Hoi Hoi,
Ik draai hier nu al een 2 tal jaar met een modem-only setup van telenet.
van tijd tot tijd krijg ik heel rare situaties waarbij telenet plots helemaal blokkeert.
Ik zit met de volgende opstelling:
1 modem only --- rechtsreeks aangesloten --- met wan poort van mijn eigen (checkpoint) firewall.
Deze firewall dient ook als router, dhcp, dns .... etc.
Dit draait allemaal al een tijdje heel smooth en dan plots begint het, elke 5h blokkeert alles.
mijn firewall krijgt geen ip, internet, niks meer, tot ik de modem van telenet laat rebooten en dan krijg ik weer een ip.
5h later weer het zelfde liedje.
Als ik ga kijken naar de security logs spreken ze van address spoofing komende van een telenet IP (hylas.telenet.be) naar mijn wan poort.
Heel vreemd eigenlijk. ik heb zelfs een rule toegevoegd waarbij ik DHCP allow met het hele telenet backbone ip subnet.
En nog steeds gebeurt het.
Ik probeer dit ondertussen al verschillende keren bij telenet aan te kaarten, maar zonder success.
ik vraag hun zelfs of er by default bepaalde source ranges of tcp/udp poorten moeten geaccepteerd worden. hier konden ze niet op antwoorden.
Iemand die een zelfde ervaring heeft met bv een pfsense firewall of andere firewall systemen ?
thanks.
Modem Only Blokkert elke 5h, Eigen FW, Address Spoofing
-
- Starter
- Berichten: 22
- Lid geworden op: 21 aug 2013, 10:54
- Twitter: MrLightBulp
- Uitgedeelde bedankjes: 5 keer
Telenet Yugo All-IN-30
iPhone X Proximus: Mob. Enterprise.
MacBook Pro 13" Late 2019
Synology 1513+ DSM 6.2
Intel Nuc: Core i5, 64GB RAM, Esxi 7.2
Palo Alto Networks PA-220
iPhone X Proximus: Mob. Enterprise.
MacBook Pro 13" Late 2019
Synology 1513+ DSM 6.2
Intel Nuc: Core i5, 64GB RAM, Esxi 7.2
Palo Alto Networks PA-220
-
- Deel van't meubilair
- Berichten: 29849
- Lid geworden op: 28 okt 2003, 09:17
- Uitgedeelde bedankjes: 446 keer
- Bedankt: 1985 keer
Laat jij een ping toe van je firewall ?
-
- Starter
- Berichten: 22
- Lid geworden op: 21 aug 2013, 10:54
- Twitter: MrLightBulp
- Uitgedeelde bedankjes: 5 keer
Ok,
De firewall is dus niet de oorzaak blijkbaar.
Het is de switch.
Ik heb een switch opgezet met 2 untagged vlans bijvoorbeeld vlan 10 en 20.
Vlan 20 = public vlan
vlan 20 = waar modem ingestoken wordt, wan poort van de FW en alle digicorders.
vlan 10 = intern vlan enkel intern gerief.
Bijkbaar somehow loopt het mis als ik dit doe.
heb geen zin om een dedicated dumb switch als public switch te gaan gebruiken aangezien ik nu net over genoeg poorten beschik.
Iemand anders same issue ?
De firewall is dus niet de oorzaak blijkbaar.
Het is de switch.
Ik heb een switch opgezet met 2 untagged vlans bijvoorbeeld vlan 10 en 20.
Vlan 20 = public vlan
vlan 20 = waar modem ingestoken wordt, wan poort van de FW en alle digicorders.
vlan 10 = intern vlan enkel intern gerief.
Bijkbaar somehow loopt het mis als ik dit doe.
heb geen zin om een dedicated dumb switch als public switch te gaan gebruiken aangezien ik nu net over genoeg poorten beschik.
Iemand anders same issue ?
Telenet Yugo All-IN-30
iPhone X Proximus: Mob. Enterprise.
MacBook Pro 13" Late 2019
Synology 1513+ DSM 6.2
Intel Nuc: Core i5, 64GB RAM, Esxi 7.2
Palo Alto Networks PA-220
iPhone X Proximus: Mob. Enterprise.
MacBook Pro 13" Late 2019
Synology 1513+ DSM 6.2
Intel Nuc: Core i5, 64GB RAM, Esxi 7.2
Palo Alto Networks PA-220
-
- Deel van't meubilair
- Berichten: 29849
- Lid geworden op: 28 okt 2003, 09:17
- Uitgedeelde bedankjes: 446 keer
- Bedankt: 1985 keer
Wat voor switch is het ?
- devilkin
- Elite Poster
- Berichten: 4884
- Lid geworden op: 17 mei 2006, 20:10
- Uitgedeelde bedankjes: 551 keer
- Bedankt: 341 keer
- Contacteer:
Ik heb iets gelijkaardigs voorgehad toen ik mijn opzet aan het aanpassen was met een nieuwe router waarin een switch port was bijgezet in de vlan voor de WAN connectivity, voor de digicorder. Effect was hetzelfde: telenet modem flipte compleet.
Uiteindelijk bleek het toch mijn eigen fout te zijn - (don't ask me how anymore) ik bleek IP'tjes aan't uitdelen te zijn op de wan kant, en dat vond de modem niet fijn. Dat was toen ook wel het enige... Na herconfiguratie de vlan setup correct gezet, en sindsdien bolt dat hier als een trein.
Uiteindelijk bleek het toch mijn eigen fout te zijn - (don't ask me how anymore) ik bleek IP'tjes aan't uitdelen te zijn op de wan kant, en dat vond de modem niet fijn. Dat was toen ook wel het enige... Na herconfiguratie de vlan setup correct gezet, en sindsdien bolt dat hier als een trein.
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
-
- Elite Poster
- Berichten: 8445
- Lid geworden op: 28 jan 2012, 18:22
- Uitgedeelde bedankjes: 164 keer
- Bedankt: 618 keer
Tis interessant dat het niet werkt.
Misschien interfereer je met de modem pakketjes tussen de modem en de digicorder (zouden die al een vlan tag dragen?).
Het zou leuk zijn om daar eens een simpele cable tap op te zetten en te gaan sniffen met wireshark; op mijn long term todo list
[ Post made via mobile device ]
Misschien interfereer je met de modem pakketjes tussen de modem en de digicorder (zouden die al een vlan tag dragen?).
Het zou leuk zijn om daar eens een simpele cable tap op te zetten en te gaan sniffen met wireshark; op mijn long term todo list
[ Post made via mobile device ]
- Sinna
- Elite Poster
- Berichten: 2417
- Lid geworden op: 14 nov 2008, 08:22
- Twitter: KrSi78
- Locatie: Brugge
- Uitgedeelde bedankjes: 208 keer
- Bedankt: 152 keer
@devilkin: welk gedrag vertoonde de modem dan als die volledig ging flippen? Reden van mijn vraag: om de zoveel tijd lijkt mijn modem te blokkeren, maar een modemreset vanaf Mijn Telenet wordt wél uitgevoerd...
- devilkin
- Elite Poster
- Berichten: 4884
- Lid geworden op: 17 mei 2006, 20:10
- Uitgedeelde bedankjes: 551 keer
- Bedankt: 341 keer
- Contacteer:
Hier ging die volledig hangen, zelfs een eenvoudige powercycle hielp niet meer. Noch telefonie, noch internet werkte nog.
Ik wist niet dat er een optie was om die te resetten vanuit mijn telenet met een naaldje de reset switch induwen van 't toestel werkte. Dan ging die opnieuw zijn config downloaden van telenet en was ie vertrokken...
Ik wist niet dat er een optie was om die te resetten vanuit mijn telenet met een naaldje de reset switch induwen van 't toestel werkte. Dan ging die opnieuw zijn config downloaden van telenet en was ie vertrokken...
Telenet All-Internet -- using CV8560E & OPNsense on PCEngines APU2E4
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
Proximus & Mobile Vikings -- Using OnePlus 8 Pro (ROM: Stock)
-
- Elite Poster
- Berichten: 8445
- Lid geworden op: 28 jan 2012, 18:22
- Uitgedeelde bedankjes: 164 keer
- Bedankt: 618 keer
Laat ons ns beginnen bij het begin, eigenlijk.
"je firewall krijgt geen ip": dat is het begin van alle ellende hier.
Dan is de eerste vraag die bij mij opkomt: Wat is je leasetijd?
Als de router/firewall geen nieuwe lease krijgt, dan ligt het probleem mogelijk bij hem. Stuurt hij een renew uit als de lease halfweg is? Heb je al eens zitten sniffen op de packets tussen de modem en de firewall met wireshark (heb je een hubje voor nodig, of een passive splice).
DHCP protocol is UDP op poort 67 en 68. Probeer die ns te openen (de dhcp server gebruikt 67, de client 68).
Ik ben nu puur aant gokken hier he, maar als de modem wegvalt verliest de wan poort zijn tcp/ip connectie en dus ook zijn ip. Mogelijk gaat de firewall actief op zoek naar een ip als de verbinding terugkomt door een dhcp discover te sturen, en luistert hij in dat geval ook. Daarna kan er mss iets foutlopen bij het re-requesten/verlengen van een ip adres, waardoor de lease vervalt?
[ Post made via mobile device ]
"je firewall krijgt geen ip": dat is het begin van alle ellende hier.
Dan is de eerste vraag die bij mij opkomt: Wat is je leasetijd?
Als de router/firewall geen nieuwe lease krijgt, dan ligt het probleem mogelijk bij hem. Stuurt hij een renew uit als de lease halfweg is? Heb je al eens zitten sniffen op de packets tussen de modem en de firewall met wireshark (heb je een hubje voor nodig, of een passive splice).
DHCP protocol is UDP op poort 67 en 68. Probeer die ns te openen (de dhcp server gebruikt 67, de client 68).
Ik ben nu puur aant gokken hier he, maar als de modem wegvalt verliest de wan poort zijn tcp/ip connectie en dus ook zijn ip. Mogelijk gaat de firewall actief op zoek naar een ip als de verbinding terugkomt door een dhcp discover te sturen, en luistert hij in dat geval ook. Daarna kan er mss iets foutlopen bij het re-requesten/verlengen van een ip adres, waardoor de lease vervalt?
[ Post made via mobile device ]
-
- Starter
- Berichten: 22
- Lid geworden op: 21 aug 2013, 10:54
- Twitter: MrLightBulp
- Uitgedeelde bedankjes: 5 keer
Om even de firewall als de boosdoener uit het probleem te halen:
ik heb het voor met eender welke router / firewall:
- Asus RT-AC66U
- Apple Airport Express
- Firewall
- Pfsense
Alle modellen geven het zelfde probleem vanaf het moment ik de vlan opstelling gebruik.
Als ik de vlan opstelling niet gebruik en rechtsreeks aankoppel (dus kabel = point to point van modem naar firewall) dan werkt het hier perfect.
in het geval van de vlan opstelling in mijn switch (CISCO SG-300 reeks, Full managed switch) dan zal het na 5 tal uur soms pas na 24u falen.
het klinkt eerder als een buffer overflow van de modem.
Alle vlans = untagged Access vlans, dus er is geen tagging.
Maar zoals al eerder vermeld zou het mss kunnen zijn dat de modem het digicorder verkeer tagged met vlan40 en heb je een Tagged in een untagged vlan.
Ik zou het eens moeten testen zonder mijn digiboxen er mee in te steken mss dat het dan blijft draaien.
Cheers.
ik heb het voor met eender welke router / firewall:
- Asus RT-AC66U
- Apple Airport Express
- Firewall
- Pfsense
Alle modellen geven het zelfde probleem vanaf het moment ik de vlan opstelling gebruik.
Als ik de vlan opstelling niet gebruik en rechtsreeks aankoppel (dus kabel = point to point van modem naar firewall) dan werkt het hier perfect.
in het geval van de vlan opstelling in mijn switch (CISCO SG-300 reeks, Full managed switch) dan zal het na 5 tal uur soms pas na 24u falen.
het klinkt eerder als een buffer overflow van de modem.
Alle vlans = untagged Access vlans, dus er is geen tagging.
Maar zoals al eerder vermeld zou het mss kunnen zijn dat de modem het digicorder verkeer tagged met vlan40 en heb je een Tagged in een untagged vlan.
Ik zou het eens moeten testen zonder mijn digiboxen er mee in te steken mss dat het dan blijft draaien.
Cheers.
Telenet Yugo All-IN-30
iPhone X Proximus: Mob. Enterprise.
MacBook Pro 13" Late 2019
Synology 1513+ DSM 6.2
Intel Nuc: Core i5, 64GB RAM, Esxi 7.2
Palo Alto Networks PA-220
iPhone X Proximus: Mob. Enterprise.
MacBook Pro 13" Late 2019
Synology 1513+ DSM 6.2
Intel Nuc: Core i5, 64GB RAM, Esxi 7.2
Palo Alto Networks PA-220
-
- Deel van't meubilair
- Berichten: 29849
- Lid geworden op: 28 okt 2003, 09:17
- Uitgedeelde bedankjes: 446 keer
- Bedankt: 1985 keer
Ik werk nochtans met een gelijkaardig setup (TP-Link met verschillende VLAN's waaronder een "public", en hierachter een Routerboard).
Werkt allemaal zonder problemen... wees dus maar gerust dat het probleem ergens bij jou (in een klein hoekje) zit.
Werkt allemaal zonder problemen... wees dus maar gerust dat het probleem ergens bij jou (in een klein hoekje) zit.
-
- Starter
- Berichten: 22
- Lid geworden op: 21 aug 2013, 10:54
- Twitter: MrLightBulp
- Uitgedeelde bedankjes: 5 keer
Kan je me eens je setup uitleggen.
ik heb 3 vlans:
- Standaard Cisco VLAN 1 (aan geen enkele interface gekoppeld)
- VLAN 10 = Private VLAN
- VLAN 150 = Public Telenet VLAn
Allemaal untagged.
Public vlan = 3 poorten:
- 1 port voor modem
- 1 port voor fw wan poort
- 1 port voor een digibox.
Al de rest zit in mijn private vlan , ook untagged vlan.
Al de poorten die niet in een andere vlan horen staan ingesteld als excluded.
ik heb 3 vlans:
- Standaard Cisco VLAN 1 (aan geen enkele interface gekoppeld)
- VLAN 10 = Private VLAN
- VLAN 150 = Public Telenet VLAn
Allemaal untagged.
Public vlan = 3 poorten:
- 1 port voor modem
- 1 port voor fw wan poort
- 1 port voor een digibox.
Al de rest zit in mijn private vlan , ook untagged vlan.
Al de poorten die niet in een andere vlan horen staan ingesteld als excluded.
Telenet Yugo All-IN-30
iPhone X Proximus: Mob. Enterprise.
MacBook Pro 13" Late 2019
Synology 1513+ DSM 6.2
Intel Nuc: Core i5, 64GB RAM, Esxi 7.2
Palo Alto Networks PA-220
iPhone X Proximus: Mob. Enterprise.
MacBook Pro 13" Late 2019
Synology 1513+ DSM 6.2
Intel Nuc: Core i5, 64GB RAM, Esxi 7.2
Palo Alto Networks PA-220