Poort forwarding werkt niet

J

jdigital

UniFier
26 jul 2024
8
0
1
Hallo,

Ik kijk al een tijdje graag rond hier op het forum om oplossingen op issues te vinden. Meestal staat er wel wat handigs tussen maar over dit specifieke probleem kan ik helaas geen oplossing vinden.

Mijn situatie:
Ik heb een Cloud Gateway Ultra aangeschaft.
Daarnaast heb ik een Ziggo verbinding en de smartwifi modem in bridge mode laten zetten. De Cloud Gateway Ultra heeft dus het publieke IP als WAN.

Ik heb een VLAN aangemaakt die op dit moment gewoon alle default verbinding tussen het default netwerk toestaat. Geen trucjes met uitsluitingen dus nog. Een nieuwe VLAN staat tagged op poort 4 van de Cloud Gateway Ultra.

Ik heb een alarm aangeschaft bij een installatiebedrijf. Zij hebben hun apparatuur op poort 4 geprikt met een switch zodat die allemaal in het VLAN komen. De devices hiervan heb ik fixed gemaakt in de gateway.

Nu het probleem:
Voor de alarm recorder heeft het installatiebedrijf gevraagd poort 85, 554, 8001, 8585 en 443 open te zetten naar het ip nummer van de recorder. Ik heb dus port forwards toegevoegd via Security > Port Forwarding (zie afbeelding, uit veiligheidsoverweging heb ik de ip addressen gefotoshopt naar alles eindigend op .180, dit is dus fictief)

Maar als het bedrijf nu probeert te verbinden lukt het niet. En als ik een port check doe krijg ik een closed of een timeout.

Hebben jullie nog een idee? Moet ik misschien toch nog Ziggo verdenken dat ze het e.e.a. blokkeren zelfs in bridge mode?

Mijn dank is alvast groot, hopelijk kan iemand mij helpen!
 

Bijlagen

  • Screenshot 2024-07-26 at 10.19.57.png
    Screenshot 2024-07-26 at 10.19.57.png
    56,5 KB · Weergaven: 18
Hier Ziggo ook in Bridge en dat werkt gewoon. Dat zou het probleem niet moeten zijn dus.

Welk protocol gebruik je? TCP? UDP? of Beide?
Je kan trouwens in 1 forward regel alle poorten zetten.
 
dbw zei:
Hier Ziggo ook in Bridge en dat werkt gewoon. Dat zou het probleem niet moeten zijn dus.

Welk protocol gebruik je? TCP? UDP? of Beide?
Je kan trouwens in 1 forward regel alle poorten zetten.
Klik om te vergroten...
Ik heb geprobeerd met beide en enkel TCP.
Ik heb eerder alle poorten in 1 regel gezet maar op een gegeven moment probeer je wat en ga je ze opsplitsen..
Voor het overzicht kan ik ze wel weer in 1 zetten, net zo makkelijk.
 
Uit voorzorg tijdelijk "Intrusion Detection and Prevention" op OFF gezet en een restart. Heeft nog niet geholpen.
 
jdigital zei:
Nu het probleem:
Voor de alarm recorder heeft het installatiebedrijf gevraagd poort 85, 554, 8001, 8585 en 443 open te zetten naar het ip nummer van de recorder. Ik heb dus port forwards toegevoegd via Security > Port Forwarding (zie afbeelding, uit veiligheidsoverweging heb ik de ip addressen gefotoshopt naar alles eindigend op .180, dit is dus fictief)
Klik om te vergroten...
Voor de goede orde: ik neem aan dat het werkelijke adres waar je naar forward wel een intern private adres is?

Ter geruststelling: adressen uit de private range zijn per definitie veilig te publiceren; het is de port-forward die het potentieel onveilig maakt; daarmee hang je er immers een publiek adres aan. Zonder al bij jou binnen te zijn kan niemand iets met die adressen.

Kun je intern vanaf een ander netwerk wel bij die kennelijk openstaande poorten komen?
 
Davey400 zei:
Voor de goede orde: ik neem aan dat het werkelijke adres waar je naar forward wel een intern private adres is?

Ter geruststelling: adressen uit de private range zijn per definitie veilig te publiceren; het is de port-forward die het potentieel onveilig maakt; daarmee hang je er immers een publiek adres aan. Zonder al bij jou binnen te zijn kan niemand iets met die adressen.

Kun je intern vanaf een ander netwerk wel bij die kennelijk openstaande poorten komen?
Klik om te vergroten...
Ja klopt, het werkelijk adres is gewoon intern.

Ik doe liever niet aan port forwarding hiervoor, maar helaas bieden ze niet anders en is de applicatie op de recorder zelf nog beveiligd geven ze aan.

Intern krijg ik gewoon response en staan de poorten open. Dat is inderdaad het probleem niet.
 
Heb je een screenshot van de security reges Firewall en dan specifiek Ïnternet in
Staat het default VLAN ook tagged op poort 4 van de ultra?
is de 192.168.xxx.xxx reeks uniek voor je VLAN?
Ik vindt er overigens wel wat van dat het alarm bedrijf poort 443 gemapt wil hebben. "je kan nu zelf dus niets meer op 443 draaien. Beter als zij met 4443 binnenkomen en jij mapt naar 443 op de NVR.
 
jdigital zei:
Ik heb een alarm aangeschaft bij een installatiebedrijf. Zij hebben hun apparatuur op poort 4 geprikt met een switch zodat die allemaal in het VLAN komen. De devices hiervan heb ik fixed gemaakt in de gateway.
Klik om te vergroten...
Is dit ‘een switch’ of ‘een UniFi switch’?

Kan het zijn dat de VLAN tagging in de weg zit?
Heb je al eens geprobeerd wat er gebeurt als je één van de devices waar je naar wilt forwarden rechtstreeks op de CGU aansluit?

(Port 554 aan de buitenkant publiceren vind ik overigens een opmerkelijke voor beveiligingshardware…)
 
  • Leuk
Waarderingen: S1KRR
En je geeft trouwens aan de je het VLAN op poort 4 tagged hebt aangemaakt.
Heb je al eens geprobeerd om het gewoon untagged te doen?
Er komt immers alleen hardware achter die alleen op dat VLAN mag opereren.
Dat voorkomt meteen dat hardware die er achter hangt die niet goed omgaat met VLAN’s hier last van heeft.
 
S1KRR zei:
Heb je een screenshot van de security reges Firewall en dan specifiek Ïnternet in
Staat het default VLAN ook tagged op poort 4 van de ultra?
is de 192.168.xxx.xxx reeks uniek voor je VLAN?
Ik vindt er overigens wel wat van dat het alarm bedrijf poort 443 gemapt wil hebben. "je kan nu zelf dus niets meer op 443 draaien. Beter als zij met 4443 binnenkomen en jij mapt naar 443 op de NVR.
Klik om te vergroten...
Goed punt, kan ik ze vertellen.

Ik heb een reset gedaan en weer alleen de port forwards toegevoegd.
In de afbeeldingen de firewall regels Internet In (en local) dus enkel de default regels.
En een afbeelding van de VLAN tagging.

EDIT: nu ik naar mijn afbeelding kijk; heb ik het gewoon verkeerd om gedaan?

1721994367381.png
1721994201314.png
 
Laatst bewerkt:
Davey400 zei:
Is dit ‘een switch’ of ‘een UniFi switch’?

Kan het zijn dat de VLAN tagging in de weg zit?
Heb je al eens geprobeerd wat er gebeurt als je één van de devices waar je naar wilt forwarden rechtstreeks op de CGU aansluit?

(Port 554 aan de buitenkant publiceren vind ik overigens een opmerkelijke voor beveiligingshardware…)
Klik om te vergroten...

Switch, geen unifi.
Ik zal het taggen eens uit zetten, wellicht dat het helpt inderdaad wat je zegt.
 
Davey400 zei:
Is dit ‘een switch’ of ‘een UniFi switch’?

Kan het zijn dat de VLAN tagging in de weg zit?
Heb je al eens geprobeerd wat er gebeurt als je één van de devices waar je naar wilt forwarden rechtstreeks op de CGU aansluit?

(Port 554 aan de buitenkant publiceren vind ik overigens een opmerkelijke voor beveiligingshardware…)
Klik om te vergroten...

Switch is een Netgear ProSafe GS108PE
 
Ik heb nog geen directe toegang tot de recorder. Welke tools gebruiken jullie het beste of externe poorten open zijn?
 
Even snel voor individuele poorten vanaf een Windows device gebruik ik Test-netconnection.
(Kan ook vanaf andere os-en als Powershell geïnstalleerd is.)

Details.
 
jdigital zei:
Hallo,

Ik kijk al een tijdje graag rond hier op het forum om oplossingen op issues te vinden. Meestal staat er wel wat handigs tussen maar over dit specifieke probleem kan ik helaas geen oplossing vinden.

Mijn situatie:
Ik heb een Cloud Gateway Ultra aangeschaft.
Daarnaast heb ik een Ziggo verbinding en de smartwifi modem in bridge mode laten zetten. De Cloud Gateway Ultra heeft dus het publieke IP als WAN.

Ik heb een VLAN aangemaakt die op dit moment gewoon alle default verbinding tussen het default netwerk toestaat. Geen trucjes met uitsluitingen dus nog. Een nieuwe VLAN staat tagged op poort 4 van de Cloud Gateway Ultra.

Ik heb een alarm aangeschaft bij een installatiebedrijf. Zij hebben hun apparatuur op poort 4 geprikt met een switch zodat die allemaal in het VLAN komen. De devices hiervan heb ik fixed gemaakt in de gateway.

Nu het probleem:
Voor de alarm recorder heeft het installatiebedrijf gevraagd poort 85, 554, 8001, 8585 en 443 open te zetten naar het ip nummer van de recorder. Ik heb dus port forwards toegevoegd via Security > Port Forwarding (zie afbeelding, uit veiligheidsoverweging heb ik de ip addressen gefotoshopt naar alles eindigend op .180, dit is dus fictief)

Maar als het bedrijf nu probeert te verbinden lukt het niet. En als ik een port check doe krijg ik een closed of een timeout.

Hebben jullie nog een idee? Moet ik misschien toch nog Ziggo verdenken dat ze het e.e.a. blokkeren zelfs in bridge mode?

Mijn dank is alvast groot, hopelijk kan iemand mij helpen!
Klik om te vergroten...
Geweldig hé, een beveiliging bedrijf wat je vraagt om gaten te schieten in jouw beveiliging laag. Ik weet dat het gebruikelijk is maar ik probeer het altijd te voorkomen.
Stel minimaal in welk ip adres erdoor gelaten mag worden, en blokkeer de rest 😉
 
Activiteit
Er wordt op dit moment (nog) geen nieuwe reactie gepost.
  Topic Status: Hallo . Er is al meer dan 14 dagen geen nieuwe reactie meer geplaatst.
  De inhoud is mogelijk niet langer relevant.
  Misschien is het beter om in plaats daarvan een nieuw onderwerp te starten..

Vergelijkbare onderwerpen

Eddie the Eagle
Upgrade thuisnetwerk met USG - Cloudkey Gen2 - Switch 8/150/PoE
Reacties
44
Weergaven
8K
Routers
Eddie the Eagle
Eddie the Eagle
Bovenaan Onderaan
Terug