Ziggo Gebruikers  - Grootste onafhankelijke Ziggo Forum  


Ga terug   Ziggo Gebruikers - Grootste onafhankelijke Ziggo Forum > Ziggo Internet > Ziggo Internet - Vragen en nieuws > Router

Mededelingen

Router Hulp bij (eigen) router en firewall problemen en instellingen

Discussie gesloten
 
Discussietools Zoek in deze discussie
Oud 12 augustus 2009, 16:24   #71
JD1
Member
 
JD1's schermafbeelding
Standaard

CeeS, het ging er mij om te kijken wat er gebeurt tussen de router en de modem, niet om in de modem te komen. Om dat verkeer te zien, heb je een hub nodig (voor sniffen in promiscuous mode) en geen switch (daarmee krijg je alleen verkeer voor je eigen interface).
JD1 is offline  
Oud 12 augustus 2009, 18:02   #72
meesdroo
Senior Member
 
meesdroo's schermafbeelding
Question

JD1,

Je testopzet is goed, wanneer je ook getest hebt dat je met die PC achter die router gewoon op internet kon (blijven) werken. In principe zou dat altijd moeten lukken, wanneer je de sniffende PC pas aansluit wanneer het netwerk Modem>>>Router>>>PC helemaal in de lucht is. Je kunt die sniffende PC trouwens altijd het MAC adres van je router en een IP-adres uit het blok 192.168.100.0/24 geven. Dat ziet er voor het modem hetzelfde uit als een IP-alias op de router.

Maar waarom je een modem zonder router- of firewall-functionaliteit goed vindt wanneer hij de ene keer wel en een volgende keer niet wil antwoorden op een web-interface ontgaat me. Vergeet niet dat die (router)firewall functionaliteit om 192.168.100.0/24 pakketten binnen het LAN te houden, er niet door wordt verbeterd, terwijl er ook geen enkele indicatie is dat het modem LAN pakketten van de kabel tegenhoudt; alleen de eigen pakketten worden beïnvloed.
Wanneer hij nooit zou antwoorden kan je nog praten over een, uit maintenance-oogpunt gezien, irritante en nutteloze feature, maar bij het huidige onzekerheidsniveau heet dat gewoon Brak.

Overigens ben ik blij te horen dat je router zich verder geheel volgens de (routing-table) regels gedraagt. Een duidelijk pluspunt voor die D-link; ik heb inmiddels slechter gedrag gezien.

Heb je trouwens ook al op 10.x.x.x pakketten gesnift (geef de sniffende PC eventueel een IP-adres dat aansluit bij de DHCP broadcasts)?

Mees de Roo
__________________
Er bestaan 10 verschillende soorten mensen; de ene soort kan binair rekenen en de andere niet.
meesdroo is offline  
Oud 12 augustus 2009, 18:36   #73
MrDroopy
Senior Member
 
MrDroopy's schermafbeelding
Standaard

Ter aanvulling:

In sommige gevallen kun je door een expliciete statische route toevoegen voor het 192.168.100.x subnet via het wan interface een router er toe bewegen om antwoorden vanaf dat subnet wel door te laten. Heb dat in het verleden bij een onwillige router ook wel eens gedaan waarna alles alsnog prima bereikbaar werd. (Het is uiteraard dubbelop aangezien 0.0.0.0 al naar het WAN-IF wordt gerouteerd, maar het lijkt erop dat de firewall hierdoor in ieder geval in mijn situatie een beetje werd gefopt.)
MrDroopy is offline  
Oud 12 augustus 2009, 19:38   #74
JD1
Member
 
JD1's schermafbeelding
Standaard

Citaat:
Oorspronkelijk geplaatst door meesdroo Bekijk bericht
JD1,

Je testopzet is goed, wanneer je ook getest hebt dat je met die PC achter die router gewoon op internet kon (blijven) werken. In principe zou dat altijd moeten lukken, wanneer je de sniffende PC pas aansluit wanneer het netwerk Modem>>>Router>>>PC helemaal in de lucht is. [..]
Internet werkt inderdaad zonder problemen in de testopstelling.

Citaat:
Maar waarom je een modem zonder router- of firewall-functionaliteit goed vindt wanneer hij de ene keer wel en een volgende keer niet wil antwoorden op een web-interface ontgaat me. Vergeet niet dat die (router)firewall functionaliteit om 192.168.100.0/24 pakketten binnen het LAN te houden, er niet door wordt verbeterd, terwijl er ook geen enkele indicatie is dat het modem LAN pakketten van de kabel tegenhoudt; alleen de eigen pakketten worden beïnvloed.
Wanneer hij nooit zou antwoorden kan je nog praten over een, uit maintenance-oogpunt gezien, irritante en nutteloze feature, maar bij het huidige onzekerheidsniveau heet dat gewoon Brak.
Ben ik niet met je eens, want het gedrag is niet onvoorspelbaar. Als de Arris op hetzelfde ip-netwerk zit werkt het consequent zoals het hoort (zoals ik al eerder meldde).

Nog 1 keer dit punt en dan kom ik niet meer op deze kwestie terug, dat beloof ik :

Een vuistregel voor een goed werkend netwerk is dat alle hosts op hetzelfde fysieke netwerk deel uitmaken van het zelfde ip-netwerk.

Heb ik echt niet zelf verzonnen . Als jij denkt dat je probleemloos 2 hosts uit een verschillend ip-netwerk binnen hetzelfde fysieke netwerk (hier: de Arris-LAN-interface en de WAN-interface van de router) kunt laten werken, prima, maar wat mij betreft is het dus glad ijs: de ene keer werkt het wel, de andere keer niet.
Er zijn trucs om onder die vuistregel uit te komen, maar een 'zuivere' situatie levert het niet op. Die trucs zullen ook beter werken met professionelere of geavanceerde routers, maar die heeft niet iedereen.

Citaat:
Heb je trouwens ook al op 10.x.x.x pakketten gesnift (geef de sniffende PC eventueel een IP-adres dat aansluit bij de DHCP broadcasts)?
Nee, maar ik weet dat ze voorbij komen, want de Arris deed een paar keer een arp-request naar zo'n adres.
JD1 is offline  
Oud 12 augustus 2009, 20:33   #75
CeeS
Legend (✝ 2016)
 
CeeS's schermafbeelding
Standaard

Citaat:
Oorspronkelijk geplaatst door JD1 Bekijk bericht
CeeS, het ging er mij om te kijken wat er gebeurt tussen de router en de modem, niet om in de modem te komen. Om dat verkeer te zien, heb je een hub nodig (voor sniffen in promiscuous mode) en geen switch (daarmee krijg je alleen verkeer voor je eigen interface).
Ja, dat weet ik hoor, maar ik had begrepen uit je post dat je ook geprobeerd had te connecten naar het modem ipv alleen te sniffen.

Maar goed, dat heb ik dus zelf even getest. Je bracht me wel op een idee om het even snel te kunnen doen:

Ik heb nu even een switch tussen modem en router gezet en verder de router en modem gewoon aangelaten. Op die switch even mijn laptop aangesloten met als ip-adres 192.168.100.10 netmask 255.255.255.0.

Modem was netjes te pingen en ik kon ook in de web-interface van het modem komen, dus voor lokale ip-adressen (192.168.100.x) is er geen beperking van maar 1 MAC-adres zoals voor de internetpoort geldt.

Op dat moment was de web-interface echter ook normaal bereikbaar vanaf de computer via NAT door mijn Dlink 825 routertje.

Na een minuut of 10 was de webinterface niet meer bereikbaar via de router, maar nog wel te pingen. Via de laptop (die dus direct via de switch in het lokale subnet van de modem zat) kon ik echter nog steeds in de web-interface komen.

Het lijkt er dus op dat het inderdaad zo is dat de 'oplossing' is door met een ip-adres uit het eigen lokale subnet van het modem erin te gaan wel altijd verbinding gemaakt kan worden.

Dus via een switch in de WAN kabel en een losse pc kan dit.
__________________
The difference between theory and practice in practice is greater than the difference between theory and practice in theory....
CeeS is offline  
Oud 12 augustus 2009, 21:07   #76
JD1
Member
 
JD1's schermafbeelding
Standaard

Citaat:
Oorspronkelijk geplaatst door CeeS Bekijk bericht
[...] Dus via een switch in de WAN kabel en een losse pc kan dit.
Of tijdelijk je WAN-interface een adres in dat subnet geven. Alleen heb je dan even geen internet.
JD1 is offline  
Oud 12 augustus 2009, 22:32   #77
meesdroo
Senior Member
 
meesdroo's schermafbeelding
Exclamation

JD1,

"Een vuistregel voor een goed werkend netwerk is dat alle hosts op hetzelfde fysieke netwerk deel uitmaken van het zelfde ip-netwerk".

Wanneer je probleemloos, overzichtelijk en onderhoudbaar wilt werken, is bovenstaande policy zeker een goede aanrader. Wanneer je dat "vuistregel" wilt noemen heb ik daar niets op tegen. Maar je suggereerde dat netwerken waar diverse ip-netwerken door elkaar lopen FOUT zouden zijn (en dat een apparaat wat daar niet aan meewerkte dus GOED zou zijn). Ik geef toe dat het opzetten, configureren en onderhouden van dergelijke netwerken complexer is, en dat de daarbij gebruikte apparatuur aan meer configuratie-voorwaarden/mogelijkheden moet voldoen (denk b.v. aan de IP-adres alias-mogelijkheden, waarbij je de WAN-kant van je router zowel een www-adres als 192.168.100.2 meegeeft, of één en dezelfde LAN-kant diverse subnetten met verschillende routing eigenschappen). Er kunnen met die mogelijkheden ook zo gemakkelijk fouten gemaakt worden, dat je consumers sommige van die opties niet eens wilt geven.

Maar essentieel voor een goede netwerkopzet is de logische consistentie; de fysieke layout doet daarbij eigenlijk niet ter zake; hoogstens kunnen fysieke beperkingen de logische mogelijkheden beperken.

En ten slotte nog eenmaal de Arris modems. Knoeien met de uitleesbaarheid in bridging mode dient geen enkel doel. Het netwerk wordt niet sneller, veiliger, eenvoudiger onderhoudbaar of wat dan ook. De uitleesbaarheid beperken dient maar één doel en dat is de uitleesbaarheid beperken. Wanneer dat geknoei ook nog eens amateuristisch geïmplementeerd is zodat het soms wel en soms niet werkt, dan zegt dat (net als het gebrek aan RF afscherming) alles over het gebrek aan kwaliteit van dit modem.

Mees de Roo
__________________
Er bestaan 10 verschillende soorten mensen; de ene soort kan binair rekenen en de andere niet.
meesdroo is offline  
Oud 14 augustus 2009, 09:09   #78
JD1
Member
 
JD1's schermafbeelding
Standaard

Citaat:
Oorspronkelijk geplaatst door meesdroo Bekijk bericht
Maar essentieel voor een goede netwerkopzet is de logische consistentie; de fysieke layout doet daarbij eigenlijk niet ter zake; hoogstens kunnen fysieke beperkingen de logische mogelijkheden beperken.
Je hebt gelijk. Hoewel het qua ontwerp geen schoonheidsprijs verdient, zou zonder die 'beveiliging' de webinterface ook vanaf een ander netwerk consequent uitleesbaar moeten zijn. Pingen werkt in dat geval immers wel altijd.

Nog even iets wat ik tijdens het sniffen zag: een 'duplicate address'-melding voor 192.168.100.1. Ziet de modem andere modems? Lijkt me niet zo netjes als dat zo is, toch? Voor de volledigheid: van het 2e MAC-adres weet ik zeker dat het niet in mijn netwerkje thuishoort.

Laatst gewijzigd door JD1; 14 augustus 2009 om 12:19
JD1 is offline  
Oud 14 augustus 2009, 19:27   #79
meesdroo
Senior Member
 
meesdroo's schermafbeelding
Question

Nee, dat lijkt mij helemaal niet netjes. De modems mogen alleen naar de gebruiker toe een 192.168.100.1 IP-adres tonen; naar Ziggo toe hebben ze een adres uit het 10.x.x.x blok.
Je PC heeft niet per ongeluk ook 192.168.100.1 gekregen en je router doet niet aan IP-forwarding op zijn WAN interface?

Mees de Roo
__________________
Er bestaan 10 verschillende soorten mensen; de ene soort kan binair rekenen en de andere niet.
meesdroo is offline  
Oud 14 augustus 2009, 19:58   #80
JD1
Member
 
JD1's schermafbeelding
Standaard

Nee in beide gevallen. Helaas heb ik de bewuste sessie met Wireshark niet opgeslagen , dus kan ik niet meer nagaan wat voor interface het precies was (via het vendor-gedeelte van het h/w-adres). Bij gelegenheid wil ik nog eens testen en wat langer en gerichter kijken naar wat er allemaal van 'buiten' binnenkomt. Ik had de indruk dat met name tijdens / na de initialisatie van de modem er van alles gebeurt op dat gebied.
JD1 is offline  
Discussie gesloten

Ziggo Gebruikers - Grootste onafhankelijke Ziggo Forum > Ziggo Internet > Ziggo Internet - Vragen en nieuws > Router


Labels
arris, docsis, firewall, modem, uitlezen



Discussietools Zoek in deze discussie
Zoek in deze discussie:

Geavanceerd zoeken

Regels voor berichten
Je mag geen nieuwe discussies starten
Je mag niet reageren op berichten
Je mag geen bijlagen versturen
Je mag niet je berichten bewerken

BB code is Aan
Smileys zijn Aan
[IMG]-code is Aan
HTML-code is Uit

Forumnavigatie

Ziggo App voor Android Ziggo App voor iPhone & iPad

© 2017 - Ziggo-Gebruikers.nl