recordere.dk forum     Det danske community for hjemmets elektronik og indhold     Siden 2003
<b>Forside</b> Forside > Generelle emner > Netværk
  Nye indlæg Nye indlæg  Seneste forum emner Seneste   Seneste forum emner (vindue) Vindue   De emner du deltager i Mine emner RSS Feed - Portforwarding på Zyxel-router
  FAQ FAQ  Søg i forum   Opret ny bruger Opret ny bruger  Log ind Log ind

Portforwarding på Zyxel-router

 Besvar Besvar
Forfatter
Besked
jjdk Se dropdown menu
Guld medlem
Guld medlem


Oprettet: 06-Oktober-2006
Sted: Denmark
Status: Offline
Point: 649
Funktioner Funktioner   Tak (0) Tak(0)   Citér jjdk Citér  BesvarSvar Direkte link til dette indlæg Emne: Portforwarding på Zyxel-router
    Sendt: 12-Oktober-2018 kl. 21:05
Hejsa.
Jeg er ved at hjælpe min svoger med opsætning af kameraovervågning, og vi vil gerne kunne tilgå kamera-boksen ude fra. Der er fast ekstern IP og kameraboksen har static ip: 192.168.1.55.

På lokal-nettet tilgår vi fint kameraboksen ved at indtaste førnævnte IP.

Vi har prøvet at lave portforwarding i routeren, som er en Zyxel NBG6616, men det virker ikke.
Jeg benytter port 5050. Routeren sagde, at port 5000 var optaget.

Her fremgår indstillingerne i routeren: http://fam-johansen.dk/zyxel.jpg
Her fremgår indstillingerne i kameraboksen: http://fam-johansen.dk/kameraboks.jpg

Når jeg ude fra vil tilgå kameraboksen, skriver jeg http://212.112.14?.??:5050
(Spørgsmålstegn skriver jeg for at skjule den eksakte IP).

Håber der er nogen, som kan komme med løsningsforslag.
iPhone 13, OS 15.3
Til top
DiscomanDK Se dropdown menu
Guld medlem
Guld medlem


Oprettet: 10-Februar-2008
Sted: Skanderborg, DK
Status: Offline
Point: 1415
Funktioner Funktioner   Tak (0) Tak(0)   Citér DiscomanDK Citér  BesvarSvar Direkte link til dette indlæg Sendt: 12-Oktober-2018 kl. 22:59
Prøv og lav en portforward på port 80, så tror jeg det virker :) 
Til top
jjdk Se dropdown menu
Guld medlem
Guld medlem


Oprettet: 06-Oktober-2006
Sted: Denmark
Status: Offline
Point: 649
Funktioner Funktioner   Tak (0) Tak(0)   Citér jjdk Citér  BesvarSvar Direkte link til dette indlæg Sendt: 12-Oktober-2018 kl. 23:08
Oprindeligt skrevet af DiscomanDK DiscomanDK skrev:

Prøv og lav en portforward på port 80, så tror jeg det virker :) 
Tak for tippet. Det startede jeg faktisk med, men uden held. Da Jeg lavede denne portforwarding, kvitterede routeren med, at routeren selv brugte port 80, men at den dermed havde givet sig selv port 8080. 
iPhone 13, OS 15.3
Til top
TBK Se dropdown menu
Bruger
Bruger


Oprettet: 15-Februar-2014
Status: Offline
Point: 245
Funktioner Funktioner   Tak (0) Tak(0)   Citér TBK Citér  BesvarSvar Direkte link til dette indlæg Sendt: 14-Oktober-2018 kl. 01:42
Lad vær med at eksponere kamera udstyret direkte på nette. Opsæt VPN i stedet og tilgå udstyret på den måde.

Hvis der er mulighed for det, så benyt WireGuard.
Til top
jjdk Se dropdown menu
Guld medlem
Guld medlem


Oprettet: 06-Oktober-2006
Sted: Denmark
Status: Offline
Point: 649
Funktioner Funktioner   Tak (0) Tak(0)   Citér jjdk Citér  BesvarSvar Direkte link til dette indlæg Sendt: 14-Oktober-2018 kl. 09:10
Oprindeligt skrevet af TBK TBK skrev:

Lad vær med at eksponere kamera udstyret direkte på nette. Opsæt VPN i stedet og tilgå udstyret på den måde.

Hvis der er mulighed for det, så benyt WireGuard.
Der eksponeres ikke direkte på nettet, da det kræver login med stærkt kodeord.
iPhone 13, OS 15.3
Til top
strandvasker Se dropdown menu
Guld medlem
Guld medlem


Oprettet: 30-September-2009
Sted: Denmark
Status: Offline
Point: 2384
Funktioner Funktioner   Tak (0) Tak(0)   Citér strandvasker Citér  BesvarSvar Direkte link til dette indlæg Sendt: 14-Oktober-2018 kl. 10:24
Ifølge dine billeder så kører kameraboksen http og i det tilfælde hjælper dit stærke kodeord ikke ret meget, da kodeordet sendes over nettet i klar tekst. Ligesom TBK vil jeg anbefale dig at sætte noget VPN op hvis du har behovet for at lukke op for dit interne net udefra.

Hvis du alligevel vil fortsætte ud af nuværende kurs, så er det HTTP porten og ikke TCP porten du skal have åbnet for. Hvis port 80 er optaget, så ret kameraboksens HTTP port til fx. 81 og lav en portforwarding af den. Du skal så manuelt huske at tilføje :81 til din webadresse, både udefra og også indefra, når du vil have fat i kameraboksen.
Til top
jjdk Se dropdown menu
Guld medlem
Guld medlem


Oprettet: 06-Oktober-2006
Sted: Denmark
Status: Offline
Point: 649
Funktioner Funktioner   Tak (0) Tak(0)   Citér jjdk Citér  BesvarSvar Direkte link til dette indlæg Sendt: 14-Oktober-2018 kl. 10:40
Oprindeligt skrevet af strandvasker strandvasker skrev:

Ifølge dine billeder så kører kameraboksen http og i det tilfælde hjælper dit stærke kodeord ikke ret meget, da kodeordet sendes over nettet i klar tekst. Ligesom TBK vil jeg anbefale dig at sætte noget VPN op hvis du har behovet for at lukke op for dit interne net udefra.

Hvis du alligevel vil fortsætte ud af nuværende kurs, så er det HTTP porten og ikke TCP porten du skal have åbnet for. Hvis port 80 er optaget, så ret kameraboksens HTTP port til fx. 81 og lav en portforwarding af den. Du skal så manuelt huske at tilføje :81 til din webadresse, både udefra og også indefra, når du vil have fat i kameraboksen.
Tak, det giver god mening. På en eller anden måde, så er der åbnet op udfra, da medfølgende Android-app fungerer udefra. App'en giver adgang til nogle basale funktioner, herunder live-view. 

Er det ikke underligt, at der er adgang udefra via App'en? Vi har ikke lavet andre Port-forwardinger.

Web-adgang, via browser, giver adgang til alt administration, men det er nok klogest at håndtere dette internt og glemme alt om adgangen udefra.
iPhone 13, OS 15.3
Til top
strandvasker Se dropdown menu
Guld medlem
Guld medlem


Oprettet: 30-September-2009
Sted: Denmark
Status: Offline
Point: 2384
Funktioner Funktioner   Tak (2) Tak(2)   Citér strandvasker Citér  BesvarSvar Direkte link til dette indlæg Sendt: 15-Oktober-2018 kl. 00:29
Det behøver ikke være så underligt at app'en kan uden portforwarding.

Som udgangspunkt lukker en forbrugerrouter af for samtlige porte udefra, mens den som udgangspunkt lader klienter indefra åbne alle de porte de har lyst til, dog kun midlertidigt. 

Eksempel:

Lad os sige din routers eksterne ipnummer er 200.10.20.30 og internt hedder den 192.168.1.1.

På dit interne net har du en pc der hedder 192.168.1.22.

På din pc åbner du en browser og vil gerne hente et tv program fra dr.dk. Din pc laver en pakke der i grove træk ser således ud:

Modtager: dr.dk:80 (fordi port 80 normalt er til websider)
Afsender: 192.168.1.22:50017 (hvor 50017 er et dynamisk portnummer valgt "tilfældigt" af din pc)

Din pc ved ikke lige hvor dr.dk bor, det er ikke en lokal computer, så den giver pakken til din router og siger "Den må du lige hitte ud af".

Din router kigger på modtageradressen og siger "Hmm, den adresse er ikke her hos mig" og sender den videre til ISP'en med et "Den må du lige hitte ud af". Samtidigt retter den lige i adresselabelen så der nu står:

Modtager: dr.dk:80
Afsender 200.10.20.30:50017

Grunden er, at 192.168.1.22 er en lokal adresse der ikke kan routes på internettet. Din router låner sit eksterne ip nummer ud til din pc midlertidigt.

ISP'en kigger i en router tabel for at finde en god rute til dr.dk og sender den i en passende retning gennem skyen.

På et tidspunkt når pakken frem til DR's webserver, hvorefter webserveren laver en fin html side med et tv program og pakker den ind i en pakke med addresselabel:

Modtager 200.10.20.30:50017
Afsender dr.dk:80

DR's router sender pakken videre til DR's ISP og ISP'en finder en god route gennem skyen hen til 200.10.20.30 (som er dig).

Din router modtager pakken til 200.10.20.30:50017 fra dr.dk:80, kigger i sin liste over udgående forbindelser og ser at det faktisk var 192.168.1.22:50017 der bad om det tv program, så den omdøber adresselabelen til:

Fra: dr.dk:80
Til : 192.168.1.22:50017

..og sender den til din pc.

Din pc tager imod pakken og bruger portnummer 50017 til at afgøre at det var din browser der skulle bruge svaret.

Pointen med portnumrene er at holde styr på hvilken applikation der ønskede data, så hvis du åbner fx. 4 browservinduer, et skype opkald og har gang i et download, så sørger din pc for at bruge forskellige dynamiske porte til hver forbindelse, sådan at når der kommer data retur ved den hvem der skal have hvad - så slipper du for at modtage din tv oversigt midt i din youtube stream og den slags.

I bund og grund ganske smart. 

Din router laver en liste over hvilke ipnumre og porte på dit private netværk der laver kontakt til hvem på ydersiden, fx:

"192.168.1.22:50017 fik lov at låne 200.10.20.30:50017 for at kontakte dr.dk:80, så hvis der kommer noget retur fra dr.dk:80 til 200.10.20.30:50017 lader jeg det komme ind og giver det til 192.168.1.22:50017"

Hvis der kommer trafik udefra der ikke står på listen, så bliver det ikke lukket ind - altså, det er okay at portvagten lukker tømrer Mortensen ind fordi han kan se at Hr. Jørgensen på tredie har ringet efter ham, men andre der ikke står på listen får ikke lov at komme ind.

Hvis du nu sætter noget webserversoftware op på en pc der hedder 192.168.1.50 kan du lave en permanent portforwarding i din router, så hvis den modtager pakker til 200.10.20.30:80 udefra skal de altid hen til 192.168.1.50:80 - så kan folk udefra komme til din webserver døgnet rundt, også uden at du har ringet efter dem i forvejen - det var det du brugte for at komme til kameraboksens webside udefra. Du kan ikke have to services på samme port, for hvordan kan din router vide om folk udefra vil have fat i kameraboksen eller routerens konfigurationsside når de tager fra i 200.10.20.30:80 - det var derfor jeg foreslog at bruge fx. :81 til kameraboksen.

Hvorfor kan den der android app så få adgang udefra uden der er sat port forward op? Ja, det burde den jo egentlig ikke kunne, jævnfør den forklaring jeg lige har lavet, men jeg tror at softwaren i kameraboksen er sat til at ringe hjem til producentens server med korte mellemrum - det skaber en forbindelse indefra og ud og giver android appen mulighed for at lægge en besked på producentens server om at den gerne vil "ringes op".

Håber det gav mening.
Til top
TBK Se dropdown menu
Bruger
Bruger


Oprettet: 15-Februar-2014
Status: Offline
Point: 245
Funktioner Funktioner   Tak (1) Tak(1)   Citér TBK Citér  BesvarSvar Direkte link til dette indlæg Sendt: 15-Oktober-2018 kl. 00:41
Oprindeligt skrevet af jjdk jjdk skrev:

Oprindeligt skrevet af TBK TBK skrev:

Lad vær med at eksponere kamera udstyret direkte på nette. Opsæt VPN i stedet og tilgå udstyret på den måde.

Hvis der er mulighed for det, så benyt WireGuard.
Der eksponeres ikke direkte på nettet, da det kræver login med stærkt kodeord.


Så længe der er kontakt udefra, er udstyret eksponeret.

Kodeord eller ej gør ingen forskel, hvis der er en fejl i webserveren på webcamet/udstyret.

Mange producenter er ekstremt dårlige til at udgive software opdateringer, og brugerne er som regel ikke obs på at udstyret skal vedligeholdes.
Til top
jjdk Se dropdown menu
Guld medlem
Guld medlem


Oprettet: 06-Oktober-2006
Sted: Denmark
Status: Offline
Point: 649
Funktioner Funktioner   Tak (0) Tak(0)   Citér jjdk Citér  BesvarSvar Direkte link til dette indlæg Sendt: 15-Oktober-2018 kl. 09:04
Oprindeligt skrevet af strandvasker strandvasker skrev:

Det behøver ikke være så underligt at app'en kan uden portforwarding.

Som udgangspunkt lukker en forbrugerrouter af for samtlige porte udefra, mens den som udgangspunkt lader klienter indefra åbne alle de porte de har lyst til, dog kun midlertidigt. 

Eksempel:

Lad os sige din routers eksterne ipnummer er 200.10.20.30 og internt hedder den 192.168.1.1.

På dit interne net har du en pc der hedder 192.168.1.22.

På din pc åbner du en browser og vil gerne hente et tv program fra dr.dk. Din pc laver en pakke der i grove træk ser således ud:

Modtager: dr.dk:80 (fordi port 80 normalt er til websider)
Afsender: 192.168.1.22:50017 (hvor 50017 er et dynamisk portnummer valgt "tilfældigt" af din pc)

Din pc ved ikke lige hvor dr.dk bor, det er ikke en lokal computer, så den giver pakken til din router og siger "Den må du lige hitte ud af".

Din router kigger på modtageradressen og siger "Hmm, den adresse er ikke her hos mig" og sender den videre til ISP'en med et "Den må du lige hitte ud af". Samtidigt retter den lige i adresselabelen så der nu står:

Modtager: dr.dk:80
Afsender 200.10.20.30:50017

Grunden er, at 192.168.1.22 er en lokal adresse der ikke kan routes på internettet. Din router låner sit eksterne ip nummer ud til din pc midlertidigt.

ISP'en kigger i en router tabel for at finde en god rute til dr.dk og sender den i en passende retning gennem skyen.

På et tidspunkt når pakken frem til DR's webserver, hvorefter webserveren laver en fin html side med et tv program og pakker den ind i en pakke med addresselabel:

Modtager 200.10.20.30:50017
Afsender dr.dk:80

DR's router sender pakken videre til DR's ISP og ISP'en finder en god route gennem skyen hen til 200.10.20.30 (som er dig).

Din router modtager pakken til 200.10.20.30:50017 fra dr.dk:80, kigger i sin liste over udgående forbindelser og ser at det faktisk var 192.168.1.22:50017 der bad om det tv program, så den omdøber adresselabelen til:

Fra: dr.dk:80
Til : 192.168.1.22:50017

..og sender den til din pc.

Din pc tager imod pakken og bruger portnummer 50017 til at afgøre at det var din browser der skulle bruge svaret.

Pointen med portnumrene er at holde styr på hvilken applikation der ønskede data, så hvis du åbner fx. 4 browservinduer, et skype opkald og har gang i et download, så sørger din pc for at bruge forskellige dynamiske porte til hver forbindelse, sådan at når der kommer data retur ved den hvem der skal have hvad - så slipper du for at modtage din tv oversigt midt i din youtube stream og den slags.

I bund og grund ganske smart. 

Din router laver en liste over hvilke ipnumre og porte på dit private netværk der laver kontakt til hvem på ydersiden, fx:

"192.168.1.22:50017 fik lov at låne 200.10.20.30:50017 for at kontakte dr.dk:80, så hvis der kommer noget retur fra dr.dk:80 til 200.10.20.30:50017 lader jeg det komme ind og giver det til 192.168.1.22:50017"

Hvis der kommer trafik udefra der ikke står på listen, så bliver det ikke lukket ind - altså, det er okay at portvagten lukker tømrer Mortensen ind fordi han kan se at Hr. Jørgensen på tredie har ringet efter ham, men andre der ikke står på listen får ikke lov at komme ind.

Hvis du nu sætter noget webserversoftware op på en pc der hedder 192.168.1.50 kan du lave en permanent portforwarding i din router, så hvis den modtager pakker til 200.10.20.30:80 udefra skal de altid hen til 192.168.1.50:80 - så kan folk udefra komme til din webserver døgnet rundt, også uden at du har ringet efter dem i forvejen - det var det du brugte for at komme til kameraboksens webside udefra. Du kan ikke have to services på samme port, for hvordan kan din router vide om folk udefra vil have fat i kameraboksen eller routerens konfigurationsside når de tager fra i 200.10.20.30:80 - det var derfor jeg foreslog at bruge fx. :81 til kameraboksen.

Hvorfor kan den der android app så få adgang udefra uden der er sat port forward op? Ja, det burde den jo egentlig ikke kunne, jævnfør den forklaring jeg lige har lavet, men jeg tror at softwaren i kameraboksen er sat til at ringe hjem til producentens server med korte mellemrum - det skaber en forbindelse indefra og ud og giver android appen mulighed for at lægge en besked på producentens server om at den gerne vil "ringes op".

Håber det gav mening.
ClapSmile Meget oplysende - tusinde tak fordi du gav dig tid til denne super pædagogiske gennemgang.
iPhone 13, OS 15.3
Til top
jjdk Se dropdown menu
Guld medlem
Guld medlem


Oprettet: 06-Oktober-2006
Sted: Denmark
Status: Offline
Point: 649
Funktioner Funktioner   Tak (0) Tak(0)   Citér jjdk Citér  BesvarSvar Direkte link til dette indlæg Sendt: 15-Oktober-2018 kl. 09:13
Oprindeligt skrevet af TBK TBK skrev:

Oprindeligt skrevet af jjdk jjdk skrev:

Oprindeligt skrevet af TBK TBK skrev:

Lad vær med at eksponere kamera udstyret direkte på nette. Opsæt VPN i stedet og tilgå udstyret på den måde.

Hvis der er mulighed for det, så benyt WireGuard.
Der eksponeres ikke direkte på nettet, da det kræver login med stærkt kodeord.


Så længe der er kontakt udefra, er udstyret eksponeret.

Kodeord eller ej gør ingen forskel, hvis der er en fejl i webserveren på webcamet/udstyret.

Mange producenter er ekstremt dårlige til at udgive software opdateringer, og brugerne er som regel ikke obs på at udstyret skal vedligeholdes.
Tak for info. Boksen er ikke https-beskyttet, og den var også ret billig (1.600 kr. incl. 4 x udvendige kameraer). Så jeg tror heller ikke, at han skal forvente nogen opdateringer. Web-softwaren er ekstrem ringe, kræver Active-X plugin, og fungerer kun med Internet Explorer (lidt træls for ham, da de kun ejer æble-produkter). Derfor kunne det være smart med eksternt adgang, hvor han på sin arbejdsplads har Internet Explorer. VPN vil her være en udfordring.
Den ringe sikkerhed med "http" tror jeg han fint kan leve med, med mindre at uautoriseret adgang til boksen kan give adgang til andre enheder på det private netværk, fx. MacBook.
iPhone 13, OS 15.3
Til top
 
 Besvar Besvar
 
Skift forum Forum-tilladelser Se dropdown menu