Port forwarding werkt niet, vermoedelijk door Carrier-grade NAT
Tijd geleden kon ik gebruik maken van Port Forwarding alleen nu niet meer ik vermoed dat dit komt omdat KPN gebruik maakt van Carrier-grade NAT en dit voor ook zonder mij weten is ingesteld.
Ik heb hiervoor gebeld met KPN klantenservices die konden mij niet helpen en zei dat ik service-plus abonnement moest afnemen. Hiermee was ik het niet eens en heb een klacht ingediend. Zojuist teruggebeld over de klacht. Die verwezen mij hierheen.
De oplossing weet ik al namelijk een statische IPV4 adres toegediend krijgen. Maar elke keer als ik iemand spreek kunnen ze het zelf niet uitvoeren en ook niet laten uitvoeren door iemand anders.
Kan iemand mij hiermee helpen?
Voor het geval dat je wilt vragen om eerst wat troubleshooten te doen. Zie hier mijn lijst:
1 Server is lokaal bereikbaar via Intern IP + poort. 2 De firewall op de server heeft de poort openstaan.
3 Zie screenshots voor de port forwarding:
4 Mijn WAN IPV6 is vanaf buitenaf anders dan als ik hem bekijk in de router, wat de indicatie is voor de Carrier-grade nat. 5 Restart van server/services + restart van router.
6 een NMAP scan van buitenaf geeft aan dat mijn port de status Filtered is.
Bladzijde 1 / 1
Beste J_vandijk01,
Kijk eens op whatismyip.com of vergelijkbare site wat het externe IPv4 adres is. Het zou me verbazen als dat anders is dan in de router staat. Via dat adres moet zou nmap “open” moeten geven, mits de Minecraft server actief is en antwoord kan geven. De Windows firewall kan er nog voor zorgen dat een poort van binnen “open” staat en van buiten “filtered”.
IPv6 heeft geen NAT en geen carrier grade NAT, het adres dat het modem laat zien is het WAN IPv6 adres van het modem dat nooit gebruikt wordt, alle andere adressen aan de LAN kant zijn wereldwijd unieke adressen die rechtstreeks zonder NAT benaderd kunnen worden, mits de betreffende poort op de firewall open staat. Pas daarbij wel op voor “tijdelijke” adressen, die bestaan maar een bepaalde tijd en zijn dus niet handig voor toegang van buiten.
Beste J_vandijk01,
Kijk eens op whatismyip.com of vergelijkbare site wat het externe IPv4 adres is. Het zou me verbazen als dat anders is dan in de router staat. Via dat adres moet zou nmap “open” moeten geven, mits de Minecraft server actief is en antwoord kan geven. De Windows firewall kan er nog voor zorgen dat een poort van binnen “open” staat en van buiten “filtered”.
IPv6 heeft geen NAT en geen carrier grade NAT, het adres dat het modem laat zien is het WAN IPv6 adres van het modem dat nooit gebruikt wordt, alle andere adressen aan de LAN kant zijn wereldwijd unieke adressen die rechtstreeks zonder NAT benaderd kunnen worden, mits de betreffende poort op de firewall open staat. Pas daarbij wel op voor “tijdelijke” adressen, die bestaan maar een bepaalde tijd en zijn dus niet handig voor toegang van buiten.
Hoi hmmsjan_2,
Mijn WAN IPv4 is hetzelfde in de router als op bijv. whatismyip.com
Ik draai een Linux server. Zie hier mijn UFW status
Ook heb ik natuurlijk een static IP adres op mijn linux server ingesteld, namelijk 192.168.2.220 dit ook terug te zien in de screenshot van de nmap.
De orginele nmap scan was ook over mijn WAN IP + poort 25565.
Als een extra test heb ik ook poort 22 opengezet en port forwarding ingesteld. Deze heeft ook de status filtered.
U krijgt van KPN geen echt statisch ip adres. U krijgt een dynamisch ip adres wat in de praktijk nooit wijzigt.
U weet zeker dat u het juist WAN ip gebruikt? Ik dacht eigenlijk dat het WAN ip bij een Experiabox v10 nergens in de webinterface te vinden is. Klopt dat?
U krijgt van KPN geen echt statisch ip adres. U krijgt een dynamisch ip adres wat in de praktijk nooit wijzigt.
U weet zeker dat u het juist WAN ip gebruikt? Ik dacht eigenlijk dat het WAN ip bij een Experiabox v10 nergens in de webinterface te vinden is. Klopt dat?
Ja dat weet ik zeker, Ik kan onder Status > Connectie informatie. De WAN ip zien.
Heeft u de server al eens geüpdate? Werkt dat goed? Heeft u poort 22 al eens geforward en getest?
@Nick83 Ik heb altijd een externe site gebruikt om het externe adres te achterhalen, maar inderdaad staat er nu het IPv4 externe adres en het IPv6 adres van de WAN interface waaruit je je prefix kunt afleiden. Blijkbaar een firmware update...
Met statische IP's is er iets waar je bij de V10 moet oppassen: als 192.168.2.220 ooit een vastgezet IP adres is, worden MAC adres en IP adres gekoppeld. Dus de binnenkomende pakketten gaan naar het MAC adres van de voormalige 192.168.2.220.
Het is een linux systeem, dus ik zou even met
“tcpdump -e -i <interface> port 25565”
kijken of er iets op de lijn binnenkomt en of het MAC adres klopt.
Of toch het IP adres via DHCP ophalen en vastzetten in de router.
tcpdump -e -i wls1 port 25565 dropped privs to tcpdump tcpdump: verbose output suppressed, use -vev]... for full protocol decode listening on wls1, link-type EN10MB (Ethernet), snapshot length 262144 bytes 20:38:30.657839 b0d2:57:41:0e (oui Unknown) > 00:21:6b:a0:8d:4a (oui Unknown), ethertype IPv4 (0x0800), length 74: 198.199.98.246.41580 > lap1.25565: Flags , seq 1946610995, win 14600, options 6mss 1460,sackOK,TS val 1172716322 ecr 0,nop,wscale 8], length 0
Heeft u de server al eens geüpdate? Werkt dat goed? Heeft u poort 22 al eens geforward en getest?
Heb de server opnieuw geïnstalleerd vorige week ongeveer. Is ook volledige up-to-date.
Ja de ip address komt overheen.
Ook heb ik Idd poort 22 al eens getest.
@Nick83 Ik heb altijd een externe site gebruikt om het externe adres te achterhalen, maar inderdaad staat er nu het IPv4 externe adres en het IPv6 adres van de WAN interface waaruit je je prefix kunt afleiden. Blijkbaar een firmware update...
Met statische IP's is er iets waar je bij de V10 moet oppassen: als 192.168.2.220 ooit een vastgezet IP adres is, worden MAC adres en IP adres gekoppeld. Dus de binnenkomende pakketten gaan naar het MAC adres van de voormalige 192.168.2.220.
Het is een linux systeem, dus ik zou even met
“tcpdump -e -i <interface> port 25565”
kijken of er iets op de lijn binnenkomt en of het MAC adres klopt.
Of toch het IP adres via DHCP ophalen en vastzetten in de router.
tcpdump -e -i wls1 port 25565 dropped privs to tcpdump tcpdump: verbose output suppressed, use -vev]... for full protocol decode listening on wls1, link-type EN10MB (Ethernet), snapshot length 262144 bytes 20:38:30.657839 b0d2:57:41:0e (oui Unknown) > 00:21:6b:a0:8d:4a (oui Unknown), ethertype IPv4 (0x0800), length 74: 198.199.98.246.41580 > lap1.25565: Flags , seq 1946610995, win 14600, options 6mss 1460,sackOK,TS val 1172716322 ecr 0,nop,wscale 8], length 0
Ik heb de tcpdump gedaan en vervolgens van buitenaf een nmap scan gedaan. Ik krijg hier een response op.
Met statische IP's is er iets waar je bij de V10 moet oppassen: als 192.168.2.220 ooit een vastgezet IP adres is, worden MAC adres en IP adres gekoppeld. Dus de binnenkomende pakketten gaan naar het MAC adres van de voormalige 192.168.2.220.
Of toch het IP adres via DHCP ophalen en vastzetten in de router.
Zojuist mijn DHCP weer ingesteld op de linux server, hierna het ip adres vastgezet in de router en vervolgens de port forwarding aangepast naar het nieuwe ip adres. Hierna een server restart nog gedaan en de server weer aangezet. Toen de nmap scan gedaan en krijg ik keurig een port status open.
Goed om te weten dat op een of andere manier dezelfde hardware na een herinstallatie niet hetzelfde ip-adres kan hebben…..
Ik wil graag nog even toevoegen dat KPN geen gebruik maakt van CGNAT op het vaste netwerk. Op het mobiele netwerk wordt CGNAT toegepast maar daar is het afhankelijk van de APN die gebruikt wordt.
Gebruik je bijvoorbeeld ‘internet’ of ‘basicinternet’ dan krijg je CGNAT mét firewall voor inkomend verkeer, met ‘advancedinternet’ is er weer geen CGNAT maar ook geen firewall. De router die bij mij als back-up draait maakt gebruik van ‘advancedinternet’ en ook bij uitval van de vaste verbinding blijven server, NAS en VPN-verbindingen bereikbaar.
Dus het werkt…. Begrijpen doe ik het zelf nog niet, 192.168.2.220 ligt, althans bij mij, buiten het DHCP gebied en kan niet vastgezet worden. En bij mij werkt forwarding naar vast 220 zonder probleem. Maar goed, het is opgelost!
Ik heb nog wat geexperimenteerd met forwarding op de V10. Het adres eindigend op 220 ligt buiten de DHCP range en is niet vast te zetten. Ik krijg het probleem niet gereproduceerd. Dat herinstallatie met hetzelfde adres een probleem zou zijn lijkt me niet zo waarschijnlijk. Ik moet dan toch nog een vervelende vraag stellen, ook omdat het een server betreft: is internet verbinding vanaf de server vanaf het 220 adres naar buiten getest? Oftewel: was behalve het IP adres ook een correcte default route naar 192.168.2.254 ingesteld? DHCP doet dat automatisch.
Daarom vroeg ik: updaten, werkt dat?
@Nick83OK,nu snap ik het. Ik vroeg me af wat update zou kunnen helpen behalve misschien een reboot. Maar zonder internet geen update, dus indirect dezelfde vraag Tijd voor koffie….
De tcpdump met eenrichtingsverkeer bevestigt dat het een routing probleem kan zijn en dat het probleem dus niet de Experiabox was, maar de server.
De Kennisbank
Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank
Enter your E-mail address. We'll send you an e-mail with instructions to reset your password.
Bestand scannen voor virussen
Sorry, we zijn de inhoud van dit bestand nog aan het controleren om er zeker van te zijn dat het veilig is om te downloaden. Probeer het nog een keer over een paar minuten.
d2:57:41:0e (oui Unknown) > 00:21:6b:a0:8d:4a (oui Unknown), ethertype IPv4 (0x0800), length 74: 198.199.98.246.41580 > lap1.25565: Flags 
30
Tijd voor koffie….