router achter Hitron CGNV4

poruid · 6 sep 2015

Probleem met Ziggo's Hitron cgnv4

Voor een LAN dat uit 3 verschillende VLANs met elk een eigen subnetwork bestaat, gebruik ik een router met OpenWrt (GW). Als WAN gebruik ik Ziggo ZZP waarbij het Hitron modem geleverd is. Zoals bekend heeft Ziggo de mogelijkheid om dit modem in bridge mode te laten werken of statische down-stream network routes te definieren uitgezet.

Kortom de WAN interface waarop ik met de Openwrt router aan moet koppelen is doet NAT op het publieke IP address en weet alleen hoe het pakketjes downstream doorsturen als het destination IP binnen het LAN netwerk van het modem valt.

Oké, dacht ik,
- dan mag het modem alle NAT doen,
- zet ik masquerading op de WAN interface van de OpenWrt router uit en
- i.p.v. downstream static routes op het modem zet ik een netmask voor het LAN op het modem waarbinnen al de subnetworks achter de router vallen (modem LAN 192.168.0.0/16, OpenWrt router VLAN1 192.168.10.0/24, VLAN2 192.168.20.0/24 enz.)

Alleen het werkt niet !
Weet iemand een list?

De OpenWrt router als DMZ host op modem instellen is geen oplossing, dat is niets meer dan een forward all.

mesa57 · 6 sep 2015

Dubbele NAT is meestal geen probleem. Waarom is dat voor jou wel een probleem ?

ton250 · 6 sep 2015

Ik heb drie routers achter elkaar staan en dat werkt. Één ervan is een DD-WRT router. Wel in Zonealarm 'Enable ARP protection' uitzetten.

poruid zei:
Probleem met Ziggo's Hitron cgnv4

Voor een LAN dat uit 3 verschillende VLANs met elk een eigen subnetwork bestaat, gebruik ik een router met OpenWrt (GW). Als WAN gebruik ik Ziggo ZZP waarbij het Hitron modem geleverd is. Zoals bekend heeft Ziggo de mogelijkheid om dit modem in bridge mode te laten werken of statische down-stream network routes te definieren uitgezet.

Kortom de WAN interface waarop ik met de Openwrt router aan moet koppelen is doet NAT op het publieke IP address en weet alleen hoe het pakketjes downstream doorsturen als het destination IP binnen het LAN netwerk van het modem valt.

Oké, dacht ik,
- dan mag het modem alle NAT doen,
- zet ik masquerading op de WAN interface van de OpenWrt router uit en
- i.p.v. downstream static routes op het modem zet ik een netmask voor het LAN op het modem waarbinnen al de subnetworks achter de router vallen (modem LAN 192.168.0.0/16, OpenWrt router VLAN1 192.168.10.0/24, VLAN2 192.168.20.0/24 enz.)

Alleen het werkt niet !
Weet iemand een list?

De OpenWrt router als DMZ host op modem instellen is geen oplossing, dat is niets meer dan een forward all.

poruid · 6 sep 2015

ton250 zei:
Ik heb drie routers achter elkaar staan en dat werkt. Één ervan is een DD-WRT router. Wel in Zonealarm 'Enable ARP protection' uitzetten.

Oké, maar kun jij dan achter het Hitron het modem verschillende subnetten gebruiken (geen forwards tussen de subnetten achter de router), met alleen NAT op de router?

En, onder OpenWrt ken ik geen optie voor 'ARP protection'.
Ik kan wel gissen wat het is, maar misschien kun je uitleggen wat het is en waarom het van belang is voor mijn casus.

poruid · 6 sep 2015

mesa57 zei:
Dubbele NAT is meestal geen probleem. Waarom is dat voor jou wel een probleem ?

Voor het mijden van NAT zijn vele redenen te geven - maar mijn vraag ging niet over NAT. De vraag gaat over hoe IP packages vanaf het Ziggo ZZP Hitron CGNV4 modem naar verschllende subnets gerouteerd kunnen worden. Dat sluit NAT op de WAN interface van de router uit.

mesa57 · 7 sep 2015

Het maakt openwrt geen bal uit of het IP adres aan de wan kan een het publieke ip adres is of het lan adres van een ander modem. Zolang je vlan/subnetten maar niet overeenkomen met het wan subnet.

ton250 · 7 sep 2015

'Arp protection' zit in Zonealarm en Comodo! Gebruik je de Windows firewall dan is het niet van belang. 'ARP protection' geeft enige bescherming van 'the man in the middle'.
Ik gebruik verschillende subnetten en NAT op alle routers. Naar de derde router mag juist geen sessie worden opgezet; daarachter zit mijn financiële laptop.
Pakketjes down streamen werkt gewoon ook als er drie NATs achter elkaar staan. Een sessie van buiten opzetten is iets anders,

poruid zei:
Oké, maar kun jij dan achter het Hitron het modem verschillende subnetten gebruiken (geen forwards tussen de subnetten achter de router), met alleen NAT op de router?

En, onder OpenWrt ken ik geen optie voor 'ARP protection'.
Ik kan wel gissen wat het is, maar misschien kun je uitleggen wat het is en waarom het van belang is voor mijn casus.

poruid · 7 sep 2015

mesa57 zei:
Het maakt openwrt geen bal uit of het IP adres aan de wan kan een het publieke ip adres is of het lan adres van een ander modem. Zolang je vlan/subnetten maar niet overeenkomen met het wan subnet.

Inderdaad, en de routering upstream is dan ook geen probleem.
Maar wat wel een probleem is, dat is de beperkt functionaliteit van het Hitron modem.

Bridge modus biedt het niet en ook statische routes (voor de subnetten downstream) kan ik niet daarop ingeven. Zelfs RIP lijkt niet te kunnen baten - in de documentatie van het modem komt het woord RIP niet voor. Op deze wijze is men voor communicatie vanaf de subnetten naar het Internet aangewezen op masquerading op de wan interface van de router en dat probeer ik te omzeilen.

Een ander idee.
Het Hitron modem bezit de missende functionaliteit wel, maar die kan niet via de webinterface worden bereikt. Dat sluit niet uit dat als je de juiste HTTP requests op het modem afstuurt, het modem in bridge modus kan worden gezet. Als iemand beschikt over een Hitron waar de bridge modus wel kan worden ingesteld, dan, wie weet, hebben we een manier om controle over het gebruik van de Ziggo ZZP internetverbinding terug te veroveren.

Mogelijk sluiten de contractvoorwaarden van Ziggo dergelijk gebruik van de verbinding uit - zou me niet verbazen gezien de gekozen beperkingen - en dan is het kunnen omzetten van het modem in een bridge leuk, maar verder niet interessant voor toepassing in professionele settings.