Eigen router achter een XS4ALL-VDSL-aansluiting (4)

Draytek heeft een nieuwe versie van de firmware van de Vigor 130 uitgebracht. Helaas werkt daardoor de opstelling zoals hier beschreven niet meer. Tijd dus voor een nieuwe versie van dat artikel.

De gebruikte apparaten:

  • Modem: Draytek Vigor 130 VDSL2-modem (firmwareversie 3.8.0_m5)
  • Router: MikroTik 751G-2HnD router (RouterOS versie 6.37.4)
Draytek Vigor 130 VDSL2-modem

Draytek Vigor 130 VDSL2-modem

MikroTik RB751G-2HnD router

MikroTik RB751G-2HnD router

Stap 1. Modem in “bridge mode”

Om te beginnen moeten we het modem in bridge mode zetten. De router die we erachter hangen “praat” dan rechtstreeks met de DSLAM om de PPPoE-sessie op te zetten.

WAN-instellingen

WAN-instellingen

De WAN-instellingen zijn minimaal.

Bridge Mode instellen

Bridge Mode instellen

Op de MPoA-pagina gaat het om twee instellingen:

  1. MPoA (RFC1483/2684): Enable
  2. Bridge Mode: Enable Bridge Mode

Dit is alles voor wat betreft het modem.

Stap 2. Routerconfiguratie

Dit is een schematische weergave van de opbouw van de verbinding:

Schema van de verbindingsopbouw

Schema van de verbindingsopbouw

Het modem zorgt voor de “bitpijp” tussen de DSLAM en de router. De verbinding met XS4ALL wordt over VLAN 6 (802.1Q) afgeleverd op de router.

De router is via ethernetpoort 1 verbonden met het modem.

IPv6 werkt bij XS4ALL alleen als de prefix met DHCPv6 wordt geleased. Dat doen we dus. Vervolgens behoor je de IPv6-adressen vanuit deze pool uit te delen. In een privé-netwerk kan dat prima, maar als je ook servers met vaste IPv6-adressen hebt draaien is dat geen optie. RouterOS garandeert immers niet dat het na een reboot dezelfde subnetten weer toedeelt. (De DHCPv6-client lijkt daar in de recente versies wel een voorziening voor te hebben (“prefix hint”) maar dat heb ik nog niet kunnen testen.)

De configuratie is dan als volgt (op basis van een /export):

/interface ethernet
set [ find default-name=ether1 ] comment=\
    "Verbinding met VDSL-modem in bridge mode" name=ether1-modem
set [ find default-name=ether3 ] name=ether3-huis
/interface vlan
add arp=disabled comment="tagged vlan 6 - xs4all" interface=ether1-modem \
    name=ether1-vid6-xs4all vlan-id=6
/ip neighbor discovery
set ether1-vid6-xs4all discover=no
/ip pool
add name=pool32 ranges=192.168.32.192/27
add name=pool48 ranges=192.168.48.192/27
/ip dhcp-server
add address-pool=pool32 disabled=no interface=ether2 lease-time=2h name=\
    server32
add address-pool=pool48 disabled=no interface=ether3-huis lease-time=2h name=\
    server48
#
# Het ppp-profiel. Let op dat change-tcp-mss weer op "yes" wordt gezet.
# on-up bevat een scriptje dat wat nuttige informatie logt. Tevens laat het
# de DHCPv6-client de lease vrijgeven, zodat meteen weer een "verse" lease
# verkregen wordt. Dit is een work-around voor een probleem in RouterOS.
/ppp profile
add change-tcp-mss=yes name=profile-pppoe-xs4all on-up=":local interfaceName [\
    /interface get \$interface name];\
    \n:local localAddr \$\"local-address\";\
    \n:local remoteAddr \$\"remote-address\";\
    \n:log info \"profile-pppoe-xs4all client up: interface: \$interfaceName l\
    ocal address: \$localAddr remote address: \$remoteAddr\";\
    \n/ipv6 dhcp-client release [find interface=\$interfaceName];" use-mpls=\
    no use-upnp=no
/interface pppoe-client
add add-default-route=yes allow=pap comment=\
    "pppoe-verbinding XS4ALL-internet" disabled=no interface=\
    ether1-vid6-xs4all max-mru=1492 max-mtu=1492 name=pppoe-xs4all-inet \
    password=kpn profile=profile-pppoe-xs4all use-peer-dns=yes user=\
    fb7360@xs4all.nl
/ip neighbor discovery
set pppoe-xs4all-inet discover=no
/certificate settings
set crl-download=no
/ip settings
set rp-filter=strict
/ipv6 settings
set max-neighbor-entries=1024
/ip address
add address=192.168.1.2/24 interface=ether1-modem network=192.168.1.0
add address=192.168.32.1/24 interface=ether2 network=192.168.32.0
add address=192.168.48.1/24 interface=ether3-huis network=192.168.48.0
#
# Zelf toevoegen: de IPv4-firewall
#
/ip cloud
set update-time=no
/ip dhcp-server config
set store-leases-disk=never
/ip dhcp-server network
add address=192.168.32.0/24 dns-server=192.168.32.1 gateway=192.168.32.1 \
    ntp-server=192.168.32.1
add address=192.168.48.0/24 dns-server=192.168.48.1 gateway=192.168.48.1 \
    ntp-server=192.168.48.1
/ip dns
set allow-remote-requests=yes cache-max-ttl=8h max-udp-packet-size=512
/ip firewall nat
add action=masquerade chain=srcnat comment="NAT naar internet" out-interface=\
    pppoe-xs4all-inet
add action=masquerade chain=srcnat comment="NAT naar modem" out-interface=\
    ether1-modem
# Dit zijn niet de echte IPv6-adressen (rfc3849 prefix voor documentatie).
# Netter is het om adressen uit de pool van de DHCP-client te nemen.
/ipv6 address
add address=2001:db8:abcd:ef01::1 interface=ether2
add address=2001:db8:abcd:ef02::1 interface=ether3-huis
/ipv6 dhcp-client
add add-default-route=yes comment="IPv6-prefix van XS4ALL" interface=\
    pppoe-xs4all-inet pool-name=v6pool-xs4all pool-prefix-length=52 request=\
    prefix
#
# Zelf toevoegen: de IPv6-firewall
#
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Amsterdam
/system leds
set 0 interface=wlan1
add interface=pppoe-xs4all-inet leds=user-led type=interface-activity

17 reacties op “Eigen router achter een XS4ALL-VDSL-aansluiting (4)

  1. Beste Harold,
    Zeer nuttige informatie en artikelen. Heb zelf een aantal vragen (ben zelf een beginner met configureren van een modem/router en netwerk kennis 🙂
    Achtergrond:
    Ben sinds kort overgegaan van KPN naar provider EDPNET die ook internet diensten, oa ADSL/VDSL aanbiedt in NL (over het KPN netwerk).
    In eerste instantie leek dit goed te gaan..heb ook een Vigor 130 modem/router aangeschaft en is me gelukt om een internet verbinding op te zetten (snelheid 40 down/10 up). Heb dit gemeld aan EDPNET waarom de snelheid nog steeds zo laag was. Werd door de helpdesk afgescheept dat hogere snelheden niet mogelijk zouden zijn in NL via hun, terwijl ik met KPN gemakkelijk 80 down/30 up haalde met de experiabox.
    Kortom lang verhaal en vele mailwisselingen en telefoontjes verder: kwam er toch reactie met een oplossing dat EDPNet een zgn. lijnupgrade (profile update) door KPN zou laten uitvoeren.
    Dit is afgelopen dinsdag 06-03-’17 blijkbaar tot mijn verrassing succesvol uitgevoerd, want zie nu bij de diagnostics van de Vigor 130 de volgende waarden:
    Downstream Upstream
    Actual Rate 80295 Kbps 34148 Kbps
    Attainable Rate 104213.0 Kbps 46128 Kbps

    Dus blijkbaar kan het wel, na veel aandringen. Maar ja….ik krijg nu met geen enkele mogelijkheid mijn internet verbinding voor elkaar. Werkte voor de profile update eerst wel na de upgrade niet meer. Ben benieuwd of je nog wat tips hebt of andere aanpak..
    Wat heb ik zelf gedaan/ geprobeerd:
    – support EDPnet gebeld, geven aan dat de verbinding zou moeten werken, moet de Vigor handleiding doorlopen en EDPNet gegevens invullen??
    – Vigor 130 handleiding geraadpleegd en doorgelopen en support Draytek gebeld > zeggen dat ik de KPN gegevens moet gebruiken (NL) PPPoE moet instellen en user + ww: kpn/kpn, gegevens van EDPNet niet gebruiken omdat dit voor Belgie bestemd is
    – firmware geupdate gedaan naar 3.8.1
    – modem teruggezet naar fabrieksinstellingen en alle stappen opnieuw uitgevoerd (settings van KPN ingevuld en EDPnet,..)

    *EDPNet en Draytek geven dus tegenstrijdige informatie, erg onduidelijk..

    Het vervelende is dat er een VDSL connectie aanwezig is (State: “SHOWTIME”), maar er geen internet connectie wordt opgezet (via DHCP). De bedoeling is dat ik uiteindelijk een cisco router/firewall achter de modem ga zetten, maar wil eerst zeker weten dat alles correct werkt.

    Sorry voor de lange uiteenzetting, maar ik hoop dat je me op weg kan helpen – indien gewenst wil ik graag in contact met je komen (mijn email is bij je bekend)

    Grt,
    J.

    • Zie je mail. Samenvatting: lastig te zeggen wat er fout gaat. Misschien kan je (m.b.v. een linux-PCtje) experimenteren met het modem in bridge mode en dan PPPoE-client (en Wireshark om te zien wat er gebeurt) op de PC.

  2. Beste Harold,

    Bedankt voor deze nuttige informatie.

    Ik heb een DrayTek 2850. Die heeft al vele jaren goed dienst gedaan maar is in de tussentijd heel wat van zijn taken verloren aan andere componenten. Routeren, Firewall en Wifi worden nu door andere componenten gedaan en de draytek is dus gedegradeerd tot enkel modem. Dankzij jou eerste artikel was het mij gelukt de draytek te bridgen. Nu blijkt dat de 2850 geen Vectoring VDSL aan kan, heb ik maar besloten een Vigor 130 aan te schaffen anders kan ik geen gebruik maken van mijn hogere snelheid van 50D/5U. De 2850 deed max 20D/2U

    Wat ik in deze setup niet terug kan vinden is hoe je de Draytek nog kunt “managen”. Hoe kun je vanuit je LAN de firmware van je Draytek upgraden of hoe kun je de line statistics zien?

    • Standaard heeft de Draytek het IP-adres 192.168.1.1. Als je dat ongewijzigd hebt gelaten, blijft het modem gewoon op dat adres bereikbaar. De internetverbinding verloopt immers over VLAN 6, de communicatie met het modem is niet-getagd.
      Door ook naar het modem te NATten bespaar je je de moeite om op het modem een static route naar de rest van je netwerk in te moeten stellen. Dit zijn de regels in de configuratie waar het om gaat:
      /ip address
      add address=192.168.1.2/24 interface=ether1-modem network=192.168.1.0
      /ip firewall nat
      add action=masquerade chain=srcnat comment=”NAT naar modem” out-interface=\
      ether1-modem

  3. Beste Harold.

    Helaas wat vraagjes omdat de ondersteuning van de klantenservice van fiber niet verder reikt dan fabrieksinstellingen terugzetten op de FRITZ!Box 7360 terwijl ook ik de DrayTek Vigor130 wens te gebruiken voor de Bridge Mode.

    Mijn primaire probleem is dat ik vreemd genoeg geen configuratie weet te kiezen waarmee ik een IPv4- of een IPv6-adres in de DrayTek Vigor130 zelf te zien krijg. Pas hierna zou ik Bridge Mode naar mijn QNO QVF7303 Multi WAN Router willen instellen.

    De DSL doet het steeds op 33 Mbps down en 6 Mbps up, maar WAN1 krijgt met de voorzichtige configuraties die ik probeer geen IP-adres.

    ● Weet iemand of fiber bijzondere instellingen vereist?
    ● Voor de PPPoA/PPPoE-methode gebuikte ik bij provider XS4ALL VPI=8 en VCI=48. In deze nieuwe handleiding lees ik VCI=88.
    ✦ Is deze waarde correct?
    ✦ Zijn er verschillende waarden voor verschillende providers of gebruiken alle KPN-dochters op hetzelfde VDSL-netwerk dezelfde waarden?
    ● Als je een IP-adres volgens RFC1483/2684 ter test in de DrayTek Vigor130 wil zien wat zijn daarvoor dan de instellingen?

    Groet,

    Hr. F.J. Roebersen.

    • Tja, lastig verhaal. Om te beginnen moet je toch zien te achterhalen welke instellingen Fiber gebruikt. Ik dacht dat tegenwoordig volgens Europese regels de ISP moet toestaan dat je een eigen modem/router gebruikt. Maar als ze niet meewerken wordt het lastig.
      Welke informatie geeft de Fritzbox hierover prijs?
      De VPI/VCI-instellingen wisselen per provider, maar daar heb je met VDSL sowieso niet mee te maken. De 8/88 in de afbeelding in het artikel zijn gewoon de defaultinstellingen van Draytek, die je dus kan negeren.
      Wat je zou kunnen doen is de Draytek in bridge mode zetten en dan met een programma als Wireshark kijken of je iets wijzer kan worden.

    • Bij VDSL maakt men gebruik van VLAN ID’s ipv VPI/VCI. Berichten uit 2015 wijzen erop dat de instellingen toen als volgt waren:

      Internet: VLAN ID 2
      IPTV: VLAN ID 6
      VOIP: VLAN ID 4

      Deze instellingen zijn waarschijnlijk niet veranderd.

      Mochten bovenstaande instellingen niet werken, kun je de config uit de meegeleverde fritzbox proberen te halen door een backup te maken en het resulterende bestand te openen in een teksteditor als notepad. Dit kan echter nogal een gedoe omdat het bestand vrij groot is.

    • Bedankt voor de reacties.

      Ik zit nog met deze vraag:
      ● Als je een IP-adres volgens RFC1483/2684 ter test in de DrayTek Vigor130 wil zien wat zijn daarvoor dan de instellingen?

      Ik heb dit aan de hand van de reacties zo goed als mogelijk ingesteld, maar nog zonder resultaat. Ik wil zonder IP-adres in de DrayTek Vigor nog niet door naar de Bridge Mode.

      Ik heb drie screenshots van mijn instellingen. Ik zie echter gelegenheid om ze als illustraties bij dit bericht te uploaden naar http://www.haroldschoemaker.nl Het komt er nog steeds op neer dat de VDSL goed werkt en dus een bitrate heeft. Als ik echter doe wat Maltazor suggereert en voor Internet VLAN ID 2 afvang, dan krijg ik in de DrayTek Vigor130 ter test geen IP-adres.

      Ik probeer dit IP-adres te zien terwijl het modem ingesteld staat op MPoA, maar nog niet op Bridge Mode. Kan zoiets het probleem zijn? Ik snap de spelregels niet wanneer men WEL en wanneer men GEEN IP-adres krijgt als de VDSL werkt en een bitrate heeft. In verband hiermee ontgaat mij in feit ook de crux als het gaat om het verschil tussen PPPoA en MPoA. Omdat ik het verschil niet goed begrijp is het voor mij nogal eender. Ik weet dus niet hoe ik het beste met de instellingen kan experimenteren om TER TEST een IP-adres in de DrayTek Vigor130 te zien.

      In bovenstaande tekst was het misschien al te proeven, maar Fiber.nl blijft zich op het standpunt stellen dat zij dit niet ondersteunen. Zij willen alleen de FRITZ!Box 7360 ondersteunen. Van de kant van hun helpdesk/klantenservice komt dus geen zinvolle input.

      • Volgens mij ondersteunt fiber geen RFC1483/2684 verbindingen. Dit lijkt ondersteund te worden door jou verhaal. Je zult ter test de PPPoA/PPPoE instellingen moeten invoeren.

      • Daarnaast nog even het verschil tussen PPPoE/PPPoA en RFC 1483/2684. Het zijn twee verschillende protocollen die niet compatible/uitwisselbaar zijn. Derhalve is het ook niet vreemd dat Fiber aangeeft dat ze geen RFC1483/2684 ondersteunen.

        Dat ze vervolgens aangeven dat zij alleen de fritzbox ondersteunen, vind ik ook niet zo vreemd. Het is bijna onmogelijk om alle modems te ondersteunen. Dan kom je al snel op ‘waar trek je de grens’. Die grens ligt bij veel internet providers bij de modem(s) die zij zelf leveren. Indien je een ander modem of zoals hier een modem met separate router wil gebruiken, vind ik het niet meer dan redelijk dat de provider zegt ‘dat ondersteunen wij niet’.

        Met wat hulp van fora en blog posts als deze is het vaak wel werkend te krijgen echter.

      • @Maltazor Je verhaal is duidelijk dat ik het bij Fiber.nl vooral in de hoek van PPPoA moet zoeken en niet in de hoek van MPoA en RFC1483/2684 verbindingen. Voortbordurend op je eerdere reactie vangt de DrayTek Vigor130 nu VLAN ID 2 af en probeert over deze VDSL-verbinding volgens het PPPoA-protocol te communiceren. Dit levert tot mijn ongenoegen geen IPv4-adres op. Via een dergelijk adres kon de DrayTek Vigor zich bij XS4ALL steeds met een tijdserver en dergelijke synchroniseren.

        Nu vraag ik mij af of ik ouderwets ben en me te veel blind staar op IPv4-adressen en ik blindelings IPv6 moet gaan bridgen. Ik heb echter ook geen teken dat IPv6 wel werkt. Omdat ik geen screenshots kan uploaden plak ik hieronder wat informatie van het Dashboard van de DrayTek Vigor130. De Interface heeft een DSL-verbinding, maar IP Address is nog altijd Disconnected. Dat er een IPv6-adres FE80::21D:AAFF:FE89:92B0/64 is zegt volgens mij heel erg weinig. Dit adres is er waarschijnlijk ook als de Interface geen DSL-verbinding heeft.

        In het ondertstaande komt ook het MAC-adres van mijn DrayTek Vigor voorbij. Als Fiber.nl erg bot is, dan ondersteunt zij alleen het MAC-adres van de FRITZ!Box die zij zelf verzonden heeft. Zoiets zou wel erg ver gaan.

        Ik zou weer terug kunnen keren naar het afvangen van VLAN ID 6. Dit werkte enige maanden geleden op dezelfde aansluiting in combinatie met XS4ALL. Ik had echter niet het idee dat deze VLAN ID bij Fiber.nl ook werkte. Ik vermoed dus dat iets de deur dicht houdt waar de vinger nog niet op gelegd is.

        Firmware Version 3.8.0_m5 Build Date/Time Dec 13 2016 11:30:05
        DSL Version 571A17_A/B/C HW: A LAN MAC Address 00-1D-AA-89-92-B0

        IPv4 Internet Access
        Line / Mode IP Address MAC Address Up Time
        WAN1 VDSL / PPPoE Disconnected 00-1D-AA-89-92-B1 00:00:00

        IPv6 Internet Access
        Mode Address Scope Up Time
        LAN RADVD / DHCPv6 FE80::21D:AAFF:FE89:92B0/64
        Link

        Interface
        DSL Connected : Down Stream : 33098Kbps / Up Stream : 6843Kbps

        • Zoals ik zei houdt iets de deur dicht waar de vinger nog niet op gelegd is. Naar mijn idee is dit de gebruikersnaam en het wachtwoord voor PPPoA en PPPoE bij Fiber.nl Deze heb ik analoog gekozen naar wat bij XS4ALL gebruikelijk was:
          login: fiber@fiber.nl
          password: ****

          Als de gebruikersnaam correct mocht zijn, dan ben ik bang dat een onjuist wachtwoord geen toegang geeft. Fiber.nl geeft echter geen ondersteuning en vertelt mij niet wat de juiste gebruikersnaam en het juiste wachtwoord zijn. Ik kan deze waarden niet op fora of in blog posts achterhalen. Ook kan ik deze niet uit de configuratie van de FRITZ!Box FON WLAN 7360 halen. Deze configuratie is namelijk altijd versleuteld:

          Here you can save all of the FRITZ!Box settings to a backup file.

          With this file you can restore the settings to this FRITZ!Box or to any FRITZ!Box of the same model. Only selected settings from the file can be restored to a different FRITZ!Box model.

          Save Settings
          Protect the backup file with a password.

          Als men geen wachtwoord opgeeft, dan verschijnt de melding: “Please assign a password first”. Als men wel een wachtwoord opgeeft, dan wordt de configuratie versleuteld met dit wachtwoord.

          Strikt beschouwd is Fiber.nl nalatig in het naleven van europese wetgeving inzake de ondersteuning van eigen modems en routers.

          • Helaas ben ik niet meer thuis en heb ik ook even geen tijd meer om de laatste suggesties meteen uit te proberen. Ik kan me echter wel voorstellen dat er met telnet best iets aan de FRITZ!Box te ontfutselen.

            Omdat Dimitris’ Andreadis er niet over schrijft is mijn vraag met welke show opdrachten ik iets relevants aan de weet kan komen over:
            · de gehanteerde VLAN ID,
            · het gehanteerde protocol voor de DSL-verbinding,
            · de gehanteerde authenticatiemethoden,
            · de gehanteerde gebruikersnaam en het hierbij behorende wachtwoord.

            Voor het moment wil ik verder even bedanken voor alle informatie, adviezen en suggesties. In de loop van de volgende week ga ik na een aantal andere verplichtingen hier weer mee door.

          • Ik heb er even een Fritzbox 7490 bij gepakt. Daar staan ook profielen in voor Fiber. Hierin is te zien dat ze de volgende VLAN ID’s gebruiken:

            Internet: 2
            IPTV: 4
            VoIP: 6

            Verder kan ik zien dat er configuratiegegevens voor het GRE protocol in de config zitten. Dit doet vermoeden dat fiber gebruik maakt van GRE tunnels. Deze worden niet ondersteund door de Draytek.

            Je kunt proberen om de Draytek in MPoA/Static or dynamic IP bridge mode te zetten en vervolgens een DHCP client op een GRE tunnel in een VLAN te zetten in de Mikrotik op de interface waar je de Draytek aan hangt.

            Ik heb de config via backup van de 7490 gehaald. Ik heb idd een wachtwoord ingevuld maar het resulterende bestand is bij mij gewoon met een text editor te openen.

  4. Draytek heeft een nieuw firmwareversie voor de Vigor 130 vrijgegeven. Ik heb ‘m nog niet getest, maar volgens de release notes is deze bug opgelost: “Corrected: VLAN tag 2 could not be used under bridge mode.” Aangezien Fiber VLAN 2 voor internet gebruikt, verklaart dit vast waarom het eerder misging.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *