KPN Zakelijk Cisco config naar Ubiquiti Edgerouter

Ik ben al een tijdje aan't stoeien met de overgang van een KPN zakelijk glasvezel connectie van PPPoE naar IPoE, KPN was zo aardig om een voorbeeld config mee te sturen voor een Cisco router, zie hieronder

---------------------------------------------------------
Dit is een voorbeeldconfig voor Cisco routers met IOS 12.x. en hoger waarbij GigabitEthernet1/0 is gekoppeld aan het interne netwerk en GigabitEthernet0/0 aan poort van de EVPN node van KPN. Aan deze config kunnen geen rechten worden ontleend.
---------------------------------------------------------

!
Interface GigabitEthernet1/0
description connection to internal network
ip address x.x.x.x.89 255.255.255.248
no cdp enable
ip verify unicast reverse-path
no ip redirects
speed 1000
full-duplex
no shutdown
!
Interface GigabitEthernet0/0
description connection to KPN / CapID : CINxxxxx
ip address x.x.x.242 255.255.255.252
no cdp enable
no ip directed-broadcast
speed 1000
full-duplex
no shutdown
!
no service finger
no service udp-small-servers
no service tcp-small-servers
no ip source-route
ip subnet-zero
ip classless
ip cef
ip name-server 194.151.228.18
ip name-server 194.151.228.34
!
ip route 0.0.0.0 0.0.0.0 x.x.x.241
!

Nu heb ik alleen geen Cisco router maar wel een Edgerouter (en een USG Pro). De huidige KPN connectie gaat nog over PPPoE en deze heb ik "gewoon" werkend direct op de USG Pro, daar heb ik ook 't /29 blok geconfigureerd met bijbehorende SNAT en DNAT van de verschillende WAN adressen naar LAN adressen.

De nieuwe connectie van KPN gaat over IPoE en daar gaat't niet helemaal goed meer (mijn kennis is hier ook ontoereikend ). Wat ik begrijp is dat er eerst een connectie moet worden gemaakt naar de KPN modem (x.x.x.241), "mijn" kant is dan x.x.x.242. Deze connectie maken lukt me niet op de USG Pro, maar met een EdgeRouter (ER) op eth0 lukt dit wel, op deze ER heb ik op eth1 het /29 adres blok aangemaakt, de ER heeft x.x.x.89 gekregen en dient als gateway voor wat er allemaal achter komt.

Wat ik hier wil bereiken is dat de ER helemaal niets doet qua NAT oid en al 't verkeer van eth0 doorlaat naar eth1. Ik wil op de USG Pro verbinding maken met de ER en verder daar alles afhandelen, zoals ik dat nu ook al doe. Wat nu niet lukt is om het /29 blok "door te geven" aan de USG Pro, daar gaat nog iets mis.

Ik hoop dat ik de situatie goed heb kunnen schetsen en dat iemand mij kan helpen met dit issue.

Dank voor jullie inbreng en suggesties, Ik moet zeggen dat alles in de USG me wel heel erg aanspreekt...

Is het dan zo dat ik op de WAN kant van de USG de verbinding opbouw met de KPN modem (x.x.x.241 als router) en met eigen ip adres (x.x.x.242) en dan (niet in de GUI maar via SSH) met set interface loopback het /29 block eraan koppel?

---------------------------

Als me dit nu niet zou lukken zou het verhaal met de ER ervoor dus een goed alternatief zijn, het configureren van eth0 en eth1 is me al wel gelukt volgens mij, het uitzetten can NAT en de firewall configuratie is volgens mij nog niet gelukt. Ik heb hier de config file uit de ER:

firewall {
all-ping enable
broadcast-ping disable
ipv6-name WANv6_IN {
default-action drop
description "WAN inbound traffic forwarded to LAN"
enable-default-log
rule 10 {
action accept
description "Allow established/related sessions"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WAN inbound traffic to the router"
enable-default-log
rule 10 {
action accept
description "Allow established/related sessions"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow IPv6 icmp"
protocol ipv6-icmp
}
rule 40 {
action accept
description "allow dhcpv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 20 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 30 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address x.x.x.242/30
description Internet
duplex auto
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
}
speed auto
}
ethernet eth1 {
address x.x.x.89/29
description "KPN IP Block"
duplex auto
speed auto
}
ethernet eth2 {
address 192.168.1.3/24
description Management
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
static {
}
}
service {
dns {
forwarding {
cache-size 150
listen-on eth1
listen-on eth2
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
}
ssh {
port 22
protocol-version v2
}
unms {
disable
}
}
system {
gateway-address x.x.x.241
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password ****************
}
level admin
}
}
name-server 194.151.228.18
name-server 194.151.228.34
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone UTC
}

Komende vrijdag zet KPN het weer (tijdelijk) op zodat ik kan gaan testen... zou super zijn als jullie me in de juiste richting kunnen sturen!

Even een update:
Ik heb alleen de USG in gebruik en het verkeer naar binnen toe functioneert (dus ook de DNAT rules). De verschillende websites zijn (dus) toegankelijk van buitenaf en functioneren.

Wat nu niet gaat is verkeer van binnen naar buiten... (bijvoorbeeld mailservers wel binnenkrijgen maar niet versturen). Ook gewoon surfen functioneert niet... moet ik een soort rule aanmaken dat dit mag of moet ik juist een wan ip opofferen als een soort Gateway of een static route of loopback aanmaken? Ik denk dat er bijna ben....

[ Voor 21% gewijzigd door Snoeiman op 13-09-2019 16:20 . Reden: Update ]

Ik heb t werkend gekregen met de EgdeRouter Lite ervoor. Ik gebruik de ER voor de verbinding op te bouwen en op eth1 zit dan het /29 blok welke weer naar de WAN poort gaat van de USG.

Lang bezig geweest om t zonder ER werkend te krijgen maar kreeg geen internet verkeer van binnen naar buiten. Leek erop dat ik 1 adres van t /29 blok als gateway (WAN adres van de USG) moest configureren maar dat lukt me (nog) niet.

@kosz Ik snap niet helemaal wat je bedoelt dat dit bij jou niet ging ivm met het draaien van een aantal webservers. Ik heb ook verschillende webservers/mail servers draaien wat gewoon werkt;

.89 Gateway (de ER), .90 VPN server (de USG), .91 Vrij, .92 Mail bedrijf 2, .93 Webserver 1, .94 Webserver 2 en Mail bedrijf 2

NB de ER doet dus geen NAT...

[ Voor 7% gewijzigd door Snoeiman op 18-09-2019 07:53 ]