Portviderekobling på Zyxel P2812 hjemmesentral

[magballs]

Hei

Har nylig flyttet inn i sokkelleilighet hvor huseier har fiber fra NTE. Hjemmesentral er Zyxel P2812.

Fra hjemmesentral går det en ethernettkabel til huseier's Google Nest, og en til min ruter Asus RT-AC68R (satt opp som Wireless Router Mode/AiMesh Router mode (Default)).

Jeg ønsker å viderekoble porter for å kjøre servere (teamspeak, Valheim osv). Dette har vist seg å by på problemer. Jeg tror problemet ligger i intern ip på hjemmesentralen sin side, siden det kjøres to separate nettverk ut av den, men er usikker.

På begge ruterne er UPnP skrudd på, men det fungerte ikke.
Vi har satt opp portviderekobling på Asus ruter, og prøvde i dag å sette opp det samme på hjemmesentral.
Ekstern port fra: 2456
Ekstern port fra: 2458
Intern IP: 192.168.10:247

Ingen ting har fungert så langt. Valheim server kan nåes på mitt lokale nettverk, men ingen ekstern tilgang. Kompis har testet flere ganger.
Hva gjør jeg? Det mest optimale oppsettet hadde vært om UPnP fungerte, så jeg slapp å ta kontakt med huseier hvis jeg må gjøre noen endringer.
Vi har kikket på Mine Innstillinger sammen, og det er begrenset med muligheter.

Har vært i kontakt med kundeservice, men de kan ikke hjelpe meg høres det ut som.

[strike_]

Du har dobbel NAT, derfor må du forwarde fra zyxel til din asus og fra asus til din pc. Så når du forwarder fra zyxel er det IP til asusen du må sette inn og når du forwarder fra asus er et pc'en din sin IP du skal sette inn. Har du satt 192.169.1.247 på begge routerene er det ikke rart det ikke funker.

[magballs]

Tusen takk for kjapt svar, @strike_. Jeg regner jo med Google nest til huseier har standardoppsett som også har samme interne ip som min. Hvis jeg endrer ip-adresse til min ruter, vil det hjelpe saken?

Edit: la til skjermbilde fra asus innstilling.
Er dette IP-adresse som skal skrives inn i hjemmesentral?

Endret 3. oktober 2021 av magballs
Tagge strike.

[strike_]

Får du IP fra google nest? Utifra det du skriver så tolket jeg det som at det går en kabel fra zyxel til din asus. Ergo har du ikke noe med google nest å gjøre. Får du IP fra google nest er det trippel NAT, med mindre zyxel'en er i bridge modus. Dette må du finne ut av først. Når du skal forwarde så forwarder du til neste router og til slutt til din pc. Hvis ikke vil det ikke funke. Har du trippel NAT må du derfor forwarde fra zyxel til google nest og fra google nest til asus og fra asus til din pc.

Ja, det er rikitig at du må bruke IP fra skjermbildet ditt i hjemmesentralen. Med mindre du har trippel NAT da.. 

[magballs]

Hei igjen @strike_

Zyxel har en kabel til google nest og en til min asus. Jeg har derfor ingen ting å gjøre med google nest, heldigvis.
Vi prøvde forsåvidt bromodus, med en switch, men siden NTE bare gir ut en ekstern IP per abonnement fungerte ikke det, og jeg har ikke en ekstra ruter med DHCP til overs.

Jeg skal prøve med den ip-adressen i kveld.

Har du noen andre tips som gjør at jeg kan endre fritt på innstillinger uten å måtte innom hjemmesentralen?
Kan ikke så mye om DMZ host, for eksempel. Hvis jeg setter IP'n til min ruter i DMZ host på hjemmesentral, vil all trafikk gå via min ruter? Litt usikker på hvordan det vil fungere.

[strike_]

Nei, du er nok pent nødt til å innom hjemmesentralen, slik er det dessverre når man leier. Man må forholde seg til utstyret til huseier har. Det man kan gjøre hvis man kjører ting som oppøfører seg som en webserver f.eks er å sette opp en reverse proxy. Da åpner man kun opp 1 port i routeren og man bruker reverse proxyen til å "åpne opp/forwarde" alle andre porter man måtte ønske. Eller enda bedre man kan benytte cloudflare argotunnel, da slipper man å åpne noen porter overhodet. Det er jo 2 tips du kan google hvis du føler for det

Aldri sett noe som DMZ host, det er fyfy sikkerthets messig. Det du gjør da er i prakis å åpne opp ALLE porter på den IP'en du setter som DMZ host. Hvem som helst kan da f.eks nå grensesnittet til routeren din (hvis den er satt som DMZ host) eller andre tjenester du kjører. Kommer folk seg inn på routeren din kan de derifra åpne opp alt på dine andre enheter som du kjører i nettet ditt og egentlig gjøre hva de vil.

[magballs]

Takk for gode tips.

Jeg må bare spørrre angående DMZ Host. Hvis hjemmesentralen "åpner" opp alt på sin side, og fram til min Asus ruter, vil vel fremdeles min ruter behandle det som vanlig og blokke innkommende trafikk? Hjemmesentralen kan vel ikke overstyre min ruter?

Setter pris på all hjelp, @strike_.

[strike_]

Litt usikker på hva du spør om men. Nja, ikke helt. Routeren din kjører en webserver som gjør at du kan nå routeren din i nettleseren. Webserveren kjører på port 80 eller 443 hvis du bruker https. Den kjører nok også en SSH server på port 22 vil jeg tro. Hvis du setter routeren din i DMZ på zyxelen vil den åpne opp alt på routeren din. Routeren din vil fremdeles blokke trafikk til dine andre enheter med mindre du åpner opp for dem, men routeren din vil jo være pip åpen for alle andre. Eneste de trenger er å logge inn og er du som folk flest så kjører du standard brukernavn og passord på asusen din. Som, visst ikke jeg husker helt feil er admin admin. Selv om du ikke bruker standard brukernavn/pass så kan folk prøve å brute force seg inn.

Eller hvis det fins andre sårbare enheter i nettverket kan de utnytte dem, sette opp en falsk log in side som ser helt lik ut som på asusen og neste gang du prøver å logge inn har de både brukernavn og passord. Sist jeg hadde asus router fantes det ingen 2 faktor løsning, men det har kansje endret seg nå. Isåfall er det jo litt sikrere, men uansett aldri sett noe i DMZ. Om du gjør det så gjør du deg selv en skikkelig bjørnetjeneste.

[magballs]

Tusen takk for utfyllende svar.

Asus har fremdeles ikke to-faktor autentisering, men har heldigvis et langt og vanskelig passord og eget brukernavn. Får veie fordeler og ulemper, og være på utkikk etter andre løsninger som de to andre tipsene du la ut.

Takk igjen.

[NULL]

3 hours ago, magballs said:

Tusen takk for utfyllende svar.

Asus har fremdeles ikke to-faktor autentisering, men har heldigvis et langt og vanskelig passord og eget brukernavn. Får veie fordeler og ulemper, og være på utkikk etter andre løsninger som de to andre tipsene du la ut.

Takk igjen.

Bare for å si litt om hvor galt ting for kan gå og hvor "enkelt": Det er ikke så mange år siden man på Asus RT-AC6x kunne laste ned passwd-filen med brukernavn og passord på rutere der administrasjonsgrensesnittet var satt opp for remote management, eller AI Clud var aktivert. Sikkerheten på Asus-ruterne var på et punkt helt latterlig, men det har blitt bedre (Asus endte vel opp med å være under "tett oppfølging" av FCC i USA etter en del av sikkerhetsblemmene de hadde med ruterne, og har vel fortsatt 15 år igjen de skal være under dette oppfølgingen fra FCC sin side).