• Welkom op het onafhankelijke Ziggo Gebruikersforum. Een forum voor en door gebruikers van Ziggo.
    Registreer je gratis om direct zelf berichten te plaatsen en gebruik te maken van extra functies!

Eigen router als Ubee DMZ Host (IPv4 en IPv6)


#1
Ziggo had een jaar of wat geleden een webpagina waarop het plaatsen van een eigen router in de DMZ van de Ziggo router werd beschreven. Deze methode heeft voordelen:
  • Eigen router is direct verbonden met het internet, zonder gedoe met brugmodus voor de Ziggo modem/router.
  • Eigen routers hebben vaak betere WiFi prestaties (b.v. 802.11ac).
  • Geen dubbele NAT voor IPv4.
  • Eigen router beheert ook IPv6 subnetten.
Er is ook een zwaarwegend nadeel (althans voor Ziggo), namelijk dat de gebruiker nu zelf verantwoordelijk is voor het instellen van de firewall.

Hieronder geef ik de instellingen van mijn Ubee EVW 321B en een eigen router (Airport Extreme Base Station model 2015) die mutatis mutandis ook van toepassing zijn op andere hardware. De routers zijn onderling verbonden met een Cat6-kabel (of een goede Cat5e-kabel): gewone LAN-poort op de Ubee, WAN-poort op de eigen router.

Eerst de IPv4-instellingen
We gaan uit van de standaard instellingen van de Ubee als DHCP-server met IPv4-adres 192.168.178.1.
  1. Zoek voor de eigen router het IPv4-adres (b.v. 192.168.178.10) en het MAC-adres (b.v. 1a:2b:3c:4d:5e:6f).
  2. Zet op de Ubee de DHCP-server (voor IPv4) uit door No aan te vinken, en druk dan op Apply.
  3. Voer het gevonden IP-adres en het MAC-adres in onder Gateway > Static Lease, Enabled aanvinken, en op Apply drukken.
  4. Voer het IPv4-adres ook in onder Gateway > DMZ Host en druk weer op Apply.
  5. De WiFi van de Ubee uitschakelen omdat dit door de eigen router wordt verzorgd. Onder Wireless voor elk van de 2.4GHz en 5GHz banden onder Primary Network de desbetreffende functie op Disabled zetten, en in beide gevallen op Apply drukken.
  6. Op de eigen router hetzelfde adres (192.168.178.10 in mijn voorbeeld) ook als statisch WAN-adres invoeren.
  7. De eigen router instellen als DHCP-server met NAT, een eigen adressenserie instellen (b.v. 172.16.1.2 - 200), en - belangrijk! - de firewall activeren. Zelf gebruikt de eigen router dan het adres 172.16.1.1.
  8. Desgewenst de WiFi van de eigen router instellen als een eigen draadloos netwerk, met de gebruikelijke gegevens (SSID, beveiliging, 2.4GHz en/of 5GHz).
Commentaar op de IPv4-instellingen
Na de nodige herstart(s) zal de eigen router misschien klagen over dubbele NAT; dit kan worden genegeerd in het geval van een DMZ Host.
NAT port forwarding voor games of servers moet nu op de eigen router worden gedaan, niet op de Ubee.
De overige LAN-poorten (of de WiFi) van de Ubee zijn in principe nog steeds beschikbaar, aangesloten apparaten kunnen een IPv4-adres in het 192.168.1.0/24 subnet van de Ubee krijgen. IPv4 verbindingen met het internet (alleen uitgaand) zijn echter niet zonder meer mogelijk buiten de DMZ Host om (de eigen router dus). Zie ook mijn commentaar op IPv6-instellingen later in dit bericht.

En nu de optionele IPv6-instellingen
Ziggo heeft medio 2016 Dual-Stack IPv6 geactiveerd voor de Ubee 321B router/modem (maar niet in brugmodus). Bij inloggen op de Ubee zal duidelijk zijn of dit al is geactiveerd. Zo ja, dan de volgende instellingen op de Ubee maken.
  1. Onder Gateway > DHCPv6 de volgende keuzes aanvinken: Enabled; Enable Rapid Commit; en Enable Unicast. Daarna op Apply drukken.
  2. Onder Gateway > Options het vinkje bij WAN Blocking weghalen, en weer op Apply drukken.
  3. Onder Firewall nagaan dat dit aan staat voor IPv6, zo nodig aan zetten (On) en op Apply drukken.
  4. De eigen router instellen voor IPv6, bij voorbeeld op mijn AEBS door Automatic/Native met Enable IPv6 Shared Connection aan te vinken.
Commentaar op IPv6-instellingen
Op de DHCPv6 en LAN IPv6 pagina's van de Ubee zijn de volgende (geanonimiseerde) gegevens beschikbaar:
  • WAN-adres................... 2001:1c01:<96-bits>/128
  • System delegated prefix: 2001:1c01:yyy:z00::/56
  • LAN delegated prefix:..... 2001:1c01:yyy:z00::/64
  • Ubee LAN-adres:............ 2001:1c01:yyy:z00::<EUI>/128
  • Eigen router:................. 2001:1c01:yyy:z00:<EUI>/128
Het WAN-adres is dat van de aansluiting zelf op Ziggo's netwerk.
Ziggo biedt met een /56-aansluiting de mogelijkheid om 256 /64-subnetten op te zetten (z00 tot zff).
De Ubee gebruikt daar het eerste subnet van (LAN delegated prefix) en neemt zelf daarop een /128-adres waarin <EUI> afgeleid is van het MAC-adres van de Ubee. Dit is niet het enige adres, want ook 2001:1c01:yyy:z00::1/128 is toegekend (zie hieronder).
De eigen router krijgt daarop een /128-adres waarin de 64 bits van <EUI> zijn afgeleid van het eigen MAC-adres.

Mijn eigen AEBS geeft de volgende informatie:
  • WAN address:.............. 2001:1c01:yyy:z00::1/128
  • LAN delegated prefix:.... 2001:1c01:yyy:ze0::/59
  • Eigen router:................ 2001:1c01:yyy:ze0:<EUI>/128
Het WAN-adres is nu het alternatieve adres van de Ubee op het eigen Ubee subnet.
De LAN delegated prefix is verwarrend, want dit zou eigenlijk de System delegated prefix moeten zijn (zelfs Apple is niet perfect).
De eigen router heeft kennelijk van de Ubee een /59-aansluiting gekregen met de mogelijkheid om 32 /64-subnetten op te zetten (ze0-zff). Dit zijn de laatste 32 van de 256 subnetten die de Ubee zelf van Ziggo heeft ontvangen.
De eigen router gebruikt daarvan weer het eerste subnet met delegated prefix 2002:1c01:yyy:ze0::/64, en geeft zichzelf daarop het /128-adres waarin <EUI> dezelfde 64 bits zijn als eerder.
De eigen router heeft dus twee /128-adressen, respectievelijk in het z00 en ze0 /64-subnet. Deze kunnen ook beide worden geping6'ed.
De eigen router krijgt ook automatisch de bekende Ziggo DNS-server 2001:b88:1002::10/128.
De overige LAN-poorten (of de WiFi) van de Ubee zijn nog steeds enigszins functioneel voor IPv6-routering omdat DMZ Host een IPv4-instelling is. Aangesloten apparaten krijgen een /128-adres in het z00 /64-subnet van de Ubee en deze adressen zijn routeerbaar (men kan b.v. een apparaat aangesloten op de eigen router ping6'en). De latentie ervan is echter onbruikbaar groot, zodat voor zulk gebruik additionele instellingen van de Ubee nodig zijn, of misschien een zakelijke router.

Tenslotte geeft een test op http://ipv6-test.com vanaf mijn iMac achter de AEBS een perfecte score van 20/20. Dit zou 18/20 zijn geweest als voor WAN Blocking op de Ubee (zie eerder) Enabled was aangevinkt.

Have fun!
 
Laatst bewerkt door een moderator:
G

Gast

#2
Lukt niet

Je stappen plan gevolgd en ipv6 krijgt ook een score 20/20. Maar DMZ werkt niet. En port forwarding dus ook niet
E.e.a. nadat Ziggo mijn abo muteerde en de router terug werd gezet naar normaal vanuit brugmodus.
Opnieuw in brugmodus zetten lukt Ziggo al geen twee weken, dus jou handleiding gevolgd.
Er draait een simpel servertje op een Raspberry in het LAN. Poort 80 doorgezet in de timecapsule naar het statische ip adres van de Ubee. Diverse port scan sites getest maar geen een poort staat open.
Ik heb een Ubee 321B plus Airport Time Capsule.
 
Laatst bewerkt door een moderator:

CeeS

Legend (✝ 2016)
#3
Je moet even uitzoeken waarom DMZ niet wil werken. Weet je zeker dat het WAN ip-adres van je eigen router dan hetzelfde is dan het adres waar je DMZ naartoe verwijst ? Als het met DHCP reservering fout gaat kun je beter een vast ip-adres aan de WAN van je eigen router toewijzen, buiten de DHCP range, maar binnen het subnet.
 
#4
…Poort 80 doorgezet in de timecapsule naar het statische ip adres van de Ubee.
Probeer eerst eens het concept van port forwarding te begrijpen. Als je weet wat je doet en niet gewoon een truukje volgt, is forwarding eigenlijk heel simpel.

Cees: het voorbeeld van Hajk geeft al aan dat je ook op je eigen router een statisch WAN-IP moet instellen. OP de Ubee 3200 is dat al ruim een jaar noodzakelijk wegens niet werkende static leases. (Of dat ook voor de 3210 geldt weet ik niet, maar de handleiding van hajk suggereert van ook)
 
Laatst bewerkt door een moderator:

CeeS

Legend (✝ 2016)
#5
Cees: het voorbeeld van Hajk geeft al aan dat je ook op je eigen router een statisch WAN-IP moet instellen. OP de Ubee 3200 is dat al ruim een jaar noodzakelijk wegens niet werkende static leases. (Of dat ook voor de 3210 geldt weet ik niet, maar de handleiding van hajk suggereert van ook)
hmmm, dat stukje vond ik juist wat verwarrend, het suggereert juist dat je het via de static lease zou moeten doen, vandaar mijn vraag aan videobuff om te checken of het daarmee goed gaat:

Zoek voor de eigen router het IPv4-adres (b.v. 192.168.178.10) en het MAC-adres (b.v. 1a:2b:3c:4d:5e:6f).
Zet op de Ubee de DHCP-server (voor IPv4) uit door No aan te vinken, en druk dan op Apply.
Voer het gevonden IP-adres en het MAC-adres in onder Gateway > Static Lease, Enabled aanvinken, en op Apply drukken.
Voer het IPv4-adres ook in onder Gateway > DMZ Host en druk weer op Apply.
 
G

Gast

#6
Allen dank voor de steun zover. En ja ik begrijp het concept van port forwarding.

mijn instellingen:

Internet IP adres Ziggo (89.x.x.x.x)

Ubee modem - Lan : 10.0.0.1
DHCP: Uit
Static lease voor Apple router: 10.0.0.12 via MAC
DMZ: 10.0.0.12

Apple router:
WAN: is een manual ip adres 10.0.0.12
DHCP staat aan - IP adres 192.168.0.1

Raspberry webserver zit op ip adres 192.168.0.100 - port 80
Port forwarding : 192.168.0.100 - port 8080 naar port 80

Als ik nu met mijn smartphone zonder wifi naar het externe Ziggo ip adres ga met poort 8080 (89.x.x.x:8080) dan zie ik niks.

met de lokale pc naar 10.0.0.12:8080 zie ik de pagina wel
 

CeeS

Legend (✝ 2016)
#7
Dat ziet er goed uit zou je zeggen, wat alleen anders is dan hoe ik het zou doen is:

Ubee modem - Lan : 10.0.0.1
DHCP: Uit
Static lease voor Apple router: 10.0.0.12 via MAC

DMZ: 10.0.0.12
Waarom een Static lease toevoegen als je vervolgens DHCP uitzet ? Die lease wordt dan ook nooit gedaan. De static lease blijkt ook niet goed te werken en daarom kun je het beste via een vast-ip werken, wat je ook gedaan hebt.
Maar misschien werkt portforwarding of DMZ niet goed als DHCP uit staat, dat zou je dus nog kunnen proberen.

Dus: DHCP in de Ubee niet uitzetten. De static-lease weghalen, die gebruik je namelijk niet omdat je ip-adres in jouw router 'vast' is ingesteld. Wel zorgen dat het vaste ip-adres in je eigen router buiten de DHCP range is, dus als die begint bij 10.0.0.10 bijvoorbeeld, moet je jouw router op 10.0.0.2 instellen bijvoorbeeld en ook de DMZ daar naartoe.

Verder neem ik aan dat zaken in je eigen router als DNS server(s) en default gateway (10.0.0.1 met subnet 255.255.255.0) goed staan.

O ja en weet je zeker dat je ipv4 adres een 89.x.x.x adres is ? Je laatste forumbericht kwam van een 82.x.x.x adres namelijk (de eerdere van een ipv6 adres).
 
#8
videobuff: Je forwardings zien er inderdaad correct uit. Dat behoort te werken. In je eerdere bericht schreef je echter dat je poort 80 in je airport naar je Ubee geforward had i.p.v. naar je Raspberry. Dat is dan een soort 'backwarding' en kan nooit werken.

Ik zie ook geen reden om de DHCP in de Ubee uit te zetten. Je ontneemt je zelfs de mogelijkheid om simpel op de wifi van je Ubee in te loggen. Vroeger zat er een bug in de Ubee waardoor inloggen via Wifi extreem lang duurde als je een andere DHCP server gebruikte dan zijn eigen. Je laptop kreeg wel direct een IP van je eigen DHCP server, maar dat adres werd direct erna weer overruled door de Ubee waardoor je laptop het geplande IP ook direct weer verloor, en pas na 1 minuut alsnog zijn IP kreeg. Voor mij mede de reden om weer twee routers achter elkaar te zetten. i,p.v. één netwerk.

Ik heb ook een Ubee met een airport erachter. Zelf gebruik ik echter de 'moeilijke" methode om ook in de Ubee elke poort individueel te forwarden naar het WAN IP van de airport. In jou geval dan poort 8080 naar het IP 10.0.1.12.

Probeer dat ook eens. Als dat wel werkt, zit er een bug in de DMZ van de Ubee.
 
G

Gast

#9
Cees en Briolet,
wederom bedankt voor de steun.
1. Mijn IP adres begint met 82 - was een typo. Ik had eertijds ipv6 aangezet maar staat nu weer uit. Als je mijn ip adres ziet, kun je testen op poort 8080 of je wat ziet.
2. DHCP van de Ubee staat weer aan en het linkje bij de static lease is uit. Bereik van de Ubee is nu vanaf 100, dus de 12 van de airport (statische ip instelling) zit niet in de weg van mogelijk andere gebruikers. (heb ik niet - Wifi staat uit)
De portforwarding op de Ubee is van 82.x.x.x:8080 naar 10.0.0.12:8080
3. De port forwarding op de Airport is van 10.0.0.12:8080 naar 192.168.0.100:80 - DMZ op de Ubee staat ook nog aan naar 10.0.0.12
DNS op de airport is 8.8.8.8 en 10.0.0.1
Overigens heb ik ook eens de DMZ van de Airport aangezet naar de webserver op 192.168.0.100 - ook geen resultaat.

De port forwarding werkte in het verleden nooit in mijn Ubee, vandaar dat ik m vroeger in bridge modus had staan. Misschien dat daardoor in mijn modem de dmz ook niet werkt.
Net weer even via mijn externe pc gekeken, maar helaas. Niets te zien van de pagina.
Nou bleek vanavond dat ze bij Ziggo per ongelijk mijn contract hadden opgeheven, waardoor de TV er mee ophield.Gelukkig deden internet en de telefoon het nog. Heeft er niets mee te maken maar dat kon er nog wel bij. Kost 2 dagen om de tv kaarten weer te activeren.

Wordt vervolgd
 
Laatst bewerkt door een moderator:
#10
De portforwarding op de Ubee is van 82.x.x.x:8080 naar 10.0.0.12:8080
Dat moet zijn 0.0.0.0:8080 naar 10.0.0.12:8080

Nu staat er dat verkeer van de ubee zelf geforward moet worden.
Een onmogelijke situatie.

Daar vul je alleen een ipadres in als je specifiek vanaf dat externe ipadres wilt forwarden, maar meestal laat je dat leeg (0.0.0.0)