Hoe kan ik een SRX320 achter een Box 12 1 MKB aansluiten?

Ik heb er niet veel verstand van maar WAN-interface? Klopt dat wel? De Box12 zelf is aangesloten op het WAN (glasvezel/DSL), alles daarachter is volgens mij LAN.

Zie ook dit topic.

De Box12 MKB zet de publieke adressen via een routed subnet rechtstreek door naar het volgende device, in dit geval ethernet interface ge-0/0/0 van de Juniper srx en is in dit geval de WAN poort

Ok, maar heb je de link in m'n vorige reactie gezien? 

Die heb ik idd gelezen, dat is zo als het een beetje werkt met een Fritz!Box, echter is dat niet de gewenste config. Je moet dat bij elke weiziging alles op 2 plekke instellen en werkt maar voor 1 adress en ik heb er 5

Misschien kun je de Box12 wel helemaal weglaten, zie dit topic. Maar als gezegd veel verstand heb ik er ook niet van. De auteur van beide topics was een zeer gewaardeerd expert op dit gebied maar helaas niet meer onder ons. 

Beste ​@Anroy Vlug als zakelijke klant het beste even de zakelijke heldesk bellen via 0800 0403.

Dis is een consumentenforum voor en door klanten.

Succes.

Maar ​@JanD ,ik heb begrepen dat het zakelijke forum is opgeheven en dat zakelijke klanten hun vragen ook op deze Community mogen stellen. Ik weet niet hoe kundig de zakelijke klantenservice van 0800-0403, maar wellicht zit daar inderdaad wel een expert op dit gebied. 

​@Anroy Vlug Arp flags incomplet komt meestal doordat je 2 apparaten met 2 verschillende publiek ip adressen in jouw netwerk als gateways ingesteld hebt, de router weet niet welke behoort tot LAN en welke tot WAN. Zonder concrete instellingen van jouw apparaten te weten kunnen we alleen gissen. Maar algemeen moet je met 5 publieke WAN ip adressen een Proxy ARP instellen op je Firewall.

Ik heb idd een poging gedaan met proxy arp, maar ik loop daarbij vast, bedoel je dan:
 

user@switch# set interface-name unit logical-unit-number proxy-arp (restricted | unrestricted)

Of het toewijzen van het publieke adres van de srx naar het gatway adres van de box 12?.

Ik heb ook een poging gedaan om de Box 12 weg te laten en ben zover dat de pppoe verbinding up is en deze het gatway adres krijgt toegewezen, echter omdat ik een layer 3 config heb en ge-0/0/0 een tag heb gegeven naar VLAN6 lukt het niet om een internetvebinding te krijgen

https://supportportal.juniper.net/s/article/SRX-When-and-how-to-configure-Proxy-ARP?language=en_US

Even getest, echter heeft interface ge-0/0/0.0  1 toegewezen adres (.243 minimaal 1 is verplicht) en kun je geen proxy arp naar toe configureren (overlap), ook met 1 adres een welles nietes verbinding naar de box 12 welke alleen een gateway adres (.241) heeft. Heb je misschien nog een idee?

​@Anroy Vlug Heb je internet adres ingesteld? Zoals

set interfaces ge-0/0/0 unit 0 description KPN Link
set interfaces ge-0/0/0 unit 0 family inet address xx.xx.xx.241/29

Dan de proxy arp voor de andere WAN adressen instellen

set security nat proxy-arp interface ge-0/0/0.0 address xx.xx.xx.243/32
set security nat proxy-arp interface ge-0/0/0.0 address xx.xx.xx.244/32
....
set security nat proxy-arp interface ge-0/0/0.0 address xx.xx.xx.246/32

Ik heb geen juniper apparaat dus kan niet testen.

Ik ga het gelijk testen dank je!

Helaas nog geen vebinding, ik vraag mij af de box 12b MKB krijg vanuit KPN het adres .241 toegewezen (gateway adres) voor het routed subnet in de box 12. Als ik dan .241 toewijs aan ge-0/0/0.0 dan heb ik toch ook een IP conflict of zie ik het verkeerd?
Ik vraag mij af of het niet beter is de box 12 er tussen uit te laten, ik ben hiermee aan het testen geweest en ik krijg de pppoe vebinding up, maar dan raak ik het spoor kwijt. wat ik er van begrijp is dat je ge-0//0/0 moet taggen op VLAN6, een VLAN6 aanmaken, hier IRB aan toevoegen en irb wordt dan het de gateway naar VLAN6.

Nee, het was mijn fout. Ik dacht dat het ip adres .241 van de SRX is. Je moet ook static routes instellen om de WAN adressen te mappen tot hun interne LAN adressen. En de firewall rules voor verkeer tussen trust en untrust zones.

Was ik al een beetje bang voor :-) maar  als we even de extra adressen weg laten, en uitsluitend de .243 wil gebruiken (eigenlijk zoals het nu is via de fritz!box, iedereen zweert hierbij, ik vind de 7590 3 x niks) hoe dan verder, ik moet een adres toewijzen aan ge-0/0/0.0 en wil dat de .243 mijn adres is op deze interface, echter heb ik dan problemen met incomplete arp flags.  ik ben compleet de draad kwijt. ik ha bij ziggo zakelijk een bridged moem met een block van 8 en werkte super. KPN heeft dit als bridged netwerk verkocht maar, dat hebben ze helemaal niet en laten je aan je lot over. 

Dit komt door de router een ARP request ontving maar kan niet naar de verzender het antwoord sturen en markeert de request als incomplete. Dit kan je verhelpen met arp proxy voor de apparaten achter de SRX met WAN-IPs, de antwoorden gaan naar de SRX en de SRX routet naar de apparaten. Maar aangezien je alleen de SRX met WAN-IP wil gebruiken, is arp proxy niet nodig. Waarschijnlijk is een bug in KPN modem. Kan je een screenshot posten van KPN modem instelling (subnet, netmask)? Of je moet idd de SRX direct aansluiten op het glasvezelkastje.

Dank voor je bericht, ik ben echt heel blij dat je helpt!

Aan de box 12b kun je eigenlijk niet instellen, dit is voor ingesteld door KPN, Wat ik wel gedaan heb van de private range is DHCP uitgeschakeld en SPAN uitgezet. alles wat public is is niet zichtbaar of instelbaar. Zoals KPN het noem is er een routed subnet waarin alle publieke adressen 1 op 1 worden doordgezet. Zoals je al zei kan het idd een bug zijn in de box 12. Ik dan toch beter deze er tussen uit te halen, echter heb ik daar al heel wat tijd ingestopt, maar loop steeds ergens vast. In bijna alle voorbeelden, gaat men uit van layer 2 waarbij  ge-0/0/0.0 in ingesteld als switch en een VLAN6 waarin BRI actief is, BRI kan ik dan oon niet activeren in mijn config. Ik krijg wel de PPPoe verbinding up maar dan. Ik kan je eventueel wel deze config toesturen, maar beter niet via deze omgeving.

Even een dubbel check; is je gateway wel xxx.xxx.1.xxx ipv xxx.xxx.2.xxx? Want als je een 2 hebt heb je een consumentenmodem die niet helemaal doet wat jij wilt. 

De gateway voor de private range is idd xxx.xxx.1.xxx, een collage van je is hiet ook geweest om een poging te doen met een MKB box 12 maar kreeg het ook niet werkend en heeft de Fritz!box 7590 (helaas ook een oud model) gebruikt, maar dit werkt maar heel beperkt en absoluut niet geschikt voor MKB

Bijzonder, ook een (KPN EEN) Fritzbox zou moeten werken. Het vervelende is dat wij alles achter de Fritzbox in principe niet ondersteunen. Ik zal vanavond / morgen even kijken of ik wat documentatie over routed subnet voor je heb welke ik kan delen. 
Misschien weet ​@eagle3824 nog wat. Is een zeer slimme collega van me. 

Top! dank je wel.

Helaas geen verstand van de SRX320.

Wat algemene tips mbt routed subnet.

Aan de box12 hoef je niets in te stellen. Routed subnet zou “out off the box” moeten werken.

Van de reeks ip adressen die je krijgt kan je de 1e en de laatste niet gebruiken. 

De 2e wordt toegewezen aan de wan van de box12 en die kan je dus ook niet gebruiken

Je eigen router sluit je met de wan poort aan op een lan poort van de box12

Op je eigen router moet aan de wan zijde ingesteld:

• 1 van de vrije adressen uit de toegewezen reeks
• gateway  het wan adres van de box 12
• subnet volgens de gegevens die je van KPN hebt. In jouw geval zou dat \29 zijn.
• dns naar keuze

Als je twijfelt aan de werking van de box12 dan kan je dit eventueel ook op een laptop proberen. Als je  dan naar bv watismijnip.nl gaat zou je het ingestelde wan ip adres moeten zien.

Tip: haal de 4g backup dongle uit de box12 als je aan het testen bent. Deze heeft trouwens icm met routed subnet toch geen toegevoegde waarde.

​@Anroy Vlug  We hebben dezelfde situatie maar gebruiken ipv van junifer de mikrotik zonder KPN modem. Alk ik beetje dieper kijk, de  .241 is niet te gebruiken, zoals .240 en .247, totaal zijn 5 IPs bruikbaar .242-.246 en gebruik .241 als gateway.

/interface bridge
add name=bridge1 protocol-mode=none
/interface vlan
add interface=ether1 name=VLAN6 vlan-id=6
/interface pppoe-client
add add-default-route=yes disabled=no interface=VLAN6 name=pppoe-out1 service-name=KPN1 user=KPN1 password=KPN1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
/ip address
add address=192.168.1.1/24 interface=bridge1 network=192.168.1.0
add address=xx.xx.xx.241/29 interface=bridge1 network=xx.xx.xx.240
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1 src-address=192.168.1.0/24

Dank tot zover, ik ga er vrijdag weer mee aan de slag en hou jullie op de hoogte.

• eagle3824 de opstelling is letterlijk zoals je omschrijft, maar werkt helaas niet