VLANs in zelfde subnet? - Serversoftware en clouddiensten

zondag 16 november 2003 13:12

Acties:

0 Henk 'm!

Topicstarter

Ik ben bang dat wat ik wil niet kan maar kan iemand me uitleggen waarom niet... of mischien toch wel!

Switches HP 4000 en 2524 en 2650
server1 in VLAN 100 tm. 200
server2 in VLAN 300 tm. 400
clients in VLANs 110 tm. 200 moeten elkaar niet zien; wel bij server1,
clients in VLANs 310 tm. 400 idem maar dan met server2

Wat ik graag zou willen is een netwerk range gebruiken. Nu moet ik op de server per VLAN een IP adres opgeven. Maw. moeten deze allemaal in verschillende ranges zitten

Heeft iemand hier een verklaring voor?
Zoals je zult begrijpen heb ik geen zin om per VLAN een DHCP scope aan te maken... Vindt het op deze manier zo onnodig gecompliceerd; het gaat immers om layer2... Dus in theorie zou het imo moeten kunnen met een subnet!
(Het is geen Cisco apparatuur dus als die proprietary oplossingen hebben vind ik het wel leuk om te weten maar kan ik er niet veel mee)

Heb het eea over 802.1q, tagging, trunking ed gelezen. ACL mischien?

[ Voor 5% gewijzigd door nilski op 16-11-2003 13:23 ]

WAZUUUUUUUP!!!!!

zondag 16 november 2003 15:07

Acties:

0 Henk 'm!

Anoniem: 56990

In jouw situatie kom je er niet onderuit om voor elke VLAN een DHCP range aan te maken.

Het is geen enkel probleem om elk VLAN hetzelfde IP subnet te geven, maar dan kun je ze niet aan elkaar knopen (via een router of server). Anders weet het de server toch niet van welke PC het pakket komt, of waar een pakket heen moet.

Er moet voor elke subnet een DHCP range komen. Dat is toch eigenlijk geen probleem? Zo vaak wijzigt het toch niet?

zondag 16 november 2003 16:26

Acties:

0 Henk 'm!

nilski

Topicstarter

Was ik idd bang voor. Het is voor een congres die 2 dagen duurt...
Hoopte dat er een oplossing voor was zodat ik met 1 subnet uitkan... Dat zou me een hoop ellende besparen. Per VLAN vreet de NIC ook memory en wat die server er van gaat vinden met 50 a 60 VLANs vraag ik me ook af...

WAZUUUUUUUP!!!!!

zondag 16 november 2003 20:42

Acties:

0 Henk 'm!

Anoniem: 28557

Wat bedoel je precies met "VLAN 100 tm. 200"? Bedoel je daarmee "tot en met", oftwel 100 VLANs? Dat lijkt me wel wat overdreven. Begin eens met uit te leggen waarom je dat op deze manier wil en waarom je denkt dat dit de beste oplossing is? Om hoeveel clients gaat het in totaal?

zondag 16 november 2003 21:37

Acties:

0 Henk 'm!

jochemd

nilski schreef op 16 november 2003 @ 13:12:
Ik ben bang dat wat ik wil niet kan maar kan iemand me uitleggen waarom niet... of mischien toch wel!

Switches HP 4000 en 2524 en 2650
server1 in VLAN 100 tm. 200

Ik zou maar eens in de documentatie van je switches gaan kijken hoeveel VLANs ze aan kunnen. Zo uit mijn hoofd zou ik zeggen dat die 2524's niet meer dan 32 VLANs aankunnen en die 4000s niet meer dan 64.

Wat ik graag zou willen is een netwerk range gebruiken. Nu moet ik op de server per VLAN een IP adres opgeven. Maw. moeten deze allemaal in verschillende ranges zitten
Heeft iemand hier een verklaring voor?

DHCPCISCOVER == broadcast

Waarom gooi je ze niet allemaal in 1 VLAN en geef je ze een /32 als subnet mask?

zondag 16 november 2003 23:52

Acties:

0 Henk 'm!

SED

nilski schreef op 16 november 2003 @ 16:26:
Was ik idd bang voor. Het is voor een congres die 2 dagen duurt...
Hoopte dat er een oplossing voor was zodat ik met 1 subnet uitkan... Dat zou me een hoop ellende besparen. Per VLAN vreet de NIC ook memory en wat die server er van gaat vinden met 50 a 60 VLANs vraag ik me ook af...

Ik vermoed zo dat jij hier VLan en VPN door elkaar aan het halen bent?
Klopt dat?

[ Voor 12% gewijzigd door SED op 16-11-2003 23:53 ]

Copyright and left by SED...

dinsdag 18 november 2003 21:21

Acties:

0 Henk 'm!

nilski

Topicstarter

nenee, niks door elkaar gehaald. snap het nu; OS (operating system) snapt geen vlans, NIC wel. Als OS pakketje terugslingerd moet NIC weten welke interface hij moet gebruiken. Ergo moeten er apparte subnetten komen.
vlans waren niet mijn idee. Security boys willen het graag zo.. Geeft wel veel ge-emmer met AD

enneh, idd het moeten totaal zo'n 64 VLANs worden!!! (een server krijgt er over de 40 voor z'n kiezen) de NIC moet er 64 aan kunnen, de switches idd minder. Gelukkig hoef ik die niet te doen... Krijg waarschijnlijk wel poep

[ Voor 28% gewijzigd door nilski op 18-11-2003 21:24 ]

WAZUUUUUUUP!!!!!

dinsdag 18 november 2003 22:28

Acties:

0 Henk 'm!

SED

Jij wilt op een NIC 64 Vlans koppelen door ze allemaal een apart IP numer toe te kennen?
Dus je haalt eerst het netwerk uit elkaar door vlans te definieren en dan koppel je ze weer op een NIC en dat allemaal onder de vlag van veiligheid?
Vervolgens moet de server als router gaan functioneren door al die IP adressen aan te sturen en uit elkaar te houden vwb verkeer. Gebruik je daarvoor een isa server of doe je dat gewoon binnen w2k?

Ik zal hier wel iets missen maar ben vreselijk benieuwd wat je daarmee wilt bereiken.

Copyright and left by SED...

woensdag 19 november 2003 09:08

Acties:

0 Henk 'm!

Anoniem: 28557

Kan je niet beter de server op 1 VLAN zetten en een router gebruiken om die 64 VLAN's te routeren. Ik vraag me alleen nog steeds af of dit wel nodig is... nogmaals: waarom denk je dat dit de beste oplossing is en om hoeveel clients gaat het?

donderdag 20 november 2003 00:56

Acties:

0 Henk 'm!

reddog33hummer

Dat schept mogelijkheden

Mijn cristallen bol vermoed dat ze elke client in een apart vlan proberen te drukken om zo een afgescheiden punt naar client verbinding te krijgen. Ik denk dat je beter kan gaan routen en de broadcasts niet over de hele switch moet gaan laten lopen.

[ Voor 26% gewijzigd door reddog33hummer op 20-11-2003 00:57 ]

Backup not found (R)etry (A)bort (P)anic<br\>AMD 3400+ 64, 2 GB DDR, 1,5 TB Raid5

donderdag 20 november 2003 01:09

Acties:

0 Henk 'm!

nescafe

Kan me alleen voorstellen dat dit is om meegebrachte laptops niet met elkaar te kunnen laten praten. Misschien dat je een optie hebt om broadcasts uit te zetten, lijkt mij meer dan voldoende. VLAN's zijn hier niet voor bedoeld.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

donderdag 20 november 2003 12:12

Acties:

0 Henk 'm!

JackBol

Security is not an option!

nescafe schreef op 20 november 2003 @ 01:09:
Kan me alleen voorstellen dat dit is om meegebrachte laptops niet met elkaar te kunnen laten praten. Misschien dat je een optie hebt om broadcasts uit te zetten, lijkt mij meer dan voldoende. VLAN's zijn hier niet voor bedoeld.

als het toch maar voor 2 dagen is, zou ik gewoon alle clients een ip adres geven met een /32 netwerkmask, en vervolgens de default gateway naar de server laten wijzen.

ben je van al het gezeik af.

(PS. zorg er wel voor dat je de netwerksettings in windows goed afschermd)

De actuele opbrengst van mijn Tibber Homevolt

donderdag 20 november 2003 12:45

Acties:

0 Henk 'm!

Anoniem: 28145

Hoeveel VLAN's wil je nu eigenlijk?

Waarom mogen de clients elkaar niet zien?

Wat is je doel?

donderdag 20 november 2003 14:12

Acties:

0 Henk 'm!

Anoniem: 28557

Dirk-Jan schreef op 20 november 2003 @ 12:12:
als het toch maar voor 2 dagen is, zou ik gewoon alle clients een ip adres geven met een /32 netwerkmask, en vervolgens de default gateway naar de server laten wijzen.

ben je van al het gezeik af.

(PS. zorg er wel voor dat je de netwerksettings in windows goed afschermd)

Dat gaat niet werken, want dan valt de default gateway buiten het locale subnet.

donderdag 20 november 2003 14:28

Acties:

0 Henk 'm!

VisionMaster

Security!

Ik mag hopen dat de TS de sysadmins verkeerd heeft begrepen of we hebben te maken met een paar BOFH's.
Iedereen in een aparte VLAN drukken ivm security is flinke bull-shit. Ik heb zelf al een heel aantal congressen meegemaakt, maar alle congress leden komen dan standaard op een apart deel van het Gastennetwerk terrecht. Dit gastennetwerk is een apart subnet binnen het hele gebeuren dat zeer beperkte rechten heeft (niet bij de meeste servers) en dus eigenlijk alleen internetten.
Dit gastennetwerk zal nooit de andere bedrijfssubnetten raken.
Als je dit wilt oplossen met een VLAN, prima, maar maak er 1 voor iedereen. Als ik nu een file wil sturen naar mijn collega moet ik het hem mailen. Maakt niet veel uit, maar toch onhandig als het met FTP of scp had gekunt.
Zoals eerder voorgesteld moet je je concentreren op het behoud van je netwerk. Dat is vaak al moeilijk zat, zoals het tegenhouden van broadcasts en andere loads voor je infrastructuur. Genoeg Wifi puntjes (als je die gebruikt) goed kijken dat die kanalen niet met elkaar in de knoopkomen, dat soort dingen zijn veel interessanter.

Tip:
Wat mij ooit eens is overkomen is dat er een leip congress lid was, die we niet konden tracen die een verrotte NIC of instelling in zijn OS had, die constant zijn MAC-adres roteerde. Gevolg was dat de registers van de basestations en switches vol zaten met rotte verwijzigen naar MACs die er niet meer waren en bij een vol register kan het de verbinding niet aannemen.
Monitor je netwerk liefst vanaf je switch of basestation via SNMP tijdens een congres voor snelle support.

Tip2:
Als je dan twee servers heb (gateway's zal je wel bedoelen, denk ik???) dan is het misschien leuk om twee DHCP scopes te maken met de range 1-100 met server1 in de scope en dan 101-200 dat iets doet met server2.
Als dit als gateway bedoeld is moet je infrastructuur natuurlijk ook te paralleliseren zijn, niet dat er als nog ergens 1 draad van A naar B gaat met al het verkeer... (tis een mogelijk scenario... vaak genoeg meegemaakt, mooi op papier, maar niet goed na gedacht over werkelijke situaties

)

[ Voor 15% gewijzigd door VisionMaster op 20-11-2003 14:32 ]

I've visited the Mothership @ Cupertino

donderdag 20 november 2003 14:42

Acties:

0 Henk 'm!

Anoniem: 28145

^^I'm with stupid^^

Maak een apart netwerkje, firewall ertussen zodat men uitsluitend op poort 80 (bijvoorbeeld) naar 1 bepaalde server mag.

Of naar bepaalde andere machines. Of gebruik een reverse-proxy server (dual homed) om de webserver te beschermen.

Je moet het bezoekersnetwerk zien als internet, en de te beschermen hosts als jouw prive netwerk.

donderdag 20 november 2003 15:24

Acties:

0 Henk 'm!

killah

een /32 subnet is eigenlijk toch de beste oplossing. Je kunt daarvoor misschien een hp760 lenen/huren deze is eigenlijk voor wireless security maar ook goed voor dit soort grappen. Deze deelt standaard dit soort adressen uit dus de clients kunnen standaard de andere niet pingen.

Het leuke van deze acces box is dat je de authenticatie via radius naar je ad kunt zetten en dat de mensen die op het netwerk zitten pas op het netwerk achter de 760 kunnen als ze via de webrowser/vpn/nt login geauthenticeerd zijn.

[ Voor 31% gewijzigd door killah op 20-11-2003 15:31 . Reden: extra info ]

vrijdag 21 november 2003 16:20

Acties:

0 Henk 'm!

Anoniem: 28557

VisionMaster schreef op 20 november 2003 @ 14:28:

Wat mij ooit eens is overkomen is dat er een leip congress lid was, die we niet konden tracen die een verrotte NIC of instelling in zijn OS had, die constant zijn MAC-adres roteerde. Gevolg was dat de registers van de basestations en switches vol zaten met rotte verwijzigen naar MACs die er niet meer waren en bij een vol register kan het de verbinding niet aannemen.
Monitor je netwerk liefst vanaf je switch of basestation via SNMP tijdens een congres voor snelle support.

Dat was waarschijnlijk iemand die probeerde te sniffen op het netwerk; veel switches gaan in een soort 'hub' mode als hun MAC adres tabel vol zit. Zoek maar eens op "MAC flooding switch" op Google....

[ Voor 5% gewijzigd door Anoniem: 28557 op 21-11-2003 16:22 ]

vrijdag 21 november 2003 21:19

Acties:

0 Henk 'm!

nilski

Topicstarter

kleine update;
het gaat idd om op een server om meer dan 80 (tachtig!) VLANs verdeeld over 2 NICs, de andere server heeft er zo'n 35... Nogmaals; het was niet mijn idee!

Maar ja, als er eenmaal iets verkocht is dan moet het he...
Het is om netten te scheiden; voor elk een paar PC's; ze moeten op gedeelde bronnen kunnen op de server maar elkaar niet zien.
Heb IP adressen en DHCP scopes aan zitten maken vandaag, de NICs kunnen max 64 VLANs aan. Ben geen netwerkguru maar voelde al aan wat hier bevestigd wordt; er zijn betere oplossingen voor. Vraag me ook af hoe dit gaat werken. Zal er eens naar kijken. Gelukkig heb ik een compagnon die erg creatief is, duzzz.
We zullen zien hoe of het werkt; wordt nog leuk!

Alleen mail mag via een gateway worden gerouteerd; de rest niet. Er staat nl. een ook mailserver in het domain. Jaja, ik stelde webmail voor maar nee, het moest met outlook zijn. Ieders een e-mail adres voor 2 dagen. Ach, kosten noch moeite....

De gateway is de router (zit eerst een firewall tussen) Wow, een netwerk om nachten van wakker te liggen. Maar niet nu, eerst een b.....

Laat binnenkort nog wel weten hoe het gegaan is.

[ Voor 8% gewijzigd door nilski op 21-11-2003 21:25 ]

WAZUUUUUUUP!!!!!

vrijdag 21 november 2003 21:49

Acties:

0 Henk 'm!

nescafe

Als je die clients in eigen beheer hebt kun je ze toch gewoon dichttimmeren zodat er geen rare tooltjes op gedraaid kunnen worden?
En als de clients niet in eigen beheer zijn (meegebracht) dan denk ik dat jij aan het eind van dag 2 nog niet alles goed hebt draaien

Welke mensen komen er eigenlijk?

Het /32 verhaal klikt me ook niet zo slecht in de oren. Misschien is het mogelijk om een route aan te maken naar de server die dan buiten je subnet valt.

Even geprobeerd, onder linux is het wel mogelijk:

code:

[root@joris root]# route add -host 20.20.20.20 eth1
[root@joris root]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
20.20.20.20     *               255.255.255.255 UH    0      0        0 eth1
192.168.1.0     *               255.255.255.0   U     0      0        0 eth2
192.168.0.0     *               255.255.255.0   U     0      0        0 eth1
213.51.94.0     *               255.255.255.0   U     0      0        0 eth0
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         r6-atm3-3-0-123 0.0.0.0         UG    0      0        0 eth0
[root@joris root]#

Maar bij windows is een gateway verplicht... en 255.255.255.255 accepteert ie niet

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

vrijdag 21 november 2003 22:13

Acties:

0 Henk 'm!

nilski

Topicstarter

Morgen kijk ik er wel naar, ben nu aardig gaar. Toch verder een aardig geheel opgezet. Denk dat je gelijk gaat krijgen, gelukkig heben we komende week nog tijd om eea recht te trekken. Zal een leerzaam weekje worden met weinig slaap!

Zal vast wat uitvluchten gaan bedenken en de volgende keer (veel!) meer op m'n strepen staan. Het probleem is dat ze alles zo'n beetje moeten kunnen en toch geen last van elkaar hebben... Het zijn voornamelijk afgesloten ruimtes met mensen die er geen belang bij hebben de boel over de zeik te helpen. Virussen ed. worden goed gescanned. En draaien moet het!
En als het allemaal niet lukt halen we nog alijd de krant...

Nog iets trouwens, mischien stomme vraag; het browsen vanaf de clients vind ik traag. In het netwerk duurt het ff voordat hij het domain vindt, dan weer ff voorat hij de computers ziet maar als hij de share heeft gevonden gaat het vlot. DNS staat nu naar mijn idee goed, Round robin stond aan, niet erg handig...WINS zou overbodig moeten zijn. (NetBIOS uit...) Wat kan het zijn? Zie het vaker op XP; tijdje niks in network neighbourhood. Op IP niveau gaat het dus wel snel.

[ Voor 82% gewijzigd door nilski op 21-11-2003 22:39 ]

WAZUUUUUUUP!!!!!

zaterdag 22 november 2003 00:49

Acties:

0 Henk 'm!

VisionMaster

Security!

Ik heb geloof in het werken van julllie _tijdelijke_ opstelling.
Echter vind ik het nogsteeds EXTREEM overblown. Uiteraard ben ik niet degene die het moet laten draaien/beheren/fixen (thank God!) want ik voorzie veel problemen als de gebruikers er veel gebruik van gaan maken.
Zal de Gateway niet erg actief al die datapakketten meoten bekijken en controleren ivm al die VLANs? Dat kan het traag browsen een beetje verklaaren misschein of de switches die aan hun max VLANs zitten, dat soort dingen.

@TS:
is het wantrouwen in de users zo groot (ik heb geen idee wat voor volk er komt) dat jullie al deze maatregelen moeten nemen. Ik begrijp niet waarom al deze VLANs hun nut toe hebben. Tuurlijk security, maar wat heb je naast die mailserver en http-gateway nog aan services staan dan? een Database ofzo? Of is de security alleen ervoor dat de mensen elkaars laptop niet kunnen beschadigen of 'cracken'.
is het een medisch congres? Ik weet dat medici nogal op hun security puntjes staan. Ik werk zelf met mensen uit de hoge energy fysisca.

Daarbij wil nog wat kritiek leveren op de mail-server. Beetje wazig dat je een mailserver opzet voor het congres. Tis leuk en aardig, maar is het niet handig als mensen zo min mogelijk configuratie te doen hebben aan hun machine om congress-specifieke/orgisatorische mailtjes te ontvangen?
Als het zo'n big thing is zullen mensen zich toch wel hebben ingeschreven, mogelijk met mailadres erbij.

Kern van mijn pleidooi is je niet af te zeiken, maar te achterhalen waarom deze keuze nu gemaakt is. Ik weet nu namelijk alleen nogmaar wat je gaat doen en met vage bedoelingen. Dat zijn nog niet de redenen waarom dit op de methode BOFH (-qua security) wordt aangepakt.

I've visited the Mothership @ Cupertino

zaterdag 22 november 2003 12:21

Acties:

0 Henk 'm!

nilski

Topicstarter

De hoofdreden is dat de partij die net netwerk levert een mooi praatje had over VLANs. Onze man ging er in mee, tegen mijn kritiek in en nu moet het zo. Ik heb allang m'n handen van het VLAN gebeuren af getrokken maar zit nog wel met de ellende. Ondertussen ga ik maar eens kijken naar uitwegen als het niet blijkt te werken. Heb toch niks beters te doen... Moet toch ook maar eens wat communicatief vaardiger worden.

Bedankt voor alle tips en commentaar totdusver!

WAZUUUUUUUP!!!!!

zaterdag 22 november 2003 16:19

Acties:

0 Henk 'm!

VisionMaster

Security!

nilski schreef op 22 november 2003 @ 12:21:
De hoofdreden is dat de partij die net netwerk levert een mooi praatje had over VLANs. Onze man ging er in mee, tegen mijn kritiek in en nu moet het zo. Ik heb allang m'n handen van het VLAN gebeuren af getrokken maar zit nog wel met de ellende. Ondertussen ga ik maar eens kijken naar uitwegen als het niet blijkt te werken. Heb toch niks beters te doen... Moet toch ook maar eens wat communicatief vaardiger worden.
Bedankt voor alle tips en commentaar totdusver!

Aha

Maakt het verhaal weer duidelijk
De verkoper van de VLAN-enabled hardware heeft gewonnen in deze slag...

Ik hoop enorm dat het je alsnog lukt!
Post misschien wat how-to's in een nieuw topic, zodat mensen hierop kunnen searchen ivm complexe VLAN setups.
Ik lig als Systeem en Netwerk-psycho op de grond voor je dat het werkt $_/-\o_$

PS: Ook als het niet lukt, misschien dat je dan in dit topicje kan vertellen waarom niet. En wat mogelijk de problemen/beperkingen zouden moeten zijn geweest.

I've visited the Mothership @ Cupertino

zaterdag 22 november 2003 17:07

Acties:

0 Henk 'm!

nescafe

Print dit topic uit en show 't aan je manager

Wat ik me zojuist op de WC nog ff bedacht (

) is dat als je de broadcasts voor clients uitschakelt, arp-pakketjes ook niet aankomen (dus van clients naar andere clients). Volgens mij kun je dan ook geen verbinding opbouwen tussen clients onderling.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

zaterdag 22 november 2003 20:10

Acties:

0 Henk 'm!

JackBol

Security is not an option!

nescafe schreef op 21 november 2003 @ 21:49:

Maar bij windows is een gateway verplicht... en 255.255.255.255 accepteert ie niet

geen gateway in stellen, en vervolgens

code:

1	route add 0.0.0.0 mask 0.0.0.0 <ip-gateway>

De actuele opbrengst van mijn Tibber Homevolt

zondag 23 november 2003 05:05

Acties:

0 Henk 'm!

VisionMaster

Security!

nescafe schreef op 22 november 2003 @ 17:07:
Print dit topic uit en show 't aan je manager

Wat ik me zojuist op de WC nog ff bedacht () is dat als je de broadcasts voor clients uitschakelt, arp-pakketjes ook niet aankomen (dus van clients naar andere clients). Volgens mij kun je dan ook geen verbinding opbouwen tussen clients onderling.

Ik kan me herinneren dat dit ook zo zijn invloeden heeft, zoals je beschrijft. Misschien dat de TS in een "Plan B" situatie hier een beroep op kan doen. Het lijkt me eenvoudige te implementeren iig...
Is dit trouwens niet lastig met DHCP-resolutions? Daar wordt ook nogal even wat gebroadcast als de machines nog niet weten wie en wat de DHCP server is?
Of valt dit onderhet mom van ... broadcasts alleen gericht naar de server/gateway, om het in de DHCP server aan te laten komen en vertalen in een DHCP-pakketje?

I've visited the Mothership @ Cupertino

zondag 23 november 2003 18:49

Acties:

0 Henk 'm!

Anoniem: 28557

Dirk-Jan schreef op 22 november 2003 @ 20:10:
geen gateway in stellen, en vervolgens
code:
1
route add 0.0.0.0 mask 0.0.0.0 <ip-gateway>

Beter is, je eigen ip adres als gateway instellen. Hij zal dan een arp-request uitsturen voor elk adres dat hij wil bereiken.

Op je router moet je dan proxy-arp aan hebben staan, op een Cisco router staat dat standaard aan, maar veel beheerders zullen het uitgezet hebben met "no ip proxy-arp" (weer aanzetten kan dus met "ip proxy-arp")

zondag 23 november 2003 19:32

Acties:

0 Henk 'm!

JackBol

Security is not an option!

Anoniem: 28557 schreef op 23 november 2003 @ 18:49:
[...]

Beter is, je eigen ip adres als gateway instellen. Hij zal dan een arp-request uitsturen voor elk adres dat hij wil bereiken.

Op je router moet je dan proxy-arp aan hebben staan, op een Cisco router staat dat standaard aan, maar veel beheerders zullen het uitgezet hebben met "no ip proxy-arp" (weer aanzetten kan dus met "ip proxy-arp")

maar dat gaat dus niet met windows...

De actuele opbrengst van mijn Tibber Homevolt

zondag 23 november 2003 20:24

Acties:

0 Henk 'm!

Anoniem: 28557

Dat gaat dus wel met Windows... als je onder Windows je eigen IP adres als default gateway inzet zal hij voor elk adres gaan ARP-en... try it.

zondag 23 november 2003 20:27

Acties:

0 Henk 'm!

nilski

Topicstarter

De praktijk zal het komende week uitwijzen maar ik denk dat de clients maar statische IP adressen moeten krijgen (DHCP scopes wegmikken en de servers in een DMZ en (evt. met VPN) connectie maken. Moeten er maar routing switches komen, not my problem.
Denk nl. dat de servers met wat meer clients flink gaan nekken met al die VLANs. Maar goed, leuk om te kijken wat de boys van plan zijn. Zat nog eens te kijken naar hoe er gerouteerd moet worden, wordt een grote brij als je het mij vraagt. Performance zal denk ik bagger zijn. Maar ja, mischien snap ik het gewoon niet (duh!)
't Zal stressen worden. Moet er eigenlijk wel om lachen; aan de ene kant veiligheid boven alles, aan de andere kant moeten de mensen zo'n beetje alles kunnen... Tsja, contradictie in termino..? Ga me hierna maar eens verdiepen in security. Is booming tegenwoordig he!

Volgende keer gaat het er iig geval heel anders uitzien!
(en deze keer ook, zeker weten. hihi!

)
Lekker weekend gehad trouwens, (ondanks gepieker) ook belangrijk.

Keep u posted.

[ Voor 8% gewijzigd door nilski op 23-11-2003 20:30 ]

WAZUUUUUUUP!!!!!

maandag 24 november 2003 01:39

Acties:

0 Henk 'm!

VisionMaster

Security!

nilski schreef op 23 november 2003 @ 20:27:
De praktijk zal het komende week uitwijzen maar ik denk dat de clients maar statische IP adressen moeten krijgen (DHCP scopes wegmikken en de servers in een DMZ en (evt. met VPN) connectie maken. Moeten er maar routing switches komen, not my problem.
Denk nl. dat de servers met wat meer clients flink gaan nekken met al die VLANs. Maar goed, leuk om te kijken wat de boys van plan zijn. Zat nog eens te kijken naar hoe er gerouteerd moet worden, wordt een grote brij als je het mij vraagt. Performance zal denk ik bagger zijn. Maar ja, mischien snap ik het gewoon niet (duh!)
't Zal stressen worden. Moet er eigenlijk wel om lachen; aan de ene kant veiligheid boven alles, aan de andere kant moeten de mensen zo'n beetje alles kunnen... Tsja, contradictie in termino..? Ga me hierna maar eens verdiepen in security. Is booming tegenwoordig he!
Volgende keer gaat het er iig geval heel anders uitzien!
(en deze keer ook, zeker weten. hihi! )
Lekker weekend gehad trouwens, (ondanks gepieker) ook belangrijk.
Keep u posted.

Uber LOL
DHCP weg? ok ... iedereen op je congressje zal zich dan moeten legitimeren met zijn pasport en dan krijgt hij een A4 met allemaal ip-adressen toegereikt. Zijn gateway, persoonlijk instellingen... dat ga je niet willen, maar ... ik merk gelukkig dat je je al een paar posts terug al had overgegeven aan de Paranoide BOFH's die de leiding hebben in deze dikke stront van een netwerk. $_/-\o_$

Met SSL, zoals SSH zou het wel eens wat makkelijker kunnen. Secure en je heb je vrijheid (relatief). Het is een situatie die leuk te illustreren is met het fenomeen, ergens een klok horen luiden, maar die klepel.... Daar weten we niet het bestaan van. Er moest iets zijn dat die klok deed luiden, maar hoe, waarom en waar weten we niet. Maar we gaan nu een klok bouwen en laten luiden.

Er zullen vast meer Tweakers met mij zijn die hopen op een spannend topic-vervolg. Ik iig wel

Zoals je al aangeeft, is deze handeling van ongestructureerde aanpak gedoomed om te mislukken, maar ik blijf toch optimisch dat het blijkt te werken.

I've visited the Mothership @ Cupertino

maandag 24 november 2003 01:46

Acties:

0 Henk 'm!

JackBol

Security is not an option!

Anoniem: 28557 schreef op 23 november 2003 @ 20:24:
Dat gaat dus wel met Windows... als je onder Windows je eigen IP adres als default gateway inzet zal hij voor elk adres gaan ARP-en... try it.

maar dat kan alleen dus als je je subnetmask niet op /32 zet. in dat geval kan je dus nog steeds de andere clients in het zelfde subnet pingen. en dat is nou juist wat de TS niet wil.

De actuele opbrengst van mijn Tibber Homevolt

maandag 8 december 2003 14:22

Acties:

0 Henk 'm!

nilski

Topicstarter

Hoe is het gegaan?
Welnu, de servers hadden idd moeite met zo veel VLANs. Er zijn er uiteindelijk 4 neergezet; allemaal met Exchange geinstalleerd; een ervan fungeerde als MTA.
Laat ik er verder niet over uitwijden; het was een avontuur wat ik hopelijk nooit meer hoef mee te maken. Een paar nachten overgeslagen en het resultaat; 4 SPOFs!
Volgende keer wat meer voorbereiding eisen en anders specialisten inschakelen.
Weet nu wel dat Cisco routers heeft waarmee het moeiteloos had gekunt; meerdere VLANs met een subnet...

groetjes,

N

WAZUUUUUUUP!!!!!