- NL
|
41175
netweters
|
17748
gesprekken
|
|
19177
vragen
|
Onderwerpen die langer dan 6 maanden geen reactie krijgen, worden afgesloten. Heb je dezelfde vraag of wil je er toch meer informatie over?
Start dan een nieuw onderwerp op De Netweters. Hoe je dit kan doen, vind je hier
Opgelet! Denk eraan dat er in oude onderwerpen informatie kan staan die niet meer up to date is.
@cvdvcvdv Standaard zijn alle inkomende poorten gesloten, dus daarvoor hoef je niets te doen. Om die poorten uitgaand te blokkeren zal dit niet lukken op de Telenet modem router. Daarvoor zal je een meer professionele firewall/router moeten hebben. En dan is de oplossing de Telenet modem/router omruilen voor de e-modem zodat je uw eigen systeem er kunt op aansluiten met een publiek IP-adres. En alles daarachter aansluiten met eventueel de nodige Vlan ingeval van digicorder/boxen. Voor de nieuwere tv-boxen is dit niet nodig.
Komt daarbij dat IKEv2 een VPN tunneling protocol is tussen de client op uw toestellen en een server ergens in de "cloud". Dus vraag ik mij af waarom je het sowieso wil installeren als het niet mag gebruikt worden.
Heb je dergelijke server thuis staan, dan zal er hoogstwaarschijnlijk wel een mogelijkheid zijn om de poorten te veranderen. Of anders moet je via portswitching werken om de standaardpoorten te ontwijken.
Dus is mijn vraag: Run je zelf dergelijke VPN server en wil je zorgen dat er niet kan geconnecteerd worden van buitenuit op de standaard poorten?
Ignace (igvfer) |
@cvdvcvdv Ik begrijp het eigenlijk nog altijd niet goed. Poorten forwarden doe je toch maar om een connectie van buitenaf naar de juiste locatie binnenin te leiden. Omgekeerd kan ik wel begrijpen dan je sommige connecties naar buiten niet toe laat. Dat kan dan op domein/IP niveau of eventueel door te verhinderen dat een bepaalde toepassing naar buiten gaat. Als je dan bijvoorbeeld poort 80 blokkeert kan niemand op uw netwerk nog naar een HTTP site.
Maar dat is nu eenmaal niet mogelijk op een modem/router van Telenet, daarvoor moet je een eigen router hebben met uitgebreide firewall mogelijkheden.
Firewalls zijn stateful en regels hebben enkel betrekking op de “client to server” flow.
Security regels, maar ook NAT regels zoals port forwarding rules hebben geen effect op terugkomend verkeer, in uw geval op return traffic voor IKE traffic geïnitieerd vanop je interne clients.
Je zal dus IKE uitgaand moeten blokkeren. Zoals je nu dus doet met je ASUS router.
Een optie is dan om, zoals @igvferaangeeft, je modem om te ruilen naar een CV8560E router. Die ondersteunt MAC bridging zodat je ASUS router een publiek IP van Telenet kan ontvangen (zo vermijdt je dubbele NAT voor ipv4).
En inderdaad, als je een digicorder hebt, mag die niet achter je eigen router staan, maar IP-gewijs rechtstreeks achter de modem. Via een rechtstreekse kabel of via VLAN’s.
Steven-E | 
