Webserver van buitenaf aanspreken - Proximus (B-Box 3)

[Yowannes]

Al verschillende jaren dit forum op passieve (en vooral occassionele wijze) aan het volgen, maar nu zit ik toch met een vraag die ik zelf even wil voorleggen. (Werd ook gepost op im.be):

Zijn er onder jullie die me even kunnen verder helpen met mijn opstelling:
Ik heb hier een Mac-mini die ik als webserver wil gaan gebruiken van buiten af (van buiten ons eigen netwerk dus).
We zitten bij Proximus (dynamisch IP, dus) en hebben een BBOX 3.

Waar sta ik vandaag:
- De Mac Mini heeft intern IP 192.168.1.20
- Gezien het dynamisch aspect van mijn extern IP, heb ik via NO-IP een eigen webadres vastgelegd. Iets in de trend van mijneigenadres.ddns.net
- De NO-IP applicatie draait op de Mac Mini en stuurt regelmatig updates door omtrent mijn IP.
- De webserver is ingesteld met MAMP. Als ik deze lokaal wil bereiken, dan geef ik op de Mac Mini in: http://localhost:8080

Mijn idee was dat ik extern zou kunnen inloggen door in te geven: mijneigenadres.ddns.net:8080
Maar dat werkt dus niet. Ik heb dan de Poort forwarding opengezet in de BBOX, maar blijkbaar blokkeert Proximus poort 8080.
En daar zit ik nu even vast.
Iemand een suggestie wat ik kan proberen?

Misschien wel nog even meegeven: als ik momenteel naar mijneigenadres.ddns.net (zonder :8080) surf, dan krijg ik een pagina te zien van mijn WD NAS, wat op zich niet mijn bedoeling is.

Alvast bedankt!

[lanadekat]

Werkt de webserver niet op een andere poorly? Bv. 25565
En voor zulke dingen is het meestal een betere en stabielere oplossing om zelf een router te plaatsen.

[jackho]

poort 8080 kunt u inderdaad niet openen.
Maar je kan in de port forwarding wel de externe poort op een ander poortnummer zetten (dat wel open is) dan het interne poortnummer.
Zie ook eens in je MyProximus of CGNAT niet actief is, indien wel, vink die best uit, kan soms ook voor problemen zorgen.

[StarWing]

Van waar probeer je de server te bereiken ? Indien je dit doet vanaf je "binnen" netwerk, zou het kunnen dat dit niet werkt als de bbox geen reverse nat ondersteund.

[jackho]

De bbox3 ondersteunt wel reverse nat, dacht ik toch gelezen te hebben hier op het forum van anderen die het al getest hebben.

[philippe_d]

De NO-IP applicatie draait op de Mac Mini en stuurt regelmatig updates door omtrent mijn IP.

Waarom niet de dyndns client van jouw b-box3 gebruiken?
Deze zal veel vlugger reageren bij een IP wijziging dan jouw Max Mini ...
Mijn modem > Dyndns > Leverancier: No-IP >

De webserver is ingesteld met MAMP. Als ik deze lokaal wil bereiken, dan geef ik op de Mac Mini in: http://localhost:8080
Mijn idee was dat ik extern zou kunnen inloggen door in te geven: mijneigenadres.ddns.net:8080
Maar dat werkt dus niet

Je hoeft de poort van jouw webserver niet te wijzigen.
Inderdaad zoals jachho aangaf: in de B-box3 een "willekeurige" poort forwarden naar poort 8080 intern (192.168.1.20)
Toegangscontrole > poortmapping >

• externe poort begin: 12345
  externe poort einde: 12345
  interne poort: 8080
  interne host: 192.168.1.20
  externe host: om het even
  beschrijving: webserver

Van waar probeer je de server te bereiken ? Indien je dit doet vanaf je "binnen" netwerk, zou het kunnen dat dit niet werkt als de bbox geen reverse nat ondersteund.

Gezien hij van "binnen" zijn netwerk zijn WD NAS bereikt via zijn eigen ddns adres, ondersteunt zijn modem wel degelijke reverse nat.

Misschien wel nog even meegeven: als ik momenteel naar mijneigenadres.ddns.net (zonder :8080) surf, dan krijg ik een pagina te zien van mijn WD NAS, wat op zich niet mijn bedoeling is.

Dat is inderdaad een probleem. Staat poort 80 open naar jouw NAS? Heeft jouw NAS via UPnP poorten opengezet? Eventueel UPnP uitschakelen op jouw NAS?

[Yowannes]

poort 8080 ...
Zie ook eens in je MyProximus of CGNAT niet actief is....

Dank je wel. Ik ben in MyProximus even gaan grasduinen waar ik dit kan vinden, maar tot hier toe zonder resultaat.
Ik had via Google gevonden dat ik ergens in "My products" => "Internet" zou moeten gaan en daar het vakje "IP adres vertaling" uitvinken, maar dat blijkt nergens te vinden.

[Yowannes]

Van waar probeer je de server te bereiken ? ...

Van buiten af, net omwille van de reden die je aangaf. Ik doe dit via mijn smartphone (4G verbinding, uiteraard. Wifi staat dan uit).
Het is ook op die wijze dat ik op de WD-pagina van de NAS kom.

[jackho]

Als je het niet terugvindt dan zal je -> CGNAT ook niet toegepast worden en kan dit zeker je probleem niet zijn.

[Yowannes]

Waarom niet de dyndns client van jouw b-box3 gebruiken?
...

Inderdaad, dat probeer ik straks even.

Je hoeft de poort van jouw webserver niet te wijzigen.
Inderdaad zoals jachho aangaf: in de B-box3 een "willekeurige" poort forwarden naar poort 8080 intern (192.168.1.20)
Toegangscontrole > poortmapping >

• externe poort begin: 12345
  externe poort einde: 12345
  interne poort: 8080
  interne host: 192.168.1.20
  externe host: om het even
  beschrijving: webserver

Heb ik alvast geprobeerd, maar lukt toch niet. Bij protocol heb ik wel nog de TCP-UDP en bij Service "None" (omdat ik vermoed dat dat voor-geprogrammeerde instellingen zijn).

...Staat poort 80 open naar jouw NAS? Heeft jouw NAS via UPnP poorten opengezet? Eventueel UPnP uitschakelen op jouw NAS?

Op de BBOX staan alleszins geen andere poorten open. Op de WD NAS (MyCloud trouwens) zie ik geen mogelijkheid op UPnP uit te schakelen (staat er nergens zo op vermeld). Wel kan ik de remote access uitzetten, waarvan ik vermoed dat dat zowat hetzelfde zou moeten doen (en het gebruik van de poort 80 uitzetten).
Eenmaal dat gebeurd was, dan krijg ik het volgende te zien (bij extern inloggen dus via 4G-datanetwerk en niet via eigen netwerk):
- bij mijneigenadres.ddns.net => wordt doorgestuurd naar mijneigenadres.ddns.net/UI . Dit blijft laden en geeft na verloop van tijd de melding dat de verbinding verbroken is.
- bij mijneigenadres.ddns.net:12345 => geeft meteen de foutboodschap dat de verbinding verbroken is (lijkt me niets met de 4G te maken te hebben, want andere sites kan ik wel nog inladen).

Blijft de NAS lastig doen, denk je?

[brubbel]

Het is ook op die wijze dat ik op de WD-pagina van de NAS kom.

Allez, welkom in de wereld van connected devices en online persoonlijke documenten
https://www.shodan.io/search?query=belgium

[BertG3]

Bekijk anders dit eens
=> https://discussions.apple.com/thread/32 ... 0&tstart=0

Verander de standaard web-poort naar bv poort 10000 en zet deze door in port forwarding op de bbox.

Weet niet of dit een juiste manier is en wacht dus tot iemand deze werkwijze kan beamen

[petzl]

Best enkel TCP open zetten , en ook 1 op 1 natten , dus 8080 naar 8080 of 10000 naar 10000
(anders word je niet correct geforward na bijvoorbeeld een reboot, omdat vaak dan de verkeerde poort meegegeven word)

portscannen kan je ook gewoon online doen : http://www.t1shopper.com/tools/port-scan/

[Yowannes]

Bekijk anders dit eens
=> https://discussions.apple.com/thread/32 ... 0&tstart=0
...

Wel, ik moet zeggen: deze link heeft me op het juiste pad gebracht, maar bood niet de oplossing die ik zoek.
De link zelf is geschreven vanuit de standaard webserver die in OS 10.7 Server zit. Ik gebruik deze niet, ik gebruik de MAMP-oplossing (bekend als WAMP onder Windows of LAMP onder Linux).
Ik heb dus nog eens even op mijn server ingelogd en wat bleek nu.... ik gebruik daar niet poort 8080, maar poort 8888.
(8080 wordt gebruikt op mijn andere computers, maar dus niet op de Mac Mini server. Vraag me niet om de reden, geen idee van).
Als ik nu in mijn BBOX de port-forwarding van 12345 naar 8888 openzet, dan werkt het!!


Alleen, op basis van wat petzl schreef:

Best enkel TCP open zetten , en ook 1 op 1 natten , dus 8080 naar 8080 of 10000 naar 10000
(anders word je niet correct geforward na bijvoorbeeld een reboot, omdat vaak dan de verkeerde poort meegegeven word)
...

Zou ik gaan denken dat ik de 8888 moet forwarden naar de 8888.
Wanneer ik dat probeerde in te stellen in de BBOX, dan kreeg ik een foutmelding:
Service: non
Protocol TCP (geeft overigens hetzelfde bij TCP-UDP)
External port start: 8888
External port end: 8888
Internal port: 8888
Internal Host: 192.168.1.20
Remote Host: Any
Description: Webserver

Foutmelding zegt dat hij niet in de mogelijkheid is om dit weg te schrijven.

[Yowannes]

Nog een update: nevermind de laatste foutmelding (forwarden van 8888 naar 8888): even uitloggen en opnieuw inloggen op de modempagina bleek voldoende te zijn om dit wel correct weg te schrijven.

Dus nu nog even de NO-IP gegevens wegschrijven in de modem zelf en dan hebben we een mooi werkende oplossing!

Wat mij betreft: een pint voor iedereen die heeft bijgedragen!


Nog een laatste security-vraag: welke security maatregelen dien ik in deze opzet zeker te nemen om misbruiken zoveel mogelijk tegen te gaan?

[ubremoved_15739]

portscannen kan je ook gewoon online doen : http://www.t1shopper.com/tools/port-scan/

Hmm, deze tool vindt mijn open udp OpenVPN poort niet terug ... allicht werkt deze tool enkel voor tcp?