Beantwoorden
rdhoore108
Experienced Weetjesweter
Berichten: 17
Handje vol! Twee handen vol! Leesbeest! Goed gevonden!

DOCSIS 3.1 E: bridging verhindert port forwarding?

Telenet DOCSIS 3.1 E-router. Bridging staat ingesteld met een vast publiek IP toegekend aan een firewall via MAC bridging, dit werkt prima. De router heeft ook een "variabel" publiek adres, 78.21.26.xx momenteel. Daar zitten ook een aantal internet radio's op die niet in ons bedrijfsnetwerk hoeven te zitten. Werkt prima.

Nu wilde ik op een virtuele Sophos firewall in test, VPN-connecties van andere sites laten toekomen. Deze heeft een variabel IP op zijn WAN poort, 192.168.103.161 (de Telenet router heeft dus 192.168.103.x als LAN-subnet). De firewall kan perfect naar internet (bv. firmware update downloaden). Maar als ik port forwards instel in "Mijn Telenet", dan blijkt het gewoon niet te werken. Bijvoorbeeld poort 4444 TCP hoort de beheerspagina van de firewall te connecteren, maar dit gebeurt niet. Poort 8443 UDP hoort de VPN-verbindingen te accepteren, maar daar is ook een timeout.

Klopt mijn vermoeden dat de gewone port forwarding gewoon niet meer werkt als bridging actief is? Ik zit er al anderhalf uur mee te klooien en het werkt gewoon totaal niet...

rdhoore108_0-1661445649655.png

Alvast bedankt voor uw hulp!

 

0 Likes
8 reacties
igvfer
Professional Superweter
Berichten: 7734
Dat verdient een trofee! PhD in problem solving! Organisatietalent! Topic held(in)!

DOCSIS 3.1 E: bridging verhindert port forwarding?

Als je via bridging werkt heeft de Telenet modem router niets meer met de portforwarding te maken. Het is uw eigen router die een publiek IP adres krijgt dus moet je alle forwarding instellen in uw eigen router. Uiteraard moet gans uw eigen netwerk achter uw eigen router hangen.

Enkel voor apparaten die nog rechtstreeks op de Telenet modem router zitten kan je een forwarding doen.

Je hebt tenslotte nu 2 aparte netwerken.

Je bent natuurlijk aan het experimenteren op het netwerk van de telenet router. Standaard is dat normaal 192.168.0.0 maar je hebt het veranderd naar 192.168.103.0. Dat is hopelijk niet het netwerk dat je gebruikt achter uw eigen router, op zich geen probleem maar dat kan voor verwarring zorgen.

Dus die virtuele Sophos firewall in test moet wel degelijk aangesloten worden op de Telenet HGW en NIET op uw eigen router.

En je geeft die best een vast IPadres tussen 192.168.103.10 en .99 om plotselinge veranderingen van IP te vermijden.

 

 



  Ignace (igvfer) | Krak
  Niets is mooi of lelijk, het is enkel wij die het mooi of lelijk vinden.
  Vergeet niet om likes te geven en/of als oplossing te markeren.
flip1953
Experienced Allesweter
Berichten: 1574
Champagne, lezer van het jaar! Applaus voor jezelf! Straf. Héél straf! Boek alvast het Sportpaleis!

DOCSIS 3.1 E: bridging verhindert port forwarding?


@rdhoore108  schreef:

Klopt mijn vermoeden dat de gewone port forwarding gewoon niet meer werkt als bridging actief is? Ik zit er al anderhalf uur mee te klooien en het werkt gewoon totaal niet...


Neen, je vermoeden klopt niet. Portforwarding zou moeten blijven werken op de HGW. Voor wat de apparaten betreft die rechtstreeks aangesloten zijn op de Telenet E-router verandert er in feite niets.

Zoals @igvfer aangeeft is het "best practice" jouw Sophos een vast IP geven, hoewel dat ook niet noodzakelijk is. Interne IP's achter de E-router veranderen ook meestal niet. Ik heb wel geen ervaring met een Telenet HGW waarbij het standard IP (192.168.0.1) gewijzigd werd, geen idee of het hiermee te maken heeft?

Kijk ook nog eens alles goed na op eventuele IP conflicten.

Wat betreft het vast publiek IP op de bedrijfs firewall. Je hebt dus in "Mijn Telenet" hetzelfde WAN MAC adres van de firewall 2 keer ingegeven: zowel bij "vast IP" als bij "bridge"??

igvfer
Professional Superweter
Berichten: 7734
Dat verdient een trofee! PhD in problem solving! Organisatietalent! Topic held(in)!

DOCSIS 3.1 E: bridging verhindert port forwarding?

@flip1953  Het veranderen van het netwerk op de HGW houdt eigenlijk heel weinig in. Het is enkel de 0 in de 192.168.0.x die je kan veranderen, gateway en dergelijke kan je niet aanpassen. Dus in wezen kan je niet veel mis doen. De werking blijft hetzelfde. Dus blijft de vraag waar zit die virtual op. Het netwerk achter de eigen router of het netwerk achter de HGW. Als je die allebei als netwerk 192.168.103.0 hebt gegeven, wat perfect mogelijk is, vraag je om moeilijkheden omdat je niet meer weet wat waar is aangesloten.

Dus geef het netwerk waar je firewall is op aangesloten (firewall die meteen ook een router is) een LAN netwerk zoals bijvoorbeeld 192.168.200.0 en gateway 192.168.200.1 en een DHCP range tussen 192.168.200.100 en .254. Deze firewall/router krijgt via de mac bridging een publiek IP adres van Telenet.

De Telenet HGW krijgt een apart publiek IP adres en blijft met zijn LAN in 192.168.103.0 (In een netwerk met subnetmask 255.255.255.0 is 0 het netwerk ID, 1 of 254 het gateway adres en 255 het broadcast adres.)

Zo zie je direct aan het IPadres van toestellen die ingesteld zijn op het automatisch verkrijgen van een adres op welk netwerk ze zijn aangesloten.



  Ignace (igvfer) | Krak
  Niets is mooi of lelijk, het is enkel wij die het mooi of lelijk vinden.
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Arnie
Professional Allesweter
Berichten: 1744
Krak 2021 Krak 2022 Krak Hallo zeg! Wat weet jij niet?

DOCSIS 3.1 E: bridging verhindert port forwarding?

Ik heb weliswaar geen business abonnement / vast IP adres, maar verder doe ik precies wat jij ook probeert te doen.

Aan mijn E-router is een eigen Unifi UDM router aangesloten. Op de E-router is bridging geconfigureerd voor deze eigen router. Dat werkt perfect. Deze ontvangt een publiek IPv4 adres, en natuurlijk de nodige IPv6 informatie. Aan de LAN zijde van de UDM gebruik ik het 192.168.10.0/24 subnet.

Daarnaast heb ik aan de E-router een Fritzbox 4040 hangen, die VPN verbindingen verzorgt naar andere Fritzboxen. Ik heb  Het LAN subnet van de E-router is bij mij nog gewoon 192.168.0.0/24. De Fritzbox WAN port heb ik het vaste IPv4 adres 192.168.0.10 toegekend. Via mijn telenet heb ik in de E-router port-forwarding geconfigureerd, zoals hieronder.

Screenshot from 2022-08-25 23-12-02.png

 

De Fritzbox ontvangt inkomende VPN connecties probleemloos.

Let er op dat het publike IPv4 adres van de E-router natuurlijk anders is dan het publieke IPv4 adres wat je via bridging voor je eigen router ontvangt.

 


   Arnie | Krak
   Meten is weten. Gissen is missen.
    Vergeet niet om likes te geven en/of als oplossing te markeren.
flip1953
Experienced Allesweter
Berichten: 1574
Champagne, lezer van het jaar! Applaus voor jezelf! Straf. Héél straf! Boek alvast het Sportpaleis!

DOCSIS 3.1 E: bridging verhindert port forwarding?


@igvfer  schreef:

@flip1953  Het veranderen van het netwerk op de HGW houdt eigenlijk heel weinig in. Het is enkel de 0 in de 192.168.0.x die je kan veranderen, gateway en dergelijke kan je niet aanpassen. Dus in wezen kan je niet veel mis doen.


In theorie heb je gelijk. Maar het is niet de eerste keer dat ik zie dat een Telenet HGW beetje raar doet als je zijn LAN range wijzigt.

Ik raad iedereen af om dat te wijzigen.

  • in de meeste gevallen is er daar ook geen goede reden voor (je kan beter je eigen router een ander subnet geven).
  • als Telenet - om welke reden dan ook - jouw GHW reset, dan heb je het terug aan je been, er is dus een risico.

Soit, het antwoord naar de TS (en nu ook nog eens bevestigd door @Arnie ) is dat bridging portforwarding normaal niet verhindert ...

0 Likes
rdhoore108
Experienced Weetjesweter
Berichten: 17
Handje vol! Twee handen vol! Leesbeest! Goed gevonden!

DOCSIS 3.1 E: bridging verhindert port forwarding?

Bedankt aan ieder voor de geboden hulp. Dit is wat ik moest weten: dat de poort forwarding echt wel hoort te werken, desondanks dat er ook bridging actief is.

Een vast IP zou natuurlijk logischer zijn, maar deze virtuele Sophos firewall moet subiet naar een datacenter, ik moet enkel de VPN connecties opzetten en testen. Dus dit is een erg tijdelijke setup, ik wil alles zoveel mogelijk laten zoals het straks moet zijn.

En het 103 subnet kan ik ook niet wijzigen, maar dat zou er inderdaad ook niets mee mogen te maken hebben.

Dus heb ik nu de Telenet router eens (via Mijn Telenet) herstart, ook al zit er daar een door veel mensen gebruikte webserver op die liefst niet down mag gaan, maar nood breekt wet...

Maar het werkte nog steeds niet. Dan plots dacht ik, hmm je moet dat toch niet ergens nog apart gaan instellen, hoop ik, dat je SSL VPN connecties op de WAN interface will ontvangen, en de beheer pagina actief wil hebben. Maar toch wel dus. Dat waren ze even vergeten te vermelden bij Sophos op hun handleiding site to site SSL VPN, dat je nog vinkjes met aanzetten in Administratie daarvoor.

Enfin, het werkt, nogmaals mijn oprechte dank aan iedereen voor het helpen meedenken, en mijn excuses als mijn initiële uitleg niet duidelijk genoeg was, maar ik heb bewust enkel gepraat over wat hier terzake deed. Wat er achter die bridged fysieke firewall met fixed IP hangt, was hier niet van belang.

StefaanH
Professional Superweter
Berichten: 5185
Dat verdient een trofee! Organisatietalent! Een echt antwoordkanon jij! De gouden postveer is voor jou

DOCSIS 3.1 E: bridging verhindert port forwarding?

@rdhoore108 

 

Fijn dat je het aan de praat gekregen hebt. Uiteindelijk heb je zelf het finale element gevonden en daarom heb ik uw laatste post als oplossing aangeduid. Zonder daarom afbreuk te willen doen aan de input van de vele Netweters die hier geholpen hebben.


   StefaanH | Krak
    De Gustibus et Coloribus non est disputandum.
      Vergeet niet om likes te geven en/of als oplossing te markeren.
rdhoore108
Experienced Weetjesweter
Berichten: 17
Handje vol! Twee handen vol! Leesbeest! Goed gevonden!

DOCSIS 3.1 E: bridging verhindert port forwarding?

@Arnie, ik wilde je nog even extra bedanken omdat jouw post het meest terzake was, en buiten alle twijfel aantoonde dat het hoorde te werken. Dus wist ik dat ik daar niet verder hoefde te zoeken, dat mijn probleem in de virtuele firewall zelf moest zitten. Super bedankt om de tijd te nemen om dit te posten!

Maar evenveel dank aan alle anderen ook, vooral ook vanwege de snelheid van antwoorden, dit is echt een droom van een gemeenschap van bekwame mensen.