Ervaring met ADSL met meerdere ip's?

[krisken]

Beste,

Ik heb momenteel een businesslijn van dxADSL, waar ik uiterst tevreden over ben. Ik heb bij dit pakket 1 vast IP adres gekregen. Voor een meerprijs van €15 per maand kan ik 4 IP's krijgen volgens de helpdesk :

U krijgt één fixed ip dat aan de modem wordt toegekend, één adres dient als
broadcast adres en de overige twee kan u gebruiken ter configuratie binnen
uw persoonlijk netwerk.

Nu is mijn vraag...De modem is een linksys AM200. Hoe moet ik die 2 andere ip's hierop installeren (voor 2 servertjes)? Elk apparaat dat ik aansluit, krijgt namelijk een 10.x.x.x adres meteen via de dhcp.

Met dank
Kris

[kweezie wabbit]

Simpel routerke zetten na de modem. Aan 15 € extra per maand zijt ge al uit de kosten na 5 à 6 maand en ge hebt veel meer dan 4 IP adressen.

[krisken]

Het is juist de bedoeling dat ik die vaste adressen krijg voor 2 servers te draaien.
De AM200 is een router + adsl modem in 1 apparaat.

[gm123]

Dit kan je bereiken met een switch erachter te zetten denkik.

[Sasuke]

Beste krisken,

Het is iets "moeilijker" dan men hierboven zegt hoor. Als je een extra IP range krijgt van je ISP, moeten deze ook nog gerouteerd kunnen worden. Het is dus een routable subnet dat je krijgt.

De juiste constructie is dan:
modem (met je huidige vaste WAN IP) ==> router/switch ==> servers/lan

Je modem mag dus géén NAT meer doen, aangezien de nieuwe ip range routable is. Ik denk dat je met de Linksys AM200 de NAT functie niet kan uitschakelen, ben echter niet zeker.

De vraag is echter ook, waarom heb je die adressen echt nodig ? Voor thuis/kmo gebruik kan het meeste verholpen worden met NAT en heb je die extra IP range niet nodig. Misschien even aanhalen wat je van plan bent, dan kunnen we gerichter antwoorden.

Grtz,
Sasuke

[Sinna]

Het lijkt mij dat je in deze multi-IP-opstelling verschillende devices (al dan niet modems) een PPPoE/PPPoA-verbinding moet laten opzetten (weet niet wat het bij dxADSL is). Volgens mij is dat de enige manier om meerdere IP-addressen toegewezen te krijgen.

[Special_K]

De AM200 is een router + adsl modem in 1 apparaat.

Een linksys AM200 is enkel een modem, ik heb namelijk zelf zo ééntje
Bij mij hangt er een Linksys WRT54G router achter.
Met die combinatie en DD-WRT firmware kan je er zowat alles mee doen

[TomG]

Het handigste zou zijn als je 1 IP adres kan gebruiken voor uw interne netwerk (dynamic nat) en een apparte DMZ zone gebruikt met een 1:1 mapping (static nat). Op die manier zijn je servers nog steeds via NAT en nodige firwall beschermt, dit in tegenstelling als je ze een publiek ip bezorgt.
Uiteraard moet je nog routeren tussen je DMZ zone en intern netwerk.

De vraag is alleen hoe je dat kan doen met huis-tuin-en-keuken materiaal.

De bovengenoemde optie met meerdere PPPOE/A sessies is anders denk ik het enige alternatief, tenzij er een soort van dhcp spoofing mogelijk is (modem maakt PPPOE/A connectie en bridged met achterliggende devices dien dan ip adressen moeten kunnen verkrijgen).

Ik ben echter ook benieuwd naar het antwoord ivm een DMZ zone en static NAT.

[Sinna]

Het handigste zou zijn als je 1 IP adres kan gebruiken voor uw interne netwerk (dynamic nat) en een apparte DMZ zone gebruikt met een 1:1 mapping (static nat).

Die afzonderlijke DMZ waarover je het hebt, zou ik dus achter een apart IP-adres zetten. Fysisch hoeft dat geen afzonderlijk netwerk te zijn, maar in de praktijk zal het zich wel alsdusdanig gedragen. Je maakt die DMZ eigenlijk 'op het internet' ipv. bij je thuis.
In die opstelling krijg je het volgende:

Code: Selecteer alles

Internet - Router - Intern netwerk waarbij Router DHCP-server speelt (10.x.x.x)
   |        +--- Server in DMZ
   +--- Een andere server (die een PPPoE/A-verbinding kan opzetten), publiek IP-adres
 

Ik heb geen kaas gegeten van Static NAT, maar het lijkt mij hier niet van toepassing te zijn. Immers: voor de buitenwereld is alles achter de router via hetzelfde IP-adres bereikbaar. En laat de TS nu net vragen naar gebruik van meerdere IP-addressen.

Op die manier zijn je servers nog steeds via NAT en nodige firwall beschermd, dit in tegenstelling als je ze een publiek ip bezorgt.

Alles wat in DMZ zit, is per definitie NIET beschermd door de router. De router is in dat geval nl. transparant. Je kan wel enige firewalling activeren, maar strikt genomen is dat geen routerfunctionaliteit.
Servers hangen best rechtstreeks aan het internet. De server kan zelf firewallen, maar afhankelijk van de bedrijfszekerheid zou ik een Windows-systeem achter een software/hardware-firewall stoppen. Kwestie van nog niet ontdekte gaten in het OS te slim af te zijn.

Uiteraard moet je nog routeren tussen je DMZ zone en intern netwerk.

Dat gebeurt automatisch. Bedenk wel dat het verkeer tussen je intern netwerk en een andere server over het internet verloopt. Als je met volumebeperkingen zit, kan dat een rol spelen.

De vraag is echter ook, waarom heb je die adressen echt nodig ? Voor thuis/kmo gebruik kan het meeste verholpen worden met NAT en heb je die extra IP range niet nodig. Misschien even aanhalen wat je van plan bent, dan kunnen we gerichter antwoorden.

Die extra informatie is inderdaad meer dan welkom. Kwestie van door het bos de bomen nog te zien...

[TomG]

Mischien heb ik het iets te eenvoudig uitgedrukt:

De DMZ zoals je die kent op een huis-keuken-thuis routertjes is inderdaad 1:1 static nat zonder firewall protectie. Ik had het meer op bvb configuratie van een Cisco firewall (via ADSM tool).

In dergelijke situaties voorzie je 3 interfaces:
Internet
DMZ
Intern netwerk

Je internet verbinding kan meerdere publieke adressen voorzien (in de vorm van een range zijn). Het eerste publieke adres is uiteraard je default gateway voor je provider, het 2de kan je gebruiken voor dynamic nat met je interne netwerk en de rest 1:1 NAT'en met je servers in je interne netwerk (voorbeeld). Het laatste adres van je range kan je uiteraard ook niet gebruiken, dat is je broadcast.
In zo'n geval betekend DMZ een afzonderlijke zone waarbij je 1:1 nat doet, en in mindere mate het feit dat servers onbeschermd zijn (want je moet nog steeds firwall regels definieren van wat mag en wat niet).

In dit geval gebruik je dus ook 2 interne subnetten, bvb 192.168.1.0/24 en 192.168.2.0/24, de ene voor DMZ en andere voor intern netwerk. En daar moet je wel tussen routeren, wil je uw DMZ zone kunnen bereiken vanaf uw interne netwerk.
Je bent hier uiteraard niet verplicht toe om 2 subnetten te gebruiken, maar tis wel properder zo.

In dit geval zit de firewall beveiligings logica zeg maar in deze ene firwall (lokale firwall op iedere server uiteraard ook aanbevolen).

edit: Zie Wikipedia link [1] [2]. Het is dus ook belangrijk om op te merken dat een DMZ zone nog steeds gefirewalled is. Volgens Wikipedia is de DMZ gekend vanuit de home routers zelfs geen echte DMZ, omdat deze hosts nog steeds ongeconrtrolleerd kunnen communiceren met het interne netwerk.

[krisken]

Om even kort te antwoorden (kom hier morgen op terug, nu eventjes te laat )
De bedoeling is om een thuisservertje (web, mail, ...) bereikbaar te maken via internet, en op latere de server van een vriend ook bij mij te zetten. Uiteraard zou een datacenter sneller gaan etc, maar het is een ding dat bijna niks verbruikt (atom proc) en eigenlijk enkel voor tests gebruikt zal worden. Regelmatig zal er dus iets fout lopen waardoor het OS opnieuw geinstalleerd zal worden.

De modem heeft wel router functies : Ik krijg er perfect een pc of 7 op aangesloten met er enkel een switch aan te hangen

Welke modem zouden jullie dan aanraden? Terug een nieuwe kopen dus?


Sasuke MOD EDIT: Heb even de dubbele posts verwijderd .

[Goztow]

Een switch voorhangen, dan?

Code: Selecteer alles

---dsl--switch--- router met PC 1, 2, 3, 4
                  --- server 1
                  --- server 2

Je kan via NAS één poort "reserveren" per server en laat die poort forwarden naar het juiste ip. Dan heb je geen extra ip's nodig maar doe je dit:

Code: Selecteer alles

---dsl--switch--- router met PC 1, 2, 3, 4, server 1, 2

Router regelt het verkeer:
xxx.xxx.xxx.xxx:500 --> server 1
xxx.xxx.xxx.xxx:501 --> server 2

Als je ip dynamic is, kan je nog werken met dynamic DNS, zoals bijvoorbeeld no-ip.com .

[TomG]

Wat is het nut dan nog van meerdere publieke adressen te hebben?

[Goztow]

Wat is het nut dan nog van meerdere publieke adressen te hebben?

Als je er een domeinnaam wil aan koppelen.

[Sasuke]

De oplossing van Goztow kan spijtig genoeg ook niet functioneren. Als je van een ISP extra IP addressen krijgt in een pool (of range, noem het zoals je wilt), zoals dus bij de TS het geval is (4 adressen, 2 te gebruiken) dan MOET je routeren ZONDER nat. Je modem MOET dus een public IP range kunnen routeren, en huis/tuin/keuken modempjes kunnen dat niet. Nu, wil niet zo direct zeggen dat je je modem moet wegdoen, de AM200 kan perfect dienen, maar dan moet je die wel in "bridge" mode zetten, en daarachter een router plaatsen die kan routeren zonder NAT (een WRT54G met openWRT kan dat misschien wel). Ik raad hier een goedkope Cisco router voor aan, maar nieuw ga je die niet onder de 300€ vinden ! Eventueel kan het met semi-pro firewall oplossingen van Linksys / Zyxel / ... ook wel.

Meerdere PPoE sessies, zoals al eerder aangehaald, dat kan dus ook niet want je krijgt een routed subnet, geen meerdere routed IP's !!

Grtz,
Sasuke

[TomG]

Je kan toch nog steeds static nat toepassen of zie ik iets over het hoofd?

[Sasuke]

Je kan toch nog steeds static nat toepassen of zie ik iets over het hoofd?

Hangt ervan af wat je bedoelt hé, static NAT met slechts 1 fixed of dynamic IP gaat zeker, zoals je zelf reeds aanhaalde. Maar als de TS effectief die extra IP range wil gebruiken, kan hij enkel static NAT gebruiken in de router die dat subnet gaat routeren (dus achter de modem).

Opgepast, een klein extra subnet van 4 adressen, daar kan je er maar 2 van gebruiken. Let dan goed op met de config van je router, want eigenlijk kan je best dan 2 routers gebruiken als je je modem wil behouden toch. dus situatie als hieronder:

ADSL ====> modem ==> router (wan IP op eth0, géén ip op intern LAN) ==> switch of router ==> NAT naar intern LAN.

Eenvoudigste is dus om een router met geintegreerde modem te nemen (bvb Cisco ISR 8xx reeks) om tot een volgende situatie te komen:
ADSL ==> modem/router (cisco) ==> switch of router voor intern lan met nat.

Ik raad het ten stelligste af om thuis, of op ADSL lijnen in het algemeen rechtstreeks je eigen mail te accepteren. Ook al heb je een SPAM filter, toch zal de spam nog altijd eerst door jouw lijn moeten vooraleer deze gefilterd word. Je verliest dus effectief wel wat bandbreedte. Je kan dan beter je mail laten accepteren door een online host die AntiSpam services bied en dan de gefilterde mail forward naar jouw mailserver. Het bijkomende voordeel is dat je dan veel minder bandbreedte verliest aan (anti)spam en (anti)virus, én dat je ook niet meer verplicht bent om poort 25 geopend te hebben. Een online host kan dan perfect jouw mails naar jouw server forwarden over een poort naar keuze (meer veiligheid én meer flexibiliteit omdat je dan geen extra IP's nodig hebt !!!).

grtz,
Sasuke

[Sinna]

Meerdere PPoE sessies, zoals al eerder aangehaald, dat kan dus ook niet want je krijgt een routed subnet, geen meerdere routed IP's !!

Deze informatie is nieuw voor mij. Ik ging ervan uit dat je effectief verschillende PPPoE/A-verbindingen moest opzetten.
Bij deze vliegt mijn voorstel in de vuilbak.

Kan je wat uitleg geven bij het verschil tussen een routed subnet en meerdere routed IP's? Leer ik ook eens wat bij

[Goztow]

De oplossing van Goztow kan spijtig genoeg ook niet functioneren. Als je van een ISP extra IP addressen krijgt in een pool (of range, noem het zoals je wilt), zoals dus bij de TS het geval is (4 adressen, 2 te gebruiken) dan MOET je routeren ZONDER nat. Je modem MOET dus een public IP range kunnen routeren, en huis/tuin/keuken modempjes kunnen dat niet. Nu, wil niet zo direct zeggen dat je je modem moet wegdoen, de AM200 kan perfect dienen, maar dan moet je die wel in "bridge" mode zetten, en daarachter een router plaatsen die kan routeren zonder NAT (een WRT54G met openWRT kan dat misschien wel). Ik raad hier een goedkope Cisco router voor aan, maar nieuw ga je die niet onder de 300€ vinden ! Eventueel kan het met semi-pro firewall oplossingen van Linksys / Zyxel / ... ook wel.

Meerdere PPoE sessies, zoals al eerder aangehaald, dat kan dus ook niet want je krijgt een routed subnet, geen meerdere routed IP's !!

Grtz,
Sasuke

Ow, ik neem aan dat je over oplossing 1 spreekt en niet over oplossing 2?

Listen to Sasuke, he knows what he's talking about ^^

[Sasuke]

Goh, ben niet goed in dat uit te leggen, dus zal het even proberen. Kan zijn dat de terminologie niet de officieel correcte is, maar zolang men mij verstaat is dat voor mij OK

Routed Subnet: Men spreekt van een routed subnet als men van je provider (of whatever) een besloten, classless ip range krijgt. Een routed subnet behoort dus niet tot de normale klasse A, B of C netwerken (n.v.t. op routed subnets groter dan 254 addressen natuurlijk). Bij een routed subnet, heb je dus een kleine volledige ip range/subnet tot je beschikking, waarbij je dus steeds 1 subnet ip (welke je range definieert) en 1 broadcast ip hebt. Bij een routed subnet van 4 addressen (/30) kan je er dus maar 2 effectief gebruiken in je netwerk. Zulk een subnet/range, moet altijd gerouteerd worden, aangezien je een (klein) volledig subnet tot je beschikking hebt. En je tussen verschillende subnets altijd moet routeren. Wie er waar of wat er routeert, dat maakt niet uit. Maar er moet een gateway gedefinieerd zijn die de traffiek naar dat subnet beheerd.

Routed IP: Ik weet niet of de naam juist is, maar ik gebruik deze term om het WAN ip dat je van je ISP krijgt aan te duiden. In tegenstelling tot het routed subnet, is dit adres opgenomen in een netwerk dat beheerd word door de ISP. Dit kan dus zelfs een adres zijn in een routed subnet, maar in tegenstelling tot hierboven beheer je dat subnet dus niet zelf.

Een PPPoE sessies is eigenlijk niets meer dan authenticeren (met encryptie) naar een bepaalde server (radius) en die geeft jou dan een adres uit de beschikbare address pool. Meerdere PPPoE sessies zijn in principe wel mogelijk, maar dat heeft ook zijn nadelen natuurlijk:
1. Het kan niet vanuit eenzelfde device gebeuren
2. Als je 4 addressen hebt, dan weet je niet op voorhand welk adres je gaat krijgen (of je moet al 4 verschillende usernames hebben)
3. Je kan niet zomaar routeren hoe je wilt

In de TS zijn geval krijgt hij effectief een subnet /30 toebedeeld, dus is de optie van PPPoE sessies niet geldig aangezien je zelf de routering moet doen. De ISP zal in dat geval het routed subnet koppelen aan het WAN IP dat je met je PPPoE sessie toebedeeld krijgt.



grtz,
Sasuke

PS: Hoop dat het duidelijk genoeg is ?

[krisken]

Als ik het goed begrijp moet mijn modem gewoon de ADSL verbinding opstarten (nat uit), en dan een voldoende krachtige router zich bezighouden met de servers te koppelen. Zou het dan geen beter idee zijn om ergens een pc'tje aan te schaffen (zo een tweedehands ding) en gewoon zorgen dat ik 2 netwerkkaarten heb? Eén UTP naar de modem, 1 UTP naar de switch en dan m0n0wall draaien ofzo?

[silencer]

Als ik het goed begrijp moet mijn modem gewoon de ADSL verbinding opstarten (nat uit), en dan een voldoende krachtige router zich bezighouden met de servers te koppelen. Zou het dan geen beter idee zijn om ergens een pc'tje aan te schaffen (zo een tweedehands ding) en gewoon zorgen dat ik 2 netwerkkaarten heb? Eén UTP naar de modem, 1 UTP naar de switch en dan m0n0wall draaien ofzo?

ik zou voor pfsense 2.0 gaan.

[Sinna]

Routed Subnet: Men spreekt van een routed subnet als men van je provider (of whatever) een besloten, classless ip range krijgt. Een routed subnet behoort dus niet tot de normale klasse A, B of C netwerken (n.v.t. op routed subnets groter dan 254 addressen natuurlijk). Bij een routed subnet, heb je dus een kleine volledige ip range/subnet tot je beschikking, waarbij je dus steeds 1 subnet ip (welke je range definieert) en 1 broadcast ip hebt. Bij een routed subnet van 4 addressen (/30) kan je er dus maar 2 effectief gebruiken in je netwerk. Zulk een subnet/range, moet altijd gerouteerd worden, aangezien je een (klein) volledig subnet tot je beschikking hebt. En je tussen verschillende subnets altijd moet routeren. Wie er waar of wat er routeert, dat maakt niet uit. Maar er moet een gateway gedefinieerd zijn die de traffiek naar dat subnet beheerd.

Routed IP: Ik weet niet of de naam juist is, maar ik gebruik deze term om het WAN ip dat je van je ISP krijgt aan te duiden. In tegenstelling tot het routed subnet, is dit adres opgenomen in een netwerk dat beheerd word door de ISP. Dit kan dus zelfs een adres zijn in een routed subnet, maar in tegenstelling tot hierboven beheer je dat subnet dus niet zelf.

Een PPPoE sessies is eigenlijk niets meer dan authenticeren (met encryptie) naar een bepaalde server (radius) en die geeft jou dan een adres uit de beschikbare address pool. Meerdere PPPoE sessies zijn in principe wel mogelijk, maar dat heeft ook zijn nadelen natuurlijk:
1. Het kan niet vanuit eenzelfde device gebeuren
2. Als je 4 addressen hebt, dan weet je niet op voorhand welk adres je gaat krijgen (of je moet al 4 verschillende usernames hebben)
3. Je kan niet zomaar routeren hoe je wilt

In de TS zijn geval krijgt hij effectief een subnet /30 toebedeeld, dus is de optie van PPPoE sessies niet geldig aangezien je zelf de routering moet doen. De ISP zal in dat geval het routed subnet koppelen aan het WAN IP dat je met je PPPoE sessie toebedeeld krijgt.

Het maakt een hoop duidelijk en is in de richting waarin ik dacht. Netwerken zijn me niet zo vreemd, maar ik wist niet dat ISP's routed subnets uitdeelden. Ik ging uit van één-op-één-verhalen. Vandaar mijn voorstel voor meerdere PPPoE/A-sessies.
Het niet op voorhand weten van IP-adressen kan je oplossen door DynDNS-related stuff erop los te laten. Op die manier kan ik bij mij thuis binnenbellen.

Het is onderhand wel duidelijk dat DHZ-spul hiervoor niet ontworpen is.

Als ik zo deze draad nog eens doorlees, lijkt het me nogal overkill voor wat het eigenlijk moet dienen:

De bedoeling is om een thuisservertje (web, mail, ...) bereikbaar te maken via internet, en op latere de server van een vriend ook bij mij te zetten. Uiteraard zou een datacenter sneller gaan etc, maar het is een ding dat bijna niks verbruikt (atom proc) en eigenlijk enkel voor tests gebruikt zal worden. Regelmatig zal er dus iets fout lopen waardoor het OS opnieuw geinstalleerd zal worden.

Ik vraag me af of krisken wel effectief meerdere IP-addressen vandoen heeft. Met een eenvoudige NAT lijkt het mij ook wel haalbaar, zeker daar het (louter) voor tests gebruikt zou worden. Alles hangt af van wélke tests natuurlijk...

[Sasuke]

Volgens mij heeft de TS inderdaad geen extra IP's nodig om te doen wat hij wil. Maar wie zijn wij om dat te bepalen natuurlijk

Wat betreft die DynDNS, dat is inderdaad mogelijk, maar ja, dat maakt het hele "fixed ip" verhaal dan wel héééél dom hé

grtz,
Sasuke

[Sinna]

Volgens mij heeft de TS inderdaad geen extra IP's nodig om te doen wat hij wil. Maar wie zijn wij om dat te bepalen natuurlijk

Veel zal afhangen van welke soort tests hij (en/of zijn vriend) willen gaan uitvoeren. Maar of die 'tests' 15€/mnd rechtvaardigen, da's een ander paar mouwen...

[ubremoved_539]

Het is juist de bedoeling dat ik die vaste adressen krijg voor 2 servers te draaien.

Hangt er vanaf wat voor soort servers... maar als het webservers zijn ben je eenvoudiger af met virtual hosting.

In de andere gevallen volg je meon z'n uitleg... en ga je best voor iets anders dan huis-tuin-keuken spul.