Inloggen router

quote:

Op vrijdag 27 november 2009 20:23 schreef Cothen het volgende:

[..]

Dat is een erfenis van een telfout bij het leggen van utp-kabels door mijn huis. Mijn ADSL modem staat in de woonkamer, terwijl de rest van de netwerkapparatuur elders staat.
Er had dus een extra kabel naast de kabel van het modem naar de router getrokken moeten worden, maar die is er dus niet. daarom zit mijn laptop in de DMZ als ik hem met een draad aansluit in de woonkamer.

Mompelt iets over VLAN's en mooie goedkope Linksys SLM2005 / SLM2008 switches

@Folie: Met alle respect, maar ik sluit me bij Cothen aan wat betreft klok en klepel. Niet om te flamen, maar misschien leer je er wat van.

Een DHCP-server is een fantastische oplossing voor het verzorgen van IP-adressen, maar het doet niet meer dan dat.
Een router zorgt voor de verbinding tussen 2 netwerken, maar geeft geen IP-adressen uit.

Nu is het zo dat alle routers tegenwoordig een stukje software aan boord hebben waardoor ze een bepaalde diensten (services) aan kunnen bieden. Voor alle SOHO (Small Office / Home Office) routers geldt dat ze allemaal een DHCP-server aan boord hebben en standaard gebruik maken van Network Address Translation (NAT).

Je krijgt doorgaans maar 1 IP-adres van je internet-provider terwijl elke PC zijn eigen adres nodig heeft. Om te zorgen dat elke PC zijn eigen adres krijgt, zit er dus een DHCP-server in de software van je router bijgebakken, dat is wel zo makkelijk. Maar die DHCP-server geeft alleen adressen uit die niet op internet mogen bestaan, namelijk nummers in de private-IP reeks. Om er nu voor te zorgen dat toch elke PC op internet kan, is er NAT. De NAT-service houdt bij welke PC van binnen verbinding maakt met welke server aan de buitenzijde, zodat hij weet naar welke PC het antwoord terug moet. Omgekeerd, als een machine (PC of server) aan de buitenzijde wil communiceren met een machine aan de binnenzijde dan gaat dat niet zomaar lukken want het is 'onbekend verkeer'. Daarom kun je je NAT-service vertellen welk 'vreemd' verkeer er naar welke server moet. En dat heet dan weer port-forwarding.

En het netwerk van Cothen is op zich niet zo gek hoor, die van mij ziet er nog complexer uit. Ik heb de router van KPN eruit geschopt omdat die perse IP-adressen uit wil delen en ik daar niet van gediend ben (Active Directory vereist een eigen DNS-server en je DHCP-server geeft doorgaans ook de DNS server-gegevens op). Daarentegen is het KPN-signaal wel opgesplitst in meerdere VLAN's (Internet, TV en telefonie) en die wordt bij mij eerst ontvlochten door een Linksys SLM2005 switch. De TV-vlan's gaan naar de Settopboxjes bij de TV's en het internet gaat naar mijn router. Eenmaal binnen wordt het helemaal een VLAN-hel, ik heb een VLAN voor het normale internet (daar hangen allehande kastjes en servers aan die internet willen, maar die ik niet in mijn netwerk wens, zoals skype-telefoon en Teamspeak-server). Dan is een VLAN voor het normale werk, dus daar is mijn werkstation, printer, opslagserver, webcam en de hele rambam die de meeste mensen normaal in 1 netwerk zouden hangen. En tot slot is er een VLAN waar ik dingen in uit kan testen, bijvoorbeeld om te zien hoe een virus zich gedraagt. Dat VLAN heeft *GEEN* gewoon internet, maar alles *MOET* via een proxy die het hele verkeer opslaat. En er staat nog 1 VLAN op de planning en dat is voor een backup-server in de kelder. Omdat die kabel door (de meterkasten) van 2 appartementen heen moet is die per definitie onveilig. Die backupserver gaat dus IP-SEC praten en alles over die kabel wordt versleuteld. Het hart van mijn netwerk is een linuxserver die -jawel- als router cq. firewall dienst doet. Maar als router zonder NAT en MET DHCP en PROXY server.

Snap jij het nog? Cothen en Kroegtijger waarschijnlijk wel...

quote:

Op maandag 30 november 2009 18:55 schreef RiDo78 het volgende:
@Folie: Met alle respect, maar ik sluit me bij Cothen aan wat betreft klok en klepel. Niet om te flamen, maar misschien leer je er wat van.

Een DHCP-server is een fantastische oplossing voor het verzorgen van IP-adressen, maar het doet niet meer dan dat.
Een router zorgt voor de verbinding tussen 2 netwerken, maar geeft geen IP-adressen uit.

Nu is het zo dat alle routers tegenwoordig een stukje software aan boord hebben waardoor ze een bepaalde diensten (services) aan kunnen bieden. Voor alle SOHO (Small Office / Home Office) routers geldt dat ze allemaal een DHCP-server aan boord hebben en standaard gebruik maken van Network Address Translation (NAT).

Je krijgt doorgaans maar 1 IP-adres van je internet-provider terwijl elke PC zijn eigen adres nodig heeft. Om te zorgen dat elke PC zijn eigen adres krijgt, zit er dus een DHCP-server in de software van je router bijgebakken, dat is wel zo makkelijk. Maar die DHCP-server geeft alleen adressen uit die niet op internet mogen bestaan, namelijk nummers in de private-IP reeks. Om er nu voor te zorgen dat toch elke PC op internet kan, is er NAT. De NAT-service houdt bij welke PC van binnen verbinding maakt met welke server aan de buitenzijde, zodat hij weet naar welke PC het antwoord terug moet. Omgekeerd, als een machine (PC of server) aan de buitenzijde wil communiceren met een machine aan de binnenzijde dan gaat dat niet zomaar lukken want het is 'onbekend verkeer'. Daarom kun je je NAT-service vertellen welk 'vreemd' verkeer er naar welke server moet. En dat heet dan weer port-forwarding.

En het netwerk van Cothen is op zich niet zo gek hoor, die van mij ziet er nog complexer uit. Ik heb de router van KPN eruit geschopt omdat die perse IP-adressen uit wil delen en ik daar niet van gediend ben (Active Directory vereist een eigen DNS-server en je DHCP-server geeft doorgaans ook de DNS server-gegevens op). Daarentegen is het KPN-signaal wel opgesplitst in meerdere VLAN's (Internet, TV en telefonie) en die wordt bij mij eerst ontvlochten door een Linksys SLM2005 switch. De TV-vlan's gaan naar de Settopboxjes bij de TV's en het internet gaat naar mijn router. Eenmaal binnen wordt het helemaal een VLAN-hel, ik heb een VLAN voor het normale internet (daar hangen allehande kastjes en servers aan die internet willen, maar die ik niet in mijn netwerk wens, zoals skype-telefoon en Teamspeak-server). Dan is een VLAN voor het normale werk, dus daar is mijn werkstation, printer, opslagserver, webcam en de hele rambam die de meeste mensen normaal in 1 netwerk zouden hangen. En tot slot is er een VLAN waar ik dingen in uit kan testen, bijvoorbeeld om te zien hoe een virus zich gedraagt. Dat VLAN heeft *GEEN* gewoon internet, maar alles *MOET* via een proxy die het hele verkeer opslaat. En er staat nog 1 VLAN op de planning en dat is voor een backup-server in de kelder. Omdat die kabel door (de meterkasten) van 2 appartementen heen moet is die per definitie onveilig. Die backupserver gaat dus IP-SEC praten en alles over die kabel wordt versleuteld. Het hart van mijn netwerk is een linuxserver die -jawel- als router cq. firewall dienst doet. Maar als router zonder NAT en MET DHCP en PROXY server.

Snap jij het nog? Cothen en Kroegtijger waarschijnlijk wel...

Alleen jammer dat jij je KPN kastje eruit schopt omdat je wil dat AD zelf je ipadressen uitgeeft vanuit DHCP, maar vervolgens ga je een linuxbak neerzetten met dhcp. Ik snap je niet meer?

Ik wil niet dat AD de adressen uitgeeft, maar wel het DNS in beheer heeft. En op mijn linux-bak kan ik gewoon aangeven dat DHCP-clients voor hun DNS bij de AD aan moeten kloppen. Op veel routers (waaronder dat baggerding van KPN) kun je geen DNS-servers opgeven; de router fungeert meestal zelf als DNS-forwarder of de IP-adressen van de DNS-servers die de router van zijn DHCP server krijgt worden gebruikt.

Maar het voordeel van een Linux-DHCP server is dat ik soms wat rare fratsen uit kan halen voor het virus-VLAN. Bovendien fungeert die bak ook als BOOTP server voor (bijvoorbeeld) te teamspeakserver.

quote:

Op maandag 30 november 2009 20:48 schreef RvLaak het volgende:

[..]

AD kan ook helemaal geen adressen uitgeven. Sterker nog, de DNS server is een aparte module binnen Windows server, zo ook de DHCP server. De DNS module vereist echter wel AD. Waarom, is mij onduidelijk, aangezien de DNS een eigen database met de adressen bijhoudt.

Jouw netwerk is mij goed duidelijk, alleen vraag ik me nu wel af hoe groot jouw appartement is

Nee, AD en DNS zitten nauw met elkaar verweven. Een AD-client zal bijvoorbeeld DNS gebruiken om uit te vinden bij welke server hij zich aan moet melden. In een AD-DNS zitten veel van dergelijke verwijzingen om te zorgen dat een client alle mogelijkheden die AD te bieden heeft kan vinden. Hoewel je die verwijzingen ook wel in een BIND-installatie kwijt kunt, werkt dat niet echt super; AD kan een eigen DNS naar behlieven aanpassen terwijl er bij een BIND-installatie af en toe wat interventie van de beheerder nodig is.

Daarnaast kan een AD-DNS zone ook geintegreerd worden in AD zelf. Daardoor heb je geen zone-files en replicatie meer nodig, maar wordt alle replicatie door de AD verzorgd. Een bijkomend voordeel daarbij is dat elke directoryserver ook als DNS server op kan treden. En zie daar weer de kracht van AD, een DNS-server op lokatie zal lokale services in een lokale, niet gerepliceerde zone zetten waardoor het inloggen in Amsterdam niet resulteert in een overbelaste AD-server in Tokyo en bomvolle lijnen daarheen terwijl de AD-server in Amsterdam uit z'n neus loopt te grotten.

Maargoed, dat is erg offtopic. En mijn appartement is niet zo enorm groot hoor; Virtuele Machines doen wonderen!

quote:

Op maandag 30 november 2009 18:55 schreef RiDo78 het volgende:
@Folie: Met alle respect, maar ik sluit me bij Cothen aan wat betreft klok en klepel. Niet om te flamen, maar misschien leer je er wat van.

In veel routers die ik ken is de router functie op assembly level gekoppeld aan de DCHP software, dit om te voorkomen dat er iemand op je router kan gebruik maken van ARP poisining...
Een computer meldt zich aan met een statisch IP adres wordt via de DHCP software in het modem dat IP adres toegewezen zonder lease en wordt geprobed... by far de meest mooie oplossing... maar het is makkelijk dus waarom niet. En ja dat doen ze ook als je DHCP server uit staat...

Tuurlijk je kan dat voorkomen, veel custom firmware doet het niet en er zijn een aantal leveranciers die het netter oplossen. Maar over het algemeen geldt dat als je de DHCP software fysiek uit je router deletet dat hij niet meer werkt, kortom: over het algemeen hangt de klepel in het midden...

Bevalt dat nou? IPTV van KPN? Vond het persoonlijk een waste van mn DSL bandbreedte, traag en lage kwaliteit... Of heb je KPN glas?

Ik begrijp dat je geen VoIP gebruikt? of logt je telefoon/pc direct in op de kpn SIP server?

Ik heb inderdaad KPN Glas en VoIP gebruik ik niet omdat KPN alles wat met die verbinding te maken heeft als bedrijfsgeheim bestempelt. Top Secret dus allemaal. Maar met een protcol-analyzer vind je al snel de VLAN's en de PPPoE tunnels met bijbehorende gegevens. Alleen VoIP is geheel versleuteld. Als ik VoIP ga gebruiken dan is dat dus niet via KPN.

Wat TV betreft, ach jah, dat klotekastje van KPN is zo bagger traag... als je een andere zender kiest dan mag je even 1 tot 2 seconden wachtten tot er beeld is. Oké, hij moet wachtten op keyframes, daar kan ik in komen... maar dat zou niet verklaren waarom het oproepen van het menu soms tot 10 seconden kan duren en ook die navigatie als dikke stront door een trechter gaat.

En om het geheel weer een beetje ontopic te krijgen: Die router van KPN is ook 300x niets. Hij werkt dmv. hostdetectie op de LAN-zijde. Die detectie is verre van perfect dus van de 9 apparaten die hij op dat segment had moeten zien, zag hij er maar 2. Ookal hebben alle apparaten een IP-adres van dat kreng gekregen. En portforwarding instellen gaat op basis van drop-down menutjes waarin de gedetecteerde apparaten staan. Met andere woorden, portforwarding is ook waardeloos. Oh, en KPN biedt --geen-- ondersteuning op hun router, dus bij een duur 0900 nummer gaan janken dat je PS3 geen internet heeft is vrij zinloos. "U hebt toch internet? Dan werkt het dus!"

Eigen router rulez!!!

[ Bericht 32% gewijzigd door RiDo78 op 02-12-2009 11:10:53 ]