Beantwoord

NAT looping werkt niet meer na overgang van Telfort naar KPN

  • 18 October 2020
  • 58 reacties
  • 635 keer bekeken


Toon eerste bericht
Dit topic is gesloten. Staat je antwoord hier niet bij, gebruik dan de zoekfunctie van de Community of stel je vraag in een nieuw topic.

58 reacties

Reputatie 7

Ik neem aan dat je jouw Asus niet als DMZ Host van de V10 ingesteld hebt, klopt dat?

Reputatie 1

Klopt.

 

Maar dat zou niet moeten uitmaken bij direct wifi van de experiabox. En daarop ondervind ik hetzelfde probleem.

Reputatie 7

Klopt.

Maar dat zou niet moeten uitmaken bij direct wifi van de experiabox. En daarop ondervind ik hetzelfde probleem.

Sterker nog, je mag hem ook niet als DMZ Host van de V10 instellen als hij in bridgemode staat.

Welke TCP/UDP poort wordt gebruikt voor die service die je wilt benaderen?

Reputatie 1

TCP poort 80. Ook geprobeerd met poort 443. Hetzelfde resultaat 

Reputatie 7

TCP poort 80. Ook geprobeerd met poort 443. Hetzelfde resultaat 

En als je in de browser naar het WAN IP adres van jouw Asus gaat terwijl je aangesloten bent op het LAN van de V10, kom je dan wel op de server?

Reputatie 7
Badge +10

TCP poort 80. Ook geprobeerd met poort 443. Hetzelfde resultaat 

En aanhaling vanuit de eerste reactie die je pakweg een jaar terug startte.

Ik kan mijn server niet via het public adress bereiken van binnen mijn Netwerk.

Server van “wat”?

Alleen een “web-server” gebruikt standaard poort 80 / 443  (http vs https).  Gaat het om inlog naar andere achterliggende services (bijv. inlog van een NAS via een web-broweser interface) ) is de kans groot dat je nog een aanvullend “ander poortnummer” moet invullen om een “server” te bereiken.

Reputatie 1

Ik snap het niet meer. 

 

Op deze poort kan ik perfect buiten mijn netwerk mijn nas bereiken. Binnen het netwerk niet meer. Dat lijkt me toch geval dat NAT looping niet werkt. 

 

Zal de Lan nog testen, maar verwacht niet dat het daar wel werkt. 

 

Het enige wat ik wil. Is via dezelfde dns en poort zowel extern en intern mijn NAS bereiken. Nu werkt buiten mijn netwerk dit perfect. Intern werkt dit niet. 

 

Reputatie 7
Badge +10

Je bljjft vaag in de informatie. Het gaat om het bereiken van je NAS.

Wat voor NAS gebruik je?
Als het bijv. om een Synology gaat, en inlog op DSM zijn standaard de poorten 5000 / 5001 in gebruik, Niet de poorten 80 en 443, die gelden alleen voor een “web-server” (of bijv. “Photo Station”).
Die poorten 5000 / 5001 voor inlog op DSM zul je dan ook moeten aanvullen achter je WAN IP, DDNS domein, of eigen (commercieel)  ingesteld domein.

Voor een NAS van een andere merk gelden evenzeer vergelijkbare manieren om in te loggen.
(Inclusief de daarbij behorende poortnummers).

Reputatie 1

Dag Babylonia,

Het is inderdaad een Synology.

Gebruik deze om fotos van mijn tel te backuppen via photos app.

 

Dit werkt goed extern, maar niet intern. Misschien moet ik gaan kijken naar een VPN.

Dat is neem ik aan nog wat veiliger?

En misschien kan hiermee ook dit probleem voorkomen.

 

Iemand ervaring met instellen van een VPN en dat dan toch de synology apps buiten je netwerk beschikbaar zijn?

 

 

Reputatie 7
Badge +10

Gebruik deze om fotos van mijn tel te backuppen via photos app.

Dan ben je inmiddels kennelijk overgestapt naar DSM 7

Daar zitten mogelijk ook oorzaken m.b.t. wat je nu “opnieuw” (na een jaar) weer opnieuw ervaart met NAT loopback??   DSM 7 werkt nog niet op alle fronten prettig met wat ik van reacties begrijp op fora. Met name m.b.t. photos.

Voor gebruik van VPN, verwijs ik je naar het forum van Synology.
Daar zijn dat soort onderwerpen vaak aan bod gekomen. Vind je wellicht al standaard het antwoord.

https://www.synology-forum.nl/

Reputatie 1

Mmm.. dan zit daar mogelijk het probleem. Bedankt Babylonia!

 

Klopt de stelling dat via VPN er een veiligere verbinding ontstaat i.v.m. de situatie zoals ik het nu doe?

 

Reputatie 7

Klopt de stelling dat via VPN er een veiligere verbinding ontstaat i.v.m. de situatie zoals ik het nu doe?

Dat klopt, maar aan de andere kant gebruik je, neem ik aan https, voor de verbinding en daarmee is jouw communicatie ook al beveiligd.

 

Ik neem aan dat je de nieuwe Synology Photos app gebruikt...

...en niet de oude DS photo app...

...immers die is niet geschikt voor DSM 7.

 

Ook ik gebruik, naar alle tevredenheid, al een tijdje DSM 7 en ervaar geen problemen.

Reputatie 7
Badge +10

Klopt de stelling dat via VPN er een veiligere verbinding ontstaat i.v.m. de situatie zoals ik het nu doe?

Over het algemeen wordt gebruik van VPN doorgaans wel aanbevolen als het om veiligheid gaat.
Maar als je standaard een versleutelde verbinding inzet, en bijv. nog een 2 factor autorisatie om in te loggen, kan dat evengoed als uitermate veilig worden aangemerkt.
(Misschien wel veiliger dan VPN zonder 2 factor autorisatie ?)

Reputatie 7
Badge +24

VPN kan nuttig zijn als je op een openbaar WiFi netwerk zit. Dit vanwege privacy en veiligheid. Als je gewoon thuis op je eigen WiFi zit, dan heeft een VPN verbinding geen nut vanuit privacy en veiligheid oogpunt.

Reputatie 1

Klopt de stelling dat via VPN er een veiligere verbinding ontstaat i.v.m. de situatie zoals ik het nu doe?

Dat klopt, maar aan de andere kant gebruik je, neem ik aan https, voor de verbinding en daarmee is jouw communicatie ook al beveiligd.

 

Ik neem aan dat je de nieuwe Synology Photos app gebruikt...

...en niet de oude DS photo app...

...immers die is niet geschikt voor DSM 7.

 

Ook ik gebruik, naar alle tevredenheid, al een tijdje DSM 7 en ervaar geen problemen.

 

Inderdaad ik gebruik de bovenstaande waarmee ik via DNS perfect extern op kan komen. 

Datzelfde DNS adres werkt dus niet in huis.

 

Is poort 5001 extern open zetten naar 5001 intern een optie, of creeer ik dan echt een onveiligheid (werkt lets crypt ook op poort 500)?

Zie dat ik de DNS naam + 5001 wel werkt intern.

Reputatie 7

Gebruik je het abc.synology.me adres of gebruik je quickconnect?

Je kunt poort 5001 best open zetten.

Zelf heb ik hem ook open staan maar gebruik ik wel een andere poortnummers.

Reputatie 7
Badge +10

Zie dat ik de DNS naam + 5001 wel werkt intern.

Als dat intern werkt heb je al aangetoond dat NAT loopback gewoon werkt.  Een extern gebruikt DDNS domein voor je WAN IP-adres, kan intern alleen werken als de NAT-loopback werkt.

Reputatie 1

Dat klopt. Maar als ik poort 80 gebruik dan rout hij dit niet door naar 5001 als ik intern ben. 

 

Dat vind ik toch raar, dit gaat extern wel goed.

Is er toch iets anders aan de hand aan de router kant. 

Ik ga nog ff knutselen 

Reputatie 7

Heb je dan een port-forwarding waarbij jij TCP poort 80 (extern) doorzet naar TCP poort 5001 (intern)?

Reputatie 7
Badge +10

Dat klopt. Maar als ik poort 80 gebruik dan rout hij dit niet door naar 5001 als ik intern ben.

Nee standaard zou dat ook niet werken, omdat de interface om de NAS te bereiken poort 5001 is.
Tenzij  je met wat @wjb  voorstelt een port forwarding doet van port 80 naar port 5001.
(Port forwarding van public port naar private port).

Maar dan maak je het voor jezelf wel erg verwarrend, en daarmee erg onsamenhangend.
Dat gaat alleen maar meer problemen opleveren, omdat je zelf dan onderhand niet meer weet welke “afwijkende” instellingen dan “logisch gezien” daarvoor benut zouden kunnen worden.

“Intern”, ook al gebruik je dat “extern”  --met gebruikmaking van het DDNS domein--,  en NAT loopback, zou je dan een onversleutelde connectie willen omzetten naar een versleutelde https connectie, zonder een poortnummer op te hoeven geven.

“Intern", binnen het LAN zou je ook simpel de LAN IP adressen kunnen gebruiken met wat er voor de connectie van een NAS staat, zou je met invulling van een LAN IP adres  192.168.2.xx  dat in dat geval specifiek WEL weer moeten aanvullen met poort 5001 voor een juiste connectie.

Dat lijkt me niet erg consequent. Dat levert zoals aangegeven alleen meer verwarring op.
(Van daaruit problemen die je ervaart, maar zijn terug te voeren tot je eigen manier van instellingen).

Reputatie 7

Tenzij  je met wat @wjb  voorstelt een port forwarding doet van port 80 naar port 5001.

Waar baseer jij op dat ik dat voorstel?

Reputatie 7
Badge +10

Nou ja, “vraag” dan.  Je snapt toch hopelijk zeker wel wat de verdere intentie is van mijn reactie?
Dat slaat meer op de wijze hoe de TS met dit soort instellingen omgaat, dan kritiek op je reactie.

Reputatie 7

Dat slaat meer op de wijze hoe de TS met dit soort instellingen omgaat, ...

Zelf gebruik ik heel veel poort translaties.

Mijn stelling is om de standaard poorten waar een service op benaderd kan worden niet op het apparaat zelf aan te passen maar met port translations op de router.

Zo heb ik twee bewakingscamera's die beide op TCP poort 80 benaderd kunnen worden. Extern kan je uiteraard maar één keer TCP poort 80 gebruiken en die verwijst al naar mijn webserver op een Synology NAS. De camera's benader ik op poort 7081 en 7082 m.b.v. de onderstaande port-forwardings.

 

Reputatie 7
Badge +10

Allemaal leuk en aardig, dat geldt voor jezelf.
Vanuit een uitgebreide netwerk ervaring weet je hoe daarmee om te gaan.  De TS (en vele anderen) missen die kennis en ervaring, en lopen daarmee juist tegen problemen op met dit soort omzettingen omdat ze wel ergens de klok hebben horen luiden, maar niet weten waar de klepel hangt.

Anders was dit hele onderwerp,  --wat inmiddels na een jaar door de TS opnieuw wordt opgerakeld,--
niet nodig geweest.

Geen verwijt of kritiek naar de TS toe. Maar vergt simpelweg een andere aanpak afgestemd op dat kennis / ervaringsniveau om er praktisch gezien zonder teveel moeilijkheden mee om te kunnen gaan. Kun je IMO beter bepaalde instellingen beter geheel vermijden.

Reputatie 7
Badge +24

Zo heb ik twee bewakingscamera's die beide op TCP poort 80 benaderd kunnen worden. Extern kan je uiteraard maar één keer TCP poort 80 gebruiken en die verwijst al naar mijn webserver op een Synology NAS. De camera's benader ik op poort 7081 en 7082 m.b.v. de onderstaande port-forwardings.

 

Ik zelf ... begin daar niet aan. Ik gebruik gewoon vpn. De vpn verbinding maken, vervolgens is alles gewoon precies hetzelfde als dat ik thuis op de WiFi zit. Geen vreemde poort nummers enzo. Ik hoef nergens poortnummers achter te zetten. Gebruik gewoon overal de standaard poorten voor.