Update subnetten

2021-09-15T22:00:00Z hebben we een e-mail gestuurd. Naar iedereen die zich heeft aangemeld om op de hoogte gehouden te willen worden voor de aankomende dienst, Subnet. Deze is terug te lezen onderaan deze topic.

Aangezien we graag transparant willen zijn, wil ik door middel van dit bericht iets meer diepgang geven hierover.

Technisch

Het aanbieden van een subnet zal gaan in blokken van 8 IP-adressen (/29). Dit zullen aan een gesloten IP-adressen zijn om het makkelijk te maken. 3 ervan worden gebruikt om het mogelijk te maken (1 netwerk-, 1 broadcast- en 1 gateway-adres). Daarvan blijven 5 bruikbare adressen over voor jouw apparatuur.

Om de IP-adressen te kunnen leveren hebben we een aantal onderdelen robuust nodig in ons netwerk. We moeten de subnet naar de router kunnen routeren via het huidige IP adres. Maar ook moet er een route terug naar Freedom zijn. Om dit mogelijk te maken zijn we een nieuwe PPP-server aan het opzetten. Dit kost echter veel tijd maar dat heeft hoge prioriteit.

Hostnames moeten toegewezen kunnen worden naar de adressen van het subnet en vice versa (denk aan PTR-record). Dus daar zit ook nog een werkje voor onze netbox en DNS.

Administratief

Het subnet moet natuurlijk te herleiden zijn aan de klant. Zodat we weten wie welke subnet krijgt. Mocht er een abuse melding binnen komen. Moeten we iemand kunnen aanspreken erop. Maar ook als iemand verhuist, wil je natuurlijk niet dat je een nieuwe subnet krijgt. Dus dit moeten we mee kunnen verhuizen.

Kortom, er is nog een aantal punten die aangestipt moeten worden maar het wacht ook op andere onderdelen. Maar dit is waar nu onze focus op ligt.

E-mail

Onlangs heb je aangegeven­ geïnteresseerd te zijn in de subnetten van Freedom Internet, vandaar dat je deze mail van ons ontvangt. Afgelopen maand gaven we al een tipje van de sluier. Zoals we in die nieuwsbrief hebben beloofd, sturen we je bij deze een update.

XS4ALL gaf afgelopen jaar aan op 1 oktober te stoppen met het aanbieden van de dienst subnetten, graag hadden we jullie daarom vanaf dit moment subnetten van Freedom willen aanbieden. Helaas zijn we nog niet zover. We vinden het namelijk belangrijk dat onze diensten voldoen aan de hoogste mate van veiligheid, privacy en kwaliteit. Het project subnetten is nog niet zover af, dat deze aan de vereisten voldoet en we al klaar zijn om de nieuwe dienst te introduceren.

We werken hard door aan dit project. Zodra we een update kunnen geven of we weten wanneer we de dienst kunnen introduceren, horen jullie direct meer van ons door middel van deze nieuwsbrief.

Met vriendelijk groet,

Team Freedom­­

7 likes

Inmiddels 1 oktober, tot op dit moment heeft xs4all mijn subnet nog niet afgesloten. Wacht gespannen af wanneer dat gebeurt! Is er al een (voorlopige) planning wanneer jullie subnet-aanbieding live gaat?
Overigens altijd bereid om proefkonijn te zijn!
Hans

1 like

Deze zal inmiddels afgesloten zijn, bij mij was dat de trigger (en stoppen registratie van reverse pointers) om Xs4all met gierende banden te verlaten.

Maar idd lang niets meer gehoord over de werkzaamheden om dit mogelijk te maken…

Afsluiten van het subnet zal niet lang meer duren. XS4all heeft voor mij 11 januari aangekondigd. Aangezien dit de belangrijkste reden was het XS4all abonnement in stand te houden zal mijn XS4all glasaansluiting een paar dagen later eindigen.

En hoe staat het er nu mee? Intussen is er aardig wat tijd vergaan. Is er een tijdslijn wanneer de service beschikbaar komt? Wat het gaat kosten?

Nieuwsbrief, zeven dagen geleden:

Belbundels en IPv4 Subnet

Het komt er nu écht aan! We weten dat er een aantal mensen met smart op zitten te wachten en hadden ook liever gezien dat het eerder live kon. Voor Belbundels wordt nu hard geprogrammeerd. Omtrent Subnetten zijn we bezig met de laatste acties voordat we live kunnen. Degene die zich in hebben geschreven voor de Subnetten-nieuwsbrief ontvangen direct een bericht zodra de dienst live staat. Direct daarna melden we het uiteraard ook in onze gewone nieuwsbrief.

Beste Freedom team en medegebruikers,

Blij verrast was ik vandaag toen de Freedom update ‘Freedom Subnet staat live!’ in mijn mailbox verscheen. Ik zat er al een hele tijd op te wachten en had me ook voor deze mailinglist ingeschreven.

Direct heb ik de dienst besteld volgens instructies.
Eerlijk gezegd stond ik al op het punt om einde contractdatum over te stappen naar een andere provider puur omdat, behalve de uitstekende service, technisch gezien Freedom mij niet meer kon bieden dan andere aanbieders voor de hogere prijs die logisch gevraagd wordt door Freedom.

Dat zou ik jammer gevonden hebben om te moeten doen, want het voelt voor mij persoonlijk toch als in de steek laten van een goede provider (Think, maar vooral Do different ;). Overigens blijf ik Freedom sowieso steunen via de aandelenactie die gedaan is, door een trotse bezitter te blijven van 1 aandeel :wink:

Bij deze mijn dank aan het Freedom team! Goed om te zien dat er nog bedrijven zijn die er alles aan doen om hun beloftes waar te maken, en vooral blije klanten behouden. Daar betaal ik graag extra voor.

Groeten,
Léon

2 likes

Inderdaad. Meteen besteld en werkelijk binnen een paar uur was het al geactiveerd. Nu zal dat niet altijd zo snel gaan denk ik, maar dit was werkelijk geweldig.

Meteen vanavond een van m’n hosts op een subnet IP adres gezet en alles werkt zoals verwacht. Helemaal top!

Ook ik heb een mailtje gekregen en meteen aangevraagd. Alleen begrijp ik de dienst niet zo goed: een /29 heeft 8 IP adressen. Als je er een gewoon subnet van maakt valt host0 en host-1 af (“netwerk” en “broadcast” respectievelijk). Bovendien kost de gateway dan ook een IP en dan hou je van 8 er maar 5 over en dat is wat Freedom schrijft.

Maar zo heb ik het niet gebouwd. Mijn netwerk heeft bewust een veel groter netmask, en IP adressen die op mijn supernet zitten maar niet op het subnet van Freedom los ik met proxy-ARP op.
De gateway kan op deze manier buiten het subnet (besparing: 1 IP adres) en host0 en host-1 worden gewone IP adressen (die je ook gewoon kunt gebruiken).
En dus kan ik alle 8 IP adressen gebruiken en niet slechts 5.

Nee, dit kan niet met Fritz. Maar met OpenWRT is dit simpel.

@GeertJan
Ja ook ik ben benieuwd hoe ze dit precies bedacht hebben. Vooral omdat het om een routed subnet lijkt te gaan, bovenop het fixed v4 IP. Ik ga het zien (ervaren). Wordt dit subnet dan via DHCP of iets uitgegeven?

Je zal het subnet als een alias op je WAN moeten invullen op de een of andere manier.

Prima hoor. Maar met proxy-ARP moet je wel bedenken dat elk nieuw destination IPv4-adres een entry in de ARP-tabel maakt. En ook een next-hop entry in je router. De limieten van beide tabellen zijn vrijwel altijd veel kleiner is dan het aantal mogelijke IPv4 publieke unicast adressen.

Tuurlijk zitten er timers op om ongebruikte adressen te laten verdwijnen maar ook dat zijn resources.

Ik denk dat het tot vrij snel in het honderd gaat lopen als je servers een beetje belangstelling krijgen.

Geen DHCP. Je moet de adressen zelf configureren.

Zelf configureren. Gateway address is het eerste bruikbare IP address (eerste IP na het netwerk adres). Er blijven dan vijf adressen over die je kan toewijzen aan hosts.

Werkt prima op basis van de instructies van Freedom. Blij mee!

Dat argument geldt alleen voor de IP adressen in het subnet, niet voor de gehele IPv4 adresruimte. Voor access vanuit “buiten het subnet”, werkt het op de normale manier (ARP voor de gateway, dan gateway als next hop).
Ik heb dit gedaan met /23’s en als al mijn buren mijn server zouden aanspreken levert dat 512 ARP entries op. Daar zal iedere host gewoon mee om moeten kunnen gaan.

Oh ja, deze truuk werkt “met DHCP voor de clients”. Voor all 8 IP adressen.

Is maar hoe je het opzet, proxy arp of b.v. met static NAT’s. Heb zelf een edgerouter rechtstreeks aan de FTU hangen en krijg straks (neem ik aan) mijn nieuw /29 subnet, door Freedom, gerouteerd naar mijn ER (public IP aan de buitenkant wat iedereen heeft)
Op mijn ER routeer ik dan de afzonderlijke IP’s door naar mijn afzonderlijke firewalls waar ik static NATs op zal zetten. Zo heb ik b.v. een game console voor de kids geisoleerd in een DMZ zitten waar ik, middels 1:1 NAT een public IP aan koppel. In een ander DMZ heb ik een mailserver waar ik ook een apart IP aan ga koppelen, moet natuurlijk nog wel reverse pointers e.d. regelen en DNS entries aanmaken maar een kind kan de was doen & geen verlies aan IP’s.

Bedenk dat je even zelf de ppp verbinding herstart na instellen. (anders wordt er niets doorgestuurd).

1 like

@Noci Bedankt voor die ‘tip’. Dat had ik mijzelf dus even niet bedacht, zit je dan een hele tijd te kl… voor niks :face_with_raised_eyebrow: Na het reconnecten kwam de gateway via het alias eindelijk online. Is toch wel handig om dat ergens bij de instructies te vermelden, ook al is er geen actieve support voor in mijn geval OPNsense.

idd. het was elders al genoemd op het forum… De Fritzbox doet dat vanzelf bij de aanpassingen die daar gedaan worden.
Op die manier ben je alleen 3 adressen kwijt …
Bij een BSD/Linux oplossing op de Firewall zelf kun je alle 8 gewoon gebruiken.
Kan evt. Via fritzbox mogelijk ook als je routes in kan stellen en hostroutes naar een achterliggend device instelt en daar het adres als Alias op een interface van het apparaat zet.

Even terzijde: wat geweldig dat de dienst aangeboden wordt, zeker in deze tijd van schaarste qua IPv4 ruimte. Ik moet me echt verbijten om deze dienst niet af te nemen, ik heb er op dit moment in ieder geval niets aan en ik gun een ander graag wel de adressen… maar het is wel gaaf om te hebben hoor. Poeh.

2 likes