SBG 3600 routering + tunnel

Medetweakers,

Bij een klant doet zich een vrij raar probleem voor, die pas "actief word" na het aansluiten van een WatchGuard met IPSec tunnel richting hoofdvestiging.

Op de Zyxel 3600 zitten 2 subnetjes met beide de .254 als router.
- 10.0.0.0/24 voor VoIP, deze staat zonder nat en dergelijke richting een 2e verbinding gerouteerd.
- 10.10.0.0/24 voor Data, hierin hangt mijn laptop met daarlangs de WatchGuard. (.250 als IP).

Zonder de WatchGuard heeft mijn laptop (.10) netjes internet, rond de 160mbit geen rare problemen, snelheid is goed, stabiliteit also.

Zodra ik echter de WatchGuard op het 10.10.0.0 netwerk aansluit heeft zowel mijn laptop, als de WatchGuard geen internet connectie meer, het VoIP gedeelte echter blijft gewoon werken.
De WatchGuard bouwt een tunnel op richting de hoofdvestiging, deze tunnel lijkt tot stand te komen, echter geen verkeer mogelijk.

De hele situatie is werkend actief op een Cisco 887, echter ondersteunen deze geen BVDSL, en is de Cisco die het wel ondersteund schandalig veel te duur

Ik heb een vermoeden dat er een NAT/uPnP gerelateerd dingetje actief staat op de Zyxel, wat ik liever niet heb, alleen kan ik niet vinden wat.

Iemand suggesties/ervaringen met een soortgelijk probleem?

Alvast bedankt!

Misschien moet je dan niet replyen ..
Ik heb de initiele vraag beknopt gezet, gezien het feit dat ik anders 4 pagina's tekst kan neer zetten wat ik geprobeerd heb.

Als ik wist wat dat ding deed, dan had ik geen topic gestart maar zelf het probleem opgelost.
Exact dezelfde situatie, dus voip + data/firewall draait momenteel achter een Cisco.
Die van WatchGuard geven aan dat er manipulatie actief staat in "het voorliggende apparaat".
Maar alle vormen van manipulatie die ik kan vinden in die Zyxel, staat uit (of .. dat geeft de webinterface iig aan).

Misschien dat dit het duidelijker maakt, waar mijn "vermoeden" vandaan komt. Achter de WatchGuard hangt overigens het rest netwerk in een 192.168.x.x reeks, dus, ja dubbel nat.

VoIP switch/10.0.0.0/24 > Zyxel > connectie voor voip.
WatchGuard/10.10.10.250 > Zyxel > internet verbinding > Hoofdlocatie
Mijn latop/10.10.10.20 > Zyxel > internet verbinding.

[ Voor 17% gewijzigd door Zen!th op 28-02-2017 14:38 ]

Brahiewahiewa schreef op dinsdag 28 februari 2017 @ 15:58:
[...]

'k Wil je niet ongerust maken, knul. Maar als ik jouw klant was en ik zag dit topic, dan lagen jij en je werkgever er per direct uit. Als er een prijzig beveiligingsdevice geïnstalleerd moet worden en degene die de installatie moet doen vraagt zich op een publiek forum af "wat het ding exact doet", dan geeft dat m.i. aan dat je werkgever geen resources beschikbaar stelt of dat jij er geen gebruik van maakt

Zit m'n reply's na een uurtje rustgevend autorijden terug te lezen en you're right. Mijn oprechte excuses, iets met hooi en een vork. Vandaar mijn "lichtelijk" gefrustreerde opmerking en start van het topic. Gezien je profiel heb je meer ervaring dan ik van mag dromen.

Ter opheldering:
Het is niet zozeer "wat het ding exact doet" (Al komt dat wel zo over nu ik het zo terug lees (: ), ik werk inmiddels jaren dagelijks (niet altijd op zaterdag en zondag), met Cisco/HP netwerk apparatuur (asa's dat soort dingen). Hierin kan ik mij vrij redelijk redden, uiteraard met hulp van collega's. In de meeste gevallen worden er dus in die richting apparaten ingezet. Vandaar ook bezigheid met de verschillende richtingen CCNA.

Echter vanwege de vectoring/bonding techniek en prijs is besloten een Zyxel te gebruiken. In normale gevallen gaat het instellen hiervan vlekkeloos met .. zoals iedereen in de techniek wel eens een struggle.

Het nare echter hier, is dat mijn logica en ervaring (voor zover dat aanwezig is op jonge leeftijd) anders denkt, dan dat de SBG 3600 in kwestie laat merken te doen. Voornamelijk op NAT gebied.

Om heel eerlijk te zijn kom ik op internet weinig verder met Zyxel en niet "huis, tuin en keuken" problemen.
De meeste rare problemen en configuratie zaken zijn met Cisco/HP wel uitgebreid te vinden (:

Toegegeven, mijn start topic is niet heel helder.

Brahiewahiewa schreef op woensdag 1 maart 2017 @ 01:14:
[on topic]
't Is even de vraag wat er bedoeld wordt met "voorliggend apparaat".
Jij lijkt te denken dat daarmee de router bedoeld wordt, maar het kan natuurlijk ieder apparaat zijn, in de keten tussen de watchguard en de host waarmee hij contact zoekt. Inclusief die host zelf

Je wilt in ieder geval weten of de tunnel aan het andere eind ook als actief gezien wordt en - zoniet - of er daar errors gelogged worden. En geeft de watchguard aan jou kant nog andere errors?

Ze zien zelf de tunnel wel binnekomen, nadeel is dat de WatchGuards zowel hier als de overkant niet in mijn beheer zijn, dus even een logje doorkijken zit er 1, 2, 3 niet in. Nog even nagevraagd, ze bedoelen de zyxel die nog manipulatie toepast.

Ik zal ze navragen voor de logs van de watchguard.

Wat me opvalt is dat de problemen die onstaan na het aansluiten van de watchguard (hier en daar een ping response (wel met maar 8-10 ms), geen resolving en dergelijke niet ophoud nadat de watchguard ontkoppelt is, sterker nog na een reboot (cold, zonder aangekoppelde watchguard) blijven de problemen exact hetzelfde (alsof de Zyxel de problemen "onthoud"). DNS statisch richting verschillende servers gehad, mocht geen meerwaarde hebben. Fabrieksreset en opnieuw instellen laat alles weer correct werken, tot aankoppelen van de watchguard ..
Het pingen van de "next hop" van de pppoe sessie werkt wel strak, andere IP-adressen al niet meer.