Port-forwarding & UPnP: Wat, waarom en hoe?


Reputatie 7
Wat is UPnP en Port-forwarding nu eigenlijk en waarom gebruiken we het:

Wil jij een apparaat op jouw eigen netwerk vanaf het Internet kunnen benaderen, dan moet de "bewegwijzering" goed ingesteld zijn. UPnP en port-forwarding spelen een essentiële rol in deze "bewegwijzering".

Op Internet draait alles om IP adressen en poorten. Zo heeft jouw Experia Box één publiek IP adres (in de consumenten markt) en zijn al jouw apparaten dus op dat ene IP adres te benaderen.
De poorten zijn onderverdeeld in twee groepen (TCP en UDP) en staan eigenlijk voor protocollen of functionaliteit. Zo is TCP poort 80 het HTTP protocol, TCP poort 443 het HTTPS protocol en UDP 5060 het SIP (telefonie) protocol.

Elk datapakketje dat op Internet verstuurd wordt is voorzien van een afzender (IP-adres en poortnummer) en een geadresseerde (IP-adres en poortnummer).
Tik jij bijvoorbeeld in jouw browser http://www.kpn.com, dan wordt eerst via de DNS server bepaald wat het IP adres van www.kpn.com is (62.132.193.64) en vervolgens wordt een bericht naar dat IP adres en TCP poort 80 gestuurd. Probeer maar, http://62.132.193.64 brengt je ook op de site van KPN.

Tik jij in een browser "http://jouw publieke IP adres" (Bijvoorbeeld: http://89.45.67.123) dan wordt het bericht dus naar jouw router gestuurd op TCP poort 80. Maar ja, dan moet het dus nog door naar het apparaat op jouw lokale netwerk die het antwoord moet gaan geven.

Dit is waar de NAT (Network Address Translation) functionaliteit van jouw Experia Box in actie komt.

Op basis van de gedefinieerde port-forwardings wordt het LAN IP adres bepaald waar het bericht naar doorgestuurd moet worden. Als je bijvoorbeeld een port-forwarding voor TCP poort 80 naar het LAN IP adres 192.168.2.100 hebt gedefinieerd, dan wordt het bericht daar naar doorgestuurd.

Nu zijn er twee manieren om port-forwardings op de Experia Box te definiëren:
  1. UPnP
  2. Port forwarding (of Port mapping of de V8)
UPnP doet eigenlijk niets anders dan het automatisch aanmaken van port-forwardings op de Experia Box. Dit is dus de meest eenvoudige methode, maar daarvoor moet het aangesloten apparaat dus wel UPnP ondersteunen en moet de UPnP IGD functionaliteit op de Experia Box aangezet worden. Gelukkig zijn er steeds meer apparaten die UPnP ondersteunen en daarmee wordt dus vermeden dat een eindgebruiker zelf handmatig port-forwardings moet maken.

Hoe kunnen we Port-forwardings definiëren op een Experia Box:

Automatisch met behulp van UPnP:
Als jouw apparaat UPnP ondersteunt, zet dan UPnP IGD op de Experia Box aan en daarmee is jouw apparaat vanaf Internet bereikbaar. Het aan- en uitzetten van UPnP IGD kan je doen op de Experia Box.
  • Arcadyan ARV7519(i) en VGV7519 (V8): Op de pagina EXTRAS -> UPnP
  • ZTE H220N en ZTE H368N (V9): Application -> UPnP IGD
  • ZTE H369A (V10): Settings -> UPnP IGD
Een voorwaarde voor een apparaat om gebruik te mogen maken van UPnP is (officieel) dat dit apparaat zijn IP adres van de DHCP server van de Experia Box heeft gekregen. Stel dus altijd op zo'n apparaat in dat deze zijn IP adres automatisch (via DHCP) verkrijgt.

Wil je ook dat het IP adres van het apparaat niet zal wijzigen dan stel je dit in door een static DHCP (V8) of DHCP Binding (ZTE's) te definiëren voor het apparaat.
  • Arcadyan ARV7519(i) en VGV7519 (V8): Op de pagina START -> LAN -> static DHCP
  • ZTE H220N en ZTE H368N (V9): Network -> DHCP -> DHCP Binding
  • ZTE H369A (V10): Settings -> DHCP -> DHCP Binding
Hierbij is wel één belangrijk aandachtspunt:
Helaas kan je op de Experia Box niet aangeven welke aangesloten apparaten gebruik mogen maken van UPnP en daarmee zijn alle apparaten die over UPnP functionaliteit beschikken in staat om zichzelf (al dan niet gewenst) bereikbaar te maken vanaf Internet.
Wil je niet dat een apparaat zichzelf vanaf Internet bereikbaar kan maken, zet dan UPnP op dat apparaat uit. Kan UPnP op zo'n apparaat niet uitgezet worden, overweeg dan toch om handmatig port-forwardings in te stellen en zet dan UPnP IGD op de Experia Box toch maar uit.
Het zou mooi zijn als KPN (en andere leveranciers van routers) ooit nog eens met de functionaliteit zouden komen om (net als bij de wifi access control) op basis van MAC adres apparaten toe te staan om gebruik te maken van UPnP.

Handmatig met behulp van Port-forwardings:
Ondersteunt jouw apparaat geen UPnP of wil je geen gebruik maken van UPnP, dan zal je dus handmatig port-forwardings moeten definiëren.

Je doet er dan verstandig aan om het onderstaande stappenplan te volgen:

Zorg er voor dat het IP adres van het apparaat niet zal wijzigen.
Bij voorkeur doe je dit door het apparaat te configureren zodat deze zijn IP adres automatisch (via DHCP) verkrijgt en definieer je een static DHCP (V8) of DHCP Binding (ZTE's) voor het apparaat.
  • Arcadyan ARV7519(i) en VGV7519 (V8): Op de pagina START -> LAN -> static DHCP
  • ZTE H220N en ZTE H368N (V9): Network -> DHCP -> DHCP Binding
  • ZTE H369A (V10): Settings -> DHCP -> DHCP Binding
Alternatief is dat het IP adres vast op het apparaat ingesteld wordt, maar persoonlijk prefereer ik echt dat alle apparaten hun IP adressen van de DHCP server krijgen.

Test of je het apparaat op jouw lokale netwerk voor de gewenste functionaliteit goed kunt benaderen. Zolang dat niet 100% goed werkt heeft het ook geen zin om met de port-forwardings te beginnen.
Noteer hierbij het IP adres van het apparaat en de poort(en) die gebruikt worden, ook of het TCP of UDP poorten betreft. (Raadpleeg eventueel de handleiding van het apparaat voor het vaststellen van deze poorten.)

Als op jouw LAN alles goed werkt, dan kunnen de port-forwardings ingesteld gaan worden:

Arcadyan ARV7519(i) en VGV7519 (V8):

Ga naar de pagina DATA -> NAT -> Port mapping en vul voor elke te gebruiken poort een regel in waarbij het IP adres gevuld wordt met het LAN IP adres van het apparaat, het protocol type met het type van de door de sturen poort (TCP of UDP) en zowel de LAN als publieke poort met het poort nummer.

ZTE H220N en ZTE H368N (V9):

Ga naar de pagina Application -> Port-Forwarding.
Kies voor "Click here to add an application".
Geef de application een voor jou herkenbare naam en voeg voor elke te gebruiken poort een entry toe door het protocol te vullen met het type van de door te sturen poort en de Start Port, End Port, Start Mapping Port en End Mapping Port met het poort nummer.

Als alle poorten zijn opgenomen, click dan op "back" en wijs de net aangemaakte application toe aan het IP adres van het apparaat.

ZTE H369A (V10):

Ga naar de pagina Settings -> Port-Forwarding IPv4.
Klik op Create New Application en kies voor "Create new Item".
Vul een voor jou herkenbare naam in en druk op Apply.
Klik op Modify Application en selecteer jouw Application in de dropdown.

Voeg voor elke te gebruiken poort een entry toe (Create New Item) en vul het protocol met het type van de door te sturen poort en de Start Port, End Port, Start Mapping Port en End Mapping Port met het poort nummer.

Het apparaat zou nu ook vanaf Internet bereikbaar moeten zijn op jouw publieke IP adres.

Extern (op Internet) een andere poort gebruiken dan intern (op het LAN):

Soms is het verstandig of noodzakelijk om extern (op Internet) een ander poort nummer te gebruiken dan die intern (op het LAN) gebruikt wordt.

Zo doe je er verstandig aan om een camera niet op poort 80 (standaard HTTP) beschikbaar te stellen of is het noodzakelijk om een andere poort te gebruiken omdat er meer dan één apparaat in jouw lokale netwerk aanwezig is die een bepaalde poort gebruikt.

Op de Arcadyan ARV7519(i) en VGV7519 (V8) doe je dit door bij de publieke poort het poortnummer (tussen 1025 en 65535) in te geven waarop je deze op Internet beschikbaar wilt stellen.

Op de ZTE H220N, ZTE H368N (V9) en ZTE H369A (V10) doe je dit door bij Start Port en End Port het poortnummer (tussen 1025 en 65535) in te geven waarop je deze op Internet beschikbaar wilt stellen.

In een browser vul je dan de URL aan met :<poortnummer>.

Heb je bijvoorbeeld een camera en een webserver op jouw lokale netwerk die beide "naar TCP poort 80 luisteren", dan gebruik je in de port-forwarding voor de camera intern TCP poort 80 en extern bijvoorbeeld TCP poort 4080 terwijl de port-forwarding voor de webserver zowel extern als intern TCP poort 80 gebruikt wordt.

Als je nu in een browser http://<jouw publiek IP adres> gebruikt, dan kom je op de webserver uit terwijl http://<jouw publiek IP adres>:4080 je bij de camera zal brengen.

Aandachtspunten en valkuilen:
De Arcadyan VGV7519 lijkt een probleem te hebben met de NAT loopback. Als je dus test of jouw apparaat vanaf Internet benaderbaar is, zorg dan dat het apparaat waarmee je dat test (telefoon/tablet) niet met de wifi verbonden is, maar via 3/4G.

Als je op een ZTE H220N of ZTE H368N een application wijzigt, dan wordt dit niet direct doorgevoerd. Ontkoppel de application van het IP adres en koppel deze opnieuw. Dan zullen de wijizigingen wel geactiveerd worden.

Mocht jij overigens een andere Experia Box hebben dan een Arcadyan ARV7519(i), VGV7519 (V8), ZTE H220N, ZTE H368N (V9) of ZTE H369A (V10), neem dan contact op met KPN, jouw Experia Box is verouderd en nodig aan vervanging toe.

45 reacties

Ik ben weer even op 0 begonnen. 

Instellingen uit de HM weggehaald.

Hetzelfde in de V10.

Nu zoals WJB heeft gezegd het IP adres van de HM static gemaakt via DHCP binding, en niet vanuit de HM zelf.

Poorten opnieuw ingesteld en het werkt eindelijk! ZO blij hehe!

Bedankt.

Reputatie 7
Dat het volgens klantenservice met een V8 niet mogelijk zou zijn om die ene poort te forwarden is werkelijk grote onzin. Ik heb het vele malen eerder geroepen, maar ik hoop echt dat KPN er werk van maakt om het erbarmelijke kennisnivo van de gemiddelde klantenservice "medewerker" op peil te brengen.

Stel jouw Raspberry Pi eens zo in dat deze zijn IP adres van de DHCP server van de V10 krijgt en zet het IP adres vast met een DHCP binding op de V10.

Werkt het dan wel?

Goedenmiddag,

Ik ondervindt problemen met het opezetten van poort 80 voor mijn Heatermeter (HM). Dit is een apparaatje raspberry pi.

Vanmiddag de V8 ingeruild voor een v10, omdat het volgens de klantenservice niet mogelijk zou zijn om ene port te forwarden op de v8...

Goed, nu met de v10 aan de slag, en ook daar lukt het dus niet. Stappenplan doorlopen. de HM heeft een statisch IP adres, maar extern is hij niet te bereiken. Wel binnen het netwerk via 192.168.2.16


Iemand een idee?
Reputatie 7
lobbes136 schreef op 13 feb '16 om 08:25u...Ik hoop dat ik bij je terug kan komen als het niet lukt.

Hé, een beetje zelfvertrouwen. ;)

Ah,  ja nu zie ik het. Ik dacht dat die altijd ergens op het apparaat zouden moeten staan

Ga ik daar eens mee verder,. Ik hoop dat ik bij je terug kan komen als het niet lukt.

Grz

Frans J

Reputatie 7
lobbes136 schreef op 12 feb '16 om 20:27uBeste WJB,

ik had het niet over IP adressen. Die hebben ze inderdaad. Maar er wordt ook naar een MAC adres gevraagd. Die hebben ze niet

grz

Frans J

Zekers hebben die camera's ook een MAC adres, zonder MAC adres zouden ze ook nooit een IP adres kunnen krijgen.

Op die DHCP pagina zie je de MAC adressen erbij staan.

Beste WJB,

ik had het niet over IP adressen. Die hebben ze inderdaad. Maar er wordt ook naar een MAC adres gevraagd. Die hebben ze niet

grz

Frans J

Reputatie 7
Natuurlijk hebben die IPCams wel IP adressen.

Die zou je op de V10 ook terug moeten kunnen vinden bij Status -> Advanced -> DHCP. (Helemaal rechts onder het pijltje naar rechts.)

Beste WJB,

heb ik idd naar gekeken maar ik moet daar mac adressen ingeven en die hebben die camera's niet.

grz

Frans Jansen

Reputatie 7
Zeker, heb je dit topic al gelezen?

Heb je de IP adressen van die IP camera's ook vastgezet met DHCP bindings?

Beste,

ik heb hier nog een vraag over. Ik heb 3 IPcams van het merk Elro. In eerste instantie kon ik die zowel in mijn thuisnetwerk én via internet benaderen. Ik had deze ingesteld via portforwarding. Na een reset van de router (V10) (resetknop) ivm problemen met het wifi netwerk heb ik de camera' s opnieuw moeten instellen. Ik kan ze nu nog steeds thuis via het wifi netwerk zien maar niet meer via internet.

Ik krijg dit niet meer voor elkaar. Als ik een programma gebruik om te zien of de desbetreffende open staan krijg ik als resultaat dat dit niet het geval is. Kan ik bij deze V10 poorten open zetten of is dat niet mogelijk en doe ik iets anders verkeerd

met vriendelijke groet

Frans Jansen

Beste wjb, global access staat uit. Dit is ook de bedoeling aangezien ik geen behoefte heb om gebruik te maken van de seagate app.

Ik probeer gewoon (wederom) gebruik te maken van de regulieren FTP functionaliteit.
Reputatie 7
Kan jij controleren of "Global access" enabled is voor de Seagate NAS administrator.

Zie ook het manual van jouw NAS.

Niet geschoten is altijd mis. ;)

ik heb een 'Seagate Business Storage 4-Bay NAS'  

Voor de duidelijkheid: ik kan de nas op mn interne netwerk gewoon prima benaderen met het 192.x ip. Verder werkte de opstelling prima met de expediabox V8. Ik acht de kant zeer onwaarschijnlijk dat mijn NAS in de tussentijd (deels) stuk is gegaan.

 Dit had wjb al eens voorgesteld in een eerder antwoord. Dit mag niet baten.

Reputatie 4
Badge +3
Heb je de poorten niet precies omgedraaid? Moet in de forward definitie niet 8021 en 21 precies andersom? Ik ken de V10 (nog) niet, maar het is een idee.

Je zou als test ook eens kunnen proberen of het werkt als je gewoon overal poort 21 gebruikt, dus zonder poort remapping.

Reputatie 7
Wat is het merk en type van die NAS?

Hey wjb,

Wederom bedankt voor je input.

Zoals voorgesteld heb ik 'TCP and UDP' veranderd naar alleen 'TCP'. Dit verhelpt mijn probleem niet.

Daarna ben ik zo vrij geweest om eens te testen met enkel 'UDP' (ookal weet ik zeker dat het een TCPprotocol is). Naar verwachting verhelpt dit mijn probleem ook niet.

Zoals ik in mijn screenshots heb laten zien is het IP adres toch echt 192.168.2.90. Op de NAS is geen firewall instelling aanwezig (dus er is ook niets om uit te zetten op de NAS). Wel heb ik een firewall zitten op expediabox V10. Echter mag ik van KPN die firewall niet aanpassen want ik krijg de opties te zien op een uitgegrijste manier (niet bedienbaar). De firewall van de expediabox V10 staat wel aan.

Dat de firewall aan staat is natuurlijk niet erg, op het moment dat we een port mapping aanmaken dan lijkt het mij dat deze door de firewall heen komt.

Op mijn laptop heb ik voor de grap eens een minecraft server aangezet. Deze werkt op poort 25565. Ik heb dus een port mapping aangemaakt van mijn publieke IP naar mijn statische (op dezelfde manier geconfigureerde manier) IP adres van mijn laptop (192.168.2.50) naar poort 25565. Dit werkt wel gewoon.

Ik vind het erg vreemd en erg vervelend dat mijn NAS nu niet benaderbaar is van buitenaf aangezien ik hier veel gebruik van maak(te). Met de xpediabox V8 werkte dit gewoon zonder problemen.

Ik heb inmiddels ook een test gedaan de NAS een andere statische IP adres te geven (192.168.2.51) ook dit heeft geen effect.

Mijn netwerk is bovendien niet spannend ofzo. Deze heb ik hieronder even getekend.


Zijn er nog andere opties die ik kan proberen????

iemand?
Reputatie 7
Verander het protocol in die "application" eens van TCP and UDP naar TCP.

Als het IP adres van de NAS echt 192.168.2.90 is en op de NAS is geen firewall actief die poort 21 vanaf Internet blokkeert en de FTP service is actief op die NAS dan zou het toch echt moeten werken.

Als iemand hier nog een oplossing weet  of een suggestie heeft dan probeer ik deze graag!!

wjb schreef op 9 jan '16 om 22:43uProbeer het ook eens met de standaard application "FTP Server".

Lukt het dan om op TCP poort 21 via het publieke IP adres de FTP server te benaderen?

 
Beste wjb, bedankt voor de snelle reactie!

Ik heb jouw voorstel geprobeerd, helaas geen positief resultaat. Waar zou het nog meer aan kunnen liggen?

update: ik heb inmiddels alle apparaten die betrokken zijn herstart. Ook dit mag niet baten.

Reputatie 7
Probeer het ook eens met de standaard application "FTP Server".

Lukt het dan om op TCP poort 21 via het publieke IP adres de FTP server te benaderen?

Goed en dag,

Om mijn problematiek ook maar op tafel te gooien. Ik zou graag mijn FTP server benaderen via mijn publieke IP adres. Echter wil de port forward niet lekker lukken. Doe ik iets verkeerd??

Hieronder een uitleg van mijn situatie met screenshots daaronder.

Lokaal op mijn netwerk heb ik een FTP server die een statisch IP adres 192.168.2.90 krijgt van de DHCP server (Expediabox V10). Op mn LAN is de FTP server op poort 21 benaderbaar. Het lukt mij ook om lokaal een verbinding te maken met de FTP. 

Deze FTP heb ik via een port forward beschikbaar gemaakt met poort 8021. Het is mij niet gelukt om de FTP server te benaderen via mijn publieke IP adres. Voor de goede orde heb ik online getracht via een service de poort te bevragen, echter weet ik niet of de firewall can de expediabox deze praktijken tegen houd. (ik kan deze instelling niet instellen *protest* waardoor ik niet kan testen of het aan de firewall ligt)

Hieronder wat screenshots van mijn instellingen.





wjb schreef op 30 dec '15 om 21:33uDus op http://192.168.2.2 kan je de webserver wel bereiken maar via jouw publieke IP adres niet?

Geldt dat ook als je dit niet via een wifi verbinding maar via een 3G/4G verbinding probeert.

Klopt het dat je het IP adres op die PC handmatig ingesteld hebt?

Zo ja:

  • Mag ik vragen waarom je dat doet?
  • Maak eens een DHCP binding voor het MAC adres van de netwerkkaart van jouw PC naar IP adres 192.168.2.2 en stel de PC in dat deze zijn IP adres automatisch via DHCP krijgt. Maakt dit enig verschil?
 Inderdaad, ook via 3G/4G is de webserver niet te bereiken. Maar je tweede suggestie heeft wonderen verricht, al moest ik wel even zoeken hoe ik mijn servertje op DHCP moest zetten (m'n Linux begint wat roestig te worden). Het handmatig instellen is een oude gewoonte. Met DHCP-binding blijkt het wèl te werken. Bedankt voor het meedenken! Jan. 
Reputatie 7
Dus op http://192.168.2.2 kan je de webserver wel bereiken maar via jouw publieke IP adres niet?

Geldt dat ook als je dit niet via een wifi verbinding maar via een 3G/4G verbinding probeert.

Klopt het dat je het IP adres op die PC handmatig ingesteld hebt?

Zo ja:

  • Mag ik vragen waarom je dat doet?
  • Maak eens een DHCP binding voor het MAC adres van de netwerkkaart van jouw PC naar IP adres 192.168.2.2 en stel de PC in dat deze zijn IP adres automatisch via DHCP krijgt. Maakt dit enig verschil?
Ik heb een webserver draaien op een lokale PC (IP 192.168.2.2, handmatig ingesteld) en heb je stappenplan voor portforwarding gevolgd.

Lokaal kan ik de webserver prima bereiken, maar van buiten lukt het nog steeds niet. Onderstaand een screenshot van de instellingen in mijn H369A:


Wat zie ik over het hoofd...?

Jan.

Reageer