Delta routeert verkeer voor dat subnet naar jouw "primaire adres".

Verkeer voor dat subnet komt binnen op je primaire adres, je router kijkt in de routetabel naar welke interface het moet en stuurt het daar heen. Zoals gezegd kan dat ook een virtuele / loopback interface zijn waarna je kunt NATten.

Hallo, ik heb sinds kort ook zakelijk glasezel van Delta.
Ik lees dat ik de wifi modem (de welbekende Nokia) niet in bridge kan zetten
Dit kunnen we later mogelijk oplossen door een andere modem

Op dit moment krijg ik ook geen ip adres op mijn router
(UDM Pro)
Op de laptop direct aangesloten zie ik wel een ip adres

iemand tips?

jos dumont schreef op maandag 30 september 2024 @ 16:11:
...

Relevante software en hardware die ik gebruik:

Nokia XS-010X-Q Bridged modem
Fortigate FortiGate 80E Firewall

Wat ik al gevonden of geprobeerd heb
...
Ik heb onder de fysieke WAN2 interface een Vlan (107) interface aangemaakt en ingesteld met DHCP. Deze werkt en ik kan internetten op het primaire IP adres dat ik van Delta heb.

Hallo Jos en anderen, ik heb bij mijn bedrijf vrijwel dezelfde opstelling (met een Fortigate 60E), maar de Delta verbinding is niet actief te krijgen. We hebben met Delta al alles gehad wat mis kan gaan (kabelbreuk, wijkkast onder water, modem kapot) en nu hebben we eindelijk licht op de vezel. De PON heeft netjes signaal, maar ik krijg geen internet actief.
Ik kreeg van Delta de volgende instellingen door:


Ik heb de volgende instellingen in de Fortigate gezet:

edit "wan2"
set vdom "root"
set allowaccess ping
set type physical
set alias "WAN-Delta"
set monitor-bandwidth enable
set role wan
set snmp-index 2
set mtu-override enable
set mtu 1508
next

edit "Delta Internet"
set vdom "root"
set mode dhcp
set allowaccess ping
set device-identification enable
set role lan
set snmp-index 31
set interface "wan2"
set mtu-override enable
set mtu 1508
set vlanid 107
next

Delta geeft een afwijkende MTU aan van 1508 ipv de standaard 1500. Maar ook dit op 1500 zetten helpt niet.
Ook heb ik VLAN 100 geprobeerd (voor de particuliere verbindingen) maar ook zonder resultaat.

Heeft een van jullie de Fortigate instellingen waarmee het bij jullie wel werkt?

Alvast bedankt, PaulW

Een update:

De specialisten van Delta geven nu aan dat de MTU size op 1500 moet staan. Ik heb dit gedaan, maar dan werkt het nog steeds niet.
Ook heb ik nog een packet trace gemaakt van de WAN2 en de VLAN interface, maar daar zie ik alleen maar DHCP broadcasts langskomen.

Firmware versie van de Fortigate 60E is 7.2.11