Port forwarding
Udskrevet fra: recordere.dk - Danmarks AV Forum
Kategori: Generelle emner
Forumnavn: Netværk
Forumbeskrivelse: Netværk i hjemmet og på farten
Web-adresse: https://forum.recordere.dk/forum_posts.asp?TID=124890
Udskrevet den: 29-April-2024 kl. 07:27
Emne: Port forwarding
Skrevet af: AllanThomsen
Emne: Port forwarding
Skrevet den: 02-August-2013 kl. 21:42
|
Jeg har et LAN hjemmenetværk med en masse forskelligt udstyr som jeg vil have til at kommunikerer ud. Jeg har en fast ip og har prøvet med telenor uden held. Skiftede så til fibernet, men stadig lykkedes det ikke. Trefor siger at alt er knofigureret korrekt fra deres side og at de ikke yder support til port forwarding. Er der nogen der har en ide til hvad der kan gå galt med nedenstående konfiguration? Jeg vil virkelig sætte stor pris på noget feedback Allan  . |
Svar:
Skrevet af: T-Duck
Skrevet den: 03-August-2013 kl. 08:59
| Hvad er det der skal forwards? Når du skal tilgå noget ude fra, skal du indtaste din offentlige IP:port nr. |
Skrevet af: T-Duck
Skrevet den: 03-August-2013 kl. 09:01
| Og du kan heller ikke bruge sammen offentlige porte, på to forskellige enheder. Såsom port 80 på router og server |
Skrevet af: strandvasker
Skrevet den: 03-August-2013 kl. 10:17
Du har ikke brug for portforwarding for at kommunikere ud. Portforwarding er noget du bruger når folk udefra skal have adgang til udstyr inde på dit lokalnet.
Den går helt galt, du prøver at få forwardet port 80 til 4 forskellige interne ipnumre, det dur ikke. Det svarer til at bede dit postbud om at smide et enkelt brev i 4 forskellige postkasser. Lad os prøve med et konkret eksempel. Lad os sige du har en maskine stående på dit lokalnet som du gerne vil have til at fungere som webserver og ftpserver. Du har givet maskinen fast ip nummer, fx. 192.168.1.10 og du har installeret noget webserversoftware og noget ftpserversoftware på maskinen. Webserversoftwaren lytter efter trafik på port 80 og glæder sig til at blive spurgt om websider. Ftpserversoftwaren lytter på port 21 og glæder sig til at levere filer. Hvis man skal kunne få fat i webserveren udefra, så skal du fortælle din router at den eksterne port 80 skal forwardes til port 80 på det interne ipnummer 192.168.1.10 (nummeret på maskinen med webserversoftware installeret). I din routeropsætning taster du altså: Webserver, TCP/UDP, 80, 80, 192.168.1.10, 80, 80, hak i loopback og hak i enabled. Hakket i loopback er valgfrit, det vender jeg tilbage til. Hvis man også skal kunne få fat i ftpserveren udefra, taster du: Ftpserver, TCP/UDP, 21, 21, 192.168.1.10, 21, 21, hak i loopback og hak i enabled. Nu ved din router at trafik udefra til port 80 skal skovles hen til 192.168.1.10 og trafik udefra til port 21 skal hen til samme ipnummer, hvilket jo giver god mening da det var den maskine du havde installeret webserversoftware og ftpserversoftware på. Lad os sige at du også har en NAS på ipnummer 192.168.1.12 som har et fotoalbum med billeder af guldklumperne som bedsteforældrene gerne vil kunne se. NAS'en laver fotoalbummet som en webside på port 80, men det giver lidt bøvl da du allerede har en anden webserver kørende. Du går ind i NAS'en og retter så fotoalbummet kører på port 100 i stedet. I din router taster du: Fotoalbum, TCP/UDP, 100, 100, 192.168.1.12, 100, 100, hak, hak. Nu kan bedsteforældrene kigge på børnebørn ved at taste dit-eksterne-ipnummer:100 i deres browser. Du finder dit eksterne ipnummer ved at besøge http://myip.dk/ - http://myip.dk/ Hakket i loopback lovede jeg at komme tilbage til. Det betyder bare, at når du sidder på dit eget lokalnet så kan du både få fat i dit fotoalbum ved at taste 192.168.1.12:100 i din browser eller ved at taste dit-eksterne-ipnummer:100 ligsom bedsteforældrene skal. Når du bruger dit eksterne ipnummer inde fra dit lokalnet opdager din router at "hey, det er jo mig" og looper trafikken tilbage internt. Hvis du fjerner hakket i loopback er det kun 192.168.1.12:100 der virker når du sidder derhjemme. Udefra gør det ingen forskel om der er hak i loopback eller ej, der er det altid kun dit-eksterne-ipnummer:100 der virker. Jeg kan se i dit screenshot at du også prøver at lave portforward til din printer, er det virkelig din mening at det skal være muligt at printe på din printer ude fra det store internet? Hvis det bare er fordi din printer skal kunne gå på internettet og hente opdateringer så er det ikke nødvendigt med portforwarding, din router tillader altid trafik indfra og ud, portforwarding handler kun om at tillade trafik udefra og ind.
|
AllanThomsen skrev:Skrevet af: Zulu
Skrevet den: 03-August-2013 kl. 12:45
|
Hvis man nu har flere webservere (port 80), på sit lokale netværk, er der intet galt i at tildele dem en tilfældig port på WAN-siden, som så hver især routes til port 80 på de respective webservere. Præcis som Allan har gjort. Det samme gælder for FTP'en på port 21. Allan, hvor opstår problemet? Du bliver nødt til at skrive mere præcist, hvad du gør, når det ikke virker - og hvad du har prøvet. |
Skrevet af: AllanThomsen
Skrevet den: 03-August-2013 kl. 14:23
| Mange tak for alle svarene (: Jeg er enig i at der for hver intern ip er 255 porte under og ikke 255 porte for alle, hvilket vil sige at du burde kunne have ligeså mange interne port 80 som du har interne ip adresser, eller er der noget jeg har helt misforstået her?!? Desuden lytter min printer på port 80 hvilket ikke kan ændres. På meget af det andet udstyr er der dog mulighed for at ændre på port. Jeg syntes dog at det vil være både nytteløst og synd da udstyret overordnet bruger den internationale standard med port 21 for ftp, 80 for http osv. Osv. Min konfiguration er faktisk præcist beskrevet af screen dumpet fra min router og jeg har svært ved at beskrive problemet dybere end at det ikke virker. Jeg kan ikke komme på andre steder der kan skrues og justeres. Håber at der alligevel er nogen der kan komme i tanke om noget der kan hjælpe. Der er ikke firewall slået til i routeren og der skulle ikke være blokeret nogle porte. |
Skrevet af: Zulu
Skrevet den: 03-August-2013 kl. 14:36
Skær det ud i pap. Hvad gør du når det ikke virker? Hvordan prøver du at forbinde udefra? Hvad skriver du i addressefeltet? |
Skrevet af: AllanThomsen
Skrevet den: 03-August-2013 kl. 14:57
|
Hej Zulu, Hvis jeg kan få din private mail kan jeg sende dig public Ip som går direkte på routeren og user og pass til denne. Du kunne også få fjernadgang til en af de interne computere via teamviewer |
Skrevet af: AllanThomsen
Skrevet den: 03-August-2013 kl. 14:58
| Min mail er allan.f.thomsen(at)gmail.com |
Skrevet af: Allan Olesen
Skrevet den: 03-August-2013 kl. 15:50
Nej. Han prøver på at få 4 forskellige porte forwardet til port 80 på 4 forskellige ip-adresser. Det er der intet i vejen med. |
Skrevet af: strandvasker
Skrevet den: 03-August-2013 kl. 16:17
My bad, du har ret, jeg fik læst skærmprintet forkert.
|
Skrevet af: Cyberguyen
Skrevet den: 03-August-2013 kl. 16:20
|
Der er flere ting som er galt... For det første skal du være sikker på at du kan tilgå de angivne porte fra dit eksterne udstyr. Mange større arbejdspladser giver eksempelvis ikke mulighed for at tilgå andre porte end 20,21,80 og 443 - som er de gængse. Ligeledes gælder det for mange wifi hotspots at forskellige porte er lukket. Som udgangspunkt vil jeg anbefale at du benytter de korrekte port numre til alt under port 1023. Det kan meget vel være at din udbyder blockere eller har en idé om at du ikke bør bruge port 1 til en printer. En FTP server benytter f.eks. ikke kun port 21, men kræver også port 20 til data. Det største problem, som jeg ser det er at du laver et kæmpe hul fra ydersiden til dit interne netværk. Jeg ville kigge en anden vej efter en bedre løsning og i stedet for anbefale VPN. Køb noget ordentligt udstyr med VPN support, så du kan tilgå det fra din telefon og de computere du måtte have lyst til. Jeg kan anbefale en SonicWALL som er relativ nem at gå til, så kan du også spare penge til en fast IP og benytte dyndns i stedet for. Det koster lidt mere for selve firewallen, men sikkerheden er i top, du kan også få den til vise at du surfer hjemmefra og på den måde få adgang til webtv selvom du er i udlandet. Kig efter de hvide SonicWALL TZ-100 eller nyere på ebay.co.uk
|
Skrevet af: Zulu
Skrevet den: 03-August-2013 kl. 17:10
Tak for tilbuddet, ud fra hvad du skriver, tror jeg ikke jeg kan hjælpe mere. Det var bare ikke til at læse ud af dine foregående indlæg, om du vitterligt brugte WAN/ public IP'en, og hvad du havde prøvet.
Helt enig! |
Skrevet af: KlausDM
Skrevet den: 04-August-2013 kl. 08:45
Hvad skal kommunikere ud? Er det ikke at du skal kunne tilgå noget udstyr udefra? Var det mig der stod i din situation, ville jeg starte med at lave en port forwarding til din server og kun din server på eksterne port 21 til intern port 21. Virker det? Klaus ------------- Min modelbane, http://modelbaneeuropa.dk" rel="nofollow - http://modelbaneeuropa.dk Min hjemmeside, http://moppe.dk" rel="nofollow - http://moppe.dk |
Skrevet af: Cyberguyen
Skrevet den: 04-August-2013 kl. 11:27
| Som nævnt tidligere - husk både port 20 og 21 for ftp. |
Skrevet af: AllanThomsen
Skrevet den: 04-August-2013 kl. 11:28
|
Hej Klaus, Ja der er en del udstyr jeg gerne vil tilgå udefra. Den pc jeg kalder server køre egentlig windows 7. Denne er forbundet direkte til Ihc system, video overvågning osv. Og bliver brugt som en alags server. Måden jeg tilgår udstyr udefra nu er ved at forbinde til "serveren" via teamviewer. Men jeg vil gerne have direkte adgang til f.eks video overvågning via ipad og iphone apps i stedet for at kikke på et skærmbillede fra serveren. |
Skrevet af: AllanThomsen
Skrevet den: 04-August-2013 kl. 11:53
| Vedr. Ihc systemet findes der også både iphone og ipad apps som kan kontrolerer dette. Da jeg ikke har kunne tilgå systemet via extern ip styre jeg alarm, port, lys og så videre via sms beskeder hvilket ikke er særligt kønt. |
Skrevet af: KlausDM
Skrevet den: 04-August-2013 kl. 13:08
|
Som skrevet: Start ud med en applikation som er til at overskue. Jeg ville starte med IHC og iphone app'en, det er forholdsvis godt beskrevet her: http://www.lk.dk/download/Manualer/manual-ihc-remote.pdf - www.lk.dk/download/Manualer/manual-ihc-remote.pdf Start med at få app'en til at virke på det interne net, herefter sætter du den op til at fungere på eksternt net og via standard portene som beskrevet i manualen. Klaus ------------- Min modelbane, http://modelbaneeuropa.dk" rel="nofollow - http://modelbaneeuropa.dk Min hjemmeside, http://moppe.dk" rel="nofollow - http://moppe.dk |
Skrevet af: Allan Olesen
Skrevet den: 07-August-2013 kl. 23:44
Så det vil sige, at du har port forwarding til serveren til at fungere, som det skal? Så var det jo nærliggende at prøve at forwarde nogle flere porte til serveren og se, hvor meget der slipper igennem. |
Skrevet af: KlausDM
Skrevet den: 08-August-2013 kl. 06:11
|
Teamviewer kræver ingen form for forwarding af porte. Klaus ------------- Min modelbane, http://modelbaneeuropa.dk" rel="nofollow - http://modelbaneeuropa.dk Min hjemmeside, http://moppe.dk" rel="nofollow - http://moppe.dk |
Skrevet af: Cyberguyen
Skrevet den: 08-August-2013 kl. 14:30
Det kan godt være at det ikke er særligt kønt, men det er i det mindste rimeligt sikkert. Hvis du laver noget VPN, så kan du benytte alle de apps som virker på dit interne netværk og det bliver ikke mere sikkert. Så virker alle dine ting som hvis du sad i dit hus, selvom du sidder ved poolen i syden.
 |
Skrevet af: AllanThomsen
Skrevet den: 08-August-2013 kl. 14:34
| Jeg har hyret en professionel til at konfigurerer netværket. Jeg ved ikke hvad han har gjort, men det virker, og der er kun smårettelser tilbage. Alle services der skal tilgåes udefra bliver bruger og password beskyttet. |
Skrevet af: Ozzy
Skrevet den: 08-August-2013 kl. 15:18
|
Kan du oplyse hvad der var galt? var det dine port forwards mv der var galt eller??? ------------- | Samsung 55" D8005 | Samsung 40" C6715 Hvid | Samsung 40" M87 | Samsung 26" R87 | Samsung 22" T220HD | |
Skrevet af: AllanThomsen
Skrevet den: 08-August-2013 kl. 15:22
| Jeg må høre ham igen |
Skrevet af: Cyberguyen
Skrevet den: 08-August-2013 kl. 16:17
Jeg går ud fra at det så må være din router/firewall som du logger ind på med bruger/password og som herfra tillader adgang til dit netværk. Det kan være en acceptabel løsning, selvom den ikke er krypteret. Men den løser ikke problemet med at trådstarter har flere services på samme porte. Hvis din såkaldte "professionelle" derimod har lavet en portforward og lader enheder på din inderside stå for beskyttelsen. Så kan pølsemandens søn nede på hjørnet sikkert gøre det lige så godt.
|