18 berichten aan het bekijken - 1 tot 18 (van in totaal 18)
  • Q:
    Bijdrager
    dintel

    Port forwarding met dubbele router

    Hallo allemaal,

    Onlangs heb ik een mac mini opgezet met Lion Server. Alles werkt lokaal naar behoren. Nu heb ik echter een domeinnaam aangevraagd, deze is gekoppeld met mijn vaste IP adres van Tele2.

    Nu komt het lastige:

    Internet -> Tele2 Router (Fixed: 192.168.1.1 DHCP:192.168.1.100-200) -> Sitecom Router (Fixed: 192.168.0.1 DHCP: 192.168.0.2-51) -> Lion server (Fixed: 192.168.0.10)

    Ik woon in een studentenhuis en vanwege logistieke redenen hebben wij twee routers die beide als DHCP server functioneren (wel ander bereik) op één netwerk.

    Nu wil ik een aantal poorten zoals: http, https, ical, mail en vnc forwarden naar mijn router.

    Hoe moet ik de routers instellen? Moet ik alle poorten van de Tele2 router doorsturen naar de Sitecom router en vanaf de Sitecom router naar de Lion server? Of moet ik de Tele2 router laten forwarden naar de server?

    De setup kan niet veranderd worden en ik kan ook geen kabel rechtstreeks vanaf de Tele2 router trekken.

    Alvast bedankt!

    Bijdrager
    madcat

    Het beste is als je jouw router in het DMZ zet, en dus alle poorten naar jouw router worden gestuurd.
    een ander manier is om op de tele2 router de poorten te fowarden naar jouw router voor de services die je nodig hebt.

    Bijdrager
    Pasav

    Waarom gebruik je twee routers achter elkaar. Dit zorgt voor aanzienlijke vertraging naar je server toe.

    Bijdrager
    pvbezel

    je tele2 router/modem draait dhcp, waarom zet je de dhcp op de sitecom niet uit?

    als je met meerdere mensen daar woont, en iedereen gaat een server draaien, en alle poorten open gooit, dan kan je net zo goed je voordeur open zetten.

    die tele modem deelt op zijn minst 200 adressen uit, moet toch genoeg zijn dacht ik zo.

    Bijdrager
    mslik

    Hoi,

    Eens met pvbezel. 2 DHCP ranges op 1 netwerk is niet heel erg handig. Maar om je vraag te beantwoorden ik zou het volgende doen.

    Gebruik de eerste router om je port forwarding te beheren. Oftewel zet alles op je sitecom door, en beheer de tele2 router met portforwarding naar je Sitecom. Zo heb je nog controle, maar hoef je niet 2 routers tegelijk te beheren.

    Michiel

    Bijdrager
    dintel

    @Pasav en @pvbezel
    Ik ben hier later komen wonen, er is mij verteld dat de Tele2 router (het is overigens ook de modem inderdaad) het verkeer niet aan kon.

    @madcat
    Wat ik dan moet doen is de Sitecome router met ip adres 192.168.0.1 in de DMZ zetten van de Tele2 router. Wat gebeurt er dan precies? Worden dan standaard alle poorten die ik openzet naar de Sitecom router doorgestuurd?
    Dan zou ik altijd nog de Sitecom router moeten instellen, niet waar?

    Bijdrager
    dintel

    @mslik
    Het liefste zie ik ook één centrale router als DHCP server functioneren, maar helaas kan dat niet.

    Maar je suggereert om alles open te zetten op de sitecom? Dus geen firewall ect. En dan de Tele2 router gebruiken voor je eigen toegangspoort.

    Komt dat overeen met het idee van @madcat over het DMZ? Of werkt dat anders?

    Bijdrager
    madcat

    ik weet niet welke router tele2 meeleverd, maar je moet daar even in de instellingen duiken om te kijken of je iets van DMZ kan vinden. Onder de airport heet dat default host, misschien dat ze het bij tele2 ook wat anders noemen.
    Maar dan worden alle poorten standaard geforward naar jouw router (wel heel vervelend als anderen ook een server willen draaien)

    Daarna kan je de jouw server ook weer in DMZ mode zetten op je sitecom modem (waarschijnlijk Firewall-> DMZ) en dan lijkt het alsof jouw server op het “echte internet” zit ipv achter twee firewalls. heel veilig is het inderdaad niet, dus het is dan wel verstandig om de firewall van je server aan te zetten inclusief de port stealth mode.

    wat mslik bedoeld is dat je jouw sitecom modem in “Bridge mode” zet zodat het een simpele hub is geworden ipv een router. Dat is een andere manier om het probleem op te lossen.

    Bijdrager
    mslik

    Hey,

    Dat is inderdaad wat anders. Als je de router in de DMZ zet, kun je daar niet geheel meer bij vanaf je netwerk (zoals ik het concept altijd begrepen heb in ieder geval). Hij staat in een “gebied” tussen het internet en je netwerk. Dat betekend dus aanpassingen maken in beide routers, en volgens mij is dat nou net niet de bedoeling.

    Daarom opteer ik dat je de Tele2 router als “bewaker” gaat gebruiken. Daar stel je de port forwarding in, en die firewall gebruik je. Omdat die de boel bewaakt is bewaking op de 2e router die erachter hangt niet meer nodig, dus die firewall kan je rustig uitzetten, en alle poorten kan je rustig forwarden. Anders moet je beide gaan bijhouden, en dat kost onnodig veel tijd.

    Michiel

    Bijdrager
    madcat
    mslik op 20 augustus 2012

    Hey,

    Dat is inderdaad wat anders. Als je de router in de DMZ zet, kun je daar niet geheel meer bij vanaf je netwerk (zoals ik het concept altijd begrepen heb in ieder geval). Hij staat in een “gebied” tussen het internet en je netwerk. Dat betekend dus aanpassingen maken in beide routers, en volgens mij is dat nou net niet de bedoeling.

    Daarom opteer ik dat je de Tele2 router als “bewaker” gaat gebruiken. Daar stel je de port forwarding in, en die firewall gebruik je. Omdat die de boel bewaakt is bewaking op de 2e router die erachter hangt niet meer nodig, dus die firewall kan je rustig uitzetten, en alle poorten kan je rustig forwarden. Anders moet je beide gaan bijhouden, en dat kost onnodig veel tijd.

    Michiel

    Een computer die in je DMZ staat kan je gewoon benaderen van binnen je netwerk, maar kan je ook benaderen van af buiten af.

    Het nadeel van de tele2 router als enige router gebruiken is dat je minder controle er over hebt, zowel je mede bewoners als tele2 kan daar bij. Daarnaast heb je alsnog een firewall nodig al was het maar om je mede bewoners geen toegang te laten verlenen voor zaken waar ze niet bij moeten kunnen.

    Bijdrager
    mslik
    madcat op 20 augustus 2012

    Een computer die in je DMZ staat kan je gewoon benaderen van binnen je netwerk, maar kan je ook benaderen van af buiten af.

    Het nadeel van de tele2 router als enige router gebruiken is dat je minder controle er over hebt, zowel je mede bewoners als tele2 kan daar bij. Daarnaast heb je alsnog een firewall nodig al was het maar om je mede bewoners geen toegang te laten verlenen voor zaken waar ze niet bij moeten kunnen.

    Okay,

    Dat is info die ik niet heb. Heb geen Tele2 maar UPC en ik doe thuis hetzelfde. Ja ze kunnen erbij, maar dat doen ze nooit. Dat de andere bewoners erbij kunnen, dat klopt ook maar er is geen enkel scenario te bedenken waarmee ze dat niet kunnen zeg maar.

    Succes met de keuze.

    Michiel

    Bijdrager
    pvbezel

    @Pasav en @pvbezel
    Ik ben hier later komen wonen, er is mij verteld dat de Tele2 router (het is overigens ook de modem inderdaad) het verkeer niet aan kon.

    dan heeft het ook geen nut om jouw sitecom eraan te koppelen, die werkt nu als “hub” maar al het verkeer gaat toch via de tele2 modem, dus….

    Bijdrager
    dintel

    Oké, mijn setup is nu als volgt.

    Internet -> Tele2 -> DMZ -> Sitecom -> DMZ -> Lion server

    Dus ik heb bij de Tele2 router het ip adres van de Sitecom en bij de Sitecom het ip adres van der Lion server.

    Nu zou mijn webpagina toch moeten verschijnen als ik mijn ip adres plus port in de browser invoer?

    Voorbeeld: 12.345.56.78:443 (De webserver maakt gebruik van SSL dus vandaar 443 i.pv. 80)

    Op port 80 kom ik overigens uit bij de instellingen van mijn Tele2 router, die ik normaal ook bereik via 192.168.1.1

    Bijdrager
    madcat

    Als je het goed hebt ingesteld zal je je lion webserver moeten benaderen als je het publieke ip invuld in je browser.
    Deze kan je vinden via watismijnip.nl ofzo
    Via een portscanner kan je ook bekijken of je het juist hebt gedaan.

    Bijdrager
    readefries

    Dubbel nat zorgt echt voor problemen, RFC 1918 (interne IP adressen mogen niet gerouteerd worden).

    Je zult een van beide routers moeten laten bridgen zodat je port forwarding kan instellen op overgebleven router. Dit voorkomt allerlei vage problemen, die je met dubbel nat kan tegenkomen.

    Bijdrager
    mtooster

    Ik zou inderdaad kijken of je die tele2 modem kan laten bridgen. Die werkt dan puur als modem en geeft dan het publieke ip-adres en alle data direct door aan de Sitecom. Die kan je dan als normale router instellen.
    Dubbel NAT is echt een drama, zeker met regulier consumentenspul….

    Ik begrijp dat die tele2 modem over zijn nek ging met alle torrents en downloads die hij moest routeren…. teveel connecties tegelijk dus.
    Dat kan ook wel kloppen, er wordt gewoon goedkope meuk voor die modems gebruikt.
    Als je hem als bridge in kan stellen hoeft hij niet meer te routeren wat dat probleem dus oplost.

    Die sitecom zal wel wat degelijker zijn en dus moet je kijken of je die dan als router kan gebruiken.
    En anders gewoon een provider opzoeken (tweak ofzo) waar je wel controle hebt over de apparatuur die je wilt gebruiken.

    Bijdrager
    fred44nl
    glitch op 20 augustus 2012

    Dubbel nat zorgt echt voor problemen, RFC 1918 (interne IP adressen mogen niet gerouteerd worden).

    ik vraag me af of dit wel zo is.
    op de camping is een draadloos internet met ip-adressen in 172.16.x.x, compleet met dhcp-server
    als ik daar een trace op loslaat, dan zit daar meteen achter een netwerk met 192.168.x.x, ook met dhcp-server.
    pas daar achter komt het publieke ip-adres.
    dit draadloze netwerk is door een professioneel bedrijf aangelegd en werkt gewoonlijk heel goed.

    in bedrijven kom je zo nu en dan Vlan tegen, d.w.z. virtuele lokale netwerken.
    en daar wordt driftig gerouteerd, anders zou dat echt niet werken.

    kortom, interne ip-adressen kun je heel goed routeren, wordt vaak genoeg gedaan en ik zou echt niet weten waarom dat niet zou mogen.

    dat het in een klein lokaal netwerkje volstrekt overbodig is, dat is weer iets heel anders.

    Bijdrager
    readefries

    Dubbel natten zorgt er voor dat je niet weet wat er wel en niet automatisch gerouteerd wordt: RFC verbied routering van RFC 1918 adressen.

    Dat er hobbyisten zijn die het leuk vinden handmatig routes tikken is een ander verhaal.

    Voor het routeren van grote netwerken, zijn er andere protocollen (b.v. OSPF/BGP).

    Het maken van VLANS is een ander verhaal…

18 berichten aan het bekijken - 1 tot 18 (van in totaal 18)

Je moet ingelogd zijn om een reactie op dit onderwerp te kunnen geven.