Beantwoord

Port forwarding werkt niet op Zyxel T-50 en vervanger pfSense

  • 17 April 2023
  • 9 reacties
  • 194 Bekeken
J

Ik heb sinds glasvezel bij mij is aangelegd een T-Mobile abonnement afgesloten. Sinds deze overgang vanaf mijn oude provider, is het niet meer mogelijk om port forwarding in te stellen en is het mij onduidelijk waar dit aan ligt. De instellingen zijn correct, maar toch wordt de poort als dicht beschouwd van buitenaf.

Mijn idee was dat dit aan de Zyxel modem lag, die op een of andere manier de forwarding niet actief kon maken. Nu heb ik het modem vervangen met een virtuele pfSense instantie, waarop alle functionaliteiten werken. Ook hier loop ik tegen hetzelfde probleem aan. Port forward ingesteld en geverifieerd met een vriend die ook pfSense en T-Mobile heeft, waarbij zijn port forward wel werkt. Toch blijft de poort dicht en kan ik ook niet zien waarom. De packets lijken helemaal niet aan te komen bij mijn firewall, waardoor de port forward instelling dus niet zijn werk kan doen.

Kan het zijn dat dit verkeer al geblokkeerd/gedropt wordt voordat het bij mijn modem/firewall aan komt of is hier iets anders aan de hand?

icon

Beste antwoord door Waqqas 17 April 2023, 11:31

Bekijk origineel

9 reacties

Waqqas
Rank
Reputatie 7
Badge +15

Hallo @Jimmystra 

Er wordt niks geblokkeerd door T-Mobile, hier vind je een stappenplan over hoe portforwarding werkt in de Zyxel-T50.

Kan je ook eens kijken of een herstart van de mediaconverter helpt?

Welkom op de Odido community!
J

Bedankt voor de vlotte reactie. Ik heb de huawei mediaconverter een minuut van het stroom afgehaald en daarbij de utp kabel losgekoppeld. Na het opstarten hiervan de firewall ook weer opgestart, helaas heeft dit niks veranderd aan de situatie.

Het gestuurde stappenplan heb ik eerder gevolgd, waarbij ik de juiste instellingen heb gebruikt. Systeem achter de forward was bereikbaar vanaf modem en “het lampje” stond aan. Daarna ook voor de zekerheid het modem gereset maar dit heeft niks veranderd.

Ik heb een aantal screenshots om het een en ander te laten zien. De instellingen heb ik tegen de situatie van een vriend gelegd om 1:1 te controleren of het juist is. Resultaat: bij hem werkt het wel, bij mij niet.

Instellingen van pfSense mbt port forwarding

Testserver is intern benaderbaar op het adres + poort 8080

 Extern wordt het niet doorgelaten, terwijl er wel een juiste rule voor bestaat

 

Pieter_B
Rank
Reputatie 7
Badge +3

@Jimmystra 

Als ik het goed zie, probeer je vanuit je LAN met je browser de WAN aan te spreken, maar bij default werkt dit niet bij gebruik van pfSense.

Accessing Port Forwards from Local Networks

 

By default, pfSense® software does not redirect internally connected devices to forwarded ports and 1:1 NAT on WAN interfaces.

Nog een advies, breng die server in een eigen subnet en VLAN, zo draait het hier ook. Daarna maak je rules aan om lokaal toch in het subnet te komen.

LET OP gewoon Medeklant. Glasvezel sinds 2016 (1Gb and never needs more) - Linux gebruiker sinds 2006 ( Current: Kubuntu mantic 23.10 )- DIY Router/Firewall: pfSense 2.7.0 met 4 port INTEL NIC & Switch Unifi 8 poort 60w POE & Switch Unifi 8 poort & Wifi Unifi AP-AC Pro
J

Dat zie je inderdaad goed. Ik heb dit overigens ook met iemand van buitenaf getest, door mijn extern ip-adres + poort te laten benaderen. Dit wordt ook niet doorgelaten. Ook heb ik NAT Reflection: Pure NAT ingesteld, zoals op de foto hieronder.
 

Resultaat blijft hetzelfde:
 

Wat betreft in eigen subnet en VLAN plaatsen:
Ik heb een interface “Services” aangemaakt, waarin ik al mijn unraid docker containers plaats. Deze zijn lokaal allemaal te benaderen, omdat ik ook in pfSense * to * rules heb aangemaakt. Dit werkt lokaal prima. Is dit ook wat je bedoelt met een eigen vlan en subnet toewijzen? Deze containers draaien onder 192.168.10.xxx/24
 

 

Pieter_B
Rank
Reputatie 7
Badge +3

@Jimmystra 

Als het goed is, heb je voor deze port forwarding ook een rule onder je WAN actief staan, klopt dat?

Deze rule onder WAN verwijst naar je Dest Adress WAN-adress met de listen poort 8080, met de NAT IP (192.168.1.210) en NAT Port 8080 van je service.

Zie je de request op de 8080 poort wel blocked in je logs staan?

LET OP gewoon Medeklant. Glasvezel sinds 2016 (1Gb and never needs more) - Linux gebruiker sinds 2006 ( Current: Kubuntu mantic 23.10 )- DIY Router/Firewall: pfSense 2.7.0 met 4 port INTEL NIC & Switch Unifi 8 poort 60w POE & Switch Unifi 8 poort & Wifi Unifi AP-AC Pro
J

Dat klopt. Deze rules worden automatisch gegenereerd als ik de port forward ingesteld heb. Ik heb ondertussen de nginx testserver verplaatst naar 192.168.10.9, dit is in de vlan waar hij uiteindelijk moet gaan werken.

Ik heb het nu voor elkaar dat deze server op 8080 te benaderen is! Een aantal poorten werken nog niet, wellicht dat de service niet luistert op die poort en dus geen reactie terug kan geven. Ik heb het bijvoorbeeld voor elkaar om 8080 en 8123 te forwarden en kan hier nu ook van buitenaf bij.

Het probleem lijkt nu vooral te liggen bij de eindbestemming, of daar wel op de juiste manier geluisterd wordt. Ik lijk in ieder geval weer verder te kunnen. Bedankt!

Pieter_B
Rank
Reputatie 7
Badge +3

@Jimmystra 

Het klopt i.d.d., als je een Port Forwarding aanmaakt, komt er onder Rules → WAN automatische eenzelfde destination rule.

Wist niet zeker of je bij het aanmaken van de PF gekozen had hiervoor, want dit automatisch aanmaken kun je dus ook uitzetten.

Het werkt, daar gaat het uiteindelijk om.

Suc7

LET OP gewoon Medeklant. Glasvezel sinds 2016 (1Gb and never needs more) - Linux gebruiker sinds 2006 ( Current: Kubuntu mantic 23.10 )- DIY Router/Firewall: pfSense 2.7.0 met 4 port INTEL NIC & Switch Unifi 8 poort 60w POE & Switch Unifi 8 poort & Wifi Unifi AP-AC Pro
yalerta
Reputatie 7
Badge +5

 

Ik heb het nu voor elkaar dat deze server op 8080 te benaderen is! Een aantal poorten werken nog niet, wellicht dat de service niet luistert op die poort en dus geen reactie terug kan geven. Ik heb het bijvoorbeeld voor elkaar om 8080 en 8123 te forwarden en kan hier nu ook van buitenaf bij.

Het probleem lijkt nu vooral te liggen bij de eindbestemming, of daar wel op de juiste manier geluisterd wordt. Ik lijk in ieder geval weer verder te kunnen. Bedankt!

 

Mijn HomeAssistant (8123) maar ook andere services benader ik door OpenVpn dat is geïnstalleerd op pfSense (extern andere poort met adresmapping b.v. 48443 naar 443). Dit bevalt uitstekend. Ook voor Camera's en dergelijke. Een Dynamische DNS service maakt het makkelijk in te verbinden.

De enige open poort, ook met mapping, is om mijn Calibre bibliotheek via Internet te benaderen zodat de familie daar gebruik van kan maken. Wel met een aanmelding en wachtwoord. 😁

Komt tijd, komt raad. En ik maar raden waar de tijd blijft maar doe ondertussen of ik er verstand van heb
J

Ja een vpn service is inderdaad top daarvoor, ik heb nu WireGuard als extra plug-in geïnstalleerd in pfSense, zo kan ik mooi overal bij. Het enige wat ik wilde forwarden zijn dus die VPN poort en bijvoorbeeld poorten van game servers. Dit is nu allemaal gelukt dus dat is top!

Reageer


ForumvoorwaardenCookie instellingen