Sticky

Portforwarding, Virtual servers, een NAS en Webserver: allemaal 1 pot NAT. ?

  • 27 december 2011
  • 6 reacties
  • 23802 x bekeken


Vb UDP Packet



"één pot NAT"


Een mooie uitspraak om dit topic mee te openen!
NAT (Network address translation) Zorgt er voor dat je in huis zo'n 253 apparaten kan aansluiten op het internet.
Mocht je meer interesse hebben naar uitleg waarom het er 253 zijn, dan kun je google'n op IP Subnet

Waar ik op doel in dit topic zijn basis stappen voor het gebruik van Porforwardig (NAT - Virtual servers) icm een NAS, Dreambox of noem het maar op.

Veel routers en modems uit de doos hebben een DHCP optie.
Via deze weg krijgt elk apparaat in huis een IP adres toegewezen, als je het modem van tele2 gebruikt begint dit meestal oplopend vanaf 192.168.1.6.
De IP adressen worden door het modem uitgedeeld als zijnde een postbode zodat hij weet wie waar zit, maar wel 1 met een korte termijn geheugen, IP adressen worden namelijk voor 24 uur uitgedeeld, de aangesloten apparaten moeten ook weer tijdig aangeven dat ze er nog zijn, zie het als een melding dat je niet verhuisd bent maar nog steeds op dezelfde plek woont.

Maar voor een NAS of Webserver kan dat niet handig zijn!

Stel je hebt morgen een stroom storing of je geeft je modem een reset..
Dan gaat de teller weer vanaf 192.168.1.6 IP adresen uitgeven voor het eerste apparaat dat zich aanmeld!
En zo kun je alles weer opnieuw instellen kwa poorten en virtual server ip's.

Om dit te voorkomen kies je voor een vast (static) IP!

Voor elke apperaat wat van belang is in je huis kies je een uniek vast IP
Begin ergens rond de 192.168.1.200 (max 253)

Vb. settings voor je Server, NAS enz.

Type: Static IP
IP: 192.168.1.200
Subnet: 255.255.255.0
Gateway: 192.168.1.1
DNS: 62.58.50.20 / 208.67.220.220
(ja, het 2e DNS adres is geen tele2 DNS 😃 )

Afhanlijk wat je wil bereiken van binnen naar buiten of vice versa heb je bepaalde UDP/TCP porten nodig.
Vaak staan deze omschreven in de handleiding van je NAS, Cloud enz enz.
Of kun je deze in de admin pagina / GUI aanpassen van je Internet apparaat.
Als je de mogelijkhheid hebt om deze aantepassen kan ik dat zeker aanmoedigen.
Ik neem als voorbeeld RDP (Remote Desktop Protocol) Port 3389 zeer geliefd bij hackers.
Ergens tussen de 49152 & 65535 UDP & TCP wordt gezien als prive range en mag je vrij gebruik van maken!

Voor een overzicht van alle porten zie wiki

Vervolgens open je je browser en ga je naar 192.168.1.1

(gebruikersnaam en ww zijn user / user)


Onder Advanced setup -- NAT -- Virtual server kun je je eigen UDP en TCP porten toevoegen die nodig zijn.
Muis klik op Custom server en daarbij een naam van de dienst.
Bij Server IP Adres het Static IP adres wat je hebt gekozen voor je ...

Zie portfoward.com voor de meest gebruikelijke porten en instellingen met als vb de Davolink!



Save/Apply en je bent klaar voor extern en/of Open NAT gebruik

Waarvoor gebruik jij Portforwarding?


Dit topic is gesloten. Maak een nieuw topic aan als je een vraag hebt.

6 reacties

[align=center]http://img62.imageshack.us/img62/2998/ihminentuxinthearmy2101.png[/align]
[align=center][size=1]"één pot NAT" ? Deel II Testen[/size][/align]

Stel het werkt nog niet na de stappen hierboven!
De eerste vraag die je je zelf kunt stellen, zijn mijn test methodes wel goed?

-Probeer in overleg met je buren via hun Wifi.
-Bezoek een McDonalds of Starbucks met je laptop.
-Gebruik internet via je telefoon.
-Een netwerk van je werkgever kan soms wat lastig zijn gezien de veiligheid.
-Probeer een online port scanner om te kijken als je wel reactie krijgt?
-Evt. www.surfert.nl proberen als het om port 80 gaat.

[size=1]Nog geen verbinding:s[/size]

Dan is het tijd om over te gaan op DMZ (DeMilitarized Zone) als test!
Nu hoor ik je denken waarom doen we dat niet gelijk!:D

1- DMZ staat gelijk aan geen firewall en vormt dus een risico
2- Je kunt DMZ maar 1 keer gebruiken.
3- Heel lang verhaal met onder andere QOS en Port mapping.

Voor je DMZ toepast op je File server, NAS en/of IPCam.
Verwijder dan eerst alle porten onder Virtual servers die naar je static IP verwijzen.
Onder Advanced setup -- NAT -- DMZ Host kun je dan vervolgens het vaste IP invoeren.
Mijn eigen tip zal zijn geef het modem een reset doormiddel van het stroom er af te halen voor 10 sec. (niet verplicht)
En test weer geheel opniew met de stappen die hier boven staan omschreven.

Werkt het nu wel ligt de oorzaak vaak in het retour protocol.

Voorbeeld1: je bezoekt http://thuis (port 80) maar hij wil op een veilige manier terug via https:// (port 443)
in dat geval moet je dan ook 443 instellen naar je vaste IP op je modem.

Voorbeeld 2: FTP is normaal gesproken 20 en 21 echter als er meer beveiliging bij komt is het SFTP en komt er in enkele gevallen port 22 er ook bij.

[size=1]Werkt het nog steeds niet:huh:[/size]

Google of gebruik de zoek functie op fora's als mensen met het zelfde apparaat ook problemen ervaren.

Voel je vrij om hier onder Tips and Trics toe te voegen.
Op of aanmerkingen natuurlijk ook.

Heel veel succes!
Mvg APeltje

Heb je na alle stappen nog hinder met je eigen IPCam / File server / NAS / Open NAT / Cardshare / SSH / Telnet / FTP enz enz.
Open a.u.b je eigen Topic met een duidelijk omschrijving wat je zelf al hebt ondernomen en welke porten je gebruikt!


[size=1]Tip voor advanced zoeken naar UDP en TCP problemen google eens op Wireshark en Man-in-the-middle.

HAK Hlv & HAKIT verlenen geen enkele verantwoordelijkheden en/of garantie's aan dit topic.
De risico's die verbonden zijn aan het gebruik van DMZ en portforwarding zijn geheel voor eigen risico.[/size]
[align=center]http://img859.imageshack.us/img859/2229/tux2.png[/align]
[align=center][size=1]"één pot NAT" ? Deel III DMZ[/size][/align]

Alles over Internet & Bellen
Vraag het de virtuele Assistent van Tele2

Tele2 zegt:Welkom bij de Klantenservice van Tele2. Waarmee kan ik je van dienst zijn?
Jij zegt:Ik wil graag gebruik maken van DMZ!
Tele2 zegt:Ik heb je niet begrepen. Waarmee kan ik je van dienst zijn?
Jij zegt:Demilitarized Zone op de davolink en/of comtrend
Tele2 zegt:Dat begreep ik even niet. Waarmee kan ik je van dienst zijn?
Jij zegt:Portforwarding / Virtual servers misschien?
Tele2 zegt:Sorry, het is me niet duidelijk. Wil je daarom contact opnemen met de klantenservice?
Jij zegt:Neen geen klantenservice maar kunt u mij doorverbinden naar Danielle?
Tele2 zegt:Tele2 Niet jij weer appeltje!
Jij zegt: Het is APeltje!


[align=center]http://img12.imageshack.us/img12/7929/topug.png[/align]

Even alle gekheid op een stokje!
Zo als ik al aangaf in deel II kan DMZ risico''s met zich meebrengen.
Nu zijn er wel een aantal situatie's waarbij ik DMZ kan adviseren.:rolleyes:

1- Eigen router achter het modem (Davolink en/of Comtrend)
2- Meer dan 20 UDP & TCP porten nodig naar verschilende IP´s
3- Zelf in het bezit van een Firewall


Punt 1 is vrij simpel.
Er gaat vanaf je Davolink/Comtrend een UTP kabel van LAN3 of 4 naar je eigen router.
Ook hier adviseer ik wederom een Static IP te gebruiken zo als hier boven omschreven.
Deze static IP voer je vervolgens weer in op de Davolink onder Advanced setup -- NAT -- DMZ Host -- Save/apply
Zo kan je eigen router bepalen wat goed of slecht is ipv de Davolink en/of Comtrend.

Voor meer info over routers achter je modem zie http://forum.tele2.nl/forum-routers-switches

Punt 2 kan iets lastiger zijn.
Je mag +/-20 porten (reeksen) instellen op een Comtrend en Davolink.
Met nadruk op reeksen, als je port 80 en 81 nodig bent maak daar dan een reeks van ipv 2 keer los invoeren!

Voorbeeld:
http://img17.imageshack.us/img17/4408/udptcp.png

Als je toch op een gegeven moment geen porten meer over hebt!
Kun je bijna niks anders dan overstappen op DMZ😊
Kies dan een machiene die zelf een firewall heeft zo dat je minder risico loopt op bijvoorbeeld DDoS aanvallen.

[align=center]http://img857.imageshack.us/img857/1015/ipcopbigg.gif[/align]
Punt 3 mijn favo! een eigen Firewall.
In mijn geval is mijn firewall ook men router!
Het is je mogelijk opgevallen dat ik veel voorbeelden geef met port 80! (http & www)
Dit is eigenlijk 1 van de meest lastigste porten om me te werken en dat ligt misschien niet eens zo snel aan de port zelf.

1- Denk aan je Upstream (ADSL 80Kbps / VDSL ± 500Kbps)
2- Heb je zelf een webserver voor bezoekers? komen er meestal porten bij zoals DNS, IMAP of https enz enz.
3- Denk aan je Upstream...
4- Port 80 is zeer gevoelig voor hackers en/of DDoS
5- Had ik al gezegd `denk aan je Upstream´
6- Redelijk veel IP apparatuur luisterd naar port 80 en krijgen onderling conflicten


Vanwaar nu zo vaak upstream in dit lijstje?
Elke bezoeker op je website gaat ten koste van jouw Upstream ADSL 80Kbps / VDSL ± 500Kbps ❗
http://img718.imageshack.us/img718/2784/growthaveragewebpage.png
[align=center][size=1]The thousand dollar question[/size][/align]
[align=center]Is je Portforwarding [size=1](DMZ)[/size] voor prive gebruik of commercieel?[/align]
Als het om prive gebruik gaat is de Davolink en Comtrend ruim voldoende!
Je hebt +/-20 port reeksen en als je extern gebruik maakt van je NAS ben je toch niet thuis:D

Gaat het echter om commercieel gebruik?
Of met een paar vrienden op je eigen Gameserver zit of aan Cardshare doet is een ander verhaal!
Voor ze alle Upstream inbeslag nemen en je zelf geen ruimte meer hebt om een internet pagina op te vragen is het verstandig om over te gaan op Quality of service aka QOS Met de DMZ optie op Davolink/Comtrend.
Maar ook om scheiding te krijgen tussen prive verkeer en bezoekers.
In mijn geval heb ik gekozen voor een firewall met ingebouwde router. Hier heb je veel verschilende varianten van in veel gevallen gratis op de hardware na!

-Ipcop http://www.ipcop.org/
-Raqcop http://raqcop.com/
-Monowall http://m0n0.ch/wall/
.pfSense http://www.pfsense.org/
-Smoothwall http://www.smoothwall.org/


Hier onder een voorbeeld van scheiding tussen prive verkeer en bezoekers.
Vanuit rood (Comtrend 192.168.1.1xx) met DMZ naar Groen de firewall die verder alle Portforwarding & QOS voor zijn rekening neemt!
En vanuit daar met 192.168.3.1xx naar alles voor bezoekers van je Gameserver of NAS.
Met een maximale upload van 200Kbps in het geval van VDSL en evt. voor ADSL 50Kbps [size=1][/size]
Blauw is prive verkeer met 192.168.2.1xx adresen die ten alle tijden voorrang krijgen op Groen/bezoekers:P

http://img214.imageshack.us/img214/1635/nat1.png

Nu geeft ik als voorbeeld een Raqcop firewall!
Maar je kunt ook net zo goed een iets meer geavanceerde router plaatsen met QOS en meerdere Subnetten / VLAN´s
Hieronder 2 voorbeelden die meer kunnen dan gebruikelijk.
Er zijn zeker meerdere optie´s maar dit zijn 2 die ik zelf recentelijk heb gebruikt en die altijd goed werken voor niet al te veel geld!

Linksys WRT-54 GL met Tomato / DD-WRT / Open-WRT
TP-Link ND 1043 met DD-WRT


Ik ben happy met mijn vertouwde Raqcop die al ruim 200 dagen correct werkt! Echter staat zijn vervanger al klaar versie 2.x.x

[align=center]http://www.ipcop-forum.de/coptime/img/PSPC-01.png
[size=1]http://www.ipcop-forum.de[/size]
http://www.ipcop-forum.de/coptime/img/PSPC.png[/align]

Hopelijk heb je met deze toevoeging meer inzicht gekregen in DMZ (geavanceerd Portforwarding) en wat je er allemaal mee kunt en wat de risico´s zijn.
In deel IIII gaan we meer in op hoe je echt problemen kunt onderzoeken en hoe je daar naar kunt kijken:shy:

[align=center]http://img163.imageshack.us/img163/6445/wireshark.png[/align]
Mvg
APeltje.

[align=center][size=1]HAK Hlv & HAKIT verlenen geen enkele verantwoordelijkheden en/of garantie's aan dit topic.
De risico's die verbonden zijn aan het gebruik van DMZ en portforwarding zijn geheel voor eigen risico.[/size][/align]
[align=center]http://img546.imageshack.us/img546/5020/tux106.png
[size=1]"één pot NAT"? Deel IIII
ICMP, DPI & MITMA
[/size]
Internet Control Message Protocol, Deep Packet Inspection & Man In The Middle Attack[/align]

Ingredienten & benodigheden
- 001100010010000000110000
- Network scanner.
- LAN TAP, Hub en/of L2 Switch met monitor port.
- Wireshark (eigen voorkeur)
- Tijd en gedult met Wiki's lezen en video's kijken ;)

Welkom bij Deel 00110100
Gezien je kwa lezen bent uitgekomen op Deel 00110100 geeft aan dat je of hinder hebt Portforwarding of gewoon zeer nieuwsgierig bent naar NAT en IP. [size=1]*[/size]
Ik hoop het laaste maar anders zullen we in dit deel gaan kijken naar IP en wat er allemaal bij hangt en waar je probleem kan liggen!

Voor we heel inhoudelijk in gaan op DPI en Packet sniffers kijken we eerst nog even terug op Deel 00110010.
Hierin staan een aantal test methodes die hier nog steeds van toepassing zijn!
Met name www.hackerwatch.org/probe/ of www.t1shopper.com/tools/port-scan/

http://img210.imageshack.us/img210/518/t1scan.gif

Met de 3 onderstaande tools kun je intern kijken als IP apparatuur wel reageerd. En naar welke Porten zij luisteren.
Bij elk programma staat een download link en handleiding.
Voor meer uitleg over deze programma's kan ik adviseren hun eigen handleidingen te raadplegen!

[align=center]Netscan
Download: http://www.softperfect.com/products/networkscanner
Handleiding: www.softperfect.com/products/networkscanner/manual
http://www.softperfect.com/products/networkscanner/manual/main.png

NMAP
Download: http://nmap.org/
Handleiding: http://nmap.org/book/man.html
http://img17.imageshack.us/img17/1156/nmapb.png

Anti (Android)
Download: www.zimperium.com/anti.html
Handleiding: www.androidpolice.com/2011/10/03/zimperium-finally-releases-anti-for-android-allows-you-to-use-penetration-testing-tools-on-the-go
http://img403.imageshack.us/img403/3825/antidevicemenu.png[/align]

Staat je NAS, FTP of Dreambox tijdens het testen er niet tussen loop dan de volgende punten bijlangs.
- Firewall / administrator settings op je test PC.
- Is je IP apparaat direct verbonden aan de Davolink of Comtrend?
- Juiste Straight CAT5 UTP bekabeling.
- Instellingen? (denk aan Static IP, Gateway & Subnet settings)
- Probeer een vaste snelheid in te stellen tussen router en IP apparaat (tijdens testen evt 10Mbit Full-Duplex ipv 100Mbit)
- Porten correct enabeld/ingesteld mbt UDP & TCP.
- Controleer MTU settings meestal 1500
- IP aparaat reageerd niet op PING / ICMP oorzaak is DOS wat in veel gevallen ook uitgeschakeld kan worden. (Denial Of Service)

Met de test methodes uit Deel 00110010 en de Network scanner's hebben we al aardig wat onderzocht op een goed niveau!
Alleen werkt tot op heden je Portforwarding of DMZ nog niet dan is het tijd voor Deep Packet Inspection in het kort DPI!
[align=center]http://img6.imageshack.us/img6/9817/tux165.png
[size=1]Wireshark & DPI[/size][/align]

Voor we aan het laaste gedeelte beginnen dien je een keuze te maken in gereedschap.
Welke van de 3 je kiest maakt niet heel veel uit. Het is wel zo dat je met een LAN TAP makelijker kan kijken naar inkomend of uitgaand verkeer!
Kosten voor dergelijk gereedschap hoeven niet heel erg duur te zijn hierbij een aantal voorbeelden.

LAN TAP Versie 1 voor +/- 14,95 ex verzd. kosten
LINKS: http://greatscottgadgets.com/throwingstar / http://hakshop.myshopify.com/collections/frontpage/products/throwing-star-lan-tap
Hieronder een video hoe je zo iets in elkaar kunt zetten.
[align=center][/align]

LAN TAP versie 2
Kosten: +/- ?10,-
LINKS: www.ossmann.com/5-in-1.html
http://img205.imageshack.us/img205/4397/throwingstar320.jpg

HUB
Kosten +/- ?10,-
Voorbeeld: Marktplaats rommelmarkt, buurman of kennis.
http://www.pc-freak.nl/Plaatjes/hubanim.gif

L2 Switch met Monitor port.
Kosten: +/-?80,-
Voorbeeld: http://tweakers.net/pricewatch/290344/tp-link-8-port-gigabit-l2-lite-managed-switch-with-1-sfp-slot-tl-sg3109.html#tab:info

Nu je een keuze hebt gemaakt in gereedschap is het tijd voor Software.
Ik zelf gebruik Wireshark maar er zijn zeker meerdere vissen in de zee zo als

- www.nirsoft.net/utils/smsniff.html
- www.secdev.org/projects/scapy
- www.backtrack-linux.org/
- www.netresec.com/?page=NetworkMiner


Nu is het punt aangebroken om heel veel Wiki's te lezen en video's te kijken.
Het is namelijk niet mijn bedoeling om het wiel opnieuw uittevinden terwijl er op internet veel mensen tijd hebben geinversteerd in handleidingen!
Met de onderstaande links & video's kun je zelf leren hoe je naar je IP verkeer kan kijken en als het verkeer evt wel goed je huis binnen komt en natuurlijk bij het gewenste IP apparaat dmv. Man in the middle!

[align=center]
Wireshark download - www.wireshark.org/download.html
Handleiding - http://wiki.wireshark.org/
http://img696.imageshack.us/img696/3564/wiresharkdissector.png

Hoe plaast ik mijn LAN TAP of HUB in mijn netwerk en hoe wil ik daar naar kijken
http://wiki.wireshark.org/CaptureSetup/Ethernet

Korte uitleg over hoe wireshark werkt door Portforward.com
http://portforward.com/networking/ethereal.htm

Een vriendelijke dame van www.wiresharku.com met uitleg over Wireshark
HAK5 met uitleg hoe je kunt filteren.
Part 1 of 3 How Wireshark works
Part 2 of 3 How Wireshark works
Part 3 of 3 How Wireshark works
Packet Analyzer with L2 Switch
Packet sniffing[/align]
[align=center]http://img854.imageshack.us/img854/8868/tux264.png
[size=1]Conclusie & Slot[/size][/align]

Hopelijk heb je veel kennis opgedaan over hoe je naar IP kunt kijken icm Wireshark.
En als het verkeer op een bepaalde UDP of TCP port wel binnen komt of weer terug naar buiten gaat!
Zie je zowel inkomend als uitgaand correct verlopen in je DPI kun je het trace bestand overhandigen aan bv. Je NAS leverancier of Internet provider zo dat er verder onderzoek naar gedaan kan worden waarom het niet werkt!

[align=center]http://img7.imageshack.us/img7/9205/tuxrowsml.png[/align]

Met dit deel komen we aan het einde van één pot NAT?
Ik begrijp zeer goed dat Deel 00110100 best geavanceerd is maar je zult zien dat als je eigen apparatuur correct werkt icm deel 00110001 je eingelijk al klaar bent met Portforwarding.
Was dat niet het geval heb je Deel 00110010 Wat meer een opstapje was mbt tot testen evt met gebruik van DMZ.
Deel 00110011 was gericht op wat er allemaal mogelijk is achter DMZ of als meer dan gebruiklijk veel UDP of TCP porten nodig bent.
Hopelijk heeft dit topic je een oplossing geboden of meer inzicht gegeven in de wereld van NAT.
In iedergeval bedankt voor je aandacht.

Voel je vrij om hieronder tips and tricks toe te voegen.
Vragen en opmerkingen natuurlijk ook!

Mvg
APeltje

[align=center]Heb je na alle stappen nog hinder met je eigen IPCam / File server / NAS / Open NAT / Cardshare / SSH / Telnet / FTP enz enz.
Open a.u.b je eigen Topic met een duidelijk omschrijving wat je zelf al hebt ondernomen en welke porten je gebruikt evt. met Wireshark DPI!


[size=1]There are 10 types of people in the world: Those who understand binary, and those who don't.
* IP For DumDums
www.wiresharktips.com/ / www.wireshark.org/docs/


HAK Hlv & HAKIT verlenen geen enkele verantwoordelijkheden en/of garantie's aan dit topic.
De risico's die verbonden zijn aan het gebruik van DMZ en portforwarding zijn geheel voor eigen risico![/size][/align]