Ubiquiti switch hindrer tilgang til nettverk utenfra?

[AndersT2]

nomore skrev (1 time siden):

...og gjerne vite hvilken 4G router du har.

Men Unifi switchen kan nok friskmeldes.

Advantech LR77 v2 Libratum

Har ikke innloggingen for denne, så får ikke sjekket i den direkte selv.

ilpostino skrev (11 minutter siden):

Du ser hvor bra dette funker for øyeblikket. Mine to cent er at @APZ171RW er inne på fasiten i sitt første svar i denne tråden. 

Funker helt fint på ett annet sted hvor vi har ca 160 komponenter bak. Gjør at vi ikke trenger å gjøre annet enn å montere nye komponenter på vanlig måte så funker det bare. Eneste forskjellen på disse 2 anleggene er ubiquity switch og wifi APer.

[tingo]

Samme leverandør av 4G (SIM-kort) også?

[AndersT2]

Alt kom fra Com4 for at det skulle funke

[tingo]

Da er det jo bare og bytte ut den Ubiquity switchen, og se om det funker, så har du ihvertfall lokalisert problemet.

[AndersT2]

tingo skrev (16 timer siden):

Da er det jo bare og bytte ut den Ubiquity switchen, og se om det funker, så har du ihvertfall lokalisert problemet.

Har satt annen switch mellom 4G routeren og de komponentene jeg trenger kontakt med, og Ubiquiti switchen etter det igjen, så den skal burte ikke påvirke noe slik det står nå.

[AndersT2]

Da fikk jeg tilgang til 4G ruteren, og legger ved ett noen av bildene jeg tenkte kanskje er de viktige.

Det er General, Network, LAN og NAT jeg har tatt bilder av. Si ifra hvis det er en av de andre på listen som er av interesse.

De kom ikke opp i den rekkefølgen under, det er LAN, Network, NAT, og General

Ett par ting jeg stusser på: På LAN siden så er dynamic DHCP satt fra 100 til 254. Regner med det er plassene som blir automatisk delt ut når man tilkobler utstyr. De jeg må ha tak i er satt som faste adresser på 11 og 12

På Network så ser jeg nederst at det er oppgitt en Gateway internadresse med 192.168.253.254, mens på LAN siden er 192.168.0.1 som er satt som Default Gateway. Det er denne jeg også har oppgitt i komponentene jeg må ha tilgang til.

På NAT siden så er ikke HTTP på port 80 huket av. Det er den for komponentene jeg skal ha tak i. Men det er vel den usikre, slik at den ikke burte være huket av?

Kan jo teste midlertidig

 

 

[xaco]

Ser jo ikke ut som at det er gjort noen portforwarding her da. Lista er jo tom. Enable remote port X er vel for å få kontakt med rutereren og ikke ting bak den.

[AndersT2]

Så vidt jeg skjønte så skal ikke det være nødvendig med NAT aktivert.

Der vi legger til komponenter med en lignende ruter som fungerer så er det ikke behov for oss å gå inn i ruteren og tildele den nye IP adressen noe.

 

Hvis det skal inn noe der, så tar jeg gjerne ett forslag på hva jeg setter inn for å få "Ekstern IP:9011" til å treffe 192.168.0.11 internt, så kan jeg kjapt tester. Er kun 11 og 12 jeg trenger å få tak i.

Endret 21. april 2021 av AndersT2

[xaco]

Nå er det vel ikke det NAT gjør. NAT gjør jo bare at du får svar tilbake på forbindelsen du har startet innenfra og ut. Skal du andre veien utenfra og inn så må ruteren vite at den skal sende trafikken videre.

[AndersT2]

xaco skrev (2 minutter siden):

Nå er det vel ikke det NAT gjør. NAT gjør jo bare at du får svar tilbake på forbindelsen du har startet innenfra og ut. Skal du andre veien utenfra og inn så må ruteren vite at den skal sende trafikken videre.

Forslag på hvordan jeg setter det opp?

Har ikke vært borti det før, så derfor vi valgte å gå for samme løsning som funker ett annet sted, og den skal være satt opp slik den skal være i følge dem. Hadde han vi kjøpe av på telefon når han logget seg inn på den og sjekket.

[AndersT2]

Under script så ligger NAT portingen.

Huket av for port 80 som test også på NAT siden når jeg snakket med leverandøren, og da går ikke IPen jeg tester mot komponenten lenger tilbake til ruteren, men får da opp at det ikke er noe der.

[tingo]

Til info: port 80 er http (plaintext) port 443 er https (kryptert).

[xaco]

Og kjører du noe på port 80 på de maskinene du prøver å nå?

[henrikwl]

AndersT2 skrev (3 timer siden):

Hvis det skal inn noe der, så tar jeg gjerne ett forslag på hva jeg setter inn for å få "Ekstern IP:9011" til å treffe 192.168.0.11 internt, så kan jeg kjapt tester. Er kun 11 og 12 jeg trenger å få tak i.

For å få til dette, så skriver du i "Public port" feltet 9011, så velger du hvilken port på .11 du vil denne porten skal mappe til, og så skriver di 192.168.0.11 i "Server Address" feltet.

Hvis du vil ha alle porter på .11 og .12 tilgjengelig fra internett, så er det egentlig en helt annen løsning du vil ha, for å drive og eksponere maskiner bak NAT for internett på den måten der er noe herk.

Hvis du kan nøye deg med å eksponere én av dem, så kan du sette den i DMZ – da går all trafikk som ikke eksplisitt skal noe annet sted, til den. Det skriver du inn i "Default server IP address" feltet og krysser av for "Send all remaining incoming packets to default server". Vær dog obs på at da har du et gapende hull i brannmuren din, så denne serveren bør være skikkelig sikret.

Endret 21. april 2021 av henrikwl

[AndersT2]

Det ligger bilde på første siden av oppsettet i komponenten jeg prøver å nå.

Når jeg er lokalt på nettet så kjøres det via nettleser slik at jeg får avlest og programmert komponentene, det er det jeg skal få til fra utsiden, slik at vi får avlest fra hvor som helt. Funker helt fint med samme 4G ruter, og annen komponent fra samme produsent ett annet sted.

[henrikwl]

AndersT2 skrev (5 minutter siden):

Det ligger bilde på første siden av oppsettet i komponenten jeg prøver å nå.

Når jeg er lokalt på nettet så kjøres det via nettleser slik at jeg får avlest og programmert komponentene, det er det jeg skal få til fra utsiden, slik at vi får avlest fra hvor som helt. Funker helt fint med samme 4G ruter, og annen komponent fra samme produsent ett annet sted.

Det høres merkelig ut, spesielt med tanke på at det som du nevnte tidligere ikke fungerte selv om du brukte en "vanlig" switch i stedet for Ubiquity-en. Da sier det meg at det er ett eller annet som er forskjellig her fra alle andre steder hvor det funker.

Jeg stusser litt over at LR77-en står i bridge mode, for eksempel, men det kan være en måte 4G-rutere er konfigurert på ved sedvane så det trenger ikke bety noe. Jeg kjenner ikke til det domenet i detalj.

Endret 21. april 2021 av henrikwl

[AndersT2]

henrikwl skrev (6 minutter siden):

For å få til dette, så skriver du i "Public port" feltet 9011, så velger du hvilken port på .11 du vil denne porten skal mappe til, og så skriver di 192.168.0.11 i "Server Address" feltet.

Hvis du vil ha alle porter på .11 og .12 tilgjengelig fra internett, så er det egentlig en helt annen løsning du vil ha, for å drive og eksponere maskiner bak NAT for internett på den måten der er noe herk.

Takk, det funket, pekte mot intern 443 port så kom dem.

[henrikwl]

AndersT2 skrev (6 minutter siden):

Takk, det funket, pekte mot intern 443 port så kom dem.

👍🏻

Jeg ser jo nå at den pre_nat chainen er konfigurert til å peke på intern port 80, så hvis du skal kunne nå noe på internnettverket utenfra uten å trenge å konfigurere noe så må det altså kjøre på port 80.

Ellers må man inn og manuelt konfigurere en forwarding slik du nå gjorde.

[henrikwl]

For øvrig også greit å vite for alle som bruker den typen 4G ruter at port 80 på samtlige enheter på internnettverket ditt er eksponert for internett. 😱 Det er jo egentlig helt vanvittig, men det er nå en annen diskusjon.

Fyr opp en gammel apache-server på Raspberry Pi-en din "bare for å teste" og vipps så har du åpnet nettverket ditt for hele verden. Good times!

[AndersT2]

Alle komponentene er passord beskyttet, og ikke av den kritiske sorten.

Komponenten jeg skal til har er markert at den har port 80, samt 443 som jeg brukte nå som er HTTPS versjonen, skrudde av 80 i NAT på ruteren igjen.

Får stole på at det de selger er godt nok for bruket, er jo ett par seriøse firmaer som selger (og videreselger de slik).