NAT over een LTE verbinding?

Dat werkt niet. Het publieke IPV4 adres deel je met andere gebruikers en je zit achter een CGNAT verbinding.

Eventueel als het een KPN sim is kun je van APN advancedinternet gebruik maken en dan krijg je wel een Ipv4 adres. Bij andere providers is het niet mogelijk.

[ Voor 42% gewijzigd door jongerenchaos op 18-07-2024 13:57 ]

Machinimush schreef op donderdag 18 juli 2024 @ 13:52:
Kleine sanity check voordat ik mijn klant opzadel met een L2TP VPN configuratie die ze waarschijnlijk heel ingewikkeld gaan vinden

Ik heb een klant die voor een locatie die zij beheren met een Draytek Vigor2620ln op de proppen is gekomen, inclusief een data-only SIM-kaartje. Zij willen deze LTE verbinding gebruiken om remote verbinding te maken met hun camerarecorder die op de Draytek is aangesloten.

De LTE-verbinding heeft inmiddels een vast IP adres, dus met een simpele port-forward zou toegang tot de camerarecorder geregeld moeten zijn, toch? Helaas, dat lijkt niet te werken. Ik kan op het WAN IP adres wel de Draytek zelf bereiken op de poort voor management via het internet, dus ik weet zeker het dat je bij de router aanklopt als je het WAN IP adres gebruikt.
Als test voor port-forwarding heb ik een port doorgestuurd naar de inlogpagina van een van onze Synology's, maar als je die vervolgens probeert te benaderen krijg je een timeout. De Synology instellen als DMZ lijkt ook niet te werken.

Heeft iemand toevallig ervaring met port forwarding bij een LTE verbinding?

Wie is hier de provider?

jongerenchaos schreef op donderdag 18 juli 2024 @ 13:56:
Dat werkt niet. Het publieke IPV4 adres deel je met andere gebruikers en je zit achter een CGNAT verbinding.

Eventueel als het een KPN sim is kun je van APN advancedinternet gebruik maken en dan krijg je wel een Ipv4 adres. Bij andere providers is het niet mogelijk.

Dan zou hij de interface van de draytek ook niet kunnen bereiken

Krijg je wel een fixed ipv6?

Voor dit soort dingen zijn ewon en zerotier uitgevonden.

Als je een eigen vast IP hebt en op afstand de loginpagina van de draytek kan bereiken (en je weet zeker dat de juiste draytek is). Dan moet een NAT ook kunnen, mogelijk niet goed ingesteld? Er bestaat wel een kans dat er een aantal poorten door Youfone geblokkeerd worden, eventueel dus een random highport (1025+) gebruiken.

mad-dog schreef op donderdag 18 juli 2024 @ 14:33:
[...]

Dan zou hij de interface van de draytek ook niet kunnen bereiken

Op werke poort luistert de interface van de Draytec?
Op welke poort probeer jij verbinding naar de recoder te maken?

Ik heb meegemaakt dat sommige hoge poorten niet werkte (4444) en dat een andere poort dan wel lukte.

Wellicht het proberen waard:

Ik meen me te herinneren dat Draytek een fijne verwarrende mix heeft tussen port forwarding en open ports (wat normaliter hetzelfde betekent, alleen niet in Draytek land), kijk even of het wisselen tussen beide het gewenste resultaat geeft.

Weet niet of het werkt, maar op het KPN netwerk heb je de APN advancedinternet , daarmee krijg je een niet genat Public IP toegewezen. Daarmee kon ik destijds wel alles benaderen.

Geeft myip.nl hetzelfde IP terug als op je WAN van de router?

werkt https://quickconnect.to niet?

Draytek heeft volgens mij ook een ingebakken DDNS service.
En volgens mij kan deze ook OpenVPN aan.
Dan zou je een OpenVPN naar een DDNS-naam kunnen maken en dan maakt het niet uit wat het IP is.

En anders wat @harryslinger zegt, Synology heeft ook Quick Connect wat prima werkt. Daar heb je geen portforwarding voor nodig.

[ Voor 7% gewijzigd door Ora et Labora op 19-07-2024 12:46 ]

Kun je hem niet andersom doen? De draytek een cliënt maken van wat er al staat aan vpn op de hoofdvestiging? En dan gewoon iets van Wireguard er overheen ofzo. Routing op de draytek cliënt goed instellen, alles over de vpn heen en klaar.
Heb je op de hoofdvestiging een apart vpn lan, maar daar kun je gewoon over en weer op firewallen.

Als je test naar de Synology NAS en die werkt niet, wellicht de (ingebouwde) firewall op de Synology die roet in het eten gooit?

Als poort 9443 op de DrayTek van buitenaf werkt, weet je zeker dat de betreffende poort niet geblokkeerd wordt door de ISP of iets dergelijks. Je kunt deze poort dus ter test gebruiken middels Port Forwarding. De publieke poort wordt dan 9443 en de private poort wordt de interne poort van de client (vergeet uiteraard niet de management poort aan te passen).

Werkt dit niet? Dan ligt het probleem sowieso achter de DrayTek. Via de NAT session table (onder Diagnostics) in de DrayTek kun je zien of de poort door de router heen gaat. Controleer ook of de gateway IP van de client verwijst naar de LAN IP van de DrayTek.

Zoals ook al aangegeven, kun je in de DrayTek de gratis DrayDDNS dienst gebruiken in combinatie met een gratis Let's Encrypt certificaat. Hiermee kun je (in geval je IP veranderd) altijd de clients nog op afstand benaderen met je aangemaakte DrayDDNS naam.

@nelizmastr Het is niet zo verwarrend als je denkt. Met Open Ports kun je reeks poorten openen maar geen onderscheid maken tussen een public en private poort. Met Port Redirection kun je (zoals hierboven aangegeven) de public en private poort van elkaar onderscheiden.