Routing problem in T-Mobile Thuis Network

  • 27 December 2021
  • 64 reacties
  • 1285 Bekeken
EricSatu
Reputatie 3

Hi,

Need some help here.

I build on 2 locations in the T-Mobile Thuis network a similar setup: a Zyxel VMG8825 T50 modem and a NAS connected, and all is configured exactly the same at both sides. The IP address belonging to the NAS-URL of each NAS, is updated via DDNS (Setup in both Zyxel) with NO-IP.

1.When I try to connect from Laptop-1 to NAS-2 from IP = 85.144.x.y (=Zyxel-1) it fails.
2.When I try to connect from Laptop-2 to NAS-1 from IP = 87.208.x.y (=Zyxel-2 it works fine.
3.When I try from any other non-T-Mobile Thuis access point, or via Wifi Hotspot on the Mobile Phone, it works just fine.
4.Resetting Zyxel-1 has no effect.
 

Observations:

1.No ping works on the T-Mobile Thuis network
2.Routing from 85.144.x.y to 87.208.x.y domain fails
3.Routing from 87.208.x.y to 85.144.x.y domain works fine.
 

Can anyone advise whether I made a mistake, or is it a T-Mobile Thuis network configuration issue ?

Eric

This topic has been closed for comments

64 reacties

EricSatu
Reputatie 3

HEBBES !!!!!

@yalerta , you are the man !  Ik ben in de NAS gedoken en vond een lijst met 129 geblackliste IP adressen in de Firewall, en mijn IP adres van Zyxel-1 stond daar tussen. Die heb ik verwijderd, en alles werkt meteen.

Hierbij wil ik jullie, @Jason , @Gerrit078 @yalerta en @Pieter_B heel hartelijk danken voor jullie support om mijn probleem op te sporen met ideen. Ik ben uiteindelijk op het verkeerde spoor gezet omdat alles normaal werkte via een HotSpot verbinding. 

Door vol te houden is het gelukt, en heb ik ook erg veel van jullie geleerd. Hiervoor mijn hartelijke dank.

Groeten,

Eric 

yalerta
Reputatie 7
Badge +5

:muscle_tone2:@EricSatu your welcome :sunglasses:

Tsja, door de No-Ip dDNS stond ik ook lange tijd op het verkeerde been. Maar door een andere post op dit forum waar de poortmapping niet lukte bleek dit veroorzaakt door een 2e netwerkkaart in de Nas met verkeerde DNS binding/instelling. LINK

In dat topic had ik al 2 maal voorgesteld dat, in mijn beleving, de Nas het veroorzaakte. En dat bleek idd het geval.

Komt tijd, komt raad. En ik maar raden waar de tijd blijft maar doe ondertussen of ik er verstand van heb
EricSatu
Reputatie 3

@Boris nog niet uitgevoerd, hopelijk vanavond.

A

@EricSatu

 

Could you please try the following from both internet connections and laptops ?!

→ Go to https://www.grc.com/default.htm

→ Click ShielsUP! which is under the “Hot Spots” title if you scroll down.

→ Click Proceed

→ Enter the port numbers 200,1443,1001,1501 in the white inputfield.

→ Click “User Specified Custom Port Probe”.

 

This will initiate a portscan from the IPv4 address your connecting from. I'm pretty sure you will see the ports on 87.208 will be shown with status “Stealth".

 

A routing issue will be impossible, reason? 

2.Routing from 85.144.x.y to 87.208.x.y domain fails

3.Routing from 87.208.x.y to 85.144.x.y domain works fine.

 

If from 85.144.x.y to 87.208.x.y fails, the same would have been the case the other way around.

 

Jason van Odido
Rank
Reputatie 7
Badge +16

@EricSatu zou dus de modems een keer kunnen wisselen als foutopsporing of een moderator verzoeken een nieuwe Zyxel te mogen ontvangen om te proberen dit langslepende issue uit de wereld te krijgen.

@Jason@Lisa of @Sander meegelezen?

Ik vind dit een prima oplossing/alternatief. Wij kunnen geen problemen constateren in ons eigen netwerk én kunnen een issue met de Zyxel niet uitsluiten. @EricSatu Kun je mij een privébericht sturen met daarin het MAC-adres van de Zyxel die niet te bereiken is en een poortfout weergeeft, alsjeblieft? Dan bestel ik een vervangend modem en zien we vrij rap of het daarmee inderdaad verholpen is en je van A naar B kunt en vice versa.

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
Pieter_B
Rank
Reputatie 7
Badge +3

@EricSatu 

Are the ping problems both present when using the host name via NO_IP and the real IP of your home router?

Did you use telnet with port details or just ping without port the host / IP?

What does nmap -p  PORT IP report?

What does nmap IP (direct) or nmap HOSTNAME (via NO_IP) report?

What happens if you enable the ping response on the Zyxel-2, do you get a response from the router itself?

 

LET OP gewoon Medeklant. Glasvezel sinds 2016 (1Gb and never needs more) - Linux gebruiker sinds 2006 ( Current: Kubuntu mantic 23.10 )- DIY Router/Firewall: pfSense 2.7.0 met 4 port INTEL NIC & Switch Unifi 8 poort 60w POE & Switch Unifi 8 poort & Wifi Unifi AP-AC Pro
Pieter_B
Rank
Reputatie 7
Badge +3

@EricSatu 

Hello again.

I see that some of the ports are maybe open, but NMAP can not determine its correct state.

See the basic info for scanning

filtered

Nmap cannot determine whether the port is open because packet filtering prevents its probes from reaching the port. The filtering could be from a dedicated firewall device, router rules, or host-based firewall software. These ports frustrate attackers because they provide so little information. Sometimes they respond with ICMP error messages such as type 3 code 13 (destination unreachable: communication administratively prohibited), but filters that simply drop probes without responding are far more common. This forces Nmap to retry several times just in case the probe was dropped due to network congestion rather than filtering. This slows down the scan dramatically.

 

What you can do when getting this message, deactivate the Port Forwarding on the target Zyxel and scan again. If it reports CLOSED, you know that if deactivated ports change the status, the problem could be on the direction of the NAS.

LET OP gewoon Medeklant. Glasvezel sinds 2016 (1Gb and never needs more) - Linux gebruiker sinds 2006 ( Current: Kubuntu mantic 23.10 )- DIY Router/Firewall: pfSense 2.7.0 met 4 port INTEL NIC & Switch Unifi 8 poort 60w POE & Switch Unifi 8 poort & Wifi Unifi AP-AC Pro
EricSatu
Reputatie 3

Thank you @Pieter_B 

On your first 2 questions I can say:

1: Ping never works, not on IP@, neither URL

2: I don’t use telnet

3: -, next week

4: -, next week

5: I don’t know how to enable the ping response on the Zyxel T50 modem. Can’t find the setting.

I’ll get back to you next week as I am not at home right now and can’t test any further.

Eric

EricSatu
Reputatie 3

Thanks @Pieter_B I will test with other tools next week.

The nmap result matches with reality. If the bullet = RED for a specific port, it can not be accessed from a URL either. If the bullet = GREEN, it can be accessed !

Difference is the the network I access from. RED = accessed from Zyxel-1, GREEN = accessed via Mobile Phone Hotspot.

To me it is clear that there is something blocked between Zyxel-1 and Zyxel-2 in the T-Mobile Thuis network. Do you know who I can ask to have that checked ? 

A

@Jasonen @Gerrit078 

Als we er vanuit gaan dat voor beide WAN IP’s het A/PTR-record dus klopt, wat we eigenlijk wel kunnen stellen, want via de Hotspot en het betreffende A/PTR-record via NO-IP komen we wel op beide NAS-sen.

 

Dat is juist wat ik betwijfel, ik ben benieuwd wat @EricSatu voor resultaten krijgt als hij op zowel Zyxel 1 als Zyxel 2 de volgende twee links bezoekt;

Vanaf T-Mobile Thuis Glasvezel (ODF) Dordrecht → https://tmobilethuis.nl.eu.org/lg/ps.php

Vanaf Server in Frankrijk → https://tmobilethuis.nl.eu.org/ps.php

Even vluchtig een simpel nmap scriptje gemaakt die de output direct toont zodra de portscans voltooid zijn. Misschien kan je (EricSatu) meteen even een screenshotje delen (vergeet niet de IP-Adressen te verwijderen).

 

We komen via het A/PTR-record vanuit Zyxel 2 op NAS 1, maar dus niet bij het A/PTR-record vanuit Zyxel 1 op NAS 2. 

Conclusie zou dan kunnen zijn, dat Zyxel 1 de boosdoener is voor verkeer op poortnummer naar de NO-IP server?

 

Nope, hij heeft n.l. ook getest op IP-Adres dus geheel zonder No-IP maar direct op de IP-Adressen. Daar kwamen doormiddel van een directe en externe portscan dezelfde resultaat naar voren. Dus ook zonder no-ip is er dat probleem.

Pieter_B
Rank
Reputatie 7
Badge +3

@EricSatu 

Missed that a little bit that one picture was from a Hotspot connection and the other via the fixed line. Now i see you are testing the same IP twice.

It is indeed a little bit strange that a connection via a hotspot network (mobile network) has everything open, but over the fixed TMT line all are closed.

Feels like some kind of routing issue for now.

LET OP gewoon Medeklant. Glasvezel sinds 2016 (1Gb and never needs more) - Linux gebruiker sinds 2006 ( Current: Kubuntu mantic 23.10 )- DIY Router/Firewall: pfSense 2.7.0 met 4 port INTEL NIC & Switch Unifi 8 poort 60w POE & Switch Unifi 8 poort & Wifi Unifi AP-AC Pro
Jason van Odido
Rank
Reputatie 7
Badge +16

Hi @EricSatu, I'll try and ask one of our network specialists to come and take a gander, my limited knowledge won't be of much assistance to be honest! 😊

Thanks for your help and contributions @Pieter_B, hopefully one of our specialists can offer more clarity! 

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
Boris
Rank
Reputatie 7

Hi @EricSatu ,

Ik ben erg benieuwd of het nog is gelukt met de test. Wil je het ons laten weten? We horen het graag van je! 

A

@Gerrit078

Hi Gerrit,

I did the ShieldsUP portscan as you suggested, and indeed the ports are in Stealth mode.

This is interesting, as the ports are accessible when I access via my Mobile Phone Hotspot as stated in an earlier post . . . .

Exactly as I expected…

I suspect that - when you were using your hotspot - your phone was still connected to your Wi-Fi connection. In that case the ports are indeed open because of local-loopback (NAT Loopback) is used.

Because of the loopback, ports are concidered as open ports when you test them locally. Not sure how to get this to work, it might be a conflict somewhere in the modem software so maybe a full software reset might solve the issue. It might be an idea to head over to the location where everything does work. Make screenshots of all pages and settings, and take them with you to the location where it doesn't work. A minor difference could cause this sort of issues as well.

 

By the way, to test it with the hotspot:

Disconnect your phone from the Wi-Fi network, turn hotspot on again, reconnect your laptop to your phone as a hotspot and test again. Then you will see again that the ports are stealth.

It looks like a routing issue somewhere in the T-Mobile Thuis network. Internal port access originated from Zyxel-1 is blocked, however some external access is functioning, like from No-Ip and via Mobile Phone network (Tele2). 

 

It's a conflict with the Zyxel, if it would have been a routing issue, you would not have seen port 200 open either. Besides that, it would have been impossible to reach the other target either. When A → B works but B → A doesn't… there's no routing issue, that's impossible.

 

@Gerrit078

targeted network. Not on a remote network.

Maybe there is a portscan tool online allowing remote IP's to be entered, but unfortunately I don't know any. I do however know the IP ending with 3, does have all those ports you mentioned open.

 

EricSatu
Reputatie 3

@Jason and @Pieter B. 

There are 2 different locations or cities (2 subscriptions !) identically setup with a modem and NAS. One in T-Mobile Thuis domain 85.144.x.y and the other in 87.208.x.y.

Hope that clarifies, and I hope you have an idea to fix my issue.

Jason van Odido
Rank
Reputatie 7
Badge +16

Hi @EricSatu, thanks for the clarification! 

I'll ask for some help from one of our home-experts. My expertise isn't nearly broad enough regarding this subject, sorry!

@Pieter_B, @Hidden.nld and @Waqqas: kunnen jullie wellicht assistentie bieden? Alvast hartelijk dank! 😄

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
A

@Gerrit078 Hallo Gerrit.

Heb jij een tool waarmee ik poorten kan testen vanaf Zyxel-1 naar Zyxel-2, dus binnen het T-Mobile Thuis Netwerk ?

 

Zoals gezegd maak ik gebruik van Linux dus wordt de tool nmap gebruikt die overigens ook voor Windows beschikbaar is. Die is eigenlijk niet heel veel anders dan de Zenmap tool die jij gebruikt.

 

Hieronder een plaatje van mijn laatste testen. Moet iets in het T-Mobile Network zijn.

Het is beter om eerst het modem eens te vervangen zoals eerder aanhaald, je bent niet de enige met dit probleem en het lijkt erop dat het op willekeurige modems wel of juist niet werkt.

Je kunt het blijven proberen maar ik ben bang dat het niet zal gaan werken, daarom is het beter eerst even een privé bericht naar @Jason te sturen met het MAC-Adres van de Zyxel waarbij port-forwarding niet lijkt te werken.

Pieter_B
Rank
Reputatie 7
Badge +3

@Jason en @Gerrit078 

Als we er vanuit gaan dat voor beide WAN IP’s het A/PTR-record dus klopt, wat we eigenlijk wel kunnen stellen, want via de Hotspot en het betreffende A/PTR-record via NO-IP komen we wel op beide NAS-sen.

We komen via het A/PTR-record vanuit Zyxel 2 op NAS 1, maar dus niet bij het A/PTR-record vanuit Zyxel 1 op NAS 2. 

Conclusie zou dan kunnen zijn, dat Zyxel 1 de boosdoener is voor verkeer op poortnummer naar de NO-IP server?

What is a PTR Record and How to Do Reverse IP Lookup?

Dynamic DNS (DDNS) Troubleshooting Guide

LET OP gewoon Medeklant. Glasvezel sinds 2016 (1Gb and never needs more) - Linux gebruiker sinds 2006 ( Current: Kubuntu mantic 23.10 )- DIY Router/Firewall: pfSense 2.7.0 met 4 port INTEL NIC & Switch Unifi 8 poort 60w POE & Switch Unifi 8 poort & Wifi Unifi AP-AC Pro
EricSatu
Reputatie 3

@Gerrit078

Ik gebruik ook nmap onder Windows, en gisteren heb ik een ander leuk tooltje gevonden: Tracetcp.

Dat geeft alle ‘hops’ weer.

Met een ‘tracetcp’ naar Zyxel-2 lijkt het er bijna op dat het inderdaad bij dat modem zit. De laatste hop geeft het correcte IP adres, maar blijft dan hangen oneindig “Request timed out”.

 

C:\>tracetcp 87.208.x.y:1234 -m 64

 

Tracing route to 87.208.x.y [y-x-208-87.ftth.glasoperator.nl] on port 1234

Over a maximum of 64 hops.

1       3 ms    3 ms    4 ms    192.168.1.1     [home]

2       7 ms    4 ms    5 ms    85.144.224.1    [1-224-144-85.ftth.glasoperator.nl]

3       8 ms    8 ms    7 ms    10.10.10.170

4       8 ms    8 ms    8 ms    10.226.4.1

5       11 ms   8 ms    7 ms    10.10.12.38

6       20 ms   17 ms   54 ms   87.208.x.y  [y-x-208-87.ftth.glasoperator.nl]

7       *       *       *       Request timed out.

8       *       *       *       Request timed out.

…….

64      *       *       *       Request timed out.

Trace Complete.

 

Groeten,

Eric

EricSatu
Reputatie 3

Hi @Gerrit078 Here you go, run from Zyxel-1.

Ik kan het even niet runnen van Zyxel-2 (30km hier vandaan)

Test from T-Mobile Thuis (Dordrecht)

Starting Nmap 7.40 ( https://nmap.org ) at 2022-02-25 22:24 CETNmap scan report for y-x-b-a.ftth.glasoperator.nl (a.b.x.y)Host is up (0.0050s latency).PORT     STATE    SERVICE20/tcp   filtered ftp-data21/tcp   filtered ftp22/tcp   filtered ssh80/tcp   filtered http200/tcp  open     src443/tcp  filtered https1001/tcp open     webpush1443/tcp filtered ies-lm1501/tcp open     sas-3Nmap done: 1 IP address (1 host up) scanned in 1.25 seconds

Test from Server (France)

Starting Nmap 7.70 ( https://nmap.org ) at 2022-02-25 22:26 CETNmap scan report for y-x-b-a.ftth.glasoperator.nl (a.b.x.y)Host is up.PORT     STATE    SERVICE20/tcp   filtered ftp-data21/tcp   filtered ftp22/tcp   filtered ssh80/tcp   filtered http200/tcp  filtered src443/tcp  filtered https1001/tcp filtered webpush1443/tcp filtered ies-lm1501/tcp filtered sas-3Nmap done: 1 IP address (1 host up) scanned in 3.06 seconds

 

A

Hi @Gerrit078 Here you go, run from Zyxel-1.

Ik kan het even niet runnen van Zyxel-2 (30km hier vandaan)

Test from T-Mobile Thuis (Dordrecht)

Starting Nmap 7.40 ( https://nmap.org ) at 2022-02-25 22:24 CET
Nmap scan report for y-x-b-a.ftth.glasoperator.nl (a.b.x.y)

Host is up (0.0050s latency).
PORT     STATE    SERVICE
20/tcp   filtered ftp-data
21/tcp   filtered ftp
22/tcp   filtered ssh
80/tcp   filtered http
200/tcp  open     src
443/tcp  filtered https
1001/tcp open     webpush
1443/tcp filtered ies-lm
1501/tcp open     sas-3
Nmap done: 1 IP address (1 host up) scanned in 1.25 seconds

 

Oeps, kom er zojuist achter dat ik de firewall op de server in Frankrijk nog niet had vrijgegeven voor poorten 1001, 1501, 1443 en 200. Hierdoor faalde de test op die server (altijd: filtered).

Als het goed is zou de test op de server in Frankrijk nu precies het zelfde moeten aangeven ( iets met haastige spoed) :sweat_smile:

Het ziet er naar uit dat vanaf T-Mobile naar het IP-Adres waar je deze resultaten van toont alles gewoon 100% werkt.

 

EricSatu
Reputatie 3

@Gerrit078 , @Pieter_B  (en @Jason).

Sorry voor het delay, my laptop got bad vorige week.
The modem is replaced, and we observed the following:

  1. Het IP adres is nu anders. Was: 87.208.x.y Nu: 87.208.a.b
  2. Als ik een tracetcp van bv de NAS URL doe, gaat hij naar een ander IP adres: 34.199.x.y
  3. Het modem heeft b15 firmware (Oude had nieuwere b16)
  4. Ik kan nu helemaal niet meer bij mijn NAS komen, dus ook niet meer via HotSpot op mijn telefoon
  5. Kan nog wel de remote admin van het modem doen
  6. Met Nmap zie ik alleen de Zyxel-2 modem admin als open poort, maar niet meer de poorten van de NAS. (Die ik voorheen wel zag via HotSpot connection)

Wat raden jullie aan als volgende stap ? Wat kan ik verder zelf testen ? 

Eric

EricSatu
Reputatie 3

Hi @Gerrit078 

Klopt wat je zegt. Dit betekent dat Zyxel-1 etc goed zou moeten zijn.

Ik hoop dat ik dit weekend Zyxel-2 kan laten testen.

Ook wil ik jouw hartelijk danken voor je support, Ik heb zelf een hekel aan opgeven, totdat het bewezen is dat iets niet gefixed kan worden.

 

EricSatu
Reputatie 3

Sorry, guys, Ik had een foutje gemaakt in het IP adres van de NAS.

Alles is nog hetzelfde als voorheen, dus NAS te bereiken als ik met HotSpot ben verbonden met Internet.

Het verwisselen van het modem heeft dus niets opgeleverd.

VIA HOTSPOT:

 

VIA Zyxel-1:

 

A

Hi @Gerrit078 

Klopt wat je zegt. Dit betekent dat Zyxel-1 etc goed zou moeten zijn.

Ik hoop dat ik dit weekend Zyxel-2 kan laten testen.

 

Laat het even weten zodra je het getest hebt en wat de uitkomst ervan is.

Mocht je het nog niet gedaan hebben, vergeet je dan niet ook even het MAC-Adres van Zyxel 2 door te geven via een privé bericht aan @Jason  ?

 

Ook wil ik jouw hartelijk danken voor je support, Ik heb zelf een hekel aan opgeven, totdat het bewezen is dat iets niet gefixed kan worden.

Opgeven, wat is dat?

…..

Oh moest het even opzoeken, stond ergens helemaal in kleine letters achter in mijn woordenboek.

Even wat ik verwacht m.b.t. de test en uitkomst;

  • Ik verwacht dat bij Zyxel 2 alleen poort 200 open staat en de rest gesloten is.
  • En dat dit inderdaad neerkomt op een Zyxel die niet helemaal lekker is en daarom a.s.a.p. vervangen moet worden.

Als bij vervanging de boel dan nog niet werkt, moet er toch echt ergens iets niet in orde zijn en zou het geen gek idee zijn als een tech eens kan speuren naar wat er dan gaande is. portscans laten vooralsnog zien dat de gegeven resultaten modem gerelateerd zijn.

ForumvoorwaardenCookie instellingen