Domein naar poort achter router, zonder poort in URL

maandag 10 december 2018 20:50

Acties:

Topicstarter

TL;DR: Hoe zorg ik ervoor dat mijn router 'nas.sjeefr.com' doorstuurt naar 192.168.0.100:5001, in plaats van nas.sjeefr.com:5001 in te tikken?

Nu drie weken in mijn eigen huis en ook een nieuwe router (pricewatch: TP-Link Archer C3200 - Tri-Band Gigabit Router) erbij genomen. Tevens heb ik een Synology NAS staan waar diverse applicaties op draaien. Voorheen met PortForwarding op een KPN router kunnen instellen dat ik vanuit een subdomein, zonder poort, direct naar een applicatie achter de router, op de NAS kon navigeren. Bv. nas.sjeefr.com gaat naar (WAN):5005. Ik ben er vrij zeker van dat ik dit voor elkaar had gekregen, maar helaas lukt dat mij nu niet.

Echter, als ik er over nadenk.. Hoe weet mijn router, enkel via een domeinnaam, naar welke ip:poort 'ie de gebruiker moet doorsturen? nas.sjeefr.com gaat naar x.x.x.x (mijn publieke IP), maar zonder :5005 weet mijn router niet dat ie door moet naar het interne 5005.. of wel?

Enige optie, dat ik mij kan bedenken, is de NAS koppelen aan :80 en via ReverseProxy op de Synology het signaal doorsturen naar de juiste applicatie.. Maar om nou mijn NAS achter poort 80 te zetten..

Dus wie heeft een idee hoe ik zonder een poort te noemen naar de juiste app kan gaan? Scheelt onthouden van de nummers..

Hieronder de twee opties van de Archer C3200 wat betreft port forwarding.

Afbeeldingslocatie: https://tweakers.net/ext/f/ZrdUvkOSTyAplLT2qoJlfJRM/full.jpg

Afbeeldingslocatie: https://tweakers.net/ext/f/ZrdUvkOSTyAplLT2qoJlfJRM/full.jpg

[ Voor 4% gewijzigd door Sjeefr op 10-12-2018 20:53 ]

maandag 10 december 2018 20:55

Acties:

Luchtbakker

Elke dag een "beetje" beter

Het IP adres van je modem (publiek ip adres) als a record gebruiken bij je registar?

maandag 10 december 2018 20:57

Acties:

Sjeefr

Topicstarter

Luchtbakker schreef op maandag 10 december 2018 @ 20:55:
Het IP adres van je modem (publiek ip adres) als a record gebruiken bij je registar?

Dat staat al ingesteld

Dan kom ik bij m'n router hier terecht.. Nu dus zorgen dat mijn router snapt dat ie vervolgens doormoet naar het juiste apparaat in het netwerk..

maandag 10 december 2018 20:59

Acties:

Luchtbakker

Elke dag een "beetje" beter

Sjeefr schreef op maandag 10 december 2018 @ 20:57:
[...]

Dat staat al ingesteld Dan kom ik bij m'n router hier terecht.. Nu dus zorgen dat mijn router snapt dat ie vervolgens doormoet naar het juiste apparaat in het netwerk..

Heb je in je kpn router DMZ geconfigureerd?

Edit; anders port forwarding.

[ Voor 4% gewijzigd door Luchtbakker op 10-12-2018 21:00 ]

maandag 10 december 2018 20:59

Acties:

AW_Bos

Liefhebber van nostalgie... 🕰️

- ik zag het verkeerd, oeps

-

[ Voor 151% gewijzigd door AW_Bos op 10-12-2018 21:01 ]

☎ Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

maandag 10 december 2018 21:01

Acties:

wolly_a

Als je de DNS instellingen goed hebt, wil je op je router met NAT waarschijnlijk poort 80 extern doorzetten naar het interne ip adres van de NAS met poort 5001.

maandag 10 december 2018 21:03

Acties:

Sjeefr

Topicstarter

Ik had al een licht vermoeden dat :80 naar m'n NAS moest, maar volgens mij is het niet 'best practise' om poort 80 zo volledig open te zetten?

Luchtbakker schreef op maandag 10 december 2018 @ 20:59:
[...]

Heb je in je kpn router DMZ geconfigureerd?

Edit; anders port forwarding.

Nope

maandag 10 december 2018 21:04

Acties:

DukeBox

loves wheat smoothies

Neem aan dat het om een synology gaat, 5001 is secure, dus middels port mapping moet je dan 443 hebben evt. ook 5000 mappen naar 80 met een redirect.

De beste methode is echter gewoon een dsm custom domain te gebruiken, dan kan je gewoon 80/443 naar 80/443 mappen en daarnaast krijg je dan alleen dsm te zien met de juiste dns. Dat voorkomt dat ie ook op ip toegang geeft tot dsm (gevoeliger voor portscans) i.p.v. een apache/nginx landing page.

[ Voor 50% gewijzigd door DukeBox op 11-12-2018 08:09 ]

Duct tape can't fix stupid, but it can muffle the sound.

maandag 10 december 2018 21:08

Acties:

Oogje

Sjeefr schreef op maandag 10 december 2018 @ 20:50:
TL;DR: Hoe zorg ik ervoor dat mijn router 'nas.sjeefr.com' doorstuurt naar 192.168.0.100:5001, in plaats van nas.sjeefr.com:5001 in te tikken?

Tja impliciet is HTTP://nas.sjeefr.com het volgende: HTTP://nas.sjeefr.com:80

Net zoals HTTPS impliciet :443 is. Daar ga je niets aan kunnen wijzigen, hooguit poort 80 aan de buitenkant doorzetten naar 5001 aan de binnenkant.
Als je dat niet wil zul je t poortnummet moeten onthouden

Moet je router dat wel kunnen (portforwarding)

[ Voor 4% gewijzigd door Oogje op 10-12-2018 21:09 ]

Any errors in spelling, tact, or fact are transmission errors.

maandag 10 december 2018 21:08

Acties:

wolly_a

DukeBox schreef op maandag 10 december 2018 @ 21:04:
Neem aan dat het om een synology gaat, 5001 is secure, dus middels port mapping moet je dan 443 hebben env. Ook 5000 mappen naar 80 met een redirect.

Dat ja... Volgens mij kan je in je Synology ook de poortnummers 5000 en 5001 wijzigen. Daar zou je eventueel 80 en 443 neer kunnen zetten.

Update: Even opgezocht in mijn Synology... De poortnummers van de Synology staan onder Configuratiescherm->Netwerk->DSM Settings

[ Voor 14% gewijzigd door wolly_a op 10-12-2018 21:11 ]

maandag 10 december 2018 21:10

Acties:

DukeBox

loves wheat smoothies

@wolly_a wijzigen zou ik niet doen (is ook niet nodig).

Duct tape can't fix stupid, but it can muffle the sound.

maandag 10 december 2018 21:11

Acties:

laurens0619

Gewoon in de router (bovenste plaatje) External poort 443 en internal poort 5001 invullen
dan kun je je nas benaderen door https://hostname in te tikken in je browser

of helemaal geen portmappen en gebruikmaken van quickconnect.to

[ Voor 27% gewijzigd door laurens0619 op 10-12-2018 21:12 ]

CISSP! Drop your encryption keys!

maandag 10 december 2018 21:11

Acties:

wolly_a

DukeBox schreef op maandag 10 december 2018 @ 21:10:
@wolly_a wijzigen zou ik niet doen (is ook niet nodig).

Nee, in principe zou NAT voldoende moeten zijn. Dit is het alternatief.

maandag 10 december 2018 22:06

Acties:

DukeBox

loves wheat smoothies

@wolly_a nee een custom domain voor dsm, dat is juist voor dit doel gemaakt.

Duct tape can't fix stupid, but it can muffle the sound.

dinsdag 11 december 2018 07:42

Acties:

HKLM_

Dit kan je ook instellen op je synology. Zal straks op mijn werk opzoeken in welk veld het was voor je.

Cloud ☁️

dinsdag 11 december 2018 07:57

Acties:

Sjeefr

Topicstarter

Ik heb nu toch poort 80 en 443 doorgezet naar respectievelijk interne poort 5000&5001. Hij komt zodoende aan op de NAS. Echter als ik de reverse proxy instel bij Application Portal, zoals voorheen ook gedaan, waarbij poort, protocol en domein overeenkomt met hoe ik binnenkom op de NAS, dan stuurt ie mij niet door naar de betreffende applicatie, maar blijft ie bij de NAS terugkomen. Alsof m'n router de header niet doorstuurt naar de NAS, zodat ie de reverse proxy niet weet uit te voeren..

dinsdag 11 december 2018 08:09

Acties:

spone

Volgens mij als je zowel 80, 443, 5000 als 5001 doorstuurt naar je Synology dan moet het goed komen. Zelf poorten door je router laten omnummeren werkt niet heel fantastisch omdat er dan op applicatieniveau dingen stuk gaan.

i5-14600K | 32GB DDR5-6000 | RTX 5070 - MacBook Pro M1 Pro 14" 16/512

dinsdag 11 december 2018 09:18

Acties:

Sjeefr

Topicstarter

spone schreef op dinsdag 11 december 2018 @ 08:09:
Volgens mij als je zowel 80, 443, 5000 als 5001 doorstuurt naar je Synology dan moet het goed komen. Zelf poorten door je router laten omnummeren werkt niet heel fantastisch omdat er dan op applicatieniveau dingen stuk gaan.

80/443 gaan naar 5000/5001, de HTTP en HTTPS poort van mijn NAS. Vervolgens zou mijn NAS, o.b.v. de HTTP-HEADER informatie, afhankelijk van de ingevoerde URL, de gebruiker naar een andere poort toesturen dan zichzelf. Mocht de url dus films.sjeefr.com zijn, dan gaat ie van 443 → 5001 → 5005. De router doet de eerste conversie, de NAS de tweede.

Echter blijft het verkeer nu hangen op de NAS en word ik niet doorgestuurd. Dat was voorheen wel het geval

dinsdag 11 december 2018 10:09

Acties:

Janoz

Moderator Devschuur®

!litemod

Dat ligt er aan hoe je het doorsturen regelt. Als je een echte reversed proxy gebruikt dan zou hij moeten doorsturen naar localhost:5005. Gebruik je echter een header redirect, dan gaat het nooit werken aangezien alleen poort 5001 bereikbaar is van buiten.

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

dinsdag 11 december 2018 10:31

Acties:

lier

MikroTik nerd

Weet je zeker dat je je beheer portaal publiek beschikbaar wil maken? En zo ja...waarom?

Eerst het probleem, dan de oplossing

dinsdag 11 december 2018 10:36

Acties:

DukeBox

loves wheat smoothies

lier schreef op dinsdag 11 december 2018 @ 10:31:
Weet je zeker dat je je beheer portaal publiek beschikbaar wil maken? En zo ja...waarom?

DSM is niet specifiek een beheer portaal..

Duct tape can't fix stupid, but it can muffle the sound.

dinsdag 11 december 2018 10:41

Acties:

Tsurany

⭐⭐⭐⭐⭐

DukeBox schreef op dinsdag 11 december 2018 @ 10:36:
[...]

DSM is niet specifiek een beheer portaal..

Dat is het juist wel. Disk Station Manager is de management interface. Je moet je Synology dus goed up to date houden en zorgen dat je accounts goed beveiligd zijn met sterkte wachtwoorden.

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

dinsdag 11 december 2018 10:49

Acties:

DukeBox

loves wheat smoothies

Tsurany schreef op dinsdag 11 december 2018 @ 10:41:
Dat is het juist wel. Disk Station Manager is de management interface.

Nee, niet expliciet op de manier zoals jij managen stelt. Zie https://www.synology.com/nl-nl/dsm
Het is juist de single point of access naar alle applicaties die je hebt draaien, deze kan je natuurlijk ook per stuk via een application portal aanbieden maar lang niet allen ondersteunen dat.

Je moet je Synology dus goed up to date houden en zorgen dat je accounts goed beveiligd zijn met sterkte wachtwoorden.

Dat uiteraard.. maar dat geld voor alles wat je aan internet hangt.

Duct tape can't fix stupid, but it can muffle the sound.

dinsdag 11 december 2018 10:58

Acties:

lier

MikroTik nerd

DukeBox schreef op dinsdag 11 december 2018 @ 10:36:
DSM is niet specifiek een beheer portaal..

Laten we niet in een semantische discussie verzanden.

De reden dat ik het vraag is omdat ik het ontzettend dom vindt om "zo maar" iets publiek beschikbaar te stellen. Tenzij daar een hele goede reden voor is.

Eerst het probleem, dan de oplossing

dinsdag 11 december 2018 11:15

Acties:

Nogne

>.<

Sjeefr schreef op dinsdag 11 december 2018 @ 07:57:
Ik heb nu toch poort 80 en 443 doorgezet naar respectievelijk interne poort 5000&5001. Hij komt zodoende aan op de NAS. Echter als ik de reverse proxy instel bij Application Portal, zoals voorheen ook gedaan, waarbij poort, protocol en domein overeenkomt met hoe ik binnenkom op de NAS, dan stuurt ie mij niet door naar de betreffende applicatie, maar blijft ie bij de NAS terugkomen. Alsof m'n router de header niet doorstuurt naar de NAS, zodat ie de reverse proxy niet weet uit te voeren..

Indien je 80/443 verwijst naar 5000/5001 gaat de reverse proxy niet werken. Reverse proxy werkt op 80/443.

Stel je port in van 80/443 naar je nas op 80/443 en stel je reverse proxy op je synology zodanig in. Dat de verwijzing goed staat.

Afbeeldingslocatie: https://tweakers.net/ext/f/f1ffBCicSfrAXAgyRqpUvJUa/medium.png

[ Voor 15% gewijzigd door Nogne op 11-12-2018 11:25 . Reden: Screenshot toegevoegd. ]

PS/XBL: Nogne

dinsdag 11 december 2018 11:26

Acties:

laurens0619

Sjeefr schreef op dinsdag 11 december 2018 @ 07:57:
Ik heb nu toch poort 80 en 443 doorgezet naar respectievelijk interne poort 5000&5001. Hij komt zodoende aan op de NAS. Echter als ik de reverse proxy instel bij Application Portal, zoals voorheen ook gedaan, waarbij poort, protocol en domein overeenkomt met hoe ik binnenkom op de NAS, dan stuurt ie mij niet door naar de betreffende applicatie, maar blijft ie bij de NAS terugkomen. Alsof m'n router de header niet doorstuurt naar de NAS, zodat ie de reverse proxy niet weet uit te voeren..

Wat heb je precies ingevuld?

Waar heb je precies de reverse proxy voor nodig? Welke applicaties op welke interne ip adressen/poorten probeer je beschikbaar te maken?

Als ik het goed herinner dan draait de reverse proxy namelijk op een andere poort dan DSM.
DSM = 5000/5001 en reverse proxy = 80/443

Als je hier gebruik van wilt maken moet je dus niet intern doormappen naar 5001 maar 5000.

Maar eerst maar eens duidelijk krijgen welke services je wilt exposen

edit: met @Nogne hierboven dus

CISSP! Drop your encryption keys!

dinsdag 11 december 2018 11:29

Acties:

DukeBox

loves wheat smoothies

Nogne schreef op dinsdag 11 december 2018 @ 11:15:
Indien je 80/443 verwijst naar 5000/5001 gaat de reverse proxy niet werken. Reverse proxy werkt op 80/443.

De reverse proxy kan ook gewoon op 5000/5001 (source) meedraaien. Je kan zelfs ook https 5001 mappen naar iets anders zonder ssl.

[ Voor 11% gewijzigd door DukeBox op 11-12-2018 11:31 ]

Duct tape can't fix stupid, but it can muffle the sound.

dinsdag 11 december 2018 11:44

Acties:

Nogne

>.<

DukeBox schreef op dinsdag 11 december 2018 @ 11:29:
[...]

De reverse proxy kan ook gewoon op 5000/5001 (source) meedraaien. Je kan zelfs ook https 5001 mappen naar iets anders zonder ssl.

Dat kan zeker, maar dan moet de TS nog steeds een port invullen. De TS wil een URL invullen en dan op de juiste service/port uitkomen, daarvoor moet de reverse proxy op 80/443 draaien.

Ik had het inderdaad verkeerd verwoord.

PS/XBL: Nogne

dinsdag 11 december 2018 11:47

Acties:

DukeBox

loves wheat smoothies

@Nogne Het wordt inderdaad nogal verwarrend met port re-mappings, reverse proxy en ssl/non ssl door elkaar

@Sjeefr Misschien handig om het even grafisch op een rijtje te zetten, incl. poort nummers devices etc..

Duct tape can't fix stupid, but it can muffle the sound.

dinsdag 11 december 2018 13:12

Acties:

Sjeefr

Topicstarter

@Nogne Zet volgens mij precies de punt waar het verkeerd gaat. 80 gaat naar 5000 en niet naar 80 op de NAS, dus vandaar dat ik het niet werkend kreeg. Echter ben ik nu niet thuis en heb ik m'n router interface nog niet beschikbaar gemaakt van buitenaf, dus kan ik 't niet op afstand allemaal regelen..

Dus vanavond reageer ik of het gelukt is met zoals Nogne beschrijft

Lukt het alsnog niet, dan plaats ik wat screenshots.

Tot nu toe erg bedankt!

(P.S. De discussie omtrent DSM achter poort 80 te zetten wil ik nog wel een keer voeren, want volgens mij is dat niet het meest veilige wat betreft aanvallen).

dinsdag 11 december 2018 13:27

Acties:

Verwijderd

Als je je NAS up to date houd en sterke wachtwoorden gebruikt kan je prima 5001 forwarden naar 443 voor httpS. Ja door standaard (zoals 80 voor HTTP en 443 voor HTTPS) poorten te gebruiken ben je iets makkelijker te vinden voor mensen die kwaad in de zin hebben, maar als je de rest van je zaken op orde hebt is dat geen probleem.

Waar ik wel over val en een klok-en-klepel gevoel van krijg is deze uitspraak:

"Echter ben ik nu niet thuis en heb ik m'n router interface nog niet beschikbaar gemaakt van buitenaf".

Tenzij je dat van plan ben te doen dmv een VPN of SSH tunnel (zal wel niet, want dan kan je dat ook zo met je NAS doen) doe dat gewoon niet, ook niet via HTTPS. Het updatebeleid van veel routers is twijfelachtig en aangezien dat ding letterlijk de voordeur van je privé netwerk is, is het vragen om problemen voor de semi-leek (no-offence; gezien je forum-vraag).

[ Voor 13% gewijzigd door Verwijderd op 11-12-2018 13:28 ]

dinsdag 11 december 2018 13:30

Acties:

Sjeefr

Topicstarter

Verwijderd schreef op dinsdag 11 december 2018 @ 13:27:
Als je je NAS up to date houd en sterke wachtwoorden gebruikt kan je prima 5001 forwarden naar 443 voor httpS. Ja door standaard (zoals 80 voor HTTP en 443 voor HTTPS) poorten te gebruiken ben je iets makkelijker te vinden voor mensen die kwaad in de zin hebben, maar als je de rest van je zaken op orde hebt is dat geen probleem.

Waar ik wel over val en een klok-en-klepel gevoel van krijg is deze uitspraak:
[...]

Tenzij je dat van plan ben te doen dmv een VPN of SSH tunnel (zal wel niet, want dan kan je dat ook zo met je NAS doen) doe dat gewoon niet, ook niet via HTTPS. Het updatebeleid van veel routers is twijfelachtig en aangezien dat ding letterlijk de voordeur van je privé netwerk is, is het vragen om problemen voor de semi-leek (no-offence; gezien je forum-vraag).

In principe zal alles over HTTPS gaan, dus 80 kan gewoon 80 dan blijven en niet naar de NAS verwijzen.

wat betreft router openzetten. Ik wist even geen betere verwoording, maar laat ik het hernoemen. TP-link heeft de Tether app waarmee je, as far as I know, toegang hebt tot de instellingen van je router. Dit zal waarschijnlijk niet over poort 80 gaan, maar een specifiek protocol. Ik verwacht dat dit betrouwbaar genoeg is?

Vooralsnog bedankt voor de heads-up.

dinsdag 11 december 2018 13:34

Acties:

Nogne

>.<

Sjeefr schreef op dinsdag 11 december 2018 @ 13:30:
[...]

In principe zal alles over HTTPS gaan, dus 80 kan gewoon 80 dan blijven en niet naar de NAS verwijzen.

wat betreft router openzetten. Ik wist even geen betere verwoording, maar laat ik het hernoemen. TP-link heeft de Tether app waarmee je, as far as I know, toegang hebt tot de instellingen van je router. Dit zal waarschijnlijk niet over poort 80 gaan, maar een specifiek protocol. Ik verwacht dat dit betrouwbaar genoeg is? Vooralsnog bedankt voor de heads-up.

Ik gebruik DSM ook via poort 80/443 alleen dan via de reverse proxy. In mijn screenshot zie je de configuratie.

PS/XBL: Nogne

dinsdag 11 december 2018 13:36

Acties:

Verwijderd

Owh dat gaat via een SSH achtige verbinding en voor externe toegang via de cloud van TP-link (heb mij eens in pogen te verdiepen ivm home automation, maar helaas weinig details over bekend). Daarmee ben je natuurlijk wel afhankelijk van tp link, maar lijkt wel veilig.

Waarschijnlijk wil je wel ook 80 naar 5001 zodat je je kan starten met http:// ipv https:// en de syno je zelf doorstuurt naar de HTTPS versie.

dinsdag 11 december 2018 17:47

Acties:

BlackMonkey

Mocht het benaderen via domain:port al wel werken zou je ook een SRV-record kunnen overwegen. Dan kan je de port weglaten.

dinsdag 11 december 2018 19:40

Acties:

Sjeefr

Topicstarter

@ All: Het is in principe gelukt. Ik kom via 'films.sjeefr.com' bij de juiste applicatie terecht.. Mits ik dit doe via WiFi. Nieuw draadje geopend, want voorzover ik zie staat alles verder goed ingesteld, maar werkt het dus niet van buitenaf..

[ Voor 6% gewijzigd door Sjeefr op 11-12-2018 19:41 ]

dinsdag 11 december 2018 21:24

Acties:

Verwijderd

@Sjeefr zo werkt dat niet

films.sjeefr.com is echt weer echt een andere url; het is niet zo dat als nas.sjeefr.com(:443) werkt, je zomaar andere subdomeinen kan doorsturen zoals films.sjeefr.com. daarvoor je heb je toch echt wss een reverse proxy nodig.

Dit werkt wel binnen je eigen netwerk omdat je syno dat subdomein tegen je dhcp/dns server announced

Zorg nu eerst maar dat je nas.sjeefr.com (of eigenlijk je publieke ip) naar je syno webinterface werkt, kan je daarna verder.

Btw wel vervelend dat je weer een nieuwe topic hebt geopend, dat komt de duidelijkheid niet ten goede.

[ Voor 38% gewijzigd door Verwijderd op 11-12-2018 21:35 ]

woensdag 12 december 2018 10:18

Acties:

Sjeefr

Topicstarter

@Verwijderd Maar.. ik gebruik ook een reverse proxy om binnen mijn NAS de gebruiker door te sturen naar een andere poort/applicatie. Afhankelijk van welk domein je gebruikt (nas.sjeefr.com, films.sjeefr.com, etc.) blijf je op de NAS of ga je door naar een in de reverse proxy ingestelde applicatie/poort.

Dat werkt op dit moment gewoon goed, mits binnen het eigen netwerk.

Het doel van dit draadje was dan ook om opnieuw te bepalen waar het fout ging in de reverse proxy. Daarmee is dit draadje opgelost (moet alleen nog even een antwoord aanvinken).

Waar het nu mis gaat is dat mijn netwerk van buitenaf niet beschikbaar is. Het probleem ligt dan ook totaal ergens ander. Vanuit het focus principe, 1 onderwerp behoudt zich tot één onderwerp, lijkt mij het juist een stuk overzichtelijker en duidelijker om een nieuw topic te openen.

Maar toch bedankt!

Vraag

Alle reacties