Routing problem in T-Mobile Thuis Network

  • 27 December 2021
  • 64 reacties
  • 1291 Bekeken
Toon eerste reactie
This topic has been closed for comments

64 reacties

yalerta
Reputatie 7
Badge +5

Is het IP waarvan je probeert te verbinden soms geblacklist in de Nas?

Of een Nas met meerdere netwerk poorten waarvan de verkeerde gemonitord wordt.
 

Komt tijd, komt raad. En ik maar raden waar de tijd blijft maar doe ondertussen of ik er verstand van heb
EricSatu
Reputatie 3

Hi @Gerrit078 

@Jason heeft Serienummer en MAC van Zyxel-2 reeds.

Ik ben benieuwd wat er uit de test bij Zyxel-2 komr, Op basis van de ‘tracetcp’ resultaten verwacht ik dat daar iets mee aan de hand is.

Jason van Odido
Rank
Reputatie 7
Badge +16

Dat is echt geweldig nieuws! @yalerta Je hebt het wederom in goede banen geleid; dankjewel! Uiteraard aan een ieder bedankt dat jullie hier tijd instaken om @EricSatu zo goed te helpen! 😄👍

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
EricSatu
Reputatie 3

Hi @Pieter_B you got it right.

What or who can help me ? What do you recommend ?

Eric

Pieter_B
Rank
Reputatie 7
Badge +3

@EricSatu 

Can you see what happens if you connect from Laptop-1 to NAS-1 via the DDNS service, you could see that as a remote hairpin.

And try to do the same on the other side with Laptop-2 to NAS-2.

But it would be nice it some network specs at TMT could also look into this, i do not know if moderator @Jason could be of any assistance on this?

NOTE: Moderators mostly try to respond in about 48 hours, maybe now after the weekend.

LET OP gewoon Medeklant. Glasvezel sinds 2016 (1Gb and never needs more) - Linux gebruiker sinds 2006 ( Current: Kubuntu mantic 23.10 )- DIY Router/Firewall: pfSense 2.7.0 met 4 port INTEL NIC & Switch Unifi 8 poort 60w POE & Switch Unifi 8 poort & Wifi Unifi AP-AC Pro
EricSatu
Reputatie 3

Really appreciated @Jason any further information required ? Please let me know.

Thank you @Pieter_B , lets hope it can be fixed.

Jason van Odido
Rank
Reputatie 7
Badge +16

@TechRacing93 Sorry dat ik je zo brutaal tag in dit topic, maar ik heb met de specialisten gesproken en jouw naam komt vaker naar voren omdat jij nogal eens deskundig geholpen hebt in andere topics (evenals @Pieter_B hierboven en vaker doet natuurlijk)! 😊

Zou je hier jouw deskundige blik op willen laten schijnen, alsjeblieft?

@EricSatu You're very welcome, no further info is required at the moment. Thanks!

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
Jason van Odido
Rank
Reputatie 7
Badge +16

@EricSatu Can you send me a private message with both klantnummers, please (customer numbers)? Right now I can only find one connection, finding the second one would really help matters. Thanks in advance! 😉👍

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
EricSatu
Reputatie 3

@Gerrit078 @Boris 

Hi Gerrit,

Hier het test resultaat van Zyxel-2.

Groeten,

Eric

Test started from: Amsterdam NL
Starting Nmap 7.80 ( https://nmap.org ) at 2022-02-28 21:32 UTC
Nmap scan report for y-x-b-a.ftth.glasoperator.nl (a.b.x.y)
Host is up (0.011s latency).

PORT     STATE    SERVICE
20/tcp   filtered ftp-data
21/tcp   filtered ftp
22/tcp   filtered ssh
23/tcp   filtered telnet
24/tcp   filtered priv-mail
25/tcp   filtered smtp
80/tcp   filtered http
110/tcp  filtered pop3
200/tcp  open     src
443/tcp  filtered https
465/tcp  filtered smtps
587/tcp  filtered submission
993/tcp  filtered imaps
995/tcp  filtered pop3s
1001/tcp filtered webpush
1443/tcp filtered ies-lm
1501/tcp filtered sas-3
5000/tcp filtered upnp

Nmap done: 1 IP address (1 host up) scanned in 3.46 second

 

Test started from: Roubaix FR
Starting Nmap 7.70 ( https://nmap.org ) at 2022-02-28 22:32 CET
Nmap scan report for y-x-b-a.ftth.glasoperator.nl (a.b.x.y)
Host is up (0.019s latency).

PORT     STATE    SERVICE
20/tcp   filtered ftp-data
21/tcp   filtered ftp
22/tcp   filtered ssh
23/tcp   filtered telnet
24/tcp   filtered priv-mail
25/tcp   filtered smtp
80/tcp   filtered http
110/tcp  filtered pop3
200/tcp  open     src
443/tcp  filtered https
465/tcp  filtered smtps
587/tcp  filtered submission
993/tcp  filtered imaps
995/tcp  filtered pop3s
1001/tcp filtered webpush
1443/tcp filtered ies-lm
1501/tcp filtered sas-3
5000/tcp filtered upnp

Nmap done: 1 IP address (1 host up) scanned in 3.26 seconds

A

@Gerrit078

Hi Gerrit,

Hier het test resultaat van Zyxel-2.

Groeten,

Eric

Test started from: Amsterdam NL
Starting Nmap 7.80 ( https://nmap.org ) at 2022-02-28 21:32 UTC
Nmap scan report for y-x-b-a.ftth.glasoperator.nl (a.b.x.y)
Host is up (0.011s latency).
Nmap done: 1 IP address (1 host up) scanned in 3.46 second

 

Test started from: Roubaix FR
Starting Nmap 7.70 ( https://nmap.org ) at 2022-02-28 22:32 CET
Nmap scan report for y-x-b-a.ftth.glasoperator.nl (a.b.x.y)
Host is up (0.019s latency).
Nmap done: 1 IP address (1 host up) scanned in 3.26 seconds

Nice…

Hmmm, 17 gefilterd 1 open (200). Dat houdt dus in dat op Zyxel-2 de Port-Forwarding niet goed is doorgevoerd d.w.z. het lijkt wel alsof iptables/nftables (= Firewall daemon) geen poorten opent naar de buitenwereld. Hoe ziet je hele port-forwarding schema eruit op Zyxel-2 ??

EricSatu
Reputatie 3

Ik gebruik poorten 200, 1001, 1443 en 1501 en forward die naar dezelfde poorten op een intern IP adres op Zyxel-2.   Exact hetzelfde als bij Zyxel-1, waar alles gewoon werkt.

Het vreemde is dat vanbuiten het T-Mob netwerk de poorten wel open zijn.

A

Ik gebruik poorten 200, 1001, 1443 en 1501 en forward die naar dezelfde poorten op een intern IP adres op Zyxel-2.   Exact hetzelfde als bij Zyxel-1, waar alles gewoon werkt.

Het vreemde is dat vanbuiten het T-Mob netwerk de poorten wel open zijn.

Nee, dat zijn ze niet daarom zie je “filtered” de servers waar vandaan jij getest hebt zijn in Amsterdam (geen T-Mobile) en Roubaix France (geen T-Mobile). Dus voor buiten het T-Mobile netwerk zijn ze juist niet open als alleen poort 200. Als ze van buiten het T-Mobile netwerk wel open zijn, dan zouden ze status “open” (of "closed") moeten hebben.

Bij Zyxel-1 staat als het goed is je port-forwarding met ETH_internet, bij Zyxel-2 moet dit VD_internet zijn. Zou je bij Zyxel-2 eens de poorten op TCP willen zetten? Ben eigenlijk benieuwd of dit misschien iets doet.

EricSatu
Reputatie 3

@Gerrit078 Ik heb port 1001 en 1443 op TCP gezet. Kan nu niet meer het script laten runnen, maar door gewoon de url te gebruiken of Zyxel-2 IP adres met port nummer, werkt het niet. Kan dus aannemen dat de TCP setting geen effect heeft.

Heb je enig idee of de xDSL route effect kan hebben ? 

A

@Gerrit078 Ik heb port 1001 en 1443 op TCP gezet. Kan nu niet meer het script laten runnen, maar door gewoon de url te gebruiken of Zyxel-2 IP adres met port nummer, werkt het niet. Kan dus aannemen dat de TCP setting geen effect heeft.

 

Nee, deze kan dus gewoon weer op ALL, TCP heeft inderdaad geen zin.

 

Heb je enig idee of de xDSL route effect kan hebben ? 

Nee, ook dan zou port 200 dan gesloten moeten zijn. Als iets aan het route mankeert, dan werkt geen enkele port en zouden ze allemaal filtered moeten zijn. Denk dat het inderdaad ligt aan de firewall.

EricSatu
Reputatie 3

@Lisa @Pieter_B @Jason 

We hebben Zyxel-2 (Amsterdam) weer geconfigureerd en kunnen die weer remote accessen, maar dan alleen als ik via de hotspot van mijn telefoon werk.

Als ik via de Wifi van Zyxel-1 (Hilversum) probeer de Zyxel-2 te accessen, werkt dat nog steeds niet.

Er is dus nog niets veranderd, ik kan de NAS-2 dus nog steeds niet bereiken op het andere Zyxel-2 modem als ik via de Wifi op de Zyxel-1 modem werk . . . . . 

 

D
Reputatie 4

En als je het via gewoon een netwerkkabel probeert?

Heb je daarnaast in het modem aanpassingen aan de firewall gedaan, gebruik je bijv. ACL regels?

Sysinternals (tegenwoordig alweer een hele tijd van Microsoft) heeft een tooltje (psping) waarmee je poorten kunt pingen. Dus ipv alleen het ip-adres ook de bijbehorende poort. https://docs.microsoft.com/en-us/sysinternals/downloads/psping

Kan zijn dat je ping even aan moet zetten in de Zyxel. Dit doe je bij extern beheer.

Vinkje in de WAN kolom zetten en toepassen.

 

Overigens zie ik eigenlijk nergens de foutmelding die je krijgt, als je van L1 naar N2 gaat. Alleen dat deze faalt. Welke foutmelding krijg je?

A

En als je het via gewoon een netwerkkabel probeert?

 

That won't make a difference because an external service also shows those ports beïng closed as shown in this post.

It looks like it's the same issue as mentioned in this post, and there seem to be even more when searching for older topics.

So… this isn't a routing issue as TS ( @EricSatu ) mentioned, it has nothing to do with connected via Wi-Fi, Hotspot or LAN. It does sound like there's something wrong with the Zyxel modems causing a conflict.

I think if @Lisa or @Jason  ( or anyone else of the moderators ) ask the techs for a more in depth analyzing to check if the modem configuration with it's port-forwarding is set properly and check for open ports they might conclude the same. In this case a modemswap will be required.


By the way @Lisa and @Jason  I'm curious if techs have seen port-forwarding set-up and if they checked if those ports are really open.

Ex.

  • If port-forwarding is set-up properly and NAS/Server at home has been set-up correctly, ports would have status OPEN.
  • ​If port-forwarding is set-up properly and NAS/Server at home has not been set-up properly, ports would have status CLOSED.
  • In case of status STEALTH (thus: filtered) this would mean no port-forwarding has been set-up or it has been set-up but the port-forwarding isn't working properly. In this last case (set-up but not working) it's a conflict within the modem.

 

However as this post shows only one port is configured the right way the others aren't. So I guess it's the 3rd point mentioned… a conflict caused in the Zyxel.

EricSatu
Reputatie 3

Hallo allemaal,

Geen foutmelding. Ik kan bevestigen dat ik een trace naar het IP adres kan doen, zowel via Hotspot alswel de Wifi van Zyxel-1.

Met nmap kan ik zien dat de poorten die ik gebruik open staan als ik via Hotspot verbonden ben.

Deze poorten zijn ‘filtered’ als ik via Wifi van Zyxel-1 verbonden ben.

Ik heb geen tool om te bepalen welke server/IP filtered.

Dus @Lisa , @Jason wat is hier aan de hand ? 

EricSatu
Reputatie 3

@Gerrit078 

Hi Gerrit,

I did the ShieldsUP portscan as you suggested, and indeed the ports are in Stealth mode.

Port scan result at Zyxel-2

This is interesting, as the ports are accessible when I access via my Mobile Phone Hotspot as stated in an earlier post . . . .

It looks like a routing issue somewhere in the T-Mobile Thuis network. Internal port access originated from Zyxel-1 is blocked, however some external access is functioning, like from No-Ip and via Mobile Phone network (Tele2). 

The downside of using ShieldsUP! is that it only works when connected to the targeted network. Not on a remote network.

EricSatu
Reputatie 3

Beste @Lisa@Jason en @Gerrit078   Sorry, maar ik geef niet op !! Het moet gewoon werken.

Ik heb verder getest. De Zyxel-2 is aangesloten via xDSL en Zyxel-1 via ONT (Fiber).

Als ik test, dan zijn de ports ‘filtered’ in de richting van Zyxel-1 naar Zyxel-2, dus ONT/OLT naar DSLAM (Fiber naar DSL).

Andersom, werkt alles wel. Dus zelfde weg, maar een richting werkt wel, en de andere niet.

Kunnen jullie aub hier naar kijken ?

Eric

A

Beste @Lisa@Jason en @Gerrit078   Sorry, maar ik geef niet op !! Het moet gewoon werken.

Ik heb verder getest. De Zyxel-2 is aangesloten via xDSL en Zyxel-1 via ONT (Fiber).

Als ik test, dan zijn de ports ‘filtered’ in de richting van Zyxel-1 naar Zyxel-2, dus ONT/OLT naar DSLAM (Fiber naar DSL).

Andersom, werkt alles wel. Dus zelfde weg, maar een richting werkt wel, en de andere niet.

Kunnen jullie aub hier naar kijken ?

Eric

Kan je een paar screenshots toevoegen van de port-forwardings van zowel de Zyxel 1 als de Zyxel 2 ?

 

Op de Zyxel 2 (DSL) moet je kiezen voor VD_Internet in plaats van ETH_Internet!

 

 

EricSatu
Reputatie 3

@Gerrit078 hier een shot van PF van de Zyxel modems. Beide kanten zijn identiek opgezet.

Zyxel-1 (ONU)

Zyxel-2 (DSL)

 

EricSatu
Reputatie 3

Hi @Gerrit078,

My phone has Wifi off when in Hotspot mode, as that is how it works in Samsung at least. 4G/LTE as a Wifi access point using the phone.

Long ago I have compared the settings in both Zyxel modems, they are identical.

Not much I can test anymore that I know of. Hopefully the T-Mobile Thuis team can find something in their configurations. There are many routers/servers in such a network, for various functions.

Anyway thank you for your suggestions, and if you get an idea, let me know.

Eric

 

yalerta
Reputatie 7
Badge +5

Op de glasvezel moet ETH_internet gekozen zijn i.p.v. VD_internet

Komt tijd, komt raad. En ik maar raden waar de tijd blijft maar doe ondertussen of ik er verstand van heb
EricSatu
Reputatie 3

Helaas @yalerta, maakt niet uit.

ForumvoorwaardenCookie instellingen