Geen connectie op Telenet SIM via TP-Link 4G Router

xBigGx · ‎09-07-2024

Hoi,

Ik heb een telenet sim card in een TP-Link MR6400 router gestoken en online gekregen. (so far so good)

Ik heb een betalend account op https://account.dyn.com en laat de router daar zijn ip adres updaten.

Dit lukt allemaal .... het ip adres in de router matched het ip adres op de dyndns site.

Echter,

Wanneer ik de router langs de WAN kant probeer te benaderen om in te loggen loopt het dood, ik kan hem zelfs niet pingen.

Ik heb wel degelijk externe configuratie enabled op poort 443 en wan pingen toe gelaten.

Mijn vraag, blokkeerd telenet die handel op zen sim cards of zo ?

Alvast bedankt,

groeten,

Gunther.

Titel gewijzigd door Filip (mod) | Vorige titel: Telenet SIM in TP-Link 4G router (TL-MR6400)

flip1953 · ‎12-07-2024

@thomasdb schreef:
flips optie van 2 recente fritzboxen lost het dus mogelijk ook op , iets duurder dan wel maar (misschien ) iets makkelijker geconfigureerd danwe

Dat moeten geen "recente" FritzBoxen zijn ...

alle FritzBoxen hebben de VPN optie ingebouwd (VPN PSsec).
FritzBoxen met recentere Firmware hebben ook VPN Wiregard optie.
bijvoorbeeld: de 7490 (introductie februari 2013) met recente Firmware (OS 07.57) ondersteunen VPN(IPSec) en VPN(Wiregard).

@thomasdb schreef:
@flip1953 of je enkel de fritz kan bereiken om te configureren of ook andere apparaten daar weet ik niet, moet je dan NAT instellen op die frits en de achterliggende sim apparaten bereiken ' ip fritz bij simkaart: poort naar apparaten in dat netwerk' ?

Misschien beetje off-topic hier, maar om te antwoorden op jouw vraag. Er zijn 2 mogelijkheden op zo'n VPN op te zetten tussen 2 Fritz!Boxen

Client-Server setup
- hierbij maakt de remote FritzBox een VPN verbinding met de FritzBox thuis.
- op de FritzBox thuis wordt een nieuwe VPN gebruiker ingesteld. Voor deze VPN gebruiker wordt een vast intern IP adres gereserveerd op de FirtzBox thuis.
- op de remote FritzBox (vb Fritzbox LTE) wordt een VPN verbinding ingesteld naar thuis. Deze verbinding blijft permanent bestaan (of wordt opnieuw opgebouwd indien de verbinding verloren gaat. De remote FritzBox krijgt dus naast zijn publiek IP adres (of CGNAT) ook een lokaal adres van de FritzBox thuis.
- Van thuis uit kan ik dus de web interface van de remote FritzBox benaderen (lokaal IP adres).
- Hiermee kan je niet aan de andere apparaten die in het remote netwerk zitten (=NAT).
- Deze opstelling is dus perfect als de remote user achter een firewall (of CGNAT) zit, omdat het initiatief voor de VPN verbinding bij de remote user ligt (= uitgaand).
LAN-LAN Setup
- hierbij wordt een (symmetrische) VPN verbinding gemaakt tussen 2 Fritz!Boxen. Voorwaarden zijn:
  - tenminste één van beide FritzBoxen moet bereikbaar zijn vanuit het Internet (dus geen CGNAT). Deze mag desnoods achter een Firewall, als de nodige poorten voor de VPN openstaan
  - de 2 LAN's moeten in een apart subnet zitten (vb thuis = 192.168.178.1/24, remote 192.168.1.1/24)
- indien één van de FritzBoxen niet berikbaar is (vb CGNAT) zal het initiatief van de verbinding door deze FritzBox genomen worden.
- alle apparaten van beide netwerken zijn bereikbaar vanuit beide locaties, net alsof je één netwerk hebt (je kan vb ook printen naar de andere locatie, een DECT toestel van de ene locatie kan uitbellen via de vaste lijn van de andere locatie, etc ...)
- de verbinding kan ingesteld worden als "permanent" - of wordt tijdelijk opgebouwd worden van zodra een toestel uit het andere netwerk opgeroepen wordt.

De TP-Link (TL-MR6400) van de Topic starter heeft ook een aantal VPN mogelijkheden, waardoor deze bijvoorbeeld een LAN-LAN verbinding kan opzetten met de TP-Link router thuis. Misschien een oplossing voor zijn "probleem" ?

thomasdb · ‎12-07-2024

bij de fritz vpn lan lan, hebben alle apparaten dan toch een gescheiden ip adres zuijnde 192.168.0.x en 192.168.1.X

is deze hun subnetmask dan 255.255.253.0?

of hoe kunnen deze aparte subnets toch onderling communiceren dan

je kan in geval van 255.255.255.0 toch niet pingen of bereiken ofzo naar een ander subnet

ivm

de 7490 (introductie februari 2013) met recente Firmware (OS 07.57) ondersteunen VPN(IPSec) en VPN(Wiregard)

welk je stelt,

deze is de oudste voor wireguard en kan niet alle wireguard functies dus geen LAn to LAn denk ik

de 7530 (2018?) is beste tweede keuze en deze zetten het budget toch even achteruit , als je wireguard wil

ipsec kunnen de oudere ook inderdaad maar hoe lang blijven deze nog veilig zonder firmware updates meer ervoor

al degene die wireguard niet ondersteunen worden niet meer gepatcht

de fritz firmwares zitten op de nieuwere boxen al aan 7.81 de 7490 volgt ook al niet meer

xBigGx · ‎13-07-2024

Beide Routers hebben inderdaad VPN mogelijkheden, maar de remote lijkt geen opties te hebben om als 'client' te gaan werken.

Dit had weer te mooi geweest 😉

flip1953 · ‎13-07-2024

@thomasdb schreef:
bij de fritz vpn lan lan, hebben alle apparaten dan toch een gescheiden ip adres zuijnde 192.168.0.x en 192.168.1.X
is deze hun subnetmask dan 255.255.253.0?
of hoe kunnen deze aparte subnets toch onderling communiceren dan
je kan in geval van 255.255.255.0 toch niet pingen of bereiken ofzo naar een ander subnet

Waarom niet? je kan toch ook pingen naar 1.1.1.1. of naar google.be (en dit zit ook niet in je netwerk).

De router zorgt ervoor dat het pakket naar de correcte gateway of via de correcte route gestuurd wordt.

Als ik dus naar 192.168.2.xx ping (mijn eigen LAN is 192.168.178.0/24) dan wordt deze traffiek via de betreffende VPN gestuurd (zonder NAT).

thomasdb · ‎13-07-2024

@flip1953 dat is duidelijk bedankt 🙂

ik veronderstel wel dat in beide lan's het dan het pingen naar ander 'lokaal' subnet enkel werkt als de fritzboxen in beide lans lokaal de gateway en dhcp zijn en anders de lokale clients dit niet zullen kunnen doen dan

had dat ooit al geprobeerd en lukte me niet, maar de fritz was toen niet de gateway

flip1953 · ‎13-07-2024

@xBigGx schreef:
Beide Routers hebben inderdaad VPN mogelijkheden, maar de remote lijkt geen opties te hebben om als 'client' te gaan werken. Dit had weer te mooi geweest 😉

Misschien toch nog wat verder experimenteren met de TP-Link "LAN-LAN" (IPSec) VPN.

Ik neem aan dat je thuis ook een TP-Link hebt met min-of-meer dezelfde mogelijkheden?

de thuis TP-Link zal de remote TP-Link (4G) niet kunnen bereiken, wegens het probleem van gesloten inkomende verbindingen.
maar de remote TP-Link zal wel een connectie kunnen opbouwen met de thuis router.

Van zodra de VPN actief is (op initiatief van de remote router) zouden beide LAN's wederzijds bereikbaar moeten zijn.

Tenzij de thuisrouter de VPN verbinding terug afbouwt ...

De verbinding moet dus permanent zijn (gezien de thuisrouter niet in staat is om de verbinding op te bouwen). Advanced settings?

[EDIT]

Kijk anders eens op: How to configure LAN-to-LAN IPsec VPN on TP-Link Router using the new GUI

en: configuration_guide_for_vpn (tp-link.com)

Bij Advanced settings > Phase 1 settings > Negotiation mode kan je kiezen tussen "Initiator mode" en "Responder mode"

Hiermee kan je volgens mij instellen wie het initatief moet nemen voor het opzetten van de VPN tunnel. In jouw geval dus:

remote router (4G) = Initiator mode (= VPN client)
thuis router = Responder mode (= VPN server)

Met de DPD setting (dead peer detection) geactiveerd op de remote TP link (4G) controleer je de verbinding (keep-alive pakkets?) en wordt deze terug opgebouwd indien verloren.

Xelius · ‎13-07-2024

Hallo,

Ik heb hier reeds gezocht naar een passend antwoord op dit forum maar kon helaas niks vinden.
Ik heb volgende vraag:

Kan een datasimkaart inbound data (inkomend verkeer van het internet naar mijn toestel) aanvaarden?

Telenet biedt 2 APN aan:

telenetwap.be :
Voor standaard SIM kaarten waarmee je ook kan bellen.
Deze geven een CGNAT IP-address (100.x.x.x) aan je toestel waarmee je kan surfen.
mobile.internet.be:
Specifiek voor datasim kaarten (zie: https://www2.telenet.be/residential/nl/klantenservice/mobiel-en-vast/mobiel-instellen-en-gebruiken/m...)
Deze lijken een direct connected IP-address aan te bieden (94.227.x.x).

Mijn toestel met datasimkaart is momenteel verbonden via APN:mobile.internet.be en heeft een (94.227.x.x) address gekregen.
Als ik dynamic DNS records nakijk, blijkt het 94.227.x.x address inderdaad als A record te zijn geregistreed, dus kanik ervan uit gaan dat hier CGNAT niet van toepassing is.

Toch kan ik mijn toestel op geen enkele manier vanop internet bereiken (inbound).
Ping (icmp) gaat niet, Telnet naar specifieke ports gaat niet, Firewall logs geven geen teken van leven, etc.. geen enkele tcp verbinding lukt.

Zou Telenet inbound dataflows op een of andere manier bij hen centraal filteren? (Dit doen ze trouwens ook voor sommige poorten op de standaard coax router.)
Is er iemand in geslaagd om inbound dataflows te laten werken naar hun datasim?
Mis ik iets in mijn config?

Ik kijk uit naar jullie reply.

Alvast bedankt!

Master-Magic · ‎13-07-2024

@Xeliushier îs al een topic met hetzelfde probleem op dit forum te vinden.

zie https://www.netweters.be/t5/Surfen-bellen-sms-en/Telenet-SIM-in-TP-Link-4G-router-TL-MR6400/m-p/1913...

daar wordt grotendeels hetzelfde besproken,

het zou niet mogelijk zijn.

Master-Magic | Krak
https://www.master-magic.be
Vergeet niet om likes te geven en/of als oplossing te markeren.

Fiber: 8500/2400

Xelius · ‎13-07-2024

Dat heb ik inderdaad gezien, maar het is me niet duidelijk welke APN daar gebruikt wordt?

flip1953 · ‎13-07-2024

@Xelius schreef:
Dat heb ik inderdaad gezien, maar het is me niet duidelijk welke APN daar gebruikt wordt?

Geen idee, maar wat maakt het uit?

Daar wordt volledig hetzelfde probleem beschreven: de modem krijgt een publiek IPv4 adres, maar geen inbound trafiek.

Dus het antwoord op je vraag is inderdaad dat Telenet op hun DATA Sim kaarten inkomend verkeer blokkeert (ofwel een tijdelijke bug, ofwel opzettelijk, om bijvoorbeeld het gebruik servers op de "onbeperkte" DATA sims te verhinderden ...).

Xelius · ‎13-07-2024

Wat is dan het nut van 2 verschillende APNs te voorzien?
De ene met CGNAT en de andere niet, maar aangezien inbound dicht staat maakt dit niks uit.

Snarie · ‎14-07-2024

Hi

Wat is je uiteindelijk doel?

Wil je een interne webservice terbeschikking stellen, dan kan je gebruik maken van een Cloudflare Zero Trust tunnel. Deze werkt perfect, ook via een CGNAT verbinding.

Er zijn verschillende posts te vinden op Youtube/Google on how-to-setup.

xBigGx · ‎15-07-2024

Héél erg bedankt voor al deze info, ben een beetje aan het proberen geweest, maar ik vrees dat mijn thuis router te weinig VPN functionaliteit heeft. Ik krijg het niet werkende...

REMOTE TL-MR6400

Hier kan ik redelijk wat instellen en heb ik van wat andere mensen af gekeken.

HOME AX1800

Hier zijn de instel mogelijkheden zo summier, ik heb me rot gezocht naar geavanceerde instellingen maar ze zijn er niet.

Ik vrees dat ik eens ga moeten shoppen naar een ander model.

Xelius · ‎16-07-2024

Cloudflared is inderdaad een mogelijke oplossing voor HTTP flows, maar andere protocols (ssh, ftps) kunnen niet.

flip1953 · ‎16-07-2024

@xBigGx schreef:
Héél erg bedankt voor al deze info, ben een beetje aan het proberen geweest, maar ik vrees dat mijn thuis router te weinig VPN functionaliteit heeft. Ik krijg het niet werkende...

Je zal dit moeilijk werkend krijgen:

Op de remote locatie heb je een TP-Link:
- hierop heb je een LAN-LAN VPN en een VPN server mogelijkheid.
- maar geen VPN Client.
Op de thuis locatie heb je een Netgear router
- hierop heb je een VPN server en een VPN Client mogelijkheid.
- maar geen LAN-LAN VPN optie.

Gezien de remote geen inkomende connectie toelaat, heb je eigenlijk 2 VPN opties:

LAN-LAN (maar dan moet je wel aan beide zijden met hetzelfde merk werken denk ik (dus een TP-Link router thuis?)
VPN Cliënt op de remote en VPN server op de thuis locatie.

Misschien toch de Cloudfare oplossing proberen?

24751 netweters	152340 antwoorden
20691 vragen	6539 oplossingen