Probleem met port forwarding: HTTP server achter ADSL modem

[antonius uno]

Ik heb een probleem met configuratie en kom er niet uit ondanks verschillende zoektochten op internet.

============
Mijn configuratie:

ADSL Modem (zyxel) --> Sitecom WL527 router --> Freecom Storage Gateway (FSG)
" " " " " " " " " " " " " " " " " --> 2x laptop (1 met XP, 1 met Linux)
(lees dit als: 3 apparaten aan de Sitecom router)

De FSG is de web server
Ik heb een dynamic DNS host geregistreerd die gelinked is aan mijn public IP nummer. Op de ADSL modem heb ik een poort opengezet voor Remote Admin (in de remote admin menu). Ook heb ik op de ADSL modem drie andere poorten geforward naar het IP address van de Sitecom router voor de HTTP server (poort 80) (verder poort A), een tweede poort om remote admin te doen op de Sitecom router (verder poort B) en een derde poort om remote admin te doen op de FSG (verder poort C).

Op de Sitecom router heb ik voor remote admin ook poort B opengezet en poort A en poort C geforward naar het IP adres van de FSG.

============

Mijn probleem:

Als ik mijn public IP nummer in de browser intyp gevolgd door de ADSL admin poort (http://pub.lic.ip.isp : adminport) kom ik op de ADSL modem config pagina uit. So far so good.
Als ik mijn public IP nummer in de browser intyp gevolgd door poort B (http://pub.lic.ip.isp : poortB) dan krijg ik een foutmelding van de browser:
"Firefox can't establish a connection to the server at http://pub.lic.ip.isp : poortB. Though the site seems valid, the browser was unable to establish a connection.

* Could the site be temporarily unavailable? Try again later.
* Are you unable to browse other sites? Check the computer's network connection.
* Is your computer or network protected by a firewall or proxy? Incorrect settings can interfere with Web browsing."

Zodra ik dus een andere poort aangeef wordt alle toegang geweigerd terwijl ik wel op de config pagina van de ADSL modem kom. Ik weet niet meer waar ik het moet zoeken dus hulp is welkom.

alvast bedankt, A

 

[dnties]

Ok, Poort B is voor de 'webpagina' van de Sitecom, als ik het goed begrepen heb.

Welnu, standaard staat Remote Admin uit op de WAN-aansluiting van routers. Kijk dus of dat bij jou ook het geval is.

Overigens vind ik je constructie niet bijster slim, eerlijk gezegd. Slimmer is om je Sitecom te 'degraderen' tot Wireless accesspoint/Bedrade switch. Je hoeft dan alleen op de Zyxel portforwarding te doen.

Alle apparaten achter de Zyxel krijgen dan van de Zyxel hun ip-adressen, met uitzondering van de Sitecom router (daar moet je het vast instellen), en de FSG (als je die liever een vast ip-adres wil laten hebben, ihkv. portforwarding).

Ok, hieronder de manier om dat te doen:
1. Ontkoppel de Sitecom van de Zyxel.
2. Sluit een pc aan op een van de LAN poorten van de Sitecom.
3. Vraag op de aangesloten pc een nieuw ip-adres aan de Sitecom, via
Start -> Uitvoeren -> cmd /k ipconfig /release
Start -> Uitvoeren -> cmd /k ipconfig /renew
4. Ga naar de 'configuratiewebsite' van de Sitecom
5. Zet DHCP serving uit op de Sitecom
6. Zet alle mogelijk verstorende zaken op de Sitecom uit, zoals UpnP, RIP routing, portforwarding etc.
7. Ken aan de LAN poort van de Sitecom een vast ip-adres toe dat valt in de LAN ip-reeks van de Zyxel, maar (normaal) niet wordt uitgegeven met DHCP. Je moet dus een vast ip-adres op de Sitecom instellen dat niet door een andere computer/laptop gekaapt wordt, maar dat wel valt in de ip-reeks van het LAN van de Zyxel. Dat kan bijv. een 'hoog' ip-adres zijn, bijvoorbeeld eindigend op 253 of een 'laag' ip-adres, als de DHCP-server in de Zyxel bijv. adressen uitgeeft vanaf 33.
Natuurlijk niet hetzelfde ip-adres toekennen dat de Zyxel heeft op zijn LAN-poort.
De pc zal nu de verbinding verliezen met de 'configuratiewebsite' van de Sitecom.
8. Verbind een LAN poort (dus niet de WAN poort) van de Sitecom met een LAN poort van de Zyxel.
9. Vraag op de pc weer een nieuw ip-adres aan, die zul je nu krijgen van de Zyxel ipv. de Sitecom.
10. Je kunt de configuratie van de Sitecom nog steeds wijzigen, maar dan op het vaste ip-adres dat je in stap 7 hebt toegekend aan de LAN-poort. Portforwarding zal alleen op de Zyxel nodig zijn, en bovendien wordt dan via LAN de configuratie-'website' van de Sitecom bereikt, hetgeen standaardmatig is toegestaan (zie mijn eerste opmerking hierover bovenaan deze posting).

Alle pc's die (bedraad of draadloos) via de Sitecom zijn verbonden zullen nu een nieuw ip-adres moeten aanvragen, en die krijgen ze van de Zyxel.
Je hebt dus de Sitecom in de functie van draadloos accesspoint & bedrade switch in het netwerk gezet.

Succes,

Tijs.

 

[antonius uno]

Hoi Tijs,

tnx voor de snelle reactie. Poort B is inderdaad config pagina van de Sitecom. Zoals vermeld heb ik de remote admin op de sitecom aangezet (dus via WAN).
De reden dat ik de ADSL modem niet als dhcp server het staan is omdat er geen firewall functie op zit voor zover ik weet. De sitecom router heeft dit wel. Ik heb overwogen om de ADSL modem als dhcp server te gebruiken maar in feite zou het met port forwarding moeten werken. Tenzij je me uitkan leggen waarom niet.

Met een fixed ip address voor de sitecom router moet portforwarding toch kunnen?
Ik zal alle andere zooi eens uitzetten en zien of het verschil maakt.

 

[dnties]

[...]De reden dat ik de ADSL modem niet als dhcp server het staan is omdat er geen firewall functie op zit voor zover ik weet. De sitecom router heeft dit wel. [...]

Dat is een goed argument om evt. tóch gebruik te maken van de Sitecom als router.
Daarbij teken ik wel aan dat de Zyxel in zijn eentje ook al direct (omdat het een NAT-router is) 99% van de ellende buiten de deur houdt. In mijn setup gaat inderdaad de functionaliteit van de firewall op de Sitecom verloren.

Vaste ip-adressen toewijzen kan altijd (die heb je zowiezo nodig voor zinvolle portforwarding). In dat geval heb je de DHCP functionaliteit niet nodig.

Wil je zonder poespas pc's of laptops kunnen aansluiten, dan kun je niet om DHCP heen.
Welk apparaat dan DHCP server speelt maakt niet uit, als het er maar 1 is: Je kunt er geen 2 op je netwerk hebben, vandaar dat als je de Sitecom tot switches/accesspoints degradeert de DHCP functionaliteit van de Sitecom uitgeschakeld moet worden.
Probleem met de setup dat de Sitecom DHCP server is en de Zyxel niet is dat je dan handmatig in de Sitecom in het DHCP server-gedeelte het ip-adres van de Zyxel als Gateway en DNS server moet gaan instellen. Het is logischer om de Zyxel DHCP server te laten spelen: Alles staat dan in 1x goed.

We horen wel wat er uit je experimenten gekomen is.

Tijs.

 

[antonius uno]

Maar even terzijde het feit of DHCP wel of niet aanstaat voor de computers aangesloten op de sitecom router.

De eerste stap is voor mij om op de config pagina van de Sitecom router te komen. Ik heb op de Sitecom router alle verstorende zaken uitgezet. Inclusief de firewall (remote admin staat nog aan) en nog kom ik er niet doorheen. De optie van remote admin zou toch alles al moeten regelen om op de admin pagina te komen.
Het lijkt wel alsof de Zyxel modem de poort niet forward.

 

[dnties]

Niet duidelijk is of je de Sitecom nu 'gedegradeerd' hebt of niet.
Is dat waar je nu mee bezig bent geweest, dan zijn natuurlijk de hamvragen:
1. Heb je aan de LAN-poort van de Sitecom een ip-adres toegewezen in de Zyxel reeks, dus bijv. 192.168.1.30?
2. Heb je wel een LAN-poort van de Sitecom verbonden met de Zyxel, dus niet de WAN poort van de Sitecom?

Tijs.

 

[antonius uno]

Sorry dat ik daar niet duidelijker over was:

nee ik heb de sitecom niet als bridge staan en geen LAN verbinding van de Zyxel naar de Sitecom liggen alleen een WAN verbinding.

Sitecom WAN zit met een vast ip (in de Zyxel range) aan de Zyxel. Port B wordt geforward op de Zyxel en staat aangegeven als remote admin poort op de Sitecom.(remote admin gaat per definitie via de WAN).
Port forwarding en firewall staan uit op de Sitecom om mogelijke verstoringen te voorkomen.

Aangezien dit in theorie zou moeten werken denk ik dus dat het aan de Zyxel ligt. Ik wil dus graag checken of de Zyxel deze port B wel forward.
Is dat waarom je aanraad om de sitecom als bridge te zetten en een LAN verbinding naar de Zyxel te leggen? Is dat makkelijker te configureren?
Zie je een reden waarom bovenstaande theorie niet zou moeten werken?

Sorry dat ik misschien wat traag van begrip ben in deze. Je meedenken stel ik erg op prijs.

 

[antonius uno]

ik heb een kleine stap vooruit gemaakt maar begrijp dit niet helemaal:

Op de Zyxel modem onder NAT staat een lijst met port en rules erbij. Er staan een standaard regel in de lijst

"Start range: All ports; End range: All ports; IP address: 0.0.0.0"
Deze regel is niet aan te passen, alleen het ip adres is aan te passen. Ik heb het ip address aangepast naar het ip adres van de sitecom router. Als ik nu mijn public ip adres invoer kom ik direct op de FSG terecht !!!!???

Dit terwijl (als het goed is) de port forwarding op de Sitecom uitstaat! Ik ben nu dus wel gearriveerd op FSG maar kom de config pagina van de modem niet meer op via public ip adres.

 

[dnties]

Dat is een soort DMZ instelling: Alle geprobeerde 'losse' verbindingen van buitenaf komen dan bij dat ip-adres terecht, voorzover niet expliciet geforward. Die optie wil je dus onder normale omstandigheden niet gebruiken, maar zou voor een router werkbaar kunnen zijn indien de router zelf een firewall heeft, hetgeen het geval is bij de Sitecom.

Maar ik heb al een goed idee waar je problemen vandaan gekomen zijn:
De Zyxel-configuratie is ook op poort 80 bereikbaar. Dit conflicteert met portforwarding van poort 80 naar het interne netwerk.
Er zijn dus een paar mogelijkheden:
1. Je forward poort 100 op de zyxel naar poort 80 van de Sitecom. De Sitecom moet dan dus bereikbaar zijn onder: http://[publiek ip-adres]:100
2. [Variant op 1.]: De beheerconfiguratie van de Sitecom omzetten naar een andere poort en dan 1-op-1 portforwarden, maar ik weet niet of de Sitecom daarvoor geschikt is.
Zou dan weer worden: http://[publiek-ip-adres]:100
3. De Zyxel-beheerconfiguratie naar een andere poort zetten (bijv. poort 100). De configuratie van de Zyxel is dan intern bereikbaar onder poort 100: http://[prive ip-adres van de zyxel]:100, terwijl 1-op-1 portforwarding naar de Sitecom mogelijk is.

Succes,

Tijs.

 

[antonius uno]

De Zyxel configuratie is niet via poort 80 beschikbaar. Als je in mijn eerste post kijkt kun je lezen dat ik een specifieke poort aangegeven heb om op de Zyxel config te komen (admin poort genoemd).
Admin poort: Zyxel remote admin (laten we die voor het gemak even poort D noemen)

Ik heb op de Zyxel de volgende forwarding ingesteld:

Poort A: port 80 voor HTTP server
Poort B: Sitecom remote admin
Poort C: FSG.remote admin

Toen alle poorten op de Zyxel nog standaard dicht stonden had ik de volgende mogelijkheden:
1. http://[publiek-ip-adres]: poortD ==> Zyxel remote admin pagina: OK
2. http://[publiek-ip-adres]: poortA ==> Connection error ondanks forwarding op de zyxel en de sitecom naar de FSG.: Hier ga ik pas naar kijken als punt 3 werkt.
3. http://[publiek-ip-adres]: poortB ==> Connection error ondanks forwarding op de zyxel naar de Sitecom remote admin.: Dit is mijn eerste prio om dit voor elkaar te krijgen.
4. http://[publiek-ip-adres]: poortC ==> Connection error ondanks forwarding.....: Hier ga ik ook pas naar kijken als punt 3 voor elkaar is.

Nu ik alle poorten open heb gezet is het volgende veranderd:
1. http://[publiek-ip-adres]: poortD ==> Connection error (lijkt logisch omdat de poort D nu standard geforward wordt naar de Sitecom die niks met die poort kan doen.
2. http://[publiek-ip-adres]: poortA ==> Wordt ik doorgelinkt naar de FSG (terwijl ik dacht dat alle port forwarding op de Sitecom uit stond).=> ga ik vanavond even bekijken.
3. http://[publiek-ip-adres]: poortB ==> Connection error ondanks forwarding op de zyxel naar de Sitecom en deze poort aangewezen als remote admin poort. => Dit begrijp ik dus niet.
4. http://[publiek-ip-adres]: poortC ==> Connection error ondanks forwarding..... => maar kijken we nu even niet naar.

Ik denk dat alle poorten openzetten op de Zyxel mogelijk een oplossing is. Ik vermoed dat er een priority rule in de Zyxel actief is waardoor bepaalde settings worden overruled door andere settings.
BV, als alle poorten open staan overruled dit de remote admin setting.

 

[antonius uno]

ik heb gisteren gecontroleerd wat de settings op de sitecom waren en inderdaad stond port forwarding nog aan dus dat ik op de FSG uitkwam is wel begrijpelijk.

Daarnaast heb ik op de Zyxel alle poorten open gezet en geforward naar de Sitecom.
Ik heb ook nu alle ip addressen static gemaakt en alle apparaten achter de Zyxel modem in dezelfde range gezet.

Verder heb ik een vraag via internet bij Sitecom neergelegd waarom ik die remote admin pagina niet opkom. Eens kijken wat daar uitkomt.

Ben nu dus eigenlijk weer uit bij de begin situatie met als verschil dat alle poorten op de Zyxel open staan.

 

[dnties]

Duidelijk verhaal. Ben benieuwd waar Sitecom mee terugkomt.

Tijs.

 

[Webster18]

Misschien een long shot maar hoe heb je de remote access geconfigureerd, als http of https. Zou kunnen verklaren waarom het niet werkte.

 

[antonius uno]

Op de sitecom is die optie niet aanwezig. Desondanks heb ik het inderdaad ook geprobeerd om https te gebruiken maar het maakte geen verschil.

Het zou kunnen liggen aan de volgende zaken:
1. Sitecom accepteerd alleen een dedicated host adres. Ik heb er momenteel 0.0.0.0 staan. Ik heb het geprobeerd met mijn public ip adres maar dat werkt niet.
2. Ik moet apart de admin port nog ergens openzetten maar zou niet weten waar. Als het in portforwarding moet dan weet ik niet waarnaar ik die port moet forwarden.
3. Ik heb een optie Virtual Server maar ook die optie stelt alleen een server achter de sitecom in. Lijkt mij ook niet de juiste optie.

Wie het weet mag het zeggen. Sitecom is trouwens ook niet de snelste. Ze hebben niet eens een ontvangst bevestiging gestuurd.
Misschien nog maar eens sturen.

 

[Ellasar]

Als je de poorten test met het door zyxel uitgegeven ip aan de sitecom gaat het dan allemaal wel goed?

Aangezien je op je interne netwerk zit gaat de routing door routers heen niet altijd goed als je het publieke ip gebruikt (vraag eventueel een bekende of die het wil testen vanaf de buitenkant)

 

[antonius uno]

Ik heb de test ook vanaf mijn werk gedaan en krijg dezelfde resultaten als thuis omdat ik niet mijn public ip nummer gebruik maar het geregistreerde domein naam. Echter, met public ip krijg ik exact hetzelfde effect. Punt is namelijk dat je altijd eerst naar je ISP geroute wordt voor je weer terug op je modem komt.

Vanaf mijn werk type ik dus:
1. http://pub.lic.ip: poortD ==> Zyxel admin pagina
2. http://pub.lic.ip: PoortB (Sitecom admin pagina) ==> error: Connection refused.

 

[antonius uno]

Geen reactie van sitecom en nog steeds geen werkende config. grrr....

 

[antonius uno]

Ik heb een reactie van Sitecom gekregen met suggestie om de firmware te upgraden (wat ik al had gedaan). Volgens sitecom is de remote admin werkend getest op de router dus is het nog een aanwijzing dat het aan de zyxel moet liggen die de port niet kan goed kan forwarden naar de sitecom.

Ik ga nog maar eens kijken naar de Zyxel en bij KPN een nieuwe router aanvragen. Misschien dat dat gaat helpen.