Skip to main content

Bij wie werkt de portforwarding wél op de door Odido geleverde T54 modem?
 

Zie mijn blog: https://sebastix.nl/blog/zyxel-dx5401-b1-odido-modem-poorten-open-zetten-werkt-niet/

Hi @Sebastix, welkom op onze Community!

Ik kan me heugen dat @yalerta hier zeer veel kennis van heeft. Wellicht kan hij hier een deskundige blik op werpen. 


Hoi @Sebastix,

Kun je een screenshot van je instellingen plaatsen? Zo kunnen we snel zien of hier misschien een foutje in zit. Heb je de regel ook aangezet (geel lampje)? Dat wordt nog wel eens over het hoofd gezien.


@TMTV

Het apparaat waarmee van buitenaf connectie gemaakt moet worden heeft een statisch IP adres gekregen in de Zyxel router / modem. Die configuratie mbt poorten staan goed (als ik deze namelijk op mijn andere modem met nog een werkende kpn internet verbinding werkt het).

Screenshots:

Als ik vervolgens met `nmap -Pn 22,80,443,3002 <ip_adres>` (vanaf een machine op een ander adres) controleer of de poorten openstaan:

De ingestelde poorten 22 (ingesteld bij port triggering), 443, 3002 (port forwards naar statisch ip) staan dicht (ik controleer 80 ook, maar die hoort dicht te staan volgens de modem config).  

Als ik bij extern beheer de checkbox bij WAN aanvink met poort 443:

dan staat poort 443 wel open als ik dit controleer met hetzelfde `nmap` commando.


@Sebastix Wat betreft poort 443: kun je die in het laatste scherm naar iets anders veranderen? Ook al staat de functie uit, ze kunnen elkaar toch in de weg zitten, heb ik hier vaker gelezen.

Heb je DSL of glasvezel? In het geval van DSL moet je in plaats van ETH_Internet voor VD_Internet kiezen.

In je screenshot van nmap zie ik ook poorten open staan die je niet geforward hebt. Hoe zit dat precies?


@SebastixDe poorten die wel open staan zijn redelijk verdacht. Heb je toevallig iets ingesteld on de de DMZ tab?

Ik begrijp ook niet helemaal wat je met die poorttriggering doet. Die is bedoeld om een poort forwarding te triggeren door een service uit jouw eigen netwerk naar buiten, zodat een extra poort van buiten naar binnen opengezet wordt. Ik vermoed dus dat die nu niets doet. In het voorbeeld dat daar gegeven wordt wordt als je een UITGAANDE verbinding maakt met een mail server wordt dan inkomend verkeer naar poort 113 (identification/Authorization service) met de vraag naar jouw identity info doorgestuurd naar de identity service op de inerne host die de mail verbinding initieerde. Een poort 22 request vanaf de WAN doet bij jou waarschijnlijk niets tenzij je een uitgaande  ssh sessie hebt, waarna inkomende sessies vanaf de WAN naar poort 22 op je host waarop je de ssh sessie hebt gestart. Als die een ssh deamon heeft zal op dat ogenblijk dus een inkomende sessie accepteren (en zelfs dat weet ik niet zeker omdat ik niet zeker weet of er ook een check wordt gedaan op het source IP-adres van de inkomende sessie).

 

En zoals @TMTV al schreef: verander de https poort van https management verkeer naar iets anders dan poort 443: de zyxel lijk niet overweg te kunnen met forwarding van poort 443 als die in het modem gebruikt wordt voor management van het modem. Ik vermoed dat dat te maken heeft met hairpin NAT

Oh, en dat als je https via WAN aanzet is het logisch dat de poort 443 dan wel open is: die komt dan uit in de router zelf….

 


Laten we mijn initiële vraag niet vergeten in dit topic:

Bij wie werkt de portforwarding wél op de door Odido geleverde T54 modem?

 

 

@TMTV

Als dit elkaar in de weg zit, dan is de modem voor mij geen optie. Er draaien namelijk bepaalde webservices achter de modem.

Gaat om een glasvezel aansluiting (zoals dat ook te lezen is in mijn blog).

Betreft de andere poorten die openstaan heb ik geen idee, dit moet door de modem / router zelf ingesteld zijn (in de firmware?). Diegene die verantwoordelijk is voor de firmware op deze router zal daar meer over weten.

 

@louisL

DMZ staat uit.

De ingestelde port triggering staat aan om te onderzoeken of dit misschien wel werkt naast de instellingen onder de portforwarding (conclusie: werkt niet). 

Als ik het poortnummer wijzig naar iets dan 443 bij extern beheer met WAN ingeschakeld, komt deze poort niet terug in de portscan met nmap. Alleen poort 443 lijkt hier te werken. 

 

Mijn conclusie is tot zover dat de firmware niet degelijk functioneert die is geleverd op deze modem. Enig idee hoe ik iemand kan spreken die hier technisch meer van weet?


Laten we mijn initiële vraag niet vergeten in dit topic:

Bij wie werkt de portforwarding wél op de door Odido geleverde T54 modem?

Bij ondergetekende (inclusief poort 443).

De T54 zet zelf geen poorten naar internet open, dus het is een onderzoekje waard om te kijken waar dit vandaan komt. Mogelijk heeft een apparaat via UPnP zelf poorten opengezet. Daarom zou ik die functie uitzetten. Zo houd je zelf controle over je netwerk.

Met poort 443 veranderen bedoel ik die op de pagina Extern beheer. Die heb je niet nodig begrijp ik, dus die kun je in iets willekeurigs veranderen zodat de poort vrij is voor je server.

Kun je de bereikbaarheid van je server testen met een externe verbinding (bijvoorbeeld 4G/5G) om een probleem met NAT-loopback uit te sluiten? Probeer 'm direct te bereiken en niet met een port scanner. Die zitten er ook wel eens naast. 

Nog 1 dubbelcheck: als je naar https://192.168.1.172 gaat, kun je de server wel bereiken?


@Sebastix : net even geprobeerd een port forwarding opgezet werkt correct.

 

Dit is wat  ik ingesteld heb. Werkt zoals verwacht: ssh wordt netjes doorgestuurd naar dat 192.168.1.132.

Het veranderen van poort 443 voor https veranderd alleen de poort waarop je T54 luistert en zorgt er voor dat je die gewoon kunt forwarden. Ook als je die poort probeert te forwarden terwijl de web interface  actief is zorgt voor problemen in de firewall van de router. Veranderen naar een willekeurige andere poort voorkomt dat probleem.

Ik snap nog steeds niet waar die poorten die je wel open ziet staan vandaan komen. Hangt je T54 wel direct aan de ONT?


Reageer