Skip to main content

Hoi kpn familie, 

Ik zat ooit bij xs4all met mijn trouwe 7360 fritzbox. tot we paar maand terug overgingen naar kpn. 
nu heeft de 7360 geen kpn optie in het verbindingsmenu staan, maar de xs4all settings werken ook gewoon bij kpn, dacht ik.
Omdat onze oude fritzbox (7360, ex xs4all router) regelmatig storingen gaf heeft kpn ons een nieuwe, de 7583. 

Gegeven paard mag je niet in de mond kijken, maar in dit geval ben ik er nog niet heel erg blij mee. 
Kan alles redelijk instellen zoals het was bij het oude modem, maar voor mij het belangrijkste, een aantal poorten forwarden lukt me niet. 

In dit geval wil ik graag een mysql port forwarden (3306) naar een server die hier intern staat. 
zie screenshot hieronder. 
bij parent control staat alles unblocked.

Wanneer ik via een service zoals bv https://canyouseeme.org/ de poort check, blijkt hij closed. 
contact gehad met avm zij geven aan dat zulke portscanners door de fritzbox worden geblokkeerd. 

Dan probeer ik het op de manier waarop het uiteindelijk moet werken, dus via een pc die buiten mijn netwerk staat, maak ik verbinding met een mysql-client richting mijn publieke/wan/externe ip adres, ook dan krijg ik ook een timeout. (zie ook niets weer in de acces logs van de msyql server) 
(event log van de fritzbox geeft ook niets weer, maar heb niet het idee dat hij het niet in dat log zou zetten,)
verbinding maken binnen het netwerk met de mysql server is geen probleem.

 

Wanneer ik nu mijn oude fritzbox (7360) terug zet werkt alles perfect. 
mooi zo laten staan dan zou je zeggen :-) 
helaas geeft deze router om de zoveel tijd verbindingsproblemen. 
Mocht iemand een tip hebben hoe ik deze juist in kan stellen voor kpn, dan vind ik dat ook best .
tis een oud beestje maar voldoet nog ruim.

mooiste is natuurlijk om de nieuwe fritzbox zover te krijgen dat hij de ingestelde poorten netjes doorstuurt. 

 

mvg peter.

 

setting nieuwe fritzbox

 

settings oude router 

 


Je zou die poort never nooit moeten willen forwarden. Want een mysql server kent geen of bijna geen beveiliging. Een mysql server bereikbaar vanaf internet is een enorm groot beveiligingsrisico.

Bij de meeste Linux distro's is het standaard überhaupt niet eens mogelijk om verbinding te maken vanaf een ander systeem. Dat is juist om die security issues zo ingesteld. Hoe het op Windows werkt weet ik het niet.

Maar goed. Als u het echt wilt: onder "IP Adress in the Internet", wat heeft u daar staan? U heeft het zwart gemaakt, maar welk ip heeft u daar staan?

U hoeft het adres niet te noemen. Maar ... nogal eens vult men daar het eigen WAN ip in. Dat is fout. Vul om te testen daar eens niets in. Of een sterretje als niets niet geaccepteerd word. 


Je zou die poort never nooit moeten willen forwarden. Want een mysql server kent geen of bijna geen beveiliging. Een mysql server bereikbaar vanaf internet is een enorm groot beveiligingsrisico.

Bij de meeste Linux distro's is het standaard überhaupt niet eens mogelijk om verbinding te maken vanaf een ander systeem. Dat is juist om die security issues zo ingesteld. Hoe het op Windows werkt weet ik het niet.

Maar goed. Als u het echt wilt: onder "IP Adress in the Internet", wat heeft u daar staan? U heeft het zwart gemaakt, maar welk ip heeft u daar staan?

U hoeft het adres niet te noemen. Maar ... nogal eens vult men daar het eigen WAN ip in. Dat is fout. Vul om te testen daar eens niets in. Of een sterretje als niets niet geaccepteerd word. 

even los van het feit of het wenselijk is om een mysql poort open te zeten. 
onder het zwarte staat inderdaad mijn externe/publieke/wan ip adres. 

dit is iets wat hij er zelf neerzet. 
wanneer ik de forward wil wijzigen dan zijn deze velden ook grijs en niet aanpasbaar? 

 


@peter_dezenaamisalingebruik Is het nog gelukt met de forward? Ik zou je anders nog even willen wijzen op ons Fritzbox topic op het forum. Daar staan ervaringen maar ook linkjes naar handleidingen. Je kunt ook altijd nog even bellen met 0800-0402 dan zal worden doorverbonden met een Serviceplus medewerker. 


Ik heb een andere port(voor hyper backup) in de forward, en die forward die werkt:

Je zou ook de firewall van de NAS even kunnen checken, of de ip adressen daar allemaal goed staan.


Je zou die poort never nooit moeten willen forwarden. Want een mysql server kent geen of bijna geen beveiliging. Een mysql server bereikbaar vanaf internet is een enorm groot beveiligingsrisico.

Bij de meeste Linux distro's is het standaard überhaupt niet eens mogelijk om verbinding te maken vanaf een ander systeem. Dat is juist om die security issues zo ingesteld. Hoe het op Windows werkt weet ik het niet.

Maar goed. Als u het echt wilt: onder "IP Adress in the Internet", wat heeft u daar staan? U heeft het zwart gemaakt, maar welk ip heeft u daar staan?

U hoeft het adres niet te noemen. Maar ... nogal eens vult men daar het eigen WAN ip in. Dat is fout. Vul om te testen daar eens niets in. Of een sterretje als niets niet geaccepteerd word. 

Waar baseer je op dat het geen beveiliging kent?
Dit kan prima en het heeft ook een ipadres beveiliging.


@peter_dezenaamisalingebruik Is het nog gelukt met de forward? Ik zou je anders nog even willen wijzen op ons Fritzbox topic op het forum. Daar staan ervaringen maar ook linkjes naar handleidingen. Je kunt ook altijd nog even bellen met 0800-0402 dan zal worden doorverbonden met een Serviceplus medewerker. 


ik heb mijn oude router terug gezet omdat ik de forward echt nodig ben. 
maar opeens werkt de forward op het oude router ook niet meer. 
bizar heeft jaren lang gewerkt.  En de settings op oude router waren niet gewijzigd. 

heb het uit eindelijk op kunnen lossen door mac adres van de mysql server aan te passen. 
(is een virtuele machine) 
Dit heeft er voor gezorgd dat het op beide router nu weer werkt. 


Je zou die poort never nooit moeten willen forwarden. Want een mysql server kent geen of bijna geen beveiliging. Een mysql server bereikbaar vanaf internet is een enorm groot beveiligingsrisico.

Bij de meeste Linux distro's is het standaard überhaupt niet eens mogelijk om verbinding te maken vanaf een ander systeem. Dat is juist om die security issues zo ingesteld. Hoe het op Windows werkt weet ik het niet.

Maar goed. Als u het echt wilt: onder "IP Adress in the Internet", wat heeft u daar staan? U heeft het zwart gemaakt, maar welk ip heeft u daar staan?

U hoeft het adres niet te noemen. Maar ... nogal eens vult men daar het eigen WAN ip in. Dat is fout. Vul om te testen daar eens niets in. Of een sterretje als niets niet geaccepteerd word. 

@Nick83 

Zoals @AriënClaij65 al aangeeft zijn er een paar punten in je post die toelichting nodig hebben:

  • het IP adress voor dit scherm in de FritzBox “in the internet” is je externe wan adres zoals door KPN aan jouw router toegekend. Dus dat stond goed.
  • Het overgrote deel van de webservers op internet draait op Linux. Ook Synology DS is een Linux variant, juist omdat linux zo veilig met de connectie naar andere systemen omgaat. En ja, natuurlijk staat alles standaard dicht. Dus ik snap je opmerking niet helemaal.
  • Het openen van poort 3306, dat ben ik met je eens. Consensus is dat openen van poort 3306 een beveiligingsrisico blijft.  Bijvoorbeeld het genoemde op IP beveiligen is zeker niet waterdicht (IP spoofing). Alternatief zou kunnen zijn om Mysql via  een secure SSH te benaderen via poort 22. Er zijn denk ik ook wel mogelijkheden om dit via een VPN tunnel op te zetten.

Los van IP-spoofing wat al geen makkelijke is, zit je ook nog met de credentials die je moet weten. Als je de boel goed updated kan het geen kwaad.


Los van IP-spoofing wat al geen makkelijke is, zit je ook nog met de credentials die je moet weten. Als je de boel goed updated kan het geen kwaad.

Op de mysql server staat de data. Het belangrijkste en meest waardevolle wat je hebt op een server. Dat wil je niet achter 1 wachtwoord hebben. Dat is buitengewoon risicovol. Daar bouw je meerdere beveiliginslagen omheen. Zeker ook omdat het wachtwoord van een mysqlserver doorgaans meerdere jaren hetzelfde blijft.


Zoals @AriënClaij65 al aangeeft zijn er een paar punten in je post die toelichting nodig hebben:

  • het IP adress voor dit scherm in de FritzBox “in the internet” is je externe wan adres zoals door KPN aan jouw router toegekend. Dus dat stond goed.

Blijkbaar. Dan weet ik dus niet waarom het niet werkt.


Los van IP-spoofing wat al geen makkelijke is, zit je ook nog met de credentials die je moet weten. Als je de boel goed updated kan het geen kwaad.

Op de mysql server staat de data. Het belangrijkste en meest waardevolle wat je hebt op een server. Dat wil je niet achter 1 wachtwoord hebben. Dat is buitengewoon risicovol. Daar bouw je meerdere beveiliginslagen omheen. Zeker ook omdat het wachtwoord van een mysqlserver doorgaans meerdere jaren hetzelfde blijft.

Dat klopt, niet alleen achter een wachtwoord maar ook achter een IP-adres. Het beste advies is om achter een VPN te zitten. Maar je kan er ook voor kiezen om MySQL op een andere poort te draaien.

Verder moet je het wachtwoord van een mysql-server (root) ook niet naar buiten brengen, en gewoon netjes users aanmaken met de juiste rechten.

Verder vind ik je argument dat data het belangrijkste is, niet echt sterk omdat je de situatie niet kent. Misschien is het gewoon niet zo spannende data voor een buitenstaander, zoals sensorinformatie of iets wat gescraped of verzameld is. Dus niet te vroeg oordelen ;)