Data only abo + port forwarding

[serialchiller]

Zonet tegen een beperking aangelopen bij ons Base Internet Anywhere for Business abonnement dat ik gebruik in een FritzBox LTE-router voor onze werven.
De installateur van het werf-alarm-systeem dient poorten open te zetten om de werking van de app ter bediening van het alarm mogelijk te maken.
Portforwarding in een fritzbox mag dan al wat "apart" lijken, dat lukt allemaal perfect.

Nu blijkt na een telefoongesprek met Base dat hun firewall dergelijke portforwarding niet toestaat.

Ik ben dus op zoek naar een data-only abonnement met 5 à 10 Gb data dat mij toestaat aan portforwarding te doen.

Base zei dus njet, Proximus gaf aan dat ik naar een M2M-oplossing zou moeten gaan, Mobistar heb ik nog niet gebeld, intussen is het 17h00 op een vrijdag...

Als jullie tips hebben?

[petzl]

ik heb gewoon een extern ip op mijn data only abo van proximus

ipv poorten opzetten gebruik ik zelf wel een VPN oplossing voor mijn klanten

[Tomsworld]

Petzl goed bijhouden die worden zeldzaam bijna op alle mobile data is CGNAT geactiveerd, M2M oplossingen kan je het expliciet op verkrijgen nog. Anders idd een vpn maken.

[petzl]

GVD, nu dat ik het nog eens controleer heb ik dus ook een CGnat range gekregen ..... ik heb thans lang een 5.x range gehad dacht ik

[Ken]

Standaard op alle mobiele abonnementen CGNAT, zelfs om M2M zal je ferm moeten zagen om er toch één te bekomen, en het kan dan zelfs zijn dat het een dynamisch adres is.

Bij bijna alle M2M toepassingen gebruikt men ofwel een apparaat die uit zichzelf verbinding maakt naar een server, ofwel een 3G/4G router die een VPN tunnel opbouwt naar je infrastructuur. Dit is ook het veiligste.

[serialchiller]

Alvast bedankt voor jullie antwoorden. Na wat verder opzoekwerk blijkt M2M ook niet echt geschikt gezien de hoge datakosten. (Mobi* vraagt €2 per MB !!!)
Wat jullie me lijken aan te raden is met de 4G-fritz een vpn verbinding te maken naar ons hoofdkantoor en daar op de "landlijn" de forwarding te doen naar die 4G-router....
Dat gaan we eens moeten testen dan....

[ubremoved_539]

Wat jullie me lijken aan te raden is met de 4G-fritz een vpn verbinding te maken naar ons hoofdkantoor en daar op de "landlijn" de forwarding te doen naar die 4G-router....

Inderdaad... dat is de enige setup die zal werken in jou situatie. Feit is wel dat de 4G-Fritz de tunnel continue zal moeten open houden... langs de kant van de landlijn kan je die connectie niet initiëren (indien er een request op je forward binnen komt).

Ideaal vraag je gewoon een DSL lijntje aan op een werf.

[serialchiller]

Tja, de 4G-oplossing is er gekomen om de rompslomp van dsl-lijntje aan te vragen niet meer te hebben. En ze hebben nu ook al internetverbinding lang voor dat de nodige introkabels er liggen... De Fritz is wel redelijk goed in het openhouden van tunnels. Mijn VDSL2-fritz thuis is ook permanent verbonden met het werk via ipsec en dat is perfect stabiel.

[Tomsworld]

Ik heb een klant die er heeft maar dat is via een grote leverancier die krijgt nog abbo's die ze in ipsec routers zetten met een public ip maar ik gok dat ze gewoon daarvoor xxx euro / maand bijbetalen. Ik zal dat ooit wel es uitzoeken.

[Ken]

Ofwel een VPS of dedicated server nemen bij bv. OVH of Hetzner.

[serialchiller]

Even samenvatten wat ik allemaal heb geprobeerd.

Bij de 3 mobiele operatoren navraag gedaan:
-Base: geen oplossing mogelijk, zelfs geen M2M
-Mobistar: enkel mogelijk via M2M maar véél te duur. (€5/maand + €2/MB)
-Proximus: vergelijkbaar met oplossing Mobistar, minder duur, maar nog steeds een no-go voor ons.

De bestaande CG-NAT 4G oplossing zal er blijven voor onze werven zodat ze vanaf dag één internet hebben. Om applicaties zoals alarmen, bewakingscameras etc... toe te laten gaan we zodra we kunnen (invoerkabel opgeleverd) over op xDSL, COAX,...
Onze gebouwen worden tegenwoordig toch met permanent internet voorzien voor allerlei gemeenschappelijke diensten aan de huurders.

[ubremoved_539]

-Mobistar: enkel mogelijk via M2M maar véél te duur. (€5/maand + €2/MB)
-Proximus: vergelijkbaar met oplossing Mobistar, minder duur, maar nog steeds een no-go voor ons.

Je kan dergelijke aansluiting toch louter gebruiken voor het alarm... als 7 euro (want voor het alarm aan of uit te zetten heb je amper data nodig) per maand al te duur is voor een bedrijf dat heb ik toch ernstige vragen bij jullie business model.

Een andere 4G verbinding kan je dan gebruiken voor de normale internet toegang.

[serialchiller]

Jaja, klopt wel wat je zegt, maar er komen nog diensten in het gebouw die internetverbinding nodig gaan hebben op termijn (en voor de rest van de levensduur van dat gebouw). We zijn dus beter af met een bekabelde oplossing waar dan alle "technieken" mee verbonden zijn in "the long run".
Als het enkel het alarm zou zijn zouden we de oplossing met sim die de alarmfirma ook aanbied wel genomen hebben.

[ubremoved_539]

Een vaste verbinding is ideaal... maar je schreef eerder dat je die rompslomp wou vermijden (en het in een vroeg stadium vaak niet mogelijk is een vaste lijn op zo'n werf te krijgen). In dergelijk geval lijkt het mij een optie om zo'n "duur M2M" abonnement te nemen voor louter je alarm.

Andere diensten kan je dan gewoon over een andere 4G verbinding laten lopen.

[guntherstassen]

Ik had ook zo'n situatie bij een klant.
Ik heb daar een Mikrotik router tussen gezet die een VPN-tunnel opbouwd naar een datacenter waar we nog genoeg vrije externe IP-adressen hadden.
We deden dan een portforwarding vanuit het extern IP-adres van het datacenter naar de alarmcentrale op de werf.

Soms viel de 4G verbinding even uit maar kwam binnen de 5 seconde terug op.

[Ken]

Ik had ook zo'n situatie bij een klant.
Ik heb daar een Mikrotik router tussen gezet die een VPN-tunnel opbouwd naar een datacenter waar we nog genoeg vrije externe IP-adressen hadden.
We deden dan een portforwarding vanuit het extern IP-adres van het datacenter naar de alarmcentrale op de werf.

Soms viel de 4G verbinding even uit maar kwam binnen de 5 seconde terug op.

Hallo guntherstassen, hoe hebben jullie dit technisch in mekaar gestoken met die portforwarding? Draait dat op een server?

[Ken]

Een vaste verbinding is ideaal... maar je schreef eerder dat je die rompslomp wou vermijden (en het in een vroeg stadium vaak niet mogelijk is een vaste lijn op zo'n werf te krijgen). In dergelijk geval lijkt het mij een optie om zo'n "duur M2M" abonnement te nemen voor louter je alarm.

Andere diensten kan je dan gewoon over een andere 4G verbinding laten lopen.

Heb het allemaal nog eens uitgezocht en 500 EUR setupkosten betalen voor je eigen APN + een VPN naar je eigen netwerkje bij de ISP laten opzetten bij zowel Orange, Proximus als Base is pokkeduur.
Vooral als het gaat om een klein aantal kaarten. Voorlopig toch...

Je betaald dus een eenmalige setupkost + maandelijks abonnement voor je eigen APN + maandelijks abonnement voor iedere SIM kaart met data.
Het is dus sowieso goedkoper om via VPN te werken...

Heb nu een virtuele Mikrotik CHR router in een datacenter en een Mikrotik hEX om die VPN op te zetten, de VPN op zich is geen probleem, maar ik krijg langs geen kanten NAT & portforwarding goed vanaf de CHR naar bv. een IP camera.
Iemand ervaring met NAT & portforwarding naar een IP in een VPN IP pool?

[ubremoved_539]

Iemand ervaring met NAT & portforwarding naar een IP in een VPN IP pool?

IP is IP... maakt niet uit of die in een VPN pool zit... in RouterOS is dat gewoon een interface zoals een andere.

[Ken]

'k Geraak er niet,

IPCAM moet toegankelijk zijn via [publiekIP]:8080

Op CHR is er NAT van [publiekIP]:8080 naar 172.16.1.1 (gateway VPN IP pool).
De hEX heeft IP 172.16.1.101 en NAT 8080 naar 192.168.88.253 80.

Ik doe wellicht iets verkeerd en het is kwestie van een lijntje die er teveel of te weinig staat.

Code: Selecteer alles

> CHR
/ip firewall nat add action=dst-nat chain=dstnat dst-port=8081 to-addresses=172.16.1.1 protocol=tcp

> hEX
/ip firewall nat add action=dst-nat chain=dstnat dst-port=8080 to-addresses=192.168.88.253 to-ports=80 protocol=tcp

[ubremoved_539]

Jij hoeft enkel NAT te doen op je CHR...

Code: Selecteer alles

chain=dstnat action=dst-nat to-addresses=192.168.88.253 to-ports=80 
      protocol=tcp in-interface=je-WAN-interface dst-port=8080 log=no 
      log-prefix=""

Je CHR zal je IP-cam wel vinden (ongeacht of die nu op een VPN zit)... dit is puur routing.

[Ken]

De opstelling is zo :

IPCAM <> MIKROTIK hEX <> ISP ROUTER <> INTERNET <> MIKROTIK CHR (public ip address)

IPCAM <> MIKROTIK hEX <VPN> MIKROTIK CHR


IPCAM heeft een vast IP in de LAN van de hEX 192.168.88.253 dus moet er toch ook NAT gebeuren op de hEX?

Op vlak van routing / vpn enz. ben ik echt een leek.