beantwoord

Kan router achter Experia V10 niet via internet bereiken

  • 18 mei 2019
  • 12 reacties
  • 537 keer bekeken

Reputatie 2
Op de een of andere manier kan ik geen antwoord op mijn vraag vinden, wat waarschijnlijk te maken heeft met zoeken op de verkeerde termen.
Ik heb een Netgear router achter de Experiabox. Op de Experiabox heb ik DMZ ingesteld. Alles werkt prima, alleen heb ik afgelopen week een USB-schijf op de Netgear aangesloten die ik graag via het internet zou willen bewaren. Kijk ik echter op de beheerpagina, dan staat daar "HTTPS (via internet)" https://192.168.2.195/shares, poort 443.

In eerste instantie verwachtte ik daar geen private maar een public adres te zien, maar bij nader inzien is het logisch dat hier het IP-adres wordt vermeld dat de Experia uitreikt. Als ik het goed heb begrepen is het probleem hier dubbele NAT en zou eigenlijk de Experia in Bridge Mode moeten worden gezet, maar is dat niet mogelijk. Maar hoe kan ik dan de router via internet benaderen?

Groet, Sando
icon

Beste antwoord door Babylonia 18 mei 2019, 04:30

Het gaat hier om een "NAT achter NAT" setup.
Twee routers achter elkaar met ieder hun eigen sub-net.
De Experia Box met sub-net 192.168.2.x
en vanuit het plaatje wat ik zie de Netgear met 192.168.1.x

Wil je services van buitenaf benaderen tot en met apparaten achter de 2e router, zou je dat met twee keer poorten doorsturen kunnen doen. Eenmaal vanuit de eerste router naar de twee router. In de tweede router poorten naar de verder achterliggende apparaten.

In de eerste router (de Experia Box V10) is dat feitelijk reeds met DMZ gedaan naar de Netgear toe. Hoewel het strikt technisch gezien wel zou kunnen, ben ik er meer een voorstander van, om alleen poorten door te sturen die je ook werkelijk alleen maar van buitenaf wilt benaderen.
Niet "alle poorten" lukraak doorsturen met DMZ. Je hebt op die wijze beter overzicht met wat je doet, is bovendien veiliger door die beperking. En door allerlei restricties en het "uitkleden" van functies in de firmware in de door providers geleverde routers, is het maar afwachten of een functie als DMZ ook volledig correct blijft werken in het doorsturen van services?

(Bijvoorbeeld van de Experia Box V8 is bekend dat die nogal wat problemen heeft in de werking van de router, door daarin DMZ te gebruiken. Internet wordt stroperig traag, en onbetrouwbaar).

De USB-schijf hangt rechtstreeks aan de Netgear.
In de Netgear hoeft je voor die schijf dan ook geen netwerkpoorten verder door te sturen.
Alleen voor buitenaf toegang te geven zoals dat nu eigenlijk reeds is ingesteld. Vraag me wel af hoe de benadering van die schijf en beveiliging van de Netgear is geregeld, om zomaar de mogelijkheid te bieden die van buitenaf te kunnen benaderen met wat ik nu denk te zien?

Alleen beveiliging met een admin wachtwoord van wat ik opmaak vanuit het plaatje is voor tegenwoordige begrippen te eenvoudig. Beter zou zijn om een connectie bijv. via een VPN-verbinding op te zetten (Met een VPN-server als onderdeel van je Netgear router ?).

Weet verder niet of de "shares" van die schijf zijn te benaderen via een web-interface?
Met het vrijgeven van poort 443 op de Netgear, voor https zou je dan met de volgende regel toegang kunnen hebben.

https://[ je eigen internet WAN IP-adres ]/shares

(Kijk welk IP-adres je hebt ---> https://watismijnip.nl )
Bekijk reactie

12 reacties

Dit lijkt me iets voor @Babylonia om te beantwoorden mijn eerste gedachte zou zijn forwards instellen.
Reputatie 2
Dit lijkt me iets voor @Babylonia om te beantwoorden mijn eerste gedachte zou zijn forwards instellen.
Dank, Galdor. Dat heb ik geprobeerd, maar in de interface van de Netgear voor ReadyShare Storage (USB) blijft het private adres 192.168.2.195 staan. Wat misschien ook wel logisch is want dat is het adres wat de router krijgt van de Experiabox.
Ik baal als een stekker want dit is een van de problemen waarmee Telfort (KPN) me opgezadeld heeft nu ik gedwongen ben over te stappen naar het nieuwe netwerk. Met het Genexis-modem had ik geen enkel probleem.

Even hardop gedacht staat de DHCP wel actief of is de netgear als accespoint ingesteld?

Met mijn router ingesteld als accespunt kan ik de usb ook niet benaderen zelfs niet intern.
Reputatie 2
Even hardop gedacht staat de DHCP wel actief of is de netgear als accespoint ingesteld?

Met mijn router ingesteld als accespunt kan ik de usb ook niet benaderen zelfs niet intern.

Ja, behalve de tv zijn al mijn apparaten met de Netgear verbonden en krijgen zij via DHCP een adres. Ik kan de USB die op de router is aangesloten ook gewoon benaderen.
Ik had namelijk een 192.168.1.xxx adres verwacht eerlijk gezegd. Maar ik hoop voor je dat Babylonia je verder kan helpen met tips.
Reputatie 8
Het gaat hier om een "NAT achter NAT" setup.
Twee routers achter elkaar met ieder hun eigen sub-net.
De Experia Box met sub-net 192.168.2.x
en vanuit het plaatje wat ik zie de Netgear met 192.168.1.x

Wil je services van buitenaf benaderen tot en met apparaten achter de 2e router, zou je dat met twee keer poorten doorsturen kunnen doen. Eenmaal vanuit de eerste router naar de twee router. In de tweede router poorten naar de verder achterliggende apparaten.

In de eerste router (de Experia Box V10) is dat feitelijk reeds met DMZ gedaan naar de Netgear toe. Hoewel het strikt technisch gezien wel zou kunnen, ben ik er meer een voorstander van, om alleen poorten door te sturen die je ook werkelijk alleen maar van buitenaf wilt benaderen.
Niet "alle poorten" lukraak doorsturen met DMZ. Je hebt op die wijze beter overzicht met wat je doet, is bovendien veiliger door die beperking. En door allerlei restricties en het "uitkleden" van functies in de firmware in de door providers geleverde routers, is het maar afwachten of een functie als DMZ ook volledig correct blijft werken in het doorsturen van services?

(Bijvoorbeeld van de Experia Box V8 is bekend dat die nogal wat problemen heeft in de werking van de router, door daarin DMZ te gebruiken. Internet wordt stroperig traag, en onbetrouwbaar).

De USB-schijf hangt rechtstreeks aan de Netgear.
In de Netgear hoeft je voor die schijf dan ook geen netwerkpoorten verder door te sturen.
Alleen voor buitenaf toegang te geven zoals dat nu eigenlijk reeds is ingesteld. Vraag me wel af hoe de benadering van die schijf en beveiliging van de Netgear is geregeld, om zomaar de mogelijkheid te bieden die van buitenaf te kunnen benaderen met wat ik nu denk te zien?

Alleen beveiliging met een admin wachtwoord van wat ik opmaak vanuit het plaatje is voor tegenwoordige begrippen te eenvoudig. Beter zou zijn om een connectie bijv. via een VPN-verbinding op te zetten (Met een VPN-server als onderdeel van je Netgear router ?).

Weet verder niet of de "shares" van die schijf zijn te benaderen via een web-interface?
Met het vrijgeven van poort 443 op de Netgear, voor https zou je dan met de volgende regel toegang kunnen hebben.

https://[ je eigen internet WAN IP-adres ]/shares

(Kijk welk IP-adres je hebt ---> https://watismijnip.nl )
Reputatie 8
Badge +11
Hallo @sandotelfort, ik zie dat Galdor en Babylonia je al op weg hebben geholpen met een aantal tips. Lukt het daarmee om jouw schijf vanaf buiten te benaderen?
Reputatie 2
...

In de eerste router (de Experia Box V10) is dat feitelijk reeds met DMZ gedaan naar de Netgear toe. Hoewel het strikt technisch gezien wel zou kunnen, ben ik er meer een voorstander van, om alleen poorten door te sturen die je ook werkelijk alleen maar van buitenaf wilt benaderen.
Niet "alle poorten" lukraak doorsturen met DMZ. Je hebt op die wijze beter overzicht met wat je doet, is bovendien veiliger door die beperking. En door allerlei restricties en het "uitkleden" van functies in de firmware in de door providers geleverde routers, is het maar afwachten of een functie als DMZ ook volledig correct blijft werken in het doorsturen van services?



Veel dank voor je uitgebreide antwoord, Babylonia.
de ultrakorte samenvatting: ik was een oelewapper en heb http in de adresbalk gezet i.p.v. https!

het iets uitgebreidere verhaal:
Ik had al een port forward van poort 443 gedaan, maar in de interface van de Netgear blijft het private adres staan. Ik kom er nu achter dat dat puur interface is. Ik dacht dat ik https://[ je eigen internet WAN IP-adres ]/shares al had getest, maar omdat het IP-adres in de adresbalk van mijn browser al vooraf was ingevuld heb ik niet goed opgelet en stond er http i.p.v. https. Tsss, ik ben weer eens slordig. Ik vond het al raar dat ik geen enkele moeite had om mijn Synology NAS vanaf het internet te bereiken maar het niet lukte de router te bereiken.
Ik heb goede nota genomen van je opmerkingen over de veiligheid Babylonia. De tip om DMZ open te zetten vond ik op het KPN-forum. Ik hoopt eigenlijk dat de veiligheid dan door mijn eigen router gewaarborgd zouden zijn, maar dat is blijkbaar niet zo? Ik zal in elk geval je tip opvolgen en de port forwards instellen op de Experiabox ipv DMZ. (Een herstel- en backup-functie zijn dan wel een extra dringende behoefte voor de Experia!)

Ook de veiligheid m.b.t. toegang tot de schijf is een punt van zorg. Ik moet me verdiepen in de VPN-optie die je beschrijft en zet voorlopig de toegang uit!

Nogmaals veel dank, Babylonia!👍🙂
Reputatie 2
Hallo @sandotelfort, ik zie dat Galdor en Babylonia je al op weg hebben geholpen met een aantal tips. Lukt het daarmee om jouw schijf vanaf buiten te benaderen?
Ja, dank, het werkt nu!
Reputatie 2
Ik had namelijk een 192.168.1.xxx adres verwacht eerlijk gezegd. Maar ik hoop voor je dat Babylonia je verder kan helpen met tips.
Dank, Galdor, het werkt nu!
Reputatie 8
Badge +11
Veel dank voor je uitgebreide antwoord, Babylonia.de ultrakorte samenvatting: ik was een oelewapper en heb http in de adresbalk gezet i.p.v. https!
Dat maakt je geen oelewapper hoor 🙂 Als je met zoiets bezig bent kan je heel makkelijk over een missende letter heen kijken, met een frisse blik erop zoals Babylonia je gaf krijg je dan net het laatste duwtje naar de oplossing 😉
Reputatie 8
Nog wat extra aanvullende info m.b.t. beveiliging.

Ik heb goede nota genomen van je opmerkingen over de veiligheid Babylonia. De tip om DMZ open te zetten vond ik op het KPN-forum. Ik hoopt eigenlijk dat de veiligheid dan door mijn eigen router gewaarborgd zouden zijn, maar dat is blijkbaar niet zo? Ik zal in elk geval je tip opvolgen en de port forwards instellen op de Experiabox ipv DMZ. (Een herstel- en backup-functie zijn dan wel een extra dringende behoefte voor de Experia!)
Er kunnen altijd tot nog toe onbekende veiligheidslekken in apparatuur zitten, of bijv. via een achterdeurtje een service worden geactiveerd die een bepaalde poort gebruikt, waarbij die poort met een instelling van DMZ daarmee bij voorbaat al is doorgestuurd. (65.535 "open" poorten).

Probeer risico's bij voorbaat zo klein mogelijk te maken.

Ook de veiligheid m.b.t. toegang tot de schijf is een punt van zorg. Ik moet me verdiepen in de VPN-optie die je beschrijft en zet voorlopig de toegang uit!
Toegang met een vaste "admin" als gebruiksnaam, hoeft alleen een wachtwoord te worden "geraden". Het is niet zo dat de doorgewinterde hacker dat "handmatig" doet.

Met gebruikmaking van softwarematige wachtwoord generators, kunnen alle mogelijke combinaties geheel automatisch worden doorlopen. Afhankelijk van de lengte en complexiteit van je wachtwoord, kan dat snel worden gevonden, of duurt het juist langer of wordt het helemaal "niet" gevonden. (Zo'n tooltje gaat een uur, dag, week, 14 dagen non-stop voor een hacker aan het werk).

Extra beveiliging van een router zou bijv. kunnen zijn dat na een beperkt aantal mislukte inlogpogingen, het IP adres van waaruit de inlogpoging wordt ondernomen, wordt geblokkeerd.

Andere beveiligingen zijn bijv. een zelf in te stellen firewall, waarbij alle IP-adressen buiten een vastgestelde regio (Nederland), worden uitgesloten om überhaupt in te kunnen loggen.
Twee-factor autorisatie...... e.d.
En een combinatie van deze opties als beveiliging.

Welke opties Netgear biedt, is mij niet bekend?

Reageer