Howmessages
Gedreven Ontdekker
  • 9Reacties
  • 0Oplossingen
  • 3Likes

uPnP poorten werken niet stabiel

Al enige tijd ondervind ik problemen met Wifi op mijn Connect Box. Hierover heb ik met de klantenservice gebeld en samen met hun heb ik de modem teruggezet naar de fabrieksinstellingen. Dit ging de eerste keer niet goed (geen connectie met Wifi meer mogelijk en geen resultaten in uPnP) waardoor de fabrieksinstellingen nogmaals teruggezet moesten worden.

 

Nu zit ik echter met het volgende probleem: op mijn Synology DS118 thuisserver draai ik een portfolio website die op dit moment belangrijk is om benaderbaar te houden. Deze was na de reset niet meer benaderbaar vanaf buitenaf ondanks dat poorten 80 en 443 door de Synology aan uPnP waren toegevoegd. Ik heb deze poorten handmatig moeten toevoegen alvorens de Server weer benaderbaar was. Ook poorten 5000 en 5001 - de poorten om de Synology server mee te benaderen - werken niet vanaf buitenaf en heb ik handmatig moeten toevoegen. Andere poorten zoals 6281 en 32400 werken wel via uPnP.

 

Ik wil echter niet afhankelijk zijn van het handmatig toevoegen van poorten. Ik begrijp dat dit veiliger is, maar het is zo dat ik af en toe vanaf buitenaf zaken aan mijn Synology toevoeg waarvoor poorten opengezet moeten worden en uPnP dus een must is. Daarnaast heb ik al het idee dat de Connect Box over het algemeen instabiel werkt en ik niet graag met dit soort workarounds werk.

 

Wat zou hier aan de hand kunnen zijn?

 

Alvast bedankt.

1 Geaccepteerde oplossing

Geaccepteerde oplossingen
Richard G.
Gedreven Raadgever
  • 300Reacties
  • 21Oplossingen
  • 93Likes

Ja. Korte uitleg. Nat-loopback zorgt er voor dat jij van je internet netwerk, via je externe (Ziggo) ip adres weer terug naar je internet netwerk kunt.

Voorbeeld, jouw Ziggo ip is 82.50.23.23 (ik noem maar iets) je pc zit op 192.168.178.10 en je NAS op 192.168.178.20. Nu wil je via je DDNS (die dus 82.50.23.23 krijgt) naar je webserver via de forward op poort 80. Dat gaat dus niet werken als nat-loopback niet werkt. Je kunt dan wel bijv. via je 4G van je telefoon of van bij de buurman je NAS of webserver bereiken.
Enige oplossing om dit van binnenuit weer te fixen is ofwel intern ip oproepen ofwel hostnaam in hosts bestand van Windows op te nemen.

Kort gezegd. Bij een Arris werkt dit wel en bestaat dit euvel niet, ook erg handig voor bij IP camera's.

Advies: Gebruik zo weinig mogelijk uPnP, wordt zelfs afgeraden om dit aan te hebben staan in een modem, aangezien het zo heel simpel is voor malware ergens in het netwerk om benodigde poorten open te zetten.

 

Wil je het toch gebruiken, is het toch beter om forwards te maken voor de vaste dingen zoals bijv. web, ftp en zo en uPnP alleen te gebruiken voor dingetjes die je af en toe doet. Mede omdat uPnP niet gegarandeerd is en ook niet altijd 100% werkt omdat het ook applicatie afhankelijk is.

Bekijk in context

20 Reacties 20
Howmessages
topicstarter
Gedreven Ontdekker
  • 9Reacties
  • 0Oplossingen
  • 3Likes

Niemand een idee?

Bert
Super Expert
Super Expert
  • 45032Reacties
  • 2667Oplossingen
  • 9726Likes

 

"maar het is zo dat ik af en toe vanaf buitenaf zaken aan mijn Synology toevoeg waarvoor poorten opengezet moeten worden"

Met UPnP gaan poorten vanuit buiten naar binnen niet open als ze niet in de port forward lijst staan en je er een verbinding op wil, anders zouden alle poorten open kunnen gaan als er iemand in je netwerk wil, dat zou de hemel voor hackers zijn, als alles vanzelf open gaat.

 

Als je weet welke poorten je allemaal wil gaan gebruiken in de toekomst, zet dan UPnP uit en maak handmatig alle poorten die je als port forward wilt gebruiken met een goede beveiliging erachter, anders kan iedereen op die poorten je gegevens bereiken.

Howmessages
topicstarter
Gedreven Ontdekker
  • 9Reacties
  • 0Oplossingen
  • 3Likes

Met UPnP gaan poorten vanuit buiten naar binnen niet open als ze niet in de port forward lijst staan en je er een verbinding op wil, anders zouden alle poorten open kunnen gaan als er iemand in je netwerk wil, dat zou de hemel voor hackers zijn, als alles vanzelf open gaat.

 

Die poorten gaan natuurlijk niet vanzelf open, maar worden door Synology middels UPnP opengezet. Zonder UPnP kan ik die poorten van buitenaf natuurlijk moeilijk openzetten. 

 

Als je weet welke poorten je allemaal wil gaan gebruiken in de toekomst, zet dan UPnP uit en maak handmatig alle poorten die je als port forward wilt gebruiken met een goede beveiliging erachter, anders kan iedereen op die poorten je gegevens bereiken.

 

Dat kan alleen als ik weet welke poorten ik open moet houden voor toekomstige zaken. Dat weet ik niet want ik kan niet in de toekomst kijken. Daarbij is het ook nog eens onveilig want ik ga poort 22 niet standaard openzetten tenzij ik deze moet gebruiken. UPnP is dus een must.

Erik S
Community Moderator
Community Moderator
  • 1482Reacties
  • 189Oplossingen
  • 247Likes

Hi @Howmessages! Welkom hier op de Ziggo Community nog 🙂 Als ik het goed begrijp is er nog geen oplossing voor het probleem dat je ervaart sinds het herstellen van de fabrieksinstellingen op je modem. Klopt dat, of heb je het inmiddels wel kunnen oplossen? Zo ja, laat het ons zeker weten hier.

@Bert@privateer & @tobiastheebe, wellicht kunnen jullie TS nog een helpende hand bieden als het probleem nog niet is opgelost? 🙂

Howmessages
topicstarter
Gedreven Ontdekker
  • 9Reacties
  • 0Oplossingen
  • 3Likes

Dag @Erik S,

 

Helaas heb ik hier nog steeds last van als ook andere problemen waarover ik al eerder contact had met de klantenservice. Deze week word ik daarover teruggebeld en ik vermoed dat de Connect Box omgeruild gaat worden. 

Erik S
Community Moderator
Community Moderator
  • 1482Reacties
  • 189Oplossingen
  • 247Likes

Check, @Howmessages! Hopelijk mag dat baten. Houd ons op de hoogte hier!

privateer
Gedreven Raadgever
  • 302Reacties
  • 11Oplossingen
  • 65Likes

Hallo,

 

uPnP is nooit een voorwaarde geweest om iets werkend te maken, wel een middel om minder geschoolde gebruikers iets makkelijker te kunnen helpen met verbinden. En dat bedoel ik niet persoonlijk maar vanuit het oogpunt van de techniek.

 

Zelf poorten open zetten en geen uPnP gebruiken is nog altijd de beste methode omdat je dan met zekerheid in je router ziet wat er gebeurd, bij uPnP is het nog maar de vraag.

 

Elke apparaat heeft een waslijst van gebruikte poorten en protocollen ook je Synology https://www.synology.com/en-us/knowledgebase/DSM/tutorial/Network/What_network_ports_are_used_by_Syn...

 

Het is een misverstand dat het meteen onveilig is als je poorten opent op je router.

De poorten die standaard open zijn omdat je anders niks kan op internet worden ook gebruikt voor hackpogingen.

In jouw geval zou ik adviseren enkel de webserver op de Synology open zetten en de rest met vpn (vanaf je Synology) beheren.

Dat scheelt weer een hoop poorten en maakt het een stuk veiliger.

 

Als de rest van je apparaten een beetje goed werkt aan de buitenkant kan je natuurijk ook poorten vertalen.

Dus extern 4443 naar intern 443 op apparaat X.

Mensen die denken veilige te zijn achter een standaard firewall van een modem heb ik nooit begrepen. De meeste dingen komen vandaag de dag binnen door phishing en dergelijke waar het dus zo is dat die firewall geen enkele rol heeft gespeeld in het veilig houden van je netwerk.

 

Als je met veiligheid bezig wilt dan moet je aan IDS/IPS en DPI gaan denken en dat draait niet op een standaard firewall. Vaak is de keerzijde daarvan dat je prestatie (snelheid) moet inleveren tegen (betere) beveiliging.

 

En zelfs in de zakelijke wereld waar men duizenden euro's besteed aan dergelijke apparatuur is dat geen garantie.

De garantie die je wel hebt is dat er altijd een loepie in je toko zit die op een raar berichtje wil klikken om "grappige kattefilmpjes" te kijken of een iPhone te winnen. De menselijke factor zullen we maar zeggen.

Howmessages
topicstarter
Gedreven Ontdekker
  • 9Reacties
  • 0Oplossingen
  • 3Likes

Interessante materie. Hier ga ik mij zeker eens verder in verdiepen. Zeker het gedeelte over extern andere porten en VPN.

 

Vooral bij het openzetten van port 22 kan ik in de logs van Synology zien dat er continue aanvallen worden uitgevoerd. Natuurlijk komen ze er dan ook niet zomaar in, maar het geeft wel een heel onveilig gevoel.

 

Ondertussen heb ik een nieuwe modem ontvangen en vrijwel alle problemen zijn direct opgelost, dus ik kan wel met enige zekerheid stellen dat de oude modem het probleem was. Wel heb ik nog een enkel probleem waar ik niet uitkom: DDNS werkt lokaal niet meer via UPnP.

 

Om mijn Synology gemakkelijk vanaf buitenaf te benaderen maak ik gebruik van een *.synology.me domeinnaam. Met UPnP is deze vanaf buitenaf weer prima te bereiken. Maar zodra ik lokaal zit en naar dit domein ga, komt de verbinding niet tot stand. Dan moet ik de port toch weer handmatig openzetten voordat het wel werkt en ik begrijp niet hoe dit kan. Hebben jullie een idee?

privateer
Gedreven Raadgever
  • 302Reacties
  • 11Oplossingen
  • 65Likes

Hallo,

 

In principe moet het werken als je deze handleiding volgt.

Synology DDNS service

 

DDNS is voor systemen buiten jouw netwerk om iets te kunnen vinden in jouw netwerk.

De Synology zegt tegen de externe server van Synology.me "Dit is mijn ipadres". (jouw externe ip)

Daarom houd de router in zijn dns geen rekening met die naam hij heeft het antwoord niet en als jij intern dan vraagt waar het is komt het antwoord dus van buitenaf door je router heen.

 

 

Howmessages
topicstarter
Gedreven Ontdekker
  • 9Reacties
  • 0Oplossingen
  • 3Likes

Dank voor de reactie.

 

Ik begrijp de werking van DDNS. Deze service staat correct ingesteld in de Synology en is niet anders dan voorheen; toen alles wel nog correct werkte en ik via *synology.me ook binnen het lokale netwerk de Synology kon benaderen.

 

Het is mij alleen niet duidelijk waarom ik de porten nu toch handmatig open moet zetten als ik vanuit binnen mijn netwerk de Synology via *.synology.me probeer te benaderen terwijl het vanuit buiten het netwerk geen probleem is om twee redenen: de poort staat via UPnP open en de afgelegde route moet uiteindelijk bij het lokale netwerk uitkomen waardoor alsnog een lokale verbinding ontstaat.

 

Het enige dat ik kan bedenken en anders staat dan voorheen – toen deze constructie nog wel werkte – is dat IPv6 nu nog uitgeschakeld staat. Volgende week spreek ik de medewerker van Ziggo weer om te controleren of alles goed verloopt en ga ik vragen of die weer aan kan, maar ik kan mij niet bedenken dat dit het probleem zou veroorzaken. 

Richard G.
Gedreven Raadgever
  • 300Reacties
  • 21Oplossingen
  • 93Likes

Tip: Mocht je een nieuwe Connectbox krijgen, vraag dan specifiek voor een Arris, het merk heeft namelijk problemen met nat-loopback (lees: werkt niet) dus dat gaat dan problemen opleveren.

privateer
Gedreven Raadgever
  • 302Reacties
  • 11Oplossingen
  • 65Likes

Geen idee wat je bedoeld maar ik lees dat je een Arris moet vragen omdat die niet werkt?

Richard G.
Gedreven Raadgever
  • 300Reacties
  • 21Oplossingen
  • 93Likes

Ja. Korte uitleg. Nat-loopback zorgt er voor dat jij van je internet netwerk, via je externe (Ziggo) ip adres weer terug naar je internet netwerk kunt.

Voorbeeld, jouw Ziggo ip is 82.50.23.23 (ik noem maar iets) je pc zit op 192.168.178.10 en je NAS op 192.168.178.20. Nu wil je via je DDNS (die dus 82.50.23.23 krijgt) naar je webserver via de forward op poort 80. Dat gaat dus niet werken als nat-loopback niet werkt. Je kunt dan wel bijv. via je 4G van je telefoon of van bij de buurman je NAS of webserver bereiken.
Enige oplossing om dit van binnenuit weer te fixen is ofwel intern ip oproepen ofwel hostnaam in hosts bestand van Windows op te nemen.

Kort gezegd. Bij een Arris werkt dit wel en bestaat dit euvel niet, ook erg handig voor bij IP camera's.

Advies: Gebruik zo weinig mogelijk uPnP, wordt zelfs afgeraden om dit aan te hebben staan in een modem, aangezien het zo heel simpel is voor malware ergens in het netwerk om benodigde poorten open te zetten.

 

Wil je het toch gebruiken, is het toch beter om forwards te maken voor de vaste dingen zoals bijv. web, ftp en zo en uPnP alleen te gebruiken voor dingetjes die je af en toe doet. Mede omdat uPnP niet gegarandeerd is en ook niet altijd 100% werkt omdat het ook applicatie afhankelijk is.

Bekijk in context

privateer
Gedreven Raadgever
  • 302Reacties
  • 11Oplossingen
  • 65Likes

@Richard G. 

Ja ik begrijp dat je NAT reflection wilt.

Maar als ik jouw tip lees is het net alsof je een kapotte modem moet bestellen die dat dus niet doet.

 

"vraag dan specifiek voor een Arris, het merk heeft namelijk problemen met nat-loopback (lees: werkt niet) dus dat gaat dan problemen opleveren."

 

Aangezien Connectbox geen merk is dacht ik dat je over de Arris modem sprak. 😉

Howmessages
topicstarter
Gedreven Ontdekker
  • 9Reacties
  • 0Oplossingen
  • 3Likes

De NAT loopback in deze Compal Connectbox zal dan waarschijnlijk het probleem zijn dat enkel bij UPnP optreedt en niet als de porten handmatig open zijn gezet. Waarschijnlijk is dit dus ook altijd al het geval geweest bij de vorige Connectbox (volgens mij ook Compal) maar mij nooit is opgevallen omdat ik standaard porten 5000 -5001 handmatig open had staan (zodat ik deze niet per ongeluk via UPnP verwijder en daarna niet meer bij de NAS kan) en dit vrijwel het enige was waarvoor ik in het lokale netwerk via DDNS verbinding maakte.

 

Dit probleem is wat mij betreft niet zo ernstig. Mocht ik DDNS voor andere zaken binnen het lokale netwerk, kan ik gemakkelijk de port openzetten. Verder heb ik sinds de installatie van de nieuwe Connectbox nog niet één keer problemen met wifi gehad en blijft de Synology ook bereikbaar van buitenaf en daar ging het mij voornamelijk om, dus ik ben blij dat deze omgeruild is.

Richard G.
Gedreven Raadgever
  • 300Reacties
  • 21Oplossingen
  • 93Likes

@Howmessages  schreef:

Maar als ik jouw tip lees is het net alsof je een kapotte modem moet bestellen die dat dus niet doet.

 


Excuseer, ik doelde met "het merk" op de Compal. Ik zie dat dit erg onduidelijk was.
Van een andere medewerker lees ik echter dat ze dit probleem inmiddels opgelost zouden hebben en de nat-loopback op de Compal wel zou werken.
Dat zou goed kunnen en kan ik later deze week ook testen.

Je hebt een nieuw modem gekregen. Is dit wel een Arris of ook een Compal? Dan weten we het meteen. 😉

Howmessages
topicstarter
Gedreven Ontdekker
  • 9Reacties
  • 0Oplossingen
  • 3Likes

Uit de context lukt het mij wel om te achterhalen wat je bedoelde. Ik denk dat de NAT loopback slechts gedeeltelijk is opgelost en nog steeds bestaat voor entries die via UPnP zijn toegevoegd.

 

Lijkt mij wel iets voor Ziggo/Compal om hier eens naar te kijken.

Jiri
Community Moderator
Community Moderator
  • 654Reacties
  • 62Oplossingen
  • 149Likes

@Howmessages @Richard G.De problemen met de NAT Loopback  op het Compal modem zijn een jaar geleden opgelost. Dit mag dan ook niet het probleem zijn. Wanneer je port forwarding instelt, moet het werken. 

Howmessages
topicstarter
Gedreven Ontdekker
  • 9Reacties
  • 0Oplossingen
  • 3Likes

@Jiri Klopt, dan werkt het ook. Maar als de port via UPnP is opengezet, bestaat de NAT loopback nog steeds. 

Uitgelicht topic