Vlans / portforwarding / dyndns

elegast · 31 jul 2013, 10:43

Hallo

Ik heb een cisco small business switch aangekocht
een sf300-24, deze heeft L3 mogelijkheden, zodat ik kan routen tussen vlans
ik wil nu 2 ip cameras op het bestaande netwerk installeren maar deze in een ander vlan zetten (vlan20)

het bestaande netwerk 192.168.1.0 (vlan10 heb ik hiervan gemaakt)
en het nieuwe netwerk 192.168.2.0 (vlan20)
Ik heb een router (Huis, tuin en keuken linksys) die als gateway dient met het adres 192.168.1.1
er zijn static routes aangemaakt in de dlink en ik heb op beide vlans internet connectiviteit.

er zijn al bestaande toestellen die met portforwarding en dyndns bereikbaar zijn via het internet.
maar nu wil ik mijn 2 cameras die in vlan 20 zitten, ook bereikbaar maken via portforwarding.
Maar dit kan ik niet aanpassen in de router, deze accepteerd enkel in de 192.168.1.0 range om poorten te forwarden.

hoe kan ik deze wel bereikbaar maken ?

Alvast bedankt

ubremoved_539 · 31 jul 2013, 11:19

Niet dus... tenzij geen huis-tuin-en-keuken router gebruiken.

Mathy · 31 jul 2013, 11:21

Dat is logisch als je subnet mask van het netwerk op /24 (255.255.255.0) staat, dan kan je enkel routen naar 192.168.1.X. Ofwel moet je je subnetmask vergroten naar een /22, dan zit 192.168.[0-3].X in dezelfde netwerk-range, ofwel moet je een gateway voorzien die in beide netwerken aanwezig is en moet je de linksys deze route leren.

ubremoved_539 · 31 jul 2013, 11:34

Mathy schreef:Dat is logisch als je subnet mask van het netwerk op /24 (255.255.255.0) staat, dan kan je enkel routen naar 192.168.1.X.

Nee, da's niet logisch... port forwarding heeft op zich niets te zien met subnets. Z'n routertje heeft trouwens een static route naar het betreffende subnet.

Mathy schreef:Ofwel moet je je subnetmask vergroten naar een /22, dan zit 192.168.[0-3].X in dezelfde netwerk-range

Nee, want het gaat hier over twee aparte subnets (en er is een static route).

Mathy schreef:ofwel moet je een gateway voorzien die in beide netwerken aanwezig is en moet je de linksys deze route leren.

Die heeft hij ook wel... alléén kan hij bij z'n port forwarding geen adres opgeven in het andere subnet.

Kortom dit is gewoon de beperking van een huis-tuin-en-keuken routertje. Wil je met dergelijke setups werken heb je gewoon iets beter nodigs (en zoals al vaak in andere topics is geschreven, Routerbords hebben hier een prima prijs/kwaliteitsverhouding).

elegast · 31 jul 2013, 12:12

Bedankt voor de snelle reacties.

wat voor router kan ik dan best gebruiken?
Wat is de technische term van de eigenschap die ik zoek ?

ubremoved_539 · 31 jul 2013, 12:19

elegast schreef:wat voor router kan ik dan best gebruiken?

Iedere deftige router, niets dus van het klassieke Linksys, D-Link, ... spul. Zoals ik al schreef is een Routerbord vrij goed in prijs/kwaliteit en bestaan er reeds diverse topics over in het forum (misschien moet je dus eens op zoek). Een voorbeeldje (zonder wireless) is de RB750GL of zelfs beter (met wireless) voor dezelfde prijs de RB951G.

elegast schreef:Wat is de technische term van de eigenschap die ik zoek ?

"deftig materiaal"

... want op zich is er niets abnormaals aan je vraag.

31 jul 2013, 12:37

Zoals R2504 reeds voorstelt : ga voor routerboard

Bijvoorbeeld via www.interprojekt.pl

tb0ne · 31 jul 2013, 16:52

+1 voor RouterBOARD of bekijk eens of je linksys te flashen is met dd-wrt of openwrt ...

Mathy · 31 jul 2013, 21:32

Oei, ik had erover gelezen dat die static routes al bestonden en werkten, kan je die eens oplijsten?

Huis-, tuin- en keuken routers zijn idd niet altijd even flexibel maar dit moet volgens mij toch te doen zijn zonder nieuwe hardware te kopen (tenzij je natuurlijk wat wil experimenteren

, zo duur zijn die routerboards niet) door je subnet te vergroten en die static routes weg te doen. Ik vermoed dat je router dan wel zal toelaten om die port-forward in te stellen omdat alle IP's in het subnet zitten.

ubremoved_539 · 31 jul 2013, 23:27

Hij kan z'n subnet niet vergroten... lees z'n info over de VLAN's.

Dit is gewoon een beperking in de userinterface van z'n router... bad luck !

elegast · 01 aug 2013, 14:07

ik heb het momenteel anders opgelost.
misschien dat ik in de toekomst investeer in een andere router.
de toestellen die ik wil portforwarden zitten samen met de router in vlan 10
de rest zit in vlan 20

Bedankt voor de tips !

elegast · 01 aug 2013, 14:14

wat ik niet terug vind bij die routerboards zijn VPN connecties.

static route:

nw: 192.168.2.0
mask:255.255.255.0
next hop: 192.168.1.254 (ip add van de Vlan10)

01 aug 2013, 14:16

Wat vind je exact niet terug?

VPN server/client kan deze aan. Ben ik 1000% zeker van zelfs

elegast · 01 aug 2013, 14:26

ik vind bij die modellen, die werden voorgesteld maar ook bij andere, niks terug over hoeveel tunnels er kunnen opgebouwd worden.
ook niet in de brochure of datasheets.

01 aug 2013, 14:30

Daar moet ik je het antwoord schuldig op blijven. Tot nu toe maar 2 tunnels werkende hier...

Robrecht · 01 aug 2013, 14:39

Als ik mij niet vergis heeft dit te maken met de routeros lvl.

Zie onderstaande link.

http://wiki.mikrotik.com/wiki/Manual:License_levels

Mathy · 01 aug 2013, 15:41

r2504 schreef:Hij kan z'n subnet niet vergroten... lees z'n info over de VLAN's.

Dit is gewoon een beperking in de userinterface van z'n router... bad luck !

Hij heeft (voor zover ik kan zien) niet gezegd dat hij zijn subnet niet kan vergroten. Hij heeft gezegd dat hij in de portforward geen IP buiten zijn subnet kan kiezen.

VLAN's hebben voor zover ik weet niets te maken met subnetten, al wordt dat meestal wel zo verdeeld voor de makkelijkheid? Je kan perfect een groter subnet in twee verdelen met een VLAN. Net zoals je gewoon twee fysieke switches kan gebruiken met in beiden hetzelfde subnet en een firewall ertussen om het verkeer te beperken. De routing setup kan wat complex worden maar het kan.

Misschien zie ik iets over het hoofd, ben dan ook geen netwerkspecialist, maar ik zie geen reden om het niet te proberen

ubremoved_539 · 01 aug 2013, 19:34

Mathy schreef:Je kan perfect een groter subnet in twee verdelen met een VLAN.

En hoe ga je dan van het ene deel naar het andere geraken ?

In theorie kan het misschien wel maar de configuratie gaat er niet makkelijker op worden... en z'n huis-tuin-en-keuken routertje kan het nu al niet aan !

Mathy schreef:Misschien zie ik iets over het hoofd, ben dan ook geen netwerkspecialist

Dan zijn het toch maar gedurfde en ongefundeerde uitspraken volgens mij die je doet.

01 aug 2013, 22:49

Ik zie niet in hoe je 1 subnet over 2 vlans gaat verdelen? De computers in hetzelfde subnet gaan er nl van uit dat ze mekaar rechtstreeks kunnen contacteren en zullen bijgevolg geen contact opnemen met een gateway.

2 subnetten op 1 vlan daarentegen zou in theorie makkelijker kunnen. "beveiligd" is het natuurlijk hoegenaamd niet, en ook qua routing wordt het verhaal moeilijker dan strict nodig.

[ Afbeelding

Post made via mobile device ]

elegast · 01 aug 2013, 23:36

dat is net de bedoeling van VLANS
je gaat aparte broadcast domains maken.
dus aparte subnetten.

Mathy · 05 aug 2013, 15:03

Mijn excuses om het te blijven oprakelen, maar zo iets kan ik (ondanks mijn beperkte netwerkkennis

) toch niet laten rusten

De kennis die ik wel heb van netwerken zegt mij dat dit mits enig meewerkende software zou moeten lukken. Een VLAN is een "fysieke scheiding" en zou niets te maken mogen hebben met de IP-laag. Net zoals je tussen twee fysieke switchen een bridging firewall kan zetten moet dat volgens mij ook tussen VLANs kunnen.

Ik heb dan maar de missing link zelf opgesnord want anders blijven jullie zeggen dat ik geen gelijk heb

:

http://en.wikipedia.org/wiki/Proxy_ARP

Transparent subnet gatewaying
A setup that involves two physical segments sharing the same IP subnet and connected together via a router. This use is documented in RFC 1027.

Twee VLANs (= physical segments) kunnen dus hetzelfde IP subnet delen en verbonden worden door een router. Ik heb niet in detail gezocht maar zijn Cisco switch lijkt Proxy ARP te ondersteunen.

RFC 1027 is blijkbaar al van 1987 en de originele reden voor ontwikkeling was ook "smodderwerk"

The Ethernet at the University of Texas at Austin is a large
installation connecting over ten buildings. It currently has more
than one hundred hosts connected to it [5]. The size of the
Ethernet and the amount of traffic it handles prohibit tying it
together by use of repeaters. The use of subnets provided an
attractive alternative for separating the network into smaller
distinct units.

This is exactly the situation for which Internet subnets as
described in RFC-950 are intended. Unfortunately, many vendors had
not yet implemented subnets, and it was not practical to modify the
more than half a dozen different operating systems running on hosts
on the local networks.

Therefore a method for hiding the existence of subnets from hosts
was highly desirable. Since all the local area networks supported
ARP, an ARP-based method (commonly known as "Proxy ARP" or the "ARP
hack") was chosen. In this memo, whenever the term "subnet" occurs
the "RFC-950 subnet method" is assumed.

Mijns inszien een leuk experiment om eens te proberen, het kost niets (buiten wat tijd), je leert weer wat bij

en wie weet heb je op het eind van de rit geen extra hardware nodig

(al blijft een routerboard leuk om mee te experimenteren

)

Ik zie niet in hoe je 1 subnet over 2 vlans gaat verdelen? De computers in hetzelfde subnet gaan er nl van uit dat ze mekaar rechtstreeks kunnen contacteren en zullen bijgevolg geen contact opnemen met een gateway.

Neen, een computer gaat er van uit dat als hij binnen een subnet via ARP een IP adres opvraagt dat hij nog niet gezien heeft een antwoord krijgt als die host actief is binnen dat netwerk. Indien niet gaat hij er van uit dat hij onbereikbaar is. Als je daar een firewall tussen zet die het blokkeert zal je computer denken dat die host niet bestaat.

dat is net de bedoeling van VLANS
je gaat aparte broadcast domains maken.
dus aparte subnetten.

Neen, de bedoeling van een VLAN is een fysieke afscheiding simuleren.

VLANs are layer 2 constructs, compared with IP subnets, which are layer 3 constructs.

Maar... (en dat weet ik zelf ook wel)

In an environment employing VLANs, a one-to-one relationship often exists between VLANs and IP subnets, although it is possible to have multiple subnets on one VLAN. VLANs and IP subnets provide independent layer 2 and layer 3 constructs that map to one another and this correspondence is useful during the network design process.

PS:

Advantages

The advantage of Proxy ARP over other networking schemes is simplicity. A network can be extended using this technique without the knowledge of the upstream router.

For example, suppose a host, say A, wants to contact another host B, where B is on a different subnet/broadcast domain than A. For this, host A will send an ARP request with a Destination IP address of B in its ARP packet. The multi-homed router which is connected to both the subnets, responds to host A's request with its MAC address instead of host B's actual MAC address, thus proxying for host B. In the due course of time, when host A sends a packet to the router which is actually destined to host B, the router just forwards the packet to host B. The communication between host A and B is totally unaware of the router proxying for each other.

Disadvantages

Disadvantage of Proxy ARP include scalability (ARP resolution is required for every device routed in this manner) and reliability (no fallback mechanism is present, and masquerading can be confusing in some environments). ARP manipulation techniques, however, are the basis for protocols providing redundancy on broadcast networks (e.g., Ethernet), most notably CARP and Virtual Router Redundancy Protocol.

Proxy ARP can create DoS attacks on networks if misconfigured. For example a misconfigured router with proxy ARP has the ability to receive packets destined for other hosts (as it gives its own MAC address in response to ARP requests for other hosts/routers), but may not have the ability to correctly forward these packets on to their final destination, thus blackholing the traffic.

ubremoved_539 · 05 aug 2013, 15:25

Mathy schreef:Neen, de bedoeling van een VLAN is een fysieke afscheiding simuleren.

En net die afscheiding (inclusief de security ertussen) ga jij terug afbreken door er een bridge over te plaatsen

Mathy schreef:In an environment employing VLANs, a one-to-one relationship often exists between VLANs and IP subnets, although it is possible to have multiple subnets on one VLAN.

Maar jij wil één subnet over twee VLAN's... da's iets helemaal anders dan meerdere subnets in één VLAN.

Mathy · 05 aug 2013, 15:38

Tuurlijk breek je die security af, maar dat doe je net zo goed door een port-forward in te stellen? Zodra je twee netwerken met elkaar verbindt via een router of wat dan ook introduceer je een point of failure? Je firewall staat op dat moment in voor de veiligheid en dat is in mijn "oplossing" niet anders als wanneer je een routerboard gebruikt want intern zijn die twee VLANs potentieel ook maar van elkaar gescheiden door een firewall en wat network stacks.

Die tweede opmerking die je geeft was enkel van om er op te duiden dat ik wel weet wat het "normale gebruik" van VLANs is en een reactie op de quote van elegast.

Ik ben al lang blij dat je niet meer zegt dat het niet kan

Ik begon al aan mezelf te twijfelen

Over de veiligheid die firewalls edm leveren ga ik niet in discussie gaan, daar ging het mij ook niet om.

ubremoved_539 · 05 aug 2013, 15:50

Mathy schreef:Tuurlijk breek je die security af, maar dat doe je net zo goed door een port-forward in te stellen?

Een bridge breekt de security af tot op de grond... een port forward is één klein gaatje !

Mathy schreef:Je firewall staat op dat moment in voor de veiligheid en dat is in mijn "oplossing" niet anders

Het huis-tuin-en-keuken routertje is nog niet eens in staat port-forwarding te doen naar een ander subnet... en nu spreek jij zelfs van firewalls op bridge niveau (ja, een Routerboard kan dat) ?

Mathy schreef:want intern zijn die twee VLANs potentieel ook maar van elkaar gescheiden door een firewall en wat network stacks.

Ik denk dat je toch nog wat leeswerk hebt ivm. VLAN's en bridges. Een truck is ook niet een auto met wat grotere wielen en meer plaats !

Mathy schreef:Ik ben al lang blij dat je niet meer zegt dat het niet kan

Het is niet omdat iets kan dat het een mogelijke oplossing is... jou voorstel is om van een prima oplossing een draak van een constructie te maken !

Mathy · 05 aug 2013, 16:12

Your point is moot. Zijn huidige router moet ook toegang krijgen tot dat VLAN om die portforward te doen. Whatever securities er in de switch zitten om te zorgen dat niet zijn hele netwerk bereikbaar is kunnen ook toegepast worden bij gebruik van Proxy ARP in die switch.

Ik probeer rond de beperking in zijn router (= slechts IP's binnen subnet kunnen een portforward krijgen) te werken.

ubremoved_539 · 05 aug 2013, 16:35

De oplossing is een nieuwe router... geen draak van een config (met alle gevolgen vandien).

05 aug 2013, 22:25

RFC1027 zegt "connected together via a router", en lijkt me zo te lezen een alternatieve oplossing voor VPN, maw om 2 fysiek gescheiden (door afstand) delen samen te voegen.
Ik zie echter geen enkele reden (buiten academisch) om dit met vLANs te doen. Dan kan je evengoed gewoon alles op dezelfde vlan gooien. De router hier beschreven zou eerder nog een bottleneck vormen.

[ Afbeelding

Post made via mobile device ]