[Netscreen 5 GT] Geen internet achter gespoofde speedtouch - Netwerken

maandag 16 januari 2006 13:51

Acties:

Topicstarter

Het probleem is als volgt,

We hebben hier een ADSL verbinding via een Speedtouch 546i, die werkt in principe naar behoren. Nu hebben we het modem gespoofed zodat de Netscreen 5 GT die erachterstaat het externe ip krijgt, de Netscreen verzorgt de VPN verbindingen voor onze onderneming.

Als ik mijn laptop direct aansluit op de Speedtouch dan werkt internet gewoon goed. Echter als ik de Netscreen aan de Speedtouch hang werkt het niet meer.

De Netscreen krijgt wel het juiste externe ip op zijn untrusted interface, en de policies staan goed, maar geen internet. Ook staat de gateway op de clients juist (naar de Netscreen) en de Netscreen gebruikt de Speedtouch als DNS server, wat ook klopt.

Persoonlijk denk ik dat het met het subnet mask te maken heeft, zodra de Speedtouch een ip geeft krijg je als subnet 255.0.0.0 mee, terwijl in de spoofing config toch echt 255.255.255.255 staat aangegeven. Het probleem is dat de Netscreen nu het externe ip omgooit in de routing table.. zie voorbeeld

code:

80.126.44.159 externe ip
255.0.0.0    subnet toegewezen door speedtouch
80.0.0.0/8       mask in routing table netscreen (fout?)

volgens mij zou het zo moeten zijn, zo staat het 
namelijk in de andere netscreens ook (op de nevenlocaties)

80.126.44.159
255.255.255.255
80.126.44.0/24

Is er iemand die enig idee heeft hoe ik dit oplos? kan ik de Speedtouch forceren om toch een bepaald subnet mask door te geven of zit ik er gewoon helemaal naast en is het iets anders?

code:

specs netwerk

vpn router: netscreen 5gt
modem: speedtouch 546i (adsl over ISDN)
provider: xs4all
carrier: kpn

maandag 16 januari 2006 14:37

Acties:

canonball

Het subnet masker voor het externe ip lijkt idd niet goed. Probeer eens handmatig het externe ip adres in te vullen en dan als subnetmasker 255.255.255.255 gebruiken.

Ik zou zo niet weten waardoor jou laptop wel goed gaat, en de netscreen niet. Kun je een ip adres van af achter de netscreen wel pingen, bv ping 213.239.154.35 (=tweakers.net) ?

maandag 16 januari 2006 14:48

Acties:

enveekaa

Topicstarter

Ik kan handmatig geen subnet invullen op de Netscreen want die krijgt zijn externe ip via DHCP van de Speedtouch, de Netscreen krijgt zijn ip middels een DHCP spoof opzet.

maandag 16 januari 2006 17:44

Acties:

Wimlem

Hoe ziet je routing er uit ?

Met een speedtouch 510 ziet hij er zo uit :

* 192.168.14.0/24 0.0.0.0 trust C Root -

* 192.168.14.2/32 0.0.0.0 trust H Root -

* 213.84.*.0/24 0.0.0.0 untrust C Root -

* 213.84.*.*/32 0.0.0.0 untrust H Root -

* 0.0.0.0/0 195.190.250.17 untrust C 1 Root -

Het moet werken. Ik heb al 50 netscreen GT's weggezet met een alcatel modem ...

SolarEdge 7k met 8070wp (oost/west) - SolarEdge / Atlantic 270l / LG HU071.U43 + HN1616.nk3 warmtepomp / HikVision leverancier

maandag 16 januari 2006 18:48

Acties:

enveekaa

Topicstarter

Dat het moet werken staat vast inderdaad

Ik heb zelf ook al 2 stuks achter een Speedtouch 510 staan.

Routing ziet er als volgt uit:

* 192.168.2.0/24 0.0.0.0 trust C Root -

* 80.0.0.0/8 0.0.0.0 untrust H Root -

* 0.0.0.0/0 195.190.250.17 untrust C 1 Root -

Die 80.0.0.0 komt van de untrust, het externe ip begint met 80 dus de range is ok maar omdat het subnet wat de GT van de Speedtouch krijt 255.0.0.0 is zet de GT dus 80.0.0.0/8 neer. Ik denk dat dat het probleem is..

Op de andere locaties geeft de Speedtouch het externe ip door met als subnet 255.255.255.0 wat resulteert in een wat specifieker extern ip bv: 80.149.60.0 (als het externe ip 80.149.60.57 is bv).

[ Voor 14% gewijzigd door enveekaa op 16-01-2006 18:49 ]

maandag 16 januari 2006 19:00

Acties:

Wimlem

je mist volgens mij gewoon een route :

Ik heb er even een ander bijgepakt :

* 192.168.21.0/24 0.0.0.0 trust C Root -

* 192.168.21.2/32 0.0.0.0 trust H Root -

* 82.0.0.0/8 0.0.0.0 untrust C Root -

* 82.92.*.*/32 0.0.0.0 untrust H Root -

* 192.168.22.0/24 0.0.0.0 tunnel.1 S 20 1 Root Remove

* 0.0.0.0/0 195.190.249.23 untrust C 1 Root -

Die dikgedrukte regel mis jij volgens mij ... Maak die eens aan met de untrust ip adres er in.

[ Voor 4% gewijzigd door Wimlem op 16-01-2006 19:00 ]

SolarEdge 7k met 8070wp (oost/west) - SolarEdge / Atlantic 270l / LG HU071.U43 + HN1616.nk3 warmtepomp / HikVision leverancier

maandag 16 januari 2006 19:03

Acties:

enveekaa

Topicstarter

Ik ben nu niet op locatie dus kan het even niet proberen.

Op die andere locaties heb ik die route in ieder geval ook niet, en dat werkt feilloos. Wellicht heeft het te maken met de 546, morgen eens handmatig eentje erbij frotten, kijken of dat werkt.

Meld me morgen weer

edit: Heb jij die route zelf handmatig toegevoegd dan? dat was op de andere locaties namelijk niet nodig..

Hmm nee die heb je niet handmatig erin gezet want er staat ook geen "remove" achter, elke route die je er zelf inklopt kun je ook removen, ik heb al een beetje zitten spelen met route entries, tot noch toe zonder succes, maar ik ga het weer proberen

[ Voor 43% gewijzigd door enveekaa op 16-01-2006 19:13 ]

maandag 16 januari 2006 19:15

Acties:

Wimlem

ik kan mij ook niet herinneren of ik die er bij gezet heb of niet.

Maar probeer het even. Het kan geen kwaad. Desnoods neem je een config bestand van een werkende combinatie en edit je die en laad je die in.

SolarEdge 7k met 8070wp (oost/west) - SolarEdge / Atlantic 270l / LG HU071.U43 + HN1616.nk3 warmtepomp / HikVision leverancier

maandag 16 januari 2006 19:31

Acties:

enveekaa

Topicstarter

Dan heb ik ook al geprobeerd

Feit blijft dat de speedtouch hardnekkig een naar mijn idee fout subnetmask blijft doorgeven. Hoe dan ook, morgen even klooien met die routings.. thnx voor je moeite sofar!

dinsdag 17 januari 2006 09:31

Acties:

enveekaa

Topicstarter

Ok, te stom voor woorden maar het zat in de DNS instellingen.

Thnks voor de feedback!

[ Voor 19% gewijzigd door enveekaa op 17-01-2006 09:31 ]