Beantwoord

Welke poorten zijn standaard door KPN in gebruik/gereserveerd en kunnen niet worden geforward?

  • 17 June 2021
  • 40 reacties
  • 2441 keer bekeken

Ik heb een synology NAS waarop ik de firewall heb ingesteld en daarnaast een aantal applicaties heb draaien die behoorlijk wat poorten nodig hebben. Daarom wil ik graag zo simpel mogelijk alle poorten forwarden vanuit mijn V12 router naar de NAS.

Echter als ik de reeks 1-65535 forward gaat dat niet, omdat er poorten niet mogelijk zijn.

Op dit moment heb ik de volgende poorten kunnen forwarden:

 

 

Dus de poorten 5060 (SIP), 8085 (Experia box instellen) en range 16384-16434 niet. 

Kan iemand verklaren waarom deze poorten niet geforward kunnen worden?

 

 

 

 

icon

Beste antwoord door Nick83 17 June 2021, 22:35

Bekijk origineel

Dit topic is gesloten. Staat je antwoord hier niet bij, gebruik dan de zoekfunctie van de Community of stel je vraag in een nieuw topic.

40 reacties

Reputatie 7
Badge +24

Er is geen geen enkele poort geblokkeerd. Als KPN iets blokkeert, dan is het uw hele verbinding.

Wat u doet zou misschien in theorie moeten kunnen werken. Maar het hoort niet zo, poorten forwarden is zo niet bedoelt. Het is niet verstandig om zoveel poorten open te zetten. 

Op uw schermafdruk staan ook de poorten van Windows bestandsdeling open. Dit is zeer onverstandig en de kans is aanwezig dat KPN binnenkort uw hele verbinding blokeerd vanwege potentieel beveiligingsrisico. 

Reputatie 7

TCP poort 8085 wordt door KPN gebruikt om een Experia Box op afstand te beheren.

Ik weet niet of dat bij de V12 ook nog het geval is.

UDP poort 5060 (SIP) en TCP poort 16384 t/m 16424 (RTP) worden voor telefonie gebruikt.

Als je SIP/VoIP of de V12 uit zet dan zou je die poorten gewoon moeten kunnen forwarden.

Ik sluit me aan bij @Nick83, het is zeer onverstandig om maar alle poorten naar die NAS te forwarden.

Overigens, als je alle poorten naar een apparaat wilt forwarden dan kan je hem als DMZ Host instellen. Maar ook dat moet je met jouw NAS niet doen, beperk de geforwarde poorten echt tot de vereiste poorten.

Reputatie 7
Badge +24

Als die poorten voor alleen eigen gebruik zijn, installeer dan gewoon een VPN server. Dan hoef je alleen de poorten van de VPN server te openen. En vervolgens heb je toegang tot alles alsof je thuis bent.

Tot mijn Kennis zou er willekeurig poorten vrij houden voor gewonen internet verkeer. Dit betekent dat als er een apparaat in jouw netwerk een uitgaansverkeer start (bijvoorbeeld je een website bezoek) dan zou er een willekeurig poort gereserveerd. Ik kijk nu ook de mogelijkheid om naar KPN te wisselen omdat mijn huidige ISP bepaalde poorten blokkeert. Maar uit jouw ervaringen vind ik overstappen naar KPN zal een goede keuzen zijn (poort 53, 80, 443, 465, 587, 993 en 995 vrij is gebleven).

 

Niet alleen voor veiligheidsreden maar ook voor gewone internetervaring zou je de port forwarding beperken. 

Reputatie 7

Jouw huidige ISP mag wettelijk helemaal geen poorten blokkeren en zal dat, als het goed is, ook helemaal niet doen.

Uiteraard blokkeert KPN ook geen poorten.

Jouw huidige ISP mag wettelijk helemaal geen poorten blokkeren en zal dat, als het goed is, ook helemaal niet doen.

Uiteraard blokkeert KPN ook geen poorten.

Bedankt, zal ik met m contact opnemen. Maar ik zacht het “door veiligheidsredenen” word bepaald poorten gereserveerd. 

Reputatie 7

Jouw huidige ISP mag wettelijk helemaal geen poorten blokkeren en zal dat, als het goed is, ook helemaal niet doen.

Uiteraard blokkeert KPN ook geen poorten.

Bedankt, zal ik met m contact opnemen. Maar ik zacht het “door veiligheidsredenen” word bepaald poorten gereserveerd. 

Nee, in de telecommunicatiewet is vastgelegd dat providers geen blokkades mogen instellen anders dan op bevel van de rechter. Dit geldt ook voor het blokkeren van poorten. Het mag dus gewoonweg niet en dus mag jouw provider dat ook niet.

Uiteraard staat een poort pas "open" als er een port-forwarding voor gedefinieerd is.

Jouw huidige ISP mag wettelijk helemaal geen poorten blokkeren en zal dat, als het goed is, ook helemaal niet doen.

Uiteraard blokkeert KPN ook geen poorten.

Bedankt, zal ik met m contact opnemen. Maar ik zacht het “door veiligheidsredenen” word bepaald poorten gereserveerd. 

Nee, in de telecommunicatiewet is vastgelegd dat providers geen blokkades mogen instellen anders dan op bevel van de rechter. Dit geldt ook voor het blokkeren van poorten. Het mag dus gewoonweg niet en dus mag jouw provider dat ook niet.

Uiteraard staat een poort pas "open" als er een port-forwarding voor gedefinieerd is.

De foutmelding komt precies bij instellen van port forwarding. 

Reputatie 7

Jouw huidige ISP mag wettelijk helemaal geen poorten blokkeren en zal dat, als het goed is, ook helemaal niet doen.

Uiteraard blokkeert KPN ook geen poorten.

Bedankt, zal ik met m contact opnemen. Maar ik zacht het “door veiligheidsredenen” word bepaald poorten gereserveerd. 

Nee, in de telecommunicatiewet is vastgelegd dat providers geen blokkades mogen instellen anders dan op bevel van de rechter. Dit geldt ook voor het blokkeren van poorten. Het mag dus gewoonweg niet en dus mag jouw provider dat ook niet.

Uiteraard staat een poort pas "open" als er een port-forwarding voor gedefinieerd is.

De foutmelding komt precies bij instellen van port forwarding. 

Welke foutmelding?

Plaats eens een screenshot.

Jouw huidige ISP mag wettelijk helemaal geen poorten blokkeren en zal dat, als het goed is, ook helemaal niet doen.

Uiteraard blokkeert KPN ook geen poorten.

Bedankt, zal ik met m contact opnemen. Maar ik zacht het “door veiligheidsredenen” word bepaald poorten gereserveerd. 

Nee, in de telecommunicatiewet is vastgelegd dat providers geen blokkades mogen instellen anders dan op bevel van de rechter. Dit geldt ook voor het blokkeren van poorten. Het mag dus gewoonweg niet en dus mag jouw provider dat ook niet.

Uiteraard staat een poort pas "open" als er een port-forwarding voor gedefinieerd is.

De foutmelding komt precies bij instellen van port forwarding. 

Welke foutmelding?

Plaats eens een screenshot.

 

Reputatie 7
Badge +24

Ow ... bijzonder... dat heeft KPN in ieder geval niet 😁

Puur technisch gezien is het ook geen poorten blokkeren wat Ziggo hier doet. Ziggo voorkomt dat gebruikers ze open zetten 😉

Je kunt bij Ziggo dat ding overigens in bridge modus laten zetten en je eigen router gebruiken. Dan kun je ze wel open zetten.

Zou ik dat ook gaan proberen.

Reputatie 7

Als je bij KPN UDP poort 53 open zet dan denk ik dat je ook wel wat vragen van het abuse team zult gaan krijgen want het is niet echt de bedoeling om een DNS server extern beschikbaar te stellen.

Dat ook poort 25 (smtp) geblokkeerd wordt is wel zeer bedenkelijk en wettelijk niet houdbaar. 

Nee ik stel geen DNS server voor, maar voor een verificatie moet port 53 beschikbaar zijn. 

Reputatie 7

Nee ik stel geen DNS server voor, maar voor een verificatie moet port 53 beschikbaar zijn. 

Wat voor een verificatie?

UDP poort 53 is toch echt "gereserveerd" voor DNS en zou eigenlijk niet voor andere doeleinden gebruikt moeten worden.

Ik wil een wildcard ssl aanvragen, en het moet aanvullende DNS verificatie voltooid. Hoewel ik de DNS instellingen heb aangepast, lukt het nog steeds niet maar met een foutmelding dat de DNS server of port 80 niet beschikbaar is. Daarom denk ik dat het om port 53 van mijn externe IP gaat. 

Reputatie 7

Maar die DNS verificatie vindt niet bij jou plaats. De DNS servers op deze wereld moeten het domein van die wildchart resolven naar jouw publieke IP adres.

Dat betekent dat jij dus de juiste DNS records vastgelegd moet hebben voor jouw domein.

Bij wie vraag je die wildchart ssl aan, bij let's encrypt?

Ja bij let’s encrypt. En volgens mij zou het ook alleen met DNS server te maken dan via port 53 van mijn IP. 

Maar het zou niet als misbruik zien als ik mijn eigende nameserver gebruikt toch?

Reputatie 7

Ja bij let’s encrypt. En volgens mij zou het ook alleen met DNS server te maken dan via port 53 van mijn IP. 

Nee hoor, alleen TCP poort 80 hoeft geforward te zijn naar het apparaat waarop je het Let's encrypt script draait.

Zelf gebruik ik Let's encrypt op al mijn routers en NASsen voor het aanvragen van de SSL certificaten.

Ja bij let’s encrypt. En volgens mij zou het ook alleen met DNS server te maken dan via port 53 van mijn IP. 

Nee hoor, alleen TCP poort 80 hoeft geforward te zijn naar het apparaat waarop je het Let's encrypt script draait.

Zelf gebruik ik Let's encrypt op al mijn routers en NASsen voor het aanvragen van de SSL certificaten.

Ook wildcard? Ik lees in de document dat voor aanvraag van een wildcard certificaat moet er aanvullende DNS verificatie (met een DNS-plug-in)

Bij een Letsencrypt wildcard certificaat moet je inderdaad een challenge in de DNS plaatsen, maar dat is op de DNS server die verantwoordelijk is voor jouw domeinnaam. Het is hoogst ongebruikelijk om die DNS server zelf te hosten op een consumenten ip adres.

Reputatie 7

Ja bij let’s encrypt. En volgens mij zou het ook alleen met DNS server te maken dan via port 53 van mijn IP. 

Nee hoor, alleen TCP poort 80 hoeft geforward te zijn naar het apparaat waarop je het Let's encrypt script draait.

Zelf gebruik ik Let's encrypt op al mijn routers en NASsen voor het aanvragen van de SSL certificaten.

Ook wildcard? Ik lees in de document dat voor aanvraag van een wildcard certificaat moet er aanvullende DNS verificatie (met een DNS-plug-in)

Ik heb geen wilchart ssl certificaten, ik benoem alle subdomeinen individueel.

Reputatie 7
Badge +24

Voor een wildcard moet je een dns-plugin op certbot hebben. Dat is geen eigen dns server dus. En ook poort 53 hoeft daar niet voor open.

@jimmymcheung heeft u al eens een normaal certificaat met certbot geregistreerd? Probeer dat eerst eens. Dan weet je ongeveer hoe het werkt. 

 

Voor een wildcard moet je een dns-plugin op certbot hebben. Dat is geen eigen dns server dus. En ook poort 53 hoeft daar niet voor open.

@jimmymcheung heeft u al eens een normaal certificaat met certbot geregistreerd? Probeer dat eerst eens. Dan weet je ongeveer hoe het werkt. 

 

Ja ik heb al een normale certificaat, maar nu benoem ik alle subdomeinen individueel en als ik nieuwe subdoelen toevoeg, moet ik opnieuw aanvragen.