Modem Only Blokkert elke 5h, Eigen FW, Address Spoofing

MrLightBulp · 05 sep 2015, 10:41

Hoi Hoi,

Ik draai hier nu al een 2 tal jaar met een modem-only setup van telenet.
van tijd tot tijd krijg ik heel rare situaties waarbij telenet plots helemaal blokkeert.

Ik zit met de volgende opstelling:

1 modem only --- rechtsreeks aangesloten --- met wan poort van mijn eigen (checkpoint) firewall.

Deze firewall dient ook als router, dhcp, dns .... etc.

Dit draait allemaal al een tijdje heel smooth en dan plots begint het, elke 5h blokkeert alles.
mijn firewall krijgt geen ip, internet, niks meer, tot ik de modem van telenet laat rebooten en dan krijg ik weer een ip.
5h later weer het zelfde liedje.

Als ik ga kijken naar de security logs spreken ze van address spoofing komende van een telenet IP (hylas.telenet.be) naar mijn wan poort.
Heel vreemd eigenlijk. ik heb zelfs een rule toegevoegd waarbij ik DHCP allow met het hele telenet backbone ip subnet.
En nog steeds gebeurt het.

Ik probeer dit ondertussen al verschillende keren bij telenet aan te kaarten, maar zonder success.
ik vraag hun zelfs of er by default bepaalde source ranges of tcp/udp poorten moeten geaccepteerd worden. hier konden ze niet op antwoorden.

Iemand die een zelfde ervaring heeft met bv een pfsense firewall of andere firewall systemen ?

thanks.

ubremoved_539 · 09 sep 2015, 12:06

Laat jij een ping toe van je firewall ?

Sinna · 09 sep 2015, 18:48

Vanwaar de vraag naar pingbaar zijn? Moet dit dan default kunnen voor een Telenet-modem?

rpr · 09 sep 2015, 19:18

Draai ook pfsense zonder ICMP door te laten en heb geen problemen.
Hoe ik het zou aanpakken is om eens een laptop aan te sluiten op modem en eens te testen of die het ook heeft.

MrLightBulp · 10 sep 2015, 19:45

Ok,

De firewall is dus niet de oorzaak blijkbaar.
Het is de switch.

Ik heb een switch opgezet met 2 untagged vlans bijvoorbeeld vlan 10 en 20.
Vlan 20 = public vlan

vlan 20 = waar modem ingestoken wordt, wan poort van de FW en alle digicorders.

vlan 10 = intern vlan enkel intern gerief.

Bijkbaar somehow loopt het mis als ik dit doe.
heb geen zin om een dedicated dumb switch als public switch te gaan gebruiken aangezien ik nu net over genoeg poorten beschik.

Iemand anders same issue ?

ubremoved_539 · 10 sep 2015, 20:02

Wat voor switch is het ?

10 sep 2015, 21:38

Ik heb iets gelijkaardigs voorgehad toen ik mijn opzet aan het aanpassen was met een nieuwe router waarin een switch port was bijgezet in de vlan voor de WAN connectivity, voor de digicorder. Effect was hetzelfde: telenet modem flipte compleet.

Uiteindelijk bleek het toch mijn eigen fout te zijn - (don't ask me how anymore) ik bleek IP'tjes aan't uitdelen te zijn op de wan kant, en dat vond de modem niet fijn. Dat was toen ook wel het enige... Na herconfiguratie de vlan setup correct gezet, en sindsdien bolt dat hier als een trein.

10 sep 2015, 22:48

Tis interessant dat het niet werkt.
Misschien interfereer je met de modem pakketjes tussen de modem en de digicorder (zouden die al een vlan tag dragen?).

Het zou leuk zijn om daar eens een simpele cable tap op te zetten en te gaan sniffen met wireshark; op mijn long term todo list

[

Post made via mobile device ]

Sinna · 11 sep 2015, 06:12

@devilkin: welk gedrag vertoonde de modem dan als die volledig ging flippen? Reden van mijn vraag: om de zoveel tijd lijkt mijn modem te blokkeren, maar een modemreset vanaf Mijn Telenet wordt wél uitgevoerd...

11 sep 2015, 07:45

Hier ging die volledig hangen, zelfs een eenvoudige powercycle hielp niet meer. Noch telefonie, noch internet werkte nog.

Ik wist niet dat er een optie was om die te resetten vanuit mijn telenet

met een naaldje de reset switch induwen van 't toestel werkte. Dan ging die opnieuw zijn config downloaden van telenet en was ie vertrokken...

11 sep 2015, 13:28

Laat ons ns beginnen bij het begin, eigenlijk.
"je firewall krijgt geen ip": dat is het begin van alle ellende hier.
Dan is de eerste vraag die bij mij opkomt: Wat is je leasetijd?
Als de router/firewall geen nieuwe lease krijgt, dan ligt het probleem mogelijk bij hem. Stuurt hij een renew uit als de lease halfweg is? Heb je al eens zitten sniffen op de packets tussen de modem en de firewall met wireshark (heb je een hubje voor nodig, of een passive splice).

DHCP protocol is UDP op poort 67 en 68. Probeer die ns te openen (de dhcp server gebruikt 67, de client 68).

Ik ben nu puur aant gokken hier he, maar als de modem wegvalt verliest de wan poort zijn tcp/ip connectie en dus ook zijn ip. Mogelijk gaat de firewall actief op zoek naar een ip als de verbinding terugkomt door een dhcp discover te sturen, en luistert hij in dat geval ook. Daarna kan er mss iets foutlopen bij het re-requesten/verlengen van een ip adres, waardoor de lease vervalt?

[ Afbeelding

Post made via mobile device ]

MrLightBulp · 11 sep 2015, 20:52

Om even de firewall als de boosdoener uit het probleem te halen:

ik heb het voor met eender welke router / firewall:

- Asus RT-AC66U
- Apple Airport Express
- Firewall
- Pfsense

Alle modellen geven het zelfde probleem vanaf het moment ik de vlan opstelling gebruik.

Als ik de vlan opstelling niet gebruik en rechtsreeks aankoppel (dus kabel = point to point van modem naar firewall) dan werkt het hier perfect.

in het geval van de vlan opstelling in mijn switch (CISCO SG-300 reeks, Full managed switch) dan zal het na 5 tal uur soms pas na 24u falen.
het klinkt eerder als een buffer overflow van de modem.

Alle vlans = untagged Access vlans, dus er is geen tagging.
Maar zoals al eerder vermeld zou het mss kunnen zijn dat de modem het digicorder verkeer tagged met vlan40 en heb je een Tagged in een untagged vlan.

Ik zou het eens moeten testen zonder mijn digiboxen er mee in te steken mss dat het dan blijft draaien.

Cheers.

ubremoved_539 · 11 sep 2015, 22:10

Ik werk nochtans met een gelijkaardig setup (TP-Link met verschillende VLAN's waaronder een "public", en hierachter een Routerboard).

Werkt allemaal zonder problemen... wees dus maar gerust dat het probleem ergens bij jou (in een klein hoekje) zit.

MrLightBulp · 14 sep 2015, 12:29

Kan je me eens je setup uitleggen.

ik heb 3 vlans:

- Standaard Cisco VLAN 1 (aan geen enkele interface gekoppeld)
- VLAN 10 = Private VLAN
- VLAN 150 = Public Telenet VLAn

Allemaal untagged.

Public vlan = 3 poorten:
- 1 port voor modem
- 1 port voor fw wan poort
- 1 port voor een digibox.

Al de rest zit in mijn private vlan , ook untagged vlan.

Al de poorten die niet in een andere vlan horen staan ingesteld als excluded.