Fritzbox en extra ip-range

[Louis Lagendijk]

ik heb 2 vragen over een eigen lp-range in combinatie met de Fritz:

1) Stel: ik wil een aantal machines een publiek IP-adres geven. Die
machines zijn verbonden op een eigen netwerk met een Pfsense firewall.
Graag zou ik dan de publieke IP-adressen op de Pfsense zetten en niet
als public IPv4 subnet op de Fritz. De Fritz moet de hele range routeren
zodat Pfsense de firewalling kan doen en routing. Op het netwerk met de
externe hosts krijgt Pfsense het eerste adres uit de range als eigen
adres, in plaats van de Fritz).

Als ik de publieke publieke IP-range als route toevoeg op de Fritz (met
een 192.168.178.x gateway naar de Pfsense), zou dat dan werken?

Met de route gedefinieerd accepteert de Fritz een port forwarding rule,
m.a.w. hij lijkt te begrijpen dat dat verkeer naar binnen wordt
gerouteerd en dus een port forwarding kan werken (zonder de route
accepteer de Fritz de forwarding terecht niet: "The port forwarding
cannot be created or enabled because the destination is not located in
the home network.")

Mijn grote vraag: gaat dit in de praktijk ook echt werken? Zal de Fritz
het verkeer zoals bedoeld doorlaten?
Kan dit werken als alternatief voor het definiëren van het public IPv4
subnet in de Fritz?

2) Stel ik wil alle adressen die ik krijg kunnen gebruiken, en definieer
als heel vieze hack mijn range als /28 of nog groter zodat het netwerk
adres en het broadcast adres buiten mijn eigen range vallen.
Hiermee kan ik natuurlijk de ranges van mijn XS4all neighbours niet meer
bereiken, maar dat neem ik op de koop toe.
Hiermee voorkom ik wel dat ik extern ip-adressen moet alloceren voor de
carp adressen in mijn pfsense cluster of zelfs als gateway adres. En ik
zorg er natuurlijk wel voor dat alleen mijn eigen range naar buiten mag,
maar dat is een simpele firewall rule op pfsense. Gaat dat werken?

Groeten, Louis

[Miquel van Smoorenburg]

In article <57af3ac4$0$792$e4fe...@news.xs4all.nl>,

Louis Lagendijk <lo...@lagendijk.xs4all.nl> wrote:
>ik heb 2 vragen over een eigen lp-range in combinatie met de Fritz:
>
>1) Stel: ik wil een aantal machines een publiek IP-adres geven. Die
>machines zijn verbonden op een eigen netwerk met een Pfsense firewall.
>Graag zou ik dan de publieke IP-adressen op de Pfsense zetten en niet
>als public IPv4 subnet op de Fritz. De Fritz moet de hele range routeren
>zodat Pfsense de firewalling kan doen en routing. Op het netwerk met de
>externe hosts krijgt Pfsense het eerste adres uit de range als eigen
>adres, in plaats van de Fritz).
>
>Als ik de publieke publieke IP-range als route toevoeg op de Fritz (met
>een 192.168.178.x gateway naar de Pfsense), zou dat dan werken?

Nee, dat werkt niet. De enige manier waarop het werkt op een
Fritzbox is een publiek subnet definieeren in de config, en die
IP adressen komen dan OOK rechtstreeks op de LAN interface.
De fritzbox is de gateway en heeft zelf ook een IP adres in
die range. Je kan niet je publieke subnet in zijn geheel naar
een interne host routeren (we hebben wel om die optie gevraagd
maarja...)

>2) Stel ik wil alle adressen die ik krijg kunnen gebruiken, en definieer
>als heel vieze hack mijn range als /28 of nog groter zodat het netwerk
>adres en het broadcast adres buiten mijn eigen range vallen.
>Hiermee kan ik natuurlijk de ranges van mijn XS4all neighbours niet meer
>bereiken, maar dat neem ik op de koop toe.
>Hiermee voorkom ik wel dat ik extern ip-adressen moet alloceren voor de
>carp adressen in mijn pfsense cluster of zelfs als gateway adres. En ik
>zorg er natuurlijk wel voor dat alleen mijn eigen range naar buiten mag,
>maar dat is een simpele firewall rule op pfsense. Gaat dat werken?

Dat kan, denk ik, mits de pfsense firewall cq router dan voor de IP
adressen in je subnet range proxy arp doet.

Mike.

[Julius Schwartzenberg]

Louis Lagendijk wrote:
> ik heb 2 vragen over een eigen lp-range in combinatie met de Fritz:
>
> 1) Stel: ik wil een aantal machines een publiek IP-adres geven. Die
> machines zijn verbonden op een eigen netwerk met een Pfsense firewall.

Kan die Pfsense firewall niet ook de PPP-verbinding afhandelen? Dat
lijkt me het makkelijkst. Het hangt alleen van je type verbinding af hoe
je dat moet inrichten.

Groeten,
Julius

[Louis Lagendijk]

dat zou op zich goed kunnen, maar ik wil graag de fritzbox voip in stand
houden op mijn VDSL verbinding ZONDER extra routers etc. ertussen. Voip
is te essentieel voor mij om onnodige extra dozen te moeten gebruiken.
Dat is beter voor de rust in de familie...

Als ik zeker wist dat een Draytek en IPv6 en een ipv4 range transparant
kan routeren zou dat een optie zijn (met de fritz direct aan de
Draytek). Maar ik hoop de dat XS4all binnenkort mij bonding kan leveren,
en dan is de Draytek ook weer niet handig. Dilemma's.....

groeten,
Louis

[Louis Lagendijk]

On 08/13/2016 05:33 PM, Miquel van Smoorenburg wrote:
> In article <57af3ac4$0$792$e4fe...@news.xs4all.nl>,
> Louis Lagendijk <lo...@lagendijk.xs4all.nl> wrote:
>> ik heb 2 vragen over een eigen lp-range in combinatie met de Fritz:
>>
>> 1) Stel: ik wil een aantal machines een publiek IP-adres geven. Die
>> machines zijn verbonden op een eigen netwerk met een Pfsense firewall.
>> Graag zou ik dan de publieke IP-adressen op de Pfsense zetten en niet
>> als public IPv4 subnet op de Fritz. De Fritz moet de hele range routeren
>> zodat Pfsense de firewalling kan doen en routing. Op het netwerk met de
>> externe hosts krijgt Pfsense het eerste adres uit de range als eigen
>> adres, in plaats van de Fritz).
>>
>> Als ik de publieke publieke IP-range als route toevoeg op de Fritz (met
>> een 192.168.178.x gateway naar de Pfsense), zou dat dan werken?
>
> Nee, dat werkt niet. De enige manier waarop het werkt op een
> Fritzbox is een publiek subnet definieeren in de config, en die
> IP adressen komen dan OOK rechtstreeks op de LAN interface.
> De fritzbox is de gateway en heeft zelf ook een IP adres in
> die range. Je kan niet je publieke subnet in zijn geheel naar
> een interne host routeren (we hebben wel om die optie gevraagd
> maarja...)
>

hi Mike,
ik heb een truck gevonden met mijn 7340 waarmee het me WEL gelukt is de
range te routeren zodanig dat ik de volle range van IP-adressen kan
gebruiken:

1) op de (pfsense) router definieer ik een interface voor de DMZ hosts
die ruimte voor en na mijn /29 over houdt zodat alle adressen uit de /29
gebruikt kunnen worden. Met x.y.z.89/29 als subnet is dat x.y.z.64/26:
x.y.z.65-.126 (127 voor broadcast) een /27 zou mijn laatste adres
onbruikbaar maken.

2) definieer een nog grotere range op de Fritz als public subnet (in
mijn geval een /25, x.y.z.1/25).

3) Definieer nu een /25 uplink op de (pfsense) router met een adres
buiten de /26, in mijn geval x.y.z.2, de fritz krijgt vanzelf x.y.z.1.

4) definieer een ipv4 route op de fritz voor het /26 subnet via het
IP-adres van de router uit punt 3 (x.y.z.2)

De Fritz routeert nu mijn /29 (eigenlijk de /26) naar de pfsense die dat
netjes op de DMZ interface aflevert.

met deze configuratie kan ik al mijn 8 publieke adressen (.88 - .95)
gebruiken voor de hosts ZONDER NAT of proxy arp....

Ik misbruik dus een aantal adressen die toch niet vanuit xs4all
zichtbaar zijn. Ik kan alleen IP-adressen van 16 xs4all klanten niet
meer bereiken.

heb je nog ommentaar of suggesties?
/Louis

[Louis Lagendijk]

On 08/19/2016 08:48 PM, Louis Lagendijk wrote:
> On 08/13/2016 05:33 PM, Miquel van Smoorenburg wrote:
>> In article <57af3ac4$0$792$e4fe...@news.xs4all.nl>,
>> Louis Lagendijk <lo...@lagendijk.xs4all.nl> wrote:
>>> ik heb 2 vragen over een eigen lp-range in combinatie met de Fritz:
>

> hi Mike,
> ik heb een truck gevonden met mijn 7340 waarmee het me WEL gelukt is de
> range te routeren zodanig dat ik de volle range van IP-adressen kan
> gebruiken:
>

Vergeet de voorgaande oplossing maar: routering kan eigenlijk vrij simpel:

1) definieer de publieke ip-range wat groter dan de /29 in de fritzbox:
om alle adressen te kunnen gebruiken kies ik voor mijn range:
80.127.138.89/29 een /26: dat laat voor en achter mijn range adressen vrij.
2) definieer nu een ipv4 router voor de /29 via het rfc1918 adres van de
router (meestal een 192,168,178,x adres.
3) Definineer op de router het gewenste netwerk (voor mij ook een /26)

Proxy arp is niet meer nodig. en de fritzbox begrijp zo al dat adressen
uit de publiekerange geen nat nodig hebben.
Simpel en doeltreffend


/Louis

[Miquel van Smoorenburg]

In article <57bca01a$0$922$e4fe...@news.xs4all.nl>,

Louis Lagendijk <lo...@lagendijk.xs4all.nl> wrote:
>Vergeet de voorgaande oplossing maar: routering kan eigenlijk vrij simpel:
>
>1) definieer de publieke ip-range wat groter dan de /29 in de fritzbox:
>om alle adressen te kunnen gebruiken kies ik voor mijn range:
>80.127.138.89/29 een /26: dat laat voor en achter mijn range adressen vrij.
>2) definieer nu een ipv4 router voor de /29 via het rfc1918 adres van de
>router (meestal een 192,168,178,x adres.
>3) Definineer op de router het gewenste netwerk (voor mij ook een /26)
>
>Proxy arp is niet meer nodig. en de fritzbox begrijp zo al dat adressen
>uit de publiekerange geen nat nodig hebben.
>Simpel en doeltreffend

Oh, dat is heel creatief. Grappig dat dat werkt. Mooie hack!

Als dat werkt kan je misschien ook de 2 /30s waar je /29 uit
bestaat routeren naar je router. Dan kan je alleen het IP van
de fritzbox zelf niet gebruiken. Maar misschien kan je die
het onderste adres (het netwerk adres, zeg maar .0) geven.

Mike.

[Rob]

Geert Jan had ooit eens een heel schema uitgewerkt om heel je /29
te kunnen gebruiken zonder naastliggende netwerken onbereikbaar te
maken en zonder adressen te verspillen. Wellicht nog terug te vinden.

[Kees Nuyt]

On 23 Aug 2016 20:02:10 GMT, Rob <nom...@example.com> wrote:

> Geert Jan had ooit eens een heel schema uitgewerkt om heel je /29
> te kunnen gebruiken zonder naastliggende netwerken onbereikbaar te
> maken en zonder adressen te verspillen. Wellicht nog terug te vinden.

Deze?

> Path: news2.news.xs4all.nl!newsspool.news.xs4all.nl!newsgate.cistron.nl!newsgate.news.xs4all.nl!post.news.xs4all.nl!not-for-mail
> From: Geert Jan
> Subject: Re: routed subnet
> Organization: YMBK
> References: <554a5b42$0$2902$e4fe...@news.xs4all.nl>
> Newsgroups: xs4all.adsl
> Summary:
> Keywords:
> Date: 07 May 2015 18:47:53 GMT
> Lines: 78
> Message-ID: <554bb359$0$2913$e4fe...@news.xs4all.nl>
> NNTP-Posting-Host: 2001:981:6c37:192:192:92:108:17
> Xref: news2.news.xs4all.nl xs4all.adsl:250541

>> 1) Kan dat routed subnet ***ongefirewalled*** en ***ongeNAT*** gewoon
>> worden gerouteerd naar de 4 UTP aansluitingen op de Fritz-Box?
>> 2) Volgens de helpdesk heeft de FB nog, naast het te routeren /29
>> netwerk, een eigen extern ip, IOW: er zijn in totaal 9 ip-adressen in
>> het spel. Klopt dat?
>> 3) Volgens de helpdesk is de firmware van de FB nog niet geschikt voor
>> routed subnet. Al enig zicht op een fw upgrade?
>
> Ik denk dat Mike de mogelijkheden van de standaard FB oplossing
> aardig beschreven heeft. Maurice gaf al aan succes te hebben met
> een OpenBSD box; ik heb ook wat experimentjes gedaan die mogelijk
> inspireren.
>
> Om te beginnen: de fritz heeft een prima VDSL implementatie
> (en belangrijker: je kunt erover klagen bij XS4all), maar ik ben
> niet zo gecharmeerd van de NAT/filtering van het ding.
> Zoals in het verleden al eens beschreven, heb ik mijn FB omgebouwd
> zodat het ding nu (alleen) doet wat op de doos staat: PPPoE over VDSL in,
> PPPoE op ethernet uit, geen NAT-narigheid, geen filtering.
> Uit de FB komt dus een ethernetkabel waar PPPoE op staat.
>
> Dit komt uit op een TP-link doos (een archer C7) met OpenWRT.
> Dit ding termineert de PPPoE verbinding en heeft dus het standaard
> IP adres wat bij je aansluiting hoort.
>
> Als je een subnet hebt, krijg je een /29 erbij, naast het standaardadres.
> Dit laatste blijf ik gebruiken voor dingen die via NAT naar buiten willen.
>
> Door de /29 krijg je er dus 8 IP's bij. Dat klinkt mooi maar je raakt
> er 3 kwijt: een voor host-0, een voor host-7 en een voor het IP van
> de FB binnen de /29. Met de FB is dat wat je krijgt, je houdt er dus
> 5 (subnet) + 1 (VDSL) over.
>
> (het voordeel is dat als er glas komt ik gewoon het modem
> kan verwijderen en de WAN-poort van de TP-link direct in de
> glasvezeldoos kan steken. dat heb ik elders al aan de gang).
>
> Ik vond het jammer dat ik van de 8 IP's er 3 kwijtraakte,
> en wilde ab-so-luut geen filtering / stateless spul in
> de verbinding. Dat kun je oplossen door weer vanuit de TP-link
> 8 PPPoE sessies te starten naar de hosts van je subnet
> maar ik vond die PPPoE niet zo prettig.
>
> Wat ik gedaan heb, is het subnet gedefinieerd als een /23
> waar de /29 van XS4all in zit. Ik weet dat XS4all .0 en .255 niet
> als hostadres uitdeelt, dus als ik xx.xxx.100.0 als host-0 neem
> overlap ik niemand, hetzelfde met xx.xxx.101.255 als host-511.
>
> Vervolgens heb ik de TP-link xx.xxx.101.0 gegeven. Dat is een
> geldig IP in mijn /23 maar wordt door XS4all niet gebruikt,
> dus als ik dat adres pik zit ik niks in de weg.
>
> Vervolgens heb ik de TP-link zo ingesteld dat 'ie proxy-ARP doet
> voor alle IP's die niet van mij zijn in deze reeks. Een client
> ARPt dus voor een IP in deze reeks; de TP-link antwoordt;
> de client stuurt het packet en de TP-link stuurt het door de
> PPPoE-poort op. Gevolg: ik kan alle 8 IP's van het subnet
> echt gebruiken (en niet maar 5), en alle andere IP's in de /23
> zijn via de WAN gewoon bereikbaar (behalve de IP's waarvan we weten
> dat XS4all ze niet gebruikt, en dat is dus niet erg)
>
> Deze /23 leeft op een aparte ethernet-poort van de TP-link.
> Daar zit zelfs DHCP op, als je daar een host inprikt heeft 'ie
> gewoon een public IP adres, zonder filtering.
>
> Doordat ik extra IP's overhield, kon ik de RIPE ATLAS probe
> hierop zetten, want het was toch een gratis adres. Voordeel:
> de probe veroorzaakt geen NAT-state, want de verbinding was ongefilterd.
>
> Voor VoIP heb ik een andere fritz via Fleabay gescoord,
> die heeft dus geen WAN-poort maar dat werkt prima zo.
>
> Laat duidelijk zijn dat de helpdesk dit niet ondersteunt,
> maar het werkt wel!
>
> Geert Jan

Mike had als commentaar:
> Als ik dit zou willen doen zou ik het inderdaad hetzelfde doen.
> Maar aan het gebruik van de middelste .0 in een /23 had ik
> nog niet gedacht. Slim!

--
Kees Nuyt