Port forwarding Fritz!box, self signed certificaat

Als je het certificaat van Fritz krijgt, betekent dat hij TLS afhandelt. Dan is het eerder een reverse proxy dan een port forward.
Je moet tegen Fritz zeggen dat ie met zijn tengels van je pakketjes afblijft

Beste @trab_78

Je kan in je FRITZ!Box een eigen certificaat importeren.

Alle voorwaarden en een korte handleiding vindt je op onze website:

Eigen certificaat naar de FRITZ!Box importeren

Vriendelijke groet uit Berlijn,
Je FRITZ! Supportteam

FRITZ!webcare schreef op maandag 14 augustus 2023 @ 11:47:
Beste @trab_78

Je kan in je FRITZ!Box een eigen certificaat importeren.

Alle voorwaarden en een korte handleiding vindt je op onze website:

Eigen certificaat naar de FRITZ!Box importeren

Vriendelijke groet uit Berlijn,
Je FRITZ! Supportteam

dat moet je dus elke drie maanden doen, lijkt mij niet zo handig.
Ik heb hier overigens nog nooit last van gehad met de Fritz!box, maar dat was wel een paar firmwares terug.

FRITZ!webcare schreef op maandag 14 augustus 2023 @ 11:47:
Je kan in je FRITZ!Box een eigen certificaat importeren.

Daarmee vervang je het certificaat van de web interface van de FRITZ!Box. @trab_78 wil echter helemaal niet op de web interface van de FRITZ!Box uitkomen, hij wil dat de port forward het verkeer naar de Synology stuurt.

Ik zie online wel https://nl.avm.de/service...uisnetwerk-niet-mogelijk/ staan, maar dat gaat uit van IPv6. Aangezien @trab_78 het over een port forward heeft neem ik aan dat dit IPv4 betreft?

@trab_78 , elk IP-adres krijg je bij een "nslookup (eigen hostname)" in een command prompt vanaf de externe locatie waar je de web interface van de FRITZ!Box krijgt?

UPnP moet je nooit gebruiken dat is zo lek als een zeef en waarschijnlijk pikt die Friztbox het om die reden ook niet.

Stel gewoon een echte port forward in de Friztbox zelf in.

Of nog beter doe het niet, want door het feit dat je UPnP gebruikt is te zien dat je alleen met functionaliteit bezig bent en onvoldoende met beveiliging.

Installeer in plaats daarvan de Vpn server op je Nas, forward de benodigde port daarvoor in je Fritzbox en gebruikt vanaf het internet een Vpn client om bij je Nas te komen.

Je kan op je Fritz de VPN aanzetten en een VPN verbinding met thuis maken en via die weg je NAS benaderen.

Als de FRITZ!box geen hairpin NAT ondersteunt (en ik kan het op het internet niet zo snel vinden) dan moet je mogelijk aan de slag met split DNS, of als je dat niet wil, intern een andere naam gebruiken dan extern.

Met split DNS tuig je zelf een DNS-server op (bijvoorbeeld pihole) en die vertel je dat (domeinnaam NAS) naar het interne IP-adres moet van je Synology in plaats van dat het DNS-verzoek het internet op moet en bij de CNAME naar DuckDNS uitkomt.

Maar kom je wel op de nas uit als je het vanuit je eigen netwerk naar die url gaat? (welke poort trouwens?)

Dus wel de nas alleen met het verkeerde certificaat?

edit:
waar je ook last van kunt hebben is dit:

Moderne apparaten maken bij voorkeur gebruik van IPv6 in plaats van IPv4. Als antwoord op een DNS-aanvraag naar het IPv6-adres voor het MyFRITZ!-adres of de dynamic DNS-domeinnaam, krijgt het apparaat daarom het IPv6-WAN-adres van de FRITZ!Box. Omdat er bij IPv6 geen Network Address Translation(NAT) is, benadert het apparaat daarna per HTTPS de FRITZ!Box zelf.

maar dan zou je dus op je fritzbox uitkomen, ik weet niet of dat nu zo is

[ Voor 67% gewijzigd door laurens0619 op 14-08-2023 14:18 ]

Het is voor de test wel handig om te kijken of je nu op je nas of de fritzbox uitkomt.
Kun je dit niet even tijdelijk uitschakelen en kijken welke web interface er tevoorschijn komt?
https://sectigostore.com/...e-hsts-in-chrome-firefox/

IPV6:
als dat het geval is dan moet je denk ik toch zelf aan de gang in je fritzbox met firewall rules (https://superuser.com/que...warding-issue-on-fritzbox).
Of je zorgt ervoor dat er geen ipv6 record aan je domein hangt.
Maar kun je trouwens eenvoudig testen door het domein te pingen van binnen en buiten je netwerk en kijken of je een ipv4/ipv6 ip terukrijgt.

Waarom het buiten je netwerk wel werkt?
Als je client op een ipv4 network only zit, dan zal die connecten naar de ipv4 interface en werkt het dus. Bij een externe ipv6 client kan het dan dus weer stuq gaan

HSTS kun je tijdelijk omzeilen door ergens op de pagina te klikken en blind 'thisisunsafe' in te typen. Maar dat je het certificaat van de FRITZ!box krijgt zegt eigenlijk al genoeg, het doet op dat moment geen hairpin NAT. Het is hooguit voor reverse proxy aan het spelen waardoor je mogelijk alsnog de webinterface van je NAS te zien krijgt, maar dan met je FRITZ!box als man-in-the-middle.

Dat je intern eventueel IPv6 gebruikt wil niet zeggen dat je het extern ook doet, dat hangt helemaal af van diverse factoren, zoals of je überhaupt IPv6 hebt (intern is dat geen gegeven, op je mobiel zonder wifi hangt het van je provider af. Met KPN op mijn iPhone heb ik het niet), en of je een AAAA-record hebt in de DNS.

Voor een IPv6-verbinding heb je een aantal dingen nodig:

• Je server moet IPv6 ingesteld hebben staan (al dan niet via RA, maar dan moet de DynDNS registratie ook vanaf de NAS komen.)
• Je FRITZ!box moet ingesteld zijn om IPv6 te doen
• Je moet een firewall-regel maken die het verkeer toelaat. Alleen al daarom is een fixed adres op je NAS handig, tenzij de firewall op de FRITZ!box het adres kan achterhalen op een of andere manier
• Je provider moet het aanbieden
• Je DNS-server moet een AAAA-record hebben (je CNAME is ok, het AAAA-record moet aan de kant van DuckDNS bestaan)
• Je client (zoals je telefoon zonder wifi, of een computer op het werk / bij een vriend / op de wifi van de Starbucks om de hoek) moet IPv6 doen.

Long story short, aangezien je het alleen over een port forward hebt (en ik niet goed genoeg bekend ben met UPnP om te weten of het op IPv6 ook firewall-regels kan maken) vermoed ik dat je van buitenaf sowieso alleen IPv4 doet. Op https://ip6.nl/ kun je rechts bovenin je domeinnaam intypen en dan kijkt die website of de ingegeven domeinnaam via IPv6 te benaderen is.

Intern kun je het bekijken door in je browser de Developer Tools te openen (F12), naar de tab "Network" te gaan, de kolom "Remote Address" aan te zetten, en naar je domeinnaam te browsen.

Zoals @laurens0619 zegt werkt ping ook prima om informatie te vergaren, maar met een website die dingen voor je test en een browser krijgt je meer / andere informatie. Ping is onderdeel van ICMP en als het goed is zou niemand meer ICMP dicht moeten zetten voor IPv6, maar er zijn veel te veel beheerders en zelfs vendors die dat wel doen IPv6 leunt veel meer op ICMP dan dat IPv4 dat deed.

Maar stel je hostname is: nas.domain.com
Welk ip krijg je dan terug als je nslookup of ping nas.domain.com vanuit de binnenkant en buitenkant?

trab_78 schreef op maandag 14 augustus 2023 @ 17:23:
Thanks weer! Die 'thisisunsafe' truc is geniaal! Ik kom dan inderdaad op de inlogpagina van de Fritz!box terecht, en niet op de Synology. En met de devtools zag ik inderdaad dat ik een IPv6 adres kreeg.

Dan gaat een firewall-regel niet helpen, dan moet je je name resolution aanpassen zodat je het IPv6-adres van de Synology krijgt ipv het IPv6-adres van je router. Maar zo te zien is er geen AAAA-record dus waarom je intern dan wel een adres krijgt maar naar het verkeerde apparaat is raar.

Vindt de FRITZ!box ook dat'ie www.whatever is? Wat zegt "nslookup www.whatever", en wat is het adres van de FRITZ!box? Je Synology en FRITZ!box hebben beide een ander IPv6-adres, en *iemand* geeft antwoord als je client vraagt "wie is www.whatever?"... Idealiter vraagt het dat aan DNS (en niet middels bijvoorbeeld LLMNR) maar dan zou je een IPv4-adres terugverwachten, want er is geen AAAA-record.

trab_78 schreef op maandag 14 augustus 2023 @ 13:40:


@Ben(V) De Fritz!box "pikt" het dus wel degelijk. Wordt ook keurig weergegeven in de UI van Fritz. Verder raad ik je aan je waarde-oordeel voortaan achterwege te laten. Je helpt me niet echt op deze manier...

Ik raad je dringend aan om upnp uit te zetten, als je gaat roepenover een modem boer die iets relatief veilig heeft geïmplementeerd heeft @Ben(V) gewoon gelijk en weet je niet wat je aan het doen bent.
En daarmee helpt hij jou meer dan je zelf beseft.

Ah cool je hebt het gevonden, dus toch ipv6!

Ik ben bang dat je toch ergens in je DNS records iets hebt zitten wat naar ipv6 gaat.
Heb je niet een Cname naar je provider hostname naar je IP? JE provider hostname kan namelijk prima het ipv6 bevatten. OF gebruik je een DynDNS iets uit de frtizbox? Die kan namelijk ook prima ipv6 invullen

IPv6 uit is de snelle fix ja maar je kan ook net zo makkelijk de IPv6 firewall rule handmatig aan te maken.

Owja waarom UPNP onveilig is: Een client apparaat krijgt daarme de mogelijkheid om zelf een port mapping te doen. De stap van FrtizBox is al beter dat alleen het ip van de nas dit mag. Echter als je $random malware op je nas krijgt dan kan deze zelf de poort open zetten omdat je de nas nu geautoriseerd hebben.
Zonder upnp gaat malware dit niet lukken

UPNP uitzetten en die poort mapping zelf even erin klikken is kleine moeite toch?

Hier trouwens de volledige link war ik dat ipv6 stukje gevonden had:
https://nl.avm.de/service...uisnetwerk-niet-mogelijk/

[ Voor 16% gewijzigd door laurens0619 op 14-08-2023 18:24 ]

trab_78 schreef op maandag 14 augustus 2023 @ 18:05:
@Kabouterplop01 @Ben(V) Het zou fijn zijn als jullie dan op zijn minst uitleggen waarom, of een linkje naar een uitleg erbij doen. Zeker als je zo'n toon aanslaat, heb ik anders de neiging om je verder gewoon de negeren. Gelijk of niet.

In plaats van meteen last te krijgen van lange tenen zou je de werking van UPnP kunnen opzoeken of zoals je nu doet gewoon vragen.

Wat UPnP doet is ports forwarden op verzoekt van buitenaf.
Dus vanaf het internet kun je dan ports forwarden.
Ik hoef natuurlijk niet uit te leggen hoe erg je dan open ligt voor hack aanvallen.

En dat je in een Fritzbox dat kunt beperken tot maar een device (je Nas in dit geval), maakt het niet minder onveilig, een stukje software kan vanaf het internet elke port die hij denkt makkelijk te kunnen misbruiken door je router te laten forwarden naar je Nas als je UPnP in je router aan hebt staan.

Ik geef als voorbeeld dat even de smb ports forwarden je toegang geeft tot alle shares op je Nas en zo zijn er nog veel meer gevaarlijke ports..

En het is nergens voor nodig, want als je perse een port wilt forwarden doe dat dan zelf in je router dan blijft het in ieder geval beperkt tot die ene port.
En dan kun je de beveiliging (firewall ect) beter concentreren op die ene port in plaats van dat je alle ports moet beschermen.

Ik hoop dat je hier iets aan hebt in plaats van je standaard reflex om het als een persoonlijke aanval te zien.

Als een willekeurige router UPnP verzoeken vanaf de WAN-kant honoreert dan zou ik het hele merk bij het vuilnis gooien. Vanaf LAN zomaar alles toestaan is ook niet alles, maar al heel veel beter dan het vanaf de WAN-kant toestaan.

Upnp vanaf de wan heb ik nog nooit gezien, broodje aap wat mij betreft

Hmm.... misschien niet helemaal goed geformuleerd.

Wat ik bedoel dat alles wat in dit geval op je Nas draait elke port die hij wil door je router kan laten forwarden.
Dus zo gauw je een stukje malware op welke manier dan ook op je Nas krijgt die meteen alles open kan zetten om zo bijvoorbeeld de rest van de hacksoftware binnen te halen.

Het blijven natuurlijk gewoon lange tenen als je niet tegen de gebiedende wijs kunt van iemand die probeert te helpen.

Ik kan ook gewoon denken "Hij zal wel door schade en schande wijs worden" en niets zeggen

Ach ik heb inmiddels een “ben filter” want ik vind je post gedrag ook wel erg direct/bijzonder maar geloof in de beste intenties.

ik zou het advies van @trab_78 ten harte nemen en ook tof dat hij de moeite neemt het uit te leggen hoe het overkomt

trab_78 schreef op maandag 14 augustus 2023 @ 20:47:
Bedankt voor de uitleg allemaal. Ik snap op zich de bezwaren van uPnP, ik had alleen even niet aan de mogelijkheid van malware op de NAS gedacht. En daarom dacht ik dat die optie om uPnP maar voor 1 apparaat toe te staan "relatief veilig" was. Niet zo'n heel gekke gedachte, toch? Ik ga het aanpassen hoor!

@Ben(V) Even een welgemeend advies aan jou dan. Hoe moet ik

[...]

niet als een persoonlijke aanval zien? Mijn tenen zijn echt niet overdreven lang hoor, maar dit is gewoon niet aardig om te zeggen. (En niet waar, want ik let juist goed op de beveiliging altijd, zie mijn uitleg hierboven.)

Daarnaast gebruik je in dezelfde post heel vaak "je moet zus" of "doe gewoon zo". Dat soort gebiedende wijs brengt mij ook niet echt in de juiste stemming, zal ik maar zeggen.

Misschien kan je proberen je adviezen voortaan ook als adviezen te formuleren, in plaats van als geboden? Bijvoorbeeld:

[...]


Het is maar een advies natuurlijk...

Goed bezig, mag de andere kant ook benoemd worden... Daar mag je trots op zijn.
Zoals gezegd upnp zet dynamisch ports open vanaf je lan naar je wan.
Er zit normaliter een firewall in je router. Op het moment dat je surft wordt er een state opgezet, oftewel je mag van binnen naar buiten het interwebz op. Al het terugkomende verkeer mag dan om dat het gerelateerd is aan dat verkeer.
Bij upnp is dat een graadje naarder het maakt een portforward, maar je weet nooit op welke port.
Dus je zult maar net een kwetsbare service hebben en die wordt door upnp exposed door een portforward.
Je bent echt niet de eerste die zo gehacked wordt.
Daarom zetten firewall en netwerk lui (daar schaar ik mezelf onder) dat onmiddelijk uit.
Ik wil de controle over de portforward. Die zet ik zelf wel op.
Het was misschien wat dwingend, maar echt serieus blij dat je niet zoals je had kunnen doen ons hebt genegeerd.

Je stond open voor de feedback en ik denk dat je wat belangrijks hebt doorgrond bij portforwarding.