router achter router en vaste IP adressen

In dit forum kom je de nodige topics tegen over router achter router en vaste IP adressen, en in dit draadje wil ik mijn mening over deze materie geven.

Bij router achter router hebben we het over NAT routers, niet over echte routers. Dat zijn heel andere apparaten, die ook heel anders functioneren. Verder functioneren beide routers ook als router, en niet één (de eerste) als bridge.

Een router achter router architectuur is niet voorzien in de opzet van NAT routers, maar dat neemt niet weg dat je het wel werkend kunt krijgen. Het betekent echter wel dat je goed moet begrijpen hoe alles werkt, zeker bij zaken als port forwarding etc. Het blijft echter een houtje touwtje knutsel oplossing. Bij IPv6 gaat deze opzet zeker niet werken. De eerste router krijgt bij IPv6 een enorme adresrange aangeboden van Ziggo om daar zelf IPv6 netwerken van te maken. De tweede router kan wel aan de eerste vragen om ook een adresrange te krijgen, maar de functionaliteit om die te geven heeft de eerste router domweg niet. Achter de tweede router zul je dus nooit IPv6 werkend krijgen.

Conclusie: Vermijd router achter router, en gebruik switches als je meer poorten nodig hebt. Dat is een veel elegantere en transparantere oplossing die wel werkt met IPv6.

Het gebruik van vaste IP adressen door deze adressen in te voeren op de diverse apparaten zelf, is evenmin aan te bevelen. Het vergt het nodige zorgvuldige configuratie werk op alle netwerk apparaten, en voordat je het weet geef je een adres dubbel uit en krijg je rare onverklaarbare problemen in je netwerk. Door alle apparatuur centraal te registreren op een DHCP server (normaal gesproken je router) hou je het overzicht, en kun je geen dubbele adressen uitgeven. En de apparatuur houdt een vast adres, want dat adres staat in de DHCP tabel. Daarbij komt nog dat DHCP in principe veel meer informatie kan verstrekken als alleen maar IP adres, masker, gateway adres en DNS servers. Er is een hele lijst met DHCP Options, zoals bijvoorbeeld time servers en time zone. Dat wil niet zeggen dat die allemaal geïmplementeerd zijn, maar mogelijk is het wel. Bij IPv6 kun je het vast ingeven van adressen op apparatuur wel vergeten. Dat wil misschien nog wel op een Windows systeem, maar zeker niet bij printers etc. IPv6 is gebaseerd op automatische adres toekenning vanuit het netwerk.

Conclusie: Geef al je netwerk apparatuur adressen door ze op te nemen in de DHCP server van je netwerk, dus meestal die van je router. Dat voorkomt allerlei fouten, en je apparatuur heeft nog steeds een vast adres.

Nawoord: Ik begrijp dat de Cisco routers een bug in hun DHCP server hebben. Voor een bedrijf als Cisco is dat natuurlijk belachelijk, en Ziggo + Cisco moeten voor een aangepaste firmware zorgen. Ik weet niet of iemand deze klacht al duidelijk omschreven naar Ziggo gestuurd heeft, maar dat zou het eerste moeten zijn. En natuiurlijk vragen om een erkenning van de klacht, en om een termijn waarop deze opgelost zal worden. Dat mag je verlangen, en anders vraag je om een andere router omdat deze een fikse bug heeft in de basis functionaliteit.

Tja, IPV4 was toch wel makkelijk :rolleyes: (wetende dat dit topic weer in een uitgebreide never ending IPV6 discussie gaat veranderen).

Ach, dat weet ik niet. Alles wat ik beschreven heb gaat primair over het op een juiste en moderne wijze gebruiken van IPv4. Die inzichten bestonden al lang, en zijn ook gebruikt bij de opzet van IPv6.

IP is jammer genoeg altijd al één groot knutselproject geweest waar weinig lijn in te ontdekken valt. Voor ieder probleempje op zijn minst tien verschillende niet compatible oplossingen. Hopelijk wordt één en ander bij IPv6 wat meer gestructureerd.

Ik was nog vergeten te melden dat UPnP volgens mij ook niet werkt met router achter router. Een PC achter de tweede router geeft via UPnP de opdracht om bepaalde poorten open te zetten, en die router zal dat doen. Echter de tweede router stuurt dat UPnP verzoek niet door naar de eerste router, dus je krijgt toch geen verbinding. Volgens mij kun je dat alleen oplossen door op de eerste router allerlei poorten permanent open te zetten, maar als je een programma hebt dat van willekeurige poorten gebruik maakt, dan heb je pas echt een probleem.

En dat werkt prima als je de 2e router in DMZ zet op de 1e. Opgelost :mrgreen:

grunnsat zei:

Ik was nog vergeten te melden dat UPnP volgens mij ook niet werkt met router achter router.

Klik om te vergroten...

Forwarding wil je toch al niet met UPnP doen. Ik heb al te veel ellende met UPnP gezien als twee apparaten dezelfde poort via UPnP willen forwarden. Alleen binnen één merk werkt het waarschijnlijk. Zo kan ik mijn 5 IP cameras via UPnP forwarden, en dan pakt iedere camera een eigen poort uit een range. Maar na een stroomstoring kan die volgorde van forwarden weer anders zijn. Dus gewoon met de hand op de router instellen, dan loop je ook niet het risico dat malware (Zoals HP printer/scanners) poorten kan open zetten.

Bij IPv6 kun je het vast ingeven van adressen op apparatuur wel vergeten. Dat wil misschien nog wel op een Windows systeem, maar zeker niet bij printers etc.

Klik om te vergroten...

In mijn printer kan ik bij IPv6 gewoon kiezen tussen DHCP en handmatig instellen. (Xerox Phaser) Het probleem lijkt me meer met de randapparatuur dat in het geheel geen IPv6 kent, zoals mijn IP cameras.

@Mesa57:

DMZ is wel een beetje een weidse benaming voor die functionaliteit op een UBEE router. Het betekent in feite port forwarding van alle poorten naar één bepaalde host, met uitzondering van de poorten waarvoor op welke wijze dan ook port forwarding voor een andere host is ingericht. Lang niet iedere router kent die mogelijkheid gelukkig, want erg veilig is dat niet.

@Briolet:

Ik heb nooit moeite met UPnP. Als twee applicaties op je LAN dezelfde port op de WAN interface willen gebruiken, dan krijg je natuurlijk een conflict. Maar ook dat probleem wordt bij IPv6 opgelost . In sommige gevallen zul je nu nog een handmatige configuratie moeten doen. Je opmerking over "alles binnen één merk" ontgaat mij eerlijk gezegd een beetje.

Bij sommige printers zul je wellicht wel een IPv6 adres kunnen specificeren, maar ik zie de gemiddelde gebruiker dat nog niet doen, laat staan dat hij begrijpt dat hij twee adressen moet opgeven. Mijn Android mediaspeler bijvoorbeeld configureert zich zelf met een IPv6 adres. Die heeft helemaal geen mogelijkheid om dat te specificeren, sterker nog, als je niet weet waar je moet zoeken dan kom je er niet eens achter dat hij een IPv6 adres heeft.

grunnsat zei:

Je opmerking over "alles binnen één merk" ontgaat mij eerlijk gezegd een beetje.

Klik om te vergroten...

Ik dacht hier zelf verkeerd. In mijn IP cameras is een UPnP range van 8150 t/m 8250 voorgedefinieerd. De eerste die on-line komt pakt poort 8150, de tweede 8151, de derde 8152 enz.
Elk merk zal dat anders doen, daarom schreef ik merkafhankelijk. Maar nu ik er over nadenk zal dat niets uitmaken. Via het UPnP protocol kijkt mijn camera waarschijnlijk of een poort nog vrij is om te forwarden. Zo niet test hij de volgende in de serie, net zolang tot hij een vrije poort vindt. Het merk zal daar niets uitmaken.
Alleen bij apparaten die standaard poort 80 pakken en geen alternatieve range gebruiken, hebben een probleem als je meer dan één aansluit. Ik heb al gezien dat mensen hun webserver niet werkend kregen omdat een printer poort 80 naar zichzelf geforward had. Daar moet het toch handmatig oplossen. Ik doe dan liever direct alles handmatig om het overzicht te houden.

Hoe dat straks met IPv6 gaat is mij nog steeds een raadsel omdat handleidingen er niet op ingaan. Als Ziggo ooit IPv6-only gaat aanbieden, dan vraag ik mij af hoe ik mijn IPv4 only cameras van buiten kan bereiken? De protocollen zijn niet compatibel. Maar ook bij double stack, vraag ik me af hoe de forwards zullen gaan. Ik heb nog geen router manual gezien die serieus op IPv6 instellingen ingaat.

b.v. mijn airport heeft heel summiere documentatie en verder moet je het maar on-line uitzoeken. En als je dan bij apple zelf kijkt vind je slechts: https://support.apple.com/kb/PH5098 Nu, daar wordt je ook niet wijzer van, want dat deel wat daar staat had je ook zo kunnen raden. De echte vragen komen pas erna want er zijn veel meer menus in de airport die nergens besproken worden.

Bij IPv6 gaat alles vreselijk eenvoudig, eenvoudiger dan bij IPv4. Neem jouw IP camera's als voorbeeld.

IPv4: Camera 1 met adres A met zich bij de router om poort 8150 open te zetten, en dat lukt. Camera 2 doet dat ook, maar poort 8150 is als bezet. Hij probeert nu poort 8151 en dat lukt. De router heeft adres X op zijn WAN poort. Om nu bij camera 1 te komen vanaf het internet, ga je naar adres X:8150, en de router zet dat door naar A:8150. Voor camera 2 zijn dat respectievelijk X:8151 en B:8151.

IPv6: Bij IPv6 zijn alle apparaten op je LAN te benaderen met hun eigen adres, mits er poorten open staan natuurlijk. Camera 1 meldt zich weer voor poort 8150, en die wordt voor hem opengezet. Camera 2 doet hetzelfde, en ook voor hem wordt poort 8150 open gezet. Om ze nu vanaf het internet te benaderen ga je naar A:8150 en B:8150, WAN adres X bestaat nog wel maar speelt hiervoor geen rol meer.

Veel simpeler en netter dus. Hoe handmatige port forwarding werkt laat zich raden, gewoon voor het betreffende apparaat de poort open zetten.

Tegen de tijd dat Ziggo overgaat op IPv6 only heb jij een 10Gb verbinding en zijn je IP camera's super HD met 3D. Duurt nog wel even dus (10 jaar of zo).

@grunsat :
Kun je eens uitleggen hoe dit gaat werken met ipv6 :
- Ik heb diverse (typen) servers in mijn local lan staan
- Iedere server is bereikbaar onder zijn eigen poort
- En dat natuurlijk via 1 dsn naam : https://www.mijnnetwerk.nl

Uiteraard wil ik die dns naam wel behouden en de AAAA records naar mijn publieke ipv6 adres laten wijzen. Maar hoe vindt de routering van publiek ip naar mijn ander ipv6 servers dan plaats ?