Fritzbox en port forwarding naar PostgresQL - Internet en hosting

Vraag

donderdag 29 februari 2024 21:23

Acties:

0 Henk 'm!

Topicstarter

Mijn vraag
Hoe stel ik mijn Fritzbox en computer op de juiste manier in om remote verbinding te maken met een PostgreSQL (15.6) database?

Ik heb in de fritzbox port fowarding ingesteld en nu zegt hij dat dit de link is naar mijn device: http://debian-server.xxxxxxxxv.myfritz.net:5432.

Op mijn debian computer heb ik via ufw deze poort open gezet.

In pb_hba.conf heb ik een regel toegevoegd:

code:

1	host all all 0.0.0.0/0 md5

en in postgresql.conf:

code:

1 2	listen_addresses = '*' port = 5432

Als ik probeer te connecten vanuit PGadmin krijg ik 'connection timeout expired' (zonder http er voor). Met http zegt hij connection is bad, host is onbekend.

Wat doe ik fout..?

LG-HM123MR.U34 / LG-WH27S.F5 / 1245 Wp (zuid)

Beste antwoord (via Groen op 02-03-2024 22:37)

zaterdag 2 maart 2024 22:25

hcQd

Adressen die beginnen met 100.64 tot 100.127 worden gebruikt bij CGNAT. Ik vermoed dat je bij Caiway zit, je zal in je mijn-Caiwayomgeving of via de klantenservice moeten regelen dat je een publiek adres krijgt toegewezen.

Alle reacties

donderdag 29 februari 2024 21:35

Acties:

+1 Henk 'm!

nelizmastr

Goed wies kapot

Fritz doet waarschijnlijk geen hairpin NAT dus je kunt niet van binnen naar buiten en weer naar binnen. Probeer het eens met een hotspot op je telefoon, dan heb je bewijs.

Btw ik hoop dat die md5 niet voor de password hashing staat, dat was bij de uitvinding van het wiel al onveilig, laat staan via het moderne internet.

I reject your reality and substitute my own

donderdag 29 februari 2024 22:20

Acties:

0 Henk 'm!

Groen

Topicstarter

Dank voor de snelle reactie, maar helaas. Ook via hotspot 'connection timeout expired'.
Ik heb md5 veranderd naar sha-256, bedankt voor de tip.

Misschien moet ik https gebruiken in plaats van http?

LG-HM123MR.U34 / LG-WH27S.F5 / 1245 Wp (zuid)

donderdag 29 februari 2024 23:48

Acties:

+1 Henk 'm!

AW_Bos

Liefhebber van nostalgie... 🕰️

Volgens mij ondersteunt de Fritzbox wel NAT loopback, zoals het heet.
(hairpin NAT als term is ook leuk bedacht).

Probeer het eens via je eigen externe IP-adres?

☎ Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

vrijdag 1 maart 2024 09:31

Acties:

0 Henk 'm!

Groen

Topicstarter

In de fritzbox zie ik bij deze share staan 'Ipv6 in the internet'. Daarmee verbinden lukt niet. En via het externe ip(v4) verbinden werkt ook niet. Als ik kijk op whatismyip.com op de computer die postgres draait staat er geen ipv6 adres trouwens, alleen een ipv4.

Maar in principe zou de myfritz url toch ook gewoon moeten werken. Betekent die timeout niet dat hij wel iets vind, maar niet in kan loggen? Ik zal binnenkort dit trucje ook een proberen met m'n home asisstant installatie. Dat is een ander apparaat, dan kan ik in ieder geval het fritzbox gedeelte uitsluiten.

LG-HM123MR.U34 / LG-WH27S.F5 / 1245 Wp (zuid)

vrijdag 1 maart 2024 10:17

Acties:

0 Henk 'm!

i-chat

begin eens bij het begin zou ik zeggen.

dus binnen je netwerk (voorbeeld)

pc1 192.168.1.101 windows pgadmin
pc2 192.168.1.102 linux postgres db

vanaf pc1 verbinden met 192.168.1.101:port
vanaf pc1 verbinden met pc2:port

als je zeker weet dat dat wel werkt,

dan ga je in je FB kijken naar de portforward rules. zijn de sourceports gelijk aan de destination port en natuurlijk ook je interne ip. (en natuurlijk zorg dat dat een vast ip (of op zijn minst een reservering).

probeer (vanaf een extern netwerk) eens: jouw.ip.adr.es:port

pas als dat allemaal werkt kun je kijken naar hoe dat zit met jouw.pc.myfritz.net (en de vraag of of je in pg niet ook nog een name based rule moet plaatsen (zoals in bijvoorbeeld sommige webservers ook moet).

vrijdag 1 maart 2024 10:22

Acties:

0 Henk 'm!

pennywiser

Kun je op de localhost zelf naar dat ip connecten op de pg poort? Dus op 192.168, niet op 127.0.0.1. Maw doet Postgres het? Iptables uit.

@nelizmastr IP NAT loopback moest je vroeger nog weleens aanzetten, maar dan praat ik over de eerste ADSL modems. Tegenwoordig standaard.

vrijdag 1 maart 2024 11:07

Acties:

0 Henk 'm!

nelizmastr

Goed wies kapot

pennywiser schreef op vrijdag 1 maart 2024 @ 10:22:

@nelizmastr IP NAT loopback moest je vroeger nog weleens aanzetten, maar dan praat ik over de eerste ADSL modems. Tegenwoordig standaard.

Het zal je verbazen hoeveel ISP modemrouters dit niet aan hebben staan. Experiaboxen van KPN en consorten, de Zyxels van Odido en de standaard Nokia en Genexissen van Delta hebben deze functionaliteit niet aan bijv.

I reject your reality and substitute my own

vrijdag 1 maart 2024 11:56

Acties:

0 Henk 'm!

pennywiser

nelizmastr schreef op vrijdag 1 maart 2024 @ 11:07:
[...]

Het zal je verbazen hoeveel ISP modemrouters dit niet aan hebben staan. Experiaboxen van KPN en consorten, de Zyxels van Odido en de standaard Nokia en Genexissen van Delta hebben deze functionaliteit niet aan bijv.

Ik heb met de Zyxel van Odido dit niet ondervonden afgelopen jaren. Ook niet tegengekomen hoe je dat dan aan zou moeten zetten. Gewoon altijd poorten kunnen fwden zoals ik al jaren doe. Nu heb ik weer een Fritz bij KPN maar dat terzijde.

vrijdag 1 maart 2024 13:00

Acties:

0 Henk 'm!

ahbart

In de Fritz kun je nat loopback / hairpinning aanzetten voor een specifieke domein.
Thuisnetwerk - Netwerk - Tab: Netwerkinstellingen - scroll naar: Meer instellingen - DNS-rebindbeveiliging,
en vul naar de domein in.

Hoewel ik ook wel twijfel of dit een hairpinning issue is, aangezien je myfritz gebruikt.

[ Voor 17% gewijzigd door ahbart op 01-03-2024 13:01 ]

vrijdag 1 maart 2024 14:42

Acties:

0 Henk 'm!

Groen

Topicstarter

i-chat schreef op vrijdag 1 maart 2024 @ 10:17:
begin eens bij het begin zou ik zeggen.

dus binnen je netwerk (voorbeeld)

pc1 192.168.1.101 windows pgadmin
pc2 192.168.1.102 linux postgres db

vanaf pc1 verbinden met 192.168.1.101:port
vanaf pc1 verbinden met pc2:port

als je zeker weet dat dat wel werkt,

dan ga je in je FB kijken naar de portforward rules. zijn de sourceports gelijk aan de destination port en natuurlijk ook je interne ip. (en natuurlijk zorg dat dat een vast ip (of op zijn minst een reservering).

probeer (vanaf een extern netwerk) eens: jouw.ip.adr.es:port

pas als dat allemaal werkt kun je kijken naar hoe dat zit met jouw.pc.myfritz.net (en de vraag of of je in pg niet ook nog een name based rule moet plaatsen (zoals in bijvoorbeeld sommige webservers ook moet).

Vanaf pc1 verbinden met z'n eigen ip adres? Dit werkt niet.
Ja, dit werkt: vanaf pc1 verbinden met pc2:5432.

Instellingen in de FB:
Afbeeldingslocatie: https://tweakers.net/i/JIZLw4YOy1SKe_ZDOEvxzRxCfLE=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/HNgNI6mfULXB1YAVTTQI6nSZ.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/JIZLw4YOy1SKe_ZDOEvxzRxCfLE=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/HNgNI6mfULXB1YAVTTQI6nSZ.png?f=user_large

En pc2 heeft inderdaad een vast ip.
Vanaf hotspot verbinden met extern ip wat de fritzbox aangeeft werkt niet (ipv4 en ipv6).

LG-HM123MR.U34 / LG-WH27S.F5 / 1245 Wp (zuid)

vrijdag 1 maart 2024 17:39

Acties:

0 Henk 'm!

pennywiser

ahbart schreef op vrijdag 1 maart 2024 @ 13:00:
In de Fritz kun je nat loopback / hairpinning aanzetten voor een specifieke domein.
Thuisnetwerk - Netwerk - Tab: Netwerkinstellingen - scroll naar: Meer instellingen - DNS-rebindbeveiliging,
en vul naar de domein in.

Hoewel ik ook wel twijfel of dit een hairpinning issue is, aangezien je myfritz gebruikt.

Dat is geen loopback setting zoals bedoeld wordt, dat is een protectie. Loopback werkt gewoon zonder hier domeinen voor te moeten declaren op je FB.

vrijdag 1 maart 2024 17:39

Acties:

0 Henk 'm!

i-chat

dat schema klopt volgens mij niet,

nu ben ik door je verschillende berichten wellicht even de tel kwijt geraakt maar als ik terug grijp naar mijn voorbeeld dan begrijp ik eruit dat het bij jou zo zou moeten werken:

netwerk met een fritzbox

pc1 is een windows pc waar pgadmin op zou draaien om je database uit te lezen of te beheren en heeft een dynamisch ip bijvoorbeeld ergens tussen 192.168.1.100-199

pc2 is een linux (debian) server waar de postgress database server demon op draait. en heeft een vast ip
bijvoorbeeld 192.168.1.10 de demon luister vervolgens op port 5432

aan de hand van dit vorbeeld weet ik dan dit:
• als je met windows lokaal bent verbonden dan behoor je een connectie met de dbserver te kunnen maken via zowel
-> 192.168.1.10:5432
-> pc2:5432
-> pc2.jouwnetwerk.lan:5432

als er daar ergens iets niet goed gaat dan is dat al eerst zaak om op te lossen.

vervolgens kijk ik dan naar je screenshot en valt mij direct iets op:
voor het TYPE verbinding in je FBbox geef je aan dat het een http verbinding zou zijn, dat kan het voor een database server NOOIT zijn die werken niet via http maar via TCP of UDP (dat zou je zelf even moeten nazoeken) dat je op deze manier geen verbinding krijgt vanaf een externe verbinding is dus volstrekt logisch. je probeert nu immers feitelijk een database verbinding te leggen via een reverse-webserver-proxy.

vrijdag 1 maart 2024 18:32

Acties:

0 Henk 'm!

ahbart

pennywiser schreef op vrijdag 1 maart 2024 @ 17:39:
[...]

Dat is geen loopback setting zoals bedoeld wordt, dat is een protectie. Loopback werkt gewoon zonder hier domeinen voor te moeten declaren op je FB.

Het klopt dat dit loopback protectie is. Loopback protectie staat standaard aan, en is dus niet zonder meer uit te zetten. Maar met de vermelding van domeinen creëer je wel een specifieke uitzonderingen daarop.

[ Voor 12% gewijzigd door ahbart op 01-03-2024 18:33 ]

vrijdag 1 maart 2024 18:58

Acties:

0 Henk 'm!

pennywiser

ahbart schreef op vrijdag 1 maart 2024 @ 18:32:
[...]

Het klopt dat dit loopback protectie is. Loopback protectie staat standaard aan, en is dus niet zonder meer uit te zetten. Maar met de vermelding van domeinen creëer je wel een specifieke uitzonderingen daarop.

Maar wat doet het dan precies vraag ik me af, loopback werkt prima hier lokaal op al mijn (sub)domeinen zonder dat ik die rebind setting gebruik. Volgens mij gebruikt niemand dat..

[ Voor 3% gewijzigd door pennywiser op 01-03-2024 19:01 ]

vrijdag 1 maart 2024 21:01

Acties:

0 Henk 'm!

Groen

Topicstarter

Dank voor alle reacties!
De Fritzbox geeft aan dat er een "IP in the internet" is. Als ik dit ip gebruik kan ik inderdaad met pgadmin van pc1 naar pc2 connecten. Mits verbonden met WiFi. Als ik op hotspot ga dan verbindt hij niet meer.

Ook als ik dit adres ping dan krijg ik 'Request timed out' (via hotspot). Binnen eigen netwerk komt er wel reply. Het lijkt er dus toch op dat de Fritzbox geen verbindingen van buiten accepteert.

Dus lokaal kan ik inderdaad verbinden met debian-server:5432 en 192.168.178.56:5432. Ook met ipv4.in.the.internet:5432 lukt het, mits ik verbonden ben met het lokale netwerk.

Aan de andere kant, ik kan wel de fritzbox zelf benaderen via de myfritz.net link. Deze kan ik ook pingen. Als ik er debian-server voor zet krijg ik 'Destination host unreachable.'

Ik heb het MyFritz sharing even weer verwijderd en er static port sharing van gemaakt. Nu staat er inderdaad TCP. Maar het probleem blijft dat mijn "ip in the internet" niet te pingen is. Ook bij het ipv6 adres (pingen vanaf hotspot): Destination net unreachable.

LG-HM123MR.U34 / LG-WH27S.F5 / 1245 Wp (zuid)

zaterdag 2 maart 2024 12:03

Acties:

0 Henk 'm!

ahbart

pennywiser schreef op vrijdag 1 maart 2024 @ 18:58:
[...]

Maar wat doet het dan precies vraag ik me af, loopback werkt prima hier lokaal op al mijn (sub)domeinen zonder dat ik die rebind setting gebruik. Volgens mij gebruikt niemand dat..

Ik ben geen expert, maar als ik mijn domeinen hier niet instel dan kan ik ze van 'binnen' niet benaderen.

zaterdag 2 maart 2024 13:21

Acties:

0 Henk 'm!

pennywiser

ahbart schreef op zaterdag 2 maart 2024 @ 12:03:
[...]

Ik ben geen expert, maar als ik mijn domeinen hier niet instel dan kan ik ze van 'binnen' niet benaderen.

Ik gebruik alleen publieke ip adressen in de DNS van mijn domeinen, misschien is dat het, gebruik jij ook lokale reeksen misschien ergens?

zaterdag 2 maart 2024 21:27

Acties:

0 Henk 'm!

Groen

Topicstarter

Update, ik heb weer van alles geprobeerd. Waaronder DynDNS ingesteld (duckdns). Maar volgens mij verwijst deze naar hetzelfde ip wat de FritzBox geeft. Dit wordt ook onder sharing genoemd:

Afbeeldingslocatie: https://tweakers.net/i/3wCj40LamFdFtCQrj-RdHSZSHQU=/800x/filters:strip_exif()/f/image/H0TkOyoiscrCx8UngIOnGoSq.png?f=fotoalbum_large

Volgens mij is dit nog steeds niet echt een publiek ip-adres.
Ik kan bij port forwarding kiezen tussen Myfritz sharing en port forwarding.
Bij Myfritz sharing kan ik geen protocol kiezen. Alleen schema (http, https of ftp).
Bij port forwarding kan ik voor tcp/udp/etc. kiezen, maar dan krijg ik geen myfritz adres te zien waarop de verbinding zou moeten werken. Alleen het 'publieke' 100.x.x.x' adres, wat volgens mij dus niet zo publiek is. Misschien dat dit soort verbindingen simpelweg niet wordt ondersteund?

En wat zou ik bij het loopback NAT moeten invullen @ahbart ? mijnlink.myfritz.net heb ik geprobeerd, maar dat maakt geen verschil.

LG-HM123MR.U34 / LG-WH27S.F5 / 1245 Wp (zuid)

zaterdag 2 maart 2024 22:25

Acties:

Beste antwoord ✓
0 Henk 'm!

hcQd

zaterdag 2 maart 2024 22:36

Acties:

0 Henk 'm!

Groen

Topicstarter

hcQd schreef op zaterdag 2 maart 2024 @ 22:25:
Adressen die beginnen met 100.64 tot 100.127 worden gebruikt bij CGNAT. Ik vermoed dat je bij Caiway zit, je zal in je mijn-Caiwayomgeving of via de klantenservice moeten regelen dat je een publiek adres krijgt toegewezen.

Ja, dit was het. Ik heb m'n ISP (TriNed) een bericht gestuurd en ze hebben een vast ip voor me ingesteld. Het werkt nu via hotspot.

Oorzaak was dus een dynamisch ip. Bijzonder dat het Myfritz verhaal niet werkt, want dat is hier toch juist voor bedoeld lijkt mij.

LG-HM123MR.U34 / LG-WH27S.F5 / 1245 Wp (zuid)

zaterdag 2 maart 2024 22:37

Acties:

0 Henk 'm!

Room42

hcQd schreef op zaterdag 2 maart 2024 @ 22:25:
Adressen die beginnen met 100.64 tot 100.127 worden gebruikt bij CGNAT. Ik vermoed dat je bij Caiway zit, je zal in je mijn-Caiwayomgeving of via de klantenservice moeten regelen dat je een publiek adres krijgt toegewezen.

Yep, dat is het inderdaad. @Groen je zult je klantenservice even moeten contacteren om CGNAT uit te laten schakelen voor jou, of je service via IPv6 bereikbaar maken. (Never mind, Caiway doet nog geen IPv6).

[ Voor 4% gewijzigd door Room42 op 02-03-2024 22:40 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

zaterdag 2 maart 2024 22:39

Acties:

0 Henk 'm!

Room42

Groen schreef op zaterdag 2 maart 2024 @ 22:36:
[...]

Ja, dit was het. Ik heb m'n ISP (TriNed) een bericht gestuurd en ze hebben een vast ip voor me ingesteld. Het werkt nu via hotspot. Oorzaak was dus een dynamisch ip. Bijzonder dat het Myfritz verhaal niet werkt, want dat is hier toch juist voor bedoeld lijkt mij.

Nou ja, wat ik nog niet helemaal snap is waarom je via "buiten" (publiek internet) wilt. Dat lijkt me niet erg handig, voor een database service. Probeer jij je server niet gewoon op het LAN beschikbaar te stellen?

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

zaterdag 2 maart 2024 22:48

Acties:

0 Henk 'm!

Groen

Topicstarter

Room42 schreef op zaterdag 2 maart 2024 @ 22:39:
[...]

Nou ja, wat ik nog niet helemaal snap is waarom je via "buiten" (publiek internet) wilt. Dat lijkt me niet erg handig, voor een database service. Probeer jij je server niet gewoon op het LAN beschikbaar te stellen?

Nee, want ik wil er ook vanaf andere plekken mee kunnen werken. Dan had ik de database ook op m'n laptop kunnen laten draaien, maar in de toekomst moeten er meerdere mensen tegelijk in, dus dan is het handig dat hij altijd aan staat.

LG-HM123MR.U34 / LG-WH27S.F5 / 1245 Wp (zuid)

zaterdag 2 maart 2024 23:10

Acties:

+2 Henk 'm!

Room42

Groen schreef op zaterdag 2 maart 2024 @ 22:48:
[...]

Nee, want ik wil er ook vanaf andere plekken mee kunnen werken. Dan had ik de database ook op m'n laptop kunnen laten draaien, maar in de toekomst moeten er meerdere mensen tegelijk in, dus dan is het handig dat hij altijd aan staat.

Maar dan nog is een database openbaar aan het internet een slecht idee. Zet er dan een VPN-verbinding voor of op zijn minst IP-whitelisting.

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

dinsdag 5 maart 2024 21:16

Acties:

0 Henk 'm!

Groen

Topicstarter

Room42 schreef op zaterdag 2 maart 2024 @ 23:10:
[...]

Maar dan nog is een database openbaar aan het internet een slecht idee. Zet er dan een VPN-verbinding voor of op zijn minst IP-whitelisting.

Ja, ik heb het gemerkt. Binnen 1 nacht al m'n data verwijderd. Was gelukkig niet erg, want had wel een backup. Maar ik heb toch het port forwarding maar weer uit gezet. Ik zal me eerst eens verdiepen in wat extra beveiligingsmaatrelen (fail2ban, langer wachtwoord?) en/of vpn. En m'n database ontwikkel ik voorlopig wel lokaal.

LG-HM123MR.U34 / LG-WH27S.F5 / 1245 Wp (zuid)

dinsdag 5 maart 2024 23:24

Acties:

+1 Henk 'm!

JasperE

Gebruik dit: https://tailscale.com/

[ Voor 16% gewijzigd door JasperE op 05-03-2024 23:25 ]

Pagina: 1

Reageer