Gebruik een eigen router achter de Experia Box

Hoi @wjb ,

Bedankt voor je reactie. Het klopt dat de EdgeRouter X initieel geen actieve DHCP server heeft, maar ETH1 is geconfigureerd als DHCP client (en heeft ook gewerkt). De WebGUI zag er voor enkele ogenblikken leuk uit. Ná de mislukte firmware update (failed), is echter ETH1 niet meer actief, en is ETH0 niet bereikbaar op 192.168.1.1. Een “Reset to factory defaults” heeft ook geen resultaat.

Hmmm, dat klinkt niet best.

Ik heb de Ubiqiuiti EdgeRouter X toch nog kunnen herstellen met behulp van de volgende instructies:
EdgeRouter - TFTP Recovery

Ik heb inmiddels een groot deel van de topics over het gebruik van een eigen router achter of in plaats van de Experiabox doorgelezen. Ik ben zelf thuis in de weer met een Edgerouter X achter de Experiabox V10a. Ik heb enkele vragen, vooral om het beter te snappen:

1. In de verschillende topics heb ik meerdere malen gelezen dat het niet mogelijk is je iTV achter je eigen router die weer achter de experiabox staat werkend te krijgen. Ik geloof dit :), maar ik ben nieuwsgierig waarom dat niet werkt. Ik zou denken dat wanneer je op de edgerouter een IGMP proxy insteld en de iTV downstream aansluit die zou moeten werken. Waarom kan dit niet?
2. Als ik de Edgerouter in een DMZ achter de Experiabox plaats, heeft dit dan invloed op de andere apparaten die direct met de Experiabox verbonden zijn?
3. Komen de originele vlans van de NTU door op de Experiabox als deze in een DMZ hangt?
4. Als ik met 2 switches en 2 vlans de iTV box verbind met de Experiabox, en de andere apparaten achter de 2e switch. Vanuit welk netwerk configureer ik dan de vlans?

@Jochem2020

Ik ken de mogelijkheden of onmogelijkheden niet van een “Edgerouter”?

Maar voor elke andere router die zowel IGMP proxy + IGMP Snooping ondersteunen, is het inderdaad zoals je aangeeft een kwestie van zowel een IGMP proxy  +  IGMP Snooping aanvinken, zonder verder aanvullende instellingen. (Dus niet koppelen aan LAN-poorten en aanvullende VLAN's).
Enkel die twee instellingen activeren, en het zou moeten werken.

Het werkt bijv. reeds met de meest simplistische TP-Link Archer 6, maar ook met Synology, en heb van gebruikers van een Asus-router dat ook als positief werkend als bericht gekregen.
Die twee instellingen activeren - stekkertje van de TV-ontvanger overzetten naar de 2e router, en je hebt in 5 seconden weer actief werkende TV-diensten - gewoon in routed mode zonder beperkingen.

VLAN's en functionaliteiten daarvan worden in de Experia Box namelijk zelf al gescheiden.
Dus dat hoef je niet verder nog eens met switches e.d. daar nog achter iets met instellingen te doen.
(Hooguit een switch gebruiken die IGMP Snooping ondersteunt).

DMZ zou je in de Experia Box kunnen instellen voor services die je van buiten uit wilt bereiken, voor apparaten/ servers achter die Edgerouter.

Beste lezer,

Allereerst @wjb hartelijk dank voor de oorspronkelijke post van dit draadje! Dit heeft mij goed op weg geholpen. Ik zit echter nog met een probleem en ik hoop dat iemand die dit leest een gouden tip voor me heeft.

Ik heb zelf een ExperiaBox V10, met daarachter een EdgeRouter X v2.0.9-hotfix.1. Mijn ouders hebben een Ziggo modem met ook daarachter een zelfde ERX. Op beide modems geef ik de ERX-en een static DHCP adres en configureer dat IP adres als DMZ op de modems. Op beide modems heb ik alle port forwardings verwijderd. De KPN TV settopbox heb ik nog wel direct op mijn eigen ExperiaBox V10 en die werkt ook nog naar behoren.

Op beide ERX-en configureer ik een IPSec Site-to-Site tunnel. Als ik eerst de VPN configuratie bij mijn ouders doe en daarna die bij mij, dan wordt de VPN tunnel direct opgezet. Als ik eerst de VPN configuratie bij mij doe en daarna die van mijn ouders, dan wordt de VPN tunnel niet opgezet. Ik moet dan eerst weer naar mijn eigen ERX en een refresh doen op die webpagina voor de tunnel wordt opgezet. Ik heb dit nu beide kanten op meerdere maken geprobeerd met een factory reset van beide routers als startpunt. Het gevonden gedrag is consistent.

Mijn vermoeden is dat de ERX bij mijn ouders de ERX achter mij ExperiaBox initieel niet kan bereiken en dat daarom de VPN tunnel pas tot stand komt als de VPN verbinding wordt ge-initieerd vanaf mijn ERX.

Om de DMZ functionaliteit van beide modems te testen heb ik een raspberry pi met domoticz webapp achter mijn router gehangen en als DMZ geconfigureerd. Op mijn publieke IP adres kan ik die webinterface zonder problemen bereiken. Dezelfde test bij mijn ouders geeft hetzelfde positieve resultaat. Dus mijn ExperiaBox stuurt port 443 TCP verkeer iig netjes door naar de DMZ host.

Een snelle zoektocht op internet suggereert dat de ERX een IPSec verbinding probeert op te zetten op UDP/500 ('phase 1’) en UDP/4500 ('phase 2’), maar ik heb dit niet zelf vast kunnen stellen.

Dus mijn eerste vraag is: zou UDP verkeer ook netjes doorgestuurd moeten worden naar de DMZ host, of vangt de ExperiaBox dit UDP verkeer af?

Heeft iemand enige suggestie wat ik nog kan proberen om dit verder te testen?

Elke hulp is van harte welkom.

Met hartelijke groeten, Paul

IPSec wordt niet echt vrolijk van double-nat. Waarschijnlijk hebben jouw ouders dat ziggo modem in bridge-mode staan klopt dat?

Heb je een glasvezelaansluiting?

Zo ja, dan zou ik je willen adviseren om de Experia Box er helemaal tussenuit te snijden.

Zie "Gebruik een eigen router i.p.v. de Experia Box".

Ook bij VDSL aansluitingen kan de Experia Box vervangen worden maar dan zal je nog wel een Zyxel VMG4005-B50A als modem moeten aanschaffen.

Door double-nat te vermijden zal je zeker in staat moeten zijn om site-2-site IKE(v2)/IPSec VPN verbindingen op te zetten.

Zelf heb ik er ook meerdere op mijn ER-4 lopen.

Plaats anders ook eens de configuratie van jouw VPN. Uiteraard wel even privé gegevens zoals IP adressen en pre-shared-key wegpoetsen.

Het makkelijkst is om het VPN stukje uit de config.boot hier te posten.

Na het posten van mijn vorige bericht heb ik nog geprobeerd of het verschil maakt als ik de UDP/500 en UDP/4500 zelf via port forward op mijn ExperiaBox doorzet naar de ERX. Het maakt geen verschil.

Wat wel nieuwe informatie is: als ik aan mijn kant "show vpn log” bekijk, dan zie ik voor elke ping poging vanaf mijn ouders aan mijn kant het volgende in het log verschijnen: "[DMN] signal of type SIGINT received. Shutting down” gevolgd door 2 seconden later "[DMN] Starting IKE charon daemon (strongSwan 5.6.3, Linux 4.14.54-UBNT, mips)” en dat dan meerdere keren. Het lijkt er dus op dat er wel iets door komt elke keer als de kant van mijn ouders probeert de VPN te initieren.

Wat je zegt (dat ipsec met double-nat om problemen vraagt) klinkt daarmee nog logisch.

Aan beide kanten van de verbinding dus dezelfde opzet: een modem met daarachter een ERX. De Ziggo modem is niet in bridge-mode, dit is althans met dat model niet in te stellen (ik vond online wel andere modellen waarbij dat wel kon, maar bij deze dus niet). Dat ik de DMZ kan instellen suggereert denk ik niet bridge-mode (of zeg ik nu iets geks?).

Ik denk dat mijn VPN configuratie nu juist is, aangezien deze aan beide kanten hetzelfde is (met public IPs en local networks omgekeerd uiteraard). Uiteindelijk werkt de VPN wel, maar dus afhankelijk welke ERX de tunnel initieel opzet. Daarna werkt hij aan beide kanten.

De eigen-router-ipv-experiabox optie klinkt nu aantrekkelijker maar heb ik tot nu toe om 2 redenen niet gedaan: 1) met de huidige opstelling werkt de TV zonder omkijken, ook als KPN later weer iets omgooit en 2) mijn ERX heeft een RJ-45 WAN poort, dus geen idee waar ik de kleinere DSL stekker in zou moeten doen.

Ik begrijp nu dat ik dit laatste punt kan oplossen door de Zyxel VMG4005-B50A ertussen te zetten (dank voor de tip). Een snelle blik op pricewatch laat ruim 100 EUR zien. Dat is het dubbele van de reeds gekochte router. Het lijkt mij dat de ERX het werkpaard is dat al het werk doet en dat die Zyxel niet meer doet dan inbellen. Ik wil geen zure nederlander lijken, maar zijn daar goedkopere alternatieven voor? :-) Of iets dat ik nog kan proberen met de hardware die ik heb? Is de router functie in de ExperiaBox V10 niet uit te zetten? Of iets zoals een bridge-mode? En al deze opties komen terug op punt 1) hierboven: dat de TV blijft werken (ook in de toekomst) is wel een dingetje...

Overigens is een eerdere poging met WireGuard gestrand, maar zou ik nogmaals kunnen proberen. OpenVPN heb ik nog niet geprobeerd (ook UDP) en er is wel een OpenVPN KB artikel op de Ubiquiti site. Dus dat zijn twee dingen die ik nog kan proberen. Maar ik ben bang dat ik de resultaten van die 2 opties pas morgen op zijn vroegst kan delen.

Dit riekt toch echt naar double-nat een welbekend fenomeen wat mij bijna acht jaar terug met dit forum in aanraking gebracht heeft.

Kijk eens op de ER-X bij jouw ouders wat het WAN IP adres van de ER-X is.

Is dat het publieke IP adres dat van Ziggo verkregen wordt of een LAN IP adres verkregen van het modem van Ziggo?

Is jouw VPN configuratie vergelijkbaar met deze?

Aan beide kanten heeft de modem een publiek IP 8x.x.x.x.

Aan beide kanten krijgt de ERX een IP van het modem (192.168.178.x/24 van de ziggo modem en 192.168.2.x/24 bij de experiabox). Beide toegekend met een static DHCP binding op het MAC adres van de eth0 port van de ERX (WAN port). 

De ERX-en geven zelf adressen uit op de LAN ports eth1 tm eth4. Bij mijn ouders 192.168.8.x/24 en bij mij 192.168.4.x/24.

Als de kinderen op bed liggen zo kan ik nog wel wat verder googlen op ipsec en doublenat. Technisch snap ik niet waarom doublenat een issue is. Het zou transparant moeten zijn voor buiten.

Verder kan ik die openvpn optie nog proberen.

Ik zie nu jouw laatste zin. Nog veel verschillen met mijn config. Ik zal er eens mee varieren / spelen. 

Veel IPSec implementaties pingen aan het einde van de opbouw van de VPN tunnel binnen de tunnel het publieke IP adres waarmee de verbinding oorspronkelijk opgebouwd werd. Als er geen reply op die ping ontvangen wordt dat wordt de VPN tunnel weer afgebroken.

Als de VPN server op jouw ER-X dus niet in staat is om binnen de VPN tunnel het publieke IP adres van de Experia Box te pingen dan heb je dit probleem te pakken.

Wat je beschrijft past bij die SIGINT log entries die ik hierboven postte.

Blijft het mysterie waarom dat slechts 1 van de richtingen het probleem is. Wellicht dat dit is op te lossen met de ipsec config. 

Uiteindelijk heb ik de WireGuard tunnel ook werkend: maar wederom alleen als ik deze initieer vanaf de ExperiaBox kant naar de Ziggo kant. Andersom werkt het niet.

Ik ben toch erg benieuwd waarom het gedrag bij de ExperiaBox anders is dan bij dat Ziggo modem. Los van het modem is de setup aan beide kanten identiek.

Wat het verschil tussen die ExperiaBox en dat Ziggo modem ook is: de kans dat het iets is dat ik kan fixen lijkt niet heel groot :-)

WireGuard zou geen last van double-nat mogen hebben.

Nog een indicatie dat het een ander probleem betreft: als ik mijn laptop in mijn ER-X prik en naar speedtest.net ga, dan werkt dat.

Als ik hetzelfde bij mijn ouders doe, dan blijft de speedtest hangen in het proces van bepalen van een test-server (“finding optimal server”).

Als ik mijn laptop direct in het modem van mijn ouders prik, dan kan hij wel een test-server selecteren. Als ik hem (met die test-server geselecteerd) terug prik in de ER-X en de speedtest start, dan krijg ik de melding:

Latency Test Error

Could not connect to the test server. A firewall could be blocking the connection or the server might be having some issues. Please try again later.

Kortom: mogelijk is de ExperiaBox helemaal niet het probleem, maar wordt het toch veroorzaakt door het Ziggo modem :-D

Wat het probleem ook is en door welke modem het ook wordt veroorzaakt: het probleem is 1 richting op en geldt zowel voor WireGuard alsook IPSec...

Zou jij de config.boot van die ER-X bij jouw ouder hier eens willen posten, uiteraard ontdaan van eventuele vertrouwelijke informatie.

Doe dat dan in een spoiler om het topic een beetje leesbaar te houden.

Een overzichtje van de opstelling (enkel een paar cijfers van de public IP adressen aangepast, en ook consistent in de config hieronder):

 

Ik heb meerdere pogingen gedaan, waaronder:

Deze WireGuard poging (hierbij is het 192.168.12.0/24 subnet de endpoints van de tunnel):

Bij de volgende IPSec poging forceer ik de VW8 kant (mijn ouders) de connectie te initieren door de VK4 kant connection-type respond te geven. Met deze opzet kan ik dus geen tunnel opzetten, ongeacht vanuit welke kant ik ping.

Tot slot zie je bij deze poging dat ik zowel de authentication id alsook de authentication remote-id gebruik. Ik had daarvoor dezelfde test gedaan zonder authentication remote-id (dus enkel authentication id), zonder enig verschil in het resultaat.

Ik krijg het dus alleen werkend als ik de connection-type aan mijn kant op initiate zet en vanuit mijn kant een actie doe die de tunnel aanspreekt (zoals ping 192.168.8.x).

Mijn aanname was dat mijn ouders mijn router niet (voldoende) konden bereiken en dat dus de ‘schuld’ bij de ExperiaBox lag. Echter, de hiervoor genoemde speedtest error suggereert dat de Ziggo modem roet in het eten gooit (dus dat zou mooi zijn).

Daar komt bij dat mijn ouders binnenkort verhuizen en geconfronteerd gaan worden met een nieuwe modem (nog onbekend welke). Als de ExperiaBox het probleem is, dan vindt ik dat wel een spannend vooruitzicht. Zeker gezien de grote reistijd (nu is het 10 huizen verderop). Als het probleem bij de Ziggo modem ligt, dan kan ik er beter mee leven dat de tunnel maar vanuit 1 kant kan worden opgezet: mogelijk kan het met het nieuwe modem van beide kanten, het blijft in ieder geval mogelijk om de tunnel op te zetten.

Een verdere test zou kunnen zijn om dezelfde test te herhalen bij iemand anders, maar ik vermoed niet dat een willekeurige buurman blij wordt van het idee om een nieuw apparaat aan de modem te hangen en deze als DMZ in te stellen. Als er dan onverklaarde problemen optreden in de maanden daarna, dan ben ik automatisch de hoofdverdachte… :-)

PS, ik zie nu dat dit niet exact de gevraagde config.boot is. Als het nog toevoegt op bovenstaande, dan kan ik die nog halen...

Onderstaand de configuratie van een werkende site-2-site verbinding vanuit een KPN aansluiting naar een zakelijke aansluiting bij Ziggo.

Als ik mijn configuratie aanpas op basis van de verschillen met jouw voorbeeld, dan werkt het nog steeds slechts 1 kant op. De enige setting die ik niet heb kunnen overnemen is de interface pppoe0 regel.

Omdat mijn ouders het eerste jaar geen vaste internet aansluiting hebben op hun nieuwe adres gaan ze waarschijnlijk een 4G oplossing zoals T-mobile 4G Voor Thuis overnemen. De vraag is nu hoe dat gaat werken. Als het met dat ding ertussen wel lukt om van hun kant de VPN te initieren dan is daarmee het verhaal klaar. Dat kunnen we binnenkort al testen. Als dat werkt, dan lag het zeker aan het Ziggo modem. Verder heb ik nog niemand anders horen klagen over de VPN met de ExperiaBox V10 ertussen. Ziggo gaf aan dat ze het modem van mijn ouders niet terug willen omdat het een erg oud model is…

Voor nu is daarmee het verhaal voor mij klaar tot ik kan testen met hun nieuwe modem. Kortom, voor nu: bedankt!!

Die regel moet verwijzen naar de WAN interface. In mijn geval is dat de pppoe verbinding naar KPN omdat ik mijn EdgeRouter rechtstreeks op de KPN aansluiting heb staan. Aangezien jij de ER-X als tweede router achter de Experia Box hebt staan zal dat bij jou de eth poort moeten zijn waarop de Experia Box aangesloten is.

Let op: T-Mobile hanteert dynamische IP adressen en dat is killing voor site-2-site VPN verbindingen die van beide zijden geïnitieerd moeten kunnen worden.

Wel kan je jouw VPN dan zo kunnen configureren dat deze VPN verbindingen vanaf alle IP adressen accepteert.

Dit doe je door peer 0.0.0.0 te gebruiken.

Tevens zal je dan een remote-id moeten opgeven maar dat kan ook een fqdn zijn i.p.v. een IP adres. Bij jouw ouders zal dan die fqdn dan als authentication id ingesteld moeten zijn.

Goedemiddag,

Ik heb zojuist mijn nieuwe woning opgeleverd gekregen en liep meteen tegen een ‘probleempje’ aan.

Ik zou graag een UDM-pro gebruiken in mijn huis. Hiervoor kies ik voor de optie om de tv te laten lopen via de experiabox en het internet via de UDM-pro, zoals beschreven in pagina 1.

Echter loopt er maar één loze leiding naar de plek waar mij tv komt. Echter heb ik er twee nodig, één voor het signaal van de tv vanuit de experiabox en één voor het internet signaal van mijn UDM-pro (voor playstation, smart tv e.d.).

Ik ga proberen om twee utp-kabels door de loze leiding te trekken, maar denk niet dat dit gaat lukken.

Weten jullie misschien een oplossing voor bovenstaand probleem?

Groeten Ronald

Wat is de diameter van de leiding”?
Met standaard afmeting PVC-buis heb ik zelf wel twee kabels er doorheen kunnen trekken.

Let dan wel op de diameter van die kabels (CAT 5E / CAT 6 met of zonder afscherming).
En gebruik “kabelvet / kabelglijmiddel” om het een stuk soepeler door de leiding heen te trekken.