Beantwoord

problemen met cloud backup door een port blokkering

  • 29 March 2024
  • 12 reacties
  • 138 Bekeken

  • heeft eerste post geplaatst
  • 2 reacties

Sinds kort lukt de backup in de cloud niet meer. Gebruik Acronis home office en bij controle's blijkt de poort 55556 geblokkeerd te zijn. Wanneer ik de firewal op pc en router uitschakel, werkt het nog steeds niet. Acronis verwijst me door naar de provider. Heeft voorheen altijd goed gewerkt bij Tweak en na overstap naar Odido heeft het waarschijnlijk 14 dagen gewerkt en daarna niet meer. Iemand een idee hoe dat kan? Modem is een zyxel T56, aansluiting is glasvezel.

icon

Beste antwoord door Fredvb 30 March 2024, 11:46

Bekijk origineel

12 reacties

Reputatie 7
Badge +14

Heb je inderdaad een port forwarding in de Zyxel geplaatst? Heb je de internet pc een vast IP adres gegeven?

 

Reputatie 3

@Fredvb 

Is het een connectie van buiten naar binnen? Zie dan de reactie van @eric

Is het een daarentegen (TCP) connectie van binnen naar buiten (dat vermoed ik)? Dat zou eigenlijk sowieso altijd gewoon moeten werken. Weet je de hostname of het ip adres van de backup server?

Reputatie 4
Badge

Heb je inderdaad een port forwarding in de Zyxel geplaatst? Heb je de internet pc een vast IP adres gegeven?

 

De poorten die in de firewall doorgelaten moeten worden zijn poorten bij Acronis, die vanuit huis bereikbaar moeten zijn. Daarvoor hoef je geen portforwarding in te stellen. Als dat wel zo zou zijn, zou je per huisadres maar 1x Acronis  kunnen gebruiken, of elke keer de portforwarding moeten veranderen.

Als Odido die poort voor uitgaand verkeer dicht zet in de router is daar zelf niets aan te doen, en zijn ze in overtreding.

Bedrijven zetten soms alle poorten naar buiten toe dicht die ze niet expliciet toestaan om het interne netwerk onder controle te houden, maar een internetprovider mag dat niet doen.

Er kwam laatst ook al een probleem voorbij van iemand die zijn vpn naar het werk niet aan de praat kreeg door geblokkeerde poorten, terwijl daar bij de vorige provider wel werkte. Lijkt hetzelfde probleem

Reputatie 3

@Fredvb

Ik gok dat de hostname cloud-rs-eu1.acronis.com (of eu2, eu3) is. Roep maar als ik het mis heb.

Zie https://kb.acronis.com/content/4350

harmenzo@odido:~$ traceroute -T -O info -p 55556 cloud-rs-eu1.acronis.com
traceroute to cloud-rs-eu1.acronis.com (45.11.129.80), 30 hops max, 60 byte packets
1 fritz.box (192.168.178.1) 0.595 ms 0.530 ms *
2 1-70-212-87.ftth.glasoperator.nl (87.212.70.1) 3.831 ms 4.010 ms *
3 10.10.16.249 (10.10.16.249) 12.081 ms 10.10.14.249 (10.10.14.249) 12.749 ms *
4 10.10.12.73 (10.10.12.73) 13.097 ms * *
5 10.226.4.3 (10.226.4.3) 12.953 ms * *
6 * * *
7 80.249.215.35 (80.249.215.35) 11.013 ms * *
8 10.2.254.4 (10.2.254.4) 19.448 ms * *
9 * * *
10 45.11.129.80 (45.11.129.80) <syn,ack> 18.022 ms * *

Bij mij is dus niks geblokkeerd (eu2 en eu3 ook niet). Traceroute onder linux vertelt je bij een geblokkeerde route het meeste. We kunnen eventueel ook andere alternatieven voor tracert onder windows bespreken als je wilt. Maar je kunt ook eerst telnet proberen:

harmenzo@odido:~$ telnet cloud-rs-eu1.acronis.com 55556
Trying 45.11.129.80...
Connected to cloud-rs-eu1.acronis.com.
Escape character is '^]'.
^]
telnet>
Connection closed.

Of gebruik de Acronis Cloud Connection Verification Tool (te vinden via bovenstaande link).

 

@Fredvb

Ik gok dat de hostname cloud-rs-eu1.acronis.com (of eu2, eu3) is. Roep maar als ik het mis heb.

Zie https://kb.acronis.com/content/4350

harmenzo@odido:~$ traceroute -T -O info -p 55556 cloud-rs-eu1.acronis.com
traceroute to cloud-rs-eu1.acronis.com (45.11.129.80), 30 hops max, 60 byte packets
1 fritz.box (192.168.178.1) 0.595 ms 0.530 ms *
2 1-70-212-87.ftth.glasoperator.nl (87.212.70.1) 3.831 ms 4.010 ms *
3 10.10.16.249 (10.10.16.249) 12.081 ms 10.10.14.249 (10.10.14.249) 12.749 ms *
4 10.10.12.73 (10.10.12.73) 13.097 ms * *
5 10.226.4.3 (10.226.4.3) 12.953 ms * *
6 * * *
7 80.249.215.35 (80.249.215.35) 11.013 ms * *
8 10.2.254.4 (10.2.254.4) 19.448 ms * *
9 * * *
10 45.11.129.80 (45.11.129.80) <syn,ack> 18.022 ms * *

Bij mij is dus niks geblokkeerd (eu2 en eu3 ook niet). Traceroute onder linux vertelt je bij een geblokkeerde route het meeste. We kunnen eventueel ook andere alternatieven voor tracert onder windows bespreken als je wilt. Maar je kunt ook eerst telnet proberen:

harmenzo@odido:~$ telnet cloud-rs-eu1.acronis.com 55556
Trying 45.11.129.80...
Connected to cloud-rs-eu1.acronis.com.
Escape character is '^]'.
^]
telnet>
Connection closed.

Of gebruik de Acronis Cloud Connection Verification Tool (te vinden via bovenstaande link).

 

Dank je Harmenzo, klopt allemaal wat je zegt. Ik had al telnet gedaan en acronis cloud verification. Die gaven aan dat port 55556 niet bereikbaar was. Zojuist heb ik het modem omgeruild met mijn modem van thuis, en  het werkte. Modem teruggewisseld en het werkte weer . NAS aangesloten en het werkte niet meer. Bleek dat de nas de poorten in beslag nam voor ftp. Aangepast en het werkt weer.

Reputatie 7
Badge +14

Goed onderzoek @Fredvb ! Odido zet inderdaad geen uitgaande poorten dicht (behalve poort 25). 

ter info voor soortgelijke problemen. In zyxel modem via netwerkinstelling,  thuisnetwerk, UPnP,  vond ik een lijst met poorten en ip- adressen. zodoende kon ik de NAS traceren op die poort.

Reputatie 4
Badge

Goed onderzoek @Fredvb ! Odido zet inderdaad geen uitgaande poorten dicht (behalve poort 25). 

Toch wel: in ieder geval lokale poort 5060 voor telefoonverkeer naar niet-Odido servers.

Als ik met mijn Fritzbox wil verbinden naar VoipCheap of CheapConnect moet ik aangeven dat als source port een andere poort dan 5060 gebruikt moet worden, anders wordt de verbinding geblokkeerd.
Dat is bij andere providers niet nodig.

Dat is de reden dat ik “Odido zet geen uitgaande poorten dicht” niet zo maar geloof.

Poort 25 was het eerste tegenvoorbeeld, nu ook poort 5060.

Reputatie 7
Badge +14

Hoi @henkdeleeuw 

Poort 5060 staat niet dicht maar wordt voor telefonie dienst van Odido gereserveerd.  Eigenlijk kennen alle 3e voip providers alternatieve poorten, omdat poort 5060 reservering vaak voorkomt. 

Niet overal een probleem van maken he...

Reputatie 4
Badge

Hoi @henkdeleeuw 

Poort 5060 staat niet dicht maar wordt voor telefonie dienst van Odido gereserveerd.  Eigenlijk kennen alle 3e voip providers alternatieve poorten, omdat poort 5060 reservering vaak voorkomt. 

Niet overal een probleem van maken he...

Het is technisch gezien nergens voor nodig om die poort voor de eigen telefoniedienst te reserveren.
Netto komt dat gewoon neer op blokkeren van die poort voor niet-Odido aanbieders.
De alternatieve poorten van de voip providers heb je hier niet nodig. Ik maak gewoon gebruik van poort 5060 bij VoipCheap, alleen ik moet mijn Fritzbox zo africhten dat hij de verbinding niet vanuit de standaard poort 5060 opzet.

Dat er workarounds bestaan wil niet zeggen dat het daarmee ook in orde is.
Die workarounds zijn er omdat er meer providers zijn die zich niet aan de regels houden.
Ik vermoed dat die optie in de Fritzbox er is omdat T-Mobile zich al niet aan de regels hield.
Maar “anderen houden zich ook niet aan de regels, dus Odido hoeft dat ook niet” is een kromme redenering.

Het gaat mij er niet om om overal een probleem van te maken.
Jij claimt dat Odido geen poorten blokkeert. Reserveren voor eigen gebruik is blokkeren, ook al is er een workaround.

De SIP-inloggegevens kunnen worden achterhaald met een script van TMTV.
Dat wil niet zeggen dat Odido de fout niet meer uit hun webpagina waarmee je zelf het wachtwoord kunt aanpassen hoeft te halen. Workaround =/= in orde.

Reputatie 7
Badge +3

De poort 5060 blijft voer voor discussie, terwijl al door meerdere medeklanten is aangegeven dat 5060 geen probleem veroorzaakt.

Heb hier zelf een ATA in zijn eigen VLAN en subnet.

Zelf heb ik CC [inkomend], je raad het al … draait op poort 5060 al jaren vanaf dag 1 Vodafone Thuis hier.

Daarnaast heb ik Power Voip [uitgaande] .. en ja, ook op poort … 5060.

….alleen ik moet mijn Fritzbox zo africhten dat hij de verbinding niet vanuit de standaard poort 5060 opzet.

Weet niet wat je bedoeld met ‘africhten’, want het zou gewoon out of the box moeten werken … ook op een Fritz.

Trouwens de meeste VoIP connectie problemen, worden veroorzaakt door een slecht geïmplementeerde SIP ALG functionaliteit. Is altijd de eerste setting die ik uitzet in, welke router dan ook.

What is SIP ALG and Why You Need to Disable It

Ook opmerkingen als dat je deze poort 5060 open moet zetten in je router, ook niet nodig. Je VoIP device is een client, net als je browser.

Voel vooral in veel van je reacties binnen de community Henk een vorm van ontevredenheid c.q frustratie over je huidige provider, die vrijheid heb je. Maar waar je ook rekening mee moet houden is, dat het vaak allemaal ‘mensen werk’ is … en die zouden wel eens iets minder kundig kunnen zijn al jij.

Maar goed, we raken behoorlijk off-topic. Heb hier een serverpark op de meest exotische poorten draaien, maar heb geen poort die niet werk om vanaf extern bij de servers te komen.

Reputatie 4
Badge

De poort 5060 blijft voer voor discussie, terwijl al door meerdere medeklanten is aangegeven dat 5060 geen probleem veroorzaakt.

Heb hier zelf een ATA in zijn eigen VLAN en subnet.

Zelf heb ik CC [inkomend], je raad het al … draait op poort 5060 al jaren vanaf dag 1 Vodafone Thuis hier.

Daarnaast heb ik Power Voip [uitgaande] .. en ja, ook op poort … 5060.

Hallo @Pieter_B, dank voor je antwoord.
Wat ik gemerkt heb, is dat ik geen verbinding kan maken vanaf mijn router naar een externe sip-provider als de router zelf poort 5060 gebruikt. Dat de provider poort 5060 gebruikt is geen probleem. Maar een Fritzbox op poort 5060 naar CC op 5060 werkt echt niet.

Als jouw ATA zich achter de router bevindt is dat een verklaring ervoor dat jij daar geen problemen mee ervaart: de poort 5060 van je ATA komt door de poort-translatie van de NAT niet als poort 5060 naar buiten, maar als een willekeurige andere. Precies datgene wat dat vinkje in de Fritzbox ook doet.

Zo kan het dus dat het voor de meesten geen probleem oplevert, terwijl de enkeling die een eigen router met SIP-functionaliteit heeft en van een externe provider gebruik wil maken wel iets is om rekening mee te houden. Bij mij werkte in eerste instantie de verbinding naar CC niet, en pas na het nodige googelen kwam ik erachter dat de Fritzbox die extra optie had die je in geval van T-Mobile (nu Odido) aan moet zetten. Als T-Mobile poort 5060 niet “voor eigen gebruik gereserveerd” had, was die zoektocht me bespaard gebleven. Anderen zullen de zoektocht wellicht voortijdig afbreken.

….alleen ik moet mijn Fritzbox zo africhten dat hij de verbinding niet vanuit de standaard poort 5060 opzet.

Weet niet wat je bedoeld met ‘africhten’, want het zou gewoon out of the box moeten werken … ook op een Fritz.

Trouwens de meeste VoIP connectie problemen, worden veroorzaakt door een slecht geïmplementeerde SIP ALG functionaliteit. Is altijd de eerste setting die ik uitzet in, welke router dan ook.

What is SIP ALG and Why You Need to Disable It

Amen!

Ook opmerkingen als dat je deze poort 5060 open moet zetten in je router, ook niet nodig. Je VoIP device is een client, net als je browser.

Amen!

Ik zie hier - ook vanuit de medewerkers van Odido - vaak de onnodige opmerking “Heb je die poort wel opengezet?”. Nergens voor nodig inderdaad, je router heeft als het goed is zelf de instelling om bij uitgaand verkeer alle terugkomend verkeer naar de juiste poort terug te leiden.

Voel vooral in veel van je reacties binnen de community Henk een vorm van ontevredenheid c.q frustratie over je huidige provider, die vrijheid heb je. Maar waar je ook rekening mee moet houden is, dat het vaak allemaal ‘mensen werk’ is … en die zouden wel eens iets minder kundig kunnen zijn al jij.

Met name ook dank voor deze opmerking!

Ja, die frustratie is zeker aanwezig.
En ik realiseer me terdege, dat het mensenwerk is en zal blijven, dus mijn frustratie komt niet voort uit het meer of minder kundig zijn / kennis hebben. Het gaat mij niet om wat je weet, maar wat je met die kennis doet.
Er zijn inmiddels tientallen topics met elk tientallen klachten over de meest uiteenlopende apparatuur die niet wil verbinden. Meestal gaat het dan om een T-56 router. Eind december had ik hier zelf last van en heb ik de oorzaak achterhaald. Een paar uur spelen met Wireshark en het was duidelijk. Ik dacht toen: laat ik dat melden, wie weet hebben ze er wat aan.

Maar nog steeds komen er mensen hier in de community aan die uren met de telefonische helpdesk van alles geprobeerd hebben, zonder resultaat.
Terwijl er een simpele test is: als de regel

dnsmasq-dhcp: read /etc/ethers - 0 addresses

om de paar minuten in je logfile staat, kun je verder proberen wat je wilt: dat gaat het allemaal niet oplossen. Alleen een firmware-update helpt dan.

Simpele test, simpele oplossing.

Alleen wordt die test niet gebruikt, en zijn zowel klant als helpdesk per geval uren bezig met allerlei testjes die gegarandeerd niet gaan werken. Dat kost geld, dat kost ergernis, en dat kost klanten.

En waarom, in ‘s hemelsnaam? Waarom moet iemand die zich hier meldt dat zijn spel Call of Duty het niet doet, eerst nog andere vragen beantwoorden voor hij een firmware update aangeboden krijgt, terwijl bekend is dat dat spel met firmware b8 onspeelbaar is?

Dat frustreert.

Niet het gebrek aan kennis, maar het gebrek aan wil om iets met die kennis te doen.
Mensen testjes laten doen waarvan je bij voorbaat weet (of inmiddels zou moeten weten) dat die zinloos zijn, terwijl je ze ook direct verder zou kunnen helpen.

Wat niet frustreert, maar waar ik meewarig om kan glimlachen: in de rechterbovenhoek van het topic-overzcht staat een lijst met “meest recent verdiende badges”. Ik vond het ironisch dat ik daar ineens bovenaan stond als “Wifi Expert”, omdat er flink wat mensen waren die mijn bijdragen kennelijk wisten te waarderen, terwijl ik toch ook met behoorlijk wat kritiek kwam.
Maar dat was van korte duur: ineens stond op plaats 1-5 @Hidden.nld. Ik was wel benieuwd voor welke meest recent beantwoorde vragen hij die gekregen had: “meest recent” is dan ineens “meer dan een jaar geleden”.

Tsja.

Niet dat ik hem dat niet gun; hij heeft in het verleden aanzienlijk meer vragen beantwoord dan ik recent.
Maar noem het dan niet “meest recent verdiende badges”. Daar laat Odido zich wel weer kennen.

 

Wat ik erg op prijs zou stellen is als ik eens rechstreeks met iemand van de moderatoren (@Tommie van Odido ?) zou kunnen communiceren, bijvoorbeeld per PB. Als ik zou weten waarom er geen gebruik wordt gemaakt van aangedragen kennis, en waarom je klanten keer op keer onzinnige tests laat doen, zou het een stuk makkelijker voor mij worden om dit los te laten en me rustig te houden. “Corporate policy: we zouden wel anders willen maar mogen niet”? Prima, weten we dat, houden we daar rekening mee.
Maar als ik het niet snap zal het blijven knagen.

Maar goed, we raken behoorlijk off-topic. Heb hier een serverpark op de meest exotische poorten draaien, maar heb geen poort die niet werk om vanaf extern bij de servers te komen.

Kijk, dat is goed om te horen.
Het “voor eigen gebruik reserveren” lijkt dus beperkt tot poort 25 en 5060.

Reageer