DOCSIS 3.1 E-ROUTER in bridge > IP probleem

Sceppi · ‎20-12-2022

Hoi,

Tot voor kort had ik een oudere telenet router met daar achter mijn eigen router (Edgerouter X). Nadeel was dubbel NAT. De telenet router zat op 192.168.1.X, mijn eigen router kreeg het Ip adres 192.168.1.12 en deelde IP adressen uit in de 192.168.2.0/24 range. Ik had in de telenet router 192.168.1.12 staan als DMZ, zodanig dat ik externe verbinding kon maken (bv. via VPN) met mijn eigen router. Uiteraard heb ik alle firewalls actief staan in de Edgerouter X voor beveiliging.

Echter, omwille van de dubbel NAT had ik problemen met hairpin NAT. Daarom omgeschakeld naar een nieuwe E-router welke ik in bridge modus kon zetten. Dit werkte prima, door het MAC adress van mijn router in de bridge instellingen in te geven. Bovendien waren de dubbel NAT problemen van de baan...

...Echter, nu werkte mijn VPN verbinding niet meer.

Er dan achter gekomen dat mijn DMZ nog steeds op 192.168.1.12 stond, echter door de bridge modus was dit niet langer correct. Mijn eigen router kreeg immers geen eigen IP adres meer van de telenet router. Op mijn telenet wou ik dan DMZ adres veranderen naar 192.168.2.1 (IP adres van mijn eigen router), echter het LAN subnet van de telenet router stond nog op 192.168.1.1. Bijgevolg kon ik enkel DMZ in 192.168.1.X instellen, terwijl mijn eigen netwerk in de 192.168.2.0/24 range zat.

Dan maar intern opnieuw wat zaken aangepast. Mijn eigen router op 192.168.2.2 gezet en de telenet LAN subnet op 192.168.2.1 gezet. Eigen router nog steeds in bridge laten staan. Nu kon ik DMZ op 192.168.2.2 instellen, dus ging ervan uit dat ik mijn VPN opnieuw aan de praat ging krijgen.

Echter, nog steeds geraak ik niet verbonden. Ik dacht, misschien is mijn extern IP veranderd, dus dat even gecheckt.

Wat ik echter niet begrijp:

Wanneer ik 'What is my IP intyp' in google, krijg ik 84.196.199.XXX te zien
Wanner ik kijk onder mijn telenet, dan zie ik 84.196.205.XXX te zien

2 verschillende externe IP's?? Ik heb ze bovendien beiden uitgeprobeerd in mijn VPN, maar met geen van beiden geraak ik verbonden. Alle VPN instellingen zijn nochtans onveranderd gebleven.

Wat doe ik hier fout of wat zie ik over het hoofd?

Arnie · ‎20-12-2022

DMZ is een NAT functie, eigenlijk een catch-all voor al het inkomende verkeer wat niet via een port-forwarding regel naar een bepaalde interne host gestuurd wordt.

Wanneer je de e-router in bridging modus set voor het MAC adres van je eigen router, wordt al het IPv4 verkeer van en naar je eigen router niet geNAT. Het wordt door de e-router "getunneld". DMZ is dus ook niet van toepassing.

@Sceppi schreef:
Wat ik echter niet begrijp:
Wanneer ik 'What is my IP intyp' in google, krijg ik 84.196.199.XXX te zien
Wanner ik kijk onder mijn telenet, dan zie ik 84.196.205.XXX te zien

Dit is perfekt normaal. De E-router blijft zijn normale functie behouden als NAT router, voor al het verkeer afkomstig van andere apparaten die eraan verbonden zijn. De router krijgt hiervoor nog altijd een publiek IPv4 van Telenet.

Enkel jouw eigen, wordt "getunneld" en krijgt ook een eigen publiek IPv4 adres, en doet zijn eigen NAT.

Als jouw eigen router de VPN server is, of een host achter de eigen router, dan dienen de remote clients dus het IP adres te gebruiken wat je via watismijnip ziet.

   Arnie | Krak
   Meten is weten. Gissen is missen.
    Vergeet niet om likes te geven en/of als oplossing te markeren.

Sceppi · ‎20-12-2022

Thanks.

Ondertussen gecheckt en gevonden dat de 1723 (PPTP) port wel degelijk open staat via het ip adress 'what is my ip'.

Ik kan ook perfect mijn NAS bereiken via mijn extern IP. Het probleem lijkt dus specifiek bij mijn VPN te liggen. Eigenaardig, want heb daar niets aan de instellingen gewijzigd. Zal even verder zoeken zijn...

Ik begrijp dat DMZ en wellicht ook port forwarding niet van toepassing zijn in geval van bridge mode. Ik had met andere woorden het LAN subnet van mijn telenet E-router perfect op 192.168.1.1 kunnen laten staan en mijn eigen LAN op 192.168.2.0/24 kunnen laten staan, correct?

flip1953 · ‎20-12-2022

@Sceppi schreef:
Ik begrijp dat DMZ en wellicht ook port forwarding niet van toepassing zijn in geval van bridge mode. Ik had met andere woorden het LAN subnet van mijn telenet E-router perfect op 192.168.1.1 kunnen laten staan en mijn eigen LAN op 192.168.2.0/24 kunnen laten staan, correct?

Het eerst wat je moet doen is onmiddeliijk LAN subnet van de E-router terug zetten (ik zou deze gewoon op de originele waarde laten staan, namelijk 192.168.0.0/24). Je mag absoluut niet de Telenet E-router en je eigen router in hetzelfde subnet zetten.

Zorg er ook voor dat geen enkele toestel verbonden is met de E-router (behalve je digicorders(s), en dat de Telenet E-router verbonden is met de WAN poort van jouw eigen router.

Je hebt nu 2 (volledig gescheiden) netwerken, elk met een eigen publiek IPv4 adres. Negeer het IPv4 adres dat je ziet in "Mijn Telenet": dat is het adres van de Telenet router (die je dus niet gebruikt).

Jouw VPN moet je nu kunnen bereiken via het IPv4 adres dat jouw router gekregen heeft. Je kan dat adres heel waarschijnlijk terugvinden bij de WAN instellingen van jouw router. Beter nog: gebruik de dyndns client van jouw router om jouw extern IPv4 een "hostname" toe te kennen.

Last but not least: test jouw VPN verbinding vanop een remote locatie, niet van bij jou thuis. Of je kan een laptop aansluiten op de Telenet E-router en op die manier VPN testen (voor jouw Edge X router is de Telenet E-router nu ook een "externe" locatie).

Arnie · ‎21-12-2022

@Sceppi schreef:
Ondertussen gecheckt en gevonden dat de 1723 (PPTP) port wel degelijk open staat via het ip adress 'what is my ip'.

Nog even iets anders. De meest recente Android versies ondersteunen geen PPTP meer. Het protocol lijk te gaan verdwijnen. Ik zou dus adviseren over te stappen op een moderner en veiliger VPN protocol.

Waar bevind zich je VPN server? Je vermeld port-forwaring, wat er op zou duiden dat je een VPN server achter je Edgerouter hebt. Misschien de NAS, of een PC?

Ik ken de OS releases van de Edgerouter X niet, maar Unifi ondersteunt in zijn laatste OS versies WireGuard. Misschien is dat een alternatief. Dan kun je het gelijk op de router zelf instellen, zonder gebruik te hoeven maken van een achterliggende server. Ik weet niet of dit inmiddels ook al op de Edgerouter mogelijk is.

   Arnie | Krak
   Meten is weten. Gissen is missen.
    Vergeet niet om likes te geven en/of als oplossing te markeren.

Sceppi · ‎21-12-2022

@flip1953 schreef:
@Sceppi schreef:
Ik begrijp dat DMZ en wellicht ook port forwarding niet van toepassing zijn in geval van bridge mode. Ik had met andere woorden het LAN subnet van mijn telenet E-router perfect op 192.168.1.1 kunnen laten staan en mijn eigen LAN op 192.168.2.0/24 kunnen laten staan, correct?
Het eerst wat je moet doen is onmiddeliijk LAN subnet van de E-router terug zetten (ik zou deze gewoon op de originele waarde laten staan, namelijk 192.168.0.0/24). Je mag absoluut niet de Telenet E-router en je eigen router in hetzelfde subnet zetten.

Yes, done. Dat was het geval, maar had dit aangepast owv DMZ... maar ondertussen dus duidelijk dat dit niet nodig is in bridge mode

Zorg er ook voor dat geen enkele toestel verbonden is met de E-router (behalve je digicorders(s), en dat de Telenet E-router verbonden is met de WAN poort van jouw eigen router.

Is het geval (en was voordien reeds zo)

Last but not least: test jouw VPN verbinding vanop een remote locatie, niet van bij jou thuis. Of je kan een laptop aansluiten op de Telenet E-router en op die manier VPN testen (voor jouw Edge X router is de Telenet E-router nu ook een "externe" locatie).

Heb ik gedaan. Ik ben mij bewust dat dit vanuit het eigen netwerk meestal niet gaat (hairpin NAT kan dit wel toelaten). Maar ook hier krijg ik hem niet werkend

Sceppi · ‎21-12-2022

@Arnie schreef:
@Sceppi schreef:
Ondertussen gecheckt en gevonden dat de 1723 (PPTP) port wel degelijk open staat via het ip adress 'what is my ip'.
Nog even iets anders. De meest recente Android versies ondersteunen geen PPTP meer. Het protocol lijk te gaan verdwijnen. Ik zou dus adviseren over te stappen op een moderner en veiliger VPN protocol.
Waar bevind zich je VPN server? Je vermeld port-forwaring, wat er op zou duiden dat je een VPN server achter je Edgerouter hebt. Misschien de NAS, of een PC?
Ik ken de OS releases van de Edgerouter X niet, maar Unifi ondersteunt in zijn laatste OS versies WireGuard. Misschien is dat een alternatief. Dan kun je het gelijk op de router zelf instellen, zonder gebruik te hoeven maken van een achterliggende server. Ik weet niet of dit inmiddels ook al op de Edgerouter mogelijk is.

Dit zou wel eens de reden zijn. Ik test de PPTP inderdaad met mijn android telefoon. Dit werkte vroeger altijd, maar nu recent dus niet meer. Dit kan de verklaring zijn.

Verder gebruik ik PPTP in feite quasi nooit. Heb dit ooit opgezet om als VPN te testen, maar in de praktijk gebruik ik OpenVPN vanop mijn PC. Echter nu recent vastgesteld dat deze PPTP niet meer werkt en dacht ik dat het aan de bridge modus lag, maar kan dus aan android liggen ook.

Mijn VPN server bevindt zich wel degelijk in de edgerouter X zelf. Ik sprak over port forwarding om mijn NAS te bereiken en dit lukt prima. De VPN draait echter niet op de NAS maar op de router zelf. Zowel PPTP als OpenVPN krijg ik recent echter niet meer werkend. PPTP kan zoals gezegd aan android liggen, aangezien ik dit enkel op mijn smartphone heb getest. OpenVPN zal ik eens opnieuw configureren. Mogelijk dat ik toch opnieuw de OpenVPN key's e.d. moet regenereren als gevolg van de nieuwe router opzet.

Wireguard is mij gekend maar nog niet de tijd gehad om te bekijken. Heb hier inderdaad goede zaken over gelezen naar performance tov OpenVPN. Staat op mijn to-do om eens te testen 🙂

Dank alvast voor de suggesties, zeker wat betreft PPTP en android, dit was nieuwe info voor mij. PPTP is inderdaad outdated...

Sceppi · ‎21-12-2022

Ter info: PPTP profiel gedelete op mijn smartphone ... en kan deze nu zelfs niet meer toevoegen. Enkel nog L2TP/IPSEC natively.

Het oude PPTP profiel was dus blijven staan na een update, maar wordt dus niet meer ondersteund!

Top. Nu even verder testen met de andere protocols

41175 netweters	17748 gesprekken
19178 vragen	5994 oplossingen