Dag iedereen
Ik zou een eigen service op een Raspberry pi willen runnen thuis en daarom heb ik een Netgear R7000 router aangeschaft waarin veel meer instellingen kan veranderen dan op de bbox3 van proximus, waaronder nat hairpinning wat zover ik weet niet werkt op de bbox3.
Nu heb ik thuis twee IP-adressen, die van de bbox en die van de netgear waarmee ik een PPPoE connectie heb opgezet.
En nu zou ik bv poort 22 willen openen voor een ssh connectie te kunnen maken maar dit lukt me niet.
Op de bbox3 is er een portmap aangemaakt: zie portmapProximus.png
(192.168.1.2 is het ip adres van de netgear router)
Op de netgear router heb ik de volgende portmaps ingesteld (hij draait de laatste versie van Advanced Tomato als OS): zie portmapNetgear.png
(192.168.0.17 is het ip adres van mijn raspi waarmee ik lokaal mee kan verbinden op poort 22 zonder problemen)
Proximus zelf blokkeert poort 22 niet want ik heb het al geprobeerd zonder de netgear router en dan lukt het om poort 22 te openen en verbinding te maken, alleen werkt de NAT loopback of hairpin niet wat toch wel vervelend is omdat ik ook zou willen verbinden vanaf binnen mijn netwerk.
Ziet iemand hier het probleem?
Alvast bedankt!
Port forwarding lukt niet met mijn eigen router door een bbox3
-
Sinna
- Elite Poster
- Berichten: 3219
- Lid geworden op: 14 nov 2008, 08:22
- Twitter: KrSi78
- Locatie: Brugge
- Uitgedeelde bedankjes: 333 keer
- Bedankt: 227 keer
- Contacteer:
-
Provider
Als je Netgear zelf een PPPoE-sessie opzet, dan is een portforward op de BBox niet nodig, maar wel op je Netgear.
Computer(k)nul
-
silentkiller
- Premium Member
- Berichten: 566
- Lid geworden op: 24 jun 2008, 15:36
- Locatie: Limburg
- Uitgedeelde bedankjes: 57 keer
- Bedankt: 97 keer
-
Provider
Ik heb hier toch een aantal vragen bij, ik vraag me ook af of je weet wat je juist aan het doen bent 
(poort 80, PPPoE die er niet blijkt te zijn, poort 22 publiek op het internet)
Vandaar mijn eerste vraag: wat wil je eigenlijk juist ontsluiten naar het internet? Is die service dan enkel nodig voor jou(w gezin) als je buitenhuis bent? Of moeten er ook anderen aan kunnen? (afweging op je het beter allemaal achter een VPN steekt).
Ik zie je twee poorten open zetten:
-Poort 80 -> dit is wsl een webserver die HTTP doet. Beter zou zijn om 443 te gebruiken en HTTPS te doen (certificaat van letsencrypt). (als de webserver publiek moet beschikbaar zijn voor iedereen, anders kan je hem (beter?) benaderen via een VPN
-Poort 22 -> hiermee wil je waarschijnlijk je raspberry beheren over SSH. Ik zou dit sowieso achter een VPN steken. Als je dat niet doet, gebruik dan niet poort 22 publiekelijk (security through obscurity maar je gaat al wel bij veel scans de dans ontspringen) en maak gebruik van SSH Keys en disable username/password.
=> antwoord op mijn eerste vraag zou al veel helpen om wat sturing te geven.
Mijn tweede vraag: je spreekt van 'veel meer functionaliteiten' in de netgear.
Denk er eens over na of je die netgear echt wel nodig hebt. Volgens mij kan je in de DHCP van de bbox een eigen DNS server meegeven
. Je zou intern een adguard oid kunnen draaien en de publieke FQDN, intern resolven naar een intern adres. Dan heb je de NAT hairpinning niet nodig en kan je netgear er mogelijks tussen uit.
Als je de raspberry pi enkel van het internet wil benaderen, kan het inderdaad een goede keuze zijn om een aparte PPPoE sessie op te zetten (gescheiden van de rest van je netwerk). Dit heb je, zoals door Sinna aangehaald, momenteel niet gedaan. Hij heeft een intern adres (van je bbox). Maar die redenering lijkt me niet het geval gezien je spreekt van NAT hairpinning en je hem dus ook intern in het netwerk wil benaderen. Weer een punt om de netgear retour te sturen imo
(poort 80, PPPoE die er niet blijkt te zijn, poort 22 publiek op het internet)Vandaar mijn eerste vraag: wat wil je eigenlijk juist ontsluiten naar het internet? Is die service dan enkel nodig voor jou(w gezin) als je buitenhuis bent? Of moeten er ook anderen aan kunnen? (afweging op je het beter allemaal achter een VPN steekt).
Ik zie je twee poorten open zetten:
-Poort 80 -> dit is wsl een webserver die HTTP doet. Beter zou zijn om 443 te gebruiken en HTTPS te doen (certificaat van letsencrypt). (als de webserver publiek moet beschikbaar zijn voor iedereen, anders kan je hem (beter?) benaderen via een VPN
-Poort 22 -> hiermee wil je waarschijnlijk je raspberry beheren over SSH. Ik zou dit sowieso achter een VPN steken. Als je dat niet doet, gebruik dan niet poort 22 publiekelijk (security through obscurity maar je gaat al wel bij veel scans de dans ontspringen) en maak gebruik van SSH Keys en disable username/password.
=> antwoord op mijn eerste vraag zou al veel helpen om wat sturing te geven.
Mijn tweede vraag: je spreekt van 'veel meer functionaliteiten' in de netgear.
Denk er eens over na of je die netgear echt wel nodig hebt. Volgens mij kan je in de DHCP van de bbox een eigen DNS server meegeven
. Je zou intern een adguard oid kunnen draaien en de publieke FQDN, intern resolven naar een intern adres. Dan heb je de NAT hairpinning niet nodig en kan je netgear er mogelijks tussen uit.Als je de raspberry pi enkel van het internet wil benaderen, kan het inderdaad een goede keuze zijn om een aparte PPPoE sessie op te zetten (gescheiden van de rest van je netwerk). Dit heb je, zoals door Sinna aangehaald, momenteel niet gedaan. Hij heeft een intern adres (van je bbox). Maar die redenering lijkt me niet het geval gezien je spreekt van NAT hairpinning en je hem dus ook intern in het netwerk wil benaderen. Weer een punt om de netgear retour te sturen imo
Bedankt voor de interesse.silentkiller schreef: 08 nov 2022, 09:40 Ik heb hier toch een aantal vragen bij, ik vraag me ook af of je weet wat je juist aan het doen bent
Vandaar mijn eerste vraag: wat wil je eigenlijk juist ontsluiten naar het internet? Is die service dan enkel nodig voor jou(w gezin) als je buitenhuis bent? Of moeten er ook anderen aan kunnen? (afweging op je het beter allemaal achter een VPN steekt).
Ik zie je twee poorten open zetten:
-Poort 80 -> dit is wsl een webserver die HTTP doet. Beter zou zijn om 443 te gebruiken en HTTPS te doen (certificaat van letsencrypt). (als de webserver publiek moet beschikbaar zijn voor iedereen, anders kan je hem (beter?) benaderen via een VPN
-Poort 22 -> hiermee wil je waarschijnlijk je raspberry beheren over SSH. Ik zou dit sowieso achter een VPN steken. Als je dat niet doet, gebruik dan niet poort 22 publiekelijk (security through obscurity maar je gaat al wel bij veel scans de dans ontspringen) en maak gebruik van SSH Keys en disable username/password.
=> antwoord op mijn eerste vraag zou al veel helpen om wat sturing te geven.
Mijn tweede vraag: je spreekt van 'veel meer functionaliteiten' in de netgear.
Denk er eens over na of je die netgear echt wel nodig hebt. Volgens mij kan je in de DHCP van de bbox een eigen DNS server meegeven
Als je de raspberry pi enkel van het internet wil benaderen, kan het inderdaad een goede keuze zijn om een aparte PPPoE sessie op te zetten (gescheiden van de rest van je netwerk). Dit heb je, zoals door Sinna aangehaald, momenteel niet gedaan. Hij heeft een intern adres (van je bbox). Maar die redenering lijkt me niet het geval gezien je spreekt van NAT hairpinning en je hem dus ook intern in het netwerk wil benaderen. Weer een punt om de netgear retour te sturen imo
Antwoord op eerste vraag:
Ik zou de password manager Vaultwarden (een lichtere versie van Bitwarden) willen draaien in een Docker container die binnen en buiten mijn netwerk bereikbaar moet zijn, wel alleen door personen dat ik ken en toegang geef.
Ik zou ook wel portainer en nginx proxy manager willen kunnen beheren vanaf het internet.
Ik gebruikte poort 22 en 80 vooral om te testen eigenlijk, die zou ik inderdaad niet gebruiken later.
Tweede vraag:
Ik had er nog niet aan gedacht om de 'hairpin' via uw manier te doen.
Ik zal het zo misschien eens proberen.
Als het kan zou ik toch liefst mijn netgear router willen blijven gebruiken vanwege sommige features om internet verbruik en snelheid te meten enz.
Ik denk dat u ook bedoeld dat mijn netgear geen eigen ip adres heeft maar dat is wel zo.
Up adres van netgear is 109... en van bbox is 81...
Ik snap nog steeds niet waarom de port forwarding niet werkt.
-
silentkiller
- Premium Member
- Berichten: 566
- Lid geworden op: 24 jun 2008, 15:36
- Locatie: Limburg
- Uitgedeelde bedankjes: 57 keer
- Bedankt: 97 keer
-
Provider
OK, duidelijk.
Ik zou dan eens nadenken wat je al dan niet achter een VPN steekt, je vaultwarden achter een nginx steken lijkt me ook geen slecht idee.
Wat betreft de port forwarding die niet werkt, zit je ergens nog met een verkeerde hersenkronkel.
Huidige situatie:
Je bbox maakt via PPPoE connectie met het internet en krijgt daarvoor een WAN adres (81.x.x.x)
Intern in je netwerk heb je een LAN range (ik denk te begrijpen dat dit de 192.168.1.0/24 range is).
Anderzijds heb je je netgear router ook een PPPoE sessie laten opbouwen. Deze krijgt ook een WAN adres (109.y.y.y.y).
Intern in dat netwerk heb je een LAN range 192.168.0.0/24
Belangrijk voor je denkwijze: ookal hangt de netgear met een kabel aan je bbox, je moet dit zien als een apart device dat apart aan het internet hangt met zijn eigen WAN adres!
Een port forward van je netgear WAN adres (109.y.y.y.y) naar je raspberry, is dus voldoende. Via het internet kan je dan connecteren naar je raspberry via het WAN adres van de netgear (109.y.y.y.y)
(Hoe je aan het 192.168.1.2 adres komt voor de netgear als deze een intern adres heeft, is me onduidelijk. De netgear kan geen adres hebben in de bbox range gezien de aparte PPPoE sessie en dus het aparte WAN adres)
Met deze setup maak je dus twee keer 'verbinding' met het internet, consequenties:
-beide interne netwerken kunnen NIET met elkaar communiceren. Maw, clients achter de bbox kunnen niet aan de clients achter de netgear (tenzij over het internet met het WAN adres natuurlijk)
-je hebt twee WAN adressen en dus twee connecties met het internet, ookal steekt je netgear met een kabel op je bbox, je moet het eigenlijk zien als twee aparte routers die verbinding maken met het internet
Andere opties:
-je vervangt de bbox volledig door de netgear (ik weet eigenlijk niet of dit kan maar dat kunnen andere je hier wel vertellen
-als dat niet kan, kan je volgens mij de bbox wel in bridge mode zetten en je netgear daarachter hangen
In beide gevallen komen al je interne clients achter de netgear te zitten en schakel je de bbox dus eigenlijk uit (wat je precies wel wil gezien de extra features van de netgear)
Ik zou dan eens nadenken wat je al dan niet achter een VPN steekt, je vaultwarden achter een nginx steken lijkt me ook geen slecht idee.
Wat betreft de port forwarding die niet werkt, zit je ergens nog met een verkeerde hersenkronkel.
Huidige situatie:
Je bbox maakt via PPPoE connectie met het internet en krijgt daarvoor een WAN adres (81.x.x.x)
Intern in je netwerk heb je een LAN range (ik denk te begrijpen dat dit de 192.168.1.0/24 range is).
Anderzijds heb je je netgear router ook een PPPoE sessie laten opbouwen. Deze krijgt ook een WAN adres (109.y.y.y.y).
Intern in dat netwerk heb je een LAN range 192.168.0.0/24
Belangrijk voor je denkwijze: ookal hangt de netgear met een kabel aan je bbox, je moet dit zien als een apart device dat apart aan het internet hangt met zijn eigen WAN adres!
Een port forward van je netgear WAN adres (109.y.y.y.y) naar je raspberry, is dus voldoende. Via het internet kan je dan connecteren naar je raspberry via het WAN adres van de netgear (109.y.y.y.y)
(Hoe je aan het 192.168.1.2 adres komt voor de netgear als deze een intern adres heeft, is me onduidelijk. De netgear kan geen adres hebben in de bbox range gezien de aparte PPPoE sessie en dus het aparte WAN adres)
Met deze setup maak je dus twee keer 'verbinding' met het internet, consequenties:
-beide interne netwerken kunnen NIET met elkaar communiceren. Maw, clients achter de bbox kunnen niet aan de clients achter de netgear (tenzij over het internet met het WAN adres natuurlijk)
-je hebt twee WAN adressen en dus twee connecties met het internet, ookal steekt je netgear met een kabel op je bbox, je moet het eigenlijk zien als twee aparte routers die verbinding maken met het internet
Andere opties:
-je vervangt de bbox volledig door de netgear (ik weet eigenlijk niet of dit kan maar dat kunnen andere je hier wel vertellen
-als dat niet kan, kan je volgens mij de bbox wel in bridge mode zetten en je netgear daarachter hangen
In beide gevallen komen al je interne clients achter de netgear te zitten en schakel je de bbox dus eigenlijk uit (wat je precies wel wil gezien de extra features van de netgear)
OPGELOST
Het probleem was de "Use DHCP" checkbox bij de wan settings van de netgear router.
Ik dacht destijds dat ik het moest aanvinken, weet niet meer precies waarom.
Ben wel nog niet zeker hoe deze setting ervoor zorgde dat port forwarding niet lukte...
Bedankt voor alles!
Het probleem was de "Use DHCP" checkbox bij de wan settings van de netgear router.
Ik dacht destijds dat ik het moest aanvinken, weet niet meer precies waarom.
Ben wel nog niet zeker hoe deze setting ervoor zorgde dat port forwarding niet lukte...
Bedankt voor alles!
- Bijlagen
-
