Vraag

Kun je alle poorten openzetten op een Connectbox?

  • 14 augustus 2019
  • 15 Reacties
  • 376x Bekeken

Aangezien mijn connectbox niet in bridge kan (zie mijn andere topic) wil ik zoveel mogelijk mijn oude toestand herstellen met mijn Asus-router die nu achter de connectbox zit op 192.168.178.2. Kan ik op de connectbox een portforwarding rule maken naar dat IP van de poorten 1 tot 65535 kwa UTP en UDP naar die router? Wifi van de connectbox wordt niet gebruikt. (staat wel aan helaas en ik heb de SSID's hidden gemaakt en niemand heeft de wachtwoorden)

15 Reacties

Reputatie 4
Badge +1
Ow.. je verzoek gaat een boel reacties opleveren in de trant van "dat moet je niet willen"
En die reacties zijn dan in de bredere zin niet uit de lucht gegrepen.
Het is equivalent met de voordeur van je woning openzetten en zelf met vakantie gaan.

Misschien is het daarom een betere aanvliegroute om eerst eens te vertellen welk probleem je hiermee wilt oplossen, er zijn binnen deze community een boel specialisten die je graag willen helpen om gelijktijdig je doelstelling te behalen en het toch veilig te houden.

Een router aan de binnenkant van je modem zetten, waarbij zowel je router als je modem in NAT/PAT modus opereren levert een dubbele NAT op, en daar zul je zeker niet gelukkig mee zijn.

Dus wil je eens vertellen wat je probeert te bereiken, en welke functies in je thuisnetwerk die open poorten nodig hebben?

Groet van Hoot
Ik zet de voordeur niet open, want de enige toegangspoort wordt de router erachter. Ik wil dit omdat ik eigenlijk geen zin heb om alle portforwardings dubbel te moeten uitvoeren. Dan heb ik het over de toegang tot mijn Nassen, VPN toegang, toegang tot IP-camera's, toegang tot de webadmin van de router, ga zo maar door.
Stel het WAN Ip van je eigen Router in als DMZ(-host) in de Connectbox.
Dan krijg je precies wat je wilt: Forwards van alle externe ports.
Daar is niks onveiligs aan, in dit geval. Je eigen Router heeft een nette Firewall, toch?
DMZ-host van een Router is er voor, om dubbele Forwards te kunnen vermijden bij een Router op Router aka Nat over Nat setup.
Waarom je dit wilt, weet ik niet, maar mij is het best.

Niet (meteen) combineren met handmatige Forwards in de Connectbox. Dat kan gedoe geven.
Niet terecht, maar dat is nu eenmaal zo.
Nog vragen? Stel ze.

Zie onderste keuze in het Menu Beveiliging.
Badge +11
Je modem zou gewoon gebridged moeten kunnen worden. Is dat al opnieuw geprobeerd?
Reputatie 4
Badge +1
@Zig-user
Wagenwijd, m'n beste. Met een beetje meer moeite kun je dat risico voor een groot gedeelte dichttimmeren.
De truuk is om al je devices op per-sessie basis verbinding te laten zoeken met een 'mothership', en dat jezelf via dat mothership (noem het cloud oplossing) verbinding krijgt met die sessie. Die sessies worden dan door het device van binnenuit geopend, dus hoef je er geen statische poort forwarding voor op te zetten.

Camera's.. nog niet zo lang geleden is duidelijk geworden dat Camera's vaak zombies zijn in dDoS aanvallen. Ook die wil je via een cloud oplossing benaderen

Synology heeft de mogelijkheid om via een My Synology constructie zoiets te bereiken, en camera's die niet via een cloud verbinding werken zijn duurkoop.
Als je devices UPNP ondersteunen.. de connectbox ondersteunt dat. En zo meer.

En als je omgeving gekraakt wordt, wat met een Asus consumenten router geen exotische gedachte is, dan ligt alle support last en aansprakelijkheid bij jezelf.

Nogmaals, ik nodig je uit om dit avontuur met ons aan te gaan, en stap voor stap een veiligere oplossing tot stand te brengen. Daar slaap je lekkerder bij !

Groet van Hoot
Reputatie 5
Badge +3
@Zig-user
Wagenwijd, m'n beste. Met een beetje meer moeite kun je dat risico voor een groot gedeelte dichttimmeren.



@Hoot_Posthorn

Interessant! Ik vraag me toch oprecht af wat onder de streep het verschil tussen een modem/router die aan selectieve forwarding doet en een 2 router constructie waarbij de eerste alles doorstuurt en de tweede aan selectie portforwarding doet. Ik hoor heel graag de netto verschillen!


De truuk is om al je devices op per-sessie basis verbinding te laten zoeken met een 'mothership', en dat jezelf via dat mothership (noem het cloud oplossing) verbinding krijgt met die sessie. Die sessies worden dan door het device van binnenuit geopend, dus hoef je er geen statische poort forwarding voor op te zetten.


Lang niet alle protocollen en applicaties ondersteunen deze manier van werken.

En als je omgeving gekraakt wordt, wat met een Asus consumenten router geen exotische gedachte is, dan ligt alle support last en aansprakelijkheid bij jezelf.


Uiteraard. Ik vraag me of of de grootste ricico's komen van die Asus router....

Nogmaals, ik nodig je uit om dit avontuur met ons aan te gaan, en stap voor stap een veiligere oplossing tot stand te brengen. Daar slaap je lekkerder bij !


Ik ben heel benieuwd!

Ciao,
Jbr
@Jbr67 Thanks. Dit was zo ongeveer wat ik over deze bijdrage dacht.
Besloot niet te reageren. Dacht: TS begrijpt de waarde ervan wel.
@Zig-user laat eens wat van je horen.
Toch maar Bridge Mode voor het Ziggo kastje, zoals efok aanbeveelt?

Voor Router op Router ken ik maar 1 goed motief.
Ipv6 willen behouden.
Reputatie 4
Badge +1
@Jbr67 @hanh
Er gaat niets boven een pittige discussie over dit onderwerp, en hoe meer inzichten hoe beter, laat ik dat voorop stellen, dus dank voor het tegengas !

Poorten openzetten:
  • Omdat het technisch mogelijk moet zijn
  • Omdat je het wilt
  • Omdat je meent dat je technisch capabel genoeg bent om dat te behappen.
Of omdat het moet. Dat is er ook eentje.
Een deel van mijn leven heb ik de technische verantwoordelijkheid gehad binnen een kleine service provider.
Mijn infrastructuur werd afgeschermd door twee firewalls (van verschillende makelij) back-to-back met een gemonitord honeynet en real-time alerting, real-time on-demand blacklisting van source ip blokken, noem maar op.

Als je poorten open hebt gezet neem je het in je eentje op tegen het hele Internet. En verlaat je je (in dit geval) op een ASUS consumer router, en ga je lekker slapen.
Porten openen is een statisch ding, een uur nadat je het hebt uitgevoerd kijk je er niet meer naar om. Er is geen alerting, helemaal niets.
Is dat overschatting van eigen kunnen, of onderschatting van het risico? Ik denk een mix van beiden.

Ga eens google op wat een botnet allemaal kan. Kijk eens op Caida.org, en huiver over waartoe een professioneel ingericht botnet allemaal kan.

Asus is nogal naar in het nieuws gekomen toen hun firmware distributie server werd gekraakt. In plaats van firmware werd malware uitgeserveerd.

Beheer:
Het beheersaspect is al genoemd. Zit nog een staartje aan. Iedere netwerkprovider van enige omvang heeft een security & privacy afdeling binnenshuis. Meestentijds een flink aantal FTE's die zich bezighouden met all things security, van abuse mail, AVG aspecten, firmware toetsing, en de levering van die firmware (en overige diensten) op de radar te hebben.
De betere providers beschikken over 'wasstraten' om het gevolg van dDos aanvallen te beperken, noem maar op.

Da's wel veel voor een enkel persoon om in het snotje te houden, niet? Al zou je de tooling hebben, dan nog.

Aansprakelijkheid:
Tja en als je dan eerder terug moet komen van vakantie omdat je bankrekening is geplunderd want die info staat toevallig op je NAS, wie ga je dan aansprakelijk stellen? Asus? Ziggo? Je had immers goede redenen:
Omdat het technisch mogelijk moet zijn
Omdat je het wilt
Omdat je meent het wel te kunnen sjeffen.

Gevolgschade:
En dan zet je de toekomst van je gezin op het spel, want je bent helemaal zelf in je uppie verantwoordelijk.
Heb je het daar al eens met je vrouw over gehad? Spaargeld weg, universiteit voor kleine Truusje zit er niet meer in... Wat vind zij ervan? ... Nee, nooit over gehad. da's technisch, snapt ze toch niets van. Maar je geeft haar niet de keuze. Wat zegt dat dan?

Niet alle diensten en protocollen ondersteunen...
Het kort door de bocht antwoord is: Dan heb je oude meuk in je netwerk, of wil je voor een stuiver op de eerste rij zitten. Goedkoop/duurkoop is een heel oud gezegde..

Het is niet aan mij.
Kies maar:
Vijf stuiver netwerk optuigen, met 'hele belangrijke functionaliteit' zonder monitoring, zonder rugdekking en als het er op aan komt omarmen van een risico met mogelijk verstrekkende gevolgen
of
Een beheerd netwerk met voldoende capabilities, met mogelijkheden om cloud diensten te gebruiken (Ikea tradfri/Zigbee 3.0 achtige zaken), beveiligd remote toegang tot je NAS en camera's en andere IOT zaken waar het veiligheidsaspect onder verantwoording valt van bedrijven die een naam te verliezen hebben.

Want mij gebeurt het niet
We zouden het eens aan de moderators moeten vragen hoeveel zombie camera's er binnen het ziggo ip domein actief zijn geweest, vanwege de hobby bob netwerkjes her en der.
Ik denk niet dat ze het mogen vertellen, maar ik hoor ze nu al grinniken.
Dat Sality botnet waar het in die Caida artikel over gaat was in staat om onder de radar alle ipv4 adressen te scannen op open SIP poorten. In twee maanden tijd, en volledig onder de radar. Nogmaals, je neemt het op tegen alle roofdieren op het internet, en je gevechtstenue is blote kont, koppel en speer. Succes.

Tot slot:
Er zijn binnen de gebruikersgroep een heel aantal mensen van een technisch niveau waar ik mijn petje voor afneem. Maar ik hou de uitdaging staande:
Vertel je vrouw over het worst case scenario, en geef haar eens de keuze. Want daar gaat het om, en nergens anders.
Van mij krijg je geen tegengas. Het is wat mij betreft prima zo.
Reputatie 5
Badge +3
@Jbr67 @hanh





Er gaat niets boven een pittige discussie over dit onderwerp, en hoe meer inzichten hoe beter, laat ik dat voorop stellen, dus dank voor het tegengas !



@Hoot_Posthorn
Ok... sportief. Ik zeg: game on! ;-)

Gevolgschade:En dan zet je de toekomst van je gezin op het spel, want je bent helemaal zelf in je uppie verantwoordelijk.Heb je het daar al eens met je vrouw over gehad? Spaargeld weg, universiteit voor kleine Truusje zit er niet meer in... Wat vind zij ervan? ... Nee, nooit over gehad. da's technisch, snapt ze toch niets van. Maar je geeft haar niet de keuze. Wat zegt dat dan?


Haha, prachtig hoe mijn vrouw hier opeens in verzeild raakt. Ze doet je de groeten :-)
Maar, even he, hoe kun je bij een bank transacties doen zonder aanvullende authenicatie van die transacties (en dan heb ik het niet over het verhuizen van geld binnen je eigen rekeningen)? Vertel me eens.. hoe?

Niet alle diensten en protocollen ondersteunen...
Het kort door de bocht antwoord is: Dan heb je oude meuk in je netwerk, of wil je voor een stuiver op de eerste rij zitten. Goedkoop/duurkoop is een heel oud gezegde..


Nah: wat dacht je van een VPN verbinding over SSL (TLS zoals je wilt), via UDP poort 1194. Daar heb ik toch geen partij/dienst in het midden voor nodig? Sterker nog: ik wil juist helemaal niemand in het midden! EN nee.. ik wil geen teamviewer-iets (das veel te beperkt)...ik wil "native" toegang tot mijn eigen netwerk. Eventueel met 2FA. Zelfde argumentatie voor SSH...

TLS VPN is naar mijn mening geen oude meuk. SSH ook niet.

Tweede voorbeeld: stel je wilt een web-servertje neerpoten voor bijv. je weerstation. Tuurlijk kan dat bij een dienst ala weatherunderground (nog gratis ook!) maar op je eigen web-server heb je veel meer vrijheid. En ja.. dan zal toch echt poort tcp 443 open moeten. Uiteraard moet je weten wat je doet....maar dat is bij een dienst toch niet anders.

HTTPS (1.1/2/3) is ook geen oude meuk. ZO ja... dan wil het hele internet kennelijk op de eerste rij zitten voor een stuiver??

Je hele betoog mist, naar mijn mening, een cruciaal element. Dat is het antwoord op mijn eerste vraag:
"Ik vraag me toch oprecht af wat onder de streep het verschil is tussen een modem/router die aan selectieve forwarding doet en een 2 router constructie waarbij de eerste alles doorstuurt en de tweede aan selectieve portforwarding doet. Ik hoor heel graag de netto verschillen."

Ik kan het niet vinden namelijk. Of lees is het goed dat je beweert dat n moderne Asus consumentenrouter (eventueel met Merlin) het onder doet voor een Ziggo consumentenrouter? Laten we zeggen de huidige, default, Ziggo consumentenrouter... de niet te versmaden Arris connectbox?

https://stickystatic.com/tech/bad-modem-test
en
https://community.ziggo.nl/internetverbinding-102/overzicht-arris-connetbox-problemen-38258

#helehardkuch#

Ciao,
Jbr
Reputatie 4
Badge +1
@Jbr67 Ain't this fun? Ik denk van wel :D

Maar de voortzetting van deze uitwisseling van inzichten zal even op zich moeten laten wachten, ben een tijdje R&R.
Groetjes terug en tot latert !
Reputatie 5
Badge +3
@Jbr67 Ain't this fun? Ik denk van wel :D

Maar de voortzetting van deze uitwisseling van inzichten zal even op zich moeten laten wachten, ben een tijdje R&R.
Groetjes terug en tot latert !


Denk je wel aan je voordeur op slot te doen? 😉
Stel het WAN Ip van je eigen Router in als DMZ(-host) in de Connectbox.
Dan krijg je precies wat je wilt: Forwards van alle externe ports.
Daar is niks onveiligs aan, in dit geval. Je eigen Router heeft een nette Firewall, toch?
DMZ-host van een Router is er voor, om dubbele Forwards te kunnen vermijden bij een Router op Router aka Nat over Nat setup.
Waarom je dit wilt, weet ik niet, maar mij is het best.

Niet (meteen) combineren met handmatige Forwards in de Connectbox. Dat kan gedoe geven.
Niet terecht, maar dat is nu eenmaal zo.
Nog vragen? Stel ze.

Zie onderste keuze in het Menu Beveiliging.


Ik denk een goede tip. Maar dat lukt me niet. Want bij het instellen van de DMZ vindt hij het IP van de router geen geldig IP-adres?!?!

Reputatie 7
Badge +35
Ik vermoed dat dit kan binnen de DHCP uitgegeven IP adressen. @Zig-user
@Jbr67 @hanh
Er gaat niets boven een pittige discussie over dit onderwerp, en hoe meer inzichten hoe beter, laat ik dat voorop stellen, dus dank voor het tegengas !


Altijd leuk!
Poorten openzetten:
  • Omdat het technisch mogelijk moet zijn
  • Omdat je het wilt
  • Omdat je meent dat je technisch capabel genoeg bent om dat te behappen.
Of omdat het moet. Dat is er ook eentje.

Moet? Omdat ik altijd in bridgemode draaide en ik talloze toepassingen thuis draai. Surveillance station, Photo station, Cloudstation, allemaal Synology apps waar ik nu allemaal dubbele portforwardingen moet maken. Dat was mijn insteek.



Een deel van mijn leven heb ik de technische verantwoordelijkheid gehad binnen een kleine service provider.
Mijn infrastructuur werd afgeschermd door twee firewalls (van verschillende makelij) back-to-back met een gemonitord honeynet en real-time alerting, real-time on-demand blacklisting van source ip blokken, noem maar op.

Als je poorten open hebt gezet neem je het in je eentje op tegen het hele Internet. En verlaat je je (in dit geval) op een ASUS consumer router, en ga je lekker slapen.
Porten openen is een statisch ding, een uur nadat je het hebt uitgevoerd kijk je er niet meer naar om. Er is geen alerting, helemaal niets.
Is dat overschatting van eigen kunnen, of onderschatting van het risico? Ik denk een mix van beiden.

Mijn ASUS is er eentje van redelijke kwaliteit. Hij heeft jaren als poortwachter gefungeerd toen het modem in bridge stond. En zal ik je wat zeggen: de Connectbox is ook een consumer router. Eentje waar Ziggo miljoenen aan verdient voor elke euro dat ie goedkoper wordt geproduceerd. Dus om je daar nou afhankelijk van te maken...

Ga eens google op wat een botnet allemaal kan. Kijk eens op Caida.org, en huiver over waartoe een professioneel ingericht botnet allemaal kan.

Asus is nogal naar in het nieuws gekomen toen hun firmware distributie server werd gekraakt. In plaats van firmware werd malware uitgeserveerd.

Ik draai geen ASUS firmware. Ik gebruik Merlin.

Beheer:
Het beheersaspect is al genoemd. Zit nog een staartje aan. Iedere netwerkprovider van enige omvang heeft een security & privacy afdeling binnenshuis. Meestentijds een flink aantal FTE's die zich bezighouden met all things security, van abuse mail, AVG aspecten, firmware toetsing, en de levering van die firmware (en overige diensten) op de radar te hebben.
De betere providers beschikken over 'wasstraten' om het gevolg van dDos aanvallen te beperken, noem maar op.

Da's wel veel voor een enkel persoon om in het snotje te houden, niet? Al zou je de tooling hebben, dan nog.

Mijn router moge een consumer router zijn (ik kan geen professionele betalen) hij heeft een anti DDOS mogelijkheid. Maar ik draai geen webserver, dus ik wens de DDOSSers veel succes op mijn dynamische IP zonder hostname. Verder worden attacks gelogd en gemaild, dus je kunt wel zien wat er zoal gebeurt.
Aansprakelijkheid:rder
Tja en als je dan eerder terug moet komen van vakantie omdat je bankrekening is geplunderd want die info staat toevallig op je NAS, wie ga je dan aansprakelijk stellen? Asus? Ziggo? Je had immers goede redenen:
Omdat het technisch mogelijk moet zijn
Omdat je het wilt
Omdat je meent het wel te kunnen sjeffen.

Mijn Nassen zijn password protected en daar staat een hoop info op. Maar mijn wachtwoorden bewaar ik er niet op.



Er zijn binnen de gebruikersgroep een heel aantal mensen van een technisch niveau waar ik mijn petje voor afneem. Maar ik hou de uitdaging staande:
Vertel je vrouw over het worst case scenario, en geef haar eens de keuze. Want daar gaat het om, en nergens anders.


Mijn worst case scenario was dat ik twee dagen geen internet had omdat de connectbox opeens niet meer wilde bridgen en dat twee monteurbezoeken en twee Connectboxen daar geen verandering in konden brengen. De mogelijkheden van de Connectbox zijn dermate beperkt (je kunt niet eens de IP-range van je LAN instellen!) dat ik liever een goede router gebruik. En vergeet niet dat ASUS tegenwoordig Aimesh ondersteunt, nog een reden om die het werk te laten doen in huis.
Ik vond je betoog mooi, amusant, maar niet erg overtuigend.

Reageer