Experiabox V8 / Arcadyan / NAT Loopback (Hairpin) work-around?

  • 28 juni 2016
  • 9 reacties
  • 1868 keer bekeken

Onlangs overgestapt naar Telfort Glasvezel 3-in-1 en loop onmiddelijk tegen het probleem aan dat NAT loopback niet werkt.
Gaat Telfort deze beperking nog ooit fixen? Ik lees topics 1+ jaar oud hierover..

Wat zijn werkbare workarounds?
Ik heb een eigen router met DD-WRT. Ik begrijp dat de Experiabox V8 in bridge modus te zetten is. (Er zijn wat tips van mede lot genoten.)
1)
2) Wat gebeurt er dan met IPTV?
Ik heb managed switches om VLANs te switchen.

Kost het me echt weer een volle dag werk om hier omheen te gaan werken?
Ik heb vijftig services draaien (met name test) en een boel switches.
Waarom kan NAT loopback niet gewoon out of te box werken, het is echt een kwestie van goede software op die Experiabox.

Ik heb trouwens gevonden dat als het public poort nummer afwijkt van het lokale poortnummer in de NAT forwarding de NAT loopback wel werkt. Maar dat is halfslachtig.

9 reacties

Vraag 1) moest zijn 1) Wordt dit ondersteund door Telfort?
Reputatie 8
Ik begrijp dat de Experiabox V8 in bridge modus te zetten is.
Helaas niet als je IP-TV en VOIP wilt blijven gebruiken.

Maar je kunt wel gewoon NAT achter NAT werken, zo doe ik het hier ook met een 2e router achter de Experia Box.
50 services heb ik hier niet draaien, maar voldoende die zonder problemen draaien, om te veronderstellen dat het met meer services ook zou moeten blijven werken.

Ondervind zover ik dacht geen probleem met NAT loopback, in die zin dat ik intern vanuit een PC gewoon mijn NL domein-naam kan gebruiken die ik op mijn WAN IP heb zitten inclusief SSL-certificaat om bij mijn NAS te kunnen komen. (De NAS zit bij mij achter de 2e router). Ik ben nu echter niet thuis om even opnieuw een check te doen.

Er zijn op het forum wel draadjes van mensen die ook managed switches gebruiken, en daarmee een verdeling maken.
o.a. de volgende draad:
https://forum.telfort.nl/internet-267/vervangen-experiabox-door-andere-router-55455

Heb je een kopernet aansluiting of glasvezel ?
Met glasvezel heb je meer mogelijkheden om alternatieve routers in te zetten als vervanging van de Experia Box.
Wil je VOIP niet verliezen heb je wel de mogelijkheid nodig om een VLAN ID als "tagged" optie te kunnen configureren.
Niet alle routers / switches bieden die mogelijkheid.
Ik heb glas.

De VLAN verdeling kan ik maken, alleen indien dit nodig is (blijf liever IP-routed werken). Dit heb ik eerder moeten doen voor een KPN glasverbinding.

Het gaat me om LAN loopback.

HTTP (80) en HTTPS (443) gaan inderdaad wel goed. Het lijkt vooralsnog alleen om SSH te gaan, al moet ik mijn hele NAT tabel nog overnemen van mijn oude router.
Reputatie 8
Zoals gezegd, ben nu niet thuis om specifiek wat services te testen. Pas donderdag.
Welke poorten zou je specifiek willen testen op loopback?

Bij mij gaat het om de poorten 5000-5001, 8000-8001, maar zijn in die zin wel typische http en https gebruikte poorten.
Verder VPN loopback gaat alleen met OpenVPN = poort 1194, (met een VPN-server op mijn 2e router).
Met VPN LTP/IPSec en PPTP krijg ik dat niet klaar, maar kan mogelijk ook aan de VPN-service zelf liggen ???
Ten slotte is het bedoeld om "van buiten uit" in je thuisnetwerk te komen en niet vanuit je eigen netwerk (daarin zit je namelijk al).

Heb mijn 2e router (Synology RT1900ac) ook wel eens met succes rechtstreeks aangesloten op het glasvezelkastje.
(Dus de Experia Box er tussenuit). Maar omdat ik geen VOIP-telefoon heb, moet ik in dat geval de Experia Box nog achter de Synology RT1900ac hangen (met de analoge RJ11 stekker telefoons daar aan gekoppeld).

Dus is ook nog altijd een keus om te overwegen, je eigen router met DD-WRT direct aan de glasvezel.
Om een TV-ontvanger goed te laten werken moet je router wel "IGMP Snooping" ondersteunen.
Mijn uitgangspunt is als volgt: Ik moet vanaf mijn intranet elk publiek Internet adres kunnen benaderen, dus zeker ook mijn eigen publieke Internet adres.
Ik lees dat NAT loopback soms de eerste minuut wel werkt, dus misschien was mijn melding dat HTTP//HTTPS werkt van tijdelijke aard.

Zou je poort 22 kunnen bekijken? Tot nu toe werkt die bij mij niet, terwijl HTTP wel (even?) heeft gewerkt, naar hetzelfde interne LAN adres.

Het is voor mij belangrijk dat de loopback op de prerouting van het WAN interface gebeurt, zodat ik redelijk goede evidence heb dat mijn services goed werken.

Bovendien vind ik het erg lastig als ik bijv. git.mijndomein.nl op zowel een intranet als internet adres moet benaderen, zeker als ik mijn laptop buiten de deur neem.

Bij KPN Glas had ik DD-WRT als PPPoE en had ik een loopback rule op de DD-WRT router (ook daar werkt het niet altijd uit de box, afhankelijk van firmware release. Lijkt wel of er ook DD-WRT draait in de Experia's... )
Reputatie 8
Zou je poort 22 kunnen bekijken? Tot nu toe werkt die bij mij niet, terwijl HTTP wel (even?) heeft gewerkt, naar hetzelfde interne LAN adres.
Als ik donderdag thuis ben, zal ik eens wat testen doen.
Reputatie 8
Wat laat terug vandaag, maar inmiddels getest.
Speciaal de 2e router er tussenuit gehaald, en alle apparaten (o.a. een NAS) op de Experia Box aangesloten.
(Overigens met de 2e router achter de Experia Box en aangepaste port forwarders NAT achter NAT werkt ook dat).

Maar kom hier gewoon aan een keurig nette "loop-back" op poort 22 (als SFTP).
Heb zowel het rechtstreekse WAN-IP getest, alsook mijn NL-domein wat verwijst naar hetzelfde WAN-IP.

Ik gebruik in de Experia Box wel een afwijkend sub-net dan de standaard 192.168.2.xx
192.168.22.20 verwijst naar de NAS die erachter hangt met een aantal services.
Alle poorten die naar services verwijzen op de NAS werken correct met een loop-back functie.
(SFTP getest met zowel poort 22 als poort 220 ---> ook door alleen poort 22 als port forwarding als regel op te nemen).



Omdat het om een versleutelde verbinding gaat krijg ik de eerste keer dat ik de verbinding maak wel een melding.
(Ik gebruik het programma WinSCP om (S)FTP-connecties op te zetten).
Die gegevens worden erna opgeslagen, en de verbinding gemaakt.



Bedankt voor je uitgebreide test, moeite en tijd!

Ik heb inmiddels op een 2e adres ook Telfort Glasvezel, daar krijg ik poort 22->22 wel voor elkaar. Dus ik ben naar verschillen gaan zoeken.

Het verschil zit hem erin dat ik op het eerste adres de LAN machine een statisch adres had gegeven (op de machine zelf), en ook nog in de DHCP range waarin de DHCP server van de router opereert. Niet helemaal de bedoeling.

Een aantal nieuwe tests met goede resultaten:

- Naar een host die via DHCP een adres heeft gekregen van de router: WERKT.
- Naar een host die buiten de DHCP pool range van de router een statisch adres heeft: WERKT.
- Naar een host met een statisch adres (ingesteld op de host) dat binnen de DHCP pool valt: WERKT NIET (ZOALS VERWACHT).
- Naar een host met een statisch adres (verkregen via de DHCP static table): NOG NIET GETEST

Ofwel NAT loopback wordt inderdaad wel ondersteund.

De enige feature die ik mis t.o.v. mijn eigen router is de dd-wrt feature waarbij access alleen vanuit specifieke source IP adressen mogelijk is.
Dit kan ik ook op de hosts instellen, maar wellicht ga ik toch even kijken of de bridge feature interessant is.
Reputatie 8
- Naar een host met een statisch adres (verkregen via de DHCP static table): NOG NIET GETEST

.......maar wellicht ga ik toch even kijken of de bridge feature interessant is.


Static DHCP bij de Experia Box zie < HIER >
Lees verder de opmerkingen in de laatste 4 alinea's ten aanzien van de keus binnen of buiten een DHCP-pool en bridge in een reactie, verder in diezefde draad < HIER >

Reageer