Services op mijn LAN niet bereikbaar vanaf internet

Mijn vraag
Ik heb via mijn NAS een webserver en FTP-server draaien. Tevens heb ik op mijn Pi een OpenVPN-server draaien. Ik heb glasvezel van KPN, en daarbij zit een Experiabox v10a. Ik heb daarin een DMZ ingesteld waarin mijn router zit (Archer C7). In mijn C7 heb ik alle relevante ports geforward naar mijn NAS en Pi.

Lokaal werkt alles. Ik kan lokaal inloggen op mijn FTP, de website openen, en verbinding maken met mijn OpenVPN-server. Vanaf het internet kan dit echter allemaal niet. Ik heb, voor zover ik weet, alles goed geforward naar de juiste IP's.

Voor de volledigheid:
Mijn publieke IP:
Mijn private IP van de Experiabox: 192.168.2.254
Mijn WAN-IP van mijn router: 192.168.2.1 (DMZ dus)
Mijn LAN-IP van mijn router: 10.0.8.1
Mijn LAN-IP van mijn NAS: 10.0.8.10
Mijn LAN-IP van mijn Pi: 10.0.8.14

Mijn port forwarding-settings in mijn C7:


Relevante software en hardware die ik gebruik
Modem: Experiabox V10a
Router: TP-link Archer C7
NAS: Synology DS414
Pi: Pi 4 met OpenVPN en Pihole, dit is zowel de DNS als DHCP-server op mijn LAN. DHCP staat uiteraard uit op mijn C7.

Wat ik al gevonden of geprobeerd heb
Ik kan vanaf mijn router pingen naar 10.0.8.10 en naar 10.0.8.14. Er is dus een verbinding tussen mijn router en mijn NAS/Pi. NAS en Pi werken want lokaal kan ik naar 10.0.8.10 en 10.0.8.14 surfen in mijn browser. Port checks via bijvoorbeeld https://www.canyouseeme.org/ wijzen uit dat poort 80 dicht staat. Maar hoe kan dat, want mijn router staat in de DMZ van mijn modem, en mijn router forward port 80 naar mijn NAS. Mijn NAS kijkt naar port 80 want lokaal zie ik de website. Ik snap er niets meer van .

[ Voor 0% gewijzigd door MisteRMeesteR op 30-01-2020 08:38 . Reden: Public IP even weggehaald. ]

HKLM_ schreef op woensdag 29 januari 2020 @ 17:40:
Je moet het denk toch ff zoeken tussen je modem en je router aangezien die niet helemaal lekker zit zo te zien waardoor je porten inderdaad niet open staan.

Enig idee waar precies?

Drardollan schreef op woensdag 29 januari 2020 @ 17:44:
Ziet eruit als een dubbele NAT, dat gaat nooit werken.

Dubbele NAT werkt wel hoor, heb het jaren gebruikt. Gewoon 2x forwarden. Maar nu met deze Experiabox gaat het wat minder lekker.

Experisbox in bridge laten zetten

Dat zou eventueel een oplossing kunnen zijn, als KPN hieraan meewerkt.

of gebruiken zonder router (sowieso, wat is de reden van die router?).

Ik wissel af en toe van internetprovider. Als ik al mijn instellingen in mijn eigen router heb, hoef ik alleen maar mijn router aan mijn modem te hangen, modem in bridge mode, en alles werkt weer. Daarnaast heb ik controle over de kwaliteit van mijn router. Mijn vorige internetprovider gaf mij bijvoorbeeld een modem waar niet eens 5.0GHz-wifi op zat. Ik wil daar niet afhankelijk van zijn. Geef mij maar gewoon een internetsignaal, dan regel ik de rest zelf wel.

Archie_T schreef op woensdag 29 januari 2020 @ 17:49:
Dat je een DMZ instelt betekent niet meteen dat alle poorten open staan (hoewel de meeste routers het DMZ wel zo misbruiken). Een DMZ houd in dat je tussen twee firewalls staat. Probeer eens op de eerste router een port forward naar je router in het DMZ.

Goede tip, bedankt! Ik heb de DMZ uitgeschakeld, en de volgende forwards ingesteld in mijn modem:

Modem gereboot, helaas geen effect .

Edit: Nog een kleine tip, als je al OpenVPN gebruikt om naar je netwerk connect zou ik persoonlijk high risk dingen als FTP en HTTP(s) niet open zetten, maar dat is persoonlijk. Als je nagedacht heb over security heb ik niets gezegd

FTP is eigenlijk SFTP, gewoon FTP staat uitgeschakeld op mijn FTP-server. Ik heb overigens geen risico's op mijn netvlies van het combineren van een OpenVPN-server en een webserver. Als je daar meer over kunt uitwijden... .

DukeBox schreef op woensdag 29 januari 2020 @ 17:54:
Buiten dat zou ik zeker geen FTP gebruiken. Gebruikersnamen en wachtwoorden gaan daar plain text overheen. Op zijn minst zou ik het dan via je VPN tunnel doen (waarom doe je niet alles via die tunnel ?)

Het is dus SFTP wat ik gebruik. Ik doe dat niet via VPN omdat ook anderen gebruik maken van die FTP-server. Ook mensen die ik niet direct op mijn LAN hoef te hebben .

Marco1994 schreef op woensdag 29 januari 2020 @ 17:56:
Wellicht verstandig om je publieke ip weg te halen, desondanks dat het in mo tags staat

Thanks, ik laat hem nog even staan, totdat ik een oplossing heb .

HKLM_ schreef op woensdag 29 januari 2020 @ 18:51:
Waarom al die porten? Probeer het eens met alleen poort 80 of 443. Staat op je synology de firewall toevallig aan? en iets te scherp afgesteld voor verbindingen naar buiten?

Helaas ook geen effect .

Staat op je synology de firewall toevallig aan? en iets te scherp afgesteld voor verbindingen naar buiten? Probeer als die aan staat dat ding eens uit te zetten.

Firewall op de NAS staat uit. Als dat het probleem zou zijn, zou OpenVPN wel moeten werken, want dat zit niet op mijn NAS...

Overigens net nog even geprobeerd te pingen vanaf mijn Pi naar mijn modem, dat komt gewoon aan. Dus er is een verbinding tussen die twee. Wat op zich ook wel te verwachten was, maar ik probeer ook maar gewoon alles uit te sluiten .

[ Voor 20% gewijzigd door Bart ® op 29-01-2020 18:59 ]

deagan1337 schreef op woensdag 29 januari 2020 @ 18:56:
Sluit iets aan ( laptop ) op een lan poort van je experiabox en connect dan op het WAN IP wat je C7 router heeft gekregen, kijk of het dan werkt ( poort 80 of whatever wat je forward ), om uit te sluiten dat het aan je router(C7) ligt. Als dat werkt ligt het aan je internet modem/router(experiabox).

Als ik dat doe, dan kan ik wel pingen naar 192.168.2.254 en naar 192.168.2.1. Maar niet naar 10.0.8.10 etc.

Archie_T schreef op woensdag 29 januari 2020 @ 19:02:
Het kan zijn dat KPN port 80 afsluit om thuis servers te voorkomen. Probeer eens een hogere poort (zoals die hyper backup) met een telnet ofzoiets vanaf buiten?

Poort 1194 werkt ook niet.

edit: Mijn security ding over port 80 ging mij vooral om als je interne resources wilt benaderen. Als ik je zo lees denk je er wel over na, het gaat er mij om dat er genoeg hobbyisten zomaar alles op het internet open gooien en niet nadenken over de gevolgen. Vandaar mijn opmerking

Ik heb de firewall in mijn router aan staan, en gooi daar enkel de poorten open die ik gebruik.

HKLM_ schreef op woensdag 29 januari 2020 @ 19:12:
Gewoon voor de 100% zekerheid je weet ook na het rebooten van je modem zeker dat het IP wat je in de TS opgeeft je huidige public ip is momenteel.

Net gecheckt, klopt nog steeds.

fsfikke schreef op woensdag 29 januari 2020 @ 19:20:
Kan je wel connecten met je PI als je die direct aan je Experiabox hangt? Even om te lokaliseren waar het probleem zit

Als ik direct aan de experiabox hang, kan ik niet pingen naar 10.0.8.14.

johnkeates schreef op woensdag 29 januari 2020 @ 19:06:
Kijk even of je überhaupt packets op de verbinding binnen ziet komen.

Domme vraag misschien, maar hoe check ik dat?

[ Voor 65% gewijzigd door Bart ® op 29-01-2020 19:23 ]

fsfikke schreef op woensdag 29 januari 2020 @ 19:32:
[...]

Ik bedoel van buiten (public) naar binnen.

Hmmm, dat lijkt wel te werken. Althans, de port is open. Even kijken of ik ook in kan loggen.

edit: inloggen werkt ja. Dus van public naar achter mijn modem lukt.

[ Voor 12% gewijzigd door Bart ® op 29-01-2020 19:43 ]

DukeBox schreef op woensdag 29 januari 2020 @ 19:40:
[...]

Dan kan poort 21 dus geschrapt worden

Ik gebruik FTPS over poort 22 en SFTP over poort 21, dacht ik. Of klopt dat niet?

DukeBox schreef op woensdag 29 januari 2020 @ 19:53:
[...]

SFTP is poort 22 (FTP over SSH), FTPS (FTP via SSL of TLS) is wel poort 21 (had je eerder niet genoemd dacht ik). Maar voor FTPS heb je ook nog poort 20 nodig voor active mode.

Check. Bedankt . Zal die poort ook open zetten, als ik eindelijk de boel werkend heb. Tot nu toe helaas nog geen resultaat .

Het vreemde is dus dat ik wel kan verbinden met een andere service direct achter mijn modem. Dat lijkt dan toch weer te suggereren dat het aan mijn router ligt. Iemand nog ideeën?

deagan1337 schreef op woensdag 29 januari 2020 @ 20:47:
[quote]Bart ® schreef op woensdag 29 januari 2020 @ 19:20:
[...]

> Als ik dat doe, dan kan ik wel pingen naar 192.168.2.254 en naar 192.168.2.1. Maar niet naar 10.0.8.10 etc.

Dat bedoelde ik niet, ik bedoelde of je verbinding kunt maken 'via' je router ( C7 ) via een port forward die je hebt ingesteld op de C7.

Bijv:
> Laptop sluit je aan op experiabox - IP wordt via DHCP bijv. 192.168.2.100
> C7 krijgt via DHCP op de WAN poort een IP van je experiabox: 192.168.2.101

Op je laptop, probeer je nu verbinding te maken op: http://192.168.2.101/ ( poort 80 ), dan zou je in theorie bij jouw webserver uit moeten komen d.m.v. de poort forward ( IP van de LAN host op het C7 netwerk: 10.0.8.10 )

Als dat werkt, werkt in ieder geval je port forwarding van je router C7 > lokale LAN host met IP 10.0.8.10

Dan ligt het aan je experiabox, zet daar in ieder geval de firewall uit en probeer of dat werkt ( dat kan het mogelijk ook blokkeren, zou niet moeten maar goede test zonder firewall om dat uit te sluiten ).

Andere optie als dat niet werkt, laat firewall uit en schakel Network > Firewall > Intrusion Detection uit.

Zie Bart ® in "Services op mijn LAN niet bereikbaar vanaf internet"

deagan1337 schreef op woensdag 29 januari 2020 @ 20:51:
[...]


Ok dan werkt de port forwarding niet van je C7, dan moet je dat eerst werkend zien te krijgen.

Wat je zou kunnen doen, sluit je webserver even aan op je experiabox, wijzig het forward IP naar het nieuwe IP wat je webserver krijgt van de experiabox.

Check dan of je kunt connecten op poort 80 ( via je externe internet IP adres ), als dat werkt, werkt iig de port forwarding van je experiabox en kun je gaan uitzoeken waarom je router C7 niet werkt.

Goed idee, gelijk even geprobeerd. Als ik mijn NAS rechtstreeks aan mijn modem hang, en de portforwarding in mijn modem goed instel, is mijn webserver goed bereikbaar. Het lijkt dus echt aan de C7 te liggen. Maar waarom? Poorten staan geforward, alleen komt het toch niet door...

Goedemorgen allemaal,

Allereerst hartelijk dank iedereen voor het meedenken, en ook voor de adviezen op het gebied van veiligheid! Deze community is toch altijd weer top .

Ik ben gisteravond wat verder aan het rommelen geweest, wat uiteindelijk ervoor zorgde dat ik helemaal geen internet meer had. Aangezien ik, door de tips van jullie, al geconcludeerd had dat het probleem in de c7 zit, heb ik maar besloten die er helemaal tussenuit te halen.

Ja, dat is symptoombestrijding, en daar heb ik een hekel aan. Maar iets dat niet werkt heb ik nog een grotere hekel aan, en ik heb maar beperkte vrije tijd om aan dit soort shit te besteden. Het is voor mij puur hobby, dus het moet wel leuk blijven .

Dus: C7 eruit (of preciezer: als access point ingesteld), alle NAT forwarding ingesteld in de experiabox, alle ip's van mijn apparaten gewijzigd van 10.0.8.x naar 192.168.2.x, en alles werkt als en zonnetje *O*! Klinkt iets simpeler dan gedacht, want mijn Pi wilde niet zo simpel meewerken, en ik heb bijzonder weinig ervaring met Linux, dus dat was even kloten met de command line . Maar uiteindelijk had ik alles werkend.

Nadeel: als ik van provider wissel, moet ik alles weer instellen op mijn nieuwe modem. Nou ja, op zich ben ik momenteel tevreden over KPN, geen reden om te wisselen dus. Laten we hopen dat dat zo blijft. En als ik weer eens wat tijd te veel heb, kan ik inderdaad gaan kijken of ik die experiabox er helemaal uit kan halen .

Nogmaals bedankt allemaal, en als iemand ooit nog eens kan vertellen waarom de port forwarding op de c7 niet werkte, vermoedelijk door de combinatie met een Pi, dan hoor ik het graag . Maar ik ga er nu in ieder geval geen tijd meer in steken .

Drardollan schreef op donderdag 30 januari 2020 @ 13:36:
[...]

Klinkt als meer werk dan 4 port forwards aanmaken

Nou ja, 6 dus nu, maar ik moet nog een paar forwards aanmaken voor mijn mailserver. Dan is router aan nieuwe modem hangen toch echt sneller.

[...]

Een router is iets anders dan een access point.

Dat weet ik .

Ik kan je aanraden om een set goede accesspoints te kopen (bijvoorbeeld Unifi Ubiquiti's) en die altijd te gebruiken.

Ik gebruik nu die C7. Voor mijn doeleinden prima access points .

En dan het modem van de provider gewoon als router, hoef je niets in bridge zien te krijgen of dubbele NAT's (die blijkbaar toch problematisch is) te configureren.

Dat heb ik nu ja. Maar dat heeft dus niet mijn voorkeur. Imo is een modem voor modulatie en demodulatie van een signaal. Niets meer en niets minder. Voor het vervolgens routeren van dat signaal regel ik dan zelf een router. Daar heeft mijn internetprovider niets mee te maken. Of dat zouden ze althans niet moeten.

[...]

Erhhhh....

Wat ik dus net zei.