Månadsavgift för Virtuellt LAN

Jag är inte riktigt säker på om detta är rätt avdelning i forumet för min fråga. Om så inte är fallet ber jag att moderatorn flyttar mitt inlägg till rätt avdelning.

Inom Andelslaget Pedersöre Öppna Fiber håller vi just nu på och kopplar in medlemmarna. Vi kommer att ha ca 360 aktiva anslutningar inom några veckor. Nätet skall vara ett verkligt öppet nät men av säkerhetsskäl måste den interna trafiken i nätet ordnas genom olika vlan. Nätdriften finansieras med en månadsavgift, för närvarande 15 euro.

Vi funderar på att ta ut en avgift på 50-100 euro för konfiguration av vlan för dem som önskar skapa ett virtuellt eget nät. Detta för att täcka våra egna kostnader. Men borde vi också taga ut en månadsavgift för varje vlan eller något likande? Rent principiellt vill åtminstone inte jag genom olika avgifter begränsa användningen av nätet. Jag lutar alltså mot uppfattningen att bara startavgiften för konfiguration skall uppbäras.

Men jag vill gärna höra era synpunkter på frågan och gärna också hur ni ordnat i era egna (öppna) nät. Jag vill få in så många synpunkter som möjligt innan vi beslutar.

Vi använder ju inget VLAN alls (jo, ett enda som alla hör till). Enkelt och fritt fram att spela mellan anslutningarna (ganska populärt ...). Jag anser i princip att det inte skall finnas begränsningar inom nätet och dessutom sparar det en massa tid för mej.

Jag tror inte alls på det där med säkerhet. Vi använder i stället en router för varje anslutning. Då blir det interna nätet helt avskilt från vårt lokalnät.

Vi använder ju inget VLAN alls (jo, ett enda som alla hör till). Enkelt och fritt fram att spela mellan anslutningarna (ganska populärt ...). Jag anser i princip att det inte skall finnas begränsningar inom nätet och dessutom sparar det en massa tid för mej.Jag tror inte alls på det där med säkerhet. Vi använder i stället en router för varje anslutning. Då blir det interna nätet helt avskilt från vårt lokalnät.

Det är just så som ni har det som ett öppet nät, enligt min uppfattning, borde vara och som jag faktiskt i början trodde att var en av de viktigaste principerna med öppna nät. Men diskussionerna här och med andra har fått mig att motvilligt acceptera lösningen med VLAN.

Kanske har nätets storlek en viss betydelse i sammanhanget?

Vad är skillnaden mellan interna nätet och lokalnätet, Nisse?

Sorry, har varit i Sverige bakom ett eländigt trådlöst nät (man måste stå tryckt mot fönstret för att alls få kontakt).

Vi har alltså ett lokalnät som omfattar halva Lappträsk. Man kan kalla det vad som helst men rent logiskt är det ett lokalnät eftersom det är avskilt från Internet med en router och brandmur.

Dessutom har varje hushåll (hoppeligen) en router som skiljer åt husets interna nät från Lappträsk lokalnät. Rent logiskt är det interna nätet också ett lokalnät (som är avskilt från det större lokalnätet ...).

Ur säkerhetssynpunkt är en sådan lösning ganska liknande som ett VLAN. Där skiljs också en anslutning åt från det omgivande nätet. Skillnaden är att det (ibland) inte går att komma åt andra VLAN inom det omgivande nätet. Och det anser jag vara fel. Tyvärr finns det med i de eländiga rekommendationerna som "experterna" utarbetat i arbetsgruppen.

Det GÅR att tillåta trafik mellan olika VLAN men jag kan inte riktigt se nyttan i den lösningen. En router är billig och fungerar tillika som switch med fyra uttag. Ibland också som trådlöst WLAN (hoppeligen med 11n-standarden som ger litet bättre fart).

Hos oss spelar skoleleverna vilt sinsemellan och jag vill helst inte att de skall belasta växlarna med sin trafik mer än nödvändigt.

Funderar på samma sak som PortKatterno.

Exakt vad menar man att VLAN:en tillför i säkerhet?


Talar vi om driftssäkerhet i nätet i allmänhet eller talar vi om att tjänsteleverantören med säkerhet kan låsa sina IP-tjänster till en viss port i hemmaroutern?

He-he, då jag satt med i arbetsgruppen så var intresset för att låsa kunden till den egna tjänsten nog det viktigaste. Också en orsak till att jag inte mera ids gå på möten och att jag är starkt kritisk till rekommendationerna.

Visst finns det bra saker i rekommendationerna men man bör absolut läsa dem som fan läser bibeln.

Jag bor i ett hus med FTTH.

Hemmaswitch med 8 portar. Några portar är avdelade för internet, några för IPTV, några för telefoni, sedan portar för övrigt.

Vi köper internet av en leverantör...jag har satt in egen router (inkl WLAN) bakom den porten via vilken internet finns...

Vi köper IPTV av en annan leverantör...har köpt egen SETOP-box...

De olika leverantörerna har egna VLAN...

Beroende av respektive tjänsteleverantörers villkor är uppsägningstiden varierande...men jag kan fritt fram säga upp en tjänst..för att ev. köpa den av en annan...upplevre mig inte inlåst...

Tja, inlåst och inlåst ... Du har bara ett begränsat utbud. Den som har öppen tillgång till Internet (inga stängda portar, inga hinder för olika protokoll, inga hinder för IP-adresser) har definitivt ett större utbud.

Du kan inte ta kontakt till någon annan inom ert område direkt utan måste gå via en operatörs router just för att alla har olika VLAN. Det behöver inte betyda begränsningar men operatören kan börja stänga portar och protokoll och hitta på allt möjligt (oftast i "säkerhetens" namn).

Det är lite som maffian som säljer "försäkringar". Men kanske det finns folk som är nöjda med maffians "försäkringar" också.

Nu är ju VLAN bara en teknik - det viktiga är hur den används. Och då gäller det att motarbeta alla skumma saker som en operatör kan hitta på. Bäst vore det med lagstiftning som förbjuder alla hinder. Vi har förstås alltid att göra med rent kriminella typer också på nätet men då gäller det samma som på andra områden: Man får inte tumma på folks rättigheter bara för att nån missbrukar dem. Så inte ifråga om brevhemligheten mm. alla rättigheter bör utvidgas till nätet för det är det enda som betyder nånting i framtiden.

Jag avslöjar säkert min okunnighet med dessa frågor men fungerar Lappträsk lokalnät så här?

- Alla anslutna fastigheter har en fast extern ip-adress som identifierar användaren och används också på internet.

- Alla portar i lokalnätet är öppna och alla protokoll är tillåtna.

- Alla kan nå alla i lokalnätet

- Internet är fritt tillgängligt i nätet till alla ip-addresser som används och en router med firewall skiljer lokalnätet från internet.

- Varje anslutning (hushåll) har en egen router och den fasta ip-adressen används mot lokalnätet och internet. Inom enskilda fastigheters lokalnät används interna addresser av typen 192.168.xxx.xxx.

Ganska nära men vi har lokala adresser också inom Lappträsk för vi har en router som kopplar oss till Intenet. Så i princip syns vi från Internet som en enda IP-adress. MEN så kan den som vill desutom använda sej av en egen global adress - vår router stöder One-to-One-NAT. Då översätts den lokala adressen till en speciell global adress. Ganska få använder detta och jag uppmuntrar inte någon heller för det är en säkerhetsrisk om folk inte vet vad de gör.


Så vi har två nivåer på lokalnätet:

1) Lappträsk lokalnät på 192.168.100.xxx - var och en får en unik fast IP-adress här

2) varje hushålls eget lokalnät på 192.168.0.xxx (eller vad nu routern råkar vara inställd på men INTE 192.168.100.xxx). Vanligen används DHCP och dynamiska adresser inom fastigheten.

De fasta adresserna gör det lättare för mej at felsöka och är säkrare för abonnenten. Ifall någon vänder routern fel väg så blir det problem för dem som använder dynamiska adresser men inte för de fasta.

Visst hitta man banditer också genom att kolla MAC-adresser på växlarna men det går snabbare med IP-adresser. Och det är lätt för ungdomarna att hålla kontakt inom nätet då de har fasta adresser.

Du har bara ett begränsat utbud. Den som har öppen tillgång till Internet (inga stängda portar, inga hinder för olika protokoll, inga hinder för IP-adresser) har definitivt ett större utbud.

- Okej om det är såhär för mig. Vad är det som jag inte har tillgång till via min internetanslutning? Jag använder Skype, Spotify (gratisversion), Voddler (gratisversion), Areena...vda är det jag inte kommer åt?

Vistt kommer du åt allting om du har tillgång till ett öppet nät. Jag borde ha skrivit att konceptet med ett begränsat urval operatörer kan leda till begränsningar. Det är nämligen en hel del operatörer som stänger portar och hindrar protokoll på sina Internetanslutningar. Du har det bra om du inte har sådana.

Då vi i början hade problem med vissa tjänster på Intenet och jag inte hittade felet så ringde jag till slut till vår dåvarande operatör - och visst hade de stängt en massa portar "av säkerhetsskäl" och för att "folk inte behövde dem", dvs. i påraktiken var det bara två portar öppna: 80 och 25 (surfning och epost).

Har du kollat om de andra portarna är öppna ?

Vistt kommer du åt allting om du har tillgång till ett öppet nät. Jag borde ha skrivit att konceptet med ett begränsat urval operatörer kan leda till begränsningar. Det är nämligen en hel del operatörer som stänger portar och hindrar protokoll på sina Internetanslutningar. Du har det bra om du inte har sådana.

Då vi i början hade problem med vissa tjänster på Intenet och jag inte hittade felet så ringde jag till slut till vår dåvarande operatör - och visst hade de stängt en massa portar "av säkerhetsskäl" och för att "folk inte behövde dem", dvs. i påraktiken var det bara två portar öppna: 80 och 25 (surfning och epost).



Det Nisse försöker säga är att man kan lita på Nisse som driver nätet, men inte på Operatören som driver internetanslutningen... Principiellt är det ju ingen skillnad om begränsningen sker i utkanten av Nisses nät, eller i centrum av operatörens. Det system du förespråkar funkar bara när nätet inte är större än att alla inblandade vet vad de andra äter till middag varje dag. Öppet är öppet

Om ni hade portblockeringar på en operatörsanslutning så hade ni antingen köpt fel typ av anslutning eller så hade er operatör ingen b2b-produkt vid tillfället?.

Så länge som operatören garanterar nätverksneutralitet så spelar det ju heller ingen roll var trafiken utbyts, dvs om det byts i byn eller ett par millisekunder bort vid närmaste interkonnekt.

Själva begreppet "öppet nät" tolkas nog på många olika sätt. Om inte användarna inom lokalnätet (byanätet, stadsnätet, kommunenätet osv) fritt kan kommunicera med varandra är nog öppenheten ifrågasatt enligt mig. Vlan lösningarar förbättrar läget något men är alltför krångligt och begränsande.

Skall vi nöja oss med att kunna välja bland två eller flera tjänsteleverantörer och sköta den interna trafiken på samma sätt som i operatörernas nät, genom vlan. Skillnaden blir då bara själva valfriheten och vanligen att lägre pris för vlanlösningarna.

Lokalnätet i Lappträsk är helt öppet i den mening som jag brukar förespråka med alla portar öppna och alla protokoll tillgängliga internt. Säkerheten tycks inte heller utgöra något problem. Men har Lappträskmodellen sina egna svagheter och i så fall vilka? Själv funderar jag på bl.a. följande frågor och hoppas att Nisse kan svara ännu en gång:

Fungerar er lösning med ip-tv och voip (också sip, h323) utan krångel?

Vilken är den vanligaste anledningen till att använda 1:1 NAT för vissa anslutningar? Finns det tjänster som inte fungerar ens med 1:1 NAT?

Bedömer du Nisse att lösningen är användbar också för större nät och ser du i då fall någon övre gräns för när nätet blir för stort för att modellen skall vara ändamålsenlig?