Port forwarding nejede (O2, Comtrend VR-3026e, W10)

[nicitel]

Ahoj vespolek, jak říká předmět, nedaří se mi nastavit router Comtrend VR-3026e s internetem od O2 a PC na wifi tak, aby byl nějaký port otevřený. Respektive daří se mi ho (asi) nastavit, ale nedaří se mi to proměnit v realitu, aby se ke mně někdo na daném portu mohl připojit, když hostuju server v jednom softwaru.

V administraci modemu si podle manuálu nastavím port forwarding takhle. Samozřejmě v ipconfigu mrknu, jestli PC, na kterém jsem, je ta .34 (gateway je .138).

Po troše googlení a prolejzání administrace jsem taky povolil incoming připojení na daném portu.

Spustím aplikaci (ve windows firewallu je povolená, stejně tak java, kterou využívá), rozjedu server na portu třeba 2346, nadhodí hlášku "listening on port 2346". Moje laická domněnka – kdybych si teď zkusil nějaký open port scan, měl by hlásit, že ten port je otevřený. Ale ne.

Zkoušel jsem jiný porty, výsledek stejnej. Zkoušel jsem, aby se zvenku připojovali na IPv6, nic. Připojit se k někomu jinýmu jde bez problému.

A aby toho nebylo málo, tak věci, co umí UPnP, se v administraci routeru normálně samy nastaví a třeba Zerotier (pro vytvoření virtuální sítě nebo jak se tomu nadává) se tam objeví s nastavenýma portama je připojitelný, funguje atd.

Zkusil jsem O2 support, kterýmu jsem předem řekl, že jsem jejich návod k modemu četl a port forwarding podle něj zkusil nastavit, tak mě odkázali... na stránku s návodem a na sekci infolinky, která neexistuje.

Ta kombinace toho, že port forwarding/incoming filtr mám nastavený (snad správně?) + toho, že UPnP věci se přes router procpou, mi prostě nejde do hlavy. Jakože se to tváří, že by to mělo jít/jde, ale reálně se ke mně nede připojit. Možná je tam nějaká chyba mezi klávesnicí a židlí, možná je to jen nějaký globální O2 nastavení, se kterým nic neudělám.

Co s tím, netušíte?

---

Pár dalších detailů – můžu spustit druhou instanci aplikace a připojit se na spuštěnej server na localhostu, to normálně funguje. Když se pokusím připojit na svou venkovni IPv4 adresu, nepřipojím se.

04.jpg (9.22 KiB) Zobrazeno 3026 x

06.jpg (8.26 KiB) Zobrazeno 3026 x

Trochu divný je ale to, že když se pokusím připojit na IPv6, tak to jde! Software to dokonce pozná a rozezná připojení z localhostu nebo jakoby "zvenku" (ale reálně ze stejnýho PC, jen použitím externí IPv6 a ne 127.0.0.1), viz screeny logu. Ale netuším, jestli to není prostě jen nějaká spešl featura IPv6.

05.jpg (10.81 KiB) Zobrazeno 3026 x

07.jpg (9.5 KiB) Zobrazeno 3026 x

---

[Reklama]

[ITCrowd]

Protože port forward není virtual servers.
V tom comtrendu ani možnost port forwardu není.
Nejjednodušší bude, když dáš svému počítači pevnou IP adresu a tu zapíšeš do DMZ.

[Microsheep]

Port Foward není Virtual Server, niceméně pro tento účel dělá správně a tento způsob by měl být funkční. Pro tvoje požadavky, je to prakticky stejné. Nicméně mám takové tušení, že firewall na Comtrendu ani není povolený, vzhledem k tomu, že po IPv6 to funguje a pravidlo pro Ipv6 není.

- Dále samozřejmě 10.0.0.34 musí být tvůj počítač.
- Port 2346 musí poslouchat (což posiláš nějaké logy, že by mělo). Jistota by byla netstat -ano | findstr "2346", ale vzhledem k tomu, že se z localhostu připojíš, tak tohle by mělo být ok.
- Lokální firewall si pouze napsal, že jsi povolil. Což pro jistotu ještě ověř, že je vše v pořádku (např. pokud to není jen pro lokální subnet, pravidlo je uplatněné apod.) Pokud máš např. jiný firewall než Windows Defender, tak nastavovat v něm.
- Obrázek, kde zkoušíš NAT loopback / Hairpin NAT by nemusel být úplně funkční, ale vzhledem k tomu,testuješ i z externího webu, tam by to mělo být ok. (ale pozor skenujou jen tcp)
- Počítač, kde to poslouchá předpokládám, že má vyplňenou správně bránu (10.0.0.138), aby se to mohlo vrátit?
- Ještě bych si ověřil, že ten Comtrend 2346 k nečemu nepoužívá, ale nenapadá mě k čemu, takže pravděpodobně taky ok.

Přidej dočasně (pouze na test) http/https (podle toho na čem firewall poslouchá) a přidej pravidlo do fw.
Normálně nastav jen ipv4, tcp a dst port 80 nebo 443 na všech interfaces. Potom se zkus na router připojit z venku (mobilu na datech např.) nebo oskenovat port z venku. Je to jen test, jestli ti ipv4 správně routuje a popř. hledat jinde. Napiš pak jak to dopadlo. Jo, ještě doufám, že nemáš na firewallu defaultní jméno a heslo, protože to na chvíli pustíš do světa..

Pokud nemáš firewall na Comtrendu zapnutý už teď (viz můj začátek) z WANu by ses měl teoreticky připojit i bez toho pravidla..

[nicitel]

- Dále samozřejmě 10.0.0.34 musí být tvůj počítač.
- Port 2346 musí poslouchat (což posiláš nějaké logy, že by mělo). Jistota by byla netstat -ano | findstr "2346", ale vzhledem k tomu, že se z localhostu připojíš, tak tohle by mělo být ok.
- Lokální firewall si pouze napsal, že jsi povolil. Což pro jistotu ještě ověř, že je vše v pořádku (např. pokud to není jen pro lokální subnet, pravidlo je uplatněné apod.) Pokud máš např. jiný firewall než Windows Defender, tak nastavovat v něm.
- Obrázek, kde zkoušíš NAT loopback / Hairpin NAT by nemusel být úplně funkční, ale vzhledem k tomu,testuješ i z externího webu, tam by to mělo být ok. (ale pozor skenujou jen tcp)
- Počítač, kde to poslouchá předpokládám, že má vyplňenou správně bránu (10.0.0.138), aby se to mohlo vrátit?
- Ještě bych si ověřil, že ten Comtrend 2346 k nečemu nepoužívá, ale nenapadá mě k čemu, takže pravděpodobně taky ok.

Přidej dočasně (pouze na test) http/https (podle toho na čem firewall poslouchá) a přidej pravidlo do fw.
Normálně nastav jen ipv4, tcp a dst port 80 nebo 443 na všech interfaces. Potom se zkus na router připojit z venku (mobilu na datech např.) nebo oskenovat port z venku. Je to jen test, jestli ti ipv4 správně routuje a popř. hledat jinde. Napiš pak jak to dopadlo. Jo, ještě doufám, že nemáš na firewallu defaultní jméno a heslo, protože to na chvíli pustíš do světa..

Pokud nemáš firewall na Comtrendu zapnutý už teď (viz můj začátek) z WANu by ses měl teoreticky připojit i bez toho pravidla..

Dík za odpověď, Microsheep... Microsheepe? Prostě dík :)

- Jo, 34 je můj pc.
- Netstat jsem zkusil a ukázal 2346 jako listening jen na lokálu následovně. Netuším, jestli by se tam měla objevit i jiná ip? Jakože třeba moje místní 10.0.0.34 nebo venkovní?

- FW jsem pro jistotu ještě jednou zkontroloval (jedu jen default win FW) a program i java jsou povolený (+ když jsem se připojoval k někomu, tak to jelo).
- Něco málo zvládám, ale NAT loopback / hairpin NAT nevím, co znamená. Ten port test?
- Jo, brána je 138 (jakože "Výchozí brána IPv4" v podrobnostech připojení, tak?).
- Na 2346 by nic běžet nemělo – nejsem si jistý, jak to přesně zkontrolovat, ale když vypnu program s hostovaným serverem a zkusím stejnej příkaz netstat jako výše, tak už neukáže listening ani established, ale jen jeden se statusem time_wait.
- U posledního odstavce už se ztrácím. Jakože v nastavení routeru povolit incoming přístup na porty 80 a 443 (bez specifikace cílový IP, prostě jen povolit) a zkusit se dostat do administrace routeru zvenku (tzn. ne z 10.0.0.138, kam lezu z místní, ale z venkovní 194.228.něconěco)?

[Microsheep]

- Netstat je ok
- Firewall lokální pro jistotu zase můžeš na testy vypnout dočasně. Pozor jaký máš profil.
- NAT loopback je když z vnitřní sítě zkoušíš služby přes veřejnou adresu (vlastně si udělá otočku na routeru), ale ne všechny routery ti to musí zpátky uroutovat (většinou to lze nastavit, jestli to má jít nebo ne)
- Ano, výchozí brána je přesně ono.
- Poslední odstavec chápeš dobře, jen povolit incoming přístup na 80 a 443 bez adresy ipv4 a zkusit tu administraci z venku po té veřejné adrese 194.228.*.* a z jiné než vnitřní sítě a ještě předtim to můžeš zkusit bez toho pravidla.

[ITCrowd]

Asi bych na to šel jinak.
Lokálně mu to asi jede, předpokládám, že z vnitřní sítě mu to funguje - pokud ne, nastavit lokální firewall tak, aby to fungovalo.
Dal bych IP PC do DMZ, vyzkoušel zvenku, pokud by nefungovalo, zkusit vypnout firewall comtrendu. Pokud by začlo fungovat, pak nastavit firewall comtrendu tak, aby bylo průchozí.
Pak bych zrušil DMZ.
Předpokládám, že má VDSL, v tom případě bych nastavil v Advanced Setup => WAN Interface natvrdo VDSL a z NAT tabulky odmazal ppp1 interface pravidla.
A v případě požadavku na přístup i z vnitřní sítě by mělo pomoci nastavit Full-Cone NAT.

[nicitel]

Díky za tipy, ale nedaří se. Deaktivovaný fw na routeru (u ppp1 i 0.1), žádná změna. Když jsem povolil incoming na 80 a 443 (bez jakejchkoliv jinejch nastavení kromě IPv4), zvenku se na router nedostanu. Když hodím ip pc do DMZ, taky nepozoruju u port scanu/hostování serveru žádnou změnu.

[ITCrowd]

Lokálně ti to funguje?
Nemáš třeba v pravidlech firewallu na PC rozdílné nastavení pro pakety z počítačů z lokální sítě a z routeru?

[Microsheep]

Pravděpodobně nemáš od poskytovatele správně routovanou veřejnou adresu ipv4.
Jakou IP máš na WANu routeru?

[nicitel]

Aha, tak že by tohle bylo jádro pudla?

WAN IPv4 Address: 10.227.51.xxx

Tzn. jiná ip, než se externě ukazuje (194...). Jestli je teda wan ipv4 address to, co mám hledat.

Jinak lokálně to funguje v pohodě (z jinýho zařízení, nejen dvě instance na jednom pc). A při těch předchozích zkouškách byl FW na pc i routeru deaktivovanej, takže ten by nic ovlivňovat snad teda neměl.

[ITCrowd]

Jop. To je ono.
A proto to na šestkovou chodí, protože tam je udělaný tunel. Čtyřková je neveřejná, tak to na ní chodit nemůže.

[nicitel]

Jen dodatek/upřesnění - na tu šestkovou to chodí jenom "lokálně". Zvenku se na ni taky nikdo nepřipojí. Ani s povypínanejma fw atd. "Funguje" jen při spuštění druhý instance na stejným pc. Program akorát ukáže, že se klient připojil z IPv6 adresy (zatímco při localhostu ukáže, že se připojil z 127.0.0.1), takže to minimálně nějak rozpoznává). Proto mi to přišlo divný. Ještě pro sichr zkusím, jestli se na šestkovou připojí i jinej stroj na místní síti, ale normálně zvenku jsme to zkoušeli a nejde to.