SYN-bit

Level 4
  • 37Posts
  • 1Oplossingen
  • 10Likes

Geen antwoord meer op DHCP requests na onderhoud Ziggo 2 op 3 mei 2022 (modem in bridge-mode)

Hi Community en met name de Ziggo medewerkers in deze community 🙂

 

TL/DR: Kan het zijn dat met het onderhoud in Ziggo gebied Haarlem Oost van afgelopen maandag nacht er iets is gewijzigd in de DHCP server die klanten in bridge mode van een IP adres moet voorzien? Ik krijg met mijn Palo Alto Firewall met geen mogelijkheid een IP adres meer. Met een Linux laptop reachtstreeks op het modem lukt het wel, maar ook alleen net nadat de Connectbox geboot is. Het belangrijkste verschil in het DHCP DISCOVER request is de bootp-flag die aangeeft of de server dmv een broadcast of unicast packet zal moeten gaan antwoorden. Packet captures beschikbaar op verzoek...

 

Long story:

Afgelopen paar jaar heeft mijn Internet verbinding prima gewerkt. Ik gebruik bridge-mode op het Connectbox modem met een Palo Alto firewall achter het modem.

In de nacht van 2 op 3 mei is er Ziggo-onderhoud geweest bij mij in de wijk (Haarlem Oost). Sindsdien werkt mijn Internet verbinding niet meer. Meestal moest ik na onderhoud even een DHCP-RELEASE en DHCP-RENEW doen waarbij de verbinding weer tot stand kwam. Andere keren moest ik het modem toch even uit zetten en weer aan, maar altijd lukte het om de verbinding weer tot stand te brengen. Dit keer niet, ik kreeg de verbinding met geen mogelijkheid meer up.

Wat in een packet capture zie is dat er op de DHCP DISCOVER vanuit mijn Firewall geen DHCP OFFER vanuit het modem terug komt. Gisteren heb ik de hele dag met Ziggo support geprobeerd het probleem op te lossen, hierbij zijn alle stappenplannen doorlopen en alle hoepels doorsprongen, een greep:

 

- Modem afkoppelen van alles, wachten, opnieuw aansluiten en booten (geen resultaat)

- Modem terug naar fabrieksinstellingen (geen resultaat)

 

Ik had nog een Connectbox liggen die niet door Ziggo was terug gevraagd na bandbreedte upgrade jaren geleden. Toen bleek dat dit modem geen hairpin-nat ondersteunde ben ik terug gegaan naar het oude modem (toen dus nog in routing mode) en is de connectbox blijven liggen. Dus toen support voorstelde een modem-swap te doen, hebben we dit modem gebruikt.

Na de modemswap en het modem naar fabrieksinstellingen te hebben gezet kwam er wel een Internetverbinding tot stand. Goed nieuws! Maar helaas van korte duur, het modem geeft in de WebGUI niet de mogelijkheid om bridge-mode aan te zetten. Vanuit support wordt aangegven dat dit aan het modem zou kunnen liggen waardoor een nieuwe modemswap wordt voorgesteld door een modem bij de Ziggo winkel te halen. Bij het aansluiten van het nieuwe modem, dit keer type Connectbox Giga komt de verbinding weer niet goed tot stand en is ook de optie om het modem in bridge-mode te zetten niet beschikbaar.

Weer support gebeld (het is inmiddels einde van de middag), er moest nog wat geactiveerd worden en ik moest het na een half uur nogmaals proberen, dan zou alles goedkomen. Dat deed het dus niet. Weer geen verbinding, dus ik weer bellen. Deze medewerkster wist te vertellen dat het activeren van een modem tot 24 uur kan duren, dus of ik daar dan maar op wilde wachten. Ze zou het in de gaten houden en me vandaag nog nabellen (niet gebeurd).

Vandaag bij thuiskomst om 15:30 bleek het modem toch een Internetverbinding te hebben opgezet, dus hoera, we komen weer verder. Maar ook nu weer geen optie om bridge-mode aan te zetten. Zonder bridgemode heb ik niet veel aan de verbinding. Dus wederom met support gebeld. Op afstand is toen bridgemode aangezet. Met de testlaptop op poort 1 van het modem lukt het nu om een (public) IP adres te krijgen (zelfs een IPv6 adres, wat voorheen nooit werkte in bridgemode, dus daar ga ik als het IPv4 stuk opgelost is ook naar kijken).

Met het erugplaatsen van de verbinding naar mijn firewall is er echter nog steeds met geen mogelijkheid een antwoord te krijgen op de uitgestuurde DHCP DISCOVER packets.

 

Analyse van de DHCP DISCOVER packets van de linux laptop en de Palo Alto firewall laten zien dat in de BOOTP-flags bij de linux laptop het broadcast bit uit staat. Of wel, de DHCP server wordt verzocht met een unicast packet antwoord te geven. De Palo Alto stuurt het DHCP DISCOVER packet uit met het broadcast bit in de BOOTP flags aan. Ofwel de DHCP server zal met een broadcast packet antwoord moeten geven. Of dit ook de oorzaak van het probleem is weet ik niet, maar het is wel een cruciaal verschil. Wellicht heeft het onderhoud van afgelopen week iets in de DHCP werking gewijzigd aan Ziggo kant.

 

Ook ben ik bel benieuwd of het nu aanbieden van dualstack in bridgemode in mijn wijk met het onderhoud van eergisteren is aangezet, aangezien ik dat voor het eerst langs zie komen (ik zit in oud UPC gebied en daar werd het tot voor kort nog niet uitgerold begreep ik uit een andere thread).

 

Heel verhaal, maar bottomline is dat ik na anderhalve dag nog steeds geen werkend internet heb, dus ik hoop dat er inzicht gegeven kan worden in waarom het DHCP proces met mijn Firewall nu niet meer werkt.


PS De WiFi backup over 4G die ik bij Ziggo afneem doet het op zich wel, maar heeft maar 5Mbit down en 2Mbit up en voldoet dus alleen maar voor het hoogst noodzakelijke. Ik had verwacht dat hier meer bandbreedte op beschikbaar zou zijn. Is de 4G bandbreedte van de WiFi backup oplossing geknepen?

Oplossing

Geaccepteerde oplossingen
SYN-bit
Topicstarter
Level 4
  • 37Posts
  • 1Oplossingen
  • 10Likes

UPDATE:  Na het uitzetten van STP, CDP en LLDP op de betreffende switches was het verkeer naar het modem schoon en kon ik weer zoals voorheen over de switch verbinding connectie maken. Ik weet niet precies welk van de packets de boosdoener was, maar het zou fijn zijn als packets met de volgende destination adressen niet gebruikt worden om het mac filter mee op de bouwen (wat blijkbaar sinds maandag nacht wel het geval is):


Destination: PVST+ (01:00:0c:cc:cc:cd)
Destination: LLDP_Multicast (01:80:c2:00:00:0e)

 

In het algemeen lijkt me het beter om alle multicast/broadcast verkeer uit te sluiten van het opzetten van een mac-filter.

Bekijk in context

23 Reacties 23
Bert

Level 21
T.E.A.M.
  • 75187Posts
  • 5145Oplossingen
  • 21928Likes

Dit is een klant helpt klant forum waar Ziggo moderators/medewerkers, zij hebben Ziggo voor hun naam staan, meestal binnen een werkdag (ma-vr) langskomen in ieder topic.

Zorg dat je postcode en huisnummer in je Ziggo community profiel staan, deze zijn niet openbaar te zien, dan kunnen gelijk de juiste gegevens erbij gepakt worden.
Na klik op onderstaande link kom je in je Ziggo community profiel, op die pagina mogelijk iets naar beneden scrollen:
https://community.ziggo.nl/t5/user/myprofilepage/tab/personal-profile:personal-info

SYN-bit
Topicstarter
Level 4
  • 37Posts
  • 1Oplossingen
  • 10Likes

Hi Bert, dank voor de update, postcode/huisnummer staan in mijn profiel, Groet, Sake

SYN-bit
Topicstarter
Level 4
  • 37Posts
  • 1Oplossingen
  • 10Likes

UPDATE:  De firewall stuurt om en om 4x een DHCP DISCOVER met de BOOTP-flag broadcast uit en aan, dus daar kan het toch niet aan liggen.

 

Erik S
Oud Community Moderator
Oud Community Moderator
  • 2262Posts
  • 356Oplossingen
  • 545Likes

Goedemorgen @SYN-bit! Dankjewel voor het openen van dit topic hier en goed dat je één en ander zo duidelijk hebt uitgeschreven. Het is erg jammer dat je al de nodige tijd zonder werkend internet zit na de onderhoudsbeurt in je regio en dat de belletjes met onze klantenservice niet hebben gezorgd voor een oplossing 😞

Ik heb een poging gedaan je gegevens erbij te zoeken in mijn systeem maar krijg nul op het rekest als ik je postcode en huisnummer invoer welke je in je profiel hebt opgeslagen. Weet je zeker dat de ingevulde gegevens kloppen? Vul desnoods je klantnummer ook even in zodat ik die kan opzoeken in mijn klantsysteem. Je gegevens heb ik nodig om uit te zoeken wat voor onderhoud er precies is geweest en wat de vervolgstappen moeten zijn nu het na die onderhoudsbeurt niet werkt als verwacht. 

 

Ik hoor graag van je! Alvast bedankt 🙂

SYN-bit
Topicstarter
Level 4
  • 37Posts
  • 1Oplossingen
  • 10Likes

Hi @Erik S , dank voor het meekijken, ik had inderdaad een foutje gemaakt in de postcode. Zou je het nog een keer kunnen proberen?

SYN-bit
Topicstarter
Level 4
  • 37Posts
  • 1Oplossingen
  • 10Likes

Alvast even de volgende gegevens verzameld ter volledigheid:

SYNbit_0-1651733062831.png
SYNbit_1-1651733124081.png

 

SYNbit_2-1651733180546.png

 

SYNbit_3-1651733193812.png

 

SYNbit_4-1651733218567.png

 

Erik S
Oud Community Moderator
Oud Community Moderator
  • 2262Posts
  • 356Oplossingen
  • 545Likes

Yes, dankjewel! Ik heb je gegevens nu kunnen vinden in het systeem 🙂

Ik zie dat er ontzettend veel contact is geweest met onze zakelijke klantenservice de afgelopen dagen. Ook zojuist nog, als ik het goed heb. Klopt het dat een nieuw modem je kant op komt? Is er verder nog wat verteld tijdens dit telefoongesprek?

Als ik je modem uitlees en je gedeelde gegevens analyseer zie ik daarin niet direct iets wat jouw problemen verklaart. Het aantal errors en Timeouts ziet er in ieder geval prima uit. Heb je op dit moment helemaal geen verbinding of slechts beperkt?

SYN-bit
Topicstarter
Level 4
  • 37Posts
  • 1Oplossingen
  • 10Likes

Hi @Erik S,

klopt mede op basis van een ander topic[1] is er besloten nog een ander modem te proberen. Iets anders kon support ook niet meer bedenken (afgezien van hier op de community een poging wagen, waarvan acte :-)).

Met een linux laptop rechtstreeks op poort 1 van het modem werkt het en krijg ik op de DHCP DISCOVER een DHCP OFFER terug  vanuit de infra achter het modem. Met mijn Palo Alto firewall op poort 1 van het modem zie ik wel de DHCP DISCOVER naar het modem verstuurd worden (gecaptured met een TAP), maar komt er geen antwoord terug vanuit de Ziggo infra.

Sidenote: tijdens het booten van het modem wordt er kort een adres uit het subnet 192.168.100.0/24 uitgegeven. Dit werkt bij zowel de linux laptop als de Palo Alto firewall. Deze heeft een lease van 30 sec en wordt na een aantal requests niet meer beantwoord, vanaf dan lukt het de linux laptop dus wel om een DHCP adres te krijgen, maar de Palo Alto firewall niet.

Let wel, dit heeft jaren goed gewerkt, en dus niet meer sinds het onderhoud van deze week. Packet captures heb ik beschikbaar en kan ik per email toesturen indien gewenst.

[1] https://community.ziggo.nl/t5/Internet/Bridge-Mode-Geen-reactie-op-DHCP-verzoeken/m-p/845054

SYN-bit
Topicstarter
Level 4
  • 37Posts
  • 1Oplossingen
  • 10Likes

@Erik SKlopt mijn aanname dat als een kabelmodem in bridge-mode staat, deze zelf niets doet met de DHCP packets en deze ongewijzgd doorstuurt over de kabel-infra richting het IP netwerk daarachter? Want als dat zo is, dan zou er geen verschil (moeten) zijn tussen dit modem en het Ubee modem dat verstuurd gaat worden.

Kun jij zien of het onderhoud van afgelopen maandag-nacht de systemen hebben geraakt die betrokken zijn bij het afhandelen van DHCP verkeer? Want mijn vermoeden is dat er daar iets in is gewijzigd waardoor de DHCP DISCOVER packets van de Palo Alto niet goed meer worden afgehandeld.

Overigens kwam ik een vergelijkbaar probleem tegen op een Ubee forum[1] waarbij het probleem uiteindelijk spontaan is opgelost, vermoedelijk door een wijziging binnen het Ziggo netwerk.

[1] https://providerforum.nl/topics/ubee-evw3226-bridge-mode-geen-wan-ip-via-dhcp.55208/

SYN-bit
Topicstarter
Level 4
  • 37Posts
  • 1Oplossingen
  • 10Likes

UPDATE: Nadat ik een linux VM had aangemaakt om de beheer pagina's op te kunnen vragen (192.168.100.0/24 leeft al ergens anders in mijn netwerk, dus het was altijd lastig om naar de GUI van het modem te gaan), heb ik daar ook geprobeerd de verbinding mee op te zetten. Dat lukte niet. Nu had ik ergens afgelopen dagen gelezen dat "alleen het eerste mac adres dat zichtbaar is de verbinding mag openen". Tussen de firewall en het ziggo modem zitten 2 switches, een in de meterkast (waar mijn modem staat) en een in mijn patchkast (waar de firewall staat).

Toch maar even een lange kabel rechtstreeks van het modem naar de firewall gelegd, extra fysieke interface geconfigureerd (normaal zit dit op een subinterface in het dedicated vlan tussen modem en firewall). En nu krijg ik dus wel een DHCP response!

Dus, conclusie, er is iets vananderd in de manier waarop Ziggo met DHCP en mac filtering om gaat. Ik ga onderzoeken wat mijn switches voor verkeer genereren en proberen dat stil te krijgen, maar op zich zouden STP, CDP, LLDP etc packets niet in de weg mogen gaan zitten van het goed op kunnen zetten van de Internetverbinding.

@Erik SZou jij vanuit Ziggo kunnen bevestigen dat hier iets in is veranderd en zo ja wat. Wat mag er wel en niet aan verkeer op poort 1 van het modem langskomen om een goede verbinding op te kunnen zetten in bridge-mode?

SYN-bit
Topicstarter
Level 4
  • 37Posts
  • 1Oplossingen
  • 10Likes

UPDATE:  Na het uitzetten van STP, CDP en LLDP op de betreffende switches was het verkeer naar het modem schoon en kon ik weer zoals voorheen over de switch verbinding connectie maken. Ik weet niet precies welk van de packets de boosdoener was, maar het zou fijn zijn als packets met de volgende destination adressen niet gebruikt worden om het mac filter mee op de bouwen (wat blijkbaar sinds maandag nacht wel het geval is):


Destination: PVST+ (01:00:0c:cc:cc:cd)
Destination: LLDP_Multicast (01:80:c2:00:00:0e)

 

In het algemeen lijkt me het beter om alle multicast/broadcast verkeer uit te sluiten van het opzetten van een mac-filter.

Erik S
Oud Community Moderator
Oud Community Moderator
  • 2262Posts
  • 356Oplossingen
  • 545Likes

Dank voor alle updates @SYN-bit en fijn dat je inmiddels een oplossing hebt kunnen vinden voor het probleem 🙂 Ik moet heel eerlijk bekennen dat ik minder thuis ben in deze materie en dat ik niet durf te zeggen wat nu precies het probleem heeft veroorzaakt na de onderhoudsbeurt in je regio. Ik markeer jouw laatste update als oplossing voor dit topic, mogelijk hebben andere lezers die hetzelfde ervaren hier ook wat aan!

SYN-bit
Topicstarter
Level 4
  • 37Posts
  • 1Oplossingen
  • 10Likes

@Erik S  schreef:

Yes, dankjewel! Ik heb je gegevens nu kunnen vinden in het systeem 🙂

Ik zie dat er ontzettend veel contact is geweest met onze zakelijke klantenservice de afgelopen dagen. Ook zojuist nog, als ik het goed heb. Klopt het dat een nieuw modem je kant op komt? Is er verder nog wat verteld tijdens dit telefoongesprek?

Als ik je modem uitlees en je gedeelde gegevens analyseer zie ik daarin niet direct iets wat jouw problemen verklaart. Het aantal errors en Timeouts ziet er in ieder geval prima uit. Heb je op dit moment helemaal geen verbinding of slechts beperkt?


Zojuist "een" nieuw modem ontvangen, maar niet het UBEE modem dat telefonisch was besproken. Dit is hetzelfde type modem dat ik afgelopen dinsdag in de Ziggo winkel heb opgehaald. Het goede nieuws is wel dat ik hem zonder lange onderbreking heb kunnen activeren (blijkt nodig omdat anders mijn "oude" modem er na 14 dagen mee op gaat houden).  Ik vind het (vanuit de ervaringen in de "Eindelijk IPv6 in bridge-mode" thread) jammer dat er niet een UBEE modem is opgestuurd zoals afgesproken (ook al blijkt het, zoals ik al dacht, niet de oplossing te zijn geweest voor de problemen van afgelopen dagen).

Erik S
Oud Community Moderator
Oud Community Moderator
  • 2262Posts
  • 356Oplossingen
  • 545Likes

Dag @SYN-bit! Dankjewel voor je terugkoppeling hier. Welk type Ubee modem had je precies verwacht als ik mag vragen? De Ubee op deze pagina? Als die je telefonisch is toegezegd maak ik dat natuurlijk alsnog graag voor je in orde en zorg ik ervoor dat dit type modem je kant op komt. Laat maar horen!

SYN-bit
Topicstarter
Level 4
  • 37Posts
  • 1Oplossingen
  • 10Likes

@Erik S  schreef:

Dag @SYN-bit! Dankjewel voor je terugkoppeling hier. Welk type Ubee modem had je precies verwacht als ik mag vragen? De Ubee op deze pagina? Als die je telefonisch is toegezegd maak ik dat natuurlijk alsnog graag voor je in orde en zorg ik ervoor dat dit type modem je kant op komt. Laat maar horen!


Hi @Erik S 
Toen ik in het gesprken metZiggo support vroeg welk type Ubee er verstuurd zou gaan worden werd er gezegd dat er maar 1 type Ubee modem was (of dat zo is weet ik niet). Uit alle discussie rond IPv6 in bridge-mode komt het door jou gelinkte modem indernaad naar voren als beste oplossing, dus als jij dat modem voor mij kunt aanvragen, dan zou dat top zijn. Dan ben ik daarna wel even klaar met modems omwisselen 🙂

Erik S
Oud Community Moderator
Oud Community Moderator
  • 2262Posts
  • 356Oplossingen
  • 545Likes

Haha, dat kan ik me voorstellen! Sorry voor alle hinder en de vele pakketjes die je hebt ontvangen 😄 Het Ubee modem komt je kant zo snel als mogelijk op! 

SYN-bit
Topicstarter
Level 4
  • 37Posts
  • 1Oplossingen
  • 10Likes

@Erik S  schreef:

Haha, dat kan ik me voorstellen! Sorry voor alle hinder en de vele pakketjes die je hebt ontvangen 😄 Het Ubee modem komt je kant zo snel als mogelijk op! 


Hi @Erik S , ik heb nog geen melding gekregen dat het Ubee modem onderweg is. Kan het zijn dat dat je even is ontschoten?

Cecilia
Community Moderator
Community Moderator
  • 8055Posts
  • 2393Oplossingen
  • 3927Likes

Hi @SYN-bit

Goed dat je even aan de spreekwoordelijke bel trekt! Je had het nieuwe modem namelijk al lang in huis moeten hebben. Ik heb daarom even een kijkje achter de schermen genomen. De order voor het verzenden van je nieuwe modem is vastgelopen en dit is dus ook de reden waarom je niets hebt gekregen. Dit heb ik voor je opgelost en het nieuwe modem zal binnen 3 werkdagen alsnog worden bezorgd. Mijn excuses dat je iets langer hebt moeten wachten dan gebruikelijk is! 

SYN-bit
Topicstarter
Level 4
  • 37Posts
  • 1Oplossingen
  • 10Likes

@CeciliaDank je voor het nazoeken en het weer op gang helpen van de order 🙂

Uitgelicht topic