Port forwarding werkt niet, vermoedelijk door Carrier-grade NAT

Beste J_vandijk01,

Kijk eens op whatismyip.com of vergelijkbare site wat het externe IPv4 adres is. Het zou me verbazen als dat anders is dan in de router staat. Via dat adres moet zou nmap “open” moeten geven, mits de Minecraft server actief is en antwoord kan geven. De Windows firewall kan er nog voor zorgen dat een poort van binnen “open” staat en van buiten “filtered”. 

IPv6 heeft geen NAT en geen carrier grade NAT, het adres dat het modem laat zien is het WAN IPv6 adres van het modem dat nooit gebruikt wordt, alle andere adressen aan de LAN kant zijn wereldwijd unieke adressen die rechtstreeks zonder NAT benaderd kunnen worden, mits de betreffende poort op de firewall open staat. Pas daarbij wel op voor “tijdelijke” adressen, die bestaan maar een bepaalde tijd  en zijn dus niet handig voor toegang van buiten.

Hoi hmmsjan_2,

Mijn WAN IPv4 is hetzelfde in de router als op bijv. whatismyip.com

Ik draai een Linux server. Zie hier mijn UFW status
 

Ook heb ik natuurlijk een static IP adres op mijn linux server ingesteld, namelijk 192.168.2.220 dit ook terug te zien in de screenshot van de nmap.

De orginele nmap scan was ook over mijn WAN IP + poort 25565.

Als een extra test heb ik ook poort 22 opengezet en port forwarding ingesteld. Deze heeft ook de status filtered.
 

U krijgt van KPN geen echt statisch ip adres. U krijgt een dynamisch ip adres wat in de praktijk nooit wijzigt.

U weet zeker dat u het juist WAN ip gebruikt? Ik dacht eigenlijk dat het WAN ip bij een Experiabox v10 nergens in de webinterface te vinden is. Klopt dat?

Ja dat weet ik zeker, Ik kan onder Status > Connectie informatie. De WAN ip zien.

Komt dat overeen met wat er op sites als bijvoorbeeld https://www.mijnip.nl/ of https://www.ip-adres.nl/ getoond word?

Heeft u de server al eens geüpdate? Werkt dat goed? Heeft u poort 22 al eens geforward en getest?

Heb de server opnieuw geïnstalleerd vorige week ongeveer. Is ook volledige up-to-date. 

Ja de ip address komt overheen.

Ook heb ik Idd poort 22 al eens getest. 

Ik heb de tcpdump gedaan en vervolgens van buitenaf een nmap scan gedaan. Ik krijg hier een response op.

root@sneaky01:/share# tcpdump -e -i enp2s0 port 25565
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp2s0, link-type EN10MB (Ethernet), capture size 262144 bytes
19:04:09.600234 74:a7:8e:eb:23:8c (oui Unknown) > 20:cf:30:ac:eb:30 (oui Unknown), ethertype IPv4 (0x0800), length 62: ec-s2.easterncraft.net.49588 > 192.168.2.220.25565: Flags [S], seq 129816381, win 29200, options [mss 1460,nop,nop,sackOK], length 0
19:04:10.603577 74:a7:8e:eb:23:8c (oui Unknown) > 20:cf:30:ac:eb:30 (oui Unknown), ethertype IPv4 (0x0800), length 62: ec-s2.easterncraft.net.50292 > 192.168.2.220.25565: Flags [S], seq 3476513679, win 29200, options [mss 1460,nop,nop,sackOK], length 0
 

Met statische IP's is er iets waar je bij de V10 moet oppassen: als 192.168.2.220 ooit een vastgezet IP adres is, worden MAC adres en IP adres gekoppeld. Dus de binnenkomende pakketten gaan naar het MAC adres van de voormalige 192.168.2.220.

Of toch het IP adres via DHCP ophalen en vastzetten in de router. 

Zojuist mijn DHCP weer ingesteld op de linux server, hierna het ip adres vastgezet in de router en vervolgens de port forwarding aangepast naar het nieuwe ip adres. Hierna een server restart nog gedaan en de server weer aangezet. Toen de nmap scan gedaan en krijg ik keurig  een port status open. 

Goed om te weten dat op een of andere manier dezelfde hardware na een herinstallatie niet hetzelfde ip-adres kan hebben…..

Ik wil graag nog even toevoegen dat KPN geen gebruik maakt van CGNAT op het vaste netwerk. Op het mobiele netwerk wordt CGNAT toegepast maar daar is het afhankelijk van de APN die gebruikt wordt.

Gebruik je bijvoorbeeld ‘internet’ of ‘basicinternet’ dan krijg je CGNAT mét firewall voor inkomend verkeer, met ‘advancedinternet’ is er weer geen CGNAT maar ook geen firewall. De router die bij mij als back-up draait maakt gebruik van ‘advancedinternet’ en ook bij uitval van de vaste verbinding blijven server, NAS en VPN-verbindingen bereikbaar.

Dus het werkt…. Begrijpen doe ik het zelf nog niet, 192.168.2.220 ligt, althans bij mij, buiten het DHCP gebied en kan niet vastgezet worden. En bij mij werkt forwarding naar vast 220 zonder probleem. Maar goed, het is opgelost!

Ik heb nog wat geexperimenteerd met forwarding op de V10. Het adres eindigend op 220 ligt buiten de DHCP range en is niet vast te zetten. Ik krijg het probleem niet gereproduceerd. Dat herinstallatie met hetzelfde adres een probleem zou zijn lijkt me niet zo waarschijnlijk. Ik moet dan toch nog een vervelende vraag stellen, ook omdat het een server betreft: is internet verbinding vanaf de server vanaf het 220 adres naar buiten getest? Oftewel: was behalve het IP adres ook een correcte default route naar 192.168.2.254 ingesteld? DHCP doet dat automatisch.

Daarom vroeg ik: updaten, werkt dat?

@Nick83OK,nu snap ik het. Ik vroeg me af wat update zou kunnen helpen behalve misschien een reboot. Maar zonder internet geen update, dus indirect dezelfde vraag 😀 Tijd voor koffie….

De tcpdump met eenrichtingsverkeer bevestigt dat het een routing probleem kan zijn en dat het probleem dus niet de Experiabox was, maar de server.