Beantwoord

Portforwarding 80 en 443 op Huawei modem


Reputatie 2
Hallo allen,

Sinds deze week ben ik klant van vast internet en heb daarmee een Huawei HG659 gekregen. Hiermee wil ik port 80 en 443 forwarden naar een Debian VM. Hiervoor heb ik dit topic gebruikt: https://community.t-mobile.nl/t-mobile-thuis-internet-492/port-forwarding-op-de-huawei-hg659-283957

Echter als ik naar mijn domeinnaam ga over port 80 of 443, krijg ik de login voor de modem te zien.

Zo ver ik het zag worden deze poorten afgevangen in de modem onder de ACL. Dit had ik uitgezet, waarnaar de hele web interface niet meer bereikbaar was, zelfs niet door naar het 192.168-adres te gaan.

Mijn vraag ik als volgt:

Hoe kan ik port 80 en 443 forwarden en de buiten-bereikbaarheid van de modem uitzetten, zonder mijzelf buiten te sluiten?

Mijn setup is als volgt:

Modem Google Router Switch Debian VM
icon

Beste antwoord door RIchardA93 3 August 2018, 17:17

Bekijk origineel

16 reacties

Reputatie 7
Badge +3
Hallo,

Zoals zoveel apparaten met een vorm van webinterface, maakt men gebruik van mini webservers op het apparaat. Deze zijn dan vaak ook aan te spreken met alleen een IP, omdat de browser zelf poort 80 altijd aanspreekt en je dus niet zelf een poort mee hoeft te geven.
Eigenlijk stuurt de browser dus WEBADRES:80, maar laat die :80 niet zien aan de voorkant.

Nu kun je twee dingen doen;

  1. Je modem mini webserver omzetten naar bijv poort 81, je spreekt hem dan aan met WEBADRES_MODEM:81
  2. Je VM listen poort wijzigen op dezelfde manier (is dat een VM webserver o.i.d?), dan geef je vanuit buiten je WEBADRES_WAN:81 (note: doe geen port fwd van 81=>80 .. kom je weer uit op je modem)
Spelen met poorten om langs dit probleem te komen.
Zelf heb ik hier mijn glasvezelmodem mini webserver draaien op poort 81 ... moet nu dus wel de browser vertelen met :81 achter het webadres waar die moet roepen om gehoord te worden ... maar werkt probleemloos.
Kan nu, als ik poorten doorzet, gewoon een webserver achter de Vigor / ASUS bereiken via de standaard poort 80.

NOTE: Ben helaas geen gebruiker van het door jouw gebruikte modem, ben dus beperkt in details zoals bijv screenshots of testen. Heb hier glasvezel met de Vigor Draytek.
Reputatie 2
Beste Pieter,

Mijn ideale oplossing is om de Huawei te laten luisteren op een andere poort dan 80, of deze naar ip:80 te laten luisten ipv 0.0.0.0:80 (wat deze nu lijkt te doen), dit wil ik voornamelijk doen ivm Let's Encrypt, welke naar port 80 verbindt.

De VM in kwestie is een HaProxy server, welke luistert naar oa poort 80 en 443.

Ik kan echter de optie niet vinden om dit aan te passen.

Zoals vermeld wordt op dit topic lijkt het dat wat ik wil niet mogelijk:
https://community.t-mobile.nl/t-mobile-thuis-internet-492/port-forwarding-op-de-huawei-hg659-283957/index3.html
Reputatie 7
Badge +3
Zoals ik al aangaf, heb dit modem helaas niet zelf in gebruik en ben dus een beetje gebonden aan mijn denkwijze waarop het bij het gros van de modems wel gaat.
Nu zit er eigen FW op van T-Mobile en dat maakt het niet eenvoudiger, omdat sommige functionaliteit daardoor niet of niet goed meer werkt.

Zoals ik al aangaf werk ik hier op een glasmodem van Vodafone/T-Mobile en daar kan ik wel degelijk de mini webserver van het modem op een andere poort omzetten om dit soort conflicten te voorkomen.
Liep daar ook tegenaan toen ik de webserver naar buiten wilde leiden op de Vigor Draytek.

Merk ook uit je verhaal met de vernoemde items, dat je geen onbekende bent in networking en/of componenten daarvan.

Je zal toch denk even moeten wachten tot er iemand voorbij komt die iets meer weet of het met de FW die op de HG zit mogelijk zou zijn.
Reputatie 2
Tot zoverre heb ik succes gehad door op de Huawei een DMZ op te zetten naar mijn Google Router en deze vervolgens te forwarden naar mijn proxy VM. Echter wat grappig is, is dat dit alleen EXTERN werkt, intern werkt het niet.

Hier heb ik om heen gewerkt door in mijn DNS Cache (Pi-Hole) een extra bestand aan te maken met een custom DNS entry, nu werkt het zowel intern als extern.

Intern: Computer/Telefoon -> DNS aanvraag Pi-Hole -> Proxy
Extern: Computer/Telefoon -> Huawei modem -> DMZ naar Google Router -> Port Foward naar Proxy
Reputatie 7
Hoi @RIchardA93

Top dat het gelukt is om de Debian van buitenaf beschikbaar te krijgen. Dit vind ik een applaus waard! Dit soort materie is superlastig om te kunnen servicen, maar met jouw uitleg zijn hopelijk anderen ook geholpen.

Mag ik je vragen om dit nog toe te lichten? Zodat andere klanten met het Huawei modem ook interne apparatuur extern beschikbaar kunnen krijgen? Ik denk dan aan (beveiligings)camera's die klanten op hun mobiel kunnen streamen op het werk. Dit soort informatie is hier echt goud waard!






Reputatie 2
Hoi Sander, ik zal vanmiddag mijn oplossing toelichten in een wat uitgebreidere post.
Reputatie 2
Hoe ik dit heb opgelost:

Mijn netwerk ziet er zo uit:



Eerst heb ik in mijn modem de DMZ setting aangezet en deze laten verwijzen naar mijn Google Router



Door DMZ aan te zetten en te verwijzen naar een router, stuurt de Huawei al het verkeer door naar het aangegeven apparaat. Hierdoor wordt alles afgevangen en hoef je niet dubbel te portforwarden. Daarnaast lijken poorten 80 en 443 afgevangen te worden door de modem en met de DMZ setting kom je daar omheen.

Daarna heb ik poorten 80 en 443 in mijn Google Router geforward naar mijn HaProxy server.

Op dit moment heb ik vanaf het internet toegang tot mijn webserver, echter nog niet vanaf binnenuit. DMZ werkt alleen vanaf buiten af.

De manier waarop ik hier om heen heb kunnen werken is door op mijn DNS server (Pi-Hole) lokale DNS entries aan te geven.

Dit heb ik gedaan door via SSH in mijn DNS server te gaan en het volgende te doen:

code:
root@pihole:~# vim /etc/dnsmasq.d/02-custom.conf


code:
address=/subdomein1.mijnwebsite.nl/192.168.2.100
address=/subdomein2.mijnwebsite.nl/192.168.2.101


En dan vervolgens testen met dig:

code:
root@pihole:~# dig +short subdomein1.mijnwebsite.nl
192.168.2.100


Nu kan ik ook vanaf binnenuit mijn server benaderen, mits het apparaat waar ik deze vanaf wil benaderen de Pi-Hole server als DNS server heeft.

Hopelijk heb ik hiermee voldoende informatie kunnen leveren aan mensen die ook hiermee zitten.
Reputatie 7
Heel erg bedankt voor je uitgebreide omschrijving, RIchardA93. Van mij krijg je ook een groot applaus!
Hoe ik dit heb opgelost:

Mijn netwerk ziet er zo uit:



Eerst heb ik in mijn modem de DMZ setting aangezet en deze laten verwijzen naar mijn Google Router



Door DMZ aan te zetten en te verwijzen naar een router, stuurt de Huawei al het verkeer door naar het aangegeven apparaat. Hierdoor wordt alles afgevangen en hoef je niet dubbel te portforwarden. Daarnaast lijken poorten 80 en 443 afgevangen te worden door de modem en met de DMZ setting kom je daar omheen.

Daarna heb ik poorten 80 en 443 in mijn Google Router geforward naar mijn HaProxy server.

Op dit moment heb ik vanaf het internet toegang tot mijn webserver, echter nog niet vanaf binnenuit. DMZ werkt alleen vanaf buiten af.

De manier waarop ik hier om heen heb kunnen werken is door op mijn DNS server (Pi-Hole) lokale DNS entries aan te geven.

Dit heb ik gedaan door via SSH in mijn DNS server te gaan en het volgende te doen:

code:
root@pihole:~# vim /etc/dnsmasq.d/02-custom.conf




code:
address=/subdomein1.mijnwebsite.nl/192.168.2.100
address=/subdomein2.mijnwebsite.nl/192.168.2.101




En dan vervolgens testen met dig:

code:
root@pihole:~# dig +short subdomein1.mijnwebsite.nl
192.168.2.100




Nu kan ik ook vanaf binnenuit mijn server benaderen, mits het apparaat waar ik deze vanaf wil benaderen de Pi-Hole server als DNS server heeft.

Hopelijk heb ik hiermee voldoende informatie kunnen leveren aan mensen die ook hiermee zitten.



Hoi Richard,

Bedankt voor deze uitgebreide uitleg. Even voor mijn duidelijkheid is dit enkel mogelijk icm een eigen router. Ik wil mijn raspberry Pi icm homeassistant voor home automation gaan gebruiken. En daarbij moet ik dus poort 443 (https) naar poort 8123 laten wijzen.

8123 krijg ik wel open. Dan moet ik hem zowel intern als extern instellen en op TCP
maar 443 met geen mogelijkheid nu wil ik even zeker weten dat ik het wel goed doe.



zo is het in de uitleg gedaan let vooral op SSL (deze maakt gebruikt van een eigen router)

kan iemand helpen?
Reputatie 2
kan iemand helpen?

Hoi Chamek, sorry ik zie net je reactie pas.

Om dit voor elkaar te kunnen krijgen moet je een externe router hebben. De HG659 houdt poorten 80 en 443 vast voor zijn eigen web interface, vandaar dat ik de DMZ optie heb gebruikt om deze van buiten te kunnen benaderen. Poorten 80 en 443 is niet mogelijk. Zie hiervoor mijn schema.

Waar het op neer komt is dat je in de HG659 de DMZ feature moet gebruiken, deze laten verwijzen naar de router en die vanaf daar te port forwarden. Als je dat doet dan zou het moeten kunnen.
Net ee

kan iemand helpen?Hoi Chamek, sorry ik zie net je reactie pas.

Om dit voor elkaar te kunnen krijgen moet je een externe router hebben. De HG659 houdt poorten 80 en 443 vast voor zijn eigen web interface, vandaar dat ik de DMZ optie heb gebruikt om deze van buiten te kunnen benaderen. Poorten 80 en 443 is niet mogelijk. Zie hiervoor mijn schema.

Waar het op neer komt is dat je in de HG659 de DMZ feature moet gebruiken, deze laten verwijzen naar de router en die vanaf daar te port forwarden. Als je dat doet dan zou het moeten kunnen.



Hoi Richard,

Bedankt voor je reactie. Gisteravond heb ik besloten om een router te bestellen en deze is vanmiddag aangekomen. Direct na het werk ga ik dit instaleren en testen.

Zal het updaten zodra ik meer weet.

Bedankt!
Ik ben net overgestapt naar T-Mobile Thuis en dit is bestwel een grote tegenvaller. Dus het is niet mogelijk om een eigen webservertje te draaien zonder extra hardware aan te schaffen?

Wat ik overigens vreemd vind is dat in de interface van de HG659 bij port mapping wel gewoon de predefined opties Webserver (poort 80) en SecureWebserver (port 443) kan kiezen. Dat lijkt er op te wijzen dat het gewoon mogelijk moet zijn toch?
Reputatie 7
Hi @Generator, de poorten worden niet geblokkeerd maar zijn gereserveerd voor onze eigen diensten. Een eigen modem is inderdaad een oplossing, als alternatief kan je ook een eigen host service draaien. In dit topic vind je hier meer informatie over.
Ik had het werkend gekregen op deze manier ongeveer een maand geleden, maar het werkt niet meer en ik snap niet waarom.

Een FRITZ-router zit via een lan-kabel aan het modem en staat onder 192.168.1.200 en op deze FRITZ-router staat de poorten 80 en 443 open naar een server. Als ik binnen mijn netwerk ga naar 192.168.1.200, kom ik terecht op de standaardpagina van mijn server, dus dat lijkt te werken.

In de HUAWEI HG659 staat DMZ aan voor de FRITZ-router en verder staan er geen poorten open (wel geprobeerd, maar maakt niets uit).

Het gekke is, het heeft gewerkt, maar dat doet het nu niet meer. Enig idee wat het probleem kan zijn?

ps. mijn IP-adres is niet veranderd oid.

UDATE: een reboot van mijn modem bleek genoeg te zijn,
Reputatie 7
@dfaber een simpele herstart doet soms wonderen! 😁

Reageer