Vraag


Acties:
  • 0 Henk 'm!

  • hommer
  • Registratie: September 2000
  • Laatst online: 01-10 14:22
Ik heb een XS4ALL VDSL aansluiting met daarachter een FritzBox 7360. XS4ALL bied de mogelijkheid om een routed subnet af te nemen. Het instellen daarvan heeft men netjes beschreven; https://www.xs4all.nl/ser...tellen-op-de-fritzbox.htm.
Helaas heb ik nogal wat moeite om verkeer gerouteerd te krijgen hierover.

Ik heb dezelfde logica gevolgd als in de beschrijving. Mijn toegewezen subnet is x.x.x.185/29. Ingesteld heb ik dus x.x.x.185 / 255.255.255.248.
Op de LAN zijde heb ik twee systemen draaien. Een pfSense systeem op x.x.x.186 en een CentOS systeem op x.x.x.187. Subnet mask staat gelijk en x.x.x.185 als default gateway.

Beide systemen kunnen elkaar pingen en ook verkeer naar buiten opbouwen. Ping/traceroute naar google.com toont gelijke resultaten. Verkeer van buiten naar deze ip adressen toe echter is onmogelijk. Alleen als ik in de FritzBox een systeem opneem als exposed host (met ip x.x.x.186 of 187) is hij ook werkelijk te benaderen.

Ik vond al dat de FritzBox ook een packet trace mogelijkheid had (/capture.lua) en daar heb ik ook eens even mee zitten loggen aan de internet zijde van de FritzBox. De echo lijkt gewoon niet doorgestuurd te worden door de router.
code:
1
2
x.187.246.21    x.x.x.186   ICMP    110 Echo (ping) request  id=0x04ac, seq=121/30976, ttl=58 (no response found!)
x.187.246.21    x.x.x.187   ICMP    110 Echo (ping) request  id=0x04be, seq=1/256, ttl=58 (no response found!)


Is er iemand die ervaring heeft met zo'n routed subnet en de FritzBox 7360 die het wél werkend heeft?
Ik ben er onderhand wel haast van overtuigd dat de FritzBox 7360 het probleem is. De router lijkt niet te routeren.Ervaringen met hetzelfde op andere routers zijn ook van harte welkom. Ik heb al zitten kijken naar een andere router om aan te schaffen. Het is echter knap lastig te beoordelen of dat ook gaat werken.

t.k.a. sig space t.e.a.b.

Beste antwoord (via hommer op 15-05-2016 09:15)


  • Osiris
  • Registratie: Januari 2000
  • Niet online
hommer schreef op zaterdag 14 mei 2016 @ 21:01:
[...]

Dat was ook al mijn conclusie. Helaas heeft de FB daarvoor helemaal geen opties. XS4ALL meldt er helaas ook niks over.
Ik kan me nog een thread in xs4all.general herinneren, misschien staat er iets nuttigs in: https://groups.google.com...c/xs4all.adsl/_0d3_XmW-9I

Alle reacties


Acties:
  • 0 Henk 'm!

  • DJSmiley
  • Registratie: Mei 2000
  • Laatst online: 02-10 10:51
Routeer je of NAT je?

De symptonen lijken erop dat je nu NAT tussen je externe kant en je interne kant.

Gokje: zowel je pfsense bak als centos gaan over hetzelfde IP naar buiten?

Dat verklaart namelijk ook dat het pas werkt als je de host in een DMZ plaatst: Je maakt feitenlijk een portforwarding.

Je kan prima natten over externe IP's...

Hoe een Fritzbox precies daarmee omgaat weet ik niet, heb 't wel werkend gehad op een Mikrotik en Sonicwall. (maar eigenlijk elke router waarbij je nat kan uitzetten kan gewoon routeren... bij wijze van test zelfs een l2+ switch of hoger al)

edit: Firewall kan natuurlijk ook idd, ook al routeer je, dat ding firewalled ook tussen de beide kanten

[ Voor 33% gewijzigd door DJSmiley op 14-05-2016 20:56 ]


Acties:
  • 0 Henk 'm!

  • Out.of.Control
  • Registratie: Augustus 2012
  • Laatst online: 20:13
Als ping/traceroute van binnenuit wel werkt, dan ligt het niet aan het routeren.
Het probleem is m.i. dat de firewall van de FB ook werkt voor je /29. Dus als je verkeer van buitenaf wilt toestaan, dan moet je dat expliciet openzetten.

Acties:
  • 0 Henk 'm!

  • hommer
  • Registratie: September 2000
  • Laatst online: 01-10 14:22
Routeer je of NAT je?
Je stelt het routed subnet apart in in de FB dus ik neem aan (!!) dat hij dat deel routeert. Ik gebruik het LAN ip range (192.168.178.x) expres niet op de machines.
De pfSense en CentOS doos gebruiken beide het x.x.x.185 adres dat toegekend is aan de FB als gateway en dat werkt dus wel naar buiten toe. Naar binnen niet. NAT uitzetten lijkt geen optie bij de FB.
Het probleem is m.i. dat de firewall van de FB ook werkt voor je /29. Dus als je verkeer van buitenaf wilt toestaan, dan moet je dat expliciet openzetten.
Dat was ook al mijn conclusie. Helaas heeft de FB daarvoor helemaal geen opties. XS4ALL meldt er helaas ook niks over.

t.k.a. sig space t.e.a.b.


Acties:
  • Beste antwoord
  • +1 Henk 'm!

  • Osiris
  • Registratie: Januari 2000
  • Niet online
hommer schreef op zaterdag 14 mei 2016 @ 21:01:
[...]

Dat was ook al mijn conclusie. Helaas heeft de FB daarvoor helemaal geen opties. XS4ALL meldt er helaas ook niks over.
Ik kan me nog een thread in xs4all.general herinneren, misschien staat er iets nuttigs in: https://groups.google.com...c/xs4all.adsl/_0d3_XmW-9I

Acties:
  • 0 Henk 'm!

  • hommer
  • Registratie: September 2000
  • Laatst online: 01-10 14:22
Thx die thread was inderdaad verhelderend. Als ik dat mag geloven is het een beperking van de FB; je kunt slechts één exposed host opgeven, meerdere werkt niet. Op zoek naar een ander modem/oplossing dus.

t.k.a. sig space t.e.a.b.


Acties:
  • +1 Henk 'm!

  • Hugo__Boss
  • Registratie: Juli 2006
  • Laatst online: 21:10
Neem een Draytek 2860, die kan dat wel.

Acties:
  • 0 Henk 'm!

  • hommer
  • Registratie: September 2000
  • Laatst online: 01-10 14:22
Hugo__Boss schreef op maandag 16 mei 2016 @ 09:04:
Neem een Draytek 2860, die kan dat wel.
Daar was mijn keus ook op gevallen 8). Bedankt voor de bevestiging.

t.k.a. sig space t.e.a.b.


Acties:
  • +1 Henk 'm!

  • Hugo__Boss
  • Registratie: Juli 2006
  • Laatst online: 21:10
Mooizo! Wel even de juiste firmware erin laten voor zaken als vectoring. En je kunt de diverse poorten toewijzen aan een VLAN om zowel de Draytek te laten NATTEN als routeren voor je subnet aan adressen. Je netwerk achter NAT kan dan volgens mij wel alleen met het gateway adres (wat je Draytek middels de PPPOE sessie krijgt) naar buiten toe communiceren.

Acties:
  • 0 Henk 'm!

  • rogiermaas
  • Registratie: April 2016
  • Laatst online: 08-02-2022
Als je in de FB de host(s) (Enter IP manually) exposed maakt, werken ping en traceroute wel. Dit kan ook voor meerdere hosts.

N.B.: ik werk nu met een 5490 met 6.52 omdat firmwares vanaf 6.8x ernstige problemen hebben met het bijhouden van alle hosts in je netwerk. Forwards werken niet, hij ziet bepaalde hosts niet en ga zo maar door.

Succes..

Acties:
  • 0 Henk 'm!

  • rens-br
  • Registratie: December 2009
  • Laatst online: 23:22

rens-br

Admin IN & Moderator Mobile
@rogiermaas, Bedankt voor je antwoord. Maar het kicken van topics is niet toegestaan en ik verwacht dat de TS na één jaar wel een oplossing heeft gevonden.
Pagina: 1