Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Port Forwarding probleem met Ubiquiti EdgeMax Lite

Pagina: 1
Acties:

woensdag 26 augustus 2015 13:58

Acties:

Verwijderd

Topicstarter
Beste,

Ik zit me helemaal kapot te lezen en denken over een port forwarding probleem met mijn Ubiquiti EdgeMax Lite router.

Ik heb 3 IP Camera's waar je op kunt inloggen via de browser. Intern doen deze het prima. Extern dus niet.

De IP Camera heeft een intern IP-adres van 192.168.1.150 en is te benaderen op port 83. Als ik naar http://192.168.1.150:83 ga werkt het dus prima.

Nu heb ik een NAT regel aangemaakt zie hieronder:
Inbound interface: eth0
Translation address: 192.168.1.150
Translation port: 83
Protocol: TCP
Destination address: <extern IP adres>
Destination port: 83

Tevens heb ik een Firewall regel aangemaakt zie hieronder:
Op WAN_IN:
Action: Accept
Protocol: TCP
State: Established, Invalid, New, Related
Destination address: 192.168.1.150
Destination port: 83

Helaas als ik naar http://<extern IP adres>:83 browse gebeurt er niets (This page can't be displayed). Als ik bij de CLI kijk onder SHOW LOG zie ik geen enkele vermelding staan (terwijl ik logging aan heb op zowel WAN_IN, als de NAT + Firewall regels). Ik zie uberhaupt geen WAN_IN meldingen in de log...

Iemand een idee?

woensdag 26 augustus 2015 14:03

Acties:
  • Chrisz
  • Registratie: Mei 2005
  • Laatst online: 29-11 12:09

Chrisz

Kan je wat screenshots maken van de huidige status van de WAN (eth0) en van de NAT/Firewall regels die je hebt aangemaakt? Geeft een wat beter beeld van de gehele situatie.

Mijn gaming rigs | Steam: xitro01 | PSN: Xitro1

woensdag 26 augustus 2015 14:13

Acties:

Verwijderd

Topicstarter
Hier wat screenshots:

Dashboard
Afbeeldingslocatie: http://i61.tinypic.com/2urt2pu.png

Routes:
Afbeeldingslocatie: http://i59.tinypic.com/n65992.png

Firewall:
Afbeeldingslocatie: http://i58.tinypic.com/w0ruar.png

NAT:
Afbeeldingslocatie: http://i60.tinypic.com/jqqm2r.png


Heb je hier zo voldoende aan?

woensdag 26 augustus 2015 14:40

Acties:
  • Chrisz
  • Registratie: Mei 2005
  • Laatst online: 29-11 12:09

Chrisz

Zover ik zie is je NAT portforwarding en ook je firewall setting om dit te bereiken correct ingesteld, maar waarschijnlijk heb je dit ook al geverifieerd met de Ubiquiti wiki: https://wiki.ubnt.com/EdgeMAX_PortForward

Enige waar ik mijn vraagtekens bij zet is de static route die je aangemaakt hebt, want ik zie dat je een aantal vaste IP adressen in gebruik hebt.

Maar ik zie dat je op firmware versie 1.2 draait, wellicht dat een update naar 1.7 het probleem oplost:
https://www.ubnt.com/download/edgemax/edgerouter-poe
Vanaf versie 1.4 zit er zelfs een port forward wizard in om dit te vergemakkelijken en ik zie in de release notes dat er wel wat problemen rondom port forwarding opgelost zijn.

[ Voor 14% gewijzigd door Chrisz op 26-08-2015 14:45 ]

Mijn gaming rigs | Steam: xitro01 | PSN: Xitro1

woensdag 26 augustus 2015 14:55

Acties:

Verwijderd

Topicstarter
Bedankt voor de vlotte reactie. Ik denk niet dat het in de routing zit. Als ik immers de router zelf extern wil benaderen dan werkt de Firewall regel daarvan prima (https://213.124.31.110/) logischerwijs zou die het ook niet doen als daar het euvel zat. Zo ook werken de Firewall/NAT regels van de printers correct (krijg printopdrachten vanuit de cloud binnen op ons interne network). Ik krijg het dus alleen niet aan de praat bij de camera's.

Ik zal nog eens de firmware proberen te updaten maar denk ook niet dat het daar aan ligt.

Iemand anders nog ideeen?

woensdag 26 augustus 2015 15:13

Acties:
  • _-= Erikje =-_
  • Registratie: Maart 2000
  • Laatst online: 17-11 13:54

_-= Erikje =-_

probeer je dit vanaf je LAN of vanaf buitenaf?

woensdag 26 augustus 2015 15:18

Acties:
  • MdBruin
  • Registratie: Maart 2011
  • Laatst online: 12-05-2024

MdBruin

Je route klopt niet.

Je zou moeten hebben source vanaf je WAN en destination je camera.
Zoals het er nu staat verwijs je naar je WAN

woensdag 26 augustus 2015 15:19

Acties:

Verwijderd

Topicstarter
Ik heb vanaf de LAN geprobeerd de camera extern te benaderen. Dit werkt ook als ik de router extern benader vanuit de LAN. Dit zou verder ook niet uit moeten maken? Zodra ik het externe IP-adres gebruik ziet de router het als een WAN verbinding die tot stand wordt gebracht, toch?

woensdag 26 augustus 2015 15:19

Acties:
  • Ghostface9000
  • Registratie: Januari 2009
  • Laatst online: 28-11 17:26

Ghostface9000

Bij welke provider zit jij ? Kan goed zijn dat de provider poorten onder 1024 blokkeert zodat je thuis geen websites, mailserver en dergelijke zou hosten. Probeer eens extern een andere poort bvb 8383

woensdag 26 augustus 2015 15:21

Acties:

Verwijderd

Topicstarter
MdBruin schreef op woensdag 26 augustus 2015 @ 15:18:
Je route klopt niet.

Je zou moeten hebben source vanaf je WAN en destination je camera.
Zoals het er nu staat verwijs je naar je WAN
Bedoel je bij de NAT regel? Zover ik weet kloppen die instellingen wel. De printers doen het immers ook en zijn hetzelfde ingesteld. Of bedoel je iets anders?
Ghostface9000 schreef op woensdag 26 augustus 2015 @ 15:19:
Bij welke provider zit jij ? Kan goed zijn dat de provider poorten onder 1024 blokkeert zodat je thuis geen websites, mailserver en dergelijke zou hosten. Probeer eens extern een andere poort bvb 8383
Ziggo Zakelijk. En port 443 doet het wel (remote web access voor de router) dus neem aan dat poorten onder de 1024 niet geblokkeerd zijn. Ik heb trouwens 8383 al geprobeerd :)

woensdag 26 augustus 2015 15:26

Acties:
  • _-= Erikje =-_
  • Registratie: Maart 2000
  • Laatst online: 17-11 13:54

_-= Erikje =-_

Verwijderd schreef op woensdag 26 augustus 2015 @ 15:19:
Ik heb vanaf de LAN geprobeerd de camera extern te benaderen. Dit werkt ook als ik de router extern benader vanuit de LAN. Dit zou verder ook niet uit moeten maken? Zodra ik het externe IP-adres gebruik ziet de router het als een WAN verbinding die tot stand wordt gebracht, toch?
Alleen als dat ding NAT hairpinning doet

woensdag 26 augustus 2015 15:26

Acties:
  • Chrisz
  • Registratie: Mei 2005
  • Laatst online: 29-11 12:09

Chrisz

Verwijderd schreef op woensdag 26 augustus 2015 @ 14:55:
Bedankt voor de vlotte reactie. Ik denk niet dat het in de routing zit. Als ik immers de router zelf extern wil benaderen dan werkt de Firewall regel daarvan prima (https://213.124.31.110/) logischerwijs zou die het ook niet doen als daar het euvel zat. Zo ook werken de Firewall/NAT regels van de printers correct (krijg printopdrachten vanuit de cloud binnen op ons interne network). Ik krijg het dus alleen niet aan de praat bij de camera's.

Ik zal nog eens de firmware proberen te updaten maar denk ook niet dat het daar aan ligt.

Iemand anders nog ideeen?
Als je printers het wel doen, dan is het enige verschil wat ik kan ontdekken dat je bij je camera geen Source Port (en wellicht ook Source Address?) hebt opgegeven.

Mijn gaming rigs | Steam: xitro01 | PSN: Xitro1

woensdag 26 augustus 2015 15:30

Acties:
  • MdBruin
  • Registratie: Maart 2011
  • Laatst online: 12-05-2024

MdBruin

Kan nu niet even voor je kijken (tenzij Jeroen me al voor is), zodra ik thuis wel. Heb ook lopen klieren voordat iemand mij de oplossing gaf.

Hairpin wordt ondersteund maar je moet deze wel even zelf aanzetten.

woensdag 26 augustus 2015 15:33

Acties:

Verwijderd

Topicstarter
_-= Erikje =-_ schreef op woensdag 26 augustus 2015 @ 15:26:
[...]

Alleen als dat ding NAT hairpinning doet
Ik heb voor de gein geprobeerd met mijn mobiel de camera te benaderen en dat werkt ook niet...
Chrisz schreef op woensdag 26 augustus 2015 @ 15:26:
[...]


Als je printers het wel doen, dan is het enige verschil wat ik kan ontdekken dat je bij je camera geen Source Port (en wellicht ook Source Address?) hebt opgegeven.
Door geen port bij de source in te vullen zou deze regel afgaan (en dus niet gedropt moeten worden) als port 83 vanaf een willekeurige port benaderd wordt. Zou dus ook niet uit moeten maken?

woensdag 26 augustus 2015 15:38

Acties:
  • Chrisz
  • Registratie: Mei 2005
  • Laatst online: 29-11 12:09

Chrisz

Verwijderd schreef op woensdag 26 augustus 2015 @ 15:33:


Door geen port bij de source in te vullen zou deze regel afgaan (en dus niet gedropt moeten worden) als port 83 vanaf een willekeurige port benaderd wordt. Zou dus ook niet uit moeten maken?
Toch is dit het enige verschil wat ik opmerk. Feit is wel dat de ene regel het wel doet en de andere niet. Je zou het eens kunnen proberen, niet geschoten is altijd mis!

Mijn gaming rigs | Steam: xitro01 | PSN: Xitro1

woensdag 26 augustus 2015 15:43

Acties:

Verwijderd

Topicstarter
Chrisz schreef op woensdag 26 augustus 2015 @ 15:38:
[...]


Toch is dit het enige verschil wat ik opmerk. Feit is wel dat de ene regel het wel doet en de andere niet. Je zou het eens kunnen proberen, niet geschoten is altijd mis!
Helemaal mee eens :-) Helaas werkt dit ook niet. Heb het net geprobeerd. Zowel vanuit LAN als WAN met mobile. De camera valt niet te benaderen.

woensdag 26 augustus 2015 15:50

Acties:
  • Chrisz
  • Registratie: Mei 2005
  • Laatst online: 29-11 12:09

Chrisz

Verwijderd schreef op woensdag 26 augustus 2015 @ 15:43:
[...]


Helemaal mee eens :-) Helaas werkt dit ook niet. Heb het net geprobeerd. Zowel vanuit LAN als WAN met mobile. De camera valt niet te benaderen.
Firmware loste het niet op? Een simpele reboot wellicht? Verder zou ik het niet meer weten, gezien de andere regels wel gewoon naar behoren werken.

Mijn gaming rigs | Steam: xitro01 | PSN: Xitro1

woensdag 26 augustus 2015 15:53

Acties:

Verwijderd

Topicstarter
Chrisz schreef op woensdag 26 augustus 2015 @ 15:50:
[...]


Firmware loste het niet op? Een simpele reboot wellicht? Verder zou ik het niet meer weten, gezien de andere regels wel gewoon naar behoren werken.
Kan beiden pas testen als iedereen naar huis is. Werken momenteel nogal wat collega's. Maar ga dit zeker vanavond even proberen!

woensdag 26 augustus 2015 16:40

Acties:
  • MdBruin
  • Registratie: Maart 2011
  • Laatst online: 12-05-2024

MdBruin

Verwijderd schreef op woensdag 26 augustus 2015 @ 15:21:
[...]


Bedoel je bij de NAT regel? Zover ik weet kloppen die instellingen wel. De printers doen het immers ook en zijn hetzelfde ingesteld. Of bedoel je iets anders?


[...]


Ziggo Zakelijk. En port 443 doet het wel (remote web access voor de router) dus neem aan dat poorten onder de 1024 niet geblokkeerd zijn. Ik heb trouwens 8383 al geprobeerd :)
Je zou de volgende config in de DNAT moeten hebben om de camera forward te maken:

Description: IP Camera 1
Enable: aangevinkt
Inbound interface: eth2 <-- neem aan dat dit het netwerk is waarop de camera's zijn aangesloten je zou ook Switch0 kunnen gebruiken
Translations:
Address: 192.168.1.150
Port: 83
Protocol: TCP --> Mits dit uiteraard over TCP gaat en niet over UDP of zelfs beide
Destination port 83

Omdat je zo te zien een /29 subnet hebt op je WAN kan je waarschijnlijk ook je destination address opgeven als het WAN IP adres waarop je je camera zichtbaar wilt maken.

Zo te zien loop ik half te slapen :z , jou config is bijna goed op het inbound interface na.
Tevens zie ik in je firewall rules dat de camera geen source port heeft, deze zou je er nog even in kunnen zetten.

Reboot is niet nodig, alleen als je op save drukt kan het overige verkeer even een time out verwachten

[ Voor 3% gewijzigd door MdBruin op 26-08-2015 16:43 ]

woensdag 26 augustus 2015 18:24

Acties:
  • yzf1kr
  • Registratie: November 2005
  • Laatst online: 01-11 19:16

yzf1kr

Verwijderd schreef op woensdag 26 augustus 2015 @ 13:58:
Nu heb ik een NAT regel aangemaakt zie hieronder:
Inbound interface: eth0
Translation address: 192.168.1.150
Translation port: 83
Protocol: TCP
Destination address: <extern IP adres>
Destination port: 83
Wat probeer je hier te doen?
Want volgens mij haal je hier wat dingen door elkaar.

Eth0 is een WAN interface volgens mij.
Dus verkeer vanuit je WAN is de source en niet de destination.

Dus of je hebt de verkeerde interface gekozen, of je hebt de source en destination verwisseld.

https://www.facebook.com/hausbrandeck

woensdag 26 augustus 2015 18:36

Acties:
  • Jeroen_ae92
  • Registratie: April 2012
  • Laatst online: 28-11 14:17

Jeroen_ae92

Post even je full config want dnat komt voor je firewall. Indien je een firewall op je wan interface gebruikt, dan houdt die het wellicht nog tegen. Maar ik zie in je plaatjes dat dat wel in orde staat.

Anders even het volgende commando runnen: tail -f /var/log/messages | grep 83
Dan zou je iets moeten zien op welke regel van DNAT of firewall deze gehit wordt.

Zoiets dus: (zie guest_out-5-a)
code:
1

Aug 26 18:51:25 Router01 kernel: [GUEST_OUT-5-A]IN=switch0.10 OUT=eth0 MAC=24:a4:3c:b3:b7:b9:9c:c1:72:0c:79:36:08:00:45:00:00:34 SRC=172.168.1.186 DST=31.13.64.15 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=23542 DF PROTO=TCP SPT=37640 DPT=443 WINDOW=213 RES=0x00 ACK URGP=0


Heb je trouwens dual-wan draaien? Of enkel ingeprikt?

[ Voor 79% gewijzigd door Jeroen_ae92 op 26-08-2015 18:52 ]

U+

donderdag 27 augustus 2015 09:21

Acties:

Verwijderd

Topicstarter
MdBruin schreef op woensdag 26 augustus 2015 @ 16:40:
[...]


Je zou de volgende config in de DNAT moeten hebben om de camera forward te maken:

Description: IP Camera 1
Enable: aangevinkt
Inbound interface: eth2 <-- neem aan dat dit het netwerk is waarop de camera's zijn aangesloten je zou ook Switch0 kunnen gebruiken
Translations:
Address: 192.168.1.150
Port: 83
Protocol: TCP --> Mits dit uiteraard over TCP gaat en niet over UDP of zelfs beide
Destination port 83

Omdat je zo te zien een /29 subnet hebt op je WAN kan je waarschijnlijk ook je destination address opgeven als het WAN IP adres waarop je je camera zichtbaar wilt maken.

Zo te zien loop ik half te slapen :z , jou config is bijna goed op het inbound interface na.
Tevens zie ik in je firewall rules dat de camera geen source port heeft, deze zou je er nog even in kunnen zetten.

Reboot is niet nodig, alleen als je op save drukt kan het overige verkeer even een time out verwachten
Bedankt maar helaas de inbound interface op eth2 of switch0 werken beiden niet. Zoals ik al zei werken de printer regels wel en die gebruiken ook eth0 als inbound interface.

Wat betreft de source port; als ik die niet toevoeg dan zou de regel moeten afgaan op elke source port, correct? Lijkt me handiger om nu, tijdens het debuggen, deze gewoon leeg te laten? Zal het in ieder geval nog een keer proberen met port 80 (voor de volledigheid deze camera wordt benaderd via een browser GUI dus we praten over TCP packets over port 80 als source, de GUI draait op de camera zelf op port 83)
Jeroen_ae92 schreef op woensdag 26 augustus 2015 @ 18:36:
Post even je full config want dnat komt voor je firewall. Indien je een firewall op je wan interface gebruikt, dan houdt die het wellicht nog tegen. Maar ik zie in je plaatjes dat dat wel in orde staat.

Anders even het volgende commando runnen: tail -f /var/log/messages | grep 83
Dan zou je iets moeten zien op welke regel van DNAT of firewall deze gehit wordt.

Zoiets dus: (zie guest_out-5-a)
code:
1

Aug 26 18:51:25 Router01 kernel: [GUEST_OUT-5-A]IN=switch0.10 OUT=eth0 MAC=24:a4:3c:b3:b7:b9:9c:c1:72:0c:79:36:08:00:45:00:00:34 SRC=172.168.1.186 DST=31.13.64.15 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=23542 DF PROTO=TCP SPT=37640 DPT=443 WINDOW=213 RES=0x00 ACK URGP=0


Heb je trouwens dual-wan draaien? Of enkel ingeprikt?
Krijg helaas geen output bij tail -f /var/log/messages | grep 83 - nu moet ik zeggen dat ik in SHOW LOG uberhaupt geen WAN_IN zie staan, alleen WAN_LOCAL en af en toe DNAT berichten. Maar als ik http://<ip>:83 gebruik krijg ik de volgende regels te zien:

code:
1
2
3

Aug 27 09:19:40 EdgeRouter kernel: [WAN_LOCAL-default-D]IN=eth0 OUT= MAC=24:a4:3c:05:48:69:10:0e:7e:70:04:81:08:00 SRC=90.145.203.121 DST=213.124.31.110 LEN=52 TOS=0x00 PREC=0x00 TTL=120 ID=1295 DF PROTO=TCP SPT=57911 [b]DPT=8080[/b] WINDOW=8192 RES=0x00 SYN URGP=0

Aug 27 09:19:43 EdgeRouter kernel: [WAN_LOCAL-default-D]IN=eth0 OUT= MAC=24:a4:3c:05:48:69:10:0e:7e:70:04:81:08:00 SRC=90.145.203.121 DST=213.124.31.110 LEN=52 TOS=0x00 PREC=0x00 TTL=120 ID=1420 DF PROTO=TCP SPT=57911 [b]DPT=8080[/b] WINDOW=8192 RES=0x00 SYN URGP=0


Rare is dat dit nu port 8080 als destination heeft.. Klopt in ieder geval dat hij over eth0 binnen komt maar weer vreemd bij WAN_LOCAL - waarom niet WAN_IN? 8)7 8)7

donderdag 27 augustus 2015 09:39

Acties:

Verwijderd

Topicstarter
Jeroen_ae92 schreef op woensdag 26 augustus 2015 @ 18:36:
Post even je full config want dnat komt voor je firewall. Indien je een firewall op je wan interface gebruikt, dan houdt die het wellicht nog tegen. Maar ik zie in je plaatjes dat dat wel in orde staat.

Anders even het volgende commando runnen: tail -f /var/log/messages | grep 83
Dan zou je iets moeten zien op welke regel van DNAT of firewall deze gehit wordt.

Zoiets dus: (zie guest_out-5-a)
code:
1

Aug 26 18:51:25 Router01 kernel: [GUEST_OUT-5-A]IN=switch0.10 OUT=eth0 MAC=24:a4:3c:b3:b7:b9:9c:c1:72:0c:79:36:08:00:45:00:00:34 SRC=172.168.1.186 DST=31.13.64.15 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=23542 DF PROTO=TCP SPT=37640 DPT=443 WINDOW=213 RES=0x00 ACK URGP=0


Heb je trouwens dual-wan draaien? Of enkel ingeprikt?
Sorry het is nog vroeg en had niet al je vragen beantwoord :) Dual-WAN heb ik niet draaien, moet ik nog instellen.

Hierbij de volledige config:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469

firewall {
    all-ping enable
    broadcast-ping disable
    conntrack-expect-table-size 4096
    conntrack-hash-size 4096
    conntrack-table-size 32768
    conntrack-tcp-loose enable
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "Internet to LAN/WLAN"
        enable-default-log
        rule 1 {
            action accept
            description "Allow Established Sessions"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new enable
                related enable
            }
        }
        rule 2 {
            action accept
            description "Allow Printer Sessions ERIKA-PRINTER"
            destination {
                address 192.168.1.8
                port 9100
            }
            log disable
            protocol tcp_udp
            source {
                port 9100
            }
            state {
                established enable
                invalid enable
                new enable
                related enable
            }
        }
        rule 3 {
            action accept
            description "Allow Printer Sessions jorn-PRINTER"
            destination {
                address 192.168.1.7
                port 9100
            }
            log disable
            protocol tcp_udp
            source {
                port 9100
            }
            state {
                established enable
                invalid enable
                new enable
                related enable
            }
        }
        rule 4 {
            action accept
            description "Allow Remote Sessions IPCamera-1"
            destination {
                address 192.168.1.150
                port 83
            }
            log enable
            protocol tcp
            source {
            }
            state {
                established enable
                invalid enable
                new enable
                related enable
            }
        }
        rule 5 {
            action drop
            description "Drop Invalid Sessions"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "Internet to Router"
        enable-default-log
        rule 2 {
            action accept
            description "Allow Established Sessions"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 3 {
            action accept
            description "Allow Remote Sessions"
            destination {
                port 443
            }
            log enable
            protocol tcp_udp
            state {
                established enable
                invalid disable
                new enable
                related enable
            }
        }
        rule 4 {
            action drop
            description "Drop Invalid Sessions"
            log enable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        address 213.124.31.110/29
        address 213.124.31.109/29
        address 213.124.31.108/29
        address 213.124.31.107/29
        address 213.124.31.106/29
        description "Ziggo WAN"
        duplex auto
        firewall {
            in {
                name WAN_IN
            }
            local {
                name WAN_LOCAL
            }
        }
        poe {
            output off
        }
        speed auto
    }
    ethernet eth1 {
        address dhcp
        description "XS4ALL WAN"
        duplex auto
        firewall {
            in {
                name WAN_IN
            }
            local {
                name WAN_LOCAL
            }
        }
        poe {
            output off
        }
        speed auto
    }
    ethernet eth2 {
        description EdgeSwitch
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth3 {
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth4 {
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    loopback lo {
    }
    switch switch0 {
        address 192.168.1.1/24
        address 192.168.2.1/24
        address 192.168.3.1/24
        address 192.168.4.1/24
        address 192.168.5.1/24
        switch-port {
            interface eth2
            interface eth3
            interface eth4
        }
    }
}
service {
    dhcp-server {
        disabled false
        shared-network-name FirgosLAN {
            authoritative disable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.1
                dns-server 192.168.1.1
                lease 86400
                start 192.168.1.10 {
                    stop 192.168.1.254
                }
                static-mapping AlliedTelesis {
                    ip-address 192.168.1.3
                    mac-address 00:15:77:f2:3d:ca
                }
                static-mapping EdgeSwitch {
                    ip-address 192.168.1.2
                    mac-address 04:18:d6:a1:a7:f9
                }
                static-mapping FoscamIPCam-1 {
                    ip-address 192.168.1.150
                    mac-address 00:62:6e:59:36:9b
                }
                static-mapping HP-LJ-400MFP {
                    ip-address 192.168.1.8
                    mac-address 88:51:fb:ed:79:ee
                }
                static-mapping HP-LJ-M4555MFP {
                    ip-address 192.168.1.7
                    mac-address a0:d3:c1:83:4b:ef
                }
                static-mapping JORN-LAPTOP {
                    ip-address 192.168.1.11
                    mac-address 8c:dc:d4:7f:ce:77
                }
                static-mapping UniFiAP-1 {
                    ip-address 192.168.1.4
                    mac-address 04:18:d6:80:91:79
                }
                static-mapping UniFiAP-2 {
                    ip-address 192.168.1.5
                    mac-address 04:18:d6:80:91:9f
                }
                static-mapping UniFiAP-3 {
                    ip-address 192.168.1.6
                    mac-address 04:18:d6:80:83:1d
                }
            }
        }
        shared-network-name FirgosVLAN1 {
            authoritative disable
            subnet 192.168.4.0/24 {
                default-router 192.168.4.1
                dns-server 192.168.4.1
                lease 86400
                start 192.168.4.10 {
                    stop 192.168.4.254
                }
            }
        }
        shared-network-name FirgosWLAN {
            authoritative disable
            subnet 192.168.2.0/24 {
                default-router 192.168.2.1
                dns-server 192.168.2.1
                lease 86400
                start 192.168.2.10 {
                    stop 192.168.2.254
                }
            }
        }
        shared-network-name FirgosWLAN-Guest {
            authoritative disable
            subnet 192.168.3.0/24 {
                default-router 192.168.3.1
                dns-server 192.168.3.1
                lease 86400
                start 192.168.3.10 {
                    stop 192.168.3.254
                }
            }
        }
    }
    dns {
        forwarding {
            cache-size 150
            listen-on eth2
            listen-on eth3
            listen-on eth4
            listen-on switch0
        }
    }
    gui {
        https-port 443
    }
    nat {
        rule 1 {
            description "Printer Erika"
            destination {
                address 213.124.31.110
                port 9100
            }
            inbound-interface eth0
            inside-address {
                address 192.168.1.8
                port 9100
            }
            log disable
            protocol tcp
            source {
            }
            type destination
        }
        rule 2 {
            description "Printer Binnendienst"
            destination {
                address 213.124.31.110
                port 9101
            }
            inbound-interface eth0
            inside-address {
                address 192.168.1.7
                port 9100
            }
            log disable
            protocol tcp
            source {
            }
            type destination
        }
        rule 3 {
            description IPCamera-1
            destination {
                address 213.124.31.110
                port 83
            }
            inbound-interface eth0
            inside-address {
                address 192.168.1.150
                port 83
            }
            log enable
            protocol tcp
            source {
            }
            type destination
        }
        rule 4 {
            description IPCamera-2
            destination {
                address 213.124.31.110
                port 84
            }
            inbound-interface eth0
            inside-address {
                address 192.168.1.151
                port 84
            }
            log enable
            protocol tcp
            source {
            }
            type destination
        }
        rule 5 {
            description IPCamera-3
            destination {
                address 213.124.31.110
                port 85
            }
            inbound-interface eth0
            inside-address {
                address 192.168.1.152
                port 85
            }
            log enable
            protocol tcp
            source {
            }
            type destination
        }
        rule 5000 {
            description "Mask for Ziggo"
            log disable
            outbound-interface eth0
            protocol all
            type masquerade
        }
        rule 5001 {
            description "Mask for XS4ALL"
            log disable
            outbound-interface eth1
            protocol all
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
}
system {
    domain-name Firgos
    gateway-address 213.124.31.105
    host-name EdgeRouter
    login {
        user ubnt {
            authentication {
                encrypted-password ****************
                plaintext-password ****************
            }
            full-name Admin
            level admin
        }
        user webstate {
            authentication {
                encrypted-password ****************
                plaintext-password ****************
            }
            full-name Webstate
            level admin
        }
    }
    name-server 8.8.8.8
    name-server 8.8.4.4
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Amsterdam
}

donderdag 27 augustus 2015 13:53

Acties:

Verwijderd

Topicstarter
Nog ter info; ik heb de firmware geupdate naar 1.7 en geprobeerd gebruik te maken van de Port Forward feature. Ook hiermee krijg ik hem niet aan de praat.

tail -f /var/log/messages | grep 83 laat geen logs zien op die port

show interfaces ethernet eth0 capture port 83 laat ook geen traffic zien op die port

donderdag 27 augustus 2015 13:58

Acties:

Verwijderd

Topicstarter
UPDATE! Ik heb het aan de praat gekregen door bij de Port Forward feature de LAN interface op switch0 te zetten!! :)

Het werkt nu dus dat is geweldig. Echter wil ik het ook aan de praat krijgen als ik het handmatig via NAT+Firewall feature wil instellen. Iemand een idee hoe we hier nu achter kunnen komen?

donderdag 27 augustus 2015 17:23

Acties:
  • MdBruin
  • Registratie: Maart 2011
  • Laatst online: 12-05-2024

MdBruin

Je hebt screenshots gemaakt met de oude situatie. Vergelijk deze eens met de nieuwe.

Ik blijf het vreemd vinden dat de printers gevonden worden aangezien het adres waar je naar verwijst helemaal niet op de eth0 interface gevonden zouden mogen worden.

Een tipje, bij je firewall heb je een niet gewenste optie geselecteerd. Alle verbindingen die geaccepteerd worden moet je geen status invalid geven. Hiermee accepteer je verbindingen welke niet kloppen maar wel naar de poort verwijzen.

donderdag 27 augustus 2015 19:52

Acties:
  • Jeroen_ae92
  • Registratie: April 2012
  • Laatst online: 28-11 14:17

Jeroen_ae92

Ik zie best wel een aantal dingen die mis zijn met je config. Deze verklaren het gedrag niet maar helpen zeker ook niet mee. Zet dit eerst even recht alvorens je verder gaat testen.

Je definieert meerdere keren hetzelfde subnet op je WAN interface per ip adres. Eenmaal het subnet ingeven is voldoende. Je hoeft niet alle ip's te doen met een /29. Immers, een enkel ip zou een /32 moeten zijn.
Verander het adres op je WAN interface in: 213.124.31.106/29. Je gateway staat al goed.

Overigens zijn je DNAT rules goed. Wel is het handig om even bij rule 1 en rule 5 op WAN_IN ruleset de log aan te zetten. Zonder deze log zie je vermoedelijk niet waar het mis gaat.
Dit kun je later wel weer uit zetten.

En waarom definieer je meerdere subnetten op je switch0? Kun je niet beter voor elk subnet een vlan aanmaken?

Je dns forwarding hoeft enkel switch0 te hebben als de eth2, eth3 en eth4 in de switch0 zitten. Het heeft geen zin om de losse interfaces te definieren.

U+

vrijdag 28 augustus 2015 10:36

Acties:

Verwijderd

Topicstarter
MdBruin schreef op donderdag 27 augustus 2015 @ 17:23:
Je hebt screenshots gemaakt met de oude situatie. Vergelijk deze eens met de nieuwe.

Ik blijf het vreemd vinden dat de printers gevonden worden aangezien het adres waar je naar verwijst helemaal niet op de eth0 interface gevonden zouden mogen worden.

Een tipje, bij je firewall heb je een niet gewenste optie geselecteerd. Alle verbindingen die geaccepteerd worden moet je geen status invalid geven. Hiermee accepteer je verbindingen welke niet kloppen maar wel naar de poort verwijzen.
Ik begrijp je stuk van de eth0 interface niet. Mijn inziens (en ik ben geen echte kenner hoor) komt alles van WAN binnen op eth0. Aangezien NAT voor de Firewall gebeurt is de inbound interface bij DNAT toch gewoon eth0? Hij vertaald dan alle aanvragen van extern ip (destination address) naar een intern ip adres (translation address) of heb ik dit mis?

Bedankt voor de tip bij de firewall.
Jeroen_ae92 schreef op donderdag 27 augustus 2015 @ 19:52:
Ik zie best wel een aantal dingen die mis zijn met je config. Deze verklaren het gedrag niet maar helpen zeker ook niet mee. Zet dit eerst even recht alvorens je verder gaat testen.

Je definieert meerdere keren hetzelfde subnet op je WAN interface per ip adres. Eenmaal het subnet ingeven is voldoende. Je hoeft niet alle ip's te doen met een /29. Immers, een enkel ip zou een /32 moeten zijn.
Verander het adres op je WAN interface in: 213.124.31.106/29. Je gateway staat al goed.

Overigens zijn je DNAT rules goed. Wel is het handig om even bij rule 1 en rule 5 op WAN_IN ruleset de log aan te zetten. Zonder deze log zie je vermoedelijk niet waar het mis gaat.
Dit kun je later wel weer uit zetten.

En waarom definieer je meerdere subnetten op je switch0? Kun je niet beter voor elk subnet een vlan aanmaken?

Je dns forwarding hoeft enkel switch0 te hebben als de eth2, eth3 en eth4 in de switch0 zitten. Het heeft geen zin om de losse interfaces te definieren.
Helemaal top! Zoals ik hierboven ook al zei; ben geen echte kenner maar begin Ubiquiti steeds geweldiger te vinden! :) Ik heb opgevolgd alleen heb nog wel vragen uit nieuwsgierigheid; je gaf aan 213.124.31.106/29 alleen te defineren bij eth0. Ik dacht dat ip 110 dan bijvoorbeeld niet meer te bereiken was maar dit is dus wel zo omdat er /29 gedefineerd wordt?

Wanneer ziet de router iets als WAN_IN en wanneer als WAN_LOCAL? Ik weet dat WAN_LOCAL op de router zelf is en WAN_IN vanuit internet. Maar wanneer/hoe wordt dit onderscheid gemaakt? Ik heb geen DNAT regel die iets forward naar de router zelf bij binnenkomst..

Bedankt voor de tip van het aanzetten van de regel loggings bij WAN_IN. Dit heb ik gedaan (zie echter nog steeds niets verschijnen in show log / tail commando. Welke port ik ook gebruik in mijn browser (dus ook porten die niet in DNAT/Firewall staan).

De redden dat ik meerdere heb gedefineerd is omdat ik simpelweg nog nooit met VLAN gewerkt heb. Wil me daar later nog even verder op inlezen en dat gaan toepassen - op dit moment ook nog niet nodig.

Ik heb je tip (en eigenlijk dus alle tips :)) betreffende de DNS instelling ter harte genomen. Bedankt!

vrijdag 28 augustus 2015 14:57

Acties:
  • Jeroen_ae92
  • Registratie: April 2012
  • Laatst online: 28-11 14:17

Jeroen_ae92

Kun je je huidige config nog even pasten? Dan kan ik die eens inladen in een testopstelling. Ik vind het bizar en eigenaardig dat het niet gewoon werkt. Je settings ogen dan ook gewoon goed te staan.

U+

vrijdag 28 augustus 2015 15:17

Acties:
  • MdBruin
  • Registratie: Maart 2011
  • Laatst online: 12-05-2024

MdBruin

Verwijderd schreef op vrijdag 28 augustus 2015 @ 10:36:
[...]


Ik begrijp je stuk van de eth0 interface niet. Mijn inziens (en ik ben geen echte kenner hoor) komt alles van WAN binnen op eth0. Aangezien NAT voor de Firewall gebeurt is de inbound interface bij DNAT toch gewoon eth0? Hij vertaald dan alle aanvragen van extern ip (destination address) naar een intern ip adres (translation address) of heb ik dit mis?

Bedankt voor de tip bij de firewall.


[...]
Ja het werkt apart zoals je merkt. Als ik me niet vergis moet je zo denken bij Ubiquiti.

De destination is je inkomende verbinding vanaf het Internet. Het Internet weet niet van je interne LAN waardoor het destination adres van het pakket altijd verwijst naar je WAN adres.

Dan de source, voor je router is de bron waar de informatie staat de source. Vandaar dat de source in jouw geval zou moeten wijzen naar de printer/camera.

Nu begin ik ook een beetje te begrijpen waarom je bij jou wel werkt. Je hebt geen strikte firewall tussen je verschillende zones (subnets) zitten waardoor de NAT deze gewoon routeert naar de juiste interface. Is eigenlijk niet je bedoeling qua security maar je zegt in je firewall niet dat niet mag.

vrijdag 28 augustus 2015 20:35

Acties:
  • Jeroen_ae92
  • Registratie: April 2012
  • Laatst online: 28-11 14:17

Jeroen_ae92

Kan het zijn dat de camera's niet correct ingesteld staan? Ik heb de config van de vorige pagina ingeladen en getest. Deze functioneert naar behoren en ik kan keurig verbinden via de poorten 443 (local), 9100, 9101 en poort 83.

Hetzelfde zie ik als ik een port scan doe op je wan adres. Ik zie de poorten 443, 9100 en 9101 als open maar 83 gesloten. Maw, er reageert iets niet. Je geeft aan dat de camera's het intern wel doen dus ik heb een klein vermoeden dat er netwerktechnisch iets mis is met de camera's zoals bv de gateway. Zolang de camera's in hetzelfde subnet zitten kunnen ze mekaar wel vinden. Echter verkeer van buiten werkt niet.

Kun je dat eens nakijken?

Hmmm wel gek dat het wel werkt met de port forward opties... Nouja, check check, double check

U+

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq