- NL
|
41178
netweters
|
17753
gesprekken
|
|
19181
vragen
|
Onderwerpen die langer dan 6 maanden geen reactie krijgen, worden afgesloten. Heb je dezelfde vraag of wil je er toch meer informatie over?
Start dan een nieuw onderwerp op De Netweters. Hoe je dit kan doen, vind je hier
Opgelet! Denk eraan dat er in oude onderwerpen informatie kan staan die niet meer up to date is.
Het lukt mij niet om port forwarding aan de praat te krijgen via mijn Unifi USG. De USG zelf staat in de DMZ op Mijn Telenet. De forwarding is van een publieke poort naar een Docker container op het macvlan netwerk op mijn Synology NAS, wat een fixed intern IP heeft.
Lokaal kan ik perfect aan de poort aan, maar via mijn extern IP niet. Het lijkt me niet aan het hele macvlan gebeuren te liggen aangezien dat op LAN flawless werkt.
TL;DR
INTERNET --> TELENET PUBLIEK IP --> DMZ --> UNIFI USG --> SYNOLOGY NAS --> MACVLAN NETWERK --> DOCKER
IP configuratie van lokale IPs:
- Telenet LAN: 192.168.5.0/24
- DMZ: 192.168.5.10 (Unifi USG WAN 1)
- LAN: 192.168.10.0/24 (Unifi USG LAN 1)
- USG: 192.168.10.1
- macvlan net: 192.168.10.40/29
- Docker container fixed IP: 192.168.10.44
Via alle apparaten binnen LAN kan ik in 2 richtingen communiceren met de container.
Ping vanop USG naar de container werkt.
Zelf geen firewall rules aangemaakt, staat nog op default en de USG heeft er zelf eentje toegevoegd voor de port forwarding rule.
Ignace (igvfer) |
Ik begrijp je subnetting logica niet helemaal.
Je hebt op de USG LAN het subnet 192.168.10.0 / 24
Waar bevindt zich juist het macvlan net 192.168.10.40 / 29 ?
Wanneer een host binnen dat subnet ook het /29 subnet mask gebruikt zal deze alleen de IP adressen 192.168.10.41 t/m 192.168.10.46 direct kan aanspreken.
Het adres 192.168.10.1 valt buiten dit subnet en zal dan niet bereikbaar zijn.
Het is onbevolen om binnen een subnet overal hetzelfde subnetmask te gebruiken.
192.168.10.44 /29 zal namelijk een router nodig hebben om 192.168.10.1 te kunnen bereiken.
192.168.10.1 /24 zal echter denken het adres 192.168.10.44 rechtstreeks te kunnen bereiken.
Arnie |
Okay, duidelijk ivm macvlan: /29 slaat dus op de netwerk definitie, niet op het gebruikte netmask. Dat is dan in orde.
De port-forwarding van de USG kun je het beste eerst uit testen door eens vanaf het Telenet LAN netwerk te proberen de docker host te contacteren. Dus één keer port-forwarding in het traject, enkel de USG.
Heb je een PC of laptop die je eens aan het 192.168.5.0/24 netwerk kunt koppelen?
Vanaf daar zou je dus via 192.168.5.10:443 een verbinding moeten kunnen maken naar 192.168.10.44:8123 volgens je configuratie.
Heb je wellicht port en forward port per ongeluk ongewisseld?
Eenmaal dat dit werkt kun je en stapje verder gaan en de portforwarding via de Telenet HGW testen.
Ah, OK. Inderdaad als je USG direct vanaf het internet bereikbaar is, zonder port-forwarding regels is dat een teken dat DMZ effectied werkt.
Vreemd, je kunt dus vanaf het internet je USG bereiken voor VPN, omdat de USG ingesteld is als DMZ-host in mijn telenet.
Je kunt ook vanaf het telenet LAN via 192.168.5.10:443 je internet docker applicatie aanspreken die luistert op 192.168.10.44:8123.
Het volledige trajekt in één keer werkt echter niet, dus:
<publiek-ip-addr>:443 => 192.168.5.10:443 => 192.168.10.44:8123
Correct?
Kan het iets basic zijn dat de docker geen default route heeft? Kun je vanuit de docker host het internet bereiken (bijvoorbeeld ping vanaf docker)?
Of heb je een firewall in de docker (iptables) die traffic beperkt tot 192.168.0.0/24 of zoiets?
Het is namelijk vreemd dat je ziet dat het verkeer wel toekomt, maar er geen antwoord op volgt.
