Beantwoord

Port forwarding SSH Huawai HG659

  • 6 juni 2019
  • 9 reacties
  • 395 Bekeken

Hoi ik wil allereerst even vermelden dat ik de andere topics over dit onderwerp gelezen heb maar er desondanks niet uitkom.

De situatie is als volgt. Ik heb een NAS gekoppeld aan mijn Huawai HG659 en daar zou ik graag vanaf buiten mee willen kunnen communiceren middels SSH. Het is een synology NAS en via quickconnect kan ik de web interface op. Maar ik wil dus SSH. Dat is poort 22

Als ik op m'n eigen LAN zit kan ik via het locale IP adress de NAS benaderen (ssh admin@192.168.1.104)

Ik heb port forwarding als volgt geconfigureerd



toch, als ik ssh admin@ is het antwoord steevast:

ssh: connect to host port 22: Connection timed out

Hoe nu verder?
icon

Beste antwoord door Pieter_B 10 juni 2019, 12:23

@spassvogel

Hairpinning of te wel NAT loopback is niet ondersteund door de Huawei.
Dus vanuit je eigen LAN je WAN IP gebruiken om te kijken of bijv. een server o.i.d. werkt ... dat kan bij de Huawei dus niet.

Je zal dus vanuit buiten naar binnen moeten komen en dus niet van binnen - buiten - binnen.

Nog een kleine note, maak GEEN gebruik van de default poort 22 op je NAS, dat is een recept om aangevallen te worden door hackers!
Bekijk origineel

9 reacties

Reputatie 6
Badge +11
Wat is de relatie tussen "Synology File Station" en "SSH" (en soulseek) objecten in het screenshot ?
Kun je laten zien hoe je LAN ip adres van de NAS gerelateerd is aan de poort 22?

Waarom ook UDP voor ssh?

Doe in ieder geval een power-cycle van het geheel als je dat niet al gedaan had.

Op welk netwerk zit de ssh-client? Ook op een T-Mobile netwerk kan diverse blokkades opleveren.
> Wat is de relatie tussen "Synology File Station" en "SSH" (en soulseek) objecten in het screenshot ?

Ik heb voor de zekerheid die twee entries weggehaald nu. zodat alleen de :22 port forward er nog staat.




> Waarom ook UDP voor ssh?

Ja dat is idd niet nodig maar het kon ook geen kwaad dacht ik. Heb 'm nu weer alleen op TCP gezet.

> Doe in ieder geval een power-cycle van het geheel als je dat niet al gedaan had.

Gedaan. Geen resultaat.

> Op welk netwerk zit de ssh-client? Ook op een T-Mobile netwerk kan diverse blokkades opleveren.

> Op welk netwerk zit de ssh-client? Ook op een T-Mobile netwerk kan diverse blokkades opleveren.

Ik probeer het momenteel thuis (waar de huawai staat). Op een laptop wat via wifi connected is.

Ik krijg sterk het vermoeden dat deze Huawai HG659 pertinent weigert poort 22 te forwarden..?
Reputatie 6
Badge +2
@spassvogel

Hairpinning of te wel NAT loopback is niet ondersteund door de Huawei.
Dus vanuit je eigen LAN je WAN IP gebruiken om te kijken of bijv. een server o.i.d. werkt ... dat kan bij de Huawei dus niet.

Je zal dus vanuit buiten naar binnen moeten komen en dus niet van binnen - buiten - binnen.

Nog een kleine note, maak GEEN gebruik van de default poort 22 op je NAS, dat is een recept om aangevallen te worden door hackers!
Hi Pieter_B, wow daar was ik nou nooit op gekomen. Inderdaad, vanaf buitenaf werkt het wel. Merci, super bedankt!

--

Even over je note. Is dat niet een beetje 'security through obscurity'? Ik weet niet zoveel van hackers af, maar ik kan me voorstellen dat ze gewoon een hele range poorten scannen?

En sowieso, ik heb gewoon een (sterk) wachtwoord , dus hackers zouden er niet in kunnen komen?

Ik zie idd wel een hele rits pogingen in het access log van m'n NAS.

Reputatie 6
Badge +2
@spassvogel

De meningen over mijn note zijn verdeeld bij diverse IT specs, dat weet ik.
Het is inderdaad 'security through obscurity', maar voor een thuisgebruiker wel een kleine stap om iets minder 'kloppen op de deur' te krijgen.

Het belangrijkste is, het werkt .. daar ging het om.

Hier nog een pagina met wat tips
> De meningen over mijn note zijn verdeeld bij diverse IT specs, dat weet ik.


Oh ik wilde helemaal niet impliceren dat ik een IT specialist was. Integendeel zelfs. Ik weet er geen snars van en ik waardeer de suggestie. En hoewel het misschien niet veel extra veiligheid biedt, is alles mooi meegenomen. Ik zal ff uitpuzzelen hoe dat in z'n werk gaat.


Dit is ms geen T-Mobile gerelateerde vraag, maar ik wilde 'm toch stellen. De reden dat ik SSH toegang wil is (onder andere) omdat ik git repositories wil hosten en daar van wil kunnen fetchen en pushen zowel thuis (op mijn T-Mobile netwerk dus) als onderweg.


De manier waarop dat werkt in git is je definieert een remote address waar de repository gehost is (het ssh address). Maar dat betekent dus dat als ik het thuis zou instellen via m'n locale subnet address (192.168.1.104) dat ik er vanaf buitenaf niet bijkan en vice versa. Is er een manier te vinden (ms met een hosts file ofzo?) waarop er wel sprake kan zijn van een uniform address wat zowel thuis als onderweg hetzelfde kan blijven (basically hairpinning dus)? Ik gebruik Windows 10 als dat relevant mocht zijn.
Reputatie 6
Badge +11
Dit is ms geen T-Mobile gerelateerde vraag, maar ik wilde 'm toch stellen. De reden dat ik SSH toegang wil is (onder andere) omdat ik git repositories wil hosten en daar van wil kunnen fetchen en pushen zowel thuis (op mijn T-Mobile netwerk dus) als onderweg.

De manier waarop dat werkt in git is je definieert een remote address waar de repository gehost is (het ssh address). Maar dat betekent dus dat als ik het thuis zou instellen via m'n locale subnet address (192.168.1.104) dat ik er vanaf buitenaf niet bijkan en vice versa. Is er een manier te vinden (ms met een hosts file ofzo?) waarop er wel sprake kan zijn van een uniform address wat zowel thuis als onderweg hetzelfde kan blijven (basically hairpinning dus)? Ik gebruik Windows 10 als dat relevant mocht zijn.

Via de hosts file is geen oplossing.
Als je onderweg je thuis benadert via een FQDN hostnaam, die je via een DDNS provider hebt, zou je thuis i.p.v. je Huawei als DNS server een eigen DNS server kunnen draaien waarop je dan die FQDN hostnaam faked/vervangt door een local IP adres. Maar dan heb je al een extra apparaat, kan je bijna net zo goed een complete extra router achter de Huawei zetten of de Huawei vervangen. Die eigen router moet dan hairpinning doen.

Andere methode zou zijn om onderweg alles via een VPN naar je thuis te doen, dan kan je met lokale subnet adressen blijven werken.

Reageer