Post by Maarten Carels[...]
Post by Louis LagendijkPost by Maarten CarelsOp mijn testlijn (en mijn huisnet is tamelijk exotisch van opzet, door
twee lijnen, en allerlei testzooi) draait al een tijdje een 7581, bonded
vdsl, zonder al teveel problemen, 2 maal 110/33 mbit), met
portforwardings, ook op een public subnet.
Hoe heb jij port forwarding geconfigureerd gekregen? Of heb je die onder
6.53 geconfigureerd en daarna niet meer gewijzigd? Forwardings voor een
publiek subnet lukken bij mij per definitie niet.
De publieke ip-adressen staan niet in de drop-down list. En na ze met de
hand ingevoerd te hebben ("Enter the IP address manually")reageert de
7581 met "The IP address is not available."....
De server met publiek IP-adres hangen niet direct aan de Fritzbox maar
achter een pfsense cluster (wat ook proxy arp doet). De servers kunnen
perfect met de buitenwereld communiceren met hun publieke ip-adres
(getest met een ssh naar shell.xs4all.nl en dan het commando last)
Add device for sharing, en dan onder Device Enter IP address manually
Wat niet gaat is als je een device hebt met zowel een private (NAT) als
een publiek adres op hetzelfde MAC adres.
[...]
Ok, het begint te dagen: proxy-arp kan dus niet meer werken achter de
Fritz. Want dan delen alle ip-adressen het mac-adres van de router...
Dan blijft alleen de optie over de externe servers direct aan de Fritz
te hangen. Dat is wel erg vervelend. routing van het publieke subnet
werd officieel al niet gesupport (maar zie 1), nu verdwijnt ook proxy
arp als optie.
Een firewall tussen de Fritz en de servers met publiek IP-adres is nu
niet meer mogelijk. Waarom de Fritz het mac-adres gebruikt ontgaat me
echter (voor IPv4). Dank je wel AVM.....
Post by Maarten CarelsPost by Louis LagendijkPost by Maarten Carels* Als je een apparaat hebt dat zowel een intern als een extern ip heeft,
kan je alleen naar het interne ip forwardings maken. Dit is vooral een
GUI kwestie.
Maar van welk IP-adres wordt dan de port forwarding gedaan? Ik zoek
naarstig naar een methode waarmee ik exposed hosts kan opzetten voor
publieke ip-adressen....
Dat zit achter die pagina. In de settings van het device (Permit
Access->Port Forwarding, en dan het apparaat kiezen (potloodje). In het
scherm dat je dan krijgt kan je portsharings aangeven (voor NATted
devices van het ip van je PPP verbinding naar wat je aangeeft (da's dus
een echte port-forwarding in de NAT wereld), voor publieke ips (en v6)
is het een doorlaten van verkeer). Daar kan je ook een device als
exposed host (apart v4 en v6) aangeven. Aantal is voor v4-publiek net en
v6 niet beperkt, in de NAT wereld tot maximaal 1 uiteraard.
De ellende zit dus in het feit dat de publieke IP-adressen een eigen
mac-adres moeten hebben. De NAT/exposed host GUI kijkt dus (onterecht
voor IPv4) naar het MAC-adres en minder naar het IP-adres.
voor IPv6 kan ik dat nog begrijpen omdat je daar met de interface id
werkt. Voor IPv4 levert dit echter allerlei ellende op, zodat proxy arp
ook niet meer werkt (1 MAC adres, multiple IPv4 adressen). Ik vraag me
af hoe dit uitwerkt voor een floating IP zoals mijn pfsense cluster
gebruikt. De GUI leek inderdaad aardig de weg kwijt als ik een exposed
host defineer voor dat floating IP. Ik begin nu te begrijpen waarom. ik
zag net in de port sharing list dus twee forwardings naar hetzelfde
adres (opgezet naar het floating/CARP adres maar vermeld met een fixed
IP-adres van een van de twee nodes uit het firewall cluster. De ene werd
vermeld als 00-00-00-00-00-00 de andere met een zinvollere naam:
pc-192-168-178-5. ik neem aan de de fritz dus ook de weg kwijt is als
het MAC-adres van een server verandert? Nu eerst maar eens uitzoeken wat
ik nog met pfsense kan doen.
Ik zal nog eens kijken of ik van AVM een wijziging va de forwarding kan
krijgen. De 7581 is voor mij zo volledig onbruikbaar met een publiek
subnet. Ik heb nu een 7369 te leen van XS4all, maar als hier geen
verbetering in komt kan ik beter de 7581 terug sturen en de 7369 houden.
En dan maar wachten tot Draytek met een bonding modem komt of een ander
bonding modem (Zyxel SBG3500/3600???) met fatsoenlijke routing
capabilities die wel serieus standards compliant is. Bij voorkeur een
met die naast routing voor het publieke IPv4 subnet ook ipv6 routing
beheerst. Dan kan ik mijn native IPv6 gaan gebruiken via de pfsense
firewall in plaats van de tunnel met de 7390 of andere Fritz daarachter
voor de DECT. Ik was enthousiast over de 7581 ondat die de firewall voor
delegated prefixes kan openzetten, maar als dat niet meer fatsoenlijk
kan voor het IPv4 subnet dan ben ik niets opgeschoten. Of toch maar mijn
/29 opdoeken? Of toch maar de servers direct aan de Fritz hangen met een
goede firewall per machine. Maar ik was net zo blij met pfsense omdat
die alle rules bij elkaar heeft en voor meer overzicht zorgt.
Maarten, mijn hartelijke dank voor je uitleg. Ik begrijp nu wat er aan
de hand is. Met de 7581 moet je IPv4 routing/firewall blijkbaar omdenken
van IP-adres naar MAC-adres.
groeten, Louis
1) routing werkte overigens voor een kleiner subnet wel: als je het
publieke subnet met een 255.255.255.240 mask defineerde zoals beschreven
in
https://www.xs4all.nl/service/diensten/internet/installeren/modem-instellen/subnet-vas-instellen-op-de-fritzbox.htm)
dan kon de met 255.255.255.248 wel je 8 adresjes routeren). Dat werkt nu
dus ook niet meer.