Beantwoorden
rinn2883
Experienced Beetjesweter
Berichten: 7
Netjes! Mooi, mooi! Leesclubje starten? Hey, jij weer! :-)

Eigen router in DMZ

Hoi

Er zijn al een paar vragen geweest over dit topic, maar het is mij niet volledig duidelijk.
Even de situatie schetsen:

  • Ik heb een server met een aantal services die ik wil bereiken van buiten af.
  • Ideaal wil ik hiervoor een openVPN verbinding gebruiken.
  • Telenet laat portforwarden van poorten onder 1024 niet toe.
  • Vele publieke plekken laten alleen poorten 80 en 443 door.

Basicly moet ik dus mijn VPN aanbieden op poort 443, maar dat gaat niet met de telenet router.
De meeste oplossingen geven aan om om een modem-only te gaan halen, maar ik vrees dat dit gaat klooien met mijn interactieve tv. Weer even schetsen:

  • Telenet modem+router hangt in de garage gelijkvloers.
  • De kabels in mijn huurhuis zitten al in de muur. Er vertrekt 1 ethernetkabel per kamer uit de router.
  • In de living (1ste verdiep) staat er een switch waarop de pc, tv en de digicorder verbonden zijn.
  • Boven staat er ook een switch met een digibox, pc, server. Server heeft een static ip.

Ik heb dus geen aparte kabel van de digicorder en de digibox naar de modem, en gaten boren is geen optie want ik huur het huis 🙂

Ik denk dat het wel op te lossen valt met VLANs, maar de switches die ik nu heb ondersteunen dat niet.
Ik heb een oude archer C2 router liggen. Dus :

  • Ik zou deze een static IP geven en in DMZ zetten, maar zonder DHCP en NAT. Zo heb ik 1 LAN range + geen dubbel NAT.
  • Ik veronderstel dat poort 443 op de telenet router+modem dan wel geforward wordt naar de archer C2.
  • Kan ik dan nog portforwarden op deze archer C2 router naar de server? Ik denk van wel..

Hoe secure is dit? De archer doet geen NAT, dus heeft eigenlijk geen firewall meer, ofwel?

Tags (3)
0 Likes
12 reacties
igvfer
Professional Superweter
Berichten: 6942
Topic held(in)! PhD in problem solving! Organisatietalent! De gouden postveer is voor jou

Eigen router in DMZ

Een VPN verbinding gaat niet op poort 443 dat is standaard HTTPS zoals 80 de standaard HTTP poort is.

Bovendien is VPN een beveiligde tunnelverbinding. Dit kan ervoor zorgen dat je een beveiligde verbinding maakt van eender waar naar de je eigen (windows)server zodat het lijkt alsof je op je eigen thuisnetwerk aan het werken bent.

Op je server kan je hoogstwaarschijnlijk een VPN server activeren. Dit heb ik bvb op mijn Synology NAS.

Eenmaal je dit geactiveerd hebt moet je poorten 1701 tot 1723 forwarden (in mijn.telenet) naar het IP adres van je server.

Eenmaal je dan een VPN verbinding maakt vanaf je PC eender waar ter wereld kan je elk device in je netwerk bereiken via de locale IP adressen (192.168.0.x enzovoort)

Ook een remote desktop verbinding naar uw lokale PC. U surft dan eigenlijk op je eigen Telenet verbinding thuis. Wat enige voordelen heeft zoals bijvoorbeeld Yelo Play kan je dan gebruiken in Timboktoe of ergens in Brazilie bij wijze van spreken. Voor YeloPlay in Europa is dit niet meer nodig vanaf 1 april.

Aan je opstelling zal je voor zover ik zie niets moeten veranderen. Zorg er alleen voor dat de VPN server geinstalleerd en geactiveerd is op je eigen server. Open VPN is niet standaard voorzien dus zal je op de PC die je naar buiten meeneemt of op elke ander PC die je wil gebruiken van bvb een vriend of familie lid ook de Open VPN client moeten installeren.

En installeer aub geen extra router. het maakt het alleen maar complexer.

Bij mij is er alleen de HGW, de NAS (die voor de VPN verbinding kan zorgen), enkele camera's, printer, extra AP en 2 digicorders + TV.

 



  Ignace (igvfer) | Krak
  Niets is mooi of lelijk, het is enkel wij die het mooi of lelijk vinden.
  Vergeet niet om likes te geven en/of als oplossing te markeren.
igvfer
Professional Superweter
Berichten: 6942
Topic held(in)! PhD in problem solving! Organisatietalent! De gouden postveer is voor jou

Eigen router in DMZ

Ondertussen nog eens opgezocht. Voor OpenVPN moet je poort 1194(UDP) gebruiken. Voor Ipsec de poorten UDP 500 en UDP 4500. Voor PPTP de poort 1723 TCP.



  Ignace (igvfer) | Krak
  Niets is mooi of lelijk, het is enkel wij die het mooi of lelijk vinden.
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
rinn2883
Experienced Beetjesweter
Berichten: 7
Netjes! Mooi, mooi! Leesclubje starten? Hey, jij weer! :-)

Eigen router in DMZ

Ik weet dat het standaard poorten zijn. Ik kan wel een andere service hosten op die poort... Niks zegt dat het moet https zijn. OpenVPN kan je gemakkelijk configureren om op een andere poort te luisteren. Dat is het em net. Alle publieke plaatsen laten zowizo 443 door dus dan kan ik altijd verbinden naar mijn VPN server en toegang krijgen tot mijn thuisnetwerk + mijn trafiek veilig over mijn thuisnetwerk routeren.

 

Het gaat er meer over of de router in DMZ nog firewalled ofniet aangezien hij geen NAT uitvoerd.

0 Likes
igvfer
Professional Superweter
Berichten: 6942
Topic held(in)! PhD in problem solving! Organisatietalent! De gouden postveer is voor jou

Eigen router in DMZ

Als je vanop een publieke plaats inlogt moet je u meestal geen zorgen maken over poorten enz.. Het is u die uw poort moet openstellen om verzoeken te ontvangen. Ik heb al VPN verbinding gemaakt met mijn thuis vanop verschillende WiFi netwerken o.a in Namibie, Zuid Afrika, Peru in hotels enz. De beperking is meestal de plaatselijke internetaansluiting en Wifi Verbinding die de beperkende factor. Ik deed dit altijd met mijn DDNS hostnaam weliswaar via IPsec of PPTP die gebruik maken van de standaard aangegeven poorten dus moest ik geen poortnummer ingeven.

Via OpenVPN kan je uw eigen poort bepalen en dan hoef je maar dit in te stellen in je client. Maar zoals reeds gezegd zal je in een internetcafé of ergens anders geen OpenVPN client aantreffen en dat dus ook niet kunnen installeren.

Je zal niet via een webbrowser een VPN verbinding kunnen maken.



  Ignace (igvfer) | Krak
  Niets is mooi of lelijk, het is enkel wij die het mooi of lelijk vinden.
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
rinn2883
Experienced Beetjesweter
Berichten: 7
Netjes! Mooi, mooi! Leesclubje starten? Hey, jij weer! :-)

Eigen router in DMZ

Het was msh niet duidelijk, maar ik heb wel wat technische kennis hoor Smiley Vrolijk
Dus ik weet hoe een vpn werkt, hoe portforwarding werkt, wat een certificaat is, hoe ik openVPN op mijn server moet installeren. Heb ik trouwens niet vermeld, maar het is geen out-of-the-box NAS, maar mijn eigen linux server.


Ik ben nochtans al op publieke plaatsen geweest (luchthaven, ziekenhuis) waar ze alle poorten blokkeren buiten 80 en 443. En dat is goed, dat wil zeggen dat ze een deftige firewall hebben!


Dusja openVPN hosten op poort 443 of eventueel een reverse ssh tunnel opzetten, maar toch liever vpn Man Vrolijk om mijn traffic veilig te routeren en aan mijn services te kunnen.

 

Ik wil dubbele NATTING vermijden.
De voornaamste manier waarop een router fungeert als firewall is omdat hij NAT.
Als ik een andere router in DMZ zet die niet NAT, is dit dan een risico of zit er nog andere firewall functies op buiten NAT? Ik wil niet gewoon een router open en bloot publiek bereikbaar zetten Man Erg vrolijk

0 Likes
igvfer
Professional Superweter
Berichten: 6942
Topic held(in)! PhD in problem solving! Organisatietalent! De gouden postveer is voor jou

Eigen router in DMZ

Raar dat ze uitgaande poorten blokkeren. Dat wil zeggen dat al die zakenmensen alleen maar kunnen naar websites surfen via http (80) en https(443). Een VPN verbinding opzetten is net bedoeld om een beveiligde verbinding op te zetten.

En een firewall is meestal bedoeld om inkomend verkeer te weerhouden en in bedrijven soms om uitgaand niet naar ongewenste sites te surfen die een potentieel gevaar vormen. Ik heb nog maar weinig geweten dat een firewall uitgaand verkeer tegen houdt op poortniveau.



  Ignace (igvfer) | Krak
  Niets is mooi of lelijk, het is enkel wij die het mooi of lelijk vinden.
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
rinn2883
Experienced Beetjesweter
Berichten: 7
Netjes! Mooi, mooi! Leesclubje starten? Hey, jij weer! :-)

Eigen router in DMZ

Ik vind dat op zich niet zo raar.

Ik heb liever dat ze de firewall standaard op drop configureren en enkel essentiele poorten open zetten, dan alles open te laten.

0 Likes
rinn2883
Experienced Beetjesweter
Berichten: 7
Netjes! Mooi, mooi! Leesclubje starten? Hey, jij weer! :-)

Eigen router in DMZ

Maar terug naar de eigenlijke vraag.

Is het veilig om mijn eigen router in DMZ te zetten om portforwarding te doen. Maar DHCP en NAT te laten afhandelen door de telenet router. Zal mijn router dan nog fungeren als firewall of zijn er risico's als je dit doet?

0 Likes
igvfer
Professional Superweter
Berichten: 6942
Topic held(in)! PhD in problem solving! Organisatietalent! De gouden postveer is voor jou

Eigen router in DMZ

Je kan toch perfect de specifieke poorten forwarden naar je eigen router en dan nog eens hetzelfde doen op je eigen router naar de server. Om het met je eigen woorden te zeggen: Niet veilig om alle poorten open te zetten en dit doe je met DMZ.



  Ignace (igvfer) | Krak
  Niets is mooi of lelijk, het is enkel wij die het mooi of lelijk vinden.
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
rinn2883
Experienced Beetjesweter
Berichten: 7
Netjes! Mooi, mooi! Leesclubje starten? Hey, jij weer! :-)

Eigen router in DMZ

Telenet laat niet toe om poorten onder 1024 te forwarden toch?

0 Likes
igvfer
Professional Superweter
Berichten: 6942
Topic held(in)! PhD in problem solving! Organisatietalent! De gouden postveer is voor jou

Eigen router in DMZ

Als je DMZ instelt worden poorten onder de 1024 niet geforward. Probleem blijft identiek. Bovendien worden niet alle poorten onder 1024 geblokkeerd. Hier is de link waar je kan zien welke poorten wel.

https://www2.telenet.be/nl/klantenservice/welke-internetpoorten-blokkeert-telenet/

Als je DMZ instelt worden  die poorten nog altijd geblokkeerd.



  Ignace (igvfer) | Krak
  Niets is mooi of lelijk, het is enkel wij die het mooi of lelijk vinden.
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
rinn2883
Experienced Beetjesweter
Berichten: 7
Netjes! Mooi, mooi! Leesclubje starten? Hey, jij weer! :-)

Eigen router in DMZ

Alright. Ik had ergens gelezen dat alle poorten onder 1024 werden geblokkeerd.
Maar in de link zou poort 80 en 443 wel mogelijk moeten zijn.
Hiermee kan ik aan de slag en moet ik zelf geen router plaatsen.
Bedankt voor de correcte info!

0 Likes