Raad rond uitgebreide netwerkconfiguratie

[yvansoftware]

Hallo,

Aangezien ik een redelijk snelle FN60 aansluiting heb (zonder limiet, allez, zonder vastgestelde limiet), heb ik besloten een aantal thuisservers te zetten, waaronder een stuk of twee-drie van klasgenoten. Dat worden linux bakjes, en ik zou poort 22 op die bakjes forwarden naar buiten toe op een andere poort (bijvoorbeeld 2001 voor de eerste, 2002 voor de tweede,...), zodat ze er zelf in kunnen.

Hetgeen ik echter niet graag heb, is dat ze mee in mijn thuisnetwerk zitten, en daarom heb ik bijgevoegd schema ontworpen voor het netwerk. Ik doe dat niet zo veel (nog maar 2-3x gedaan), dus er zouden wel wat fouten kunnen inzitten. Het is ook met een on line tool gemaakt zoals je zal zien.

Schema:



Alle routers draaien de laatste nieuwe DD-WRT firmware, behalve de telenet modem/router.

De bedoeling is dat vanuit het 10.0.0.0/24 subnet er enkel op poort 80, 443 en 8332 kan verbonden worden met de buitenwereld, en dat poort 22 wordt opengezet op een andere poort op de DIR-635. De bedoeling is ook dat de PCs uit het 10.0.0.0/24 subnet enkel op internet kunnen. Dus geen verbindingen zijn toegestaan naar 192.168.1.0/24 of 192.168.0.0/24 .

De concrete vraag is nu: hoe kan ik ervoor zorgen dat de PCs in 10.0.0.0/24 niet met de andere PCs op 192.168.0.0/24 en 192.168.1.0/24 kunnen communiceren? Hoe noemen die instellingen, en waar stel ik ze in?

Ik heb alle routers bewust van een Custom Firmware voorzien: de garantie was toch al verlopen, en die hebben meer mogelijkheden, zoals inloggen en manueel IPTABLES instellingen aanpassen.

Alvast bedankt,

Yvan

[Edje]

Yvan, zolang je geen NAT translatie toepast kun je niet vanaf subnet 10.0.0.x naar 192.168.x.x toch?

[yvansoftware]

Yvan, zolang je geen NAT translatie toepast kun je niet vanaf subnet 10.0.0.x naar 192.168.x.x toch?

Als je hardware combinatie dat toestaat - ik denk dat je niet helemaal kan visualiseren wat ik bedoel. Door omstandigheden, moet de router voor de 'servers' ingeplugd worden op die van mijn netwerk, en krijg je de volgende traceroute-structuur:

10.0.0.x --> 192.168.1.x --> 192.168.0.2 --> WAN.

Van rechts naar links:

192.168.0.2 is het IP dat mijn telenet modem/router. Door een fout door telenet destijds hebben ze me een draadloze aangesmeerd op schalkse wijze, en geen modem alleen die de mogelijkheid geeft tot een 'echt' WAN IP, maar ingebouwde NAT functie heeft, en die niet kan uitgezet worden - niet door de support, en niet door mij. Dit is een statisch IP, en alle poorten naar binnen toe staan open naar daar, zodat het effect vergelijkbaar is, maar het toch nog wat extra nadelen heeft. (als ik dit wil laten wijzigen: technieker laten komen, want zelf een modemswap doen mag blijkbaar niet meer, en dat kost me €75 die in september er niet is voor een zelfstandige student ;-) )

192.168.1.x is mijn netwerk voor eigen, gewoon gebruik. Alle clients hier moeten met elkaar kunnen communiceren, behalve de router die voor de gastverbindingen zorgt: deze moet wel bereikbaar zijn vanaf de anderen, maar mag zelf enkel op de standaard gateway terecht kunnen.

10.0.0.x is het netwerk voor gastgebruik, en ook de 'servers' van mijn klasgenoten bevat - dit zijn gewoon oude computers van hun, die hier staan, zodat ze hun netwerkbeheertechnieken kunnen oefenen, en dan via SSH er op kunnen. Een computer in die range moet dus wel op Internet kunnen, maar moet via 192.168.1.x passeren via NAT, waardoor ze allemaal één client voorstellen op het 192.168.1.x netwerk. Hier wringt het schoentje: ik wil wel dat er contact naar een host op 10.0.0.x mogelijk is via port forwarding, maar van 10.0.0.x enkel contact mogelijk is naar 192.168.1.1, om zo naar Internet te verbinden.

Ik weet dat dit een omslachtige situatie is ;-). Ik doe dit, om er iets uit te leren - praktische ervaring is altijd handig. De klasgenoten hebben hun 'server' hier staan, omdat als je een VPS/Dedi huurt om met beheer op afstand, SSH, ... te leren werken, dat het snel fout loopt en dat je constant aan de support hangt, en niet iedere supportafdeling reageert daar even gratis op (zeker bij dedicated servers).

Mvg,
Yvan

[Fernandv]

Stomme opmerking misschien? Waarom hang je de router van netwerk 10.x.x.x niet rechtstreeks aan de Telenet modem router? Dus D-link Dir635 voor je 10.x.x.x netwerk en de WRT320 voor je ander netwerk?
Wat de modem van Telenet betreft, ga eens naar een Center en vraag eens aan de medewerker daar of die zo vriendelijk wil zijn uw modem defect te verklaren en een foutje te maken door een "modem only" te provisioneren. Kan wel eens lukken. Anderzijds heb je met je huidige modem een prachtige kans om met portforwarding te spelen en uit te proberen.
Om concreet op je vraag in te gaan. Ik veronderstel dat je D-link Dir 635 een Wan IP krijgt zoals 192.168.1.150 bijvoorbeeld. Kan je dat dan niet oplossen door in de firewall van de router te zetten dat alle verkeer naar een range van Lan IP's afgeblokt wordt. Bvb afsluiten van bronnen (IP range in dit geval 192.168.1.150) voor alle Lan verkeer naar destination (IP range 192.168.1.110 tot 150 bijvoorbeeld)
Ik heb heb conceptronic router en die kan dat.

[Fernandv]

Heb even in de handleiding van uw beide routers gekeken en blijkbaar kan dit bij beide niet. Je kan blijkbaar niet de toegang tot bepaalde IP adressen blokkeren alleen naar bepaalde domeinen (URL's).
Sorry net gezien dat je er andere firmware hebt op gezet. Dan is dit misschien iets:
You are here: DD-WRT wiki mainpage / Scripting / SSH/Telnet & The CLI / iptables
Deny access to a specific IP address
iptables -I FORWARD -d 123.123.123.123 -j DROPWhich would DROP all packets destined to the given IP. Useful to block access to whatnot. If you want to log the entry when the IP is blocked you would set the jump location to logdrop, instead of DROP.
Als je toch aan het spelen bent met die firmware ;-)

[Luc@s]

mss domme opmerking, maar als je nu gewoon die dlink wegdoet, een vmware ESXi (=gratis) installeert, geconnecteerd op de DMZ van uw open wrt en daaronder virtuele machines aanmaakt, dan lukt dit perfect, en joepie voor uw electriciteitsrekening van het komende jaar, want met de huidige setup ga je daar wel redelijk groen uitkomen vrees ik :-)

no affence, been there done that, ben ook begonnen met virtualiseren hoor, die servers (ook al zijn het gewone pc's met linux op, verbruiken verdomd veel energie. (en geven heel veel warmte en lawaai)

mvg
L.

[Luc@s]

& btw, zie dat je er "shaping" opzet, want als je een of andere vriend distro's enz begint te downen, trekt hij de lijn dicht voor al de rest, voor U inclusief ;-)