Onlangs is hier een KPN EEN MKB glasvezelverbinding aangelegd. Nu het werkt is het een van de meest snelle en stabiele verbindingen die ik in de afgelopen 30 jaar heb gehad. Maar het aansluiten was wat onnodig gecompliceerd.
Mijn case is ook niet standaard, en daarom dacht ik dat het handig zou zijn als iemand een dergelijke casus hier zou beschrijven voor toekomstige klanten. Dat aangezien de informatie vanuit KPN EEN MKB over het instellen van eigen apparatuur voor mij niet helemaal toereikend bleek.
Wij maken hier al heel lang gebruik van onze eigen router of firewall, en we draaien on site een aantal diensten en websites die vanaf het internet bereikbaar moeten zijn. Daarvoor hebben wij dan ook meerdere IP adressen aangevraagd bij KPN.
KPN gebruikt PPPoE om de verbinding tot stand te brengen. Je modem belt via PPPoE in, en wordt dan de gateway voor hosts daarachter.
Internet --><-- [PPPoE - 1.1.1.1] KPN Box 12b [192.168.2.254]--<>--Netwerk (via 1.1.1.1)
Het gebruik van een eigen modem is prima mogelijk, wanneer je de volgende instellingen (uit de KPN glasvezel documentatie) aanhoudt:
- PPPoE via VLAN 6 (802.1q).
- PPPoE authenticatie PAP met een gebruikersnaam en wachtwoord (bijv. internet / internet).
- Maximale pakket grote (mtu) 1500 bytes (rfc4638)
- IPv4 adres + DNS servers via PPPoE verkrijgen
Internet --><-- [PPPoE - 1.1.1.1] Eigen Router [192.168.2.254] --><-- Netwerk (via 1.1.1.1)
Maar als je meerdere IP adressen wil gebruiken met je eigen router, heb je nog steeds een device nodig dat als DHCP client inbelt op de PPPoE verbinding, die dan als gateway dient voor je publieke ip-adressen.
Stel dat je het ip adres 1.1.1.1 krijgt bij het inbellen op de PPPoE verbinding als je een subnet van 5 adressen hebt afgenomen bij KPN.
Dan kan je op het netwerk achter de router hosts instellen met IP adres 1.1.1.2 tot 1.1.1.6 /29 (oftewel subnet mask:255.255.255.248) en de gateway als 1.1.1.1. Die adressen worden dan opengezet naar het internet. Maar die hosts krijgen dan wel een extern IP adres en hangen direct aan het internet, en hebben dus een degelijke firewall nodig. Hoewel die host kan zelf natuurlijk ook een firewall of router zijn.
Als je een eigen router of firewall wil gebruiken, kan je ook al die adressen aan die router laten toewijzen, en ze vanuit daar via load-balance of NAT rules aan het juiste externe IP adres koppelen. Dan kan je al het verkeer voor al die hosts op 1 plek beveiligen.
Internet --><-- [PPPoE - 1.1.1.1] KPN Box 12b [192.168.2.254] --><-- [1.1.1.2] Eigen Router [10.0.0.1] --><-- Netwerk (via 1.1.1.2)
In deze opstelling zet je dus je eigen modem achter de KPN Box 12b, en stel je op het eigen modem de WAN verbinding in met een static IP adres in jouw toegewezen IP subnet. Omdat de KPN Box 12b al in VLAN6 zit, moet je in deze situatie géén VLAN tag instellen op het eigen modem.
Wij maken hier gebruik van een Draytek 2927 series router, en daarin kan bij WAN > INTERNET ACCESS een aantal WAN IP ALIASsen worden ingesteld (onder een andere naam zal deze optie op de meeste fatsoenlijke firewalls zitten).
Standaard staat daarin enkel het vaste IP adres dat je ingesteld hebt voor de verbinding (in bovenstaand voorbeeld dus [1.1.1.2]). Daar kan je de overige adressen in je subnet een voor een toevoegen (dus 1.1.1.3 - 1.1.1.6). Vervolgens kan je in de firewall middels NAT rules of load-balance/route policies de externe IP adressen, of slechts bepaalde poorten op die IP adressen toewijzen aan interne IP adressen op een van de LANs aan de firewall.
Internet --><-- [PPPoE - 1.1.1.1] KPN Box 12b [192.168.2.254] --><-- [1.1.1.2] Eigen Router [10.0.0.1] --><-- Netwerk (via 1.1.1.2) / Webserver (via 1.1.1.3) / mailserver (via 1.1.1.4) etc.
Het is wel jammer dat er geen mogelijkheid is de rol van modem en het uitdelen van de externe IP adressen op 1 device te kunnen doen, waardoor de KPN Box 12b (of een ander device dat de PPPoE verbinding tot stand brengt) toch nog nodig is bij een opstelling met meerdere IP adressen en een eigen firewall/router. Dat kost toch weer wat extra stroom en is een extra point of failure. Als dit op een andere manier beter kan hoor ik het graag.
Maar het draait zo alsnog als een zonnetje :)
