Odido Zyxel T56 DMZ en/of portforward werkt niet (meer) - Netwerken

Vraag

zaterdag 28 december 2024 23:57

Acties:

0 Henk 'm!

Topicstarter

Mijn vraag
Tot ongeveer een week geleden werkte mijn DMZ van Zyxel naar UCG Max en van daaruit een portforward prima.

Odido Publiek IP
Zyxel T56 met DMZ naar IP 192.168.200.28
|
UCG Max
Wan IP 192.168.200.28
Lan IP 192.168.1.218
|
Omvormer zonnepanelen
IP 192.168.1.222 (vast)

Omdat het niet meer werkte ben ik aan het troubleshooten gegaan. Het lukt me nog steeds niet e.e.a. goed in te stellen.

Om het probleem te verkleinen heb ik nu de omvormer rechtstreeks op de Zyxel T56 aan te sluiten.
Dat is gelukt, intern is ie nu prima te bereiken op 192.168.200.10
In de Zyxel bijgaande portforward aangemaakt

Afbeeldingslocatie: https://tweakers.net/i/AQbzq0beZ0wfuW_BudCY7POFHQ4=/800x/filters:strip_icc():strip_exif()/f/image/1v4JnCQDmM9XeYPvyhmMk3wi.jpg?f=fotoalbum_large

Echter kan ik nu de omvormer nog steeds niet bereiken van buiten mijn netwerk.
Als ik een portscan doe wordt poort 998 niet als open gezien.

Is de Zyxel op een of andere manier niet meer in staat een DMZ door te geven of poorten te forwarden of zo?!
Heeft dat ermee te maken dat ik de IP reeks veranderd heb naar 192.168.200.xxx ipv 192.168.1.xxx?

Meer mensen met deze ervaring dat DMZ en/of portforwarding niet lukt?

[ Voor 4% gewijzigd door 996 op 29-12-2024 00:04 ]

Alle reacties

zondag 29 december 2024 08:37

Acties:

+1 Henk 'm!

nelizmastr

Goed wies kapot

Als het een UDP poort is zie je hem sowieso niet als open, want de meeste poortscanners kijken alleen naar TCP.

Heb je de Zyxel al herstart?

Is er een reden dat je de Zyxel niet vervangt door de UCG Max, zoals een ouderwetse vaste telefoonlijn?

I reject your reality and substitute my own

zondag 29 december 2024 09:11

Acties:

+1 Henk 'm!

Kabouterplop01

chown -R me base:all

Hoe ziet het IP adres aan de buitenkant eruit?
(laat de laatste 2 octetten van je ip adres even weg als je die hier laat zien, vanwege de veiligheid)
Overigens is het niet handig om die zwak beveiligde techniek aan het internet te hangen.

Gezien je kennis over een portforward, of ip functionaliteit denk ik dat je extra voorzichtig moet zijn met dit.

Het zou vervelend zijn als je ineens ransomware krijgt, of een omvormer hebt die ineens je mailbox continue volduwt met spam.

zondag 29 december 2024 09:55

Acties:

0 Henk 'm!

996

Topicstarter

nelizmastr schreef op zondag 29 december 2024 @ 08:37:
Als het een UDP poort is zie je hem sowieso niet als open, want de meeste poortscanners kijken alleen naar TCP.

Heb je de Zyxel al herstart?

Is er een reden dat je de Zyxel niet vervangt door de UCG Max, zoals een ouderwetse vaste telefoonlijn?

Heb inderdaad ook al alleen de UDP of alleen de TCP geprobeerd
Zyxel inderdaad al herstart
Zyxel regelt inderdaad de vaste telefoon

zondag 29 december 2024 09:59

Acties:

+1 Henk 'm!

996

Topicstarter

Kabouterplop01 schreef op zondag 29 december 2024 @ 09:11:
Hoe ziet het IP adres aan de buitenkant eruit?
(laat de laatste 2 octetten van je ip adres even weg als je die hier laat zien, vanwege de veiligheid)
Overigens is het niet handig om die zwak beveiligde techniek aan het internet te hangen.

Gezien je kennis over een portforward, of ip functionaliteit denk ik dat je extra voorzichtig moet zijn met dit.

Het zou vervelend zijn als je ineens ransomware krijgt, of een omvormer hebt die ineens je mailbox continue volduwt met spam.

Dit is mijn externe ip adres
87.212.999.99

Ik waardeer/begrijp je opmerking over veiligheid
(Heb ook al wel geprobeerd met een VPN te werken via de UCG Max maar dat lukt met nog niet. Maar zal zeker een van de volgende acties zijn)

zondag 29 december 2024 10:17

Acties:

+1 Henk 'm!

nelizmastr

Goed wies kapot

Voor een VPN op je UCG moet eerst port forwarding weer werken. De vaste telefoon maakt het hier inderdaad een stuk lastiger. Het behoort te werken.

Wellicht ook even een post maken op het Odido community forum. Wellicht zijn er daar mensen die je gericht kunnen helpen.

[ Voor 12% gewijzigd door nelizmastr op 29-12-2024 10:18 ]

I reject your reality and substitute my own

zondag 29 december 2024 10:22

Acties:

+1 Henk 'm!

bananasplit

Je omvormer heeft als fixed ip adres 192.168.1.222
Je port forwarding gaat naar 192.168.200.10
Dat kan natuurlijk nooit werken, je moet dan die omvormer een fixed ip adres in die 162.168.200.xxx reeks geven en daar dan die forward heen sturen.

Laat onverlet dat het zeer onverstandig is een omvormer via een portforward zomaar aan het internet bloot te stellen.

Heb je de portforwarding wel goed gedaan toen je de omvormer nog aan je UCG hing?
Je titel suggereert dat je denkt dat het in de Zyxel zit, maar als je omvormer gewoon achter de UCG en de UCG in de DMZ van de Zyxel, moet je in de UCG portforwarden en als dat niet werkt moet je het daar zoeken.

zondag 29 december 2024 15:08

Acties:

0 Henk 'm!

996

Topicstarter

bananasplit schreef op zondag 29 december 2024 @ 10:22:
Je omvormer heeft als fixed ip adres 192.168.1.222

Dit was de situatie die niet werkte. Om de boel simpeler te maken teneinde het probleem in delen op te kunnen lossen heb ik daarna de omvomer rechtstreeks aan de Zyxel gehangen. Dus vandaar een nieuw IP adres van 192.168.200.10 Met een portforward daar naar toe.

Je port forwarding gaat naar 192.168.200.10
Dat kan natuurlijk nooit werken, je moet dan die omvormer een fixed ip adres in die 162.168.200.xxx reeks geven en daar dan die forward heen sturen.

Laat onverlet dat het zeer onverstandig is een omvormer via een portforward zomaar aan het internet bloot te stellen.

Heb je de portforwarding wel goed gedaan toen je de omvormer nog aan je UCG hing?
Je titel suggereert dat je denkt dat het in de Zyxel zit, maar als je omvormer gewoon achter de UCG en de UCG in de DMZ van de Zyxel, moet je in de UCG portforwarden en als dat niet werkt moet je het daar zoeken.

Toen de omvormer nog aan de UCG hing had ik de goede IP adressen ingesteld, want als ik dat intern gebruikte werkte het wel.
Optie A:
Eerste route was DMZ van Zyxel naar UCG Max en vandaar een portforward naar de omvormer.

Optie B:
Toen dat niet meer werkte ben ik gegaan voor een portforward van de Zyxel naar de UCG Max en vervolgens van daaruit een portforward naar de omvormer.
Dat werkte ook niet.

Ik heb sterk het idee dat de Zyxel geen portforwards meer doorgeeft? Op Odido Community forum zijn er best veel berichten over in het verleden.
Hoop dat iemand hier meer weet....

Wat is een betere/veiligere oplossing A of B?

Meest veilige zou dus zijn een VPN aanmaken naar de UCG Max zodat ik alles wat daarachter hangt op een veilige manier kan bereiken. Heb dat geprobeerd met Unifi Teleport maar dan kan ik de omvormer nog steeds niet bereiken?

zondag 29 december 2024 20:10

Acties:

+1 Henk 'm!

bananasplit

Als je een DMZ gebruikt dan is er helemaal geen portforwarding in die Zyxel, want dan wordt al het verkeer naar alle poorten gewoon doorgegeven naar die UCG.

Dus als het een portforwarding probleem is dan moet je die in die UCG zoeken en niet in de Zyxel.

Ook als je geen DMZ gebruikt maar dubbel Nat doet (en dus twee portforwards maakt) gebruik je de portforward van die UCG dus ik zou het daar zoeken als ik jouw was.

Een een VPN inzetten zou ik pas gaan doen nadat je dit probleem hebt opgelost, anders raak je helemaal zoek.

En port scans zijn niet betrouwbaar om te kijken of een port geforward is.
Die kijken alleen of er iets antwoordt op een probe en de meeste firewalls blokkeren dat.

[ Voor 13% gewijzigd door bananasplit op 29-12-2024 20:20 ]

zondag 29 december 2024 22:57

Acties:

+1 Henk 'm!

Kabouterplop01

chown -R me base:all

996 schreef op zondag 29 december 2024 @ 09:59:
[...]

Dit is mijn externe ip adres
87.212.999.99

Dan heb je in ieder geval geen carrier grade NAT (CGNAT) en zou je er uit moeten komen met de opmerkingen en de hulp van de andere Tweakers.

edit:
A en B zijn beiden niet handig. Waarom wil je het vanaf het internet kunnen bereiken, kan toch ook thuis?
Het mooiste is inderdaad een VPN doos en van daaruit op je netwerk kunnen kijken.
Door een firewall heen met 2FA inloggen op die VPN machine.

[ Voor 29% gewijzigd door Kabouterplop01 op 29-12-2024 23:02 ]

maandag 30 december 2024 08:21

Acties:

+2 Henk 'm!

bananasplit

@Kabouterplop01
Iedereen is het er over eens dat hij een VPN moet gebruiken om veilig te zijn.
Maar om dat te kunnen doen moet hij eerst port forwarden werkend krijgen.
En twee dingen gelijktijdig proberen is nooit handig.

@996
Wat gebeurt er als je die Zyxel alleen in de DMZ van die Zyxel zet, dus zonder die UCG?
Dat is er geen enkele portforwarding meer en zou je hem vanaf het internet moeten kunnen bereiken.

Hoe test je eigenlijk of je die omvormer vanaf het internet kunt bereiken?

[ Voor 41% gewijzigd door bananasplit op 30-12-2024 08:25 ]

maandag 30 december 2024 08:41

Acties:

+1 Henk 'm!

CH4OS

It's a kind of magic

Heeft Odido je niet stiekem ook achter een NAT zitten, zoals Ziggo dat ook weleens doet tegenwoordig? Ik weet alleen de naam ervoor even niet, maar dan kun je forwarden of in dmz zetten zoveel als je wilt, maar gaat het nooit werken en is VPN de enige optie.

maandag 30 december 2024 09:08

Acties:

0 Henk 'm!

996

Topicstarter

bananasplit schreef op maandag 30 december 2024 @ 08:21:
@Kabouterplop01 …

@996
Wat gebeurt er als je die Zyxel alleen in de DMZ van die Zyxel zet, dus zonder die UCG?
Dat is er geen enkele portforwarding meer en zou je hem vanaf het internet moeten kunnen bereiken.

Dat ga ik testen, goede tip
Inmiddels getest: dat werkt

Hoe test je eigenlijk of je die omvormer vanaf het internet kunt bereiken?

Vanaf telefoon via 5G, in Safari typ ik dan in:
Extern ip: poortnummer

[ Voor 57% gewijzigd door 996 op 30-12-2024 09:31 ]

maandag 30 december 2024 09:32

Acties:

0 Henk 'm!

996

Topicstarter

Volgende stap DMZ uit
Portforward aangemaakt

Afbeeldingslocatie: https://tweakers.net/i/8wlhhMrY2fbnPtpotsF6KTZ0gqw=/x800/filters:strip_icc():strip_exif()/f/image/aHb2GvV5ndSRpRDEhydHf7kO.jpg?f=fotoalbum_large

Getest en de werkt niet…
Is toch vreemd?

[ Voor 5% gewijzigd door 996 op 30-12-2024 09:35 ]

maandag 30 december 2024 11:23

Acties:

+1 Henk 'm!

bananasplit

Dan moet je het zoeken in je omvormer.

Want als je DMZ en de UCG gebruikt heb je enkel een portforwarding in de UCG en het lijkt met heel erg onwaarschijnlijk dat de portforwarding in zowel de Zyxel als de UCG niet werkt.

Gebruikt die omvormer soms meerdere poorten of wil hij soms ook een connectie naar de cloud maken?
Welke omvormer heb je eigenlijk.

[ Voor 23% gewijzigd door bananasplit op 30-12-2024 11:25 ]

maandag 30 december 2024 11:28

Acties:

+1 Henk 'm!

bananasplit

CH4OS schreef op maandag 30 december 2024 @ 08:41:
Heeft Odido je niet stiekem ook achter een NAT zitten, zoals Ziggo dat ook weleens doet tegenwoordig? Ik weet alleen de naam ervoor even niet, maar dan kun je forwarden of in dmz zetten zoveel als je wilt, maar gaat het nooit werken en is VPN de enige optie.

Dat heet CGNAT en Odido doet geen CGNAT.

maandag 30 december 2024 11:35

Acties:

+2 Henk 'm!

Frogmen

Als je Glas van Odido hebt kan je de Zyxell er ook tussenuit halen. Overigens zou ik nooit DMZ gebruiken maar port forwarding. Als je hem toch aan hebt staan kan hij net zo goed een extra firewall zijn.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

maandag 30 december 2024 11:41

Acties:

+1 Henk 'm!

bananasplit

Ik ken die Zyxel niet maar normaal gesproken werkt de firewall functionaliteit nog steeds als je DMZ gebruikt.

Echter de firewall functionaliteit van provider modems is meestal heel erg beperkt en vrij nutteloos want je kunt niet zelf rules definiëren en hebt dus alleen de heel beperkte standaard functionaliteit.
Kan ook niet want firewall rules kosten veel cpu power en dat hebben die dingen meestal niet.

maandag 30 december 2024 11:57

Acties:

+2 Henk 'm!

Frogmen

DMZ wil zeggen alle poorten forwarden je firewall doet dan niet meer zoveel.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

maandag 30 december 2024 12:13

Acties:

+2 Henk 'm!

996

Topicstarter

Dank zover voor jullie hulp!

Was vergeten dat verkeer naar de omvormer op 80 binnen moet komen
Dus extern poort 49491 naar intern ip poort 80
De portforward werkt nu.

Volgende stappen zin om de omvormer weer aan de UCG Max te hangen.
Daarna kijken of ik de omvormer via de Zyxel en de UCG met twee portforwards bereikbaar kan maken
Als dat lukt ga ik daarna uitzoeken hoe ik het op de veilige manier kan doen met VPN

maandag 30 december 2024 13:33

Acties:

+1 Henk 'm!

bananasplit

Frogmen schreef op maandag 30 december 2024 @ 11:57:
DMZ wil zeggen alle poorten forwarden je firewall doet dan niet meer zoveel.

Dat is geen standaard functie van een DMZ.
Vaak wordt al het verkeer eerst door de Firewall gestuurd om toch een beetje controle te houden, maar dat is per implementatie verschillend.

In professionele omgevingen wordt altijd al het verkeer naar een DMZ eerst door een firewall gestuurd.

maandag 30 december 2024 13:44

Acties:

+1 Henk 'm!

CH4OS

It's a kind of magic

Frogmen schreef op maandag 30 december 2024 @ 11:57:
DMZ wil zeggen alle poorten forwarden je firewall doet dan niet meer zoveel.

Nee, DMZ is wel degelijk iets anders dan poort forwarding. Vervolgens kun je aan de kant waar het interne netwerk aan komt, wel degelijk een firewall hopen (mag het toch wel hopen althans). In wat het gevolg is, hoef je inderdaad maar op 1 apparaat nog de poorten te forwarden. Maar eigenlijk kun je dan net zo goed het apparaat dat de DMZ opzet er tussenuit halen tegenwoordig.

offtopic:
Je bent immers niet meer verplicht om de door de provider aangeboden apparatuur te gebruiken. Een provider moet immers jou enigszins assisteren wanneer je jouw eigen apparatuur wilt gebruiken op jouw eigen netwerk, waar het modem/modem-router combinatie, aldus de ACM gewoon onderdeel van is. Dat ze geen support hoeven te geven op het apparaat is logisch, maar men moet dat wel op de internet verbinding geven en zorgen dat die moet kunnen werken op private apparatuur.

maandag 30 december 2024 13:56

Acties:

+1 Henk 'm!

Frogmen

Een basic firewall doet niets meer of minder dan poorten gesloten houden behalve die welke je doorlaat. Vandaar mijn opmerking DMZ zet je eigenlijk ook je firewall uit.
De meer geavanceerde firewalls doen inderdaad wel meer bijvoorbeeld DPI mailware etc.. De simpele van je provider doen dat meestal niet of beperkt.
@996 Waarom haal je de Zyxell er niet tussenuit?

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

maandag 30 december 2024 14:12

Acties:

0 Henk 'm!

996

Topicstarter

Frogmen schreef op maandag 30 december 2024 @ 13:56:

@996 Waarom haal je de Zyxell er niet tussenuit?

Vanwege de vaste telefonie die door de Zyxel wordt gedaan

maandag 30 december 2024 23:49

Acties:

0 Henk 'm!

996

Topicstarter

Na een harde reset van de Zyxel, zodat die weer van de standaard adres reeks 192.168.1.xxx gebruik maakt en alle instellingen weer zijn gereset, tevens een harde reset van de UCG Max gedaan.
Daarna alles weer opnieuw in gaan richten. Na paar uur puzzelen gelukkig succes.
Het werkt nu om een portforward van Zyxel naar UCG en van UCG naar omvormer (ip adres 192.168.100.223) te maken. Dus uiteindelijk gelukt.

Dank voor jullie aanwijzingen om kritisch te blijven kijken naar de instellingen.

Nu de volgende stap: VPN
Heb in de UCG Max een Teleport aangemaakt (standaard VPN mogelijkheid van Unifi dus)
Mijn iPhone kan daar nu mee verbinden via 5G. Rechts bovenin het iPhone scherm verschijnt heel even een VPNsymbool, maar dat verdwijnt dan ook weer. Wel geeft Wifiman aan dat de VPN verbinding actief is.

Afbeeldingslocatie: https://tweakers.net/i/yPmOhoeqtUB2brtpjpiCjA-vTmE=/x800/filters:strip_exif()/f/image/5PuZCS3TssjhzkWKZ4q022wG.png?f=fotoalbum_large

Als ik vervolgens in een browser het interne IP adres van de omvormer invoer zou dat toch bereikbaar moeten zijn omdat de VPN actief is?
Dat lukt me nog niet

Afbeeldingslocatie: https://tweakers.net/i/4NhgUBKl7JpsrHYXDMOsm1SlcRs=/x800/filters:strip_exif()/f/image/a4q6KwzdMjLcUnudNiVSUbsf.png?f=fotoalbum_large

[ Voor 33% gewijzigd door 996 op 31-12-2024 09:22 ]

woensdag 1 januari 2025 10:24

Acties:

+1 Henk 'm!

bananasplit

Misschien handiger even een nieuw topic met een nieuwe vraagstelling te openen, zoiets als "hoe een VPN met een UCG te gebruiken".
Dan krijg je meer reacties die bij je vraag passen denk ik.

Pagina: 1

Reageer