Skip to main content

Afgelopen week is mijn oude Zyxel  modem/router van Odido vervangen door de Zyxel T56 met  Firmware-versieV5.70(ACEA.0)T56C_b8_1108.

Ik heb verschillende websites draaien op een achterliggende Synology Nas die ik middel reverse proxy zonder problemen kan benaderen op de oude modem/ router, maar die nu allemaal stranden op de melding van

Verdergaan is geen optie. Wanneer je verder kijkt zie ik dat het foutloopt bij het unsigned Zyxell certificate.

De vraag is hoe dit kan worden opgelost. Ik heb alle relevante opties tussen beide modem/routers vergeleken en daar waar ze verschillen gelijk gemaakt aan de oude werkende situatie.

De webservices zijn allen van buitenaf te vinden via Ping en Traceroute.

De management interface van de modem is via WAN in principe niet bereikbaar dus extern verkeer voor poort 443 zou gerouteerd moeten worden naar de achterliggende nas. Helaas gebeurd dat niet.

Gaarne hulp van de community.

Het lijkt erop dat de beheer interface Zyxel modem op poort 443 de berichten niet doorstuurt naar

 

Je kunt gewoon doorklikken (via Advanced) als je die veiligheidswaarschuwing ziet over het SSL certificaat. De verbinding loopt immers alleen over je lokale netwerk, dus dat is in principe veilig. (En als het niet zo is, dan ben je sowieso al zwaar de klos.)

Nadat je dan bent ingelogd op de Zyxel, kun je met poort forwarding/DMZ/DDNS proberen je Nas van buitenaf bereikbaar te maken.


@harmenzo 

Bedankt voor je reactie. Gewoon doorklikken werkt hier echt niet. Dat gaat soms wel bij andere certificaat foutmeldingen maar hier niet. Firefox en alle andere grote browser gaan bij deze fout niet verder.

En poort 443 is voor routering opengezet via nat naar een andere ip-adres poort combinatie die op de vorige modem/router geen problemen geeft.


@Leen58

Ik had je geloof ik niet helemaal goed begrepen. Je krijgt die veiligheidswaarschuwing dus als je van buiten op de Nas probeert te komen? Ik dacht als je van binnen probeerde in te loggen op de Zyxel.

Hoe weet je trouwens dat de webservices van buitenaf te bereiken zijn via Ping en Traceroute, en dat het antwoord niet stiekem toch gewoon van de Zyxel komt?

Zou het misschien kunnen dat het probleem is dat het Zyxel certificate nog in je browsercache zit, en dat het daarom niet lukt als je verderklikt, omdat je dan ondertussen uitkomt op je Nas en dat dan niet meer matcht. (Ik doe zomaar eens een wilde gok.)


Als ik het goed begrijp, heb je een port forwarding ingesteld voor 443 naar je reverse proxy server.

Binnen de Zyxel is poort 443 min of meer ‘gereserveerd’, dus zult je die vrij moeten spelen. Het is eigenlijk de eerste LISTEN die een request oppikt in de keten.

Heb al tijden geen Zyxel meer gedraaid, maar dacht mij zo te herinneren dat bij externe toegang ook een poort stond. Verander deze eens naar bijv. 4443 o.i.d, om daarna de Zyxel een reboot te geven.

Kijk dus even of dit ook het geval was bij je oude router, want dat vermoeden heb ik namelijk.

Begrijp dat er meerdere Webservers draaien op je NAS in je privé LAN, daar krijg ik wel een beetje de kriebels van als het gaat om security. Neem aan dat je deze NAS niet ook nog eens gebruikt voor privé opslag, want dan moet ik je toch adviseren om een uitgebreidere router firewall / bouwen te kopen. Dan de Webservers op een dedicated NAS zetten en in zijn eigen netwerk segment, compleet gescheiden van je privé LAN dus.

Web en mail server netwerken, moet je zoveel mogelijk scheiden van je privé LAN. Je kunt denken ‘er gebeurt mij niets als ik dat gewoon in mijn privé LAN draai toch?’, maar er is al te vaak bewezen dat hackers niet stoppen bij de voordeur.


@Pieter_B Pieter bedankt voor je reactie. Ik heb op de router de routerbeheerinterface niet via WAN en dus niet via poort 443. Verkeer van ethernet (wan zijde) dat binnenkomt op poort 443 wordt doorgerouteerd naar een poort op de webserver via poorttriggering. Toch onderschept het modem dit verkeer en probeert een ssl verbinding op te zetten maar loopt daarbij aan tegen het niet ge-signde Zyxel certificaat en de firefox browser wijst de verbinding af. 

ik had een werkende identieke inrichting op de Zyxel T50. Die heeft echter (in ieder geval niet zichtbaar) geen eigen certificaat.

Kortom ik ben er nog niet in geslaagd het werkend te krijgen. Voorlopig nog even het oude modem inzetten.

 


Als ik het goed begrijp heb je poort triggering’ ingesteld i.p.v. poort forwarding?

Wat is de reden waarom je poort trigger voorkeur heeft over poort forwarding?

Poort trigger gebruiken we meestal REQUEST poort is anders dan de REPLY poort.

Maar als we het hebben over een server (LISTEN 80 / 443), dan doen we dit met poort forwarding.


@Pieter_B Pieter, ik heb het volgende gedaan. Port forwarding van port 443 en daarbij gekozen voor een ander verkeerstype. Nu krijg ik eenmalig de melding betreffende het unsigned certificaat maar kan nu door naar de webservice. Ik kan nu ook een uitzondering vastleggen in Firefox waarmee bij een volgend bezoek het aanmeld scherm van de service verschijnt. 

Het probleem is hiermee opgelost en werkt ook voor andere services.

Bedankt voor je reactie.

 


@Leen58 

Mocht je ooit nog eens iets meer security willen of segmentatie binnen je netwerk, zou je een eigen router als bijv. een DIY OpenSense of pfSense kunnen inzetten.

Daar zit natuurlijk wel een learning curve aan, maar er is bijna voor elk topic wel youtube info beschikbaar.

 


Reageer