Web 2.0 in the real world

alt
 

Hot topics

Firewalls en routers

Guus Disselkoen  9 October 2011 22:13:11
Image:Firewalls en routers
Hoe je baas over je eigen netwerk wordt als je klant bent bij Tele2

Al enige tijd, eigenlijk sinds de eerste software update van het modem nadat ik klant van Tele2 geworden ben, lig ik in de clinch met Tele2.
Wat is nu het geval? Wanneer je klant wordt van een internet provider, in dit geval Tele2, dan krijg je vrijwel altijd de benodigde hardware in bruikleen om een verbinding met internet te kunnen maken. Deze hardware is meestal standaard hardware die ook in de winkel te koop is maar met wat specifieke aanpassingen zodat deze apparatuur te gebruiken is op het netwerk van de betreffende provider. Zo ook bij Tele2. Bij Tele2 krijg je de Davolink dv-2020 in bruikleen. Een gecombineerd modem, router en firewall in één kastje.

Alleen zijn ze bij Tele2 behoorlijk doorgeschoten, bepaalde functionaliteit van het modem kun je niet configureren omdat dat, door Tele2, uit de web interface verwijderd is. Ja, er zijn op internet wel hacks te vinden hiervoor, maar de meeste werken totdat het modem herstart wordt. En dat schiet niet op.

Standaard staat op het modem DHCP ingeschakeld, zodat alle aangesloten PC's een IP adres krijgen vanuit het modem en ook staat het modem ingesteld als DNS forwarder. Handig voor mensen die geen sjoege hebben van netwerken of internet en het alleen aan willen zetten en gebruiken. Maar er is ook een grote groep die dit juist niet wil. Deze mensen willen zelf controle houden over hun thuis netwerk en zitten niet te wachten op een DHCP server die de eigen DHCP server 'overruled'. En ik behoor ook tot die groep.
De DHCP server kan niet uitgezet worden via de web interfaces, dit is door Tele2 verwijderd en kan alleen door Tele2 uitgevoerd worden. En daar zit hem de crux. De helpdesk van Tele2 ondersteund dit officieel niet en het is dan ook een crime om uiteindelijk iemand aan de lijn te krijgen die wel bereid is je te helpen en dit uit te (laten) zetten.

Al sinds jaar en dag heb ik thuis een DHCP server die de IP adressen uitdeelt aan apparaten die geen vast IP hebben. En ik maak ook gebruik van reserveringen. Apparaten die regelmatig of bijna altijd een netwerk verbinding nodig hebben, die krijgen een gereserveerd IP adres.

En dan nu het probleem:
Van tijd tot tijd voert Tele2 updates uit op de software van het modem. Na een update staat ook de DHCP server weer aan en fungeert het modem als DNS forwarder met als gevolg dat ik met een laptop niet meer het internet op kan of een verbinding maken met één van mijn eigen servers.

En afgelopen weekend was het weer raak. Op zondagavond, rond 23:00 uur kreeg ik problemen met de internet verbinding op mijn laptop en al snel bleek dat DHCP op het Tele2 modem weer aan stond.
Uiteraard is er op dat tijdstip geen Helpdesk die je kunt bellen dus het maar via de webcare en de virtuele assistant op de website aan Tele2 gemeld. En warempel, er werd op gereageerd. Ik werd gebeld en na het uitleggen van het probleem kreeg ik de tip om een klein zakelijk abonnement te nemen. Een dergelijk abonnement is iets duurder dan een particulier abonnement maar ik zou er meer voor terug krijgen. Zelf mijn netwerk instellingen kunnen bepalen en betere ondersteuning. Klonk op zich wel goed, moest er voor alleen wel even naar een bepaald nummer bellen om dat verder te regelen.
Ik heb gebeld. En eerlijk gezegd had ik er niet zo'n goed gevoel bij. Allereerst zou ik een 2e ADSL aansluiting moeten nemen en men wist niet of dat wel op de huidige aansluiting mogelijk was, daarvoor moet ik met een andere afdeling bellen. Ook wat wel en niet zelf geconfigureerd kan worden kon men mij niet vertellen. Ook daarvoor moet ik naar een ander nummer bellen.
Aangezien vrijwel iedereen die ik bij Tele2 aan de lijn krijg steeds roept dat ik DHCP "gewoon zelf kan uitzetten" geeft me dat niet veel vetrouwen over wat er met een zakelijk abonnement wel en niet mogelijk is. de angst is groot dat ik er achteraf achter kom dat bepaalde instellingen toch niet zelf in te stellen zijn, of na een software update weer op default waarden staan.

Bovendien betekent een nieuwe ADSL verbinding ook een nieuw publiek IP adres en moet ik het nodige aanpassen om mijn servers via internet weer te kunnen benaderen. Ook een dubbel abonnement voor enige tijd stond me niet echt aan. Na de boel een poosje te laten bezinken kreeg ik een beter idee. Een extra router in het netwerk plaatsen, zo ben ik ook begonnen voordat internet providers een gecombineerd modem/router/accesspoint uitdeelden.
In de vroege dagen van ADSL kreeg je alleen een modem met de bedoeling dat aan te sluiten op een PC en via die PC te internetten. Met meerdere PC's het internet op kon alleen via creatieve oplossingen, zoals een eigen proxy server, en was eigenlijk ook niet toegestaan. Ik gebruikte in die tijd een NT server waaraan het modem gekoppeld was en liet de NT server het internet verkeer routeren. Hoogst illegaal, maar het werkte wel.
Toen er routers, gecombineerd met een firewall, voor consumenten op de markt verschenen heb ik op een gegeven moment er één aangeschaft. De kosten waren in de tijd best wel hoog, bijna 500 ouderwetse guldens, maar je kreeg er wel een hoop gemak en een beetje veiligheid voor terug. Ik was niet langer afhankelijk van de NT server voor mijn internet verbinding en kon door het mappen van poorten ook nog eens meer servers via internet toegankelijk maken.

Het trucje van toen pas ik nu weer toe, alleen was het toen iets makkelijker, het modem was alleen de connectie naar internet en niets meer. De Davolink van Tele2 is ook de firewall en een wireless accesspoint. Op het Tele2 modem kan ik het accesspoint uitschakelen, maar de firewall niet. Ik heb een paar opties die ik kan gebruiken om het netwerk verkeer de goeie kant op te sturen, maar uitzetten behoort daar niet bij.
Naarmate het idee meer vorm kreeg ben ik op internet gaan zoeken welke routers/accesspoints voldoen aan wat ik nodig heb. Ik moet voldoende configuratie mogelijkheden hebben om de routers zo te configureren dat het internetverkeer naar buiten goed gaat werken, maar ook het verkeer naar binnen toe. Anders zijn mijn eigen servers niet meer te benaderen. Uiteindelijk is mijn keuze gevallen op de Linksys E3000. Een veelzijdig apparaat met voldoende mogelijkheden om te realiseren wat ik wil bereiken. En het is een product van Cisco, toch wel één van de betere merken voor netwerk apparatuur.
Nu is de Linksys E3000 niet de goedkoopste, maar er waren toch een paar redenen om voor deze te kiezen en niet een goedkoper product dat hetzelfde kan. De Linksys ondersteund netwerk snelheden van 10/100/1000 MB p/sec. Niet echt noodzakelijk aangezien mijn internet verbinding max 20MB/sec. is. Maar wel omdat de router over 4 LAN poorten beschikt en het zo maar kan zijn dat ik dat in de toekomst nodig heb.

Het netwerk

Mijn thuis netwerk zag er als volgt uit:
Davolink dv-2020 (modem, router, firewall, wifi) --> Gigabit switch --> PC en servers.

Of zoals je in onderstaand plaatje kunt zien.
Image:Firewalls en routers

In de nieuwe situatie komt er een extra router te staan tussen de Davolink en de gigabit switch die ook een aantal taken van de Davolink moet overnemen. De nieuwe router is ook het nieuwe wifi accesspoint en firewall die het inkomende verkeer de juiste kant op moet sturen. Bovendien wilde ik niet dat de huidige default gateway zou wijzigen omdat ik dat op diverse plaatsen handmatig aan moet passen. Enig denkwerk en experimenteren is er wel aan vooraf gegaan, maar uiteindelijk is het gelukt zoals ik het wilde hebben.

De configuratie

Het netwerk thuis maakt gebruik van private IP adressen uiteraard en die moeten ongewijzigd blijven. Het Davolink modem is onderdeel van het netwerk en vormt de default gateway voor het netwerk. Voor de internet toegang moet deze nog steeds de "voordeur" blijven, maar voor het interne netwerk mag deze niet meer zichtbaar zijn. De default gateway wordt de nieuwe Linksys.

Nu moet ik even een klein zijsprongetje maken en wat vertellen over private IP adressen. De meeste apparatuur die je aanschaft maakt gebruik van de 192.168.x.x adressen en als je dit zo laat krijg je automatisch een netwerk in de 192.168 range. Ik ben daar zelf van af geweken om verschillende redenen. Omdat een 192 adres beetje standaard is weet ook iedere hacker dat. Door van deze range af te blijven en een andere range te gebruiken maak je het potentiële hackers al iets lastiger. Bovendien bestond mijn gekozen range al voordat er internet routers op de markt kwamen die de 192 range gebruiken.

Om de bedachte configuratie te realiseren moet allereerst het Davolink modem een ander private IP adres krijgen, dit is eenvoudig zelf in te stellen. Enige nadeel is wel dat wanneer je de Davolink een ander private IP adres geeft, uit een andere range, deze geen deel meer uit maakt van je eigen netwerk en je er via het netwerk niet meer bij kan. Ik heb mijn laptop hiervoor gebruikt omdat deze over 2 netwerk verbindingen beschikt, een draadloze en bedrade. Op die manier kan ik in 2 netwerken tegelijk werken. En dat is ook nodig want de setup van de Linksys kan alleen via een wireless verbinding uitgevoerd worden. Tenminste, als je gebruik maakt van de meegeleverde software.
Voordat ik aan de setup van de Linksys router begonnen ben heb ik eerst het IP adres gewijzigd in het IP adres dat als default gateway in het netwerk gebruikt wordt. Ik heb een paar test setups uitgevoerd en daaruit bleek dat het achteraf aanpassen van het IP adres niet handig is. De setup configureert ook de wireless netwerken, en in het geval van de Linksys zijn dat er zelfs twee.

In onderstaande tabel een overzicht van de IP configuratie. Dit zijn niet de werkelijke adressen die ik thuis gebruik, wil het de hackers niet al te makkelijk maken, maar willekeurige private IP adressen.

Image:Firewalls en routers

Het uitvoeren van de setup voor de linksys was een gok. Normaliter doe je dat in een netwerk waar alleen een modem aanwezig is, zonder firewall. Overigens had ik ook al het wifi gedeelte op de Davolink uitgezet om daar geen hinder van te ondervinden.

Na het uitvoeren van de setup was mijn laptop verbonden met het internet alleen stonden de instellingen nog niet goed. Ook bij de Linksys router wordt deze de DNS server. Dit probleem was simpel op te lossen, DHCP uit zetten op de Linksys en opnieuw een verbinding maken met het netwerk zodat de laptop via mijn eigen DHCP server een IP adres krijgt met de bijbehorende netwerk instellingen.
Na het configureren van de Linksys router moet er nog wel e.e.a. gebeuren om ook de servers weer via het internet te kunnen benaderen.

Het Davolink modem is zo ingesteld dat standaard de firewall aanstaat en al het verkeer van buitenaf niet toegestaan is tenzij er in de NAT configuratie port mappings zijn of er een DMZ host opgegeven is.
In de configuratie van het Davolink modem had ik de nodige NAT port mappings gedefineerd. Ik heb deze mappings toegevoegd in de configuratie van de Linksys router en verwijderd op het Davolink modem en de Linksys router als DMZ host geconfigureerd in het Davolink modem.
Alle requests vanaf internet worden nu geforward door het Davolink modem naar de Linksys router en deze weet waar de requests naar toe moeten.

Het nieuwe netwerk plaatje ziet er als volgt uit:
Image:Firewalls en routers

Tele2 Helpdesk

Ook wel bekend als de afpoeierdesk. Heb je problemen met DHCP op het modem van Tele2, en wil je niet zoals ik een extra router gebruiken, ik heb de informatie om het uit te laten zetten. Dit werkt totdat de software ge-update wordt. Na een update zul je weer via Tele2 de DHCP laten uitschakelen.

Ik heb inmiddels via de OPTA een klacht ingediend over de DHCP configuratie. Doordat dit niet uitgezet kan worden door de gebruiker wordt hierdoor een flinke ingreep gedaan op het thuis netwerk van de gebruiker. En het thuis netwerk is niet iets waar een internet provider zich niet mee moet bemoeien.. Maar ja, er zijn nog wel meer tekortkomingen bij Tele2. Afdelingen die van elkaar niet weten wat ze doen en wat wel of niet mogelijk is. Een "Van het kastje naar de muur" sturen geval.
Comments

1Mark (62.163.11.181)  25-11-2011 17:22:10  DHCP

Hi Guus, ik heb met belangstelling je artikel gelezen. Zonet heb ik een abonnement bij Tele2 afgesloten. Goed dat ik dat van DHCP nu weet - zodra het spul geleverd is ga ik er meteen mee aan de slag. Hoewel jij een mooie opzet hebt gemaakt vind ik dat het niet nodig moet zijn een extra apparaat aan te schakelen om het werkend te krijgen zoals je het wenst. Eigenlijk moet Tele2 die instellingen gewoon vrijgeven. Hebben ze je verteld waarom ze die instellingen geblokkeerd hebben? En zou je mij de info om het uit te laten zetten kunnen verstrekken?

Alvast bedankt!

2Mark (62.163.11.181)  25-11-2011 17:36:20  DHCP

Hi Guus, ik heb met belangstelling je artikel gelezen. Zonet heb ik een abonnement bij Tele2 afgesloten. Goed dat ik dat van DHCP nu weet - zodra het spul geleverd is ga ik er meteen mee aan de slag. Hoewel jij een mooie opzet hebt gemaakt vind ik dat het niet nodig moet zijn een extra apparaat aan te schakelen om het werkend te krijgen zoals je het wenst. Eigenlijk moet Tele2 die instellingen gewoon vrijgeven. Hebben ze je verteld waarom ze die instellingen geblokkeerd hebben? En zou je mij de info om het uit te laten zetten kunnen verstrekken?

Alvast bedankt!

3Marius Geutjrs (143.176.2.93)  08-12-2013 17:04:58  Dhcp p davolink dv 2020

Hallo Guus, ik kon jebartikel op ipad maar gedeeltelijk lezen.

Onlangs heb ik een nas server van medion ekocht.

Ik heb deze op de lan uitg.van mijn tele2 ovolink 2020 aangesten.

Ik krijg geen ip van de router voor mijn erver.

Ligt dit aan tele2 of kan dit niet via deze router.

Vlgens handleiding moet het via dHCP

Kun je me helpen of adviseren???

4Marius Geutjrs (143.176.2.93)  08-12-2013 17:05:01  Dhcp p davolink dv 2020

Hallo Guus, ik kon jebartikel op ipad maar gedeeltelijk lezen.

Onlangs heb ik een nas server van medion ekocht.

Ik heb deze op de lan uitg.van mijn tele2 ovolink 2020 aangesten.

Ik krijg geen ip van de router voor mijn erver.

Ligt dit aan tele2 of kan dit niet via deze router.

Vlgens handleiding moet het via dHCP

Kun je me helpen of adviseren???

5Marius Geutjrs (143.176.2.93)  08-12-2013 17:05:06  Dhcp p davolink dv 2020

Hallo Guus, ik kon jebartikel op ipad maar gedeeltelijk lezen.

Onlangs heb ik een nas server van medion ekocht.

Ik heb deze op de lan uitg.van mijn tele2 ovolink 2020 aangesten.

Ik krijg geen ip van de router voor mijn erver.

Ligt dit aan tele2 of kan dit niet via deze router.

Vlgens handleiding moet het via dHCP

Kun je me helpen of adviseren???

6Marius Geutjrs (143.176.2.93)  08-12-2013 17:05:07  Dhcp p davolink dv 2020

Hallo Guus, ik kon jebartikel op ipad maar gedeeltelijk lezen.

Onlangs heb ik een nas server van medion ekocht.

Ik heb deze op de lan uitg.van mijn tele2 ovolink 2020 aangesten.

Ik krijg geen ip van de router voor mijn erver.

Ligt dit aan tele2 of kan dit niet via deze router.

Vlgens handleiding moet het via dHCP

Kun je me helpen of adviseren???

7Harry de Jong (87.211.61.131)  24-06-2019 9:05:07  default gateway modem davolink 2020. ik wil TP link deco M5 koppelen.

Ik weet nu dat het modem van Tele 2 (davolink 2020) een statisch IP adres heeft.

Om mijn TP-link DECO M5 te kunnen koppelen heb ik de gegevens van de default gateway nodig. ik moet dat in een invulschermpje op bijgeleverde app invullen. Heb geen idee?? Het gaat over een nieuw aan te sluiten wifi netwerk in huis. Het TP link systeem heeft ook andere instelkeuzes, maar het modem heeft volgens tele 2 een statisch ip adres. Ik ben een leek.

WAT MOET IK DOEN??

Bij voorbaat dank voor je hulp

8Harry de Jong (87.211.61.131)  24-06-2019 9:05:08  default gateway modem davolink 2020. ik wil TP link deco M5 koppelen.

Ik weet nu dat het modem van Tele 2 (davolink 2020) een statisch IP adres heeft.

Om mijn TP-link DECO M5 te kunnen koppelen heb ik de gegevens van de default gateway nodig. ik moet dat in een invulschermpje op bijgeleverde app invullen. Heb geen idee?? Het gaat over een nieuw aan te sluiten wifi netwerk in huis. Het TP link systeem heeft ook andere instelkeuzes, maar het modem heeft volgens tele 2 een statisch ip adres. Ik ben een leek.

WAT MOET IK DOEN??

Bij voorbaat dank voor je hulp

Translate

Feeds

Companies

    Atos Origin
    Achmea
    Inter Access
    ilionx
    transavia.com
    IBM

Google searches

Referrers