Telenet Corporate Fibernet en Mikrotik

[guntherstassen]

Heeft hier iemand al ervaring met Telenet Corporate Fibernet en Mikrotik op alles op 1 Mikrotik firewall aan de praat te krijgen ipv 2 firewalls te moeten gebruiken.

Je krijgt dus een COAX Gateway wat uiteindelijk uw break-out is naar het internet toe
Je krijgt dan een WAN-ipadres wat uw eigen gateway gaat zijn. (mijn eerste router/firwall)
En dan heb je bv 6 public IP-adressen (wat mijn 2de firewall is)

Ik zou alles willen laten werken op 1 firewall ipv 2 te moeten gebruiken.

Kan hier iemand mij mee helpen?

[ubremoved_2964]

Geen idee, maar je verwacht:

een subnet voor het segment tussen jouw WAN poort van je router en hun coax dingetje, waar jij een IP op krijgt voor je WAN, en een default gateway naar hen, daarvoor is een /30 al voldoende)

een subnet met 6 bruikbare IP's (dat zal wellicht dus een /29 zijn), dus 5 hosts en één gateway voor die 5 hosts
of beter een /28 dan heb je 7 van de 14 bruikbare IP's in zo'n subnet in gebruik, waarvan je router er ook eentje afsnoept, dus 13 host IP's

Als ze niet met twee subnetten werken, zal je moeten transparant bridgen met bridgefiltering, maar netjes is dat niet.

[guntherstassen]

Dit is de mail van Telenet die ik heb gekregen. Het gaat hier inderdaad over public /29 ip-adressen
Met 2 Mikrotiks achter elkaar lukt het maar wil dit op 1 mikrotik aan de praat krijgen.

Public LAN range: 84.xxx.xxx.72/29
COAX Gateway: 82.xxx.xxx.69
WAN address: 82.xxx.xxx.70

Op een Cisco router ziet deze configuratie er als volgt uit:

interface GigabitEthernet0
description ### WAN ###
ip address 82.xxx.xxx.70 255.255.255.252
duplex auto
speed auto
!

De publieke LAN range kan u dus gebruiken op uw LAN zijde.
Dit wil zeggen dat alle toestellen die een IP-adres uit deze reeks zullen ontvangen, ook publiek bereikbaar zullen zijn.
Het eenvoudigste is dat u het eerst bruikbare IP-adres uit deze reeks gebruikt op de LAN interface van uw router. Dit wordt met andere woorden de gateway voor uw eigen netwerk.
Deze configuratie ziet er als volgt uit op een Cisco router:

interface Vlan1
description ### LAN ###
ip address 84.xxx.xxx.72 255.255.255.248
!

Om met deze LAN reeks nu op het internet te geraken, dient u een IP-route mee te sturen in uw configuratie.
Deze IP-route zal duidelijk maken aan uw netwerk, dat alle verkeer van binnen in uw netwerk (de LAN-range) zijn weg via de COAX gateway naar buiten vindt, direct naar het Telenet netwerk.

Deze configuratie ziet er als volgt uit op een Cisco router:

ip route 0.0.0.0 0.0.0.0 82.xxx.xxx.69

[ubremoved_2964]

Public LAN range: 84.xxx.xxx.72/29
COAX Gateway: 82.xxx.xxx.69
WAN address: 82.xxx.xxx.70

Dit kan toch op één router?

Kinderspel op bvb een linux bak met twee ethernet poorten.

op de WAN (bvb eth0) config je 82.xxx.xxx.70 als ip en als default gateway voor je eigen linux router 82.xxx.xxx.69
op de LAN (bvb eth1) config je je eigen router op het laatste IP in dat subnet -1 (laatste IP is immers broadcast adres) en dan heb je nog 5 IP's daaronder om aan je hosts toe te kennen
op je hosts config je je eigen default gateway, niet die van telenet

telenet kent reeds de reverse route tot aan je hosts, en klaaar

[SpecialK]

Wil je geen NAT gebruiken? Maw: heb je maximaal 5 toestellen die je rechtstreeks met een publiek IPv4 adres aan internet wil hangen? Dat kan, maar het zou me verbazen.

Ik heb een OpenWRT routertje en ik heb een extra interface aangemaakt waarop ik één van die LAN IP-adressen heb geconfigureerd. En dan kan ik met port forwards bepaalde poorten naar mijn interne hosts sturen. Outbound kan ik source NAT configureren zodat alle trafiek van mijn "LAN IP" komt. Ik vermoed dat dit met een Mikrotik ook wel moet kunnen.

[jeffke]

je krijgt dus 2 ranges.
/30 : point-to-point die je verbinding is met telenet.
/29 : je eigen ip's.

/30 : op Wan interface.
/29 : op Lan interface.
Default static route naar /30 (ip adres bij telenet).

[Tomsworld]

Sympathiek nog dat ze een /30 geven kan efficiënter, een /31 zou ook kunnen .

maar idd je officieel /29 is een vlan zoals een ander op je lan kant, anders moet je een iets duidelijkere tekening maken met ook theoretische interne ranges.

[ubremoved_2964]

Sympathiek nog dat ze een /30 geven kan efficiënter, een /31 zou ook kunnen .

maar idd je officieel /29 is een vlan zoals een ander op je lan kant, anders moet je een iets duidelijkere tekening maken met ook theoretische interne ranges.

Die /31 is wel grappig, gezien linux /31 zonder moeite zal trekken (bvb bij het uitdelen van een private openvpn tunnel IP op een /31, één van de twee ip's is jouw tunnel ip, ander dat van de vpn server) maar windoze doet blijkbaar geen /31 en heeft minstens een /30 nodig (dat beweert openvpn tenminste).

Al mijn klanten krijgen een tunnel ip in een dedicated /30 per klant, dan heb je 64 klanten per /24 subnetje.
Gezien 172.20-31.*.* ranges meer dan genoeg /30 subnetjes beschikbaar

[ITnetadmin]

/31 is een uitzondering op bestaande ip regels en niet alle toestellen kunnen dit aan, spijtig genoeg.

[splinterbyte]

Hoeveel kost corporate fibernet eigenlijk?
En wat zijn de speeds daar?
Gebruiken ze hier een andere modem only?

[serialchiller]

beetje off-topic, maar als je kan surfen naar de website van Telenet lees je
tot 240/25 in down/up, incl VDSL2-backup (met zelfde fix- ip range) en optioneel gegarandeerde bandbreedte
onbeperkte data.

wat er niet (met zoveel woorden) staat

Maar vooral! je zit in andere frequentiebanden op de coax! + apart vlan eenmaal voorbij de cmts op de echte fiber.
zelfde modem-only + HP-router voor failover naar VDSL2 en hun routing/monitoring

basis corp fibernet kost zo'n €260 dacht ik...(geen factuur bij de hand) *edit*: zie reactie hieronder

ON TOPIC:

@gunterstassen We willen graag helpen, maar je gewenste setup is niet duidelijk. Op een mikrotik kan je ongetwijfeld meerdere interfaces instellen als WAN.

[izidoor]

https://www2.telenet.be/nl/business/pro ... -fibernet/
Klik op tarieven voor specificaties.
165-235-265 en 620euro *ex btw
incl VDSL back-up
* Exclusief huur router twv € 25/maand

[splinterbyte]

Maar vooral! je zit in andere frequentiebanden op de coax! + apart vlan eenmaal voorbij de cmts op de echte fiber.

Ah, dacht dat dit bij BI240+ ook al was?

[serialchiller]

Mij heeft onze TN-account manager gezegd pas vanaf corporate, maar dat is al even geleden. Kan dus achterhaald zijn. Kan je garanteed bandwidth krijgen bij businness, dan wellicht wel.

[splinterbyte]

Bij het overschakelen naar een ander internet product krijg je een email met specs als hieronder, maar denk idd niet dat er echt iets gegarandeerd wordt:

Code: Selecteer alles

Uw internetsnelheid
Hieronder ziet u de gemiddelde, haalbare breedbandsnelheid op uw installatieadres.

Business Fibernet 240 plus (xxxxxx) 			 Download 		Upload
Gemiddelde snelheid buiten piekuren 			 216 Mbps 		18 Mbps
Minimumsnelheid tijdens piekuren (19u-23u) 	200,56 Mbps 	18 Mbps
Maximumsnelheid tijdens piekuren (19u-23u) 	240 Mbps 		20 Mbps
Volume (inbegrepen in uw internetabonnement) 	4 TB

en sorry voor de topic hijacking

[guntherstassen]

OFF TOPIC :
Enkel bij het duurste product heb je gegarandeerde snelheid van 5 mbps.
240/25 Mbps 5 Mbps 30/6 Mbps € 620

Ik heb de 60/6 genomen ZONDER VDSL backup opdat ik zelf een VDSL-lijn heb met 32-IP Pack.
Snelheid wat ik haal is +/- 55 mbps down en 5.5 mbps up.

ON TOPIC :
Ik heb dus hetvolgende ontvangen van telenet (zoals hier boven in de topic)
Public LAN range: 84.xxx.xxx.72/29
COAX Gateway: 82.xxx.xxx.69
WAN address: 82.xxx.xxx.70

Ik gebruik nu 2 mikrotiks om de boel klaar te krijgen.
TN-Modem -> Miktorik Router 1
ETH1 is mijn WAN : 82.xxx.xxx.70
ETH2 is mijn LAN (mijn gateway voor mijn /29) : 84.xxx.xxx.72

Mikrotik Router 1 -> Mikrotik Router 2
ETH1 is mijn WAN : 84.xxx.xxx.73/29
ETH2 is mijn LAN : 192.168.1.1

Achter Mikrotik 2 hangt bv een server op poort 80
Die server is voor de buitenwereld aanspreekbaar op 84.xxx.xxx.73:80

Nu wil ik dus dat ik alles op 1 Mikrotik kan zetten zodat ik geen dubbele firewall moet gebruiken.

[guntherstassen]

OFF TOPIC :
Mijn rederen voor de Telenet Corporate Fibernet te nemen is dat ik met een VOIP provider werk via een SIP-TRUNK (geen registratie maar op IP-niveau)
Je krijgt bv bij een Telenet Business een FIX ip-adres maar uw eigenlijke IP-adres (Break-out) is niet uw FIX-ipadres maar van de TELENET node die u op het internet eindelijk zet... (BV de Node van Hasselt/Sint-truiden etc).. ook al doe je via whatismyip.com een check en zie je wel degelijk uw eigen IP-ipadres staan maar in de meeste gevallen wordt er naar uw break-out gekeken.

Mijn Voip provider zag een request van die node en niet van mijn FIX-ipadres.

Om dit wel werkend te krijgen heb je dus bv een /29 public IP-adres nodig om dit werkend te krijgen en dit krijg je pas bij een Corporate van Telenet (Of de duurdere Buz Abon. van Belgacom)

Dan zit je achter uw eigen breakout... in mijn geval gaat al mijn IP-adressen wat ik heb van 84.xxx.xxx.72/29 mijn break-out het ip-adres 82.xxx.xxx.69 zijn. maar alles wat achter 82.xxx.xxx.69 hangt is toch van mij en kan er geen misbruik van gemaakt worden dat iemand anders op mijn kosten kan bellen.

[guntherstassen]

Off Topic :
Ik betaal nu 135 excl/maand zonder VDSL voor 60/6 voor een 8-ip-pack

Hun firewall heb ik niet genomen omdat alles zelf in beheer wil hebben en ik toch geen BGP gebruik.

[Yarisken]

Op mijn werk hebben we ook interesse in fibernet. Ook wel interesse hoe je dit op 1 firewall krijgt.

[Benbits]

Wat zit er achter de 72? rechtstreeks op een toestel?

b.

[ubremoved_539]

Op Mikrotik kan je toch zoveel IP-adressen definiëren als je wil op een interface.

Verder is het pure routing, filtering en NAT wat je moet doen... ik zie niet meteen een probleem ?

[splinterbyte]

Met BF240+ kan je ook perfect voip doen hoor, zelfs met trunk.
De setup is dan zelfs niet zo complex met meerdere subnets ofzo, je krijgt je static IP via dhcp op het ingestelde mac address. IPv6 gaat ook.
Nadeel is dan wel dat je maar 1 static ipv4 hebt. Ik doe dan 1/1 NAT vanaf voip provider range naar pbx.
Je kan wel tot 8 dynamic IPs krijgen op die lijn, dus handig als je je server net wil scheiden van je clients.

[jeffke]

Met corporate fibernet kan je gegarandeerde bandbreedte nemen,bij BF240+ niet.
Bij bedrijven met voip lijkt me dit toch een vereiste.

[SpecialK]

Bij bedrijven met voip lijkt me dit toch een vereiste.

Opgelet, het is gegarandeerde bandbreedte, geen QoS! Bij QoS bepaal je ook welke trafiek gebruik mag maken van de gegarandeerde bandbreedte. Bij zuivere gegarandeerde bandbreedte zonder differentiatie van trafiek garandeert men dat je er 5 Mbps doorkrijgt, maar het kan best zijn dat een Youtube-filmpje met het merendeel van die bandbreedte gaat lopen

Wat betreft routering: kijk even terug naar mijn eerdere post ivm OpenWRT: loopback interface aanmaken en die gebruiken als source voor NAT. Ik vermoed dat een routerboard dat ook wel kan.

[guntherstassen]

Met BF240+ kan je ook perfect voip doen hoor, zelfs met trunk.
De setup is dan zelfs niet zo complex met meerdere subnets ofzo, je krijgt je static IP via dhcp op het ingestelde mac address. IPv6 gaat ook.
Nadeel is dan wel dat je maar 1 static ipv4 hebt. Ik doe dan 1/1 NAT vanaf voip provider range naar pbx.
Je kan wel tot 8 dynamic IPs krijgen op die lijn, dus handig als je je server net wil scheiden van je clients.

Met een SIP Trunk van Colt wordt er degelijk naar uw break out gekeken... En dat is bij een Bus Fiber uw Node van Telenet die bij u in de buurt staat. Dit had ik dus zelf aan de hand (vandaar nu Corporate Fibernet voor een /29 te hebben omdat uw breakout uw kabel modem is) en Telenet 2de support lijn heeft dit ook bevestigd dat dit het probleem is in combinatie met betere SIP Providers.

Je kan perfect SIP TRUNKS opzetten met Delmont (of klonen er van), Weepee etc maar dit zijn maar kleinere spelers die niet betrouwbaar zijn voor in de bedrijfswereld en kan je perfect met een gewone Bus Fibernet (omdat hier meestal een registratie via gebruikersnaam en wachtwoord wordt gedaan)
Voor bedrijven neem je een deftige SIP provider zoals Destiny, Colt, BT, etc met een MPLS-lijn.. Maar Proximus kon mij op deze lokatie maar 1/1 mbps garanderen en dat is net iets te weinig voor een trunk met 30 kanalen vandaar dat dit over een SIP TRUNK moest.

[guntherstassen]

Wat betreft routering: kijk even terug naar mijn eerdere post ivm OpenWRT: loopback interface aanmaken en die gebruiken als source voor NAT. Ik vermoed dat een routerboard dat ook wel kan.

Ik ga dit morgen eens verder uittesten. Laat zeker jullie weten als alles werkt en indien het ook werkt zal ik de config hier op zetten.

[SpecialK]

Met een SIP Trunk van Colt wordt er degelijk naar uw break out gekeken...

Dat begrijp ik toch niet echt; wat is die break-out juist? Een IP-pakket bevat toch enkel source en destination, geen tussenliggende hops?

[guntherstassen]

toch kijkt COLT naar uw HOPS maar weet niet hoe

Ik heb als backup een VDSL (Buz Pack) met een /28 reeks...
De Thomsom-modem heeft als WAN-poort 91.xxx.xxx.xxx maar mijn IP-Reeks is 81.XXX.XXX.XXX en colt ziet dan ook mijn 91.xxx.xxx.xxx als inkomend IP-adres bij hun.

Indien je Telenet hebt moet je maar eens een tracert-route doen (ook is uw IP-adres correct weergegeven bij whatismyip.com of andere sites)

Tracing route to 187.241-14-84.ripe.coltfrance.com [84.14.241.187]-> Fix IP-adres Bus Fiber Telenet waar ik mee buiten ga : 81.83.xxx.xxx
over a maximum of 30 hops:

1 1 ms 1 ms 1 ms 10.XXX.XXX.1 -> Lokaal netwerk
2 10 ms 10 ms 9 ms 10.63.128.1 -> Gateway server van Telenet (waar de DHCP ook op draait van Telenet)
3 * * * Request timed out.
4 13 ms 14 ms 15 ms dd5e0fa79.access.telenet.be [213.224.250.121] -> Dit is de break Out (waar uiteindelijk mijn signaal pas via de node van Telenet buiten gaat en dit IP-adres ziet COLT in hun systeem binnen komen ipv 81.83.xxx.xxx)
5 13 ms 15 ms 17 ms colt.bnix.net [194.53.172.92]
6 160 ms 55 ms 24 ms 212.74.89.5
7 23 ms 24 ms 28 ms 187.241-14-84.ripe.coltfrance.com [84.14.241.187]

[ITnetadmin]

Interessant.
Hij blijft bij je tracert de interne IPs van Telenet weergeven ipv de externe.
Alsof Telenet je IP packetje encapsuleert in hun interne IP ranges.

Eenmaal voorbij jouw router zou je niks dan externe IPs mogen zien.

[ubremoved_539]

Wat zie je dan als je extern een trace route doet naar 81.83.xxx.xxx ?

[guntherstassen]

Tracing route to d51530xxx.static.telenet.be [81.83.xxx.xxx]
over a maximum of 30 hops:

1 <1 ms <1 ms <1 ms 10.10.xxx.1 -> Intern Netwerk
2 <1 ms <1 ms <1 ms XXX.XXX-246-81.adsl-static.isp.belgacom.be [81.246.XXX.XXX] -> Mijn WAN
3 19 ms 19 ms 19 ms 15.255-200-80.adsl-static.isp.belgacom.be [80.200.255.15]
4 22 ms 20 ms 20 ms ae-66-101.iarstr4.isp.belgacom.be [91.183.241.26]
5 22 ms 20 ms 20 ms ae-13-1000.ibrstr5.isp.belgacom.be [91.183.246.112]
6 * * 22 ms 80.84.23.40
7 22 ms 21 ms 22 ms 80.84.20.189
8 24 ms 23 ms 23 ms dd5e0fa7a.access.telenet.be [213.224.250.122]
9 540 ms 599 ms 600 ms dd5e0fa06.access.telenet.be [213.224.250.6]
10 26 ms 26 ms 26 ms dd5e0c8fc.access.telenet.be [213.224.200.252]
11 32 ms 32 ms 33 ms d51530xxx.static.telenet.be [81.83.xxx.xxx]

Trace complete.

[ubremoved_539]

Je ziet toch netjes als laatste hop je public IP-adres... andersom moet je dus hetzelfde krijgen.

Al krijg ik momenteel ook gekke dingen als ik zelf een tracert naar buiten toe doe...

Code: Selecteer alles

Tracing route to chimay.userbase.be [79.132.231.171]
over a maximum of 30 hops:

  1     5 ms     2 ms     2 ms  192.168.25.254
  2    81 ms     9 ms    15 ms  10.67.64.1
  3    15 ms    11 ms    15 ms  xxx.access.telenet.be [213.224.200.xxx]
  4     *       16 ms    13 ms  xxx.access.telenet.be [213.224.250.xxx]

Vanwaar die 10.67.64.1 ? Whatsmyip.org geeft trouwens een 84.198.x.x aan ?

Een trace route vanaf elders geeft als laatste hop wel netjes m'n 84.198.x.x aan.

[guntherstassen]

Je ziet toch netjes als laatste hop je public IP-adres... andersom moet je dus hetzelfde krijgen.

Al krijg ik momenteel ook gekke dingen als ik zelf een tracert naar buiten toe doe...

Code: Selecteer alles

Tracing route to chimay.userbase.be [79.132.231.171]
over a maximum of 30 hops:

  1     5 ms     2 ms     2 ms  192.168.25.254
  2    81 ms     9 ms    15 ms  10.67.64.1
  3    15 ms    11 ms    15 ms  xxx.access.telenet.be [213.224.200.xxx]
  4     *       16 ms    13 ms  xxx.access.telenet.be [213.224.250.xxx]

Vanwaar die 10.67.64.1 ? Whatsmyip.org geeft trouwens een 84.198.x.x aan ?

Een trace route vanaf elders geeft als laatste hop wel netjes m'n 84.198.x.x aan.

10.67.64.1 -> Is een intern adres van Telenet. Is 1 van hun DHCP servers waar ook hun Telenet meter opstaat.
Dit heeft toen die van Telenet Support bevestigt.
Dus het eerste Externe IP-adres wat COLT ziet in uw geval : 213.224.200.xxx
En dat is dus niet uw eigen IP-adres wat je ziet bij whatismyip.com

[ITnetadmin]

Dan is er toch iets goed fouts met telenet of met colt.
Je hebt nl een extern IP, dus *dat* IP is zichtbaar op internet.

[guntherstassen]

Dan is er toch iets goed fouts met telenet of met colt.
Je hebt nl een extern IP, dus *dat* IP is zichtbaar op internet.

NOOP. Bij Proximus idem!

Opzet Proximus :
BBOX 3 modem -> THomsom Modem -> Firewall van mijn eigen

BBOX3 staat in bridge modem naar de Thomsom.
Daar staat een WAN IP-adres op (net hetzelfde als bij Telenet op de Cable Modem)
OP die Thomsom modem staan 1 vlan met uw IP-pack (1ste IP iw uw network, 2de IP is uw gateway (uw Thomssom modem, en dan kan je de rest gebruiken wat nog overblijft (bv van 8-ip pack zijn er dus nog 6 bruikbaar)
Als ik op die lijn een whatismyip doe, dan zie ik wel degelijk het IP-adres van de WAN op de Thomsom modem ipv mijn eigen IP.
Hier over gemaild naar [email protected] en hebben dit ook bevestigd dat dit de normale opzet is

[SpecialK]

Als ik op die lijn een whatismyip doe, dan zie ik wel degelijk het IP-adres van de WAN op de Thomsom modem ipv mijn eigen IP.

Dat lijkt mij dan toch een foute configuratie. Ik denk dat de Thomson router NAT doet, en als interne LAN range jouw publieke IP-adressen gebruikt. Hoewel het in principe niet de bedoeling is die publieke adressen als interne adressen (dus met NAT) te gebruiken, werkt dat in de praktijk natuurlijk wel.

Dat Telenet-verhaal lijkt me ook sterk. Een DHCP-server is niet betrokken bij de routering, en de toestellen voor Telemeter zijn volgens mij laag 3 transparant. Dus die IP's zou je niet mogen zien. Ook hier, de enige manier waarop je een ander IP dan je eigen IP-adres ziet binnenkomen is als er NAT gebruikt wordt, maar het resultaat van whatismyip spreekt dat eigenlijk tegen.

[ubremoved_539]

Dus het eerste Externe IP-adres wat COLT ziet in uw geval : 213.224.200.xxx
En dat is dus niet uw eigen IP-adres wat je ziet bij whatismyip.com

Dan is er iets grondigs fout bij COLT lijkt me... waarom zou die een ander IP-adres zien als Whatsmyip.org ?

[petzl]

is dat misschien omdat jij bijkomende ip adressen hebt ?

ik heb namelijk ook een extra /28 welke antwoord via mijn eerste vast IP, dacht ik

[ubremoved_539]

Die van mij is gewoon een standaard Whoppa met een modem-only (en Mikrotik erachter).

[SpecialK]

Dan is er iets grondigs fout bij COLT lijkt me... waarom zou die een ander IP-adres zien als Whatsmyip.org ?

Ik ga Gunther nog gelijk moeten geven... Ik heb nu zelf een SIP probleempje (soms one-way audio, denk nog altijd dat het aan de operator ligt want bij een andere operator heb ik het nooit) en bij het packet capturen zie ik inderdaad dat op een bepaald moment in de RTP-stream mijn WAN-range verschijnt, hoewel de connectie wel degelijk vanuit één van de LAN-adressen wordt opgezet.
Sterker nog, helemaal in't begin zie ik mijn private adres (10.0.0.x) in de packet capture verschijnen, maar aangezien de centrale enkel een publiek IP heeft gaat dat uiteraard niet werken...