Poorten "ineens" geblokkeerd

Als ik met nmap een portscan doe op 1195 UDP aan rechtstreeks op de WAN interface van de pfSense krijg ik de volgende resultaten:
PORT     STATE         SERVICE
1195/udp open           rsf-1

Kortom de pfSense staat goed. 

Doe ik vanaf internet een UDP scan op 1195 krijg ik  Open|filtered

Voor het testen van connecties simpel vanuit command promp  (CMD) Windows 

Commando pingen van destination server

Ping IPaddress + Poort  (voorbeeld:     Ping 88.999.87.01 1195) 

Dit zegt echter alleen dat de destination server socket (socket = ip + poort nummer combinatie) bestaat en gebruikt wordt in die combinatie. Je kan zelf specifiek ping met protocol UDP (User Datagram Protocol) of TCP (Transmission Control Protocol) waar ik TCP connectie Protocol had verwacht in combinatie van SSL Protocol voor VPN verbindingen, wat de connectie juist veilig maakt.

Commando telnet, connectie maken met destination server via TCP (telnet remote connecties staat sowieso uit bij destination server maar Error geeft meer inzicht).

Telnet IPaddress + poort (voorbeeld:     Telnet 88.999.87.01 1195)

Error zal iets in de richting van ....

connection refused (verkeerd protocol),

connection failed (verkeerde poort nummer) of

no route to destination (verkeerde socket).

Dit is alleen maar goed, betekend dat de firewall zijn ding doet op server niveau van destination.

Traceroute commando geeft route weer alle servers, routers of andere apparaten die verbinden kunnen opbouwen of forwarden voordat connectie destination server bereikt.

Tracert IPaddress     (voorbeeld:    tracert 88.999.87.01)

Geeft traceroute weer van de connectie. Bij tunnel connectie naar VPN server (of VPN thirdparty provider or VPN server gateway van private network van bedrijf werkzaam)  zou je eigenlijk niet veel kunnen mogen zien. Het hele idee erachter is een tunnel opzetten tussen source machine en VPN server zonder hobs te maken zoals traditioneel connecties over internet gemaakt worden.

UDP = User Datagram Protocol wat data in de vorm van pakketjes verstuurd naar destination host zonder te weten wat er gebeurt met die pakketjes bijeenkomst host.

TCP = Transmission Control Protocol wat per byte streams data naar destination host verstuurd waar te zien met tcpdump of de data daadwerkelijk aankomt. Alleen TCP connectie protocol maakt een zogeheten handshake voorafgaande van het maken van een connectie tussen beide partijen (clients, servers, laptops, ect). Als de connectie gerealiseerd kan data over de lijn gestuurd worden.

De Beste scanner daarin is dus NMAP. 

Zoals aangegeven klopt de pfSense config, zeker omdat ik een device rechstreeks aan de WAN heb gehangen van de pfSense. 

De Experia box forward alles dmv de DMZ functie. 

Ik begrijp niet waar het mis gaat. 

Ik heb dit probleem verder niet meer onderzocht en besloten om maar op andere poorten te gaan draaien.

Echter: nu blijkt poort 80 van WAN naar LAN niet meer te werken. Deze heb ik eens in de zoveel maanden nodig voor het vernieuwen van let's encrypt certificaten en dat werkt nu niet meer.

Een online portscanner geeft ook aan dat de poort filtered is.

Ik gebruik de DMZ functionaliteit van de Experia box. Dus alles van WAN naar 192.168.100.50. (pfsense)

Doe ik een portscan in het zelfde netwerk (vanaf 192.168.100.10) richting de WAN interface van de  pfsense (192.168.100.50) dan geeft hij aan dat de poort open staat .

Ik heb alle NAT en Firewall rules uit de experiabox gegooid, DMZ uit/aan gehad, NAT rules voor poort 80 aangemaakt etc. Maar er komt gewoon NIETS door de Experiabox heen. Je kan er verder ook niets in monitoren dus het blokkeren kan ik ook niet zien.

Ik heb nog een oude experiabox, maar kan ik deze omruilen voor een andere? Want dit is dramatisch en ben er behoorlijk klaar mee. Geen idee wanneer hij ermee gestopt maar enige tijd geleden deed hij het nog wel. Herstarten, resetten niets werkt. 

Ha @Telfort4Life, welke Experia Box heb jij? Wil je ook je forumprofiel aanvullen met je adres, klantnummer en de laatste 4 cijfers van je rekeningnummer? Dan ga ik kijk wat ik voor je kan doen.

Dank! Ik zie dat je een V8 hebt: die is zeker aan vervanging toe. Er komt een nieuwe Experia Box naar een PostNL punt bij jou in de buurt. In jouw geval betekent dat de Albert Heijn in jouw wijk. Je krijgt een sms wanneer deze voor je klaarligt. Dat zal vermoedelijk dinsdagmiddag zijn. Je V8 mag je in een doos stoppen en meenemen: die lever je namelijk direct in. Laat je nog even weten hoe het nieuwe modem bevalt?

DMZ met een Experia Box V8 is (was) altijd al een probleem geweest. Daar kon je niet van op aan. Indertijd gebruikte ik om die reden aparte port forwarders voor achterliggende services.
Dat werkte wel stabiel.

Hopelijk dat het probleem wat je ervaart daarmee nu ook is opgelost.

Een Experia Box V10 is nog wel om te nummeren in LAN IP bereik.

Vraag de Box 12 (?) om te ruilen voor de V10.