InternetBox port forwarding (80, 443) werkt niet ondanks lage beveiliging

[nvfd]

Hallo.

Ik heb een webserver draaiende achter poorten 80 en 443 op mijn lokaal netwerk. In MyProximus heb ik allereerst de beveiliging op “laag” gezet (en ook de InternetBox nadien een aantal keer herstart):


Vervolgens heb ik Port Forwarding ingesteld naar mijn webserver, zowel voor externe poort 443 als externe poort 2224 (ter test):


Wanneer ik de poorten op mijn extern IP adres laat controleren (via canyouseeme.org), dan is de webserver niet zichtbaar op poort 443 maar wel op de testpoort 2224:



Hoe is dit mogelijk, gezien de reeds ingestelde “lage beveiliging” op mijn internet lijn? Onlangs overgestapt van Telenet, waar deze port forwarding zonder problemen werkte.

Proximus Support weet hier geen raad mee. Men liet mij weten dat "port forwarding zou moeten werken, maar zij hier geen verdere support op bieden". Bijhorende forum post: https://nl.forum.proximus.be/internet-1 ... ging-56947

Alvast bedankt voor enige inzage.

PS: Het is voor mij noodzakelijk om mijn webserver via poort 443 te bereiken. Ik probeer mijn webserver te bereiken vanuit een worsktation waar ongekende poorten (zoals bv. 2224) geblokkeerd worden.


 

​

[raf1]

Is de webserver wel lokaal bereikbaar op poort 443 en 80?

[MaT]

Vervolgens heb ik Port Forwarding ingesteld naar mijn webserver, zowel voor externe poort 443 als externe poort 2224 (ter test):

Heb je die forward vanaf poort 2224 onmiddelijk gedaan of pas nadat je zag dat 443 niet werkte?
Ik zie in je screenshot dat beide portforwards actief staan maar dat vinden veel toestellen vaak niet fijn. Als ik in mijn fritzbox 2 portforwards aanmaak naar dezelfde poort intern komt er een een waarschuwing bij te staan en gebeuren er rare dingen.

[nvfd]

Is de webserver wel lokaal bereikbaar op poort 443 en 80?

Jazeker, en ook via het lokale netwerk. Indien ik via een andere pc met Wifi verbonden naar mijn webserver surf via zijn publiek domeinnaam, dan komt de connectie correct tot stand.

Vervolgens heb ik Port Forwarding ingesteld naar mijn webserver, zowel voor externe poort 443 als externe poort 2224 (ter test):

Heb je die forward vanaf poort 2224 onmiddelijk gedaan of pas nadat je zag dat 443 niet werkte?
Ik zie in je screenshot dat beide portforwards actief staan maar dat vinden veel toestellen vaak niet fijn. Als ik in mijn fritzbox 2 portforwards aanmaak naar dezelfde poort intern komt er een een waarschuwing bij te staan en gebeuren er rare dingen.

Goed punt! Ik heb poort 2224 nadien toegevoegd maar heb hem voor de zekerheid nog eens uitgeschakeld. Het probleem blijft zich helaas voordoen.

[jackho]

Zou het kunnen dat je RA poort 443 actief staat en dit het probleem oplevert?

[nvfd]

Zou het kunnen dat je RA poort 443 actief staat en dit het probleem oplevert?

De nieuwe Internet Box (bbox 4) geeft helaas geen mogelijkheid om Remote Access te configureren. Alle configuraties verlopen via MyProximus, waar geen rubriek Remote Access te vinden is. Ik heb dus ook geen manier om te kijken of deze al dan niet actief staat...

[raf1]

Je kan eventueel het volgende eens testen:
- lage beveiliging via MyProximus instellen
- even wachten
- fabrieksinstellingen op InternetBox via reset knop
- weer even wachten

Daarna:
- alleen port forwarding instellen op poort 80
- testen
- checken of lage beveiliging via MyProximus nog steeds aan staat

[CCatalyst]

Gezien het op je eigen netwerk wel werkt, Is dit *enkel* gebaseerd op wat die canyouseeme zegt, of heb je nog een tweede externe bevestiging van dit probleem?

Zelf al eens geprobeerd om via een ander netwerk te verbinden? Indien je geen optie hebt, probeer de Qualys SSL Server Test eens.

[philippe_d]

Zou het kunnen dat je RA poort 443 actief staat en dit het probleem oplevert?

Ik denk dat we hier 2 zaken door elkaar gooien:
- de "lage beveiliging" instelling van Proximus (via My Proximus).
- de invloed van de firewall.
De lage beveiliging instelling via My Proximus zorgt ervoor dat inkomende verbindingen op poort 13/80/443 niet tegengehouden worden op het Proximus netwerk.
Ze komen dus wel door tot op je modem.
Maar waarschijnlijk wordt poort 443 intern reeds gebruikt door de Proximus internet box (aka b-box4), bijvoorbeeld voor RA zoals @jackho hierboven aangeeft.

Gezien Proximus in hetzelfde bedje ziek is als Telenet, en dat je dus de instellingen van de modem/router alleen (beperkt) kan wijzigen via Mijn Telenet, kan je dit dus niet wijzigen

Enige oplossing:
- een eigen router (achter de Internet box) met een aparte PPPoE sessie.
- een eigen modem (in plaats van de Internet box), zoals een whitelisted Fritz!Box.

[nvfd]

Je kan eventueel het volgende eens testen:
[...]

Bedankt voor de suggestie. Ik heb dit zo net uitgeprobeerd maar helaas zonder resultaat.

Zelf al eens geprobeerd om via een ander netwerk te verbinden? Indien je geen optie hebt, probeer de Qualys SSL Server Test eens.

Zowel via mobiel internet op GSM als via een proxy website krijg ik geen toegang tot mijn webserver.

Enige oplossing:
- een eigen router (achter de Internet box) met een aparte PPPoE sessie.
- een eigen modem (in plaats van de Internet box), zoals een whitelisted Fritz!Box.

Bedankt voor de toelichting. Dat lijkt al snel een dure optie te worden. Dan misschien toch maar overwegen om weer naar Telenet over te stappen...

[CCatalyst]

Is het de bedoeling om zowel clear als TLS te hebben, of enkel TLS?

Als het enkel TLS is kan je HTTPS configureren op poort 80 in je webserver (nadat je eerst configureert dat HTTP er niet meer op luistert, je kan niet beide tegelijk hebben). Dan is het te bereiken via https://ip.adres:80

Dat adres zal je wel moeten bookmarken want browsers zullen anders altijd defaulten naar 443 bij https. Er is ook een kans dat er een DPI firewall onderweg zit die het om een of andere reden nodig vindt om TLS over poort 80 te blokkeren, maar zolang dat niet het geval is is er niets dat dit zou tegenhouden.

[raf1]

Als lage beveiliging aan staat, dan moet die 'Check Port' van https://canyouseeme.org/ binnenkomen op je internetverbinding.
De enige manier om dit betrouwbaar te testen (zonder Internet Box en hulp van je provider) is een eigen modem of router.
Misschien eens meegeven of je op fiber of VDSL zit.
Want op fiber kan je dat gewoon testen met een goedkoope router achter de glasvezelmodem.
Als het niet veel mag kosten, vraag dan bij vrienden, buren of familie of ze een router hebben liggen.
Anders vind je op https://www.2dehands.be/ wel iets.

[deman3417]

Bij mij gingen de poorten open na een herstart van de BBOX3

[MaT]

Maar waarschijnlijk wordt poort 443 intern reeds gebruikt door de Proximus internet box (aka b-box4), bijvoorbeeld voor RA zoals @jackho hierboven aangeeft.

Vreemd dat je als klant dan poort 443 kan 'openzetten' als die door de bbox zelf al in gebruik is niet?

[jackho]

Ja maar bij de oude B-box3 heb je wel zelf de keuze om die RA (poort 443) aan of uit te zetten.
Echter weet ik niet hoe het zit met de nieuwe B-box4.

[CCatalyst]

Iig, als poort 80 (of 23) open staan zonder dat er iets van de intern reeds op draait, lijkt de eenvoudigste oplossing om de HTTPS dan op een van die twee poorten te laten luisteren, en de browser er naar te verwijzen met een :80 of :23.

Ik zie eigenlijk ook niet in welke andere oplossing er mogelijk is als alle andere poorten nog altijd dicht staan en er geen toegang is tot 443 omwille van een interne service.

[nvfd]

Het probleem is dat zowel de poorten 80 en 443 (en vermoedelijk 23) geblokkeerd worden. Ook de HTTP service op poort 80 wordt niet herkend:


Ondanks dat hiervoor ook een port forward ingesteld staat:

[CCatalyst]

Dan is er blijkbaar een heel ander probleem. En weten we eigenlijk ook niet zeker meer dat het probleem met 443 door een interne service veroorzaakt wordt.

Bij connection timed out zou ik in eerste instantie denken dat het verkeer onderweg ergens stilletjes gedropt wordt. Dat kan bij de bron zijn (canyouseeme), ergens onderweg, bij de ingress bij Proximus, bij je router die niet doet wat je configureert, ergens op jouw netwerk of bij jouw webserver (als die bv geconfigureerd is om verzoeken van buiten je netwerk niet toe te staan).

Ik zou vanop een goedkope externe VPS kijken wat er precies gebeurt en hoever de pakketten raken om al een idee te krijgen waar het probleem zich situeert. Indien achter jouw router zou ik kijken of het effectief bij de webserver binnenkomt om de exacte locatie te bepalen.

[philippe_d]

Misschien toch nog eens de instelling op "My Proximus" controleren?
Eventueel eens uitzetten + bewaren, dan terug aanzetten + bewaren?

[Sinna]

Zit TS niet achter een CGNAT?
@TS: kan je eens een traceroute posten, al dan niet redacted?

[nvfd]

Zit TS niet achter een CGNAT?
@TS: kan je eens een traceroute posten, al dan niet redacted?

Traceroute resultaat (laatste lijn heeft mijn IP adres redacted):


Extra info via een andere website:

Misschien toch nog eens de instelling op "My Proximus" controleren?
Eventueel eens uitzetten + bewaren, dan terug aanzetten + bewaren?

Voor de zekerheid nog eens geprobeerd (ook met router herstart tussendoor) maar helaas.

Ik zou vanop een goedkope externe VPS kijken wat er precies gebeurt en hoever de pakketten raken om al een idee te krijgen waar het probleem zich situeert. Indien achter jouw router zou ik kijken of het effectief bij de webserver binnenkomt om de exacte locatie te bepalen.

Kan je wat guidance geven in hoe ik zoiets opzet / wat ik kan nagaan? Hierboven alvast mijn traceroute

[MaT]

IK zou voor de zekerheid toch ook die test regel verwijderen. Kwestie van alles uit te sluiten.

[nvfd]

Done, dit zijn de enige regels die overblijven:


Helaas zonder resultaat:

[nvfd]

Dag allen,

Het probleem is inmiddels verholpen door Proximus mij een nieuwe internetbox te laten opsturen.

De nieuwe internetbox haalde zijn instellingen online op (ik hoefde dus niets nieuws in te stellen of te veranderen) en taddaa, mijn webserver op poort 80 en 443 is zichtbaar.

Hopelijk helpt dit mensen die met hetzelfde probleem zitten!