DMZ in plaats van Port Forwarding

  • 11 februari 2013
  • 18 reacties
  • 20294 x bekeken

Reputatie 4
Badge
Het gebruik van port forwarding kan bij de diverse modems van Tele2 behoorlijk lastig zijn. Deze modems zijn aangepaste versies van modems uit de normale handel. De aanpassingen zijn gemaakt om het modem robuuster te maken en meer geschikt voor de gebruikersgroepen waarop Tele2 zich richt. Er worden echter ook mogelijke problemen door gecreëerd. Eén daarvan is port forwarding.

In dit topic wordt beschreven hoe port forwarding geheel kan worden omzeild. Achter het Tele2-modem wordt een geheel nieuw netwerk gebouwd. Hiervoor is de aanschaf van een extra router nodig. Andere zaken zijn niet noodzakelijk.

Er zal gebruik gemaakt worden van de bestaande DMZ-optie van het modem. DMZ staat voor "demilitarized zone" en betekent dat alle beveiligingen in het bestaande modem worden uitgeschakeld. Alle informatie die vanaf de WAN-zijde binnenkomt wordt zonder enige aanpassing of beveiliging doorgestuurd naar 1 adres aan de LAN-zijde. Op dat adres zullen wij een nieuwe router aansluiten, waardoor een tweede netwerksegment ontstaat.

Voordat wij verder gaan eerst even wat waarschuwingen:
1. De beveiliging van het modem wordt volledig uitgeschakeld, dus de computers achter het modem moeten nu zelf voor een goede beveiliging zorgen
2. Het terugzetten van het modem naar de normale bedrijfsvoering kan alleen door een hard reset van het modem
3. Als je geen extra router wilt gebruiken, werkt dit alleen als er slechts 1 computer aan het modem verbonden is, ook geen decoder
4. de helpdesk van Tele2 kan je hier niet mee helpen als je problemen ondervindt.

Voorbereidingen.
Het bestaande modem helemaal "leeg" maken, want het doet straks niets anders meer dan transparant doorgeven. Alle bestaande port forwarding-opdrachten kunnen weggehaald worden. Als de extra router ook Wifi heeft, kan het Wifi-gedeelte van het Tele2-modem uitgezet worden; dat is beter omdat er anders verwarring kan ontstaan.
Het Tele2-modem kan op adres 192.168.1.1 blijven staan. Via de webinterface Advanced Setup | NAT | DMZ Host een adres van de extra router invullen. Kies hiervoor 192.168.1.2. Daarna Save en Reboot. Het modem kun je daarna niet meer benaderen via de webinterface, dus als je bijvoorbeeld toch weer Wifi aan wilt zetten, moet je eerst een hard reset geven en weer helemaal  opnieuw beginnen.
Dan de voorbereidingen van de router. Sluit deze aan op je PC en geef de WAN-zijde zijn adres 192.168.1.2. Aan de LAN-kant moet je een nieuw netwerksegment maken. Kies hiervoor 192.168.2.0. Dan moet je de DHCP-server en de DNS-server instellen. DHCP moet adressen uitgeven in de range vanaf bijvoorbeeld 192.168.2.25. Voor DNS kun je meestal 2 adressen invullen. Kies hiervoor een intern adres en een extern adres, bijvoorbeeld 192.168.1.2 en 8.8.8.8 (Google DNS). Stel Wifi in met SSID, wachtwoord en kanaal.

Aansluiten.
Het Tele2-modem via een UTP-kabel verbinden met de WAN-zijde van de nieuwe router. De andere LAN-uitgangen van het modem kunnen niet meer gebruikt worden voor dataverkeer. Ik heb hier geen decoder dus ik heb niet kunnen testen of / hoe het zou werken met een tv-decoder.
Alle bestaande computers kunnen via de LAN-aansluitingen van de nieuwe router, of via Wifi worden aangesloten. Zij krijgen adressen in de range 192.168.2.nnn van de router-DHCP en zij kunnen onderling communiceren.
En dan zou het moeten werken ... ...

Geschikte routers.
Ieder merk heeft vergelijkbare routers in de aanbieding. Wij hebben hier op het forum vaak de Sitecom 300N Wifi-router voorbij zien komen. Die is zeker geschikt, maar het is slechts een voorbeeld.

Even opletten.
Zoals gezegd is de beveiliging van het modem volledig uitgeschakeld. Iedere computer die is aangesloten op de nieuwe router staat dus in direct contact met de boze buitenwereld. Nu zijn er routers met een ingebouwde firewall. Dat is een voordeel, maar kan meteen ook weer een nadeel zijn om dezelfde reden waarom het Tele2-modem soms kuren vertoont. Dit is gewoon een kwestie van je eigen weg zoeken. Je kunt daarbij niet op Tele2 terugvallen, maar het voordeel is dat je hier tenminste zelf zaken kunt instellen.
Wij hebben hiermee port forwarding volledig omzeild. Dat wil nog niet zeggen dat iedere verbinding naar buiten toe meteen vlekkeloos verloopt. De computer moet nu de verbinding zelf opbouwen en instand houden. Ook daarvoor kun je geen beroep op de helpdesk doen.

Als het werkt ...
... dan heb je een schitterende oplossing waarbij je het eenvoudige Tele2-modem alleen gebruikt waar het heel goed in is, namelijk voor basiscommunicatie. Daarnaast heb je een geavanceerd netwerk met hoogstwaarschijnlijk Gigabit-snelheden (niet naar buiten, dat blijft ADSL-snelheid) en meer mogelijkheden om zaken in te stellen. Ook met meer mogelijkheden voor fouten ... ...

Als het niet werkt ...
... dan heb je nog altijd dit forum om op terug te vallen.

In elk geval veel succes gewenst!

Groet, Roel

Dit topic is gesloten. Maak een nieuw topic aan als je een vraag hebt.

18 reacties

De oplossing via DMZheb ik in dit forum ook diverse malen aangedragen aan diverse topicstarters met dit soort vragen.
Zelf ben ik nu bij UPC en hun modem heeft de mogelijkheid van de "bridge-stand" zodat ik de DMZ-mogelijkheid niet meer nodig heb en heb via de bridgestand een dualband cisco-router gehangen, waarbij ik de 5ghz-band gebruik voor de computers en TV en de 2.4ghz-band voor de printers en de smartphones.
Reputatie 4
Badge
Hartelijk dank voor het meedenken. Ik zat in 2 topics tegelijk met dit probleem en dacht: Laat ik het maar eens 1 keer opschrijven, dat scheelt in elk geval. Uiteraard is dit eerder opgebracht, het is ook niets bijzonders. Ik had niet naar oude topics gezocht, gewoon omdat ik het op mijn eigen manier wilde opschrijven. Dit soort zaken is een bron van verwarring als je de zaken niet bij de naam noemt. Misschien niet voor anderen, maar bij mij werkt het zo. Dus ik vind hier geen buskruit uit, het is gewoon standaard en ik bericht erover op mijn manier.

Het probleem van DV2020 is natuurlijk dat je het niet kunt bridgen. DMZ is dan een soort paardenmiddel om hetzelfde te bereiken. Of dat gaat lukken is voor mij nog helemaal niet zeker. Het modem schijnt fors gemodificeerd te zijn en sommige poorten (Telnet 25 bijvoorbeeld) lijken hardwarematig dicht gegooid te zijn.

Wel vreemd dat port forwarding zo slecht werkt. Ik snap het probleem wel ongeveer, maar dat zou toch eigenlijk niet mogen gebeuren. Heb jij niet een advies om het toch goed te laten werken? En heb jij ervaring met de problemen die je met DMZ op dit modem kan tegenkomen? Dat zou enorm helpen.

Mooie oplossing met je dualband Cisco, trouwens. Zou op zich ook achter DMZ kunnen werken.

Groet, Roel
Ik heb ooit eens een NAS gehad en werkte binnen het netwerk perfect en wilde nooit toegang geven vanaf de WAN-zijde omdat het standaardmodem van tele2 inderdaad bepaalde hardwarematige restricties heeft ingebouwd die niet te omzeilen waren en heb het toen maar opgegeven.
Of een nas werkt op een router die via dmz achter het standaard modem is gezet heb ik geen ervaring mee, maar zou theoretisch wel moeten werken.
Reputatie 4
Badge
Dat zeg je goed: Het zou theoretisch moeten werken. Maar in de praktijk is dat lang niet altijd zo, naar het schijnt. Volgens mij komt dat omdat bepaalde poorten hardwarematig dichtgekit zijn. Met DMZ denk je dat je alles doorstuurt naar een lanadres achter het modem, maar wat niet kan binnenkomen kan ook niet doorgestuurd worden. Vreemd modem.

Groet, Roel
Ik heb uiteindelijk dezelfde oplossing gekozen voor mijn netwerk, met dat verschil dat ik mijn eigen server/PC heb ingericht als router/wifi-accesspoint ipv. een kant-en-klare router.

Het belangrijkste wat niet werkt is dat ik mijn eigen server niet kan benaderen: Als ik een website wil bekijken die draait op mijn eigen server dan zie ik de inlogpagina van de modem ipv. de website. Vanaf een andere internetaansluiting wordt wel de website getoond en werken andere services zoals SSH ook.
In zo'n geval is het client-IP nummer hetzelfde als het server-IP-nummer en dat wordt dus automatisch door tele2 omgeleid.

Ik ben tot nu toe geen poorten tegengekomen die geblokkeerd worden. Nou ja, behalve dan voor mail, want je kunt alleen mail versturen via de SMTP-server van tele2.
Reputatie 3
Badge +6
Hoi forumleden,

Fijn om te zien dat jullie de expertise met elkaar delen! Dit is één van de doelen waar dit forum voor is bedoeld en het is goed om te lezen dat jullie met elkaar meedenken.

Groetjes,

Romy
In mijn Davolink kan ik met geen mogelijkheid het adres van een nieuwe router in NAT-DMZ op 192.168.1.2 zetten. Het verdwijnt telkens. Als je ipv 1.2.  2.1 invult lukt dat wel. Maar dan is de rest van het verhaal weer onduidelijk. De homepage   van de modem blijft bij mij ook gewoon toegankelijk. Ook kun je DHCP niet uitzetten op de Davolink.
Dat klopt dat dat niet lukt, de eerste 5 adressen zijn expliciet gereserveerd voor internet en tv-decoders, zie handleiding.
Als je een ip-adres wilt toewijzen via dmz begin dan met 192.168.1.10 of hoger
DHCP kun je inderdaad niet uitzetten, zie ook weer de handleiding.
Het is verstandig de DHCP in de aangekoppelde router uit te zetten.
Ik heb uiteindelijk dezelfde oplossing gekozen voor mijn netwerk, met dat verschil dat ik mijn eigen server/PC heb ingericht als router/wifi-accesspoint ipv. een kant-en-klare router.

Het belangrijkste wat niet werkt is dat ik mijn eigen server niet kan benaderen: Als ik een website wil bekijken die draait op mijn eigen server dan zie ik de inlogpagina van de modem ipv. de website. Vanaf een andere internetaansluiting wordt wel de website getoond en werken andere services zoals SSH ook.
In zo'n geval is het client-IP nummer hetzelfde als het server-IP-nummer en dat wordt dus automatisch door tele2 omgeleid.

Ik ben tot nu toe geen poorten tegengekomen die geblokkeerd worden. Nou ja, behalve dan voor mail, want je kunt alleen mail versturen via de SMTP-server van tele2.

Binnen je eigen net werk kun je nooit via het wan-adres je eigen server benaderen, dan krijg je inderdaad toegang tot hetmodem. Dat kan alleen van buitenaf, via de buren of via je werk o.i.d.
Ik heb de tele2 modem het IP 10.0.0.1 gegeven. Mijn eigen router heeft aan de zijde van de modem het IP 10.0.0.20 en aan de LAN zijde 192.168.1.20

De DHCP van het modem kon ik idd. niet uitzetten, maar de computers in mijn LAN zien die DHCP van het modem helemaal niet omdat ze op een heel ander subnet zitten (192.168.1.x)
Mijn eigen router heeft dus ook DHCP aan staan: De modem verzorgt het subnet 10.0.0.x en mijn eigen router 192.168.1.x.

In het veld DMZ-host van het modem staat dus 10.0.0.20
Ik heb uiteindelijk dezelfde oplossing gekozen voor mijn netwerk, met dat verschil dat ik mijn eigen server/PC heb ingericht als router/wifi-accesspoint ipv. een kant-en-klare router.

Het belangrijkste wat niet werkt is dat ik mijn eigen server niet kan benaderen: Als ik een website wil bekijken die draait op mijn eigen server dan zie ik de inlogpagina van de modem ipv. de website. Vanaf een andere internetaansluiting wordt wel de website getoond en werken andere services zoals SSH ook.
In zo'n geval is het client-IP nummer hetzelfde als het server-IP-nummer en dat wordt dus automatisch door tele2 omgeleid.

Ik ben tot nu toe geen poorten tegengekomen die geblokkeerd worden. Nou ja, behalve dan voor mail, want je kunt alleen mail versturen via de SMTP-server van tele2.

Binnen je eigen net werk kun je nooit via het wan-adres je eigen server benaderen, dan krijg je inderdaad toegang tot hetmodem. Dat kan alleen van buitenaf, via de buren of via je werk o.i.d.

Dat is idd. nog mijn probleem; Bij XS4all kon dat wel.

Voorlopig behelp ik me maar met met een proxy om dingetjes te testen: Surfert.nl - D? Proxy voor op school! leek me wel betrouwbaar.
En 2 huizen verderop zit een MyCom-winkel met gratis WiFi. :)

Apache (de webserver)  heb ik ingesteld dat ie elke virtuele website 2x definieert: een keer met het externe IP-adres en een keer met het interne LAN ip-adres.
Ik heb al een paar keer gehad dat de DMZ instellingen door het modem automatisch gewist wordt waardoor mijn server weer onbereikbaar was.
DMZ-instellingen worden nooit automatisch door een modem gewist.
Dan heb je het niet goed opgeslagen of er gebeurt een reset van het modem,
waardoor deze weer terugvalt in de default-instellingen.
Goedemiddag,
Ik heb gisteren een DAVOLINK DV-2000 modem ontvangen en ik wil gebruik maken van DMZ.
Nadat ik de instellingen heb doorgevoerd zoals ze beschreven zijn ben ik niet overtuigd dat e.e.a. goed staat.M
Met name daar ik nog steeds via de webinterface op adres 192.168.1.1. in kan loggen.
In de beschrijving staat dat dit niet meer mogelijk is.
(in ieder geval werkt ip-adres 192.168.1.2 niet. Dan wordt de rubriek weer leeg gemaakt) Daarom maar 192.168.2.10 ingevuld

Ook heb ik het probleen dat ik op mijn WAN-zijde van de achterliggende Sitecon WL-351 geen IP-adres kan toevoegen.
Dit kan ik alleen aan de lan-zijde.

Kan iemand me zeggen of ik iets fout doe en of ik kan controleren of de Davolink in DMZ-mode staat?

Alvast bedankt voor de reactie.
WOW dat ik daar zelf niet aan gedacht heb.... thx! Alle ellende opgelost
Het vervelende is dat je alsnog te maken hebt met de vervelende NAT engine van de Davolink.
Nadat het forwarden van losse porten niet lukte heb ik de methode uit dit topic geprobeerd. Het werkt nog steeds niet.

Het subnetwerk dat ik heb ingesteld doet het prima, al kan ik nog steeds het modem bezoeken op 192.168.1.1. Verder wordt er geen enkele port geforward naar het router achter het modem. Als ik mijn eigen IP bezoek op port 80, dan krijg een prompt om in te loggen op het modem. Toen ik porten forwarde via virtual hosts had ik precies hetzelfde probleem.

Ik heb het modem gereset naar fabrieksinstellingen en opnieuw geprobeerd, zonder resultaat.

Ik heb het gevoel dat ik alles goed heb ingesteld, mede omdat je niet zoveel fout kunt instellen. Is het mogelijk dat het modem zelf stuk is? Ik heb een Comtrend modem op een 50 mbit abonnement.

EDIT: Zo te zien ben ik in dezelfde valkuil getrapt als enkelen voor mij: de forwarding is in orde, het is alleen niet te merken wanneer je je eigen netwerk probeert te bereiken vanuit dat netwerk zelf. Bij mijn vorige provider had ik daar geen last van, vandaard de verwarring.

Moraal van het verhaal: test je instellingen uit via bijvoorbeeld een proxy, vpn, of je mobiele data-abonnement.

Het bestaande modem helemaal "leeg" maken, want het doet straks niets anders meer dan transparant doorgeven. Alle bestaande port forwarding-opdrachten kunnen weggehaald worden. Als de extra router ook Wifi heeft, kan het Wifi-gedeelte van het Tele2-modem uitgezet worden; dat is beter omdat er anders verwarring kan ontstaan.
Het Tele2-modem kan op adres 192.168.1.1 blijven staan. Via de webinterface Advanced Setup | NAT | DMZ Host een adres van de extra router invullen. Kies hiervoor 192.168.1.2. Daarna Save en Reboot. Het modem kun je daarna niet meer benaderen via de webinterface, dus als je bijvoorbeeld toch weer Wifi aan wilt zetten, moet je eerst een hard reset geven en weer helemaal  opnieuw beginnen.
Dan de voorbereidingen van de router. Sluit deze aan op je PC en geef de WAN-zijde zijn adres 192.168.1.2. Aan de LAN-kant moet je een nieuw netwerksegment maken. Kies hiervoor 192.168.2.0. Dan moet je de DHCP-server en de DNS-server instellen. DHCP moet adressen uitgeven in de range vanaf bijvoorbeeld 192.168.2.25. Voor DNS kun je meestal 2 adressen invullen. Kies hiervoor een intern adres en een extern adres, bijvoorbeeld 192.168.1.2 en 8.8.8.8 (Google DNS). Stel Wifi in met SSID, wachtwoord en kanaal.


Groet, Roel


Dit verhaal is niet waar als je een tweede router in de dmz zet de webinterface niet meer berijkbaar.
ik heb achter de router van tele 2 , nog 1 router zitten en 2 wfirouters zitten en 2 switch , ik kan perfect aan alles.
wat wel zo is je kan de wifi van tele2 modem uit zetten , en via jouw eigen wifi routers een naam geven.
wat handig is aan bv 2 wifi routers , is dat je kan kiezen welke het beste signal heeft want raar maar waar.
ik heb een wifi benedenstaan en deze heeft bv 3blokjes dus redelijk goed , maar die op zolder heeft er vier aan en toch zit ik beneden.

meedere routers gebruiken raad ik zeker niet aan beginners zelf nog niet aan gevorderde gebuikers.
maar eerder aan mensen die iets kennen van development .
want de materie is zeker niet te onderschatten en dit zijn nog maar routers:rolleyes: