Fritz box 7360 in bridge mode?

[Stef]

Hallo,

Aangezien ik wat minder tevreden ben over mijn huidige provider ben ik op
zoek gegaan naar een alternatief. Nu bleek ik tegenwoordig via XS4all een
100 Mbit verbinding te kunnen krijgen (vroeger ADSL 2Mbit, te ver van
centrale voor 2+). Omdat ik een eigen router gebruik die VPN verbindingen
opzet ook eerst nagevraagd of ik de verbinding kan bridgen. Dat kon
inderdaad bij XS4all werd mij verteld. Afijn paar dagen de boel besteld
en de verbinding is vandaag opgeleverd.

Verbinding werkt OK met de Fritz box 7360 als router. Maar hoe zet ik deze
in bridge mode? XS4all support verwees mij door naar AVM support. Die
vertelde mij dat dit domweg niet mogelijk is! Hij wilde het wel op de
wensenlijst plaatsen (maar daar zou het al even op moeten staan als ik zo
op internet rondkijk).

Ben al even op internet aan het zoeken geweest en een pagina gevonden die
zegt dat het wel kan (met wat mitsen en maren) door configuratie via de
telnet verbinding. Telnet zou je dan eerst via een analoge telefoon (heb ik
die nog ergens?) moeten inschakelen. Alleen lees ik weer ergens anders dat
in nieuwe firmware telnet helemaal is uitgeschakeld.

Is de 7360 nog in bridge mode te krijgen?

Andere oplossing lijkt te zijn dan maar zelf een Draytek Vigor 130 aan te
schaffen. Toch wel een beetje jammer dat als je informeert of bridgen
mogelijk is men zegt dat dat kan zonder daar aan toe te voegen dat je het
dan wel zelf uit zult moeten zoeken.

Mogelijke andere optie is mijn eigen router er tussen uit te halen en de
7360 VPN op te laten zetten met de andere locties. Dan is bridgen dus niet
meer nodig.


--
Stef (remove caps, dashes and .invalid from e-mail address to reply by mail)

"In the long run, every program becomes rococo, and then rubble."
-- Alan Perlis

[Miquel van Smoorenburg]

In article <8077c$56a75a7c$5f6173bc$21...@abuse.newsxs.nl>,

Stef <ste...@yahooI-N-V-A-L-I-D.com.invalid> wrote:
>Aangezien ik wat minder tevreden ben over mijn huidige provider ben ik op
>zoek gegaan naar een alternatief. Nu bleek ik tegenwoordig via XS4all een
>100 Mbit verbinding te kunnen krijgen (vroeger ADSL 2Mbit, te ver van
>centrale voor 2+). Omdat ik een eigen router gebruik die VPN verbindingen
>opzet ook eerst nagevraagd of ik de verbinding kan bridgen. Dat kon
>inderdaad bij XS4all werd mij verteld. Afijn paar dagen de boel besteld
>en de verbinding is vandaag opgeleverd.

Ik weet niet met wie je gesproken hebt, en wat er gezegd is,
maar dat klopt niet. Met de Fritzbox router kan je op dit
moment niet bridgen. En dan nog, XS4ALL gebruikt PPPoE, dus
dan zou je ook PPPoE op je router erachter moeten doen, en
niet alle routers kunnen dat.

Maar wat *wel* kan (en het verbaast me dat dat niet genoemd is),
is een subnet aanvragen. Goed, kost je wel wat extra per maand,
maar dan heb je een publiek /29 subnet erbij, waarin je je
eigen router kan hangen.

Mike.

[Stef]

On 2016-01-26 Miquel van Smoorenburg wrote in xs4all.adsl:
> In article <8077c$56a75a7c$5f6173bc$21...@abuse.newsxs.nl>,
> Stef <ste...@yahooI-N-V-A-L-I-D.com.invalid> wrote:
>>Aangezien ik wat minder tevreden ben over mijn huidige provider ben ik op
>>zoek gegaan naar een alternatief. Nu bleek ik tegenwoordig via XS4all een
>>100 Mbit verbinding te kunnen krijgen (vroeger ADSL 2Mbit, te ver van
>>centrale voor 2+). Omdat ik een eigen router gebruik die VPN verbindingen
>>opzet ook eerst nagevraagd of ik de verbinding kan bridgen. Dat kon
>>inderdaad bij XS4all werd mij verteld. Afijn paar dagen de boel besteld
>>en de verbinding is vandaag opgeleverd.
>
> Ik weet niet met wie je gesproken hebt, en wat er gezegd is,
> maar dat klopt niet. Met de Fritzbox router kan je op dit

Een verkoper vrees ik. Expliciet gevraagd of bridgen mogelijk was bij
XS4all en aangezien dit zonder aarzeling met ja beantwoord werd heb ik
helaas niet doorgevraagd.

> moment niet bridgen. En dan nog, XS4ALL gebruikt PPPoE, dus
> dan zou je ook PPPoE op je router erachter moeten doen, en
> niet alle routers kunnen dat.

De Cisco ASA 5505 zou dat volgens mij moeten kunnen.

> Maar wat *wel* kan (en het verbaast me dat dat niet genoemd is),
> is een subnet aanvragen. Goed, kost je wel wat extra per maand,
> maar dan heb je een publiek /29 subnet erbij, waarin je je
> eigen router kan hangen.

Ja, zo werk ik nu (UPC/ziggo 5-ip), dat werkt verder ok.
De optie had ik bij XS4all ook gezien, maar dat is dan weer 9,50 extra,
beetje jammer als het ook anders kan.

Maar werkt dat subnet dan met de Fritzbox of krijg je dan een ander modem?

Zoals gezegd ga ik eerst maar eens proberen direct de VPN uit de fritzbox
op te zetten (met een Cisco ASA 5505 aan de andere kant). Helaas pas
vrijdag tijd voor.

--
Stef (remove caps, dashes and .invalid from e-mail address to reply by mail)

Well begun is half done.
-- Aristotle

[Miquel van Smoorenburg]

In article <30eec$56a793d2$5f6173bc$15...@abuse.newsxs.nl>,

Stef <ste...@yahooI-N-V-A-L-I-D.com.invalid> wrote:
>On 2016-01-26 Miquel van Smoorenburg wrote in xs4all.adsl:
>> Ik weet niet met wie je gesproken hebt, en wat er gezegd is,
>> maar dat klopt niet. Met de Fritzbox router kan je op dit
>
>Een verkoper vrees ik. Expliciet gevraagd of bridgen mogelijk was bij
>XS4all en aangezien dit zonder aarzeling met ja beantwoord werd heb ik
>helaas niet doorgevraagd.

:(

>> Maar wat *wel* kan (en het verbaast me dat dat niet genoemd is),
>> is een subnet aanvragen. Goed, kost je wel wat extra per maand,
>> maar dan heb je een publiek /29 subnet erbij, waarin je je
>> eigen router kan hangen.
>
>Ja, zo werk ik nu (UPC/ziggo 5-ip), dat werkt verder ok.
>De optie had ik bij XS4all ook gezien, maar dat is dan weer 9,50 extra,
>beetje jammer als het ook anders kan.
>
>Maar werkt dat subnet dan met de Fritzbox of krijg je dan een ander modem?

Dat werkt met de Fritzbox.

Mike.

[Philip Homburg]

In article <56a77a07$0$23843$e4fe...@news.xs4all.nl>,

Miquel van Smoorenburg <mik...@xs4all.nederland.invalid> wrote:
>In article <8077c$56a75a7c$5f6173bc$21...@abuse.newsxs.nl>,
>Stef <ste...@yahooI-N-V-A-L-I-D.com.invalid> wrote:
>>Aangezien ik wat minder tevreden ben over mijn huidige provider ben ik op
>>zoek gegaan naar een alternatief. Nu bleek ik tegenwoordig via XS4all een
>>100 Mbit verbinding te kunnen krijgen (vroeger ADSL 2Mbit, te ver van
>>centrale voor 2+). Omdat ik een eigen router gebruik die VPN verbindingen
>>opzet ook eerst nagevraagd of ik de verbinding kan bridgen. Dat kon
>>inderdaad bij XS4all werd mij verteld. Afijn paar dagen de boel besteld
>>en de verbinding is vandaag opgeleverd.
>
>Ik weet niet met wie je gesproken hebt, en wat er gezegd is,
>maar dat klopt niet. Met de Fritzbox router kan je op dit
>moment niet bridgen. En dan nog, XS4ALL gebruikt PPPoE, dus
>dan zou je ook PPPoE op je router erachter moeten doen, en
>niet alle routers kunnen dat.

Toevallig is er net op xs4all.general nog een discussie geweest hoe je een
fritzbox as bridge kan gebruiken. Officieel kan het niet. Maar met het
nodige hack werk lijkt nog steeds te werken.


--
We just programmed the computers to revive us when it was all over... they
were index linked to the [...] stock market prices you see, so that we'd
be revived when everybody else had rebuilt the economy enough to be able to
afford our rather expensive services again. -- Slartibartfast in THHGTTG

[Stef]

On 2016-01-26 Philip Homburg wrote in xs4all.adsl:
> In article <56a77a07$0$23843$e4fe...@news.xs4all.nl>,
> Miquel van Smoorenburg <mik...@xs4all.nederland.invalid> wrote:
>>In article <8077c$56a75a7c$5f6173bc$21...@abuse.newsxs.nl>,
>>Stef <ste...@yahooI-N-V-A-L-I-D.com.invalid> wrote:
>>>Aangezien ik wat minder tevreden ben over mijn huidige provider ben ik op
>>>zoek gegaan naar een alternatief. Nu bleek ik tegenwoordig via XS4all een
>>>100 Mbit verbinding te kunnen krijgen (vroeger ADSL 2Mbit, te ver van
>>>centrale voor 2+). Omdat ik een eigen router gebruik die VPN verbindingen
>>>opzet ook eerst nagevraagd of ik de verbinding kan bridgen. Dat kon
>>>inderdaad bij XS4all werd mij verteld. Afijn paar dagen de boel besteld
>>>en de verbinding is vandaag opgeleverd.
>>
>>Ik weet niet met wie je gesproken hebt, en wat er gezegd is,
>>maar dat klopt niet. Met de Fritzbox router kan je op dit
>>moment niet bridgen. En dan nog, XS4ALL gebruikt PPPoE, dus
>>dan zou je ook PPPoE op je router erachter moeten doen, en
>>niet alle routers kunnen dat.
>
> Toevallig is er net op xs4all.general nog een discussie geweest hoe je een
> fritzbox as bridge kan gebruiken. Officieel kan het niet. Maar met het
> nodige hack werk lijkt nog steeds te werken.

Draadje daar gevonden. Eerder had ik deze al gevonden (moet julie beiden
bekend voorkomen ;-) ):

http://gjppp.home.xs4all.nl/vdsl-pppoe/

Is dit dezelfde hack? Alleen hoe kom je nu in die telnet? Daar is dus
iets in veranderd?

Maar ik ga eerst voor de alternative VPN oplossing. Dit scheelt ook weer
een router (en bijbehorende stroom). Elk nadeel heb ze voordeel, zullen
we maar zeggen. (als het werkt natuurlijk)

--
Stef (remove caps, dashes and .invalid from e-mail address to reply by mail)

Lake Erie died for your sins.

[Machiel de Wit]

Stef schreef op 26-01-2016
in <4e78d$56a7e4ff$5f6173bc$26...@abuse.newsxs.nl>:

> On 2016-01-26 Philip Homburg wrote in xs4all.adsl:
>> Toevallig is er net op xs4all.general nog een discussie geweest hoe
>> je een fritzbox as bridge kan gebruiken. Officieel kan het niet.
>> Maar met het nodige hack werk lijkt nog steeds te werken.
>
> Draadje daar gevonden. Eerder had ik deze al gevonden (moet julie
> beiden bekend voorkomen ;-) ):
>
> http://gjppp.home.xs4all.nl/vdsl-pppoe/
>
> Is dit dezelfde hack? Alleen hoe kom je nu in die telnet? Daar is dus
> iets in veranderd?

Heb je dit ook gelezen?

Osiris schreef op 21-01-2016
in <56a0144a$0$23836$e4fe...@news.xs4all.nl>:
> On 20-01-16 16:57, Philip Homburg wrote:
>> In article <3fadee17-beaf-4f0d...@googlegroups.com>,
>> <michae...@gmail.com> wrote:
>>> Kan de FritzBox zo ingestelt dat je vlan 6 bridged naar 1 van de
>>> LAN poorten waarop ik mijn Mikrotik aansluit? En moet de Fritzbox
>>> dan het PPoE gedeelte afhandelen?
>>
>> De FritzBox kon het, maar het werd niet ondersteund. Bij de laatste
>> update is telnet toegang eruit gesloopt wat nodig is om een bridge
>> te configureren. Toen heb ik de FirtzBox maar opgegeven een een
>> Draytex Vigor 130 gekocht. Daar zit bridging gewoon in de web
>> interface.
>>
>
> Die telnet is wel weer terug te krijgen (tijdelijk, na een reboot is
> 't weer pleit0s) d.m.v. een simpel Bash-scriptje in een TAR-file
> gepropt en die gebruiken als FW-update..
>
> Google vindt 'em wel als je zoekt op fritzbox en telnet.

--
MdW.

[Stef]

On 2016-01-27 Machiel de Wit wrote in xs4all.adsl:
> Stef schreef op 26-01-2016
> in <4e78d$56a7e4ff$5f6173bc$26...@abuse.newsxs.nl>:
>> On 2016-01-26 Philip Homburg wrote in xs4all.adsl:
>>> Toevallig is er net op xs4all.general nog een discussie geweest hoe
>>> je een fritzbox as bridge kan gebruiken. Officieel kan het niet.
>>> Maar met het nodige hack werk lijkt nog steeds te werken.
>>
>> Draadje daar gevonden. Eerder had ik deze al gevonden (moet julie
>> beiden bekend voorkomen ;-) ):
>>
>> http://gjppp.home.xs4all.nl/vdsl-pppoe/
>>
>> Is dit dezelfde hack? Alleen hoe kom je nu in die telnet? Daar is dus
>> iets in veranderd?
>
> Heb je dit ook gelezen?

Waarschijnlijk wel, maar waarschijnlijk ook niet goed genoeg.

> Osiris schreef op 21-01-2016
> in <56a0144a$0$23836$e4fe...@news.xs4all.nl>:
>> On 20-01-16 16:57, Philip Homburg wrote:
>>>
>>> De FritzBox kon het, maar het werd niet ondersteund. Bij de laatste
>>> update is telnet toegang eruit gesloopt wat nodig is om een bridge
>>> te configureren. Toen heb ik de FirtzBox maar opgegeven een een
>>> Draytex Vigor 130 gekocht. Daar zit bridging gewoon in de web
>>> interface.
>>>
>>
>> Die telnet is wel weer terug te krijgen (tijdelijk, na een reboot is
>> 't weer pleit0s) d.m.v. een simpel Bash-scriptje in een TAR-file
>> gepropt en die gebruiken als FW-update..
>>
>> Google vindt 'em wel als je zoekt op fritzbox en telnet.

Ah, zo krijg je dus de telnet terug, met een 'fake' FW-update.

Bijv. hier (als je Duits een beetje op orde is):
http://www.wehavemorefun.de/fritzbox/Starten_von_telnetd

--
Stef (remove caps, dashes and .invalid from e-mail address to reply by mail)

Life is like a simile.

[Unknown]

Ik heb de hack zoals beschreven in de PPPOnly web pagina niet met
de allerlaatste image geprobeerd, maar sinds dat AVM
de telnet-ingang stukgemaakt heeft heb ik veel succes gehad met
freetz om een image te genereren waar weer telnet inzit.

Ik snap AVM's standpunt naar aanleiding van de veiligheidsincidenten
die ze gehad hebben, het is wel jammer dat ze niet naar de klanten
willen luisteren.

En daarom heb ik (helemaal) geen FB meer nu ik glas heb:
de PPPoE ethernetpoort die eerst aan de FB hangt, hangt nu aan de NTU
en dat bevalt me prima. Hint: het is dan ook eenvoudig om MTU=1500 te maken,
en dat is ook iets wat AVM nog steeds niet kan...

Ik moet de pagina nog eens aanpassen,

Geert Jan

[Jeroen Scheerder]

<Geert> wrote:

> Ik heb de hack zoals beschreven in de PPPOnly web pagina niet met
> de allerlaatste image geprobeerd, maar sinds dat AVM
> de telnet-ingang stukgemaakt heeft heb ik veel succes gehad met
> freetz om een image te genereren waar weer telnet inzit.

Ho hum, dat [1] oogt inderdaad aardig. Het oogt aanlokkelijk om een SSH
daemon op 't LAN interface te starten en iets voor elkaar te krijgen om
persistent IPv6 routes te kunnen zetten.

Gefeliciteerd met glas, maar...

> Ik moet de pagina nog eens aanpassen,

Welke pagina is dat?

-- J$
[1] <http://freetz.org>

[Rob]

Geert Jan <Geert> wrote:
> Ik snap AVM's standpunt naar aanleiding van de veiligheidsincidenten
> die ze gehad hebben, het is wel jammer dat ze niet naar de klanten
> willen luisteren.

Die veiligheidsincidenten hadden toch niet veel met die telnet toegang
te maken? Het probleem daarmee was meer dat creatieve klanten er allerlei
dingen mee konden waar ze geen zicht op hadden, waardoor het lastig was
om ondersteuning te geven.

Er kwam wel een melding dat je ondersteuning weg viel als je dit deed,
maar dat soort meldingen heeft in het consumentenrecht maar beperkte
geldigheid en er waren natuurlijk zat mensen die meteen aankwamen met
dingen als "dat ik een IPv6 route toevoeg dat heeft toch geen invloed
op de performance van VDSL dus jullie moeten gewoon ondersteunen" oid.

Dus hoppa, eruit die mogelijkheid en einde van het gezeur.

[Philip Homburg]

In article <slrnnajki6...@xs9.xs4all.nl>,

Rob <nom...@example.com> wrote:
>Dus hoppa, eruit die mogelijkheid en einde van het gezeur.

Daarom was het bij mij dus, hoppa fritzbox eruit. Juist met een cli kan je
gemakkelijk klanten complex configuraties laten maken zonder dat je daar
allerlei GUI support voor moet bouwen.

En je komt er achter wat men graag wil doen met je routers.

En fritzbox is niet echt een budget merk. Dus waarschijnlijk is de doelgroep
mensen die extra geld uitgeven voor een router die meer kan.

[Rob]

Philip Homburg <phi...@ue.aioy.eu> wrote:
> In article <slrnnajki6...@xs9.xs4all.nl>,
> Rob <nom...@example.com> wrote:
>>Dus hoppa, eruit die mogelijkheid en einde van het gezeur.
>
> Daarom was het bij mij dus, hoppa fritzbox eruit. Juist met een cli kan je
> gemakkelijk klanten complex configuraties laten maken zonder dat je daar
> allerlei GUI support voor moet bouwen.
>
> En je komt er achter wat men graag wil doen met je routers.
>
> En fritzbox is niet echt een budget merk. Dus waarschijnlijk is de doelgroep
> mensen die extra geld uitgeven voor een router die meer kan.

Het probleem is natuurlijk dat de CLI geen router configuratie CLI
is zoals je aantreft bij Draytek, Thomson, Cisco, whatever, maar
een Linux shell prompt waar je kunt doen wat je wilt.

[Philip Homburg]

In article <slrnnak8fa...@xs9.xs4all.nl>,

Rob <nom...@example.com> wrote:
>Het probleem is natuurlijk dat de CLI geen router configuratie CLI
>is zoals je aantreft bij Draytek, Thomson, Cisco, whatever, maar
>een Linux shell prompt waar je kunt doen wat je wilt.

Dan zijn ze helemaal bij de tijd. Je wil helemaal niet dat iedere
router fabrikant weer z'n eigen CLI bij elkaar gaat zitten hobbyen.

[Rob]

Philip Homburg <phi...@ue.aioy.eu> wrote:
> In article <slrnnak8fa...@xs9.xs4all.nl>,
> Rob <nom...@example.com> wrote:
>>Het probleem is natuurlijk dat de CLI geen router configuratie CLI
>>is zoals je aantreft bij Draytek, Thomson, Cisco, whatever, maar
>>een Linux shell prompt waar je kunt doen wat je wilt.
>
> Dan zijn ze helemaal bij de tijd. Je wil helemaal niet dat iedere
> router fabrikant weer z'n eigen CLI bij elkaar gaat zitten hobbyen.

Het probleem is dat je via de CLI de router moet kunnen configureren
en ondanks alle gehak op Microsoft ivm de Windows Registry is de Linux
community er in 25 jaar nog steeds niet in geslaagd om daar een standaard
voor te maken.

[Dirk T. Verbeek]

Op 28-01-16 om 20:14 schreef Rob:

Jawel hoor, je kunt zelfs kiezen.

;)

[Philip Homburg]

In article <slrnnakq4o...@xs9.xs4all.nl>,

En dus is het veel beter om of helemaal geen cli aan te bieden, of om
zelf maar iets te verzinnen. Ja, echt logisch.

[Udo]

On 2016-01-29 11:39, Philip Homburg wrote:
> En dus is het veel beter om of helemaal geen cli aan te bieden, of om
> zelf maar iets te verzinnen. Ja, echt logisch.

Logisch is het om Freetz te installeren en je nix aan te trekken van
dit soort discussies.

We hebben telnet, ssh, en we hebben bridge mode.

Udo

[Rob]

Philip Homburg <phi...@ue.aioy.eu> wrote:
> In article <slrnnakq4o...@xs9.xs4all.nl>,
> Rob <nom...@example.com> wrote:
>>Het probleem is dat je via de CLI de router moet kunnen configureren
>>en ondanks alle gehak op Microsoft ivm de Windows Registry is de Linux
>>community er in 25 jaar nog steeds niet in geslaagd om daar een standaard
>>voor te maken.
>
> En dus is het veel beter om of helemaal geen cli aan te bieden, of om
> zelf maar iets te verzinnen. Ja, echt logisch.

Dat staat er los van. Ze hebben geen router config cli, en er was wel
een telnet naar een Linux shell. Die was niet echt bedoeld voor
router config maar met wat getruuk lukte het er wel mee.
(dat er getruuk nodig is komt omdat er geen standaard Linux router config
via CLI is, dus AVM dit net als iedereen proprietary heeft moeten oplossen)

[Stef]

On 2016-01-26 Stef wrote in xs4all.adsl:
[...]

> Mogelijke andere optie is mijn eigen router er tussen uit te halen en de
> 7360 VPN op te laten zetten met de andere locties. Dan is bridgen dus niet
> meer nodig.

Dit draait nu inmiddels. De Fritzbox zet VPN verbindingen op naar 2
locaties met een Cisco ASA, een 3e moet nog. Tot nu toe (paar uur)
zonder problemen, eens kijken hoe het zich voor langere tijd houd.

Dan nog wat zaakjes rond interne routing en DHCP regelen en dan kan
het kabelmodem de deur uit. Direct al een kleine verbetering gemerkt:
De voip over de VPN tunnels via kabel gaf geregeld haperingen, ook bij
Skype verbindingen zag je die (zonder VPN). Altijd vreemd gevonden met
de internet snelheid zelf was niets mis en de enige 'oplossing' die de
provider bood was het modem resetten. Dat leek dan vaak wat te helpen.
Met mijn vroegere 2/1 Mbit ADSL was dat probleem er niet. Ik heb nu
via vdsl nog geen haperingen gemerkt.

--
Stef (remove caps, dashes and .invalid from e-mail address to reply by mail)

"But Huey, you PROMISED!"
"Tell 'em I lied."

[Stef]

On 2016-01-29 Stef wrote in xs4all.adsl:
> On 2016-01-26 Stef wrote in xs4all.adsl:
> [...]
>> Mogelijke andere optie is mijn eigen router er tussen uit te halen en de
>> 7360 VPN op te laten zetten met de andere locties. Dan is bridgen dus niet
>> meer nodig.
>
> Dit draait nu inmiddels. De Fritzbox zet VPN verbindingen op naar 2
> locaties met een Cisco ASA, een 3e moet nog. Tot nu toe (paar uur)
> zonder problemen, eens kijken hoe het zich voor langere tijd houd.

Toch niet helemaal zonder problemen helaas, ik zie regelmatig deze
meldingen in de log:

01.02.16 17:48:51 VPN connection to remote has been cleared. Cause: 1 Lifetime expired

Direct weer gevolgd door:

01.02.16 17:49:32 VPN connection to remote was established successfully.

Meestal binnen 1 a 2 seconde, maar deze laatste duurde net wat langer.
De clears zijn meestal binnen een uur. Net een testje gedaan door op
1 tunnel een ping te laten lopen (60 sec interval), dit leek te helpen
maar gaf na iets minder dan 2 uur toch weer een clear en een iets langere
connect (die hier boven dus).

Lastige is dat er een service over loopt die je nu steeds ziet re-connecten
na een tunnel restart.

Is er een manier om die Fritzbox zijn tunnels niet te laten clearen?

--
Stef (remove caps, dashes and .invalid from e-mail address to reply by mail)

Force it!!!
If it breaks, well, it wasn't working anyway...
No, don't force it, get a bigger hammer.

[Jeroen Scheerder]

Stef <ste...@yahooI-N-V-A-L-I-D.com.invalid> wrote:

> 01.02.16 17:48:51 VPN connection to remote has been cleared. Cause: 1
> Lifetime expired
>
> Direct weer gevolgd door:
>
> 01.02.16 17:49:32 VPN connection to remote was established successfully.

Dat ziet eruit als een reguliere IPsec rekey, na een lifetime van 3600s.
Normaal gesproken gebeurt dat zo'n rekey door simultaan nieuwe SA's op
te zetten terwijl de oude afgebroken worden, en is dat "aan de
buitenkant" onmerkbaar, dwz zonder onderbreking.

Kennelijk is dat niet zo. Ik zie niet veel in de Fritz om de
phase1/phase2 IPsec parameters (IKE/IPsec SA) te beïnvloeden; wellicht
kan er in Freetz meer.

[Dirk T. Verbeek]

Op 01-02-16 om 19:01 schreef Jeroen Scheerder:

Ik liep hier ruim een jaar gelegen tegenaan toen ik van remote
verbinding maakte met de Fritz thuis.

Elke ~55 minuten wil de Fritz opnieuw verbinden.

Toen er nog telnet toegang was kon je dat naar +/- tien uur verhogen.

[Rob]

Maar zoals Jeroen al schrijft: het is een bug. Wel een bug waar ze
niks aan doen, echter het blijft een bug.

Bij IPsec wordt er normaal gesproken iets voor dat een SA verloopt een
nieuwe opgezet, daarna wordt daar na overgeschakeld en dan verloopt die
vorige SA. Kan zijn dat dat gelogd wordt, maar het is niet goed dat dit
een onderbreking geeft.

Echter, dit is al wel verschillende malen gemeld...

[Dirk T. Verbeek]

Op 01-02-16 om 21:47 schreef Rob:

Ja heel vervelend.

Toch had ik toen begrepen dat het een probleem was in de richting die ik
gebruik, de Fritz als server, ik als remote client.

Als ik het goed begrijp is het bij Stef andersom, de Fritz is de client.

[Stef]

Klopt, bij mij is Fritz de client. Probleem niet eerder gezien toe ik nog
de ASA als client gebruikte.

Maar niets aan te doen dus (met de standaard Fritz box)?

Vreemde is nu wel de tunnel waar ik om de 60 sec een ping doorheen stuur
het nu steeds ca. 1 uur 45 min uithoud. Maar dan wel steeds tot een
minuut nodig heeft voor de re-connect (tijd van de volgende ping?).

De tunnel waar ik niet continu in ping re-connect om de 40 - 55 minuten
maar doet dat dan wel in 1 a 2 seconden.

--
Stef (remove caps, dashes and .invalid from e-mail address to reply by mail)

FORTRAN is a good example of a language which is easier to parse
using ad hoc techniques.
-- D. Gries
[What's good about it? Ed.]

[Dirk T. Verbeek]

Op 01-02-16 om 23:17 schreef Stef:

> On 2016-02-01 Dirk T. Verbeek wrote in xs4all.adsl:
>> Op 01-02-16 om 21:47 schreef Rob:
>>> Dirk T. Verbeek <dver...@xs4all.nl> wrote:
>>>> Op 01-02-16 om 19:01 schreef Jeroen Scheerder:
>>>>> Stef <ste...@yahooI-N-V-A-L-I-D.com.invalid> wrote:
>>>>>
>>>>>> 01.02.16 17:48:51 VPN connection to remote has been cleared. Cause: 1
>>>>>> Lifetime expired
>>>>>>
>>>>>> Direct weer gevolgd door:
>>>>>>
>>>>>> 01.02.16 17:49:32 VPN connection to remote was established successfully.
>>>>>
>>>>> Dat ziet eruit als een reguliere IPsec rekey, na een lifetime van 3600s.
>>>>> Normaal gesproken gebeurt dat zo'n rekey door simultaan nieuwe SA's op
>>>>> te zetten terwijl de oude afgebroken worden, en is dat "aan de
>>>>> buitenkant" onmerkbaar, dwz zonder onderbreking.
>>>>>
>>>>> Kennelijk is dat niet zo. Ik zie niet veel in de Fritz om de

>>>>> phase1/phase2 IPsec parameters (IKE/IPsec SA) te beïnvloeden; wellicht

>>>>> kan er in Freetz meer.
>>>>>
>>>> Ik liep hier ruim een jaar gelegen tegenaan toen ik van remote
>>>> verbinding maakte met de Fritz thuis.
>>>>
>>>> Elke ~55 minuten wil de Fritz opnieuw verbinden.
>>>>
>>>> Toen er nog telnet toegang was kon je dat naar +/- tien uur verhogen.
>>>
>>> Maar zoals Jeroen al schrijft: het is een bug. Wel een bug waar ze
>>> niks aan doen, echter het blijft een bug.
>>>
>>> Bij IPsec wordt er normaal gesproken iets voor dat een SA verloopt een
>>> nieuwe opgezet, daarna wordt daar na overgeschakeld en dan verloopt die
>>> vorige SA. Kan zijn dat dat gelogd wordt, maar het is niet goed dat dit
>>> een onderbreking geeft.
>>>
>>> Echter, dit is al wel verschillende malen gemeld...
>>>
>> Ja heel vervelend.
>>
>> Toch had ik toen begrepen dat het een probleem was in de richting die ik
>> gebruik, de Fritz als server, ik als remote client.
>>
>> Als ik het goed begrijp is het bij Stef andersom, de Fritz is de client.
>
> Klopt, bij mij is Fritz de client. Probleem niet eerder gezien toe ik nog
> de ASA als client gebruikte.
>
> Maar niets aan te doen dus (met de standaard Fritz box)?
>
> Vreemde is nu wel de tunnel waar ik om de 60 sec een ping doorheen stuur
> het nu steeds ca. 1 uur 45 min uithoud. Maar dan wel steeds tot een
> minuut nodig heeft voor de re-connect (tijd van de volgende ping?).
>
> De tunnel waar ik niet continu in ping re-connect om de 40 - 55 minuten
> maar doet dat dan wel in 1 a 2 seconden.
>
>

Er lezen hier mensen mee met veel meer kennis maar mijn eerste indruk is
dan dat er een soort incompatibiliteit is tussen server en Fritz, dus
niet (alleen) een Fritz probleem.

[Rob]

Het komt inderdaad voor dat IPsec versies in gebruik zijn met bugs die
onderling problemen geven op een vreemde manier. Bijvoorbeeld je hebt
3 versies A B C en A-B en B-C werken prima maar A-C geeft dit soort
problemen.

[Stef]

On 2016-02-01 Stef wrote in xs4all.adsl:
> On 2016-01-29 Stef wrote in xs4all.adsl:
>> On 2016-01-26 Stef wrote in xs4all.adsl:
>> [...]
>>> Mogelijke andere optie is mijn eigen router er tussen uit te halen en de
>>> 7360 VPN op te laten zetten met de andere locties. Dan is bridgen dus niet
>>> meer nodig.
>>
>> Dit draait nu inmiddels. De Fritzbox zet VPN verbindingen op naar 2
>> locaties met een Cisco ASA, een 3e moet nog. Tot nu toe (paar uur)
>> zonder problemen, eens kijken hoe het zich voor langere tijd houd.
>
> Toch niet helemaal zonder problemen helaas, ik zie regelmatig deze
> meldingen in de log:
>
> 01.02.16 17:48:51 VPN connection to remote has been cleared. Cause: 1 Lifetime expired
>
> Direct weer gevolgd door:
>
> 01.02.16 17:49:32 VPN connection to remote was established successfully.

Derde VPN gisteren gepoogd aan de praat te krijgen, maar dat wil helemaal
niet lukken. Heeft ook wel een extra complicatie: 1 kant zit achter NAT en
dus moet er volgens mij gebruik gemaakt worden van NAT-T.

Erg informatief is de Fritz ook niet, ik zie alleen een IKE error 0x2027

Later nog maar eens een poging wagen en anders moet die fritz misschien
toch maar vervangen worden. Misschien door een DrayTek Vigor 2860VN+?
Ziet er uit alsof deze de Fritz geheel kan vervangen, wel prijzig. :-(
Anders een DrayTek Vigor 130 VDSL2 - ADSL2/2+ met de oude Cisco er achter.

--
Stef (remove caps, dashes and .invalid from e-mail address to reply by mail)

For every bloke who makes his mark, there's half a dozen waiting to rub it out.
-- Andy Capp

[Rob]

Stef <ste...@yahooI-N-V-A-L-I-D.com.invalid> wrote:
> Derde VPN gisteren gepoogd aan de praat te krijgen, maar dat wil helemaal
> niet lukken. Heeft ook wel een extra complicatie: 1 kant zit achter NAT en
> dus moet er volgens mij gebruik gemaakt worden van NAT-T.

Ja leuk dat maakt het nog complexer... en je verbinding kan dan ook maar
1 kant op opgezet worden, dat moet je ook in de gaten houden.

> Later nog maar eens een poging wagen en anders moet die fritz misschien
> toch maar vervangen worden. Misschien door een DrayTek Vigor 2860VN+?
> Ziet er uit alsof deze de Fritz geheel kan vervangen, wel prijzig. :-(

Ik heb nog wel een 2860n+ liggen ter overname maar die heeft dus geen
voice poorten. IPsec is daarmee probleemloos. Met een Fritz als
tegenpartij heb ik het nooit geprobeerd maar wel met Cisco en Linux.

> Anders een DrayTek Vigor 130 VDSL2 - ADSL2/2+ met de oude Cisco er achter.

Die gebruik ik nu met een MikroTik router erachter. Als je de Fritz
in bridge mode kunt zetten dan heb je in feite hetzelfde.

[Stef]

On 2016-02-05 Rob wrote in xs4all.adsl:
> Stef <ste...@yahooI-N-V-A-L-I-D.com.invalid> wrote:
>> Derde VPN gisteren gepoogd aan de praat te krijgen, maar dat wil helemaal
>> niet lukken. Heeft ook wel een extra complicatie: 1 kant zit achter NAT en
>> dus moet er volgens mij gebruik gemaakt worden van NAT-T.
>
> Ja leuk dat maakt het nog complexer... en je verbinding kan dan ook maar
> 1 kant op opgezet worden, dat moet je ook in de gaten houden.

Ja, het moet natuurlijk niet te eenvoudig worden. ;-)

Dat van een kant hebben we eerder nooit last van gehad met de Cisco-Cisco
oplossing. Deze is inprincipe het zelfde geconfigureerd als de niet NAT
tunnels (overal staat NAT-T gewoon aan). Maar hoe het met de Fritz moet
zijn we helaas nog niet achter.

>> Later nog maar eens een poging wagen en anders moet die fritz misschien
>> toch maar vervangen worden. Misschien door een DrayTek Vigor 2860VN+?
>> Ziet er uit alsof deze de Fritz geheel kan vervangen, wel prijzig. :-(
>
> Ik heb nog wel een 2860n+ liggen ter overname maar die heeft dus geen
> voice poorten. IPsec is daarmee probleemloos. Met een Fritz als
> tegenpartij heb ik het nooit geprobeerd maar wel met Cisco en Linux.

IPsec van Draytek naar Cisco dus OK? En ook met NAT-T (aan de Cisco kant)?
Dat is de oplossing die ik dan zou gebruiken, de draytek vervangt immers
de Fritz. Voice heb ik niet nodig, maar die versie zag ik aleen staan bij
een webshop.

>> Anders een DrayTek Vigor 130 VDSL2 - ADSL2/2+ met de oude Cisco er achter.
>
> Die gebruik ik nu met een MikroTik router erachter. Als je de Fritz
> in bridge mode kunt zetten dan heb je in feite hetzelfde.

Daar was dit draadje nou net om begonnen. De (standaard) Fritz 7360 is niet
in bridge mode te zetten. Dat was namelijk mijn eerte plan: bridge+cisco.

Ik heb overigens ook nog een Draytek Vigor 2130n staan. Wellicht kan die
ook ipv de Cisco. Maar dan zit je nog steeds met 2 kastjes, dus dat
schiet in feite niet op.

--
Stef (remove caps, dashes and .invalid from e-mail address to reply by mail)

The sooner our happiness together begins, the longer it will last.
-- Miramanee, "The Paradise Syndrome", stardate 4842.6

[Rob]

Stef <ste...@yahooI-N-V-A-L-I-D.com.invalid> wrote:
>> Ik heb nog wel een 2860n+ liggen ter overname maar die heeft dus geen
>> voice poorten. IPsec is daarmee probleemloos. Met een Fritz als
>> tegenpartij heb ik het nooit geprobeerd maar wel met Cisco en Linux.
>
> IPsec van Draytek naar Cisco dus OK? En ook met NAT-T (aan de Cisco kant)?
> Dat is de oplossing die ik dan zou gebruiken, de draytek vervangt immers
> de Fritz. Voice heb ik niet nodig, maar die versie zag ik aleen staan bij
> een webshop.

Ik heb met de Draytek nooit met NAT-T getest, maar wel heel veel IPsec
tunnels gebruikt (direct, dus geen GRE of L2TP) en dat werkte altijd perfect.

NAT-T is vast geen probleem.

Ik denk dat de 2860 voor de meeste toepassingen een prima router is,
i.t.t. de Fritzbox is hij ook dual-radio dual-band en je kunt (per band)
4 SSID's aanmaken die op een verschillende manier authenticeren en ook
op een verschillend netwerk kunnen komen.
(dus bijvoorbeeld een aparte SSID die op je VPN kan)

>>> Anders een DrayTek Vigor 130 VDSL2 - ADSL2/2+ met de oude Cisco er achter.
>>
>> Die gebruik ik nu met een MikroTik router erachter. Als je de Fritz
>> in bridge mode kunt zetten dan heb je in feite hetzelfde.
>
> Daar was dit draadje nou net om begonnen. De (standaard) Fritz 7360 is niet
> in bridge mode te zetten. Dat was namelijk mijn eerte plan: bridge+cisco.
>
> Ik heb overigens ook nog een Draytek Vigor 2130n staan. Wellicht kan die
> ook ipv de Cisco. Maar dan zit je nog steeds met 2 kastjes, dus dat
> schiet in feite niet op.

Nee die heeft geen modem zo te zien. De 2860 heeft een ADSL/VDSL modem
en daarnaast ook een gigabit WAN poort waar je glas of een kabelmodem
aan kunt hangen.

[Saul van der Bijl]

Op 26-01-16 om 14:52 schreef Miquel van Smoorenburg:
> In article <8077c$56a75a7c$5f6173bc$21...@abuse.newsxs.nl>,
> Stef <ste...@yahooI-N-V-A-L-I-D.com.invalid> wrote:
>> Aangezien ik wat minder tevreden ben over mijn huidige provider ben ik op
>> zoek gegaan naar een alternatief. Nu bleek ik tegenwoordig via XS4all een
>> 100 Mbit verbinding te kunnen krijgen (vroeger ADSL 2Mbit, te ver van
>> centrale voor 2+). Omdat ik een eigen router gebruik die VPN verbindingen
>> opzet ook eerst nagevraagd of ik de verbinding kan bridgen. Dat kon
>> inderdaad bij XS4all werd mij verteld. Afijn paar dagen de boel besteld
>> en de verbinding is vandaag opgeleverd.
>
> Ik weet niet met wie je gesproken hebt, en wat er gezegd is,
> maar dat klopt niet. Met de Fritzbox router kan je op dit
> moment niet bridgen. En dan nog, XS4ALL gebruikt PPPoE, dus
> dan zou je ook PPPoE op je router erachter moeten doen, en
> niet alle routers kunnen dat.
>
> Maar wat *wel* kan (en het verbaast me dat dat niet genoemd is),
> is een subnet aanvragen. Goed, kost je wel wat extra per maand,
> maar dan heb je een publiek /29 subnet erbij, waarin je je
> eigen router kan hangen.
>
> Mike.
>
Het vervelende is dat WebTV dan niet meer werkt.