Skip to main content
Antwoord

Port forwarding issue met V12, werkt wel buiten DMZ

  • November 12, 2025
  • 15 reacties
  • 82 keer bekeken
A
Deelnemer
Forum|alt.badge.img

Ik heb op de box 12 router port forwarding toegepast voor UDP-poort 1194 naar de QNAP NAS voor een OpenVPN verbinding. Deze blijft gesloten, maar als ik de QNAP NAS in de router buiten de DMZ plaats werkt het wel. Wat gaat er mis?

 

Copilot:

Je observatie is scherp, en dit gedrag wijst inderdaad op een beperking of conflict in de manier waarop de Box 12 router van KPN omgaat met port forwarding en DMZ. Hier zijn de mogelijke oorzaken en oplossingen:

🧩 Wat gaat er mis?

  1. DMZ overschrijft port forwarding:
    • Op veel routers, inclusief de Box 12, heeft DMZ prioriteit boven port forwarding.
    • Als je een apparaat in de DMZ plaatst, worden alle inkomende poorten naar dat apparaat gestuurd, ongeacht je port forwarding regels.
    • Maar als je niet in de DMZ zit, dan is port forwarding actief — en dat lijkt bij jou juist niet goed te werken.
  2. UDP forwarding op Box 12 is onbetrouwbaar:
    • Er zijn meldingen dat de Box 12 problemen heeft met UDP-port forwarding, vooral voor VPN-poorten zoals 1194.
    • TCP-poorten werken meestal goed, maar UDP vereist soms extra configuratie of werkt simpelweg niet stabiel.
  3. Firewall of NAT loopback issues:
  • De router kan inkomende verbindingen blokkeren als ze van binnen het netwerk komen (NAT loopback).
  • Of de firewall van de Box 12 kan UDP-verkeer op poort 1194 blokkeren, tenzij het apparaat in de DMZ staat.

✅ Wat kun je doen?

  • Gebruik DMZ als workaround:
    • Als het werkt via DMZ en je NAS goed beveiligd is (sterke wachtwoorden, geen onnodige services open), dan is dit een tijdelijke oplossing.
    • Zorg wel dat je NAS zelf een firewall heeft en dat OpenVPN goed is afgeschermd.
  • Alternatief: eigen router achter de Box 12:
    • Zet de Box 12 in bridge mode (indien mogelijk via KPN klantenservice).
    • Gebruik een eigen router die betere port forwarding en firewall controle biedt.
    • Dit is de meest robuuste oplossing voor VPN en NAS-gebruik.
  • Controleer of UPnP of dubbele NAT actief is:
  • Schakel UPnP uit op de NAS en router.
  • Zorg dat je geen dubbele NAT hebt (bijv. als je een extra router gebruikt achter de Box 12).

🔍 Testtips

 

Ter informatie, er zijn meerdere gelijke ervaringen maar zijn er ook oplossingen of ligt dit aan de software van de router die een update verdient?

Beste antwoord door aadmun

@Marlon92 

@Remco van KPN 

!--startfragment>

Wat hebben we uit deze discussie geleerd:

  • Het openen van een poort voor bijvoorbeeld een VPN‑verbinding gebeurt via port forwarding op de Box12‑router. Let op: het veld “Internet IP adres” vraagt niet om je eigen internetadres, maar om een restrictie die bepaalt welke externe IP‑adressen toegang krijgen tot de port forward. Het label is dus misleidend en zou beter “IP‑adresrestricties” kunnen heten.
  • Het plaatsen van de NAS buiten de DMZ was slechts een tijdelijke workaround. Dit levert extra risico’s op die weliswaar deels met een NAS‑firewall kunnen worden afgevangen, maar de aanbeveling is om deze methode niet te gebruiken.
  • UDP‑poorten kun je testen via de website IPVoid met de UDP Port Scan. Houd er rekening mee dat UDP een eenvoudig protocol is zonder gegarandeerde antwoorden, maar als een poort “open” is, dan is die ook echt open.

Conclusie: de belangrijkste punten zijn besproken en de discussie kan worden afgesloten.

!--endfragment>

15 reacties

Remco van KPN
Moderator
Forum|alt.badge.img+16

Ik durf het niet meteen te zeggen ​@aadmun je krijgt dus in zijn geheel contact buiten de DMZ met je NAS? Heb je een vast IP-adres aan de NAS toegewezen? Je zou dat nog even kunnen testen. 

M
Topper
  • Marlon92
  • November 14, 2025

Kan je die onzin van Copilot weghalen? Er staan allerlei onwaarheden in.

Het gaat hier om poort 1194. OpenVPN. UDP verkeer. Een UDP poort forwarding kan je niet testen met een online poortscanner. Die zal dan altijd dicht zijn.

En DMZ krijg geen prioriteit boven poortforwardings. Eerst worden de poortforwardings afgehandeld. Het overige verkeer gaat naar DMZ als dat ingesteld staat.

Heb ik pas nog getest en schermafdrukken van hier op het forum gezet.

De KPN Box 12 kan ook niet in bridge modus. Ook niet via de klantenservice. Het kan gewoon helemaal niet.

Laat je Internet IP adres leeg bij de poortforwarding?

A
Deelnemer
Forum|alt.badge.img
  • aadmun
  • Auteur
  • Deelnemer
  • November 14, 2025

@Marlon92

Het klopt dat het hier gaat om UDP-poort 1194. Via de UDP Port Scan op de website van IPVoid kun je controleren of deze poort openstaat. We hebben dit getest op twee KPN-locaties:

  • Locatie 1: Fritz!Box 5590 – hier werkte de configuratie direct correct.
  • Locatie 2: KPN Box 12 – ondanks een correcte portforwarding van poort 1194 blijft de poort gesloten.

De enige werkende workaround bleek het loskoppelen van de gekoppelde NAS (waar de VPN-verbinding op eindigt) van de firewall/portforwarder, en deze buiten de DMZ te plaatsen. Daarmee krijgt dat voorrang!
Het nadeel hiervan is echter dat de NAS nu, door indringers, direct bereikbaar is via een poortscan en poging tot inloggen, waardoor we genoodzaakt waren een extra firewall op de NAS zelf te activeren om de beveiliging te waarborgen.

Wat ik niet begrijp, is waarom dit bekende portforwardingprobleem met de Box 12 nog steeds niet is opgelost. Van een partij als KPN mag je verwachten dat zij dit soort structurele problemen adequaat aanpakken, in plaats van eindgebruikers op te zadelen met onveilige workarounds.

A
Deelnemer
Forum|alt.badge.img
  • aadmun
  • Auteur
  • Deelnemer
  • November 14, 2025

@Remco van KPN

Een NAS dient altijd te beschikken over een vast IP-adres om de bereikbaarheid binnen het netwerk te waarborgen. Deze bevinding is inmiddels door meerdere gebruikers gerapporteerd en kan door KPN eenvoudig worden gevalideerd.

Indien ook bij jullie blijkt dat UDP-portforwarding alleen functioneert wanneer het betreffende apparaat buiten de DMZ wordt geplaatst, dan is het raadzaam om dit probleem officieel te laten corrigeren door de leverancier van de Box 12. Een firmware-update zou in dat geval een passende en welkome oplossing zijn.

M
Topper
  • Marlon92
  • November 14, 2025

Wat ik niet begrijp, is waarom dit bekende portforwardingprobleem met de Box 12 nog steeds niet is opgelost. 

Er is helemaal geen probleem. Poort forwarding werkt gewoon correct. Jij hebt iets verkeerds ingesteld.

A
Deelnemer
Forum|alt.badge.img
  • aadmun
  • Auteur
  • Deelnemer
  • November 14, 2025

@Marlon92

Dan krijgen we graag de gouden tip (en geen workaroud).

Nu conform het BOX12 menu: externe WAN-IP4 poort UDP-1194 geforward naar interne NAS met vast IP4 naar poort UDP-1194. Meer is er niet in te stellen.

Ben benieuwd.

M
Topper
  • Marlon92
  • November 14, 2025

Kun je een schermafdruk laten zien van de poortforwarding? Is Internet IP adres leeg?

Heb je een ip reservering gemaakt voor de NAS?

Het ip adres heb je niet ingesteld op de NAS? De NAS haalt het ip adres op via DHCP?

A
Deelnemer
Forum|alt.badge.img
  • aadmun
  • Auteur
  • Deelnemer
  • November 14, 2025

@Marlon92 !--startfragment>

Een schermafdruk van de portforwarding-instelling is momenteel niet beschikbaar, aangezien de configuratie van de Box 12 zich op een andere locatie bevindt.

Het externe IP-adres is actief, komt overeen met het WAN-adres en begint met 82.x.x.x. De NAS beschikt over een statisch IP-adres buiten de DHCP-range (..20–..200) en is in de Box 12 vast toegewezen aan intern adres x.x.x.250.

De volledige OpenVPN-verbinding van client naar server functioneert correct zodra de NAS buiten de DMZ van de Box 12 wordt geplaatst. Dit bevestigt dat het niet aan de interne IP-adressering ligt. Een UDP-scan toont in dat geval ook een open poort op 1194.

De conclusie is dat de ingestelde portforwarding voor UDP-poort 1194 geen dataverkeer doorlaat zolang de NAS zich binnen de DMZ bevindt.

Aanvullende tips zijn welkom.

!--endfragment>

M
Topper
  • Marlon92
  • November 14, 2025

Is "Internet IP adres" leeg?

Staat de regel actief? Schuifje groen?

A
Deelnemer
Forum|alt.badge.img
  • aadmun
  • Auteur
  • Deelnemer
  • November 14, 2025

@Marlon92 

Ik kan niet zien of “Internet IP adres” leeg is omdat ik niet op de locatie ben van de Box12.

Het schuifje staat op groen dat weet ik zeker.

Aanstaande woensdag ben ik er weer en dan kijk er naar.

Bedankt zover, wordt vervolgd.

Remco van KPN
A
Deelnemer
Forum|alt.badge.img
  • aadmun
  • Auteur
  • Deelnemer
  • November 19, 2025

!--startfragment>

@Marlon92 
Het veld “Internet IP-adres” was bij ons ingevuld met het publieke IP-adres van de BOX12-router (82.x.x.x), wat op het eerste gezicht logisch leek.

Zodra we dit veld leegmaakten, werkte IP-forwarding direct en kon de NAS weer probleemloos in de DMZ worden geplaatst. Kortom: een gouden tip — dank daarvoor!

Als ik het informatiescherm bij het veld “Internet IP-adres” lees, lijkt de onderste regel te suggereren dat het ook zou moeten werken wanneer je daar het IP-adres invult waarmee de Box12 aan internet is gekoppeld. In de praktijk blijkt dat echter niet zo te zijn.

We hebben hierover ook contact gehad met de KPN-servicedesk, maar daar kwam deze oplossing niet naar voren. Hun alternatief was om de NAS buiten de DMZ te plaatsen.

@Remco van KPN Ons advies aan KPN: overweeg om het label “Internet IP-adres” te wijzigen in bijvoorbeeld “Internet IP-adres (restricties)”. Dat zou gebruikers stimuleren om het bijbehorende informatieveld te openen en beter te begrijpen wat ermee bedoeld wordt.

Wat precies de betekenis is van de onderste regel — “IP internet bron beperkt tot de ingevoerde host” — blijft vooralsnog onduidelijk. Als iemand daar meer duidelijkheid over heeft, dan horen we het graag.

!--endfragment>

M
Topper
  • Marlon92
  • November 19, 2025

Ik weet niet precies wat je bedoelt met binnen en buiten DMZ. Maar je moet DMZ gewoon helemaal niet gebruiken. DMZ gebruikt je alleen voor een 2de router die je achter de Experiabox/KPN Box koppelt. Nergens anders voor.

Bij Internet IP adres vul je niet je eigen WAN adres in. Maar het WAN adres van ... de "andere kant".

Maar als de "andere kant" jou mobiele telefoon op 4G is, dan zal het WAN adres van jouw mobiele telefoon telkens anders zijn. Dus dan is het geen optie om daar iets in te vullen. Je weet het WAN ip niet van jouw mobiele telefoon en het zal steeds anders zijn. Onmogelijk om iets in te vullen dus.

Remco van KPN
JanD
Superuser
  • JanD
  • Superuser
  • November 19, 2025

Bij mijn weten heb je DMZ nergens voor nodig, ook niet voor het plaatsen van een extra router achter de KPN modem. Ik heb met zo’n opstelling nog nooit DMZ nodig gehad, levensgevaarlijk.

 

M
Topper
  • Marlon92
  • November 19, 2025

Bij mijn weten heb je DMZ nergens voor nodig, ook niet voor het plaatsen van een extra router achter de KPN modem. Ik heb met zo’n opstelling nog nooit DMZ nodig gehad, levensgevaarlijk.

In principe heb je DMZ inderdaad ook bij een 2de router niet nodig. Zonder DMZ heb je ook gewoon internet achter de 2de router. Maar als je poorten open wilt zetten, dan moet je dat dus 2 keer doen. Opzich ook nog niets mis mee. Dat werkt gewoon. Maar het is wat extra werk dan DMZ gebruiken 😉

A
Deelnemer
Forum|alt.badge.img
  • aadmun
  • Auteur
  • Deelnemer
  • Antwoord
  • November 21, 2025

@Marlon92 

@Remco van KPN 

!--startfragment>

Wat hebben we uit deze discussie geleerd:

  • Het openen van een poort voor bijvoorbeeld een VPN‑verbinding gebeurt via port forwarding op de Box12‑router. Let op: het veld “Internet IP adres” vraagt niet om je eigen internetadres, maar om een restrictie die bepaalt welke externe IP‑adressen toegang krijgen tot de port forward. Het label is dus misleidend en zou beter “IP‑adresrestricties” kunnen heten.
  • Het plaatsen van de NAS buiten de DMZ was slechts een tijdelijke workaround. Dit levert extra risico’s op die weliswaar deels met een NAS‑firewall kunnen worden afgevangen, maar de aanbeveling is om deze methode niet te gebruiken.
  • UDP‑poorten kun je testen via de website IPVoid met de UDP Port Scan. Houd er rekening mee dat UDP een eenvoudig protocol is zonder gegarandeerde antwoorden, maar als een poort “open” is, dan is die ook echt open.

Conclusie: de belangrijkste punten zijn besproken en de discussie kan worden afgesloten.

!--endfragment>

Remco van KPN

De Kennisbank

Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank

...

Community voorwaardenAccessibility statement