routed subnet

[richard lucassen]

Ik hoorde dat xs4all ook een /29 op lijnen zou leveren, hetgeen ook zo
blijkt te zijn (9,50 per maand voor wie het weten wil). Heeft iemand er
al ervaring mee? Navraag bij de helpdesk bracht me niet veel verder
namelijk. Wat ik wil weten is het volgende:

1) Kan dat routed subnet ***ongefirewalled*** en ***ongeNAT*** gewoon
worden gerouteerd naar de 4 UTP aansluitingen op de Fritz-Box?

2) Volgens de helpdesk heeft de FB nog, naast het te routeren /29
netwerk, een eigen extern ip, IOW: er zijn in totaal 9 ip-adressen in
het spel. Klopt dat?

3) Volgens de helpdesk is de firmware van de FB nog niet geschikt voor
routed subnet. Al enig zicht op een fw upgrade?

Uiteindelijk zou ik graag naar de volgende situatie willen:

1) VoIP via xs4all
2) een ongefirewalled en ongeNAT /29 naar binnen toe, waarbij de
FB (of whatever) de router van dat netwerk is.

R.

--
richard lucassen
http://contact.xaq.nl/

[NiElS]

1. Nee. Je moet nog steeds "port forwards" aanmaken en protocollen die
de Fritz niet kent krijg je er dus niet doorheen. (Je kunt 1 IP als
"Exposed" opgeven, maar de rest dus niet.)

2. Ja. Je "gewone" XS4ALL adres blijft behouden.

3. Geen idee.

NiElS

[Miquel van Smoorenburg]

In article <554a1944$0$2949$e4fe...@news2.news.xs4all.nl>,

Dat is een bug, die opgelost zal worden in een komende firmware
update. Je kan dan wel meerdere IPs als exposed opgeven.

>2. Ja. Je "gewone" XS4ALL adres blijft behouden.

Klopt, en de interne NAT ook (192.168.178.1). Clients die
DHCP gebruiken krijgen een IP uit 192.168.178.0/24, en gaan
via je bestaande IPv4 adres naar buiten. Clients met een
IP uit je subnet moeten static ingesteld worden.

>3. Geen idee.

Er zitten nog bugs in 3.20, na een reboot zijn je port-forward
instellingen (firewall instellingen, dus) verdwenen. Verder
werkt het wel. Ook die bug zal opgelost worden in een komende
firmware. Wanneer weet ik niet.

Mike.

[richard lucassen]

On 06 May 2015 14:11:18 GMT

"Miquel van Smoorenburg" <mik...@xs4all.nederland.invalid> wrote:

> >1. Nee. Je moet nog steeds "port forwards" aanmaken en protocollen
> >die de Fritz niet kent krijg je er dus niet doorheen. (Je kunt 1 IP
> >als "Exposed" opgeven, maar de rest dus niet.)
>
> Dat is een bug, die opgelost zal worden in een komende firmware
> update. Je kan dan wel meerdere IPs als exposed opgeven.

Maar het blijft dus een NAT oplossing?

> >2. Ja. Je "gewone" XS4ALL adres blijft behouden.
>
> Klopt, en de interne NAT ook (192.168.178.1). Clients die
> DHCP gebruiken krijgen een IP uit 192.168.178.0/24, en gaan
> via je bestaande IPv4 adres naar buiten. Clients met een
> IP uit je subnet moeten static ingesteld worden.

Uit het subnet 192.168.178.0/24 of uit de externe a.b.c.d/29?

> >3. Geen idee.
>
> Er zitten nog bugs in 3.20, na een reboot zijn je port-forward
> instellingen (firewall instellingen, dus) verdwenen. Verder
> werkt het wel. Ook die bug zal opgelost worden in een komende
> firmware. Wanneer weet ik niet.

En een andere router dan de Fritz? Een Vigor-C130 bijv? (ook al kun je
daarmee niet bellen) Is het uberhaupt mogelijk om de externe a.b.c.d/29
ongeNAT en ongefirewalled naar binnen door te zetten?

Ik zeur een beetje door want anders blijf ik maar gewoon bij m'n zADSL
van KPN. Dan moet ik maar wachten tot het wellicht wel kan :-(

[Miquel van Smoorenburg]

In article <20150506170116.4a4c...@lucassen.org>,

richard lucassen <mailin...@lucassen.org> wrote:
>On 06 May 2015 14:11:18 GMT
>"Miquel van Smoorenburg" <mik...@xs4all.nederland.invalid> wrote:
>
>> >1. Nee. Je moet nog steeds "port forwards" aanmaken en protocollen
>> >die de Fritz niet kent krijg je er dus niet doorheen. (Je kunt 1 IP
>> >als "Exposed" opgeven, maar de rest dus niet.)
>>
>> Dat is een bug, die opgelost zal worden in een komende firmware
>> update. Je kan dan wel meerdere IPs als exposed opgeven.
>
>Maar het blijft dus een NAT oplossing?

Nee, het is geen NAT. Alleen de terminologie hebben ze ongewijzigd
gelaten. Dus "port forwarding" is eigenlijk "firewall port open"
en "exposed host" is "firewall geheel open".

>> >2. Ja. Je "gewone" XS4ALL adres blijft behouden.
>>
>> Klopt, en de interne NAT ook (192.168.178.1). Clients die
>> DHCP gebruiken krijgen een IP uit 192.168.178.0/24, en gaan
>> via je bestaande IPv4 adres naar buiten. Clients met een
>> IP uit je subnet moeten static ingesteld worden.
>
>Uit het subnet 192.168.178.0/24 of uit de externe a.b.c.d/29?

Als je wilt dat een host een IP gebruikt uit de externe a.b.c.d/29
dan zal je dat zo moeten instellen, ja.

>> >3. Geen idee.
>>
>> Er zitten nog bugs in 3.20, na een reboot zijn je port-forward
>> instellingen (firewall instellingen, dus) verdwenen. Verder
>> werkt het wel. Ook die bug zal opgelost worden in een komende
>> firmware. Wanneer weet ik niet.
>
>En een andere router dan de Fritz? Een Vigor-C130 bijv? (ook al kun je
>daarmee niet bellen) Is het uberhaupt mogelijk om de externe a.b.c.d/29
>ongeNAT en ongefirewalled naar binnen door te zetten?

Natuurlijk. Dat doet de Fritzbox ook (modulo bugs), en een
Vigor, of een Cisco, of whatever kan dat vast nog beter.

Met ADSL en glas kan je prima een ander modem gebruiken.

Maar als je VDSL hebt, dan is het nadeel van een niet door je
provider ondersteund modem dat je vaak niet meekan in verbeteringen
zoals vectoring, en als je pech hebt dan verlies je zelfs
snelheid (is gebeurd bij modems die niet vectoring-capable waren;
toen vectoring aangezet werd zijn die naar ADSL snelheid teruggevallen).

Mike.

[Maurice Janssen]

richard lucassen <mailin...@lucassen.org> wrote:
>En een andere router dan de Fritz? Een Vigor-C130 bijv? (ook al kun je
>daarmee niet bellen) Is het uberhaupt mogelijk om de externe a.b.c.d/29
>ongeNAT en ongefirewalled naar binnen door te zetten?

Ik gebruik een OpenBSD-doosje als router en daarmee werkt het uitstekend
(op een glasvezel-aansluiting). Via PPPoE krijg ik nog steeds mijn
oude IP-adres en op een aparte interface zit de /29. Het eerste
beschikbare adres zit op de router (x.x.x.33 in mijn geval), de overige
vijf zijn beschikbaar. Zonder NAT en zonder filtering, tenzij ik dat
in de router instel uiteraard.

Werkt als een tierelier.

--
Maurice

[NiElS]

On 06/05/15 18:22, Miquel van Smoorenburg wrote:
> In article <20150506170116.4a4c...@lucassen.org>,
> richard lucassen <mailin...@lucassen.org> wrote:
>> On 06 May 2015 14:11:18 GMT
>> "Miquel van Smoorenburg" <mik...@xs4all.nederland.invalid> wrote:
>>
>>>> 1. Nee. Je moet nog steeds "port forwards" aanmaken en protocollen
>>>> die de Fritz niet kent krijg je er dus niet doorheen. (Je kunt 1 IP
>>>> als "Exposed" opgeven, maar de rest dus niet.)
>>>
>>> Dat is een bug, die opgelost zal worden in een komende firmware
>>> update. Je kan dan wel meerdere IPs als exposed opgeven.
>>
>> Maar het blijft dus een NAT oplossing?
>
> Nee, het is geen NAT. Alleen de terminologie hebben ze ongewijzigd
> gelaten. Dus "port forwarding" is eigenlijk "firewall port open"
> en "exposed host" is "firewall geheel open".

Weet je dat zeker? Als ik een traceroute doe naar mijn PC thuis komen de
laatste twee responses van hetzelfde IP adres. De Fritz lijkt te
antwoorden met het adres van mijn PC, niet met het adres dat hij zelf
zou moeten aannemen. Dat duid niet per se op NAT, maar is toch wel een
beetje vreemd:

7 xs4all.10gigabitethernet3-3.core1.ams1.he.net (216.66.84.58)
154.360 ms 154.346 ms 154.331 ms
8 0.ae5.xr4.1d12.xs4all.net (194.109.5.1) 154.807 ms
0.ae4.xr3.3d12.xs4all.net (194.109.5.5) 154.564 ms 154.523 ms
9 xe-8-0-0.dr15.d12.xs4all.net (194.109.7.130) 154.523 ms
xe-7-0-0.dr15.d12.xs4all.net (194.109.7.134) 154.507 ms
xe-8-0-0.dr15.d12.xs4all.net (194.109.7.130) 154.487 ms
10 niels.peen.ch (80.127.108.119) 165.168 ms 165.324 ms 165.006 ms
11 niels.peen.ch (80.127.108.119) 167.652 ms 167.184 ms 167.162 ms

Naar buiten toe ziet het er wel normaal uit:

1 rtr-xs4all (80.127.108.112) 1349.223 ms 0.338 ms 0.639 ms
2 lo0.dr15.d12.xs4all.net (194.109.5.226) 12.793 ms 11.772 ms
12.672 ms
3 1414.ae3.xr4.1d12.xs4all.net (194.109.7.129) 11.177 ms 11.200 ms
1314.ae3.xr3.3d12.xs4all.net (194.109.7.133) 11.446 ms
4 xs4all.nl (194.109.6.93) 11.483 ms 11.381 ms 11.364 ms

NiElS

[Jesse]

On 06-05-15 16:11, Miquel van Smoorenburg wrote:

>> 3. Geen idee.
>
> Er zitten nog bugs in 3.20, na een reboot zijn je port-forward
> instellingen (firewall instellingen, dus) verdwenen. Verder
> werkt het wel. Ook die bug zal opgelost worden in een komende
> firmware. Wanneer weet ik niet.
>

Wekelijks word er een Beta firmware naar de klanten met een subnet
gepushed die de powercycle bug oplost. Met deze firmware blijft de bug
van vraag 1 nog wel bestaan.

--
Met vriendelijke groet,

Jesse

[geertjan]

> 1) Kan dat routed subnet ***ongefirewalled*** en ***ongeNAT*** gewoon
> worden gerouteerd naar de 4 UTP aansluitingen op de Fritz-Box?
> 2) Volgens de helpdesk heeft de FB nog, naast het te routeren /29
> netwerk, een eigen extern ip, IOW: er zijn in totaal 9 ip-adressen in
> het spel. Klopt dat?
> 3) Volgens de helpdesk is de firmware van de FB nog niet geschikt voor
> routed subnet. Al enig zicht op een fw upgrade?

Ik denk dat Mike de mogelijkheden van de standaard FB oplossing
aardig beschreven heeft. Maurice gaf al aan succes te hebben met
een OpenBSD box; ik heb ook wat experimentjes gedaan die mogelijk
inspireren.

Om te beginnen: de fritz heeft een prima VDSL implementatie
(en belangrijker: je kunt erover klagen bij XS4all), maar ik ben
niet zo gecharmeerd van de NAT/filtering van het ding.
Zoals in het verleden al eens beschreven, heb ik mijn FB omgebouwd
zodat het ding nu (alleen) doet wat op de doos staat: PPPoE over VDSL in,
PPPoE op ethernet uit, geen NAT-narigheid, geen filtering.
Uit de FB komt dus een ethernetkabel waar PPPoE op staat.

Dit komt uit op een TP-link doos (een archer C7) met OpenWRT.
Dit ding termineert de PPPoE verbinding en heeft dus het standaard
IP adres wat bij je aansluiting hoort.

Als je een subnet hebt, krijg je een /29 erbij, naast het standaardadres.
Dit laatste blijf ik gebruiken voor dingen die via NAT naar buiten willen.

Door de /29 krijg je er dus 8 IP's bij. Dat klinkt mooi maar je raakt
er 3 kwijt: een voor host-0, een voor host-7 en een voor het IP van
de FB binnen de /29. Met de FB is dat wat je krijgt, je houdt er dus
5 (subnet) + 1 (VDSL) over.

(het voordeel is dat als er glas komt ik gewoon het modem
kan verwijderen en de WAN-poort van de TP-link direct in de
glasvezeldoos kan steken. dat heb ik elders al aan de gang).

Ik vond het jammer dat ik van de 8 IP's er 3 kwijtraakte,
en wilde ab-so-luut geen filtering / stateless spul in
de verbinding. Dat kun je oplossen door weer vanuit de TP-link
8 PPPoE sessies te starten naar de hosts van je subnet
maar ik vond die PPPoE niet zo prettig.

Wat ik gedaan heb, is het subnet gedefinieerd als een /23
waar de /29 van XS4all in zit. Ik weet dat XS4all .0 en .255 niet
als hostadres uitdeelt, dus als ik xx.xxx.100.0 als host-0 neem
overlap ik niemand, hetzelfde met xx.xxx.101.255 als host-511.

Vervolgens heb ik de TP-link xx.xxx.101.0 gegeven. Dat is een
geldig IP in mijn /23 maar wordt door XS4all niet gebruikt,
dus als ik dat adres pik zit ik niks in de weg.

Vervolgens heb ik de TP-link zo ingesteld dat 'ie proxy-ARP doet
voor alle IP's die niet van mij zijn in deze reeks. Een client
ARPt dus voor een IP in deze reeks; de TP-link antwoordt;
de client stuurt het packet en de TP-link stuurt het door de
PPPoE-poort op. Gevolg: ik kan alle 8 IP's van het subnet
echt gebruiken (en niet maar 5), en alle andere IP's in de /23
zijn via de WAN gewoon bereikbaar (behalve de IP's waarvan we weten
dat XS4all ze niet gebruikt, en dat is dus niet erg)

Deze /23 leeft op een aparte ethernet-poort van de TP-link.
Daar zit zelfs DHCP op, als je daar een host inprikt heeft 'ie
gewoon een public IP adres, zonder filtering.

Doordat ik extra IP's overhield, kon ik de RIPE ATLAS probe
hierop zetten, want het was toch een gratis adres. Voordeel:
de probe veroorzaakt geen NAT-state, want de verbinding was ongefilterd.

Voor VoIP heb ik een andere fritz via Fleabay gescoord,
die heeft dus geen WAN-poort maar dat werkt prima zo.

Laat duidelijk zijn dat de helpdesk dit niet ondersteunt,
maar het werkt wel!

Geert Jan

[Miquel van Smoorenburg]

In article <554bb359$0$2913$e4fe...@news.xs4all.nl>, <Geert Jan> wrote:
>Wat ik gedaan heb, is het subnet gedefinieerd als een /23
>waar de /29 van XS4all in zit.

[...]

>Laat duidelijk zijn dat de helpdesk dit niet ondersteunt,
>maar het werkt wel!

Als ik dit zou willen doen zou ik het inderdaad hetzelfde doen.
Maar aan het gebruik van de middelste .0 in een /23 had ik
nog niet gedacht. Slim!

Mike.

[richard lucassen]

On Wed, 06 May 2015 15:38:13 +0200
NiElS <ni...@peen.net> wrote:

> > 1) VoIP via xs4all
> > 2) een ongefirewalled en ongeNAT /29 naar binnen toe, waarbij de
> > FB (of whatever) de router van dat netwerk is.
>

> 1. Nee. Je moet nog steeds "port forwards" aanmaken en protocollen
> die de Fritz niet kent krijg je er dus niet doorheen. (Je kunt 1 IP
> als "Exposed" opgeven, maar de rest dus niet.)
>
> 2. Ja. Je "gewone" XS4ALL adres blijft behouden.
>
> 3. Geen idee.

Ok, allen dank voor de antwoorden. Ik behoud voorlopig maar even mijn
KPN zakelijk ADSL met Cisco's. Ik heb nu gewoonweg geen tijd om voor een
eenvoudige /29 uren te gaan zitten hobbyboppen. Dat laatste ben ik
overigens niet vies van BTW :)