13 replies to this topic

[hulkman]

Hoi, om mezelf te verlossen van die provider troep die in mijn meterkast geplaatst wordt, en omdat ik klaar ben om telkens mijn netwerk opnieuw te moeten optuigen, heb ik besloten een eigen router tussen mijn netwerk en het provider modem te plaatsen.
Ik ben vorig jaar overgestapt naar KPN glasvezel en ontving daarbij een experia V10 modem.
Het ding kan alleen een netwerk maken DHCP 192.168.2.xxx mijn oude was 192.168.1.xxx. Dus alles omgezet ondat ik camera's en ontvangers liever op een vast IP zet.
Maar de box loopt telkens vast dan wil hij geen ip's uitdelen en dat soort ellende. Daarom nu een OpenWRT router er tussen geplaatst.
Er moeten wat poorten open om mijn netwerk bereikbaar van buiten te maken. Omdat ik geen zin had alles dubbel in te moeten geven heb ik in het experia modemmodem gekozen voor DMZ mode en heb ik de wifi van de box uitgezet. De nieuwe router zit dus ook fysiek tussen het modem en mijn netwerk.
Beveiliging komt dan nu ook helemaal bij de router te liggen.
Wie kan er iets zeggen over de veiligheid in opzicht van het experia modem, ik kan namelijk nergens vinden in hoeverre het modem dan hackbaar is of niet. Kan me eigenlijk niet voorstellen dat DMZ alles zomaar open legt.
Wie weet meer??

[WanWizard]

Je kunt die box niet in bridge mode zetten, en de PPP authenticatie laten doen door je OpenWRT router?

 

Zo doe ik het hier, dan is de box voor IP volledig transparant, en een stuk lastiger hackbaar.

[hulkman]

Heb het ff gegoogled en kom dan tot dit antwoord in een kpn forum.

Citaat:
De Experia Boxen van KPN kennen geen bridge-mode.

Als je een eigen router wilt gebruiken, lees dan het startbericht van dit topic eens.

Ik ben nog zoekende, maar weer op weg.

[Frenske]

Met KPN glasvezel kan je eenvoudig een eigen merk router plaatsen. KPN heeft het gebruik van een eigen router vrijgegeven.

Eerder had ik mijn router (DrayTek) achter mijn V12 hangen maar daar wilde ik vanaf. Vervolgens een nieuwe router aangeschaft nadat ik eerst kort getest had of mijn oude 2130N rechtstreeks werkte. En dat bleek zo te zijn. En nu ben ik van de V12 af en werkt oa. VPN en VOIP naast de andere gewenste opties prima.

 

Eenvoudig rechtstreeks aangesloten via PPPOE protocol.

[hulkman]

Ik heb het linkje geopend en gelezen, volgens mij heb ik het wel goed gedaan maar moet ik nog even controleren of ik snmp in de router uitgezet heb.
Zou deze niet door de firewall afgevangen moeten worden?
However, als ik wat vindt zet ik het wel uit.

[Frenske]

Linkje, welk linkje? Als ondergetekende dit probleemloos voor elkaar kreeg dan moeten meerderen dit ook kunnen. 
Je WAN poort van de router verbonden met de internetpoort op het glasvezelmodem. En de rest wordt vervolgens in jouw router afgehandeld. Ik ken die router niet dus daarover moet je mij niets vragen. Ik ben ook maar een veredelde eindgebruiker.

 

Mocht jij rechtstreeks glas op je router kunnen connecten, dan zal het lastiger zijn. Maar dat verwacht ik niet.

[hulkman]

Ah sorry, linkje was niet mee gecopieerd met het citaat. Maar het komt hierop op neer dat DMZ in dit geval betekend dat alle poorten geopend worden richting een te kiezen ip adres, in dit geval dus het ipadres van de router.
Het is gelukkig niet zo dat het modem daarmee open staat naar de buitenwereld.
Ik prefereer een gescheiden modem en router zodat ik onafhankelijk ben van wat de provider aan hardware en media levert, maar kan ik i.g.v. een storing wel terugvallen op service van de provider.

[Frenske]

Ik prefereer één device waarmee ik alles doe.

 

Eerder had ik op de V12 de door mij benodigde poorten, waarbij VPN voor mij de hoogste prioriteit had, volledig laten doorsturen naar mijn DrayTek. Dat werkte an sich prima maar ik wilde van twee devices af + een betere router. Met de Fritz!Box ben ik zeer tevreden en KPN levert deze nu ook. Ik heb hem overigens zelf elders aangeschaft.

[WanWizard]

De DMZ mode van een home router wordt geimplementeerd door middel van een layer-2 packet copy, dezelfde techniek die ook gebruikt wordt in switches voor een mirror-port.

 

Dit betekent dat de frame headers niet worden aangepast, het pakket komt aan bij het achterliggende DMZ device met de originele IP headers, maar met een aangepast MAC address.

 

Je DMZ device krijgt dus hetzelfde public adres als je router heeft, de router is quasi transparant.

 

Het verschil met bridging is dat bij bridging de outer frames (met de IP headers van het interne netwerk van de provider) direct worden doorgestuurd, waardoor het DMZ device de PPP tunnel moet opzetten, waarbij bij DMZ forwarding de router de PPP tunnel termineert, en de inner frames doorstuurd (met de pubieke IP headers).

 

Vanuit een (eind-)gebruikersperspectief is dat gelijk genoeg.

 

Wat je bv mist is dat het DMZ niet meer ziet of de internet verbinding nog werkt, zodat je niet kunt load-balancen of overschakelen naar een andere lijn.

[hulkman]

@WanWizard Je vergeet dat deze experiabox V10 dat bridgen gewoon niet kan.

@frenzke Helaas heeft mijn router geen mogelijkheid om een telefoon lijntje aan te sluiten, bovendien gebruikt een volgende provider mogelijk wel weer een fiber media poort, mijn vorige t-mobile gebruikte een drytek glas modem, en dat past ook niet op mijn router.

Denk dat ik het voorlopig maar zo laat, mochten er zich toch onoverkomelijkheden voordoen dan zoek ik weer verder. Ik ben nu gerust dat mijn netwerk niet open ligt. WanW bedankt dat je me op het juiste spoor hebt gezet.

[hemertje]

Volgens mij heeft niemand het over een telefoon lijntje?

Kijk eens naar een UBIQUITI EdgeRouter X SFP
Dan heb je tevens de mogelijkheid je glas direct aan te sluiten met een SFP adapter

[WanWizard]

@WanWizard Je vergeet dat deze experiabox V10 dat bridgen gewoon niet kan

 

Nee hoor. Ik leg alleen het verschil uit. Als je daar mee leven kunt, prima. Zo niet, dan zul je KPN moeten bewegen die Experia te vervangen.

 

Ik heb dat probleem niet, mijn provider staat om het even welke router toe.

[WanWizard]

Kijk eens naar een UBIQUITI EdgeRouter X SFP
Dan heb je tevens de mogelijkheid je glas direct aan te sluiten met een SFP adapter

 

Dat werkt alleen maar als er ethernet over die kabel komt (niet gegarandeerd) en KPN bereid is de authenticatie gegevens vrij te geven (ook nog maar de vraag).

[Erik Slagter]

"bridge mode" is eigenlijk een misnomer. Er wordt niks gebridged, dat lijkt alleen maar zo, wordt geemuleerd. DSL (en volgens mij glas ook) wordt geencapsuleerd in PPP. Bij ADSL gaat het naar PPPoA, bij VDSL en glas naar PPPoE. Beide standaarden lijken heel erg op elkaar en kunnen eenvoudig naar elkaar vertaald worden. Wat je eigenlijk wilt (en dat is wat ik hier gebruik) is die "rauwe" PPP stream. Je praat dan direct met de DSLAM (of concentrator voor glas). Er zit geen provider router meer tussen, alleen als modem (bit-voor-bit transparant). Je moet dan wel een router hebben die dat aanbiedt. De Fritzbox! die xs4all aanbiedt kan het, maar wordt goed verstopt, ze hebben liever niet dat je dat gebruikt (AVM, xs4all kan het niet schelen). Je hebt dan nog een eigen router nodig die ook firewalling doet. Maximaal flexibel en veilig, mits je weet wat je doet. Maar het kán altijd.

 

De "bridge mode" die vaak wordt aangeboden emuleert een bridge, da's een niveautje hoger. Zowel router als provider (DSLAM/concentrator) moeten de mogelijheid aanbieden, anders gaat het niet werken.Je doet dan "alsof" het hele netwerk van de provider ethernet is. Dat is ook wel zo, maar niet op die manier (lang verhaal...).

 

Beide methodes hebben voor- en nadelen.

 

Maar verlost zijn van de dictatuur van de provider is niet verkeerd!