Beantwoord

Hoe kan ik ervoor zorgen dat mijn netwerk niet achter een carrier-grade NAT zit?

  • 5 March 2022
  • 20 reacties
  • 583 Bekeken

Ik gebruik bijna dagelijks een remote access programma "Parsec" (dit is vergelijkbaar met teamviewer of chrome remote, maar beter door minder latency ping en snellere frames).

Hiermee verbind ik met verschillende pcs/netwerken van mensen overal rond de wereld.

Ongeveer een paar weken terug was ik nog bij KPN en toen had ik een static IP-adress, toen had ik geen issues met remote access. Nu sinds ik kort geleden geswitcht ben naar t-mobile heb ik een dynamic IP-adress en zit het netwerk achter een carrier-grade NAT.

Bij Parsec zijn er requirements om te verbinden met anderen, een daarvan is dat als beide de host (degene die zijn pc deelt) en de client (degene die connect met de host, dat ben ik dus) achter een carrier-grade NAT zitten, ook wel bekend als Large-scale NAT (LSN) dan is er een error en kan er geen verbinding plaats vinden.

Ik heb op de parsec support site een test gedaan en het blijkt dat ik achter een carrier-grade NAT zit (vroeger toen ik static-ip bij KPN had was dit niet zo), dit betekent dat ik met minder mensen verbinding kan maken terwijl ik dit bijna dagelijks voor werk gebruik en nodig heb.
https://support.parsec.app/hc/en-us/articles/115002601011 (link van parsec error en carrier-grade NAT test)

Er wordt door parsec aangeraden om bij de provider een public static IP address of een dedicated dynamic public IP address aan te vragen om niet meer achter een carrier-grade NAT te zitten.
Wat zijn mijn opties?

icon

Beste antwoord door Gerrit078 6 March 2022, 00:11

Bekijk origineel

This topic has been closed for comments

20 reacties

Reputatie 7
Badge +17

Welk product neem je af bij T-mobile?

Welk product neem je af bij T-mobile?

Internet Fast

  • Downloadsnelheid tot 100 Mbit/s
  • Uploadsnelheid tot 30 Mbit/s
  • Snelheid maandelijks aanpasbaar
Reputatie 7
Badge +17

Dit is een DSL verbinding. Bij dit product heb je een dynamisch IP adres. Daar zit geen NAT tussen, behalve in je router!

Dit is een DSL verbinding. Bij dit product heb je een dynamisch IP adres. Daar zit geen NAT tussen, behalve in je router!

Ik snap dat ik een dynamisch IP adres heb. Wat bedoel je precies met dat er geen NAT tussen zit behalve de router? Ik heb de test gedaan op de parsec support site en er blijkt dat mijn netwerk achter een carrier grade NAT zit, moet ik dus van router veranderen?

Reputatie 7
Badge +2

@Younis

Formeel had je ook bij KPN, tenzij je een zakelijk contract had, een dynamische IP. Hij mag dan wel gelijkenissen hebben van een statische IP gezien de weinige/geen veranderingen, maar voor de gewone KPN consument is dit dus zeker niet het geval.

TMT is het niet anders, je IP kan wijzigen door netwerk configuraties.

Wereldwijd wordt CGN/CGNAT toegepast, dus heb je jouw kant opgelost zonder .. zit de andere bij een ISP die het wel toepast.

Dan is dus de vraag of je ergens op de wereld niet plots met je app toch in een CGN/CGNAT netwerk terecht komt .. en die kans is groot kan ik zeggen.

 

Zoals je denk ik zelf ook al had gezien … op de route kom je op private IP’s terecht, maar betwijfel of dat bij KPN niet het geval zou kunnen zijn.

Heb je dat wel eens gecontroleerd toen je nog bij KPN zat?

Voor de mensen die denken .. waar gaat dit nu weer over, A10 heeft een redelijk uitleg staan

Zie dat ze wel een oplossing hebben voor mijn pfsense .. A guide to NAT :grinning:

Wat ze zelf ook al als oplossing geven P2P VPN

@Younis

Formeel had je ook bij KPN, tenzij je een zakelijk contract had, een dynamische IP. Hij mag dan wel gelijkenissen hebben van een statische IP gezien de weinige/geen veranderingen, maar voor de gewone KPN consument is dit dus zeker niet het geval.

TMT is het niet anders, je IP kan wijzigen door netwerk configuraties.

Wereldwijd wordt CGN/CGNAT toegepast, dus heb je jouw kant opgelost zonder .. zit de andere bij een ISP die het wel toepast.

Dan is dus de vraag of je ergens op de wereld niet plots met je app toch in een CGN/CGNAT netwerk terecht komt .. en die kans is groot kan ik zeggen.

 

Zoals je denk ik zelf ook al had gezien … op de route kom je op private IP’s terecht, maar betwijfel of dat bij KPN niet het geval zou kunnen zijn.

Heb je dat wel eens gecontroleerd toen je nog bij KPN zat?

Voor de mensen die denken .. waar gaat dit nu weer over, A10 heeft een redelijk uitleg staan

Zie dat ze wel een oplossing hebben voor mijn pfsense .. A guide to NAT :grinning:

Wat ze zelf ook al als oplossing geven P2P VPN

Het IP adres bij kpn was bijna zeker static, het was al langer dan 5 jaar hetzelfde. Bij KPN had ik ook getest op ik achter een CG NAT zat (doormiddel van de parsec support pagina) en toen was dat niet het geval. 

Paar dagen terug heb ik een klant gehad met wie ik een remote access verbinding wilde maken (parsec) en toen kreeg ik deze error https://support.parsec.app/hc/en-us/articles/115002601011 .

Een vriend van me kon wel met hem verbinden omdat hij niet achter een CG NAT zit.

Ook heb ik bij 3 vrienden getest en zaten ze allemaal niet achter een CG NAT.

Hoe dan ook, is er geen optie voor mij mogelijk om ook niet achter een CG NAT te zitten zodat ik met zoveel mogelijk mensen kan verbinden? (niet doormiddel van een vpn, maar door het veranderen van mijn type netwerk/IP)

 

Reputatie 7
Badge +8

Het IP adres bij kpn was bijna zeker static, het was al langer dan 5 jaar hetzelfde. Bij KPN had ik ook getest op ik achter een CG NAT zat (doormiddel van de parsec support pagina) en toen was dat niet het geval. 

KPN geeft aan consumentenverbindingen geen static IP's, dit is altijd Dynamic. Dat een IP-Adres in jaren niet veranderd is betekent niet dat het static is.

 

Paar dagen terug heb ik een klant gehad met wie ik een remote access verbinding wilde maken (parsec) en toen kreeg ik deze error https://support.parsec.app/hc/en-us/articles/115002601011 .

Een vriend van me kon wel met hem verbinden omdat hij niet achter een CG NAT zit.

Ook heb ik bij 3 vrienden getest en zaten ze allemaal niet achter een CG NAT.

Heb je wel de port-forwarding ingesteld in je router voor het gebruik van PARSEC? Wat geeft grc.com aan op de betreffende poorten die je in je port-forward ingesteld hebt?

 

Hoe dan ook, is er geen optie voor mij mogelijk om ook niet achter een CG NAT te zitten zodat ik met zoveel mogelijk mensen kan verbinden? (niet doormiddel van een vpn, maar door het veranderen van mijn type netwerk/IP)

T-Mobile maakt sowieso geen gebruik van CGNAT. Dat in de traceroutes 10.x zichtbaar zijn betekent niet per definitie dat er sprake is van NAT of CGNAT. In tegendeel, T-Mobile heeft ervoor gekozen bepaalde cruciale switches in haar infrastructuur voor de buitenwereld af te schermen.

Het IP adres bij kpn was bijna zeker static, het was al langer dan 5 jaar hetzelfde. Bij KPN had ik ook getest op ik achter een CG NAT zat (doormiddel van de parsec support pagina) en toen was dat niet het geval. 

KPN geeft aan consumentenverbindingen geen static IP's, dit is altijd Dynamic. Dat een IP-Adres in jaren niet veranderd is betekent niet dat het static is.

 

Paar dagen terug heb ik een klant gehad met wie ik een remote access verbinding wilde maken (parsec) en toen kreeg ik deze error https://support.parsec.app/hc/en-us/articles/115002601011 .

Een vriend van me kon wel met hem verbinden omdat hij niet achter een CG NAT zit.

Ook heb ik bij 3 vrienden getest en zaten ze allemaal niet achter een CG NAT.

Heb je wel de port-forwarding ingesteld in je router voor het gebruik van PARSEC? Wat geeft grc.com aan op de betreffende poorten die je in je port-forward ingesteld hebt?

 

Hoe dan ook, is er geen optie voor mij mogelijk om ook niet achter een CG NAT te zitten zodat ik met zoveel mogelijk mensen kan verbinden? (niet doormiddel van een vpn, maar door het veranderen van mijn type netwerk/IP)

T-Mobile maakt sowieso geen gebruik van CGNAT. Dat in de traceroutes 10.x zichtbaar zijn betekent niet per definitie dat er sprake is van NAT of CGNAT. In tegendeel, T-Mobile heeft ervoor gekozen bepaalde cruciale switches in haar infrastructuur voor de buitenwereld af te schermen.

 

Ik heb zelf niks veranderd of ingesteld in de router, bedoel je misschien of upnp aan staat? Ik zie een lijst van parsec zien daar https://i.imgur.com/TpD3Aj4.png

Dus ik hoef geen actie te ondernemen? Het is voor mij belangrijk om met zoveel mensen te verbinden via remote access, misschien moet ik het maar ff bekijken naar mate tijd ik met meer mensen verbind op mijn nieuwe T-Mobile netwerk en kijken of het probleem vaker voorkomt.

Reputatie 7
Badge +8

 

Ik heb zelf niks veranderd of ingesteld in de router, bedoel je misschien of upnp aan staat? Ik zie een lijst van parsec zien daar https://i.imgur.com/TpD3Aj4.png

Dus ik hoef geen actie te ondernemen? Het is voor mij belangrijk om met zoveel mensen te verbinden via remote access, misschien moet ik het maar ff bekijken naar mate tijd ik met meer mensen verbind op mijn nieuwe T-Mobile netwerk en kijken of het probleem vaker voorkomt.

Volgens parsec moet je als je de parsec server draait poorten 8000 tot en met 8010 configureren onder port-forwarding zoals hier wordt uitgelegd. Als je de cliënt bent en dus verbindingen wilt maken met de server (met anderen) dan moet je poort 9000 configureren zoals op diezelfde pagina uitgelegd wordt.

Daar wordt overigens inderdaad ook aangeraden UPnP uit te zetten, iets wat sowieso aan te raden is met alle beveiligingsrisico's die het oplevert.

 

Ik heb zelf niks veranderd of ingesteld in de router, bedoel je misschien of upnp aan staat? Ik zie een lijst van parsec zien daar https://i.imgur.com/TpD3Aj4.png

Dus ik hoef geen actie te ondernemen? Het is voor mij belangrijk om met zoveel mensen te verbinden via remote access, misschien moet ik het maar ff bekijken naar mate tijd ik met meer mensen verbind op mijn nieuwe T-Mobile netwerk en kijken of het probleem vaker voorkomt.

Volgens parsec moet je als je de parsec server draait poorten 8000 tot en met 8010 configureren onder port-forwarding zoals hier wordt uitgelegd. Als je de cliënt bent en dus verbindingen wilt maken met de server (met anderen) dan moet je poort 9000 configureren zoals op diezelfde pagina uitgelegd wordt.

Daar wordt overigens inderdaad ook aangeraden UPnP uit te zetten, iets wat sowieso aan te raden is met alle beveiligingsrisico's die het oplevert.

Ik heb UPnP uitgezet, DHCP ingesteld en router opnieuw opgestart.

 

Daarna heb ik de port geopend

Klopt dit allemaal? Heb ook in parsec settings UPnP uitgedaan en client port 9000 ingevuld + restart parsec
Via een portchecker test online blijkt dat het niet geopend is.


 

Reputatie 7
Badge +17

Bij portchecker dien je het WAN , publieke, IP adres op te geven. Als je dat niet weet kun je die opvragen via de pagina ww.whatismyip.com.

Bij portchecker dien je het WAN , publieke, IP adres op te geven. Als je dat niet weet kun je die opvragen via de pagina ww.whatismyip.com.

Had ook mijn eigen ip geprobeerd toen stond er ook closed

Reputatie 7
Badge +8

Bij portchecker dien je het WAN , publieke, IP adres op te geven. Als je dat niet weet kun je die opvragen via de pagina ww.whatismyip.com.

Had ook mijn eigen ip geprobeerd toen stond er ook closed

Komt waarschijnlijk omdat het UDP protocol wordt gebruikt op poorten 8000-8010 en 9000. 99,9% van de portscan tools die op internet aanwezig zijn testen niet op UDP maar op TCP.

Als je wilt zou ik wel eens kunnen testen vanaf diverse locaties (servers) of de betreffende poorten openstaan of niet. Als je dan even een privé bericht stuurt zal ik de test z.s.m. uitvoeren en de resultaten sturen. Als je het bericht gestuurd hebt, laat dan ook even het programma draaien zodat ik “hopelijk” een betrouwbare portscan resultaat krijg.

Reputatie 7
Badge +8

Wederom een gevalletje, port-forwarding die niet werkt @Jason 

Portscan op poort 9000 UDP

nmap -sU -Pn -p 9000 xxx.xxx.xx.xxx
Starting Nmap 7.80 ( https://nmap.org ) at 2022-03-07 14:56 UTC
Nmap scan report for xxx-xx-xxx-xxx.ftth.glasoperator.nl (xxx.xxx.xx.xxx)
Host is up.

PORT STATE SERVICE
9000/udp open/filtered cslistener

Nmap done: 1 IP address (1 host up) scanned in 2.11 seconds

 

Portscan op poort 9000 TCP

nmap -Pn -p 9000 xxx.xxx.xx.xxx
Starting Nmap 7.80 ( https://nmap.org ) at 2022-03-07 14:56 UTC
Nmap scan report for xxx-xx-xxx-xxx.ftth.glasoperator.nl (xxx.xxx.xx.xxx)
Host is up.

PORT STATE SERVICE
9000/tcp filtered cslistener

Nmap done: 1 IP address (1 host up) scanned in 2.11 seconds


Port-forward lijkt goed te zijn ingesteld.

Note, protocol veranderd naar “ALL” i.p.v. UDP zodat bovenstaande test op TCP kon worden uitgevoerd.

 

@Jason Weet je misschien hier iets op? (sorry voor tag)

Reputatie 7
Badge +9

Hi @Younis ,

Thanks voor je terugkoppeling! Ik had graag geleid naar de juiste oplossing, maar ik begrijp dat je parsec draait - we kunnen dan geen expertise inschakelen van ons Netwerk team, omdat die daar geen service op kunnen verlenen. Nu weet ik niet direct of het effect dat de forwarding niet lukt vanuit het modem komt, daarvoor kijk ik onze helden @Gerrit078 of @Pieter_B netjes aan. Mocht dat wel het geval zijn, is het natuurlijk mogelijk om eventueel een ruil in te zetten. Lijkt het daar niet op, dan is het, hoe graag ik ook gewild had dat het anders was, een kwestie van geen support. Ik wacht daarbij nog hun bericht af.

Hi @Younis ,

Thanks voor je terugkoppeling! Ik had graag geleid naar de juiste oplossing, maar ik begrijp dat je parsec draait - we kunnen dan geen expertise inschakelen van ons Netwerk team, omdat die daar geen service op kunnen verlenen. Nu weet ik niet direct of het effect dat de forwarding niet lukt vanuit het modem komt, daarvoor kijk ik onze helden @Gerrit078 of @Pieter_B netjes aan. Mocht dat wel het geval zijn, is het natuurlijk mogelijk om eventueel een ruil in te zetten. Lijkt het daar niet op, dan is het, hoe graag ik ook gewild had dat het anders was, een kwestie van geen support. Ik wacht daarbij nog hun bericht af.

nog een update? @Gerrit078 @Pieter_B 

Reputatie 7
Badge +2

Hallo @Younis 

Recent was er eenzelfde indicatie van ‘filtered’ bij iemand die niet op zijn NAS kon komen, wat na heel lang zoeken bleek te liggen aan de firewall in de NAS. Deze had zijn IP blacklisted, hierdoor was de reactie ‘filtered’ .. of te wel .. ik zie wel iets, maar ik kom er niet doorheen.

Wat @Gerrit078 ook al in zijn voorgaande post aangeeft, nmap meld ‘filtered’ wat een aanwijzing kan zijn dat de poort forward regel correct zou zijn.

Weet niet of die betreffende applicatie / device ook iets van een eigen firewall heeft, maar staat die wel goed ingesteld?

Als hij op een Windows machine draait, kijk dan zeker ook even naar die betreffende firewall.

Hallo @Younis 

Recent was er eenzelfde indicatie van ‘filtered’ bij iemand die niet op zijn NAS kon komen, wat na heel lang zoeken bleek te liggen aan de firewall in de NAS. Deze had zijn IP blacklisted, hierdoor was de reactie ‘filtered’ .. of te wel .. ik zie wel iets, maar ik kom er niet doorheen.

Wat @Gerrit078 ook al in zijn voorgaande post aangeeft, nmap meld ‘filtered’ wat een aanwijzing kan zijn dat de poort forward regel correct zou zijn.

Weet niet of die betreffende applicatie / device ook iets van een eigen firewall heeft, maar staat die wel goed ingesteld?

Als hij op een Windows machine draait, kijk dan zeker ook even naar die betreffende firewall.

Staat goed ingesteld

Reputatie 7
Badge +8

 

Misschien zou je de Windows Firewall eens kunnen uitschakelen en opnieuw proberen ?