Skip to main content

Al een tijdje ben ik bezig om wat poorten open te zetten op mijn zyxel router. Tot op heden is dit echter niet gelukt ondanks alle hulp die al geboden is bij voorvangers op de community. Hier onder een foto hoe ik de instellingen heb gemaakt. 

Wie o wie kan mij helpen mijn poorten open te zetten. Alvast bedankt!

Hi allen, 

Ik heb het aan de praat gekregen na er eens goed over nagedacht te hebben en de Zyxel router er weer achter te hangen. Mijn redenatie: 

  • Beide routers gaven een FILTERED of STEALTH bericht bij port scanning
  • Het probleem kan eigenlijk niet aan de WAN kant van de router zitten
  • Het probleem moet dus eigenlijk aan de LAN kant zitten
  • Bij port scanning bij de NAS stonden alle poorten open die nodig zijn
  • Deze poorten waren vanaf de WAN kant dus niet open. 

Na hier even over nagedacht te hebben bedacht ik me dat een stealth of filtered state eigenlijk betekent dat het pakketje niet aankomt. De poort op de NAS kan dan wel openstaan, maar dan zou het dus achter de poorten van de NAS moeten zitten. 

En ja hoor, wat bleek, de DNS server stond verkeerd ingesteld. De DNS server in het hoofdmenu van de SYnology NAS stond wel goed (8.8.8.8), maar de DNS op Bond 1 (zitten 2 UTP kabels in) stond nog handmatig ingesteld op een verkeerde. 

Oplossing:

  1. Statische DHCP op Zyxel toewijzen
  2. Automatisch IP adres op NAS
  3. Automatische DNS server NAS

Done. Thanks voor alle hulp!

 


@San2022

 

Blijf het raar vinden dat je STEALTH krijgt, wat min of meer aangeeft dat er wel een soort van reactie komt vanuit je netwerk. Zou er geen enkele reactie komen, zou er CLOSED staan. En als de gewenste reactie wel komt, dan zou er OPEN staan.

Zie dat je ook een FTP server open hebt gezet, als je die poort vai GRC controleert, wat krijg je dan?

Als er geen reactie komt is het STEALTH (a.k.a. Filtered), de poort wordt dan geblokkeerd door een firewall. De portscan komt dus niet verder dan de firewall waar deze tegenaan bonkt.

CLOSED betekent dat er een port is geconfigureerd het zei via de daemon zelf het zei via een port-forwarding maar dat de service op dat moment niet actief (gestart) is.

OPEN betekent dat de port geconfigureerd en bereikbaar is en de daemon erachter connecties toelaat.

 

/ Daemon → Linux ook wel bekend als service (http/dns/mail etc).

 

Ben eigenlijk benieuwd wat er gebeurt als je upnp uitzet volgens mij staat deze vaak nog per default ingeschakeld - tenminste, als ik sommige portscans zo bekijk - en zou dit misschien ook nog wel eens roet in het eten kunnen gooien met port-forwarding.

@yalerta Goeie, maar als de port-forwarding verwijst naar een onjuist intern IP-Adres, dan zou deze CLOSED moeten geven i.p.v. STEALTH/Filtered.

 


Hi @Jason dank voor je bericht. Ik ben het wel met je eens, maar toch vind ik het moeilijk te begrijpen waarom het zowel bij de Zyxel router niet lukt als bij de Netgear router. Dt is moeilijk te verklaren op het niveau van de router zelf?

Wat laat grc.com zien?

→ grc.com

→ Scroll omlaag tot je de grote tekst "Hotspots” ziet staan, daaronder klik je op;

→ ShieldsUP!

→ Proceed

→ In de tekstbox type je de poorten die je wilt testen;

 

→ Vervolgens klikken op de button "Custom Port Probe

 

OPEN = Poort bereikbaar

CLOSED = Poort bereikbaar maar service erachter is niet ingeschakeld of de port-forward verwijst naar het verkeerd IP-Adres.

STEALTH = Poort is onbereikbaar, de portscan is tegen de Firewall aangelopen die iedere vorm van verbinden afwijst.

 


@San2022 

Als ik het goed begrijp heb je deze setup gemaakt binnen je NAS?

 

Deze YT maakt dan wel gebruik van de UPnP functie van de router, maar dat adviseer ik niet om dat te doen i.v.m. security issues.

Dan kom je natuurlijk op de volgende optie om de betreffende poorten open te zetten, maar dan door poort forwarding.

Het eerste wat ik zou aanraden is, een factory reset van de Zyxel uit te voeren. Reden daarvoor is, dat al meerdere mensen hier met poort forwarding regels zaten die niet werkten, maar na een factory reset en opnieuw toevoegen het toch wel bleken te doen.

Het lijkt erop dat als je teveel en dubbele of verkeerde regels toevoegt, de Zyxel blijkbaar regels ‘vasthoud’ en dus op de achtergrond nog steeds uitvoert.

 

 

Mijn volgende voorstel is dan, om regel voor regel toe te voegen en daarna te testen of hij werkt, i.p.v. alles er in 1 keer in te zetten.

Note: probeer het eerst eens met de default poorten die de NAS voorstelt, voordat je die gaat veranderen. Dus eerst werkend krijgen en dan tweaken is mijn advies.


@Gerrit078 ik zal dit weekend even proberen UPnP te disablen. 


Dank voor je antwoord. 
Ik heb DSL, server IP heeft een statisch ip adress middels statisch DHCP. 
Ik kan dit adress niet bereiken en ook op de websites voor poort checkers geeft hij aan dat de poorten dicht zijn 


@royvandijk06 

Zie uit je telnet test naar localhost (127.0.0.1) of een device met een IP (.170) in je netwerk met die betreffende poort dus geen response geeft.

Daarna zie ik je een telnet sturen naar je router (1.1), maar dat is logisch dat die geen response geeft op die poort.

localhost & 127.0.0.1 zijn requests die je doet op de lokale machine (PC) waarop je aan het werk bent, maar is een interne call. Heb daarna het idee dat je een telnet doet naar het IP wat deze machine  (PC) heeft gekregen, maar ook die faalt.

Maar uit alles blijkt dat er intern zo te zien al iets niet goed zit met die betreffende poort intern, daar heeft port forwarding dan ook niets mee te maken.

Firewall settings op die betreffende machine staan wel correct om deze poort ook door te laten?


Heb de range aangepast en de Zyxel opnieuw opgestart, helaas zonder resultaat :(

Met het adres niet bereiken bedoel ik dat ik de server niet vanaf een ander netwerk kan bereiken 


Oke, ik een ontdekking gedaan. Een of andere reden, werkt port forwarding via ETH_Internet van de poort 3389 (remote desktop) wel gewoon, maar de poort die ik wil forwarden (37015) werkt niet, met dezelfde settings. Hoe raar is dat? 

 

Als de remote desktop poort op de PC/Server niet gewijzigd is naar 37015 zal er inderdaad GEEN verbinding gemaakt worden.

Luister poort RDP wijzigen

Door verschillende externe poorten te vertalen naar de standaard RDP poort kan is het eenvoudig verbinden van verschillende PeeCees van buiten af mogelijk zonder op ieder PC een andere luisterpoort in te stellen.

 


Binnen mijn eigen netwerk ondervindt ik geen problemen

nmap: 22565/tcp filtered unknown


Dit doe ik inderdaad via een test website

Dit is wat er uit komt.


@royvandijk06 

Installeer eens nmap op je PC om te kijken welke poorten er wel in je systeem open staan.

Neem aan dat het device waar je dit op hebt draaien een fixed IP heeft, zoals je aangaf misschien 192.168.1.170.

Start dan je cmd en doe eens een all port scan op betreffende IP met het volgende commando;

nmap -p- 192.168.1.170

of welk IP je heb toegewezen waar deze poort open zou moeten staan.

 


De 25565 is inderdaad voor Minecraft server. 

Helaas biedt Firewall uitzetten ook geen uitkomst. 

Fixed ip had ik eerst via pc zelf ingesteld en later nog geprobeerd via de Zyxel.

Maar ook met andere poorten die ik probeer open te krijgen lukt dat niet.


@royvandijk06 

Wow .. dat was snel :smile:

Zoals je zelf al uit deze toch wel angstige lange lijst met poorten op die machine kunt zien, staat poort 37015 er niet tussen. Dan kunnen we checken wat we willen, maar als nmap hem niet tegenkomt … ben ik bang dat er iets nog niet helemaal goed staat op die machine.


Hi @BjornV en @royvandijk06, thanks voor de aanvullingen! Aangezien jij al zo ontzettend goed hebt meegedacht @Pieter_B, vroeg ik me af of jij wellicht nog een extra tip in petto hebt? 🎈 Ik ben zelf ook erg benieuwd! 


@royvandijk06

Al is het om te testen, zet dan eens een simpele (web)server op die machine met een LISTEN 37015 i.p.v. 80.

 


Ik heb trouwens ook een andere merkwaardigheid, wat ik nu bedenk, zou wel eens het probleem kunnen zijn:

Als ik naar mijn default gateway ga, dan wil hij (hoe irritant dan ook) automatisch redirecten van HTTP naar HTTPS. Alleen is het certificaat ongeldig (is dat de bedoeling?), dus ik gebruik liever HTTP. @BjornV heb jij dit ook toevallig?

De reden waarom ik trouwens denk dat dit misschien het probleem kan zijn is omdat als je HTTPS gateway gebruikt met een ongeldig certificaat, kon ik ook niet het modem rebooten (unauthorized), alleen via HTTP werkt het. Daarom vermoed ik dat ook port forwarden hierdoor misschien niet lukt? Het is maar een gokje.


Hi @Waqqas dank voor je reactie. Ja ik heb de stappen gevolgd. Er staat 1 test WAN interface (VD_internet) tussen als experiment. 

De NAS is direct aangesloten op de zyxel.

Gr


Change the WAN Interface from VD_Internet (?!?!DSL or 3GUSB ?!?!?)  ==>  ET_Internet, if you have fiber.

Already tried that.

@royvandijk06 Ik kan wel mijn modem rebooten


De ONT is alleen maar een glas naar ethernet omzetting. Zeg maar OSI model laag 1. Daar wordt dus niets met IP adressen of poorten gedaan.


Even een check @Boris zou het te maken kunnen hebben met het IPv4 adres dat vanuit T-mobile wordt toegewezen? 

Ik vond dit :https://serverfault.com/questions/995896/port-is-filtered-after-port-forward en wordt doorgelinked naar https://en.wikipedia.org/wiki/Carrier-grade_NAT . Dit verhaal komt overeen met het verhaal dat ik van een techneut vernam. 


Goedemiddag @San2022, als alle instellingen voor de NAT/forwarding correct geconfigureerd zijn, neig je al gauw naar een probleem binnen de apparatuur, maar ook dat lijkt hier niet het issue te zijn - ik vind het een lastige en zet jouw vraag net als Boris uit bij de deskundigen. Je hebt maar aan hun expertise dan ons giswerk - ook al weten ook wij wel degelijk één en ander van port forwarding natuurlijk! 😄

Het zou kunnen dat de IPv4 roet in het eten gooit trouwens, maar dan zou het mijns inziens eerder ontstaan doordat het IP niet overeenkomt met hoe het in de NAT/forwarding ingesteld is en daar lijkt de oorzaak ook niet te liggen.


Ik kan het alleen via HTTP


Hi @Jason dank voor je bericht. Ik ben het wel met je eens, maar toch vind ik het moeilijk te begrijpen waarom het zowel bij de Zyxel router niet lukt als bij de Netgear router. Dt is moeilijk te verklaren op het niveau van de router zelf?


Hi @Jason dank voor je bericht. Ik ben het wel met je eens, maar toch vind ik het moeilijk te begrijpen waarom het zowel bij de Zyxel router niet lukt als bij de Netgear router. Dt is moeilijk te verklaren op het niveau van de router zelf?

Of in de Synology ?