Welkom op het

KPN Forum

Recent online

Port-forwarding & UPnP: Wat, waarom en hoe?


Reputatie 7
  • wjb
  • 23215 reacties
Wat is UPnP en Port-forwarding nu eigenlijk en waarom gebruiken we het:

Wil jij een apparaat op jouw eigen netwerk vanaf het Internet kunnen benaderen, dan moet de "bewegwijzering" goed ingesteld zijn. UPnP en port-forwarding spelen een essentiële rol in deze "bewegwijzering".

Op Internet draait alles om IP adressen en poorten. Zo heeft jouw Experia Box één publiek IP adres (in de consumenten markt) en zijn al jouw apparaten dus op dat ene IP adres te benaderen.
De poorten zijn onderverdeeld in twee groepen (TCP en UDP) en staan eigenlijk voor protocollen of functionaliteit. Zo is TCP poort 80 het HTTP protocol, TCP poort 443 het HTTPS protocol en UDP 5060 het SIP (telefonie) protocol.

Elk datapakketje dat op Internet verstuurd wordt is voorzien van een afzender (IP-adres en poortnummer) en een geadresseerde (IP-adres en poortnummer).
Tik jij bijvoorbeeld in jouw browser http://www.kpn.com, dan wordt eerst via de DNS server bepaald wat het IP adres van www.kpn.com is (62.132.193.64) en vervolgens wordt een bericht naar dat IP adres en TCP poort 80 gestuurd. Probeer maar, http://62.132.193.64 brengt je ook op de site van KPN.

Tik jij in een browser "http://jouw publieke IP adres" (Bijvoorbeeld: http://89.45.67.123) dan wordt het bericht dus naar jouw router gestuurd op TCP poort 80. Maar ja, dan moet het dus nog door naar het apparaat op jouw lokale netwerk die het antwoord moet gaan geven.

Dit is waar de NAT (Network Address Translation) functionaliteit van jouw Experia Box in actie komt.

Op basis van de gedefinieerde port-forwardings wordt het LAN IP adres bepaald waar het bericht naar doorgestuurd moet worden. Als je bijvoorbeeld een port-forwarding voor TCP poort 80 naar het LAN IP adres 192.168.2.100 hebt gedefinieerd, dan wordt het bericht daar naar doorgestuurd.

Nu zijn er twee manieren om port-forwardings op de Experia Box te definiëren:
  1. UPnP
  2. Port forwarding (of Port mapping of de V8)
UPnP doet eigenlijk niets anders dan het automatisch aanmaken van port-forwardings op de Experia Box. Dit is dus de meest eenvoudige methode, maar daarvoor moet het aangesloten apparaat dus wel UPnP ondersteunen en moet de UPnP IGD functionaliteit op de Experia Box aangezet worden. Gelukkig zijn er steeds meer apparaten die UPnP ondersteunen en daarmee wordt dus vermeden dat een eindgebruiker zelf handmatig port-forwardings moet maken.

Hoe kunnen we Port-forwardings definiëren op een Experia Box:

Automatisch met behulp van UPnP:
Als jouw apparaat UPnP ondersteunt, zet dan UPnP IGD op de Experia Box aan en daarmee is jouw apparaat vanaf Internet bereikbaar. Het aan- en uitzetten van UPnP IGD kan je doen op de Experia Box.
  • Arcadyan ARV7519(i) en VGV7519 (V8): Op de pagina EXTRAS -> UPnP
  • ZTE H220N en ZTE H368N (V9): Application -> UPnP IGD
  • ZTE H369A (V10): Settings -> UPnP IGD
Een voorwaarde voor een apparaat om gebruik te mogen maken van UPnP is (officieel) dat dit apparaat zijn IP adres van de DHCP server van de Experia Box heeft gekregen. Stel dus altijd op zo'n apparaat in dat deze zijn IP adres automatisch (via DHCP) verkrijgt.

Wil je ook dat het IP adres van het apparaat niet zal wijzigen dan stel je dit in door een static DHCP (V8) of DHCP Binding (ZTE's) te definiëren voor het apparaat.
  • Arcadyan ARV7519(i) en VGV7519 (V8): Op de pagina START -> LAN -> static DHCP
  • ZTE H220N en ZTE H368N (V9): Network -> DHCP -> DHCP Binding
  • ZTE H369A (V10): Settings -> DHCP -> DHCP Binding
Hierbij is wel één belangrijk aandachtspunt:
Helaas kan je op de Experia Box niet aangeven welke aangesloten apparaten gebruik mogen maken van UPnP en daarmee zijn alle apparaten die over UPnP functionaliteit beschikken in staat om zichzelf (al dan niet gewenst) bereikbaar te maken vanaf Internet.
Wil je niet dat een apparaat zichzelf vanaf Internet bereikbaar kan maken, zet dan UPnP op dat apparaat uit. Kan UPnP op zo'n apparaat niet uitgezet worden, overweeg dan toch om handmatig port-forwardings in te stellen en zet dan UPnP IGD op de Experia Box toch maar uit.
Het zou mooi zijn als KPN (en andere leveranciers van routers) ooit nog eens met de functionaliteit zouden komen om (net als bij de wifi access control) op basis van MAC adres apparaten toe te staan om gebruik te maken van UPnP.

Handmatig met behulp van Port-forwardings:
Ondersteunt jouw apparaat geen UPnP of wil je geen gebruik maken van UPnP, dan zal je dus handmatig port-forwardings moeten definiëren.

Je doet er dan verstandig aan om het onderstaande stappenplan te volgen:

Zorg er voor dat het IP adres van het apparaat niet zal wijzigen.
Bij voorkeur doe je dit door het apparaat te configureren zodat deze zijn IP adres automatisch (via DHCP) verkrijgt en definieer je een static DHCP (V8) of DHCP Binding (ZTE's) voor het apparaat.
  • Arcadyan ARV7519(i) en VGV7519 (V8): Op de pagina START -> LAN -> static DHCP
  • ZTE H220N en ZTE H368N (V9): Network -> DHCP -> DHCP Binding
  • ZTE H369A (V10): Settings -> DHCP -> DHCP Binding
Alternatief is dat het IP adres vast op het apparaat ingesteld wordt, maar persoonlijk prefereer ik echt dat alle apparaten hun IP adressen van de DHCP server krijgen.

Test of je het apparaat op jouw lokale netwerk voor de gewenste functionaliteit goed kunt benaderen. Zolang dat niet 100% goed werkt heeft het ook geen zin om met de port-forwardings te beginnen.
Noteer hierbij het IP adres van het apparaat en de poort(en) die gebruikt worden, ook of het TCP of UDP poorten betreft. (Raadpleeg eventueel de handleiding van het apparaat voor het vaststellen van deze poorten.)

Als op jouw LAN alles goed werkt, dan kunnen de port-forwardings ingesteld gaan worden:

Arcadyan ARV7519(i) en VGV7519 (V8):

Ga naar de pagina DATA -> NAT -> Port mapping en vul voor elke te gebruiken poort een regel in waarbij het IP adres gevuld wordt met het LAN IP adres van het apparaat, het protocol type met het type van de door de sturen poort (TCP of UDP) en zowel de LAN als publieke poort met het poort nummer.

ZTE H220N en ZTE H368N (V9):

Ga naar de pagina Application -> Port-Forwarding.
Kies voor "Click here to add an application".
Geef de application een voor jou herkenbare naam en voeg voor elke te gebruiken poort een entry toe door het protocol te vullen met het type van de door te sturen poort en de Start Port, End Port, Start Mapping Port en End Mapping Port met het poort nummer.

Als alle poorten zijn opgenomen, click dan op "back" en wijs de net aangemaakte application toe aan het IP adres van het apparaat.

ZTE H369A (V10):

Ga naar de pagina Settings -> Port-Forwarding IPv4.
Klik op Create New Application en kies voor "Create new Item".
Vul een voor jou herkenbare naam in en druk op Apply.
Klik op Modify Application en selecteer jouw Application in de dropdown.

Voeg voor elke te gebruiken poort een entry toe (Create New Item) en vul het protocol met het type van de door te sturen poort en de Start Port, End Port, Start Mapping Port en End Mapping Port met het poort nummer.

Het apparaat zou nu ook vanaf Internet bereikbaar moeten zijn op jouw publieke IP adres.

Extern (op Internet) een andere poort gebruiken dan intern (op het LAN):

Soms is het verstandig of noodzakelijk om extern (op Internet) een ander poort nummer te gebruiken dan die intern (op het LAN) gebruikt wordt.

Zo doe je er verstandig aan om een camera niet op poort 80 (standaard HTTP) beschikbaar te stellen of is het noodzakelijk om een andere poort te gebruiken omdat er meer dan één apparaat in jouw lokale netwerk aanwezig is die een bepaalde poort gebruikt.

Op de Arcadyan ARV7519(i) en VGV7519 (V8) doe je dit door bij de publieke poort het poortnummer (tussen 1025 en 65535) in te geven waarop je deze op Internet beschikbaar wilt stellen.

Op de ZTE H220N, ZTE H368N (V9) en ZTE H369A (V10) doe je dit door bij Start Port en End Port het poortnummer (tussen 1025 en 65535) in te geven waarop je deze op Internet beschikbaar wilt stellen.

In een browser vul je dan de URL aan met :<poortnummer>.

Heb je bijvoorbeeld een camera en een webserver op jouw lokale netwerk die beide "naar TCP poort 80 luisteren", dan gebruik je in de port-forwarding voor de camera intern TCP poort 80 en extern bijvoorbeeld TCP poort 4080 terwijl de port-forwarding voor de webserver zowel extern als intern TCP poort 80 gebruikt wordt.

Als je nu in een browser http://<jouw publiek IP adres> gebruikt, dan kom je op de webserver uit terwijl http://<jouw publiek IP adres>:4080 je bij de camera zal brengen.

Aandachtspunten en valkuilen:
De Arcadyan VGV7519 lijkt een probleem te hebben met de NAT loopback. Als je dus test of jouw apparaat vanaf Internet benaderbaar is, zorg dan dat het apparaat waarmee je dat test (telefoon/tablet) niet met de wifi verbonden is, maar via 3/4G.

Als je op een ZTE H220N of ZTE H368N een application wijzigt, dan wordt dit niet direct doorgevoerd. Ontkoppel de application van het IP adres en koppel deze opnieuw. Dan zullen de wijizigingen wel geactiveerd worden.

Mocht jij overigens een andere Experia Box hebben dan een Arcadyan ARV7519(i), VGV7519 (V8), ZTE H220N, ZTE H368N (V9) of ZTE H369A (V10), neem dan contact op met KPN, jouw Experia Box is verouderd en nodig aan vervanging toe.

45 Reacties

Reputatie 3
Badge +4
Beste wjb,

Sinds kort een nieuwe experiabox ontvangen (V9).

Hiervoor had ik de TG789. Hierop aangesloten een Foscam IP-camera F18918W.

Je bovenstaande stappen, en je vorige berichten gelezen.

Het is een heldere uitleg, maar het lukt mij niet om de camera van buiten af te zien.

Kan ik wat screen copy's sturen?

Vriendelijke groet,

Peter Wit

Reputatie 3
Badge +4
Kan mij iets herinneren vanuit "wat is mijn op adres" om in te vullen, is dat nog relevant?

Je schrijft dat de ip camera vanuit de DHCP Server gekozen dient te worden en het ip adres genoteerd te worden. Ik zie mijn camera niet in deze lijst staan en heb deze via "ad aplicatie" aangemaakt.

Is dat goed?  HELP  ;-)

Reputatie 7
Hoi Peter, plaats die screenshots gewoon hier in dit topic.

Zolang je maar niet jouw publieke IP adres, DDNS of wachtwoorden hier post kleven daar ook geen security problemen aan.

Reputatie 3
Badge +4
Bedankt wjb, hier komen ze:

Reputatie 3
Badge +4


Reputatie 3
Badge +4

Reputatie 7
Kan je ook een screenshot plaatsen van de poorten binnen de toepassing Foscam. (Klik op Foscam om deze zichtbaar te maken.)

Kan jij ook een screenshot plaatsen van de instellingen van de Foscam? (IP adres en poorten binnen de beheer omgeving van de Foscam camera.)

Wat is het MAC adres van de Foscam camera?

Zowel van de bedrade LAN adapter als van de wifi adapter. (Zie stickertjes aan de onderzijde van de camera.)

Reputatie 3
Badge +4


Reputatie 3
Badge +4

Reputatie 7
Ik neem aan dat jouw camera bedraad is aangesloten op jouw V9, klopt dat?

Zo ja, vink bij de netwerkinstellingen op jouw Foscam aan dat het IP adres verkregen moet worden van de DHCP server en herstart jouw Foscam. Let op, jouw camera krijgt vanaf dan het IP adres 192.168.2.201, dat is dan ook het adres om daarna weer in de beheer omgeving te komen. Je zult de camera dan ook tussen de DHCP cliënts zien staan.

Waarom heb jij TCP & UDP poort 4800 en TCP & UDP poort 5957 opgenomen in de application Foscam.

Plaats hier eens het screenshot van de Foscam camera op basis waarvan je deze poorten gekozen hebt.

Reputatie 3
Badge +4
Deze camera is draadloos aangesloten.
Heb ik deze verbindingen door elkaar gehaald?
Reputatie 7
Nee hoor, ik haalde de MAC adressen op de foto voor de LAN adapter en wifi adapter door elkaar.

Ik snap alleen niet waarom je een port-forwarding naar 192.168.2.201 probeert te maken terwijl jouw camera nu hard ingesteld is op IP adres 192.168.2.45. Hoe ben je op dat 192.168.2.201 gekomen?

Verander alsnog in de netwerkinstellingen op de Foscam zoals aangegeven in mijn vorige bericht.

De camera zal na de herstart alsnog op IP adres 192.168.2.201 bereikbaar zijn en niet meer op 192.168.2.45.

Vermeldt ook nog even hoe je aan die poortnummers bent gekomen. (Screenshot?)

Reputatie 3
Badge +4
De netwerkinstellingen v.d. camera aangepast naar 192.168.2.201.

Kan deze via de webpagina benaderen.

Maar nog niet via de ip-camera app (Tinycam) via 192.168.2.201.

Wat mij opvalt (zie de bijlage) is dat de inderdaad nu zichtbare camera zelf het bedrade mac adres aangeeft.

Omdat het bij mij niet lukte heb ik dit geprobeerd:

In één van je berichten op dit forum, schrijf je (o.a.) over het port forwarden (4800 en 5957) en dan koppelen naar 192.168.2.200. Zelf het ik het aangepast naar 192.168.2.201. Is dit wat je bedoeld?

Reputatie 7
Dat MAC adres in de DHCP list is niet van de bedrade aansluiting, maar van de wifi aansluiting van jouw camera.

Je hebt een Foscam camera, waarom gebruik je dan Tinycam als app?

Gooi dat ding snel weg en installeer de Foscam viewer, die is speciaal voor Foscam camera's gemaakt.

Dat ik ergens anders spreek over poort 4800 en 5957 wil niet zeggen dat dat nu ook de poorten zijn die door jouw Foscam camera gebruikt worden.

Configureer in die Foscam viewer een camera op IP adres 192.168.2.201, zet de stream op "main stream" en gebruik bij zowel bij HTTP Port als Media Port de waarde 80.

Kan jij met de Foscam viewer nu de camera beelden bekijken. (Wel bij deze test jouw telefoon of tablet hierbij via wifi aansluiten.)

Reputatie 3
Badge +4
Ja, kan nu camera beelden bekijken via de Foscam Viewer.

Kan ik nu beter die verkeerde forward verwijzingen weghalen?

Reputatie 7
Mooi, dan zijn we er nu bijna.

Het is onverstandig om de standaard HTTP poort (80) te gebruiken om jouw camera via Internet beschikbaar de stellen, maar niet gevreesd, ook daar is een oplossing voor.

Login op jouw V9 en ga naar het port-forwarding scherm.

Klik op de Foscam application en voeg daar een extra regel toe met de volgende waarden:

Protocol: TCP

Start Port: 4880

End Port: 4880

Start Mapping Port: 80

End Mapping Port:80

Verwijder de regels voor poort 4800 en 5957.

Koppel de application Foscam los van IP adres 192.168.2.201 en koppel hem opnieuw. (Zie valkuilen uit eerste bericht.)

Vul nu bij de camera in de Foscam viewer het IP adres met het publieke (WAN) IP adres van jouw Experia Box.

Vul bij HTTP Port en Media Port de waarde 4880.

Voila, jouw camera is nu ook vanaf Internet te benaderen.

Opmerking: Voor poort 4880 mag je ook een andere waarden gebruiken tussen 1025 en 65535.

Reputatie 3
Badge +4
wjb, het werkt!

Heel erg bedankt voor je geduld en uitleg.

Groeten,

Peter

Reputatie 7
Graag gedaan, blij dat jij nu ook elders even kunt kijken of thuis alles goed is. :D

Hallo

Ik heb het v10 modem en wil mijn nas nu als ftp server gaan gebruiken . Nu staat mijn nas op 192.168.2.253 en kpn modem op 192.168.2.254. Nu lukt het me met geen mogelijkheid de nas een Netgear ReadyNas 104 met het modem te laten communiceren. Wel gaat het intern dus ftp://192.1.2.253 username en password. Alleen niet vanaf buiten af dus.

Wat doe ik verkeerd, Ik heb al geprobeerd om met Mac adres van de NAS te werken en ip adres. Dat wil voor geen mogelijkheid werken 

Goos Mante

Reputatie 7
Het IP adres 192.168.2.253 is gereserveerd voor de Experia Box en kan dus niet gebruikt worden voor een ander apparaat.

Maak eerst een DHCP binding voor het MAC adres van die NAS naar IP adres 192.168.2.252 en stel de NAS vervolgens zo in dat deze zijn IP adres via DHCP krijgt.

Het IP adres zou dan dus 192.168.2.252 moeten gaan worden.

Door op de V10 een port-forwarding van TCP poort 21 naar het IP adres van de NAS te definiëren zou jouw NAS ook van buitenaf benaderbaar moeten zijn.

Nu ben ik absoluut geen voorstander van het via Internet ontsluiten van een NAS o.b.v. FTP. Ik vind dat te onveilig maar dat is een ander verhaal.

Ik heb een webserver draaien op een lokale PC (IP 192.168.2.2, handmatig ingesteld) en heb je stappenplan voor portforwarding gevolgd.

Lokaal kan ik de webserver prima bereiken, maar van buiten lukt het nog steeds niet. Onderstaand een screenshot van de instellingen in mijn H369A:


Wat zie ik over het hoofd...?

Jan.
Reputatie 7
Dus op http://192.168.2.2 kan je de webserver wel bereiken maar via jouw publieke IP adres niet?

Geldt dat ook als je dit niet via een wifi verbinding maar via een 3G/4G verbinding probeert.

Klopt het dat je het IP adres op die PC handmatig ingesteld hebt?

Zo ja:

  • Mag ik vragen waarom je dat doet?
  • Maak eens een DHCP binding voor het MAC adres van de netwerkkaart van jouw PC naar IP adres 192.168.2.2 en stel de PC in dat deze zijn IP adres automatisch via DHCP krijgt. Maakt dit enig verschil?
wjb schreef op 30 dec '15 om 21:33u

Dus op http://192.168.2.2 kan je de webserver wel bereiken maar via jouw publieke IP adres niet?

Geldt dat ook als je dit niet via een wifi verbinding maar via een 3G/4G verbinding probeert.

Klopt het dat je het IP adres op die PC handmatig ingesteld hebt?

Zo ja:

  • Mag ik vragen waarom je dat doet?
  • Maak eens een DHCP binding voor het MAC adres van de netwerkkaart van jouw PC naar IP adres 192.168.2.2 en stel de PC in dat deze zijn IP adres automatisch via DHCP krijgt. Maakt dit enig verschil?
 Inderdaad, ook via 3G/4G is de webserver niet te bereiken. Maar je tweede suggestie heeft wonderen verricht, al moest ik wel even zoeken hoe ik mijn servertje op DHCP moest zetten (m'n Linux begint wat roestig te worden). Het handmatig instellen is een oude gewoonte. Met DHCP-binding blijkt het wèl te werken. Bedankt voor het meedenken! Jan. 

Reputatie 1
Goed en dag,

Om mijn problematiek ook maar op tafel te gooien. Ik zou graag mijn FTP server benaderen via mijn publieke IP adres. Echter wil de port forward niet lekker lukken. Doe ik iets verkeerd??

Hieronder een uitleg van mijn situatie met screenshots daaronder.

Lokaal op mijn netwerk heb ik een FTP server die een statisch IP adres 192.168.2.90 krijgt van de DHCP server (Expediabox V10). Op mn LAN is de FTP server op poort 21 benaderbaar. Het lukt mij ook om lokaal een verbinding te maken met de FTP. 

Deze FTP heb ik via een port forward beschikbaar gemaakt met poort 8021. Het is mij niet gelukt om de FTP server te benaderen via mijn publieke IP adres. Voor de goede orde heb ik online getracht via een service de poort te bevragen, echter weet ik niet of de firewall can de expediabox deze praktijken tegen houd. (ik kan deze instelling niet instellen *protest* waardoor ik niet kan testen of het aan de firewall ligt)

Hieronder wat screenshots van mijn instellingen.





Reputatie 7
Probeer het ook eens met de standaard application "FTP Server".

Lukt het dan om op TCP poort 21 via het publieke IP adres de FTP server te benaderen?

Reageer