WAN to LAN acces

[Janosik]

Hallo iedereen,

Even vooraf: ik woon momenteel in Slowakije, maar ben wel van Vlaamse afkomst.
Het probleem dat ik wil voorleggen is misschien wel 'land-gebonden', maar mijn Slowaaks is eerder beperkt.
Daarom wil ik graag ook even jullie mening horen...
OK... hier gaat ie

Ik heb een LAN met een aantal apparaten aangesloten.
Één daarvan is een desktop die dienst doet als web-server (WAMP op poort 80).
Een ander is een microcontroller (ESP32 op poort 82) met wat domotica-stuff.
Beide kon ik van eender waar op het internet bereiken, tot...

Vorige maand veranderde ik mijn ISP van T-com(SK) naar Orange(SK).
Tevens verving ik mijn TP-Link router met een ZyXEL router (aangeboden door Orange).
Resultaat: zowel WAMP als ESP zijn nog enkel bereikbaar vanuit het LAN!!!
Voor zover ik weet heb ik de nieuwe router hetzelfde geconfigureerd als de oude:
in NAT-sectie een port-forward naar overeenkomend LAN-IP.

Dus heb ik contact opgenomen met Orange voor hulp...
Eerst wilden ze mij een 'static IP-adres' aansmeren, wat ik niet wilde.
Dan hadden ze het over iets als 'opheffen van de blokkering' (???).
In beide gevallen zou ik een éénmalige vergoeding plus een maandelijks bedrag moeten betalen.

Nu mijn vragen...

Weet iemand of ik misschien iets in mijn router-configuratie kan aanpassen om dit probleem op te lossen?

En ook:
Wordt 'WAN-to-LAN-acces' niet beschouwd als één van de basis-functies van een router?
Ik bedoel: voor mij voelt het (de voorstellen van Orange) een beetje als 'Koop een nieuwe TV, maar betaal maandelijks voor gebruik van de afstandsbediening'...

Vriendelijke groet, en dank voor uw aandacht.
Janosik.

[Ordon]

Vooreerst: welkom op dit forum!

Allicht blokkeren ze alle poorten onder de 1024 waaronder uw poort 80 en 82.
Oplossing: een poort boven de 1023 nemen.
Ik zeg maar iets: 9050 en 9052 binnenkomend (aan de ISP zijde).
Afhankelijk van de mogelijkheden van router laat je het verkeer toekomen op poort 80 en 82 van de betreffende toestellen.
(Dus WAN 9050 <==> LAN 80 en WAN 9052 <==> LAN 82).
Kan jouw router deze omslag niet maken: dan laat je jouw WAMP en ESP luisteren op poorten 9050 en 9052.
(Dus WAN 9050 <==> LAN 9050 [WAMP server] en WAN 9052 <==> LAN 9052 [ESP]).

Configureer een gratis DDNS service (bijvoorbeeld changeip) en gaan met die banaan!

PS
Het maximale poortnummer is 64k (=65535).

[Sinna]

@TS: Welk IP-adres krijg je op de WAN-interface? Als je provider CG-NAT toepast, dan zal het verhuizen van poorten ook niets uithalen.
Bij Proximus is het zo dat poort 80 en 443 standaard dicht staan en je achter CG-NAT zit, tenzij je aangeeft dat je netwerk van buitenaf bereikbaar moet zijn.

[ITnetadmin]

We moeten idd eerst dit weten:
wat is het externe IP dat de router krijgt?
Aan de hand daarvan kunnen we zien of dat om een extern ip gaat, of dat je achter een cgnat zit.
Is het dat laatste, dan ben je ge****.
Krijg je wel een publiek ip, dan zullen ze wss bepaalde poorten blokkeren.
Meestal zijn dat dan de poorten <1024.
Maar eerst dus dat wan ip kennen (voor de duidelijkheid: het wan ip dat je *router* heeft; via een site testen heeft geen zin, want in geval van cgnat ziet die het wan ip van de cgnat, niet dat van je router).

[mailracer]

En ook:
Wordt 'WAN-to-LAN-acces' niet beschouwd als één van de basis-functies van een router?

Helaas niet, tenzij je business klant wordt, wat ze jouw dus willen aansmeren.

Zelf los ik dit op met een VPN verbinding vanuit het WWW naar mijn router. Maar ook dat is niet altijd mogelijk door de CGNAT en dergelijke trukjes die ze toepassen om ip-adressen te beperken.....,
ik vraag me ook af of dit met ipv6 dergelijke problemen met zich meebrengt ?

2 vragen voor de TS:
- Waarom kon je de oude router niet blijven gebruiken ?
- Zijn beide abbonementen VDSL techniek ?

[philippe_d]

Wordt 'WAN-to-LAN-acces' niet beschouwd als één van de basis-functies van een router?

Helaas niet, tenzij je business klant wordt, wat ze jouw dus willen aansmeren.

Wat heeft de klantrelatie te maken met je router?

'WAN-to-LAN-acces' is natuurlijk wel één van de basis-functies van een router

[mailracer]

'WAN-to-LAN-acces' is natuurlijk wel één van de basis-functies van een router

Volgens mij ook. Maar volgens de meeste providers is enkel internettoegang voldoende. Aan alle extras willen ze munt slaan.
Om niet te hervallen tot een alles in een VS modem only discussie. Maar ik heb sinds kort een e.router van Telenet en daar is de router zeer summier in te stellen tov een eigen router. Vandaar mijn repliek.

[philippe_d]

Nu mijn vragen...
Weet iemand of ik misschien iets in mijn router-configuratie kan aanpassen om dit probleem op te lossen?

Ik denk toch dat we een beetje meer info nodig hebben
- Heb je een DSL verbinding?
- is dit de modem/router van je provider
- Welk type?
- Heb je IPv6?
- Wat is het "WAN" adres dat je kan vinden in je router
- Heb je een dyndns account, of hoe (op welk adres) tracht je jouw servers te bereiken van buitenaf?

Wordt 'WAN-to-LAN-acces' niet beschouwd als één van de basis-functies van een router?
Ik bedoel: voor mij voelt het (de voorstellen van Orange) een beetje als 'Koop een nieuwe TV, maar betaal maandelijks voor gebruik van de afstandsbediening'....

Ja dat is een basis-functie van een router (port forwarding), maar jouw probleem is heel waarschijnlijk niet aan de router instellingen te wijten

@TS: Welk IP-adres krijg je op de WAN-interface? Als je provider CG-NAT toepast, dan zal het verhuizen van poorten ook niets uithalen.
Bij Proximus is het zo dat poort 80 en 443 standaard dicht staan en je achter CG-NAT zit, tenzij je aangeeft dat je netwerk van buitenaf bereikbaar moet zijn.

In België heb je bijna altijd Dual Stack: Jouw router krijgt een IPv6 adres (range), en een IPv4 adres.
In sommige gevallen is dit geen publiek IPv4 adres, maar CGNAT (100.64.0.0/10)

In het buitenland wordt veelal gebruik gemaakt van DS-Lite.
Je krijgt helemaal geen IPv4 adres meer: de IPv4 connectiviteit wordt verzekerd door een IPv4-in-IPv6 tunnel (bij DS-Lite verpakt de router alle gegevens van IPv4-toepassingen in IPv6-paketten en stuurt deze naar de internetprovider via de IPv6-verbinding).
Dergelijke aansluitingen zijn natuurlijk niet meer via IPv4 van buitenaf bereikbaar .

Vandaar de vraag aan de TS:
- krijgen jouw apparaten (WAMP:80 en ESP32:82) een IPv6 adres?
- misschien kan je die via IPv6 van buitenaf bereiken?

[Janosik]

Eerst en vooral: bedankt voor alle reacties.
Leuk, zo'n forum met actieve en deskundige leden!

Ik ga nu een antwoord formuleren op alle vragen die mij gesteld werden.
Dat gaat wel wat tijd in beslag nemen, dus even geduld aub

[Janosik]

Laat mij beginnen met een paar screenshots van mijn router-config.
Die zullen al heel wat antwoorden geven.
--> KLIK <--

En verder:
@Ordon
- Poorten boven 1023 geprobeerd. Werkt ook niet.
- Als alles terug werkt, wil ik weer gebruik maken van DDNS noip.com

@Sinna
@ITnetadmin
- zie screenshots
Het valt me op dat er bij 'WAN information' geen IPv4 staat; enkel een IPv6.

@mailracer
Met de oude router lukt het niet om internet aansluiting te krijgen, ook niet met hulp van de ISP.
Waarom werkt het niet? Ik heb geen idee, en zij blijkbaar ook niet.
Hun oplossing: HUUR maar een andere router bij ons.

@ philippe_d

... knip ...
- Heb je een dyndns account, of hoe (op welk adres) tracht je jouw servers te bereiken van buitenaf?
... knip ...
- krijgen jouw apparaten (WAMP:80 en ESP32:82) een IPv6 adres?
- misschien kan je die via IPv6 van buitenaf bereiken?

-In eerste instantie typte ik gewoon het IPv4 adres en poortnummer in een webbrowser. Toen dat allemaal werkte heb ik een account aangemaakt op de gratis DDNS noip.com
- Hoe moet ik apparaten bereiken met IPv6? Gewoon in een webbrowser intypen werkt blijkbaar niet...

[ITnetadmin]

@ITnetadmin
- zie screenshots
Het valt me op dat er bij 'WAN information' geen IPv4 staat; enkel een IPv6.

*Dat* valt mij dus ook op.

[philippe_d]

Zoals ik in mijn vorige post al schreef: je hebt een DS-Lite aansluiting.
Hierbij is de verbinding met jouw ISP exclusief over IPv6. In zo'n opstelling krijgt jouw router geen IPv4 adres: alle IPv4 paketten gaan door een IPv4-in-IPv6 tunnel.
Dus normaal dat er bij 'WAN information' geen IPv4 staat. Wat je wel ziet is een AFTR. Dat is de router bij de ISP die de IPv4 paketten "ontkapselt" en voor NAT zorgt.

De oplossing voor jouw probleem?
- jouw ISP vragen om DS-Lite uit te zetten en terug naar IPv4 te gaan (extra kost?).
- jouw toestellen via IPv6 benaderen.
Je zal hiervoor in jouw router de nodige poorten moeten openen (IPv6 port forwarding).
Dat werkt natuurlijk alleen voor de toestellen op je LAN die IPv6 ondersteunen (ESP32 niet, WAMP wel).

Edit.
Ik zag in jouw screenshot een tab "PCP" op het scherm "NAT".
In tegenstelling tot CGNAT is er bij DS-Lite géén dubbele NAT. Er is namelijk geen NAT op jouw router, de NAT wordt gedaan op de AFTR bij jouw ISP.
Indien jouw ISP "PCP" (Port Control Protocol) ondersteunt, kan jouw router portforwarding configureren op de NAT server bij de internetprovider.

Kan je eens een screenshot plaatsen wat er achter die PCP tab zit?

[Janosik]

Ik heb de screenshot van de PCP-pagina onderaan toegevoegd.
--> KLIK <--

EDIT:
Ik heb wat testjes gedaan met die PCP, en... het werkt... Nu ja, toch gedeeltelijk.
De WAMP-server is nu bereikbaar, de ESP nog niet.

Nog een probleem:
Het 'External IPv4 address' wordt door de router automatisch ingevuld, en ook aangepast na herstarten van de router.
Maar: de 'Assigned public port' (die ik achter het IP-adres in de browser moet typen) verandert ook telkens weer. En die kan ik enkel achterhalen door op die PCP-pagina te gaan kijken, wat uiteraard niet kan als ik niet thuis ben...

EDIT2:
En nog een probleem:
Het 'External IPv4 address' dat door de router wordt toegekent, is blijkbaar niet hetzelfde dat gezien wordt door bvb 'whatsmyip.org'.
Ook de DDNS die ik wil gebruiken (noip.com) ziet een ander IPv4 voor mijn router dan wat er op de PCP-pagina staat.

EDIT 3:
Ook WAMP werkt toch niet echt...
Ik kan hem wel bereiken met het 'External IPv4 address', maar enkel op het LAN.
Als ik het probeer op mijn telefoon via 4G, dan werkt het niet!

[philippe_d]

Ik heb wat testjes gedaan met die PCP, en... het werkt... Nu ja, toch gedeeltelijk.
De WAMP-server is nu bereikbaar, de ESP nog niet.

Goed bezig...
Jouw Slowaakse provider is mee met zijn tijd. In Duitsland wordt PCP pas geleidelijk uitgerold gedurende 2012.
Hier in België hebben we (nog) geen ervaring met DS-Lite en PCP. We leren ook bij .

Nog een probleem:
Het 'External IPv4 address' wordt door de router automatisch ingevuld, en ook aangepast na herstarten van de router.
Maar: de 'Assigned public port' (die ik achter het IP-adres in de browser moet typen) verandert ook telkens weer. En die kan ik enkel achterhalen door op die PCP-pagina te gaan kijken, wat uiteraard niet kan als ik niet thuis ben...

In tegenstelling tot CGNAT kan de ISP duizende PCP clients bedienen met één publiek IPv4 adres.
Er wordt dus door de clients "gevochten" voor populaire poortnummers.

Als je zelf willekeurige poortnummers kiest (5-cijferig) heb je wellicht geluk dat de gewenste poort behouden blijft?

EDIT2:
En nog een probleem:
Het 'External IPv4 address' dat door de router wordt toegekent, is blijkbaar niet hetzelfde dat gezien wordt door bvb 'whatsmyip.org'.
Ook de DDNS die ik wil gebruiken (noip.com) ziet een ander IPv4 voor mijn router dan wat er op de PCP-pagina staat.!

Dat is minder leuk. Blijkbaar wordt er bovenop DS-Lite toch nog CGNat toegepast?

Kan je eens de screenshot aanvullen met een ingevuld PCP scherm (WAMP, ESP)?

[Janosik]

Ingevulde sreenshot geplaatst.
--> KLIK <--
Heb je ook nog de 'EDIT3' in mijn vorig bericht gezien?

[ITnetadmin]

In tegenstelling tot CGNAT kan de ISP duizende PCP clients bedienen met één publiek IPv4 adres.
Er wordt dus door de clients "gevochten" voor populaire poortnummers.
Als je zelf willekeurige poortnummers kiest (5-cijferig) heb je wellicht geluk dat de gewenste poort behouden blijft?

De klassieke CGNAT waar je naar refereert kan ook PCP aan, maar veel providers implementeren dat niet graag omdat ze liever hebben dat user niet aan hun configs kunnen.
En uiteindelijk blijft het ellende, want pcp betekent vechten tussen users om makkelijke poorten vast te krijgen.

[philippe_d]

Ingevulde sreenshot geplaatst.
--> KLIK <--

Interessant.
Ik denk dat je het volgende nog eens kan proberen:

• bij required external port een willekeurig (groot) poortnummer ingeven (max 65535), bijvoorbeeld 65080 en 65082 ...
• de optie "allow PCP port proposal" uitvinken (hiermee geef je toestemming aan de ISP om jou een willekeurige port toe te kennen)
  Met de optie uitgevinkt is er misschien kans dat je het gevraagde poortnummer krijgt en behoudt?
• Misschien best ook de IPv4 port forwarding rules wissen: gezien je op jouw router geen NAT doet, heeft portforwarding ook geen zin (vervangen door PCP).

Heb je ook nog de 'EDIT3' in mijn vorig bericht gezien?

Dit IP is in een publiek IPv4 adres uit de Orange Slovakia (classless) IP range 178.143.0.0/16
Het zou dus in principe van buitenaf bereikbaar moeten zijn, maar blijkbaar krijg je alleen toegang van binnen Orange.sk?
PCP is ook niet de oplossing voor alle IPv4 connectivity problemen .

[Janosik]

Ik denk dat je het volgende nog eens kan proberen:

• bij required external port een willekeurig (groot) poortnummer ingeven (max 65535), bijvoorbeeld 65080 en 65082 ...
• de optie "allow PCP port proposal" uitvinken (hiermee geef je toestemming aan de ISP om jou een willekeurige port toe te kennen)
  Met de optie uitgevinkt is er misschien kans dat je het gevraagde poortnummer krijgt en behoudt?
• Misschien best ook de IPv4 port forwarding rules wissen: gezien je op jouw router geen NAT doet, heeft portforwarding ook geen zin (vervangen door PCP).

Alles geprobeerd, in alle mogelijke combinaties die ik me kon bedenken, en met een hele reeks (hoge én middel) IP's, maar niets werkt.
Screenshot toegevoegd:
--> KLIK <--

Ik ga Orange nog eens contacteren met jouw voorstel om DS-lite uit te schakelen, maar ik vrees er een beetje voor...

[philippe_d]

Alles geprobeerd, in alle mogelijke combinaties die ik me kon bedenken, en met een hele reeks (hoge én middel) IP's, maar niets werkt.
Screenshot toegevoegd:

Uit de screenshot blijkt dat het uitvinken van de optie "allow PCP port proposal" geen goed idee was.
Want dan wordt de forward rule door jouw ISP niet geaccepteerd.

En wat gebeurt er als je zelf een poortnummer kiest (zoals 59180 in jouw voorbeeld). Krijg je die poort dan? Of krijg je terug een "random" poort toegewezen (met "allow PCP port proposal" aangevinkt)?
De bedoeling van PCP is dat zo'n poort langdurig openblijft (vermijden van veelvuldige keep-alive packets), met andere woorden: het poortnummer zou eigenlijk niet frequent mogen veranderen. Zolang het poortnummer niet wijzigt, zou je via deze poort toegang moeten krijgen.

Misschien is PCP nog niet echt ondersteund bij jouw ISP? het toegekend IPv4 adres schijnt toch van buitenaf niet bereikbaar te zijn

[Janosik]

IK GELOOF MIJN EIGEN OGEN NIET!!!!!
Na een paar telefoontjes en mailtjes van en naar Orange (waar zowel zij als ik steeds hetzelfde bleven herhalen), kreeg ik een mail met een 'tevredenheidsonderzoek'.
Ik heb daar onderstaand antwoord op gegeven:

Your operators were friendly and helpful.
However, the solution offered is completely inadequate, even after several contacts.
For this reason, I will cancel my contract with Orange as soon as possible, even if this means that I have to pay the cancellation costs.

Nu wou ik net wat gaan testen om antwoord te kunnen geven op de vraag van philippe_d, en.....
IT'S ALIVE !!!
Ja hoor... plots werkt alles perfect!
De klassieke port-forwarding via NAT werkt nog steeds niet, maar met 2 regeltjes in de PCP-pagina kan ik nu zowel mijn WAMP als ESP van overal bereiken.

[philippe_d]

IK GELOOF MIJN EIGEN OGEN NIET!!!!!
...
Ja hoor... plots werkt alles perfect!
De klassieke port-forwarding via NAT werkt nog steeds niet, maar met 2 regeltjes in de PCP-pagina kan ik nu zowel mijn WAMP als ESP van overal bereiken.

Soms mag je niet te vlug opgeven, of wat geduld hebben.
Blij dat we jou op weg hebben kunnen helpen!
En wij hebben ook weer iets bijgeleerd (DS-Lite, PCP, ...)

Hoe is het dan uiteindelijk in orde gekomen?
Heb je poorten toegewezen gekregen, of zelf kunnen kiezen?
Is het toegewezen IP nu ook via 4G bereikbaar?

[Janosik]

Hoe is het dan uiteindelijk in orde gekomen?
Heb je poorten toegewezen gekregen, of zelf kunnen kiezen?

Ik heb er echt geen idee van!
Ik heb alles nog eens hetzelfde gedaan zoals voordien.
Zie de nieuwe screenshot:
--> KLIK <--
Zowel het 'External IPv4 adress' als de 'assigned public port' worden automatisch toegekend, en veranderen ook telkens ik de router herstart.
Dat IP adres is niet zo erg; dat heb ik al terug opgelost met een DynDNS. Maar die poort... dat lijkt me een probleem!
Ik heb trouwens gezien dat mijn router-config een tab 'DNS Entry' en een tab 'Dynamic DNS' bevat.
Ik ga die nu eens onderzoeken, en misschien start ik ook daar weer een nieuw draadje over.

Is het toegewezen IP nu ook via 4G bereikbaar?

Met de gegevens van de laatste screenshot moet ook jij in staat zijn om de testpagina's van zowel mijn WAMP als ESP te zien
(zolang ik de poorten niet aanpas natuurlijk)

[philippe_d]

Inderdaad, ook van hieruit bereikbaar
(hopelijk heb ik het licht niet uitgedaan bij jou ...)

[Janosik]

Inderdaad, ook van hieruit bereikbaar
(hopelijk heb ik het licht niet uitgedaan bij jou ...)

Nee
't Is hier voorlopig nog een testopstelling met enkel een paar LEDjes aan mijn ESP

Toch nog even een vraagje: enig idee hoe ik het probleem van de veranderende poorten kan oplossen?

[philippe_d]

Nee. Wel verveld dat je telkens nieuwe poorten toegewezen krijgt als je de router herstart (en wellicht ook een nieuw IPv4 adres) ?
Het enige wat mij binnenvalt is:

• de router niet herstarten .
• remote access op je router openen, en vanop afstand de web-interface van je router raadplegen (via IPv6)? Dan kan je in het PCP scherm de huidige poorten (en IPv4 adres) vinden.

Tenzij je toch nog de mogelijkheid vindt om jouw devices via IPv6 te benaderen?

[Janosik]

Nee. Wel verveld dat je telkens nieuwe poorten toegewezen krijgt als je de router herstart (en wellicht ook een nieuw IPv4 adres)?

Ja, ook IP verandert, maar dat is geen probleem. Die poorten daarentegen...

• de router niet herstarten .

Jammer genoeg valt de electriciteit hier regelmatig uit.

• remote access op je router openen, en vanop afstand de web-interface van je router raadplegen (via IPv6)? Dan kan je in het PCP scherm de huidige poorten (en IPv4 adres) vinden.

Als dat lukt, dan zou dat prima zijn.
Ik heb al wat gegoogeld, maar toegang met IPv6 blijkt nog niet zo eenvoudig.

Tenzij je toch nog de mogelijkheid vindt om jouw devices via IPv6 te benaderen?

Voor de ESP zal dat hoe dan ook niet lukken.

[philippe_d]

De meeste routers hebben een of andere mogelijkheid om een remote access poort open te zetten (vb 443, 8443, of een andere willekeurige poort) en op die manier HTTPS toegang te krijgen tot de web interface.

Wijzig natuurlijk ook je default login (admin) en paswoord (1234)

Met jouw ZyXEL router zal dat ook wel kunnen denk ik. Je moet er dan wel voor zorgen dat je dyndns ook jouw IPv6 adres registreert ...

[Janosik]

De meeste routers hebben een of andere mogelijkheid om een remote access poort open te zetten (vb 443, 8443, of een andere willekeurige poort) en op die manier HTTPS toegang te krijgen tot de web interface.

Ja, dat heb ik gevonden...
--> Screenshot <--
Maar... zie je dat poortnummer rechts? Om het werkend te krijgen moet ik dat 'PCP-forwarden' naar mijn router, en dus: nieuwe onbekende poort na herstarten van de router ...

Ik heb nog een andere optie gevonden waarvan ik denk dat het er iets mee te maken heeft:
--> Screenshot <--
Ik heb er geen idee van wat er bij 'ACS URL' moet komen. Wel wat gevonden met Google, maar ik snap er niets van...

Wijzig natuurlijk ook je default login (admin) en paswoord (1234)

Dat is het eerste wat ik doe na elke 'to-factory-reset'... Iets wat ik de laatste tijd nogal veel heb moeten doen.

Je moet er dan wel voor zorgen dat je dyndns ook jouw IPv6 adres registreert ...

Ik vermoed dat je IPv4 bedoelt?
Het toestel waarop mijn WAMP-server draait doet dat zelf automatisch. Een tooltje, gedownload van noip.com, kijkt om de 5 minuten of mijn IP veranderd is, en zal dat indien nodig doorsturen naar hun server.

[CCatalyst]

Ik heb nog een andere optie gevonden waarvan ik denk dat het er iets mee te maken heeft:
--> Screenshot <--
Ik heb er geen idee van wat er bij 'ACS URL' moet komen. Wel wat gevonden met Google, maar ik snap er niets van...

Nee, TR-069 is een protocol waarmee ISP's bv je router vanop afstand kunnen configureren/upgraden/etc. Jouw ISP maakt daar geen gebruik van, anders zou je dat nu wel al weten. FWIW ACS is Auto Configuration Server, een server die bij de ISP draait en die TR-069 provisioneringen uitvoert.

Wat je kan doen om al dat poortgedoe te omzeilen is - zoals mailracer hierboven reeds heeft voorgesteld - een continue VPN sessie draaien vanaf de router of een toestel in je LAN naar een VPS in de cloud (goedkoopste volstaat). Dan kan je via die VPS altijd aan je router, ofwel door ook een VPN client op je laptop/smartphone/etc te installeren, of (eenvoudiger allicht) door port forwarding te doen vanaf het publieke IP adres van de VPS (hou er dan wel rekening dat iedereen op het internet er dan in theorie bijkan, dus voldoende beveiligen). Wat wel van belang is, is dat je de VPN sessie initieert en actief houdt vanaf de router of een toestel in je LAN, en niet initieert vanaf de VPS, anders zal je weer in de problemen komen met die poorten.

Hoe komt het dat je je afbeeldingen via een php script linkt (met daarin een html ref naar de afbeelding) ipv rechtstreeks de afbeelding te linken?

[philippe_d]

Ik vermoed dat je IPv4 bedoelt?
Het toestel waarop mijn WAMP-server draait doet dat zelf automatisch. Een tooltje, gedownload van noip.com, kijkt om de 5 minuten of mijn IP veranderd is, en zal dat indien nodig doorsturen naar hun server.

Nee, ik heb het over IPv6.
Gezien jouw Zyxel modem ook DDNS ondersteunt, begrijp ik niet waarom je de ddns client draait op jouw WAMP server. Ik zou je aanraden om het noip.com tooltje uit te schakelen, en de DDNS in te stellen op jouw Zyxel router:

1. De noip server zal geupdated worden van zodra jouw IPv4/PCP adres wijzigt (en hoeft dit niet om de 5 minuten te checken).
2. Jouw IPv6 adres zal ook toegevoegd worden aan jouw hostname. Het tooltje op jouw WAMP-server is niet in staat om het IPv6 adres van de Zyxel web interface te detecteren.

Ja, dat heb ik gevonden...
--> Screenshot <--
Maar... zie je dat poortnummer rechts? Om het werkend te krijgen moet ik dat 'PCP-forwarden' naar mijn router, en dus: nieuwe onbekende poort na herstarten van de router ...

Neen. Je hebt dat goed gedaan: je hebt nu HTTPS geopend op de WAN, nu kan je van buitenaf via HTTPS op jouw router.
Dit heeft niets met PCP te maken (IPv4), vanaf nu is jouw Zyxel bereikbaar op zijn IPv6 adres!
Eventueel het poortnummer nog wijzigen (vb 499) voor wat meer security.

Hiermee is jouw "poortprobleem" wellicht opgelost:
- via https://janosik.noip.com:499 (IPv6) kan je eerst Zyxel webinterface openen. Hier vind je de poortnummers terug van jouw WAMP en ESP.
- via http://janosik.noip.com:1954 en http://janosik.noip.com:1404 (IPv4) bereik je jouw ESP en WAMP.
(poortnummers en hostname juist als voorbeeld)...

Wat je kan doen om al dat poortgedoe te omzeilen is - zoals mailracer hierboven reeds heeft voorgesteld - een continue VPN sessie draaien vanaf de router of een toestel in je LAN naar een VPS in de cloud

Dat is natuurlijk ook een mogelijkheid, en wellicht nog iets veiliger dan het openen van de router webinterface?

[Janosik]

Nee, TR-069 is een protocol waarmee ISP's bv je router vanop afstand kunnen configureren/upgraden/etc.

Oké... dat kan ik dus ook vergeten...

Wat je kan doen om al dat poortgedoe te omzeilen is - zoals mailracer hierboven reeds heeft voorgesteld - een continue VPN sessie draaien vanaf de router of een toestel in je LAN naar een VPS in de cloud (goedkoopste volstaat). Dan kan je via die VPS altijd aan je router, ofwel door ook een VPN client op je laptop/smartphone/etc te installeren, of (eenvoudiger allicht) door port forwarding te doen vanaf het publieke IP adres van de VPS (hou er dan wel rekening dat iedereen op het internet er dan in theorie bijkan, dus voldoende beveiligen). Wat wel van belang is, is dat je de VPN sessie initieert en actief houdt vanaf de router of een toestel in je LAN, en niet initieert vanaf de VPS, anders zal je weer in de problemen komen met die poorten.

Ik gebruik NordVPN om Belgische filmpjes te kunnen bekijken die in het buitenland geblokeerd worden (bvb 'De Slimste Mens' op vier.be), maar verder heb ik geen idee waar dit over gaat (wat meer over mij zegt dan over je uitleg hoor)
Ik heb net wat gegoogeld naar 'cloud VPS hosting' en wil me daar zeker verder in verdiepen, maar ik ga toch eerst proberen of het lukt om die poorten in orde te krijgen.

Hoe komt het dat je je afbeeldingen via een php script linkt (met daarin een html ref naar de afbeelding) ipv rechtstreeks de afbeelding te linken?

Dat komt door een compleet foute veronderstelling van mij. Vanaf nu: afbeeldingen in het bericht zelf.

Nee, ik heb het over IPv6.
Gezien jouw Zyxel modem ook DDNS ondersteunt, begrijp ik niet waarom je de ddns client draait op jouw WAMP server. Ik zou je aanraden om het noip.com tooltje uit te schakelen, en de DDNS in te stellen op jouw Zyxel router:

1. De noip server zal geupdated worden van zodra jouw IPv4/PCP adres wijzigt (en hoeft dit niet om de 5 minuten te checken).

Ik ben er mee aan de slag gegaan, en dat werkt prima! Inderdaad een stuk makkelijker/eenvoudiger.

Jouw IPv6 adres zal ook toegevoegd worden aan jouw hostname. Het tooltje op jouw WAMP-server is niet in staat om het IPv6 adres van de Zyxel web interface te detecteren.

Ik *denk* dat ik nog iets zal moeten aanpassen in mijn noip-account:

Alleen... het IPv6-adres zoals ik het nu in mijn router zie, is vééél te lang om daar in te vullen en wordt niet geaccepteerd.
Het IPv4 adres wordt automatisch ingevuld; het IPv6 adres niet.

Neen. Je hebt dat goed gedaan: je hebt nu HTTPS geopend op de WAN, nu kan je van buitenaf via HTTPS op jouw router.
Dit heeft niets met PCP te maken (IPv4), vanaf nu is jouw Zyxel bereikbaar op zijn IPv6 adres!
Eventueel het poortnummer nog wijzigen (vb 499) voor wat meer security.

Hiermee is jouw "poortprobleem" wellicht opgelost:
- via https://janosik.noip.com:499 (IPv6) kan je eerst Zyxel webinterface openen. Hier vind je de poortnummers terug van jouw WAMP en ESP.
- via http://janosik.noip.com:1954 en http://janosik.noip.com:1404 (IPv4) bereik je jouw ESP en WAMP.
(poortnummers en hostname juist als voorbeeld)...

Voorlopig geraak ik met https://janosik.noip.com:443 nog niet op mijn router. Wat (hopelijk) te maken heeft met dat IPv6 probleem...

Wat je kan doen om al dat poortgedoe te omzeilen is - zoals mailracer hierboven reeds heeft voorgesteld - een continue VPN sessie draaien vanaf de router of een toestel in je LAN naar een VPS in de cloud

Dat is natuurlijk ook een mogelijkheid, en wellicht nog iets veiliger dan het openen van de router webinterface?

Dat is natuurlijk een belangrijk argument waar ik rekening mee moet houden! Ik houd het in gedachten...

Tot slot nog een vraagje: is het veilig om mijn IPv6 adres zoals ik het nu in mijn router zie hier te posten? Op zich denk ik van niet, maar binnen een paar uurtjes ga ik mijn router toch weer eens herstarten.

EDIT: het is gelukt om een hostname met IPv6 aan te maken op noip.com
Ik ga verder met de testjes

[philippe_d]

Ik *denk* dat ik nog iets zal moeten aanpassen in mijn noip-account ...
Alleen... het IPv6-adres zoals ik het nu in mijn router zie, is vééél te lang om daar in te vullen en wordt niet geaccepteerd.
Het IPv4 adres wordt automatisch ingevuld; het IPv6 adres niet.

Ik heb geen idee waarom jouw Zyxel router er niet in slaagt om jouw noip account up te daten met je IPv6 adres.

• - ik heb geen eravring met noip .
  - ik heb geen ervaring met de Zyxel router en de DDNS instel pagina .

Ikzelf gebruik dyndns.org (dyn.com), en met een Fritz!Box router, en kan je bevestigen dat de Fritz!Box netjes mijn dyndns hostname updatet met het IPv4 en IPv6 adres (dual stack).
Ik beheer ook een Fritz!Box van een vriend in Duitsland, die ook een DS-Lite verbinding heeft. Daar werkt het ook perfect met IPv6 en dyndns.

Wellicht is er nog geen goede IPv6 support bij noip.com?
Misschien eens proberen om een (gratis) account aan te maken bij een andere ddns service provider?

Tot slot nog een vraagje: is het veilig om mijn IPv6 adres zoals ik het nu in mijn router zie hier te posten? Op zich denk ik van niet, maar binnen een paar uurtjes ga ik mijn router toch weer eens herstarten.

Jouw publiek IP adres op een openbaar Forum posten is nooit een goed idee .

EDIT

EDIT: het is gelukt om een hostname met IPv6 aan te maken op noip.com
Ik ga verder met de testjes

Nu pas jouw EDIT gezien.
OK, happy testing .

[CCatalyst]

Alleen... het IPv6-adres zoals ik het nu in mijn router zie, is vééél te lang om daar in te vullen en wordt niet geaccepteerd.

Misschien omdat je de DHCP Unique Identifier (DUID) van je router invult, de ID die hij gebruikt om een DHCPv6 lease te bekomen, ipv het IPv6 adres. De DUID is idd veel langer.

Een DUID heeft maximaal twee karakters tussen de : (vb 033:f:...) terwijl een IPv6 adres er 4 kan hebben (26020:1da:...)

Itt philippe_d zie ik er niet zoveel graten in dat je hier toont wat je invult, mits je het weer in een afbeelding zet om de bots weg te houden, en dan daarna je router herstart (in de veronderstelling dat je dan toch een nieuw IP krijgt). Als tussenoplossing kan je ook enkele karakters maskeren met een X.

[Janosik]

1. De noip server zal geupdated worden van zodra jouw IPv4/PCP adres wijzigt (en hoeft dit niet om de 5 minuten te checken).
2. Jouw IPv6 adres zal ook toegevoegd worden aan jouw hostname. Het tooltje op jouw WAMP-server is niet in staat om het IPv6 adres van de Zyxel web interface te detecteren.

Blijkbaar kan het tooltje ook het IPv6 adres updaten (nu ja... zie verder). En ook: op noip.com kan ik 3 hosts aanmaken. Met de router-update kan ik slechts één daarvan updaten; het tooltje doet ze alle drie.

In de router ben ik beperkt in keuze voor welke DDNS ik gebruik:

Ik heb me nu geregistreerd voor de '7-day-trial' van 'dyndns.org'. Even uitzoeeken hoe dat daar werkt...

En dan...
Ik heb op noip.com *iets* ingevuld voor IPv6 dat hij uiteindelijk wel aanvaardde. Dan onmiddelijk van hieruit laten updaten (eerst vanuit de router en bij een tweede test door het tooltje) en dat scheen te lukken: het geregistreerde IPv6 adres was iets anders dan wat ik ingevuld had.
Alleen... het IPv6 adres dat ik dan in mijn router zag, was anders dan hetgeen ik op noip zag. En op sites zoals 'whatismyipaddress.com' kreeg ik nog een derde versie.

W? T? F???

Toen ik dit bericht begon te schrijven, had ik nog een paar opmerkingen/vragen in mijn hoofd. Die ben ik ondertussen kwijt... Ik krijg echt wel een punthoofd van dit probleem.
Ik denk dat ik mezelf een paar dagen op 'non actief' ga zetten, en dan eens met een frisse kop opnieuw ga beginnen!

edit:
oh ja... wat is het verschil tussen 'IPv6 Address en 'IPv6 Link Local Address' ? (zie screenshot van router)

[CCatalyst]

Het IP op "what's my IP" is het IP van de computer (of ander toestel) waarop je die webpagina opent, wat uiteraard verschilt van het IP van je router. Wat je ziet is dus perfect normaal en geen reden voor zorgen.

Waar noip dat adres vandaan haalt is mij ook niet meteen duidelijk. Het lijkt een vorig IP van de router te zijn?

Link-local adressen worden gebruikt voor communicatie op je LAN en zijn noodzakelijk voor bepaalde IPv6 processen zoals neighbor discovery. Vanop het internet zijn die adressen niet bereikbaar, noip kan die dus niet gebruiken.

[Janosik]

Het IP op "what's my IP" is het IP van de computer (of ander toestel) waarop je die webpagina opent, wat uiteraard verschilt van het IP van je router. Wat je ziet is dus perfect normaal en geen reden voor zorgen.

Hmmm, inderdaad... daar had ik eigenlijk zelf moeten aan denken...

Waar noip dat adres vandaan haalt is mij ook niet meteen duidelijk. Het lijkt een vorig IP van de router te zijn?

Oké... even kijken hoe andere DDNS-diensten hier mee omgaan.

Link-local adressen worden gebruikt voor communicatie op je LAN en zijn noodzakelijk voor bepaalde IPv6 processen zoals neighbor discovery. Vanop het internet zijn die adressen niet bereikbaar, noip kan die dus niet gebruiken.

Fijn... hoef ik me daar al geen zorgen om te maken!

[philippe_d]

Ik krijg echt wel een punthoofd van dit probleem.
Ik denk dat ik mezelf een paar dagen op 'non actief' ga zetten, en dan eens met een frisse kop opnieuw ga beginnen!

Echt niet nodig om hier een "punthoofd" van te krijgen. Ik vind dat je, met de hulp van dit Forum, al heel ver geraakt bent.
Nu enkel nog het IPv6 dyndns "probleem" .

Alleen... het IPv6 adres dat ik dan in mijn router zag, was anders dan hetgeen ik op noip zag. En op sites zoals 'whatismyipaddress.com' kreeg ik nog een derde versie.

De 3 versies zijn:

1. het IPv6 dat je ziet op 'whatismyipaddress.com', is het eigen IPv6 adres van de computer waarmee je naar die site surft (zie antwoord Ccatalyst).
2. het IPv6 dat je ziet op "noip.com" is het IPv6 adres van de WAMP server waarop je het noip tooltje draait (op dit IP adres zou je de WAMP server direct kunnen bereiken).
3. het IPv6 van jouw router, kan je alleen updaten via de DDNS optie op jouw Zyxel router. Zoals ik al eerder schreef kan het noip tooltje op jouw WAMP server onmogelijk het IPv6 adres van jouw router detecteren.

En ook: op noip.com kan ik 3 hosts aanmaken. Met de router-update kan ik slechts één daarvan updaten; het tooltje doet ze alle drie.

Wat ik zou voorstellen is:

1. gebruik de DDNS optie van jouw router om één van je 3 noip hosts up te daten. Dan heb je via deze hostname toegang tot je router.
2. gebruik het noip tooltje op je WAMP server om jouw 2 andere hosts up te daten. Schakel hier eventueel IPv6 uit, tenzij je met het WAMP Ipv6 adres iets kan aanvangen.

Op die manier krijg je via de eerste hostname toegang tot de router, de 2 andere hostnames worden bijgewerkt zoals vroeger (IPv4 only)?

[Janosik]

Een weekje geleden verzocht ik Orange(SK) om DS-lite voor mijn account uit te schakelen, en de poortblokkeringen op te heffen.
Ik kreeg toen als antwoord dat dat niet kon/mocht...
Vandaag kreeg ik het bericht dat DS-lite voor mij uitgeschakeld werd.
En inderdaad, dat schijnt zo te zijn. Alleen... de poortblokkeringen zijn nog steeds actief!
Resultaat: nu werkt er helemaal niets meer.
Maandag nóg maar eens naar Orange. Gedurende het weekend sta ik dus noodgedwongen op non-actief...

Echt niet nodig om hier een "punthoofd" van te krijgen. Ik vind dat je, met de hulp van dit Forum, al heel ver geraakt bent.

ABSOLUUT!!! En ik heb al heel wat bijgeleerd! Zoals ik in mijn tweede bericht al zei: leuk zo'n forum met actieve en deskundige leden... Ik ben jullie allemaal erg dankbaar voor de geboden hulp!

Wat ik zou voorstellen is:

1. gebruik de DDNS optie van jouw router om één van je 3 noip hosts up te daten. Dan heb je via deze hostname toegang tot je router.
2. gebruik het noip tooltje op je WAMP server om jouw 2 andere hosts up te daten. Schakel hier eventueel IPv6 uit, tenzij je met het WAMP Ipv6 adres iets kan aanvangen.

Op die manier krijg je via de eerste hostname toegang tot de router, de 2 andere hostnames worden bijgewerkt zoals vroeger (IPv4 only)?

Ik zat in de exact zelfde richting te denken. Even afwachten hoe het maandag afloopt.

het IPv6 van jouw router, kan je alleen updaten via de DDNS optie op jouw Zyxel router. Zoals ik al eerder schreef kan het noip tooltje op jouw WAMP server onmogelijk het IPv6 adres van jouw router detecteren.

Wat denk je van een tooltje zoals dit: http://whatsmyrouterip.com/
Is dat, theoretisch gezien, in staat om te doen wat het beweert?
Bij mij zit het er in alle geval nog behoorlijk naast.

[philippe_d]

Vandaag kreeg ik het bericht dat DS-lite voor mij uitgeschakeld werd.
En inderdaad, dat schijnt zo te zijn. Alleen... de poortblokkeringen zijn nog steeds actief!
Resultaat: nu werkt er helemaal niets meer.

Jammer, je was goed bezig om jouw DS-Lite account onder de knie te krijgen.
Nu moet je weer helemaal van vooraaan beginnen

Met het uitschakelen van DS-Lite zal het waarschijnlijk nodig zijn om jouw modeminstellingen te wijzigen, tenzij Orange dat op afstand doet (TR-069) ?

• - Heb je nu een IPv4 only lijn gekregen?
  - Of is het "Dual Stack" (IPv4 en IPv6)?
  - Is het IPv4 adres dat je router krijgt een publiek adres, of zit je achter een CGNAT?

In dit laatste geval heb je terug een port probleem, tenzij de CGNAT server ook PCP ondersteunt.
Met CGNAT ben je eigenlijk slechter af dan met DS-Lite:

• - Bij CGNAT heb je "dubbele NAT": een keer NAT bij de provider, en een keer NAT op je modem.
  - Bij DS-Lite heb je alleen NAT bij de provider: de IPv4 pakketten worden rechstreeks (zonder NAT) doorgestuurd naar de DS-Lite AFTR server.

In beide gevallen heb je het "poort probleem", gezien er poorten moeten geopend worden op de server bij de provider ...

Ideaal is dus Dual Stack zonder CGNAT

[Janosik]

• - Heb je nu een IPv4 only lijn gekregen?
  - Of is het "Dual Stack" (IPv4 en IPv6)?
  - Is het IPv4 adres dat je router krijgt een publiek adres, of zit je achter een CGNAT?

Wel... zoals eerder gezegd werkte er niets meer. En bij Orange waren ze niet erg geneigd mij veel uitleg te geven. Na heel wat gedoe is mijn internetverbinding terug hersteld naar zijn oorspronkelijke toestand.

Ik heb ondertussen heel wat testjes gedaan, en heb toch een paar interessante dingen ontdekt!

Ik denk dat mijn router niet in staat is om zijn IPv6 te updaten naar een DDNS.
Ik ben daar op volgende manier achter gekomen:
- eerst het update-tooltje van DynDNS.com (DynUpdater.msi) geinstalleerd op mijn WAMP-server met settings om enkel zijn IPv6 te updaten.
- de WAMP-server een paar keer opnieuw opgestart en telkens werd het IPv6 adres correct geupdated.
- tooltje van de WAMP-server verwijderd en mijn router 'opdracht gegeven' om zijn IP adres naar DynDNS te sturen.
- dit werkt niet; erger nog: mijn router 'freezes' en ik moet hem resetten to factory.

En dan nog iets interessant/merkwaardig:
Mijn WAMP-server vanuit WAN (bvb telefoon met 4G) bereiken, lukt perfect.
[xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx]:poortnr
Mijn router-setup op dezelfde manier bereiken lukt ook, maar daarvoor moet ik het IPv6 adres onder 'LAN informatie' gebruiken; NIET dat onder 'WAN informatie'...

Ik heb ondertussen ook een bericht geplaatst op het forum van ZyXEL. Hopelijk zijn ze daar even behulpzaam als hier