MAC passthrough, (strict) bridging, exposed host en DMZ-host

Sinna · 22 okt 2019, 09:43

Even zelf afsplitsen van de draad 4G modem met ethernetaansluiting om die draad niet te bevuilen.

ITnetadmin schreef:
Sinna schreef:
ITnetadmin schreef:Also, zou een mac passhrough afdoende zijn voor je eisen, of wil je strict bridging?
Verklaar je nader? Ik dacht dat dat hetzelfde was. Ik vermoed dat de TS wil dat de (4G-)modem als het ware transparant is. Dit is ook het scenario wat ik voor ogen heb omdat ik op de firewall op basis van source-IP bepaalde regels moet kunnen afdwingen.
Zoals ik eerder al zei, maar nog ns samengevat:
- Bij bridging zet je de routerfunctie van de modem af. Hij fungeert dan alleen nog als modem, en de achterliggende IPs komen direct zichtbaar op het netwerk van de provider, en krijgen van die provider een IP adres.
- Bij mac passthrough blijft de routerfunctie actief op de modem. Je kan dan in een menu een (of meerdere) mac adressen invoeren die de router zal negeren en rechtstreeks door zal laten tot op het netwerk van de provider; deze krijgen dan ook een extern IP, maar in tegenstelling tot bridging moet je elk toestel dat dit moet krijgen configureren in de modem. Niet geliste toestellen vallen dan gewoon in het local network van de router.

Bedankt voor de verduidelijking, maar de terminologie is mij nog steeds niet duidelijk (nood aan vakantie?).

bridging is dus het scenario zoals bij een modem-only-opstelling bij Telenet: alle achterliggende toestellen krijgen een dynamisch extern IP, toegewezen door de provider. Enkel indien je in Mijn Telenet het MAC-adres opgeeft kan één toestel een vast extern IP krijgen (al dan niet betalend). De modem zelf deelt geen IP-adressen uit.
MAC passthrough is dan een mix van lokale en externe IP-adressen: enkel de toestellen die in de modem geconfigureerd zijn voor MAC passthrough, krijgen een extern IP-adres, de overige toestellen een intern IP-adres.
exposed host lijkt mij dan een afgeleide van MAC passthrough maar met het grote verschil dat de exposed host geen extern IP maar een intern IP van de router toegewezen krijgt. Hierdoor krijgt de exposed host geen externe IP-adressen te zien en fungeert de modem/router eigenlijk als proxy. Alle externe verkeer wordt door de router doorgesluist naar de exposed host, tenzij er op de router NAT-rules actief zijn.
DMZ-host lijkt mij dan hetzelfde te zijn als exposed host.

Klopt bovenstaande lijst? Ik laat me graag verbeteren zodat ik een duidelijker beeld - op wat voor eigenlijk zowat allemaal hetzelfde is - krijg.

Het principe van bridging is dus ook van toepassing voor configuraties waar een toestel achter de xDSL-modem een eigen PPPoE-sessie opzet: de xDSL-modem wordt ahw. overbrugd. Het lijkt in die zin wel op MAC passthrough omdat de modem (afhankelijk van hoe de WAN-interface van dat toestel geconfigureerd is) bereikbaar blijft en zelf ook lokale IP-adressen blijft uitdelen.

22 okt 2019, 14:52

Bridging is idd de interne toestellen zichtbaar maken via de externe aansluiting.
Het is quasi identiek aan de modem only van telenet.
Je zet letterlijk de router functie af (en meestal ook andere functies zoals de wifi).

De regeling van fixed IPs is onafhankelijk, en zou mogelijks ook kunnen in een passthrough.
Bij onze providers krijg je idd je fixed IP als DHCP reservation op basis van het mac adres.
Sommige providers in het buitenland (of bij grotere bedrijven) laten je toe je fixed ip manueel in te stellen op het toestel zelf.

Ik denk dat exposed host gewoon een andere benaming voor DMZ is; ik heb er alleszins nog nooit van gehoord.
Bij een DMZ ga je gewoon aan de NAT van de router vertellen dat hij alle unsollicited packets (dus pakketjes waar hij geen entry in de nat table voor heeft, en die hij normaal gezien dropt) moet sturen naar de unit wiens ip geconfigureerd staat als DMZ host.
Maw je verandert de default "drop unknown" naar "send unknown to dmz"; het toestel staat echter nog altijd achter de NAT.
In deze is mac passthrough veel dichter bij bridging dan bij DMZ.

Voor de rest lijkt je opsomming te kloppen.
Mac passthrough is idd "je houdt je intern netwerk, maar maakt een uitzondering voor de toestelling in de passthrough lijst".

Bij PPPoE doe je idd ook aan bridging.

Eigenlijk doe je zowel bij "bridging" als bij "mac passthrough" aan bridging.
We moeten "bridging (de techniek)" loskoppelen van "bridging (de modus)", en kunnen beter spreken van "bridge mode".
Zowel bij bridge mode, mac passthrough, pppoe op een interne router, ... zijn we aan het bridgen.

Terzijde: bridging wordt ook gebruikt om netwerkadapters aan mekaar te linken; windows kan dat (maar dit wordt niet veel gebruikt tussen fysieke adapters), maar de voornaamste reden is om virtuele machines rechtstreeks te connecteren met het netwerk via de fysieke connectie.

Terzijde 2: DMZ hier is een consumententerm, niet te verwarren met de technische term DMZ. Daar gaat het over een netwerk dat afgescheiden is van het interne netwerk en minder beveiligd, zodat de toestellen daar bereikbaar zijn op internet. Wordt vaak gebruikt om dingen in te steken als webservers of exchange edge servers, zodat men het interne netwerk niet moet openstellen.

CCatalyst · 23 okt 2019, 00:54

"Quasi identiek aan de modem", daar moet toch wat voorbehoud bij gemaakt worden.

De TN-modem is hardwarematig L2 (en ook L1 uiteraard). Een router is hardwarematig L3, dmv bridging in de software maak je het L2, en dus eigenlijk een softwarematige switch.

Toch zijn er ook verschillen tussen beide. Een hardwarematig L2 toestel kan offloaden en zal in principe altijd veel efficienter L2 doen dan een L3 die via software L2 simuleert. Bij die laatste moet alles door de CPU passeren.

Dus de functionaliteit is wel hetzelfde, maar de kost is bij de een veel hoger dan de andere. In principe zou het nooit de bedoeling mogen zijn om een L3 toestel permanent L2 taken te laten waarnemen. Neem dan gewoon een L2 toestel.

23 okt 2019, 05:58

Bedankt om mijn gebruik van het woord "quasi" toe te lichten

satsurfer · 23 nov 2020, 12:53

Wilde een E-router, ook omdat wifi speed max 60-70 Mbps ipv 150 Mbps is bij ouders, voor de MAC-passthrough (fritzbox 7490)

Nu hebben ze terug een CH 7465LG geplaatst

Had nochtans alles op zijn bureaublad gezet wat te vragen, maar ja, telefonisch gebeurt alles nu....

Hoe doe ik dit het best dan met een fritzbox erachter? (om dubbele NAT te vermijden)?

Sasuke · 23 nov 2020, 13:21

Niet ? Met dit toestel kan je volgens mij géén dubbele NAT vermijden, je kan de NAT niet uitschakelen, noch MAC passthrough gebruiken.

DarkV · 23 nov 2020, 14:14

satsurfer schreef:Had nochtans alles op zijn bureaublad gezet wat te vragen, maar ja, telefonisch gebeurt alles nu....

Telefonisch staat hier volledig los van... je moet gewoon aan de technieker vragen een e-Router te plaatsen.

Een tweetal weken nog ergens voorgehad... technieker vroeg waar de modem moest komen zodat hij kon kijken voor de Wifi. Heb hem toen duidelijk gemaakt dat dit niet nodig was en ik een modem-only wou waarop hij vertelde dat die niet meer bestonden, maar op m'n vraag voor de e-Router te plaatsen ging hij meteen akkoord.

Gewoon zorgen dus dat je bij de installatie aanwezig bent en weet wat je moet vragen.

23 nov 2020, 15:52

satsurfer schreef:Nu hebben ze terug een CH 7465LG geplaatst
Hoe doe ik dit het best dan met een fritzbox erachter? (om dubbele NAT te vermijden)?

Met een router achter een router kan je onmogelijk dubbele NAT vermijden.
Vraag is: wat is het probleem met dubbele NAT? Ik neem aan dat jouw ouders geen servers draaien

.

Waarschijnlijk is het enige probleem dat je vanop afstand de Fritz!Box van je ouders wilt bereiken?
Dan kan je dit "probleem" oplossen door een VPN verbinding te maken tussen jouw FritzBox en die van je ouders ...

... of als de Fritz!Box alleen voor telefonie gebruikt wordt, kan je die als "IP Client" instellen achter de Telenet CH 7465LG

satsurfer · 23 nov 2020, 21:21

fritz_ip.JPG

betaalt voor 150 Mbps (vorige woning was speedtest idem)

nieuwe modem (idem)
https://orangenetworktest.speedtestcust ... 8bb4d588f0