KPN-verbinding niet bereikbaar via mijn Tele2-verbindingen

Dit issue heb ik reeds bij Tele2 aangemeld, maar volgens hun is alles bij hun goed en kunnen ze op dit probleem geen ondersteuning geven... ik post het probleem hier, zodat wellicht anderen wat tips kunnen geven hoe verder te komen.

De situatie is als volgt:
Ik heb op locatie A, 2 internetverbindingen aangesloten op een Draytek 2926. Verbinding 1: Tele2 en Verbinding 2: KPN Hussel.
Beide verbindingen worden volledig doorgezet (DMZ) naar de Draytek router.
Op een tweede locatie B, heb ik ook 2 verbindingen (KPN en Tele2) via een Draytek.

Vanaf locatie B werkt verbinding Tele2->KPN niet (wel: Tele2-->Tele2 en KPN-->Tele2)
Een ping van Tele2 [B] --> KPN [A] werkt niet, alle andere ping combinaties werken wel.



Om het bovenstaande makkelijk testbaar te maken, heb ik op verbinding KPN (A) een webserver op poort 80 gezet: http://77.166.57.113/
(Heb je een Tele2 of andere verbding, laat even weten of je de webpagina ziet of niet en graag welke verbinding ADSL/VDSL/glasvezel en bij welke provider, BVD)


Vanaf Tele2 [B] en Tele2 (locatie C), kan ik bovenstaande URL niet benaderen. Ook een collega met Tele2 kan de URL niet benaderen. Helaas heb ik Tele2 [A] --> KPN [A] nog niet kunnen testen i.v.m. loopback DNS en dat de Draytek een publieke Tele2 IP-heeft. Eventueel kan ik dit weleens een keer na werktijd testen, om te zien of alle 3 mijn Tele2 verbindingen "het euvel" hebben.

Verder kan ik de URL vanaf de volgende providers wel benaderen:

• 2x KPN (vdsl)
• 3x Xs4all (vdsl)
• Telfort (glasvezel)
• 2x Ziggo (kabel)
• 2x Vodafone (mobiel)
• T-mobile (mobiel)
• Online (vdsl

Vanuit een CMD/Dosbox heb ik de volgende commando: tracert 77.166.57.113 gedaan op enkele verschillende verbindingen. De eerste verbinding is een tracert van locatie Tele2 [B] -screenshot 1, waarbij de tracert dus niet wordt afgemaakt binnen de 30 hops. Op de andere 3 screenshot lukt dus wel.

Het rare is dat bij de eerste verbinding het misgaat binnen het netwerk van Eurorings(/KPN).
Dus m.i. stuurt Tele2 de data via de verkeerde verbinding naar KPN of Eurorings/KPN levert een verkeerde routering aan Tele2.






Graag hoor ik of iemand een manier weet om duidelijk aan te wijzen bij wie de fout ligt, zodat we dit probleem kunnen oplossen.

[Voor 3% gewijzigd door ictall op 16-01-2020 16:18]

@boyette
Arg@#%# een verkeerd plaatje gemaakt!!
ot eind vorig jaar had ik op locatie B: KPN, Xs4all en Tele2 staan.
We hebben op deze locatie de KPN weggedaan. Dus Tele2 [B] -> KPN [B] gaat niet lukken.

Dus het eigenlijke plaatje moet zijn:


Net heeft een collega de modem van de Draytek router losgekoppeld en de test Tele2 [B] -> XS4ALL [B] gedaan en dat werkt!

Verder ook meteen vanuit de aangesloten laptop (om de Draytek router uit te sluiten) ook weer de test Tele2 [B] -> KPN [A] gedaan met de volgende (fail) resultaten:

@rReVision, @Ferret, @roches, @llmar, @theuser, @gertvdijk, @Xallax, @videopionier, @boyette, @daupie en @TommyboyNL
Thanks voor het testen en meedenken!

@gertvdijk gave website om zo een website te testen. Zou ik de URL kunnen krijgen?

@videopionier ik gebruik per locatie een eigen DNS server die weer forward naar 8.8.8.8, 8.8.4.4 of tegenwoordig ook vaak 1.1.1.1 en 1.0.0.1. BTW, ik denk trouwens dat ping en tracert initieel geen DNS gebruiken als je op een IP-adres gebruikt.

@boyette Yep,8080 is bewust gedaan vroeguh, dan hield je namelijk poort 80 open voor een webservices.
Poort 81, inderdaad een webportal/pagina ;-)
betreft KPN ga uitzoeken waar ik dit kan neerleggen.
en de BGP beheerders van Tele2 mailen is een zeer goede tip, ga ik zo meteen doen.

@TommyboyNL "Gelukkig" toch iemand waar het niet werkt. Bepaald moment ga je twijfelen, of het toch niet ergens aan de eigen configuratie ligt , wanneer iedereen wel op de pagina kan of zonder problemen kan pingen/tracen.

@gertvdijk Thanks. Om routers te monitoren gebruik ik zelf https://www.downnotifier.com/ en die checked dan elke 10 minuten. Als de "site" dan down is krijg ik een e-mail en ook als hij weer up is. Bij down gaat de interval vermoed ik zelf naar 1x per minuut.

@iedereen op aanraden van @boyette heb ik e-mail naar the BGP beheerteam van Tele2 getuurd, nu hopen dat zij dit probleem ook willen oppakken.

Feedback @iedereen eb @boyette
Nog niks van Tele2 BGP Admin gehoord, stiekem een beetje gehoopt dat Tele2 het wellicht zonder door te geven had opgelost, maar vanochtend heb ik het probleem nog steeds.

@TommyboyNL kon er eerder ook niet bij. Ik heb van hem een PM gehad met zijn Tele2 IP-adres.
De 5 Tele2 IP-adressen die ik nu heb en die het niet doen hebben zitten allemaal in de volgende range:

• 87.213.x.x (1x)
• 87.214.x.x (3x)
• 87.209.x.x (1x)

Voorzichtig begin ik te denken dat het probleem wellicht alleen met Tele2-gebruikers voorkomt,
die misschien in de 87.x.x.x IP-range zitten...

Kortom zijn er nog Tele2-gebruikers die via http://wanip.info even kunnen nagaan of hun IP-adres met 87.x.x.x begint en of ze danwel of niet http://77.166.57.113 kunnen benaderen?

@boyette & @Rensjuh Shame on me!

Had Ngix handmatig draaien op een Windows 10 machine. Door een Windows-update en restart, liep de webserver niet meer
Heb nu de Windows update policy voor deze machine "tijdelijk" aangepast.

Ping loopt via de router en de andere poorten zijn andere apparaten, dus die blijven werken.
Vanaf de Tele2 verbindingen is het hele IP-adres niet te benaderen, dus niks richting het KPN IP-adres werkt.
Meestal wanneer ik termen als VPN en andere exotische configuraties aan de ISP meldt dan hoor ik meteen: "Dat wordt niet door ons ondersteund!", vandaar dus dat ik een webserver op poort 80 heb aangezet

ik222 schreef op dinsdag 21 januari 2020 @ 18:05:
In welke subnet zit het IP adres van de Tele2 verbinding op locatie A? Is dat niet toevallig het subnet waar vandaan je de KPN verbinding op locatie A niet kan bereiken?

Nee, op locatie A,is KPN: 77.x.x.x en Tele2: 87.x.x.x .

Ik zou namelijk denken dat het toch lokaal zit, mogelijk een draytek die geen verkeer accepteert van adressen uit een subnet wat hij zelf directly connected kent? Geen rare routes of policies op de routers?

We hebben het ook zonder de Draytek, vanaf de Tele2 [B] modem (+laptop) naar KPN [A] geprobeerd.
Ook dan doet hij het niet.

Ik denk hieraan omdat je wel kan pingen vanuit de KPN lijn naar de Tele2 lijn, dat betekent dat er routing technisch wel degelijk gewoon 2 weg verkeer is tussen die endpoints (request en reply komen beide aan). Dat het dan andersom toch niet lukt suggereert een firewall / statefull iets en daar doen ISP's normaal gesproken niets mee, daarom denk ik dat er lokaal iets mis zit.

Aan de ene kant kan ik met je meegaan, echter routering hoeft m.i. geen 2-weg te zijn.
In autotermen, je kan vanuit Rottterdam via de A4 naar Amsterdam en terug over de A13 en dan weer naar Amsterdam terug over de A13....

Het blijft gek, zoals ik hierboven aangeef dat het ook niet werkt via allen een Tele2 verbinding (zonder Draytek). Daarnaast heb ik ook een collega die alleen een Tele2 modem/router heeft die ook niet erbij kan.

De volgende screenshot is van Tele2 [B] naar KPN [A], waarbij de laptop direct aan de Tele2 Technicolor modem. Tracert stopt op dezelfde plek in het Eurorings/KPN netwerk (zie 1e screenhot 1e post =via Draytek)...

@ik222 Ik ben even de weg kwijt met je subnet opmerking en ik ben geen held in sniffen.
Wat nou als ik de volgende test doe?

1. ik maak tijdelijk de KPN modem op locatie [A] los en doe een reset, koppel hem aan de webserver machine en forward port 80 naar de webserver.

2. Op locatie [B], ontkoppel ik de Tele2 modem (reset) en zet alleen de 1 laptop bedraad er aan vast.

3. Ik test nu vanaf locatie [B] of ik
a. op de webserver kan komen
b. van Tele2 [B] naar KPN [A] kan pingen
c. en ik doe een tracert van Tele2 [B] naar KPN [A]

Ik kan dit op korte termijn inplannen (buiten werktijd).
Mocht iemand nog extra testen hebben die ik meteen ook kan uitvoeren dan hoor ik het graag.


@GlowMouse bedankt voor de KPN e-mail adressen, ik wil eerst de bovenstaande test 1x uitvoeren,
zodat ik enigszins met een status quo test en hun daarna kan e-mailen.

@ik222 en @TommyboyNL het lijkt inderdaad dat het in de Draytek misgaat.
Op locatie [B] hadden we een laptop direct aan de Tele2 gehangen en vervolgens getest naar KPN [A] terwijl KPN [A] en Tele2 [A] beiden op de Draytek Vigor op locatie A waren aangesloten.
===> FAIL

Toen we op locatie A, de modem KPN [A] van de Draytek los koppelde en vervolgens weer
Tele2 [B] (modem) --> KPN [A] (modem) probeerde werkte alles.
We konden met de Tele2 plotseling bij de webpagina komen, en zowel ping en tracert gingen goed.

Vervolgens heb ik de modem KPN [A] weer aangesloten op de Draytek (incl. Tele2 [A]) en ik had weer ==> FAIL.

Het lijkt er dus toch dat de Draytek Vigor iets door elkaar haalt als zowel de KPN als Tele2 modem erop worden aangesloten. Dus een intern probleem!





Ik heb het probleem (KPN / Tele2 op 1 router niet benaderbaar via Tele2) inmiddels met screenshots en uitleg bij Draytek aangemeld en wacht voorlopig waar zij mee gaan komen.

@iedereen
Gisteren van Draytek Nederland per e-mail antwoord gehad dat het probleem wellicht komt door dubbel NAT.
Ze vroegen of ik de verbinding kon bridgen om te kijken of het daarna wel werkte.

Vanochtend op locatie de KPN verbinding op een Draytek 2760 modem/router gezet, echter om te bridgen moest ik uitzoeken hoe ik vanaf de Draytek router met PPPoE in de modem kon inbellen.
Daar de router gewoon in productie wordt gebruikt en ik de router wellicht meerdere keren moest herstarten even time out genomen.

Ik hoop de komende dagen tijd te kunnen vrijmaken om met een andere Draytek router precies uit te zoeken hoe ik de PPPoE kan instellen, zodat ik in 1 keer de KPN internet gebridge op Draytek locatie A kan koppelen om te zien of het probleem daarmee is opgelost...

Hier nog even de routerings table van de router op locatie A:

[Voor 6% gewijzigd door ictall op 28-01-2020 11:51]

@ik222
Net getest, stond inderdaad aan. Ik heb het tijdelijk even uitgevinkt maar geen resultaat.
Heb ook meteen wat andere standaard beperkingen uitgeschakeld, maar ook dat had geen resultaat.
Verder zie ik in de Vigor 2926 (locatie A) onder Firewall een optie "diagnose" staan, echter op locatie B heb ik nog een iets oudere Vigor die dat niet heeft.
Ga er een paar dagen over nadenken of ik alleen om een diagnose te kunnen uitvoeren, de Vigor op locatie B zal vervangen door ook een Vigor 2926.

3/2/2020
Afgelopen vrijdag een Vigor 2760 als modem geconfigureerd, zodat de 2926 op locatie A een publiek IP-adres zou krijgen. Helaas hierbij een vlan fout gemaakt, waardoor di niet werkt. Vandaag ga ik dit corrigeren, waarna ik hoop te kunnen nagaan of een publiek IP-adres het probleem oplost...

[Voor 23% gewijzigd door ictall op 03-02-2020 11:53]

Even een update, Draytek Support heeft gekeken naar de configuratie van de router op locatie A (met KPN + Tele2) aangesloten en aangegeven geen configuratie fouten te zien.

Vervolgens heb ik hun ook toegang gegeven tot een laptop op locatie B die alleen aan Tele2 modem is aangesloten.

Vandaag kreeg ik van hun een e-mail dat issue waarschijnlijk bij Tele2 ligt. Vervolgens heb ik op locatie A de Tele2 uitgezet, om te laten zien dat je dan wel connectie kan maken met Tele2 locatie B --> KPN locatie A.
Ik wacht nu even af of wat er nu uitkomt....

Ondertussen zit al te broeden om op bv locatie A de Vigor 2926 tijdelijk te vervangen door een oudere Vigor 2920, eventueel thuis mijn oude Netgear Dual WAN , Hotbrick Dual WAN (nooit gebruikt) op te zoeken of zelf een Pfsense/OpnSense op een oude PC te installeren, zodat ik eind deze week 's avonds wat testen kan doen

Zo even weer een update. Kon thuis alleen een oude BaseWall VPN 1000 vinden en die had alleen een WAN2 dus die hebben we niet kunnen gebruiken als test.
Verder meer dan 1 week (tussen andere werkzaamheden door) bezig geweest met het opzetten en leren van OPNSense freeBSD router software (= PFSense "fork").

Op 20/2 bleek dat wanneer op locatie A zowel de KPN als de Tele2 verbinding een public IP-address ik nog steeds niet vanuit Tele2 locatie B kon pingen of traceren, maar het benaderen van KPN (A) over poort 80 en wat andere poorten die ik gebruik lukte wel.
Probeerde nog de OPNSense aan de praat te krijgen, maar dat ging helemaal mis qua configuratie (USB Netwerk) en ivm met een nachtploeg moet ik uiterlijk 22:30 de boel weer up hebben.

Voor mij zou het vervangen van de Experiabox door een eigen modem dus een "workaround" zijn voor mijn probleem.

Zaterdag heb ik na sluitingstijd een "onderhoudswindow" tot zondagmiddag.
Dus afgelopen zaterdag 22/2 ben ik weer bezig geweest.
Ook nu kon ik vanuit Tele2 (locatie B ) nog steeds niet pingen/traceren naar KPN (locatie A ), wel nog steeds naar Tele2 (A).
Dus de omdraaien maakt niet uit!
Tele2 (A ) en KPN (A) weliswaar omgedraaid maar met publieke IP-adressen, waren beide wel te bereiken op poort 80 (mijn testwebserver).

Vervolgens heb ik de OPNSense geconfigureert als (LAN, WAN1 (PPPoE voor KPN) en WAN2 (DHCP Tele2) ) - beide WAN dus met publiek IP-adres.
Beide WAN waren als Load Balancing / Failover ingesteld.
Ook hier kon ik na het instellen van een forwarding rule op de webserver komen, echter ping/tracert vanuit Tele2 (B ) naar KPN (A) werkte hier ook niet.
Lostrekken van de Tele2 kabel (LIVE) zorgt ervoor dat de ping en tracert wel van Tele2 (B ) naar KPN (A ) begint te werken.

Kortom de Draytek en OPNSense reageren dus "hetzelfde".
OP andere locaties met Ziggo/KPN, Ziggo/Xs4all heb ik het probleem niet, dus wellicht als ik de combinatie KPN/Tele2 kan opbreken ik wellicht dit werkende kan krijgen.

I.v.m. directe (monteur)aansturing wil ik bij KPN blijven en eventueel dan de Tele2 verbinding vervangen door een ander "onafhankelijke" provider of een Tele2 wederverkoper met een eigen IP-range/NOC.