XS4ALL subnet stopt, nu KPN EEN zakelijk met Edgerouter

Pagina: 1
Acties:

Acties:
  • +2 Henk 'm!

  • mediumdry
  • Registratie: Januari 2011
  • Laatst online: 11-05 13:19
Ik heb me hier het leblazarus gezocht naar info, maar het lijkt alsof ik de enige (de eerste?) ben die op deze manier overgestapt is. Dus dacht ik dat het misschien handig is voor anderen om m'n ervaring (en kleine hack) te delen met anderen.

Ik had dus, naar volle tevredenheid een XS4ALL glasvezel verbinding, met een los IPv4 adres, een /29 (8 adressen) IPv4 subnet en een /48 IPv6 subnet. Toen gaf XS4ALL aan dat ze op gingen houden met het /29 subnet. KPN zou me bellen met een aanbieding, werd gemeld toen ik telefonisch bij XS4ALL vroeg wat de alternatieven waren. Helaas had ik de juiste mensen bij Freedom Internet niet gesproken en op de website werd geen melding gemaakt van plannen om ook een subnet aan te gaan bieden. Dus die viel af. Tri-ned, die extra subnets biedt voor de zakelijke markt (en die ook ongecodeerd DVB-C TV biedt via glasvezel) was nog niet zover om ook in mijn omgeving (zoetermeer) aan te kunnen bieden.

De enige optie was dus KPN, al kon ik op website niet echt vinden wat ik wilde. Toen werd ik dus gebeld door een heer die voor KPN me kon helpen. Zijn verhaal kwam er op neer dat ik een kopie van de XS4ALL dienst kon krijgen van KPN EEN zakelijk (ik sta toch al bij KvK ingeschreven) zelfs met een mooie korting, waardoor ik uiteindelijk zelfs iets minder ga betalen dan bij XS4ALL.

Dit werd beloofd:
  • Vast IPv4 adres
  • /48 IPv6 subent
  • vast /29 IPv4 subnet
  • 500mb
Dit alles voor 50 euro/maand ex-btw (dus ongeveer 60 euro) na de korting die voor de gehele 24 maanden (minimum abonnementsduur) zou gelden. Toen gebeurde er een hele tijd niets (meer dan een maand) terwijl ik gebeld zou worden over de details alvorens de deal beklonken kon worden. Ik met KPN zakelijk bellen, maar ze werken veel met externe bedrijven die aquisitie doen en niet alles kon worden gevonden, maar dat is uiteindelijk goedgekomen. Voor vandaag (27 September 2021) afgesproken dat de monteur zou komen om een en ander aan te sluiten en te configureren. Ik had nog geen info gehad over mijn subnetten, dus ik bel om 8 uur met mijn contactpersoon. Die wist niets van IP adressen e.d. maar kon me wat info sturen en verder moest ik het maar met de monteur bespreken, die zou me kunnen helpen. De IP adressen die ze me stuurde in een mail bleken uiteindelijk wel te kloppen, maar de suggestie was dat de voorbeeld adressen de mijne waren. Die voorbeeld adressen (uit een publieke reeks, niet documentation adressen oid) klopten natuurlijk niet. Ook IPv6 was niets van bekend.

Uiteindelijk is dit geleverd:
  • 500mb glasvezel
  • 1 IPv4 (/32) adres via PPPoE verbinding
  • 7 adressen die naar dat IPv4 adres geroute worden (1 voor het adres, 6 na)
  • geen los IPv4 adres
  • geen IPv6 adresblok
Om 09:12 viel m'n XS4ALL Internet weg en bij het checken op m'n Ubiquiti Edgerouter 4 bleek dat de configuratie hetzelfde was als bij XS4ALL, ik had een IPv4 adres dat werkte. De NAT vanuit m'n LAN werkte ook gewoon, al was dat niet helemaal direct duidelijk, want m'n DNS server in m'n DMZ had natuurlijk geen werkend adres meer, maar even tijdelijk 8.8.8.8 gebruiken hielp daarbij.

Het IPv6 verhaal gaat nog even duren, want via de monteur (die mijn vragen ook nog nooit gekregen had) sprak ik iemand bij KPN die zei dat bij een IPv4 subnet het niet mogelijk was om ook IPv6 te hebben. Het lijkt me stug dat KPN geen dualstack kan bieden in 2021, maar dat gaan we nog zien, m'n vraag is een paar lagen ge-escaleerd inmiddels.

Maar goed, toen had ik dus een probleem met m'n DMZ. Ik kon m'n extra adressen dus gebruiken, maar in hetzelfde segment als het PPPoE adres, dus buiten m'n firewall. Het PPPoE adres moest ook als gateway gebruikt worden. Toen bedacht ik me dat het PPPoE adres als /32 binnen was gekomen. Ik kon dus mijn /29 "gewoon" in mijn DMZ zetten en dat routen naar het adres op de PPPoE verbinding. Dat gaf het volgende probleem: ik gebruik graag een DHCP server voor adresbeheer, want dat maakt omnummeren simpeler. Die DHCP server heeft natuurlijk een adres nodig (heb problemen gehad met de implementatie van DHCP forwarden bij Ubiquiti). Daarnaast had ik nu een ander adres nodig als gateway, want hetzelfde adres van de PPPoE verbinding is natuurlijk niet te gebruiken. Een korte rekensom leerde me:
/29 subnet, min network adres, min broadcast adres, min PPPoE adres, min gateway, min DHCP server is 3 bruikbare adressen, wat niet genoeg is voor me (web server, web server voor staging/testen, authoritative DNS server, recursive DNS server, mail server, reserve voor speledingetjes). Dus ik heb het nu anders geregeld en het werkt:
  • /32 IPv4 PPPoE adres op WAN poort
  • /28 op de DMZ, op basis van /29 IPv4 subnet
  • DMZ Gateway met adres in "andere helft" van het subnet
  • DHCP server met adres in "andere helft" van het subnet
  • 5 bruikbare (bereikbaar van Internet en met toegang tot Internet) IPv4 adressen in de DMZ, achter de firewall
Het heeft enkele nadelen. Het is niet "netjes", Dat klopt, maar daar kan ik mee leven. Er zijn 8 IPv4 adressen (de helft van het /28 subnet die niet van mij is) die ik niet kan bereiken, mochten er services op draaien die ik wil benaderen. Ik schaadt die adressen verder niet, dus ik kan daar mee leven. En als laatste, mijn DMZ gateway en DHCP server hebben geen Internet toegang. Ook daar kan ik mee leven.

Tot zover mij wat lange verhaal. Ik hoop dat dit nuttig is voor mensen die zich in dezelfde situatie bevonden. Als het IPv6 verhaal duidelijk is zal ik de post updaten.

Ik vrees dat de kans bestaat dat ik alsnog moet kiezen voor 1 van de 3 alternatieven waar ik nog aan denk
  • Over naar Freedom Internet
  • Een transip vps met voldoende schijfruimte en IP adressen en een goedkope T-mobile dual stack glasvezel verbinding
  • hopen dat Tri-ned snel ook services aanbied in Zoetermeer
Er is met alle oplossingen te leven, maar voor nu hoop ik dat KPN op KPN EEN zakelijk ook gewoon IPv6 kan leveren. Dan kan ik namelijk ook gaan kijken of de KPN Box 12 goed werkt als WAP. >:)

Acties:
  • +1 Henk 'm!

  • nelizmastr
  • Registratie: Maart 2010
  • Laatst online: 21:54

nelizmastr

Goed wies kapot

Erg vreemd dat ze zakelijk geen dual stack zouden kunnen. Hier op standaard consumenten glasvezel is het ook dual stack. Weliswaar volledig dynamisch, maar toch.

KPN Experiabox 12 staat hier vrolijk stof te happen 😁

I reject your reality and substitute my own


Acties:
  • 0 Henk 'm!

  • mediumdry
  • Registratie: Januari 2011
  • Laatst online: 11-05 13:19
Het lijkt me ook vreemd, maar 1 support mens gaf aan dat v4 subnet en v6 subnet niet samen konden en een ander gaf aan dat hij geen v6 subnet toe kon voegen aan mijn product (wat hem bevreemde, want hij dacht dat dual stack de standaard was).

Kortom, misschien dat het een combinatie is van zaken die nog niet netjes in dezelfde systemen zit (KPN heeft nogal wat legacy systemen natuurlijk.

Om KPN te quoten: "Wij gaan verder voor u aan de slag. Wij streven ernaar binnen 5 werkdagen contact met u op te nemen."

Of dat acceptabel is voor een zakelijk contract waar het IPv6 Internet gewoon niet geleverd is is een andere vraag. :)

Acties:
  • +2 Henk 'm!

  • nescafe
  • Registratie: Januari 2001
  • Laatst online: 22:10
Ik snap de noodzaak voor de IP-adressen niet helemaal, je kunt toch alle webdiensten + (auth) dns + mail op 1 IP-adres beschikbaar maken met een SNI-/host-based reverse proxy? En je recursive DNS, is het handig om die extern bereikbaar te maken, die kun je toch ook tunnelen via iets als WireGuard?

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


Acties:
  • +2 Henk 'm!

  • mediumdry
  • Registratie: Januari 2011
  • Laatst online: 11-05 13:19
Noodzaak... je kan alles met lagen NAT doen. Dan wordt het allemaal veel complexer met failure modes die moeilijk te troubleshooten zijn. Het Internet is ontworpen als end-to-end communicatie en dat wil ik ook graag voor mijn services. Mijn recursive DNS is niet vanaf het Internet bereikbaar, maar die moet wel met externe, authoritative DNS servers kunnen praten. Dat kan nu zonder NAT.

De oplossing is iedereen over naar IPv6, dan kunnen we eindelijk een hoop lapmiddelen weghalen die nu in gebruik zijn. En als je ze dan nog steeds wil, dan kan je dat voor specifieke toepassingen doen, maar je wordt er niet meer toe gedwongen.

Ik weet, het is een andere manier van kijken naar networking. Ik vind dat alle machines aan het Internet een publiek IP adres moet hebben. Dat betekent niet dat ik vind dat ze ook voor iedereen bereikbaar moet zijn, dat is een andere discussie. Het liefst zou ik ook consumentenproviders zien die een BGP transit verbinding aanbieden, zodat ik met mijn eigen adressen en AS nummer kan verbinden en makkelijk meerdere providers kan hebben zonder allerlei rare loadbalance truken. Maar ja, er zijn slechts 4 miljard AS nummers en Cisco is niet zo goed in geheugenoptimalisatie voor routing tables. :)

Acties:
  • 0 Henk 'm!

  • Will_M
  • Registratie: Maart 2004
  • Niet online

Will_M

Intentionally Left Blank

@mediumdry Hoe kom jij met een "/29 IPv4 netwerk" ooit aan 8 vrij te gebruiken IPv4 adressen? Als ik een beetje 'tel' dan ben ik er al twee kwijt doordat de gateway één adres in beslag neemt en er ook een nog een adres afgesnoept wordt vanwege het broadcastadres (255.255.255.248 netmask) :o

Boldly going forward, 'cause we can't find reverse


Acties:
  • 0 Henk 'm!

  • mediumdry
  • Registratie: Januari 2011
  • Laatst online: 11-05 13:19
@Will_M bijvoorbeeld... een gateway adres, net als een network adres en broadcast adres is configuratie aan jouw kant. Routers kijken naar een laag 3 (IP) destination address en sturen het door op basis van de forwarding tabel die ze hebben. En in die tabel staan IP subnets, van eerste tot laatste. Dus verkeer naar adressen die in jouw netwerk misschien niet bruikbaar zijn wordt ook naar je toegestuurd, omdat andere routers niet kunnen weten hoe je je adressen intern gesubnet hebt. Bijvoorbeeld, je hebt een /24 IPv4 space x.y.z.0 tot x.y.z.255. Jouw provider stuurt verkeer voor die adressen naar jou. Als jij intern je space verdeelt hebt in 2 /25 subnets (netmask 255.255.255.128) dan kan je x.y.z.127 niet gebruiken, want dat is een broadcast adres nu. Wissel je naar 1 /24 subnet (netmask 255.255.255.0) dan kan je x.y.z.127 ineens wel gebruiken. Routers buiten jouw netwerk weten dat dus niet, dus sturen ze naar alle adressen uit een reeks. Jij mag dan zelf een foutmelding terugsturen als dat een onbruikbaar adres is.

Dat betekent dat het verlies van gateway, network address en broadcast address dus in de routing van je eigen netwerk zit. Als je dan dus speelt met de grootte van het subnet aan jouw kant kan je die drie adressen dus op adressen laten vallen die *niet* deel zijn van de 8 adressen die naar je toe geroute worden. 2 adressen krijg je al als je het subnet 1x vergroot, het derde adres is afhankelijk van op welke bit boundary je adressen zitten.

Let wel, dat is een hack (in de oude zin van het woord) en heeft als nadeel dat de adressen die in jouw gekozen subnet zitten, maar die niet naar jou geroute worden, dat je die adressen op het Internet dus ook niet kan benaderen. Of dat een probleem is is afhankelijk van hoe groot jij de kans inschat dat je services wil benaderen van een of enkele andere XS4ALL of KPN klanten die een soortgelijk product voor hun verbinding hebben als jij.

Dit is spelen met routing en subnetting. Niet networking zoals het door de mensen in de IETF bedacht is toen ze de RFCs schreven. Maar als je weet wat je doet en wat de drawbacks zijn van je niet standaard config, dan werkt het gewoon. In mijn geval heb ik nu dus weer de firewall voor de adressen en winst van 1 (waarschijnlijk 2) IPv4 adressen.

[ Voor 27% gewijzigd door mediumdry op 27-09-2021 23:30 ]


Acties:
  • 0 Henk 'm!

  • Will_M
  • Registratie: Maart 2004
  • Niet online

Will_M

Intentionally Left Blank

Nou zeg je dat er géén routing protocollen gebruikt mogen gaan worden om dat '/29' netwerk volledig aan jou beschikbaar te kunnen gaan stellen met 8 vrije IPv4 adressen ...

BGP = Border Gateway Protocol, toch? >:)

Boldly going forward, 'cause we can't find reverse


Acties:
  • 0 Henk 'm!

  • mediumdry
  • Registratie: Januari 2011
  • Laatst online: 11-05 13:19
Heb even ge-update. BGP is inderdaad een routing protocol. Het werkt met AS nummers. Vaak wordt er binnen een AS nog een ander protocol (vaak OSPF) gebruikt. BGP is dan voor de communicatie met routing van de buitenwereld. Voor deze hack moet je zorgen dat je gehackte/vergrootte subnet niet aan andere routers, buiten je systeem verteld worden.

In mijn utopie van consumenten (lees, betaalbare/goedkope) providers die BGP transit aanbieden is iedereen ook al over op IPv6 en hoef je niet meer dit soort hacks te doen om de laatste bruikbare IP adressen bij elkaar te snoepen. Zodra je meer als 8 adressen wilt tegenwoordig wordt het erg ingewikkeld om het voor een consumentenbedrag voor elkaar te krijgen. En aangezien ik geen geld verdien met mijn prive-netwerk op dit moment ga ik geen bedrijfsbedragen betalen voor mijn verbinding. Maar ik wil zo veel mogelijk zelf kunnen beheren, ook om mijn skills te behouden voor een mogelijke andere baan/opdracht later.

[ Voor 3% gewijzigd door mediumdry op 27-09-2021 23:37 ]


Acties:
  • 0 Henk 'm!

  • Will_M
  • Registratie: Maart 2004
  • Niet online

Will_M

Intentionally Left Blank

Cisco OSPF (Open Shortest Path First) gebruik je beter alleen op een intern WAN/LAN, niet op het grote boze internet :P

[ Voor 3% gewijzigd door Will_M op 28-09-2021 01:01 ]

Boldly going forward, 'cause we can't find reverse


Acties:
  • 0 Henk 'm!

  • Londje
  • Registratie: Oktober 2001
  • Laatst online: 20-01 20:39

Londje

....tssssssss....

Heel fijn dat je dit wilt delen dankjewel! Ik heb er uiteindelijk niet voor gekozen. Want dan zou ik weer de .xs4all mail adressen (dus ook de xxx.xs4all.nl die nu in forward staan bij xs4all want dat stopt ook naar mailserver) kwijtraken en dus weer middels een pack moeten behouden. Tenminste dat is mij verteld. Verhalen verschillen nogal eens tussen de ene en andere medewerker die je spreekt.

Als ik nog iets ga doen met /29 dan wordt het extraip. Ik schrik ervan dat er voor dat KPN EEN ook weer een monteur en dergelijk komt. Dus je /32 en /29 adressen zijn nu allemaal veranderd? Wat voor modem heb je gekregen? Maakt ook zich niet zoveel uit je kan met glas gelukkig toch meteen eigen fw eraan hangen op vlan 6. Dat kan neem ik aan ook nog steeds toch?

Op de KPN site is echt weinig / niks te vinden over dat hele KPN EEN qua techniek en dergelijke.

Overigens valt me op dat het /29 nog wel werkt vandaag bij xs4all...

Asus P3B-F | PentiumIII 800@992 | 2 *256mb PC133 ECC | Voodoo3 3000 AGP | Creative AWE64 | Maxtor 40GB 7200 | WD 20 GB 7200| Plextor 40x SCSI | Plextor 12x4x32 SCSI | Iiyama Vision Master Pro 510 | IntelliMouse Explorer | WinXP |


Acties:
  • 0 Henk 'm!

  • Piggelmee
  • Registratie: Juli 2002
  • Laatst online: 15:40
Ook ik was/ben een afnemer van een /29 subnet van XS4ALL. In de afgelopen maand heb ik mijn netwerk zodanig gesaneerd dat ik dat extra subnet niet meer nodig heb. Omdat er via het MijnXS4ALL geen opzegmogelijkheid is om het subnet op te zeggen en ik vanmiddag zag dat het nog steeds aktief was, heb ik even gebeld met de XS4ALL helpdesk. Daar werd me verteld dat ze het subnet mogelijk nog een paar weken in de lucht houden, om bestaande klanten wat meer tijd te geven om een andere oplossing te vinden. Er worden echter vanaf vandaag geen kosten meer voor berekend; wat er vanaf 1/10 nog gefactureerd wordt, wordt later gecrediteerd.

In de loop van de maand wordt de dienst dus definitief opgeheven.

Acties:
  • +2 Henk 'm!

  • Ascension
  • Registratie: September 2008
  • Laatst online: 21:29
Je DHCP-server hoeft niet in hetzelfde netwerk te zitten als je /29 he. Die kan je prima in een ander VLAN zetten en door middel van een helper/forwarder de DHCP broadcasts doorsturen naar je server.

[ Voor 182% gewijzigd door Ascension op 01-10-2021 15:07 ]


Acties:
  • +1 Henk 'm!

  • mediumdry
  • Registratie: Januari 2011
  • Laatst online: 11-05 13:19
@Londje Mail heb ik al een tijd bij migadu uitbesteedt. Dat werkt vrij goed.. Ik ben nu inderdaad mijn /32 en /29 kwijt van XS4ALL, maar het was redelijk makkelijk m'n DNS entries aan te passen. Ik heb toch een vrij lage TTL. Wat vervelender is dat de /32 en /29 nu dus vervangen zijn door 1 /29! En... m'n /48 IPv6 is weg en ik heb na een week nog niets gehoord van KPN over wanneer dat actief gaat worden, want ik zou dual stack krijgen en heb dat nu niet. :(

Ik heb een KPN Box 12 gekregen, waar de monteur ook mee aan de slag wilde, maar m'n ubiquiti edgerouter 4 had de KPN config al te pakken voor ik goed en wel doorhad dat de XS4ALL verbinding weggevallen was. :)

De monteur heeft dus ook niets gedaan, feitelijk.

@Piggelmee Ik was ook van plan te saneren, of het op een andere manier te regelen, maar het gemak van dingen kunnen testen op "echte" IP adressen zonder dat het huis zonder Internet zit als ik weer eens iets fout doe maakt dat ik het prettig vind zolang het kan. (voor een schappelijk bedrag) Als ik zonder de DMZ adressen moest dan denk ik dat ik gewoon naar T-Mobile zou gaan voor de 50 euro deal voor gigabit glasvezel en onbeperkt mobiel. Er zijn daar mensen die problemen hebben, maar dat is zoveel goedkoper voor het "standaard" product.... telefonie en tv zijn voor mij niet interessant, dus dat maakt Internetboer kiezen makkelijker. :)

@Ascension Je hebt helemaal gelijk. Ik had ook een helper config, maar ik heb ergens een keer iets fout gedaan waardoor het niet meer werkte. De tijd om goed te troubleshooten had ik toen niet, dus heb ik het gewoon in het vlan gegooid (een kopie van het "gewone" DHCP vm) en dat werkte zo probleemloos dat ik nooit meer de drang voelde om het goed op te lossen :)

Acties:
  • 0 Henk 'm!

  • mediumdry
  • Registratie: Januari 2011
  • Laatst online: 11-05 13:19
<voorbarige post over IPv6, info komt als het werkt>

dat kan nog ff duren.. Maandag zou het aangezet worden. "veilig Internet" is nu van m'n account afgehaald (ik had het toch al uitgezet, ik zorg zelf wel voor m'n firewall, zodat ik weet waarom iets wel of niet werkt)

Maar goed, ik zou dus Maandag gebeld worden met info. Dinsdag toen ik belde zou ik weer gebeld worden. Woensdag ook... dat is vandaag. Uiteindelijk van iemand de status gekregen dat ze wat problemen hebben om het aangezet te krijgen en dat ze aan het uitzoeken zijn waar dat aan ligt. Eindelijk een status.

Ze zijn dus wel 9 dagen bezig om m'n standaard Internet verbinding (glas 500, 8 IP adressen, IPv6 delegatie, oftewel dual stack) werkend te krijgen en ik hink nu enkel nog op het legacy protocol... >:)

De vraag wat ik moest doen om een update te doen in de RIPE database voor m'n subnet was nog even te veel gevraagd. Google maps denkt dat ik in Nijkerk zit, zoals het nog in de db staat van het bedrijf dat deze adressen voor me had. (vanaf 2015, misschien waren er wel andere bedrijven daarna maar is het nooit ge-update)

[ Voor 183% gewijzigd door mediumdry op 06-10-2021 21:01 ]


Acties:
  • 0 Henk 'm!

  • mediumdry
  • Registratie: Januari 2011
  • Laatst online: 11-05 13:19
Korte update... ik zit inmiddels in dag 24 van mijn oplevering... Ik kreeg een mail door dat er een monteur langs gaat komen, maar verderop stond dit:
Installatie op afstand
Op afstand voeren wij een aantal installatiewerkzaamheden uit. Onderstaand de datum en locatie die met u is afgesproken:

Datum & tijdstip: Op 21 oktober 2021 vanaf: uur.
Oftewel, er gaat dus morgen *iets* gebeuren, op afstand. Ik hoop dat dat de uiteindelijke IPv6 oplevering is. Ik ben dus wel al drie weken lang van de ene naar de andere support persoon gestuurd. Daarbij helpt niet dat KPN Een wel zakelijk is, maar niet tot dezelfde structuur als KPN Zakelijk hoort, waardoor er dus geen direct nummer is voor de support. Ook snapt niemand iets van IPv6 (dus U wilt geen IPv4? Ik heb nu een aanvraag staan voor een IPv6 adres, etc...) en is de communicatie vrijwel nul. Ik heb om de dag opgebeld, maar meestal verbreekt de verbinding na de zoveelste doorverbinding of wordt er beloofd dat ik wordt teruggebeld, want de persoon die iets kan zeggen is er toevallig niet. (en ik ben slechts 1x teruggebeld, aar niet door de persoon die me iets kon vertellen. Ik hoop dat alles binnenkort naar behoren loopt. inmiddels wel al een factuur gekregen, maar nog geen correct opgeleverde verbinding....

Voorlopig geen goede indruk van KPN Een zakelijk.

Acties:
  • 0 Henk 'm!

  • terror538
  • Registratie: Juni 2002
  • Laatst online: 11-05 21:22
Ik had ook een /29 van XS4All, maar ben naar extraip.com gegaan omdat ik dan niet meer vast zit qua ISP, ik zou nu ook kunnen overstappen naar Freedom of een prijsvechter mocht ik dat willen.

Je kan met een /29 trouwens ook prima gewoon 8 /32 adressen configureren op je router, en dat middels nat en DMZ doorverdelen.

Toen ik nog een opensense bak had draaien had ik mijn /29 normaal geconfigureerd met een gateway en subnet er achter, maar gebruikte ik het network adres (laagste adres in de reeks, feitelijk is er geen enkele functie meer voor) op de router als een extra /32 voor mijn Tor exit node.

too weird to live too rare to die


Acties:
  • 0 Henk 'm!

  • ZeroMinded
  • Registratie: Augustus 2008
  • Niet online
@mediumdry Ik heb PRECIES dezelfde ervaring. wat een drama dat KPN.


IPv6 Ik heb na veel bellen en doorschakelen uiteindelijk wel een ipv6 subnet gekregen (/56).
je moet alleen even vragen of ze het subnet na activeren telefonisch of per mail willen doorsturen want ze hebben hier echt 0 ervaring mee.

Ik heb nu voor elk VLAN een eigen /64 subnet uit de /56 gehaald, dat werkt voor mijn omgeving prima.

Hun standaard modem heeft icm KPN EEN geen ondersteuning voor IPv6 maar als je eigen hardware gebruikt is dit geen probleem.

IPv4: ik heb helemaal niks aan de configuratie die ze toepassen. ik had een routed subnet verwacht.

Ik heb 4 maanden geleden een klacht ingediend en vandaag eindelijk respons.
Mijn voorstel is het contract kosteloos opzeggen. ze kwamen terug met de optie KPN Kleinzakelijk. daarmee vervalt de optie voor de (toch niet bruikbare) IPv4 extra ip adressen. maar schijnt IPv6 wel mogelijk te zijn.

Aangezien ik alles toch al naar v6 heb gemigreerd ivm deze shitshow. heb ik de behoefte voor een /29 laten varen.

Ik ga nu de BondedVDSL klein zakelijk route proberen, ik kan alleen nergens bevestiging krijgen of dat IPv6 met een zakelijke verbinding uberhaupt werkt.

[ Voor 4% gewijzigd door ZeroMinded op 17-11-2021 13:50 ]


Acties:
  • 0 Henk 'm!

  • mediumdry
  • Registratie: Januari 2011
  • Laatst online: 11-05 13:19
bij mij werkt het nog steeds niet. :(

Wetend wat ik nu weet was ik naar extra-ip gegaan, met wat voor ipv4/ipv6 dan ook. (waarschijnlijk blijvend bij XS4ALL of naar Freedom).

Niemand weet ergens van met IPv6 en niemand voelt zich geroepen om informatie te geven, hoe vaak ik ze ook bel. Ik ben *erg* teleurgesteld in KPN.

Acties:
  • 0 Henk 'm!

  • Londje
  • Registratie: Oktober 2001
  • Laatst online: 20-01 20:39

Londje

....tssssssss....

Echt heel wonderlijk als ik dat allemaal lees.

Je zou juist denken dat ipv6 en ipv4 routed subnetje 2 vingers in de neus voor KPN zakelijk moet zijn. Maar niks is blijkbaar minder waar. Alle KPN zakelijk klanten nemen het vermoedelijk puur als simpele internet verbinding die dan zogenaamd meer secure zou moeten zijn :-).

Kan je niet de hele boel gewoon laten terugdraaien en je oude abbo weer terugvragen bij "XS4all"?. Je hebt toch altijd bedenktijd en dergelijk... stel ze in gebreke... zoiets?

Asus P3B-F | PentiumIII 800@992 | 2 *256mb PC133 ECC | Voodoo3 3000 AGP | Creative AWE64 | Maxtor 40GB 7200 | WD 20 GB 7200| Plextor 40x SCSI | Plextor 12x4x32 SCSI | Iiyama Vision Master Pro 510 | IntelliMouse Explorer | WinXP |


Acties:
  • 0 Henk 'm!

  • ZeroMinded
  • Registratie: Augustus 2008
  • Niet online
Londje schreef op woensdag 17 november 2021 @ 19:38:
Echt heel wonderlijk als ik dat allemaal lees.

Je zou juist denken dat ipv6 en ipv4 routed subnetje 2 vingers in de neus voor KPN zakelijk moet zijn. Maar niks is blijkbaar minder waar. Alle KPN zakelijk klanten nemen het vermoedelijk puur als simpele internet verbinding die dan zogenaamd meer secure zou moeten zijn :-).
De normale zakelijke verbindingen zijn gewoon dezelfde verbindingen als de consumenten verbindingen maar dan met wat andere contractvoorwaarde en evt SLA's (als het kapot is dan krijg je geld terug indien niet tijdig gefixt).

Ik ben wel geschrokken van het feit dat er binnen KPN zoveel verschillende afdelingen zijn die allemaal geen end2end oplossing kunnen leveren. niemand heeft dan ook enig idee wat er in het volgende of vorige loket af speelt en dat maakt communicatie of afspraken maken met dit bedrijf enorm frustrerend.
Kan je niet de hele boel gewoon laten terugdraaien en je oude abbo weer terugvragen bij "XS4all"?. Je hebt toch altijd bedenktijd en dergelijk... stel ze in gebreke... zoiets?
Je geniet als bedrijf/zzp-er niet de luxe van consument recht, en een juridische strijd aangaan is duur.

Ik ben vandaag eindelijk geholpen door een capabele medewerker, ik mocht gratis overstappen op KPN Klein zakelijk (goedkoper en maandelijks opzegbaar).

Mijn wens was:
- BondedVDSL 200/60
- ipv6 liefst /48 of maximaal een /56
- ipv4 /29 routed subnet (mag groter)
- contract <100 euro

Met KPN EEN
kreeg ik na veel gedoe dus:
- VDSL 100/30
- ipv6 /56
- ipv4 met een aantal adressen (zie hack van @mediumdry )
- backup-4gdongle (waardeloos want werk alleen met experiabox 12 die weer geen ipv6 ondersteund)

Nu ben ik gesetteld voor:
KPN Zakelijk
- Bonded-VDSL 200/60
- IPV6 /48
- geen vast ipv4 adres (ik heb alles al over op v6 met cloudflare ervoor dus gewoon bereikbaar op v4 :) )

Acties:
  • 0 Henk 'm!

  • Londje
  • Registratie: Oktober 2001
  • Laatst online: 20-01 20:39

Londje

....tssssssss....

Fijn om te lezen dat het nu wel min of meer is goedgekomen. Echt ongelooflijk weer dat je bij Kleinzakelijk niet een vast IP kan afnemen (ik heb net even zitten kijken naar dat Kleinzakelijk)... maar dat dat alleen weer bij EEN kan. Echt waarom / HOE dan?

Ik ben benieuwd hoelang het vaste ipv4 bij xs4all nog blijft bestaan.

Asus P3B-F | PentiumIII 800@992 | 2 *256mb PC133 ECC | Voodoo3 3000 AGP | Creative AWE64 | Maxtor 40GB 7200 | WD 20 GB 7200| Plextor 40x SCSI | Plextor 12x4x32 SCSI | Iiyama Vision Master Pro 510 | IntelliMouse Explorer | WinXP |


Acties:
  • 0 Henk 'm!

  • ZeroMinded
  • Registratie: Augustus 2008
  • Niet online
Londje schreef op woensdag 17 november 2021 @ 20:22:

Ik ben benieuwd hoelang het vaste ipv4 bij xs4all nog blijft bestaan.
Als mobiele netwerken en de consumentenverbindingen straks gewoon standaard allemaal dual stack zijn dan maakt mij ipv4 niet meer uit. al doen ze CGNAT ze zoeken t maar uit met die zooi tegen die tijd 8)

Acties:
  • +2 Henk 'm!

  • mediumdry
  • Registratie: Januari 2011
  • Laatst online: 11-05 13:19
Start op 27 September, het werkt eindelijk op 16 December. Bijna 3 maanden... en dan nog zijn er wat niggles. DHCPv6-PD werkt niet (en de mensen van KPN weten niet of dat aanstaat of niet). De PPPoE sessie geeft de prefix in ieder geval door en handmatig de prefixes configureren is omslachtig, maar geen dealbreaker.

Het andere niggle issue is dat ik een /56 heb gekregen ipv een /48. Dat betekent dat ik m'n interne vlans niet meer 1 op 1 in in het subnet zetten, wat het lastig maakt om uit m'n hoofd hosts te adresseren. Daar zal ik mee moeten leven en het is niet alsof ik waanzinnig veel vlans heb. :)

Als laatste opmerking, IPv6 wordt door RoutIt verzorgd en IPv4 door KPN. Routing gaat ook via een ander AS voor IPv4 als IPv6. Dat is geen enkel probleem, maar wordt door verschillende tests als "raar" gezien. Ik ben me er van bewust en anderen die dit probleem later misschien ook krijgen ook, als ze dit tenminste lezen 8)

Anyway, ik ben blij dat er uiteindelijk iemand van de KPN Een support was die terugbelde en door bleef vragen tot er iemand wat wist over IPv6. Voor anderen die hetzelfde probleem tegen komen, blijf doorvragen en support bellen. Er zullen meer mensen in de KPN organisatie komen die er van weten, want ik heb de indruk dat ik de eerste klant ben die bij KPN Een zowel een IPv4 subnet als IPv6 heeft. (er werd door verschillende mensen gezegd dat de combi niet kon, er werd verschillende keren zelfs aangenomen dat ik alleen IPv6 wilde en IPv4 niet meer.)

Wat mij betreft, ik ga nu even mijn IPv6 vreugdedansje doen. Later!

Acties:
  • 0 Henk 'm!

  • Strebor
  • Registratie: April 2001
  • Laatst online: 13-03 06:33
@mediumdry Ik heb deze week een KPN EEN 1000/1000 glasvezel verbinding opgeleverd gekregen met /29 IPv4 blok en /56 IPv4.

Ik wil de verbinding binnenkort op mijn UDM-SE configureren. Tot nu toe heb ik dat op een reserve UDM-Pro kunnen testen, maar ik krijg IPv6 niet werkende en uitgaand IPv4 verkeer komt altijd vanaf het PPPoE IP adres, ook als ik instel dat een netwerk achter de router uitgaand verkeer vanaf een van de extra WAN IPs moet laten lopen.

Kun je misschien wat pointers geven hoe je het /56 IPv6 blok werkende hebt gekregen op de Edge router? Ik krijg de verbinding niet actief op de UDM, Ingesteld als static met aaaa.bbbb.cccc.dd00::2 op de WAN en aaaa.bbbb.cccc.dd00::1 als gateway. Maar dat krijg ik niet werkende. Wellicht ligt dat aan het feit dat op de UDM-Pro met firmware 1.11.0 de IPv6 route op dev PPPoE moet worden geactiveerd (een bug die up de UDM-SE firmware 2.3.11GA verholpen moet zijn). Maar het feit dat KPN-EEN / RoutIt totaal geen configuratie gegevens verschaffen (algemene gegevens, wat in te stellen, niet router specifiek) maakt het er allemaal niet duidelijker op.

Thuis heb ik een kleinzakelijke KPN glasvezel verbinding. Die geeft het IPv6 blok (een /48 trouwens, dus uitgebreider dan KPN-EEN) gewoon met DHCPv6 en dat werkt prima op een UDM (al moe ik wel met een scriptje de IPv6 PPPoE route instellen). Jammer dat de KPN-EEN verbinding dit anders moet doen (en niet met een blokje vaste IPv4s is te krijgen). Dit is vast de reden dat IPv6 op de KPN Box niet werkende te krijgen is met KPN-EEN...

Wat betreft de extra WAN IPv4 adresen, die krijg ik naar binnen toe wel werkende. Ik heb per te bereiken extra WAN IP intern een vlan/netwerk ingesteld, met op elke WAN de nodige portforwards naar de enige server in het betreffende vlan/netwerk. Naar binnen toe werkt dat prima. Maar, elk VLAN/netwerk is ook ingesteld om uitgaand verkeer vanaf het betreffende WAN IP te laten lopen (dus naar binnen en naar buiten op zelfde WAN IP). Vreemd genoeg werkt dat niet en ziet de buitenwereld het verkeer van elk vlan/netwerk vanaf het hoofd IP van de PPPoE verbnding komen (het 2e IP, na he netwerk adres in het /29 blok).

Op mijn UDM-SE (die nu nog aan een Ziggozakelijk verbinding hangt, ook met /29 IPv4 en een /48 Ipv6 blok, beiden statisch op de router in te voeren, dus geen PPPoE of DHCP) werkt bovenstaande setup (maar dan op Ziggo) allemaal prima.

Ik heb vandaag KPN EEN gebeld. Om te janken hoe slecht de eerste lijns helpdesk is. De medewerker las mijn IPv6 blok op en zei dat er duidelijk een fout in het IP adres zat. Even later bleek dat deze medewerker gwoon niet wist wat IPv6 was. Morgen word ik gebeld door een 2e lijns medewerker. We zullen zien... Maar gezien de vele vragen over dit onderwerp en het kleine aantal antwoorden dat ik vind, ben ik bang dat het niet gaat werken.

Als het niet werkende is te krijgen, zullen we de bestelling op moeten heffen en gaan we verder kijken naar providers die wel een /29 IPv4 en /48 IPv6 kunnen leveren, die met niet al te veel moeite in is te stellen op de UDM, UDM-Pro of UDM-SE.

Tot die tijd wordt alle hulp en pointers enorm op prijs gesteld!

Acties:
  • +1 Henk 'm!

  • mediumdry
  • Registratie: Januari 2011
  • Laatst online: 11-05 13:19
@Strebor leuk om te horen dat je een vergelijkbare config hebt van KPN Een, jammer om te horen dat je een vergelijkbare support ervaring hebt.

Wat mijn config betreft...

Mijn subnet (10.10.10 is de vervanging van de echte adressen, het laatste getal klopt met de echte config bij mij)
10.10.10.17/29 (=10.10.10.16-10.10.20.23)
ik steel wat adressen, want in config voor DMZ zet ik:
address 10.10.10.25/28 (=10.10.10.16-10.10.10.31)
10.10.10.24 tot 10.10.10.31 kan ik alleen intern in mijn netwerk bereiken en de echte adressen (die bij een andere klant van KPN Een zitten) kan ik niet bereiken. Dat vind ik niet erg, want nu heb ik op de DMZ de volgende bruikbare adressen in een subnet: 10.10.10.18-10.10.10.23
10.10.10.17 is m'n externe adres op de PPPoE. Daar heb ik verder geen services op, dus geen routing issues voor DMZ apparaten die dat adres proberen te bereiken. Ik zou desnoods nog een /32 route kunnen definieren als ik het nodig vind.

Mijn IPv6 subnet is 2022:2022:2022:2200::/56, waarbij het 2022:2022:2022:22 gedeelte in plaats is van mijn echte eerste 56 bits.
Mijn edgerouter4 heeft mijn LAN op eth0 met RFC1918 adressen intern. NAT is gedefinieerd naar buiten toe (over de PPPoE), niet naar DMZ. Op eth1 zit de glasvezel verbinding, met PPPoE in vlan 6. Na het er uit slopen van de DHCPv6-PD gedeelte is dat nu vrij simpel. Ik wijs in een default IPv6-route simpelweg naar de PPPoE interface. Aangezien de normale route advertisement wel op die verbinding werkt (ik denk dat Route-It dacht dat ze dan klaar waren, in tegenstelling tot de zeer kundige KPN zakelijk architecten met wie ik regelmatig voor werk contact had en die mijn frustratie over deze verbinding konden begrijpen, maar niet konden helpen helaas) Eth2 is verbonden met m'n DMZ.

Zoals je ziet definieer ik op eth0 en eth2 gewoon een /64 subnet voor v6, naast de route advertisement. (met DNS server in de DMZ, voor IPv4 wordt die door de DHCP server meegegeven) Je kan voor je DMZ als je wilt ook de echte /29 invullen, maar dan houd je 2 adressen minder over (adres voor de interne routing en het broadcast adres) en dat waren er net 2 te weinig voor mijn config, vandaar de "hack".

Alle poorten zijn te openen in de firewall config, maar die is iets te groot om hier zo maar neer te zetten, ik gebruik zones en met LAN, DMZ, WAN en LAB (die heb ik hier voor de versimpeling nog niet eens genoemd) in zowel IPv4 als IPv6 is alleen het noemen van de verschillende zone firewall configuraties al best wat werk.


hier het relevante deel van de config, hoop dat het je ver genoeg op pad helpt!

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
interfaces {
    ethernet eth0 {
        address 172.16.16.1/24
        address 2022:2022:2022:2201::1/64
        description LAN
        duplex auto
        ipv6 {
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                link-mtu 0
                managed-flag false
                max-interval 600
                name-server 2022:2022:2022:2203::53
                other-config-flag false
                prefix ::/64 {
                    autonomous-flag true
                    on-link-flag true
                    valid-lifetime 2592000
                }
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
        speed auto
    }
    ethernet eth1 {
        description zzz-eth1
        duplex auto
        mtu 1512
        speed auto
        vif 6 {
            description WAN
            mtu 1508
            pppoe 0 {
                default-route auto
                description Internet
                idle-timeout 180
                ipv6 {
                    address {
                        autoconf
                    }
                    dup-addr-detect-transmits 1
                    enable {
                    }
                }
                mtu 1500
                name-server auto
                password ****************
                user-id kpn0somethingsomething0
            }
        }
    }
    ethernet eth2 {
        description DMZ
        duplex auto
        mtu 1500
        speed auto
        address 10.10.10.25/28
        address 2022:2022:2022:2203::1/64
            ipv6 {
                dup-addr-detect-transmits 1
                router-advert {
                    cur-hop-limit 64
                    link-mtu 0
                    managed-flag false
                    max-interval 600
                    name-server 2022:2022:2022:2203::53
                    other-config-flag false
                    prefix ::/64 {
                        autonomous-flag true
                        on-link-flag true
                        valid-lifetime 2592000
                    }
                    reachable-time 0
                    retrans-timer 0
                    send-advert true
                }
            }
        }
}
protocols {
    static {
        interface-route6 ::/0 {
            next-hop-interface pppoe0 {
            }
        }
 }

Acties:
  • 0 Henk 'm!

  • Strebor
  • Registratie: April 2001
  • Laatst online: 13-03 06:33
@mediumdry Ontzettend bedankt voor je config pointers! Een prima handvat om vervolgens te gaan kijken of het stoeien met de UDM reeks en KPN EEN gaat werken. Fijn dat ook de KPN engineers aangeven dat de RoutIT IPv6 opzet kaal is.

Met de standaard web based interfaces van Unifi gaat IPv6 in ieder geval nooit werken. Statisch een IPv6 inkloppen vraagt een WAN IP, een netmask en Gateway IP. Ik kan geen gateway device zoals pppoe0 opgeven ipv een gateway IP.

Wellicht dat ik dat met een script op de UDM-SE zelf kan doen (de UDM-SE is inmiddels eigenlijk een Debian doos). Als iemand een idee heeft hoe, dan hoor ik dat natuurlijk graag! Wordt vervolgd!

[ Voor 14% gewijzigd door Strebor op 26-01-2022 08:10 ]


Acties:
  • +1 Henk 'm!

  • ZeroMinded
  • Registratie: Augustus 2008
  • Niet online
Strebor schreef op woensdag 26 januari 2022 @ 08:08:

Met de standaard web based interfaces van Unifi gaat IPv6 in ieder geval nooit werken. Statisch een IPv6 inkloppen vraagt een WAN IP, een netmask en Gateway IP. Ik kan geen gateway device zoals pppoe0 opgeven ipv een gateway IP.
Ik heb zelf de ipv6 implementatie van KPN EEN wel werkend gehad op de UDM Pro.
een paar maanden geleden overgestapt op klein zakelijk omdat ik de /29 onbruikbaar vind (ik ga toch niet NATten, ik verwacht gewoon een routed subnet! net zoals destijds bij XS4ALL)

Als ik mij niet vergis had ik alles op de volgende manier geconfigureerd.

WAN: DHCPv6 /56

LAN1: Static: xxxx:xxxx:xxxx:xx01::1/64
LAN2: Static: xxxx:xxxx:xxxx:xx02::1/64
Enz..
en dan DHCP en RA ingeschakeld

Ik herinner mij dat
1. Prefix Delegation niet werkte, en dus per netwerk statische een /64 subnet moest definiëren.
2. Het subnet van een KPN medewerker moest ontvangen, overigens gaven ze me meerdere keren het verkeerde netwerk door.

Edit1:
Sinds ik op Klein zakelijk zit is de bovenstaande situatie dus anders, alleen merk ik dat ik deze command moet runnen om ipv6 werkend te krijgen:

ip -6 route add default dev ppp0 metric 1

Iemand is zo lief geweest de fix te automagiseren: https://github.com/bruvv/...m-pro/blob/main/README.md

Maar t zou dus ook kunnen dat dit een firmware issue is en dat het ook voor KPN EEN + UDM nodig is?

[ Voor 16% gewijzigd door ZeroMinded op 26-01-2022 11:49 . Reden: zie edit1: stukje over route tabel updaten. ]


Acties:
  • 0 Henk 'm!

  • Strebor
  • Registratie: April 2001
  • Laatst online: 13-03 06:33
@ZeroMinded
Bedankt voor je waardevolle aanvullingen. Ik ga er zaterdag weer mee aan de slag en laat weten of ik er verder mee kom.

Wat routed /29 subnet betreft:
Vandaag werd ik gebeld door een aardige meneer van KPN EEN, die het allemaal op probeert te lossen met de technische mensen (die niet te bereiken zijn). Hij vroeg me waarom ik geen routed IPv4 subnet had genomen. "Omdat jullie sales niet weet wat dat is en dat het bestaat" was mijn antwoord. EN je kunt dit allemaal niet zelf selecteren bij de bestelling.

Maar met een routed subnet moet je de KPN box gebruiken aldus deze meneer (dat wil ik niet, om diverse redenen) en daarachter je eigen router. Bovendien werkt deze opstelling volgens mij niet, omdat de KPN box de RoutIT IPv6 verbinding niet aan (dat zegt KPN zelf, vermoedelijk omdat de RoutIT IPv6 implementatie anders en minder gebruikersvriendelijk is als die van KPN kleinzakelijk).

Acties:
  • 0 Henk 'm!

  • Strebor
  • Registratie: April 2001
  • Laatst online: 13-03 06:33
@mediumdry en @ZeroMinded

Ik ben een stuk verder. Nogmaals dank voor alle input!

Ten eerste: IPv6 /56 heb ik werkende gekregen.

Stom genoeg, na vele tests en bijna de hoop op te hebben gegeven, ontdekte ik dat het een kwestie vanIPv6 DHCP met /64 (ipv 56) op de WAN instellen was, en dan het belangrijkste: Een volledige reboot van de UDM-SE (de huidige GA 2.3.11 firmware heeft geen last van de ontbrekende route die de UDM(P) heeft met GA firmware 1.11.0). Op de UDM-SE en de achterliggende LAN netwerken werkt IPv6 dan ook. (LAN statisch ingesteld op een onderliggende /64 met RA op High). Heel fijn!

Maar:
IPv4 /29 blijft een dingetje. Ik weet niet of dit ligt aan de de UDM-SE's PPPoE implementatie, of dat het ligt aan de KPN EEN IPv4 /29 implementatie (en of ik ze dan maandag moet bellen om te vragen dit subnet om te zetten naar een routed subnet)(en of dit zal werken op de UDM-SE met hieronder aangegeven gewenste config).

TL;DR vraag:
Wordt verkeer vanaf een van jullie extra Wan IPs gezien als afkomstig van dat WAN IP?
Of lijkt voor de buitenwerkeld alle verkeer afkomstig vanaf het hoofd IP dat aan de PPPoE verbinding is gekoppeld?

Waarom ik dit vraag:
Al mijn verkeer, vanaf de extra WAN IPs lijkt te komen vanaf het IP dat door KPN met PPPoE wordt gegeven aan de UDM-SE. (2e IP uit het blokje van 8 IPs). Dat is niet wenselijk.

Toelichting/uitleg:

Ik heb een (niet routed) public IPv4 subnet:
11.12.13.88/29 (11.12.13.88 t/m 11.12.13.95) (geanonimiseerd)
PPPoE zet 11.12.13.89/29 op de WAN. Daar heb ik geen invloed op.
Dit adres noem ik WAN. Deze wordt gebruikt door het standaard netwerk 192.168.89.1/24

De andere IPs (.90 t/m .94) heb ik als /32 toegevoegd op de WAN (/29 ook geprobeerd, dit hielp niet)
(Netwerk en Broadcast adres laat ik even buiten beschouwing)

Deze 'extra' WAN IPs geef ik ieder hun eigen netwerk op de LAN kant (een mooie oplossing om hairpin NAT voor LAN verkeer naar deze IPs overbodig te maken) en zet de nodige poorten door met een portforward:

WAN-IP0
11.12.13.90 > LAN-IP0 192.168.90.1/24 (portforward naar machine 192.168.90.2/24 met gw 192.168.90.1)

WAN-IP1
11.12.13.91 > LAN-IP1 192.168.91.1/24 (portforward naar machine 192.168.91.2/24 met gw 192.168.91.1)

WAN-IP2
11.12.13.92 > LAN-IP2 192.168.92.1/24 (portforward naar machine 192.168.92.2/24 met gw 192.168.92.1)

WAN-IP3
11.12.13.93 > LAN-IP3 192.168.93.1/24 (portforward naar machine 192.168.93.2/24 met gw 192.168.93.1)


De portforwards naar binnen werken prima. Maar al het verkeer naar buiten wordt door het internet gezien als afkomstig van WAN-IP0. Op elke machine geeft een IP check:

code:
1
2
curl https://ipecho.net/plain
11.12.13.89


Op mijn Ziggo Zakelijk MKB verbinding met /29 ging dit wel goed op de UDM-SE. Naar binnen en naar buiten. Ziggo werkt met en routed subnet. Het netwerk (1e adres) en de broadcast (8e adres) kun je niet gebruiken. Het 2e adres is de gateway (draait ergens bij Ziggo, voor je modem). Het 3e, 4e, 5e, 6e en 7e adres kun je zelf gebruiken, bijvoorbeeld allemaal op de WAN van je UDM-SE, of als je een switch tussen het Ziggo modem (draait als soort van bridge) kun je elk apparaat op de switch een van de 5 bruikbare IPs geven.

Maakt PPPoE bovenstaande opstelling onmogelijk, of had KPN EEN dit beter kunnen doen. De medewerker die zijn best doet me te helpen had het over een routed /29 subnet, maar gaf aan dat daarbij de KPN V12 box weer moet worden gebruikt. Dat wil ik niet (meer apparaten = meer storingen) en volgens mij werkt dan IPv6 weer niet.

Wat me opvalt is dat de UDM-SE de KPN PPPoE IPv4 WAN adressen aan dev l0 (de loopback) heeft gehangen. De statisch ingestelde Ziggo IPv4 adressen hingen aan dev eth8:

KPN:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 7a:45:58:c0:4a:cb brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet 92.67.101.90/32 scope global lo
       valid_lft forever preferred_lft forever
    inet 92.67.101.91/32 scope global lo
       valid_lft forever preferred_lft forever
    inet 92.67.101.92/32 scope global lo
       valid_lft forever preferred_lft forever
    inet 92.67.101.93/32 scope global lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever


Ziggo:
code:
1
2
3
4
5
6
7
 eth8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc htb state UP group default qlen 1000
    link/ether 78:45:58:c0:4a:d3 brd ff:ff:ff:ff:ff:ff
    inet 22.33.44.234/29 scope global eth8
    inet 22.33.44.235/32 scope global eth8
    inet 22.33.44.236/32 scope global eth8
    inet 22.33.44..237/32 scope global eth8
    inet 22.33.44.238/32 scope global eth8


Ik hoor heel graag hoe dit bij jullie werkt. Nogmaals enorm veel dank.

Acties:
  • 0 Henk 'm!

  • ZeroMinded
  • Registratie: Augustus 2008
  • Niet online
@Strebor Wat ik voorheen met XS4all deed (en eigenlijk verwacht van elke provider) is een echt routed subnet.

Stel ik krijg routed subnet (dus naast mn enkele PPPoE geleasete adres):
82.168.122.232/29

Dan configureer ik een netwerk (zoals je ook een LAN configureert).
met de 82.168.122.233 als adres voor de UDM en kun je de overige adressen uitdelen aan hosts in dat VLAN.

Dan hoef je geen port forwards te maken en kun je gewoon de firewall gebruiken om verkeer naar dit vlan toe te staan of te blokkeren.

Het enige nadeel is dat ubiquiti standaard ook outbound NAT (masquarate?) toepast op dit VLAN. dit kun je alleen uitzetten via de commandline, en moet bij elke reboot/configchange opnieuw worden toegepast.

Verder werkt het gewoon zoals t hoort.

ik ga nog even door mn scripts zoeken of ik een voorbeeld config kan vinden :)
Pagina: 1