Port Forwarding & UPnP: Wat, waarom en hoe?

  • 5 April 2015
  • 106 reacties
  • 178107 keer bekeken

Reputatie 7
Wat is UPnP en Port-forwarding nu eigenlijk en waarom gebruiken we het:

Wil jij een apparaat op jouw eigen netwerk vanaf het Internet kunnen benaderen, dan moet de "bewegwijzering" goed ingesteld zijn. UPnP en port-forwarding spelen een essentiƫle rol in deze "bewegwijzering".

Op Internet draait alles om IP adressen en poorten. Zo heeft jouw Experia Box Ć©Ć©n publiek IP adres (in de consumenten markt) en zijn al jouw apparaten dus op dat ene IP adres te benaderen.
De poorten zijn onderverdeeld in twee groepen (TCP en UDP) en staan eigenlijk voor protocollen of functionaliteit. Zo is TCP poort 80 het HTTP protocol, TCP poort 443 het HTTPS protocol en UDP 5060 het SIP (telefonie) protocol.

Elk datapakketje dat op Internet verstuurd wordt is voorzien van een afzender (IP-adres en poortnummer) en een geadresseerde (IP-adres en poortnummer).
Tik jij bijvoorbeeld in jouw browser http://www.kpn.com, dan wordt eerst via de DNS server bepaald wat het IP adres van www.kpn.com is (62.132.193.64) en vervolgens wordt een bericht naar dat IP adres en TCP poort 80 gestuurd. Probeer maar, http://62.132.193.64 brengt je ook op de site van KPN.

Tik jij in een browser "http://jouw publieke IP adres" (Bijvoorbeeld: http://89.45.67.123) dan wordt het bericht dus naar jouw router gestuurd op TCP poort 80. Maar ja, dan moet het dus nog door naar het apparaat op jouw lokale netwerk die het antwoord moet gaan geven.

Dit is waar de NAT (Network Address Translation) functionaliteit van jouw Experia Box in actie komt.

Op basis van de gedefinieerde port-forwardings wordt het LAN IP adres bepaald waar het bericht naar doorgestuurd moet worden. Als je bijvoorbeeld een port-forwarding voor TCP poort 80 naar het LAN IP adres 192.168.2.100 hebt gedefinieerd, dan wordt het bericht daar naar doorgestuurd.

Nu zijn er twee manieren om port-forwardings op de Experia Box te definiƫren:
  1. UPnP
  2. Port forwarding (of Port mapping of de V8)
UPnP doet eigenlijk niets anders dan het automatisch aanmaken van port-forwardings op de Experia Box. Dit is dus de meest eenvoudige methode, maar daarvoor moet het aangesloten apparaat dus wel UPnP ondersteunen en moet de UPnP IGD functionaliteit op de Experia Box aangezet worden. Gelukkig zijn er steeds meer apparaten die UPnP ondersteunen en daarmee wordt dus vermeden dat een eindgebruiker zelf handmatig port-forwardings moet maken.

Hoe kunnen we Port-forwardings definiƫren op een Experia Box:

Automatisch met behulp van UPnP:
Als jouw apparaat UPnP ondersteunt, zet dan UPnP IGD op de Experia Box aan en daarmee is jouw apparaat vanaf Internet bereikbaar. Het aan- en uitzetten van UPnP IGD kan je doen op de Experia Box.
  • Arcadyan ARV7519(i) en VGV7519 (V8): Op de pagina EXTRAS -> UPnP
  • ZTE H220N en ZTE H368N (V9): Application -> UPnP IGD
  • ZTE H369A (V10): Settings -> UPnP IGD
Een voorwaarde voor een apparaat om gebruik te mogen maken van UPnP is (officieel) dat dit apparaat zijn IP adres van de DHCP server van de Experia Box heeft gekregen. Stel dus altijd op zo'n apparaat in dat deze zijn IP adres automatisch (via DHCP) verkrijgt.

Wil je ook dat het IP adres van het apparaat niet zal wijzigen dan stel je dit in door een static DHCP (V8) of DHCP Binding (ZTE's) te definiƫren voor het apparaat.
  • Arcadyan ARV7519(i) en VGV7519 (V8): Op de pagina START -> LAN -> static DHCP
  • ZTE H220N en ZTE H368N (V9): Network -> DHCP -> DHCP Binding
  • ZTE H369A (V10): Settings -> DHCP -> DHCP Binding
Hierbij is wel Ć©Ć©n belangrijk aandachtspunt:
Helaas kan je op de Experia Box niet aangeven welke aangesloten apparaten gebruik mogen maken van UPnP en daarmee zijn alle apparaten die over UPnP functionaliteit beschikken in staat om zichzelf (al dan niet gewenst) bereikbaar te maken vanaf Internet.
Wil je niet dat een apparaat zichzelf vanaf Internet bereikbaar kan maken, zet dan UPnP op dat apparaat uit. Kan UPnP op zo'n apparaat niet uitgezet worden, overweeg dan toch om handmatig port-forwardings in te stellen en zet dan UPnP IGD op de Experia Box toch maar uit.
Het zou mooi zijn als KPN (en andere leveranciers van routers) ooit nog eens met de functionaliteit zouden komen om (net als bij de wifi access control) op basis van MAC adres apparaten toe te staan om gebruik te maken van UPnP.

Handmatig met behulp van Port-forwardings:
Ondersteunt jouw apparaat geen UPnP of wil je geen gebruik maken van UPnP, dan zal je dus handmatig port-forwardings moeten definiƫren.

Je doet er dan verstandig aan om het onderstaande stappenplan te volgen:

Zorg er voor dat het IP adres van het apparaat niet zal wijzigen.
Bij voorkeur doe je dit door het apparaat te configureren zodat deze zijn IP adres automatisch (via DHCP) verkrijgt en definieer je een static DHCP (V8) of DHCP Binding (ZTE's) voor het apparaat.
  • Arcadyan ARV7519(i) en VGV7519 (V8): Op de pagina START -> LAN -> static DHCP
  • ZTE H220N en ZTE H368N (V9): Network -> DHCP -> DHCP Binding
  • ZTE H369A (V10): Settings -> DHCP -> DHCP Binding
Alternatief is dat het IP adres vast op het apparaat ingesteld wordt, maar persoonlijk prefereer ik echt dat alle apparaten hun IP adressen van de DHCP server krijgen.

Test of je het apparaat op jouw lokale netwerk voor de gewenste functionaliteit goed kunt benaderen. Zolang dat niet 100% goed werkt heeft het ook geen zin om met de port-forwardings te beginnen.
Noteer hierbij het IP adres van het apparaat en de poort(en) die gebruikt worden, ook of het TCP of UDP poorten betreft. (Raadpleeg eventueel de handleiding van het apparaat voor het vaststellen van deze poorten.)

Als op jouw LAN alles goed werkt, dan kunnen de port-forwardings ingesteld gaan worden:

Arcadyan ARV7519(i) en VGV7519 (V8):

Ga naar de pagina DATA -> NAT -> Port mapping en vul voor elke te gebruiken poort een regel in waarbij het IP adres gevuld wordt met het LAN IP adres van het apparaat, het protocol type met het type van de door de sturen poort (TCP of UDP) en zowel de LAN als publieke poort met het poort nummer.

ZTE H220N en ZTE H368N (V9):

Ga naar de pagina Application -> Port-Forwarding.
Kies voor "Click here to add an application".
Geef de application een voor jou herkenbare naam en voeg voor elke te gebruiken poort een entry toe door het protocol te vullen met het type van de door te sturen poort en de Start Port, End Port, Start Mapping Port en End Mapping Port met het poort nummer.

Als alle poorten zijn opgenomen, click dan op "back" en wijs de net aangemaakte application toe aan het IP adres van het apparaat.

ZTE H369A (V10):

Ga naar de pagina Settings -> Port-Forwarding IPv4.
Klik op Create New Application en kies voor "Create new Item".
Vul een voor jou herkenbare naam in en druk op Apply.
Klik op Modify Application en selecteer jouw Application in de dropdown.

Voeg voor elke te gebruiken poort een entry toe (Create New Item) en vul het protocol met het type van de door te sturen poort en de Start Port, End Port, Start Mapping Port en End Mapping Port met het poort nummer.

Het apparaat zou nu ook vanaf Internet bereikbaar moeten zijn op jouw publieke IP adres.

Extern (op Internet) een andere poort gebruiken dan intern (op het LAN):

Soms is het verstandig of noodzakelijk om extern (op Internet) een ander poort nummer te gebruiken dan die intern (op het LAN) gebruikt wordt.

Zo doe je er verstandig aan om een camera niet op poort 80 (standaard HTTP) beschikbaar te stellen of is het noodzakelijk om een andere poort te gebruiken omdat er meer dan Ć©Ć©n apparaat in jouw lokale netwerk aanwezig is die een bepaalde poort gebruikt.

Op de Arcadyan ARV7519(i) en VGV7519 (V8) doe je dit door bij de publieke poort het poortnummer (tussen 1025 en 65535) in te geven waarop je deze op Internet beschikbaar wilt stellen.

Op de ZTE H220N, ZTE H368N (V9) en ZTE H369A (V10) doe je dit door bij Start Port en End Port het poortnummer (tussen 1025 en 65535) in te geven waarop je deze op Internet beschikbaar wilt stellen.

In een browser vul je dan de URL aan met :<poortnummer>.

Heb je bijvoorbeeld een camera en een webserver op jouw lokale netwerk die beide "naar TCP poort 80 luisteren", dan gebruik je in de port-forwarding voor de camera intern TCP poort 80 en extern bijvoorbeeld TCP poort 4080 terwijl de port-forwarding voor de webserver zowel extern als intern TCP poort 80 gebruikt wordt.

Als je nu in een browser http://<jouw publiek IP adres> gebruikt, dan kom je op de webserver uit terwijl http://<jouw publiek IP adres>:4080 je bij de camera zal brengen.

Aandachtspunten en valkuilen:
De Arcadyan VGV7519 lijkt een probleem te hebben met de NAT loopback. Als je dus test of jouw apparaat vanaf Internet benaderbaar is, zorg dan dat het apparaat waarmee je dat test (telefoon/tablet) niet met de wifi verbonden is, maar via 3/4G.

Als je op een ZTE H220N of ZTE H368N een application wijzigt, dan wordt dit niet direct doorgevoerd. Ontkoppel de application van het IP adres en koppel deze opnieuw. Dan zullen de wijizigingen wel geactiveerd worden.

Mocht jij overigens een andere Experia Box hebben dan een Arcadyan ARV7519(i), VGV7519 (V8), ZTE H220N, ZTE H368N (V9) of ZTE H369A (V10), neem dan contact op met KPN, jouw Experia Box is verouderd en nodig aan vervanging toe.

Dit topic is gesloten. Staat je antwoord hier niet bij, gebruik dan de zoekfunctie van de Community of stel je vraag in een nieuw topic.

106 reacties

Reputatie 7

En heb je nog meer ingesteld?

En heb je nog meer ingesteld?

DHCP aangemaakt

Reputatie 7

Als je intern test, verbindt je dan met 192.168.2.10 op poort 8123?

Als je intern test, verbindt je dan met 192.168.2.10 op poort 8123?

Klopt

Ā 

Reputatie 7

Als je intern test, verbindt je dan met 192.168.2.10 op poort 8123?

Klopt

Als dat werkt dan moet je vanaf Internet ook kunnen verbinden met jouw publieke IP adres op poort 443.

Start de V10 eens opnieuw op en test viaĀ 4G.

Als je intern test, verbindt je dan met 192.168.2.10 op poort 8123?

Klopt

Als dat werkt dan moet je vanaf Internet ook kunnen verbinden met jouw publieke IP adres op poort 443.

Start de V10 eens opnieuw op en test viaĀ 4G.

V10 opnieuw opgestart en op telefoon via 4G : Deze site is niet bereikbaar helaas.Ā  ERR_CONNECTION_ABORTED

Reputatie 7

Waarom wil je extern eigenlijk poort 443 gebruiken?

Waarom wil je extern eigenlijk poort 443 gebruiken?

Heb niet veel verstand van poort forwarding en dat soort dingen dus dacht doe alles het zelfde als in de youtube video. Is dus niet nodig? kan elk nummer kiezen?

Reputatie 7

Ik neem wel aan dat je via 4G met jouw publieke IP adres probeert te verbinden en niet met 192.168.2.10, klopt dat?

Ik neem wel aan dat je via 4G met jouw publieke IP adres probeert te verbinden en niet met 192.168.2.10, klopt dat?

ah dat was mijn fout dus. Via IP werkt dus maar via DuckyDNS nog niet. Dat word even verder zoeken. Bedankt voor je hulp!

Hallo, ik hoop dat je mij kunt helpen, want ik kom er niet uit.

Ik heb een KPNbox 12 Sagemcom. Eerder heb ik al voor een device portforwarding gedaan en dat is gelukt. Maar nu moet ik voor een pc ook portforwarding doen en als volgt.Ā 

ā€œConnect to your router and set up port forwarding on both TCP/UDP port range from (16124ā€“16128) and range (30000ā€“39999) for your Home/PC Serverā€

Echter ik krijg het helaas niet voor elkaar. Zoals je hebt beschreven heb ik per poort een regel aangemaakt. zie hieronder

Wat gaat er mis? BVB dank

Reputatie 7
Badge +30

HoiĀ @JF66, welkom! Voor instellen van port forwards op de Box 12 hebben we hier een handig kennisartikel:

Ā 

Kijk even of je daarmee uit de voeten kan. Mocht je dan nog aanvullende vragen hebben, stel ze hier vooral.

Dag Erik,Ā 

DSank voor je snelle reactie. Het kennis artikel had ik inderdaad al door genomen, maar ik krijg het niet voor elkaar. Port 44158 is open. M<ar ik krijg port 16124-16128 niet op op geen enkel wijze. Niet apart perĀ port bv 16124 zowel niet op TCP-UDP of TCP of UDP bij internal host staat het ip van het apparaat.

Ook heb ik DMZ geprobeerdĀ maar dat lukt ook niet. Heb je een ander idee misschien? Alvast bedankt Jeroen

Ā 

Reputatie 7
Badge +30

Da's gek, @JF66. Dat het als range niet werkt daar kan ik nog inkomen. Maar als je het voor elke poort apart doet, dan zou het moeten werken. Hoe test je of de poort open of dicht is?

Hallo,

Nu al 4 dagen aan het knoeien om 2 MrSafe camera's werkend te krijgen via internet. De MrSafe server is uit de lucht zodat deze camera's niet meer werkten. Dus dan maar zelf aan de slag hi!
Ik heb een V10 en heb de camera's een vast IP gegeven via DHCP binding. Dat werktā€¦Ā  Deze camera's hebben beide een vast poort voor RTSP:8554 en ONVIF:8000. Om nu beide camera's te kunnen gebruiken wil ik de ONVIF poort forwarden naar resp. 8210 en 8220. Dat heb ik ingesteld en via de Open Port Check tool zie ik dat beide poorten open staan. Maar ik krijg geen beeld. Als ik beide camera's forward naar port 8000 krijg ik van Ć©Ć©n van de camera's wel beeld.
Graag een tip hoe ik dit kan oplossenā€¦.

Reputatie 7

Je maakt twee port-forwardings. De eerste verwijst naar camera 1 en forward externe TCP poort 8210 naar intern 8000.Ā De tweede verwijst naar camera 2Ā en forward externe TCP poort 8220 naar intern 8000.Ā 

Ā 

Plaats hier eens screenshots van jouw port-forwardings

Hi wjb,
Ja zo had ik het inderdaad gedaan...

Ā 

Reputatie 7

Wat doet die TCP 80-80 rule inĀ die applications?

Wat staat daar in?

Waarom kies je voor TCP And UDP i.p.v. TCP?

Kan je ook de screenshots tonen van de toewijzing van die applications aan de IP adressen van die camera's?

Ik dacht dat die TCP80 rule nodig was voor de besturing maar dat schijnt via de ONVIF te gaan. Ik haal hem wel wegā€¦Ā  TCP and UDP gekozen zo van beter twee dan geenā€¦Ā 
Ā 

Ā 

Dit zijn de settings van de camera's.Ā  Misschien een aha erlebnisā€¦?

Ik heb wel gemerkt dat het wijzigen van een poortnr in de forwarding van de V10 ook alleen werkt als je de gehele application opnieuw maakt en koppelt aan het IP net zoals je beschrijft voor de ZTE H220N en de H368N.
Ā 

Ā 

Reputatie 7

Gebruik je een app om de beelden te bekijken?

Welke app is dat en met welke poort moet die app verbinden, HTTP, ONVIF ...?

Kan je via die app wel binnen jouw netwerk de beelden van de camera zien als je met het LAN IP adres van de camera's verbindt?

Ik gebruik Security Eye (op de PC). Daarmee kan ik zowel ONVIF als RTSP gebruiken. Lokaal direct beeld van beide camera's maar ook als ik de forwarding instel op 8000 of 8554. Echter zodra ik een ander poortnummer gebruik om onderscheid te kunnen maken tussen de cam's, geen beeld. Het lijkt wel of bij een ander poortnummer de stream er niet doorheen komt. Maar daar houdt mijn kennis ook op ;-)

Schiet mij maar lekā€¦..Ā  Ik voeg 8554 toe in de application en plots beeld op 8210ā€¦.. maar ook op 8554.
Maar dat duurde maar even. Dus de verbinding is niet zeker.Ā  Misschien de V10 eens resetten?

Ā 

Reputatie 7

Jij hebt een port forwarding van poort 8210Ā naar poort 8000 van camera 1.

In de security eye app op die PC moet je voorĀ camera 1 instellen dat poort 8210Ā gebruikt moet worden en als IP adres moet het publieke IP adres van jouw aansluiting ingevuld worden.

Voor de tweede camera is dat poort 8220 met het publieke IP adres.

En net zo plots zijn ze weer terug hi! Waar zou dat aan kunnen liggen? Toch maar een reset doen? Zal ik eerst beide forwardings (8210 en 8220) opnieuw aanbrengen en dan resetten.

Ā