Skip to main content

Ik heb vandaag met succes mijn pfSense direct (via VLAN 300) aan het T-Mobile Glasvezel netwerk gehangen, en ook prompt een publiek IP adres gekregen via DHCP.

Deze firewall is ook verbonden met Ziggo (dat ik hoop eind van de maand op te zeggen...), dus ik weet dat ‘ie goed functioneert!

Via de Ziggo publieke IP kan ik Pingen en mijn hosts thuis bereiken, alsook VPN tunnels opbouwen vanaf andere lokaties.

Mijn T-Mobile publieke IP lijkt volledig onbereikbaar vanaf het Internet. Ik heb 3 verschillende externe hosts geprobeerd, en geen ping replies, kan geen SSH sessies opbouwen, en zelfs een traceroute hapert inkomend. Interessant genoeg kan ik van hier uit wél de remote hosts bereiken en zelfs een complete traceroute uitvoeren.

 

Als ik vanaf de remote lokaties een traceroute doe (een is in Parijs, een in München en een in de VS) dan lijkt geen van deze traceroutes zelfs maar het T-Mobile netwerk te bereiken!
De Parijs host hapert na de eerste AMS-IX peering router
De München host hapert op een Colt-UK router (De host bevindt zich op een Colt-DE verbinding, dus dat ik in de UK uitkom is duidelijk een intern routing ding bij Colt)
De VS host hapert op een AT&T router (geen idee aan welke kant van de oceaan!)
Maar geen van deze traceroutes toont een T-Mobile IP adres?!...

 

Een van de dingen waar ik naar gekeken had vóórdat ik hier aan begon is dat inkomend verkeer mogelijk was, en thuis servers zijn hier op de community vaak genoeg besproken dat ik weet dat het mogelijk moet zijn.

 

Suggesties?

Ik wil graag meedenken maar snap je situatie niet goed :P

 

Wat bedoel je met → “Ik heb vandaag met succes mijn pfSense direct (via VLAN 300) aan het T-Mobile Glasvezel netwerk gehangen”

Is dat een hardware switch of modem?
Of is dit een vpn/software oplossing wat je configureert op een modem? 

 

“Deze firewall is ook verbonden met Ziggo”

Hoe zit de boel nu aangesloten? Ziggo geeft je via coax internet, tmobile via glas.
Beide gebruiken een modem/converter.

Heb je dan 2 aansluitingen in een of ander kastje?

 

Ik ben een leek op dit gebied maar wel nieuwsgierig :)

 

 

edit: ik deel 2 linkjes die gaan over eigen hardware;

Je eigen modem bij T-Mobile voor thuis

Media Converter dipswitches aanpassen

 

 

 


Is pfSense ingesteld als dual WAN ?


 

Ik wil graag meedenken maar snap je situatie niet goed :P

 

Wat bedoel je met → “Ik heb vandaag met succes mijn pfSense direct (via VLAN 300) aan het T-Mobile Glasvezel netwerk gehangen”

Is dat een hardware switch of modem?
Of is dit een vpn/software oplossing wat je configureert op een modem? 

 

“Deze firewall is ook verbonden met Ziggo”

Hoe zit de boel nu aangesloten? Ziggo geeft je via coax internet, tmobile via glas.
Beide gebruiken een modem/converter.

Heb je dan 2 aansluitingen in een of ander kastje?

 

Ik ben een leek op dit gebied maar wel nieuwsgierig :)

 

 

edit: ik deel 2 linkjes die gaan over eigen hardware;

Je eigen modem bij T-Mobile voor thuis

Media Converter dipswitches aanpassen

 

 

 

 

pfSense is een firewall oplossing.
Mijn Ziggo modem staat in bridge mode, de firewall praat dus rechtstreeks met de router en krijgt daarvandaan met DHCP een WAN IP
Mijn T-Mobile Fiber heeft normaliter een FTU met daaraan het T-Mobile modem/router, en dan je LAN, maar het modem/router is niet noodzakelijk. Door de firewall (pfSense) op VLAN 300 in te stellen kan die óók rechstreeks met de uplink router praten, en daarvandaan met DHCP een WAN IP verkrijgen.

Mijn pfSense heeft nu dus 2 WAN interfaces met publieke IPv4 adressen (zowel Ziggo als T-Mobile ondersteunen nog steeds geen IPv6!)
Het Ziggo WAN IP is van buitenaf bereikbaar
Het T-Mobile WAN IP is van buitenaf NIET bereikbaar.
Sterker nog: van buitenaf kom ik überhaupt niet eens op T-Mobile netwerk, want alle trace-routes die ik doe naar mijn TM WAN IP adres stoppen vóórdat ze een TM IP Subnet bereiken!

De firewall werkt dus prima, en krijgt ook gewoon een IP adres, en ik kan gewoon het internet op via de verrbinding… Het zijn alleen INKOMENDE verbindingen die niet werken, en het lijkt alsof op een bepaald punt de routing tabellen niet weten hoe de pakketten naar het juiste netwerk te routeren…
 


Is pfSense ingesteld als dual WAN ?

Yup! Uitgaand werkt ook alles… Alleen INKOMENDE verbindingen werken niet, en lijken niet eens het T-Mobile netwerk te bereiken (traceroutes stoppen vóórdat er T-Mobile IP adressen te zien zijn!)


 

 

pfSense is een firewall oplossing.
Mijn Ziggo modem staat in bridge mode, de firewall praat dus rechtstreeks met de router en krijgt daarvandaan met DHCP een WAN IP
Mijn T-Mobile Fiber heeft normaliter een FTU met daaraan het T-Mobile modem/router, en dan je LAN, maar het modem/router is niet noodzakelijk. Door de firewall (pfSense) op VLAN 300 in te stellen kan die óók rechstreeks met de uplink router praten, en daarvandaan met DHCP een WAN IP verkrijgen.

Mijn pfSense heeft nu dus 2 WAN interfaces met publieke IPv4 adressen (zowel Ziggo als T-Mobile ondersteunen nog steeds geen IPv6!)
Het Ziggo WAN IP is van buitenaf bereikbaar
Het T-Mobile WAN IP is van buitenaf NIET bereikbaar.
Sterker nog: van buitenaf kom ik überhaupt niet eens op T-Mobile netwerk, want alle trace-routes die ik doe naar mijn TM WAN IP adres stoppen vóórdat ze een TM IP Subnet bereiken!

De firewall werkt dus prima, en krijgt ook gewoon een IP adres, en ik kan gewoon het internet op via de verrbinding… Het zijn alleen INKOMENDE verbindingen die niet werken, en het lijkt alsof op een bepaald punt de routing tabellen niet weten hoe de pakketten naar het juiste netwerk te routeren…
 

Wat gebeurt er als je het Ziggo modem offline trekt en de IP Lease van je T-Mobile link vernieuwd? 

Als het goed is zou het dan moeten werken, dit komt omdat de boel nu als fallback is ingesteld, wil je beide verbindingen gelijktijdig gebruiken zal je moeten rommelen met je routing en dus de metric's.

Het is alweer aardig wat jaren geleden dat ik met >2 WAN's werkte onder een Debian/Linux box, maar zonder metric/priority's wordt gebruik gemaakt van slechts één route en het lijkt erop dat dit alleen via jouw Ziggo link gebeurt.

Of deze nu nog van toepassing is, weet ik niet zeker… maar wellicht heb je hier iets aan?

 


 

 

pfSense is een firewall oplossing.
Mijn Ziggo modem staat in bridge mode, de firewall praat dus rechtstreeks met de router en krijgt daarvandaan met DHCP een WAN IP
Mijn T-Mobile Fiber heeft normaliter een FTU met daaraan het T-Mobile modem/router, en dan je LAN, maar het modem/router is niet noodzakelijk. Door de firewall (pfSense) op VLAN 300 in te stellen kan die óók rechstreeks met de uplink router praten, en daarvandaan met DHCP een WAN IP verkrijgen.

Mijn pfSense heeft nu dus 2 WAN interfaces met publieke IPv4 adressen (zowel Ziggo als T-Mobile ondersteunen nog steeds geen IPv6!)
Het Ziggo WAN IP is van buitenaf bereikbaar
Het T-Mobile WAN IP is van buitenaf NIET bereikbaar.
Sterker nog: van buitenaf kom ik überhaupt niet eens op T-Mobile netwerk, want alle trace-routes die ik doe naar mijn TM WAN IP adres stoppen vóórdat ze een TM IP Subnet bereiken!

De firewall werkt dus prima, en krijgt ook gewoon een IP adres, en ik kan gewoon het internet op via de verrbinding… Het zijn alleen INKOMENDE verbindingen die niet werken, en het lijkt alsof op een bepaald punt de routing tabellen niet weten hoe de pakketten naar het juiste netwerk te routeren…
 

Wat gebeurt er als je het Ziggo modem offline trekt en de IP Lease van je T-Mobile link vernieuwd? 

Als het goed is zou het dan moeten werken, dit komt omdat de boel nu als fallback is ingesteld, wil je beide verbindingen gelijktijdig gebruiken zal je moeten rommelen met je routing en dus de metric's.

Het is alweer aardig wat jaren geleden dat ik met >2 WAN's werkte onder een Debian/Linux box, maar zonder metric/priority's wordt gebruik gemaakt van slechts één route en het lijkt erop dat dit alleen via jouw Ziggo link gebeurt.

Of deze nu nog van toepassing is, weet ik niet zeker… maar wellicht heb je hier iets aan?

 

pfSense is OpenBSD gebaseerd en als firewall met multi-WAN geoptimaliseerd. Toen ik overstapte van XS4All DSL naar Ziggo heeft het ook enige tijd prima met dubbel-WAN gedraaid, dus dat is het probleem niet.

In de pfSense configuratie staan beide routers ook als Tier 1 router, dus dat betekent dat beiden geloadbalanced worden.
(En terwijl ik dit zit te typen begint ineens mijn inkomende ping vanaf mijn host in Parijs te functioneren! Alsof ineens ergens een router wakker geworden is en dacht “Hé, dat verkeer moet dáárheen!)
Ik ga dus nu testen of de TCP services nu ook werken!