Firewall instellingen UDM Pro

[pvandersteen]

Goedendag,

Vorige week heb ik mijn Experiabox van KPN vervangen door een Draytek Vigor Modem en de Dream machine Pro. Alles lijkt te werken op 2 problemen na, de internetverbinding is niet stabiel, elke paar uur ligt deze er een paar minuten uit. Echter vervelender is dat de alarmcentrale geen doormeldingen meer krijgt.

Ik heb een centrale met een app van Advisor pro. De centrale krijgt geen verbinding met het internet, de alarmcentrale zelf kan het systeem thuis ook niet benaderen. Ik heb nagekeken welke poorten opengezet moeten worden, dat zijn de poorten 8981 en 32000.
Ik heb de portforwarding als volgt ingesteld:

Forward rule	Enable
Interface	WAN
From	Any
Port	8981,32000
Forward IP	192.168.2.14
Forward Port	8981,32000
Protocol	Both
Logging	Enable

UniFi OS
UDM Pro v3.1.12
Network 7.4.158

Iemand een idee hoe ik de poorten open kan zetten?
Als ik via https://www.whatismyip.com/port-scanner/ poorten controleer staat alles op 'closed', dat geldt ook voor poort 80, 8080 enz. Ik weet dus niet of deze poortscan betrouwbaar is.

 

[sander3ssen]

Je hebt nu een Draytek omdat je naar T_mobile over bent gegaan?
Staat de Draytek in bridge of DMZ naar de Dream Machine Pro?
De Draytek lijkt me de eerste horde die het verkeer van buitenaf moet nemen. Dus moet die bv. in DMZ staan zodat al het verkeer door mag naar de UDM Pro? In de UDM Pro staan dan je regels die de juiste poorten doorsturen.

 

[Eddie the Eagle]

De centrale krijgt geen verbinding met het internet, de alarmcentrale zelf kan het systeem thuis ook niet benaderen.

Toch zijn dit 2 verschillende problemen; voor het eerste (geen doormelding, dus geen internet) heb je helemaal geen port forward nodig. Ik zou eerst eens de instellingen in de centrale nakijken, bv of die wel een juist ip adres heeft of bv geen DNS kan vinden, dus mogelijk ook geen verbinding kan maken met de alarmcentrale. Het 2e probleem (geen toegang van buitenaf) kan een afgeleide zijn van het eerste probleem, maar kan ook aan de Draytek liggen. Ik zou me eerst concentreren op het eerste, dus de port forward even vergeten, die staat daar los van.

 

[pvandersteen]

Ik heb een VDSL verbinding van KPN, Glasvezel ligt tot aan de gevel, dat wordt eind van het jaar in huis aangesloten, dus tot die tijd VDSL, snelheid is niet slecht, rond de 120Mb/s.
De alarmcentrale in huis heeft een ip-adres toegekend gekregen 192.168.2.14, dus dat lijkt ok te zijn. Ik kan de instellingen ook niet zelf veranderen, dat moet via Spie (de installateur van de alarminstallatie). Communicatie verloopt via een cloudoplossing Ultrasync(?) waar ook een alarmcentrale op is aangesloten voor de opvolging van een alarm.
Als ik de Draytek en de UDM-pro loshaal en de experiabox aansluit werkt wel alles. (met hetzelfde ip-adres. )

De Draytek heb ik in bridge mode gezet, de ppoe-verbinding wordt opgezet door de UDM. Internet werkt verder goed (op het onregelmatig wegvallen na).
DNS heb ik 8.8.8.8. en 8.8.4.4 opgegeven (ook met de juiste van KPN geprobeerd)

Via het interne wifi heb ik ook geen toegang tot de centrale, dus de app die ik start op mijn telefoon verbindt ook niet via wifi met de centrale, maar dat verwacht ik ook aangezien het via een cloud gaat en niet direct naar de centrale via het ip-adres, ik ga dus altijd naar internet om dat de status te lezen en de centrale te bedienen.

 

[Eddie the Eagle]

Ok, maar als de communicatie naar je centrale via een cloud oplossing gaat, dan is een port forward niet meer nodig. Ik maak een directe App-verbinding met mijn centrale, voorheen via een port forward, tegenwoordig met een VPN-verbinding (buitenshuis), dat is veiliger en handiger. In huis gewoon direct op het LAN. De meldkamer heeft verder niets te zoeken op mijn centrale, die krijgen alleen een melding door en bellen dan. Wat in jouw geval blijft staan, is dus dat de centrale geen internet toegang heeft, ik denk nog steeds dat het los staat van een port forward. De poorten naar internet staan standaard open, dus in principe zou je centrale gewoon naar buiten moeten kunnen tenzij er iets ingebakken is waardoor dat niet lukt. Je andere apparaten hebben internet toegang, dus als de centrale dat niet heeft, zit het ergens daarin.

 

[pvandersteen]

Hoi Eddie, de cloudverbinding gebruikt een paar poorten welke niet standaard zijn 8981 en 32000.
Aanpassen van die instellingen kan ik niet in de alarmcentrale.
Andere apparaten hebben wel toegang, maar gebruiken die poorten weer niet.

Op het moment dat ik de experiabox aansluit werkt de centrale weer (maar dan kan ik mijn camera en deurbel weer niet gebruiken).

Mij lijkt de eerste stap de poorten open te zetten, maar hoe kan ik dat doen en controleren? In de eerste post heb ik mijn instellingen gezet.

 

[Hofstede]

Kan het zijn dat de gateway in het alarmsysteem verkeerd staat?

Hoe heb je het netwerk op de UDM Pro ingesteld?

Bij een ExperiaBox is het gateway adres standaard 192.168.2.254. Bij een UDM Pro 192.168.2.1 (als je tenminste het netwerk in de UDM Pro al op subnet 192.168.2.x hebt gezet).

Een screenshot van je netwerk settings voor de UDM Pro zou kunnen helpen.

 

[Eddie the Eagle]

Mij lijkt de eerste stap de poorten open te zetten, maar hoe kan ik dat doen en controleren? In de eerste post heb ik mijn instellingen gezet.

Dat heb je al gedaan door een port forward in te richten. Dit betekent dat van buitenaf een nieuwe verbinding mag worden opgezet via de genoemde poorten die dan uitkomt bij dat interne IP adres.

Zoals @Hofstede al aangeeft (en ik eerder ook) zit er waarschijnlijk een setting fout in je alarmcentrale, bv die gateway.

 

[pvandersteen]

Net met de installateur bekeken. Het paneel/alarminstallatie krijgt dynamisch een ip-adres, dus de verbinding naar de router/udm-pro wordt wel opgezet en een ip-adres wordt toegewezen.

Probleem lijkt te liggen bij de beide poorten 8981 en 32000, deze worden niet uitgestuurd vanuit de uDm-pro.
Inheb de internet, netwerk en firewall instellingen hieronder gekopieerd.

 

[Hofstede]

Wat je laat zien zijn firewall regels, geen port forwards.
Die firewall regels moet je verwijderen want die worden vanzelf aangemaakt als je port forwards aanmaakt.

Port forwarding stel je in onder Settings -> Firewall and security -> Port forwarding -> Create entry.

Dat ziet er als volgt uit:

 

[pvandersteen]

OK, alle Firewall regels welke ik zelf heb aangemaakt heb ik verwijderd. Port Forward is aangemaakt.

Dank vooral hulp tot nu toe, ik ben er echter nog niet.
Ik krijg nog geen verbinding met de centrale. Zoals ik het heb begrepen van de installateur, zendt het alarmsysteem een bericht via poort 8981 of 32000 naar een cloudservice, daarop komt een bericht terug naar het systeem. Dat laatste bericht wordt niet ontvangen, Spie (de installateur) kan ook niet op afstand inloggen op het systeem. Ik heb samen met de monteur de oude modem teruggezet, dan heeft de monteur (van Spie) wel toegang en ziet dat het systeem automatische DHCP aan heeft staan.

Als ik een controle doe op open poorten, zie ik het volgende:

 

[Eddie the Eagle]

Ik zie dat je bij 'forward port' ook 2 waardes hebt ingevuld. Ik vraag me af of dat kan; je kunt wel meerdere WAN poorten naar dezelfde LAN poort forwarden maar multiple naar multiple vraag ik me af.

 

[Hofstede]

Dat mag. Maar het IP adres is nu opeens 192.168.2.9 in plaats van 192.168.2.14?

 

[pvandersteen]

klopt, zag dat het ip-adres was gewijzigda een herstart van alles, ik zal een vast ip-adres toekennen.
inmiddels 2 aparte regels voor de poorten aangemaakt, elk met een poortnummer, nog geen verandering.

 

[pvandersteen]

Probleem is opgelost.
Ik zag het IPadres van het alarmsysteem niet in het overzicht "Client devices" in de UDM, wel in de app lanscan op mijn computer. Het alarmsysteem was aangesloten op een kleine switch van het merk Eminent, in de buurt hangt ook een Unifi Access point pro. Als ik het alarmsysteem op de secondary poort van het accesspoint aansluit werkt het alarm wel. Apart, maar is opgelost. Overigens werken de andere apparaten via de (unmanaged) switch wel.

Hartelijk dank voor het meedenken!!

 

[Eddie the Eagle]

Even uit nieuwsgierigheid.......werkt het nu ook zonder die port forward regels ? Zo ja, dan zou ik die weglaten.

 

[pvandersteen]

Verwijderd en blijft werken. Dank! Enige probleem wat ik nog heb zijn regelmatige verbindingsproblemen. Aan uitzetten van de draytek modem lijkt de enige oplossing te zijn.

 

[rkooyman]

Ik had ook het probleem met een draytec.
Die staat nu op Full Bridge mode. En alle gegevens vul ik in op de UDM.
Dus gebruikersnaam, wachtwoord en VLAN tag.
Sinds geen internet uitval meer.

https://files.callvoip.nl/downloads/Callvoip_handleiding_Draytek-Transparant_Bridged-instellen.pdf

 

[pvandersteen]

Die instellingen had ik ook. Inmiddels is een monteur van kpn hier geweest. Er lijkt een compatibiliteitsprobleem tussen de kpn-centrale en de draytek te zijn. de draytek is vervangen door een experiabox welke de udm in de dmz heeft. Volgens de monteur worden de centrales aangepast en geupgrade waardoor alleen firmware en instellingen door kpn gebruikt moeten worden. Ik betreep er weinig van, alleen dat er een controle laats vindt en door kpn geleverde modems gebruikt moeten worden.

 

[puppie]

KPN kan jou niet verplichten om het geleverde modem van kpn te gebruiken.
Jij hebt zelf de vrijheid om een router te kiezen welke jij wilt gebruiken.
Er kan een probleem zijn bij een upgrade van jouw pakket dat het weer aangesloten moet worden net zoals ziggo dat doet.
Maar dat is voor latere zorg.