Vlans / portforwarding / dyndns

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
Mathy
Elite Poster
Elite Poster
Berichten: 842
Lid geworden op: 17 feb 2010, 11:09
Uitgedeelde bedankjes: 35 keer
Bedankt: 74 keer

Mijn excuses om het te blijven oprakelen, maar zo iets kan ik (ondanks mijn beperkte netwerkkennis :roll: ) toch niet laten rusten 8) :-D De kennis die ik wel heb van netwerken zegt mij dat dit mits enig meewerkende software zou moeten lukken. Een VLAN is een "fysieke scheiding" en zou niets te maken mogen hebben met de IP-laag. Net zoals je tussen twee fysieke switchen een bridging firewall kan zetten moet dat volgens mij ook tussen VLANs kunnen.

Ik heb dan maar de missing link zelf opgesnord want anders blijven jullie zeggen dat ik geen gelijk heb :twisted: :

http://en.wikipedia.org/wiki/Proxy_ARP
Transparent subnet gatewaying
A setup that involves two physical segments sharing the same IP subnet and connected together via a router. This use is documented in RFC 1027.
Twee VLANs (= physical segments) kunnen dus hetzelfde IP subnet delen en verbonden worden door een router. Ik heb niet in detail gezocht maar zijn Cisco switch lijkt Proxy ARP te ondersteunen.

RFC 1027 is blijkbaar al van 1987 en de originele reden voor ontwikkeling was ook "smodderwerk" :-D
The Ethernet at the University of Texas at Austin is a large
installation connecting over ten buildings. It currently has more
than one hundred hosts connected to it [5]. The size of the
Ethernet and the amount of traffic it handles prohibit tying it
together by use of repeaters. The use of subnets provided an
attractive alternative for separating the network into smaller
distinct units.

This is exactly the situation for which Internet subnets as
described in RFC-950 are intended. Unfortunately, many vendors had
not yet implemented subnets, and it was not practical to modify the
more than half a dozen different operating systems running on hosts
on the local networks.

Therefore a method for hiding the existence of subnets from hosts
was highly desirable. Since all the local area networks supported
ARP, an ARP-based method (commonly known as "Proxy ARP" or the "ARP
hack") was chosen. In this memo, whenever the term "subnet" occurs
the "RFC-950 subnet method" is assumed.
Mijns inszien een leuk experiment om eens te proberen, het kost niets (buiten wat tijd), je leert weer wat bij :lol: en wie weet heb je op het eind van de rit geen extra hardware nodig :beerchug: (al blijft een routerboard leuk om mee te experimenteren :banana: )
Ik zie niet in hoe je 1 subnet over 2 vlans gaat verdelen? De computers in hetzelfde subnet gaan er nl van uit dat ze mekaar rechtstreeks kunnen contacteren en zullen bijgevolg geen contact opnemen met een gateway.
Neen, een computer gaat er van uit dat als hij binnen een subnet via ARP een IP adres opvraagt dat hij nog niet gezien heeft een antwoord krijgt als die host actief is binnen dat netwerk. Indien niet gaat hij er van uit dat hij onbereikbaar is. Als je daar een firewall tussen zet die het blokkeert zal je computer denken dat die host niet bestaat.
dat is net de bedoeling van VLANS
je gaat aparte broadcast domains maken.
dus aparte subnetten.
Neen, de bedoeling van een VLAN is een fysieke afscheiding simuleren.
VLANs are layer 2 constructs, compared with IP subnets, which are layer 3 constructs.
Maar... (en dat weet ik zelf ook wel)
In an environment employing VLANs, a one-to-one relationship often exists between VLANs and IP subnets, although it is possible to have multiple subnets on one VLAN. VLANs and IP subnets provide independent layer 2 and layer 3 constructs that map to one another and this correspondence is useful during the network design process.
PS:
Advantages

The advantage of Proxy ARP over other networking schemes is simplicity. A network can be extended using this technique without the knowledge of the upstream router.

For example, suppose a host, say A, wants to contact another host B, where B is on a different subnet/broadcast domain than A. For this, host A will send an ARP request with a Destination IP address of B in its ARP packet. The multi-homed router which is connected to both the subnets, responds to host A's request with its MAC address instead of host B's actual MAC address, thus proxying for host B. In the due course of time, when host A sends a packet to the router which is actually destined to host B, the router just forwards the packet to host B. The communication between host A and B is totally unaware of the router proxying for each other.

Disadvantages

Disadvantage of Proxy ARP include scalability (ARP resolution is required for every device routed in this manner) and reliability (no fallback mechanism is present, and masquerading can be confusing in some environments). ARP manipulation techniques, however, are the basis for protocols providing redundancy on broadcast networks (e.g., Ethernet), most notably CARP and Virtual Router Redundancy Protocol.

Proxy ARP can create DoS attacks on networks if misconfigured. For example a misconfigured router with proxy ARP has the ability to receive packets destined for other hosts (as it gives its own MAC address in response to ARP requests for other hosts/routers), but may not have the ability to correctly forward these packets on to their final destination, thus blackholing the traffic.
Skynet Generation Internet

http://mathy.vanvoorden.be
Omhoog
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Mathy schreef:Neen, de bedoeling van een VLAN is een fysieke afscheiding simuleren.
En net die afscheiding (inclusief de security ertussen) ga jij terug afbreken door er een bridge over te plaatsen :bang:
Mathy schreef:In an environment employing VLANs, a one-to-one relationship often exists between VLANs and IP subnets, although it is possible to have multiple subnets on one VLAN.
Maar jij wil één subnet over twee VLAN's... da's iets helemaal anders dan meerdere subnets in één VLAN.
Omhoog
Mathy
Elite Poster
Elite Poster
Berichten: 842
Lid geworden op: 17 feb 2010, 11:09
Uitgedeelde bedankjes: 35 keer
Bedankt: 74 keer

Tuurlijk breek je die security af, maar dat doe je net zo goed door een port-forward in te stellen? Zodra je twee netwerken met elkaar verbindt via een router of wat dan ook introduceer je een point of failure? Je firewall staat op dat moment in voor de veiligheid en dat is in mijn "oplossing" niet anders als wanneer je een routerboard gebruikt want intern zijn die twee VLANs potentieel ook maar van elkaar gescheiden door een firewall en wat network stacks.

Die tweede opmerking die je geeft was enkel van om er op te duiden dat ik wel weet wat het "normale gebruik" van VLANs is en een reactie op de quote van elegast.



Ik ben al lang blij dat je niet meer zegt dat het niet kan :banana: Ik begon al aan mezelf te twijfelen :? Over de veiligheid die firewalls edm leveren ga ik niet in discussie gaan, daar ging het mij ook niet om.
Skynet Generation Internet

http://mathy.vanvoorden.be
Omhoog
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Mathy schreef:Tuurlijk breek je die security af, maar dat doe je net zo goed door een port-forward in te stellen?
Een bridge breekt de security af tot op de grond... een port forward is één klein gaatje !
Mathy schreef:Je firewall staat op dat moment in voor de veiligheid en dat is in mijn "oplossing" niet anders
Het huis-tuin-en-keuken routertje is nog niet eens in staat port-forwarding te doen naar een ander subnet... en nu spreek jij zelfs van firewalls op bridge niveau (ja, een Routerboard kan dat) ?
Mathy schreef:want intern zijn die twee VLANs potentieel ook maar van elkaar gescheiden door een firewall en wat network stacks.
Ik denk dat je toch nog wat leeswerk hebt ivm. VLAN's en bridges. Een truck is ook niet een auto met wat grotere wielen en meer plaats !
Mathy schreef:Ik ben al lang blij dat je niet meer zegt dat het niet kan
Het is niet omdat iets kan dat het een mogelijke oplossing is... jou voorstel is om van een prima oplossing een draak van een constructie te maken !
Omhoog
Mathy
Elite Poster
Elite Poster
Berichten: 842
Lid geworden op: 17 feb 2010, 11:09
Uitgedeelde bedankjes: 35 keer
Bedankt: 74 keer

Your point is moot. Zijn huidige router moet ook toegang krijgen tot dat VLAN om die portforward te doen. Whatever securities er in de switch zitten om te zorgen dat niet zijn hele netwerk bereikbaar is kunnen ook toegepast worden bij gebruik van Proxy ARP in die switch.

Ik probeer rond de beperking in zijn router (= slechts IP's binnen subnet kunnen een portforward krijgen) te werken.
Skynet Generation Internet

http://mathy.vanvoorden.be
Omhoog
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

De oplossing is een nieuwe router... geen draak van een config (met alle gevolgen vandien).
Omhoog
ITnetadmin
userbase crew
userbase crew
Berichten: 9523
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 241 keer
Bedankt: 761 keer
Recent bedankt: 3 keer

RFC1027 zegt "connected together via a router", en lijkt me zo te lezen een alternatieve oplossing voor VPN, maw om 2 fysiek gescheiden (door afstand) delen samen te voegen.
Ik zie echter geen enkele reden (buiten academisch) om dit met vLANs te doen. Dan kan je evengoed gewoon alles op dezelfde vlan gooien. De router hier beschreven zou eerder nog een bottleneck vormen.

[Afbeelding Post made via mobile device ]
Omhoog
Plaats reactie

Terug naar “Netwerken en Security”