Gehoste sites op domein bereiken met dubbele NAT

[bartmans99]

Hi,

Ik ben vandaag overgestapt van Ziggo naar KPN. Ik heb ervoor gekozen om (voorlopig) het KPN modem te blijven gebruiken. Dus in combinatie met mijn RT6600AX. Vrij probleemloos alles aan de praat gekregen, de RT pikte meteen het signaal van het KPN modem op. Dubbele portforwarding ingesteld op het KPN modem.

Vanuit extern (vanaf mobiel of werk VPN) kan ik de sites die ik host gewoon benaderen op domeinnaam. Intern kan ik de sites benaderen op IP. Maar niet op domeinnaam.

Dus: bla.domein.nl werkt wel extern, niet intern. Is dat nog te verhelpen?

[Briolet]

Je moet beide routers forwarden (dat deel werkt blijkbaar) EN beide routers moeten nat-loopback ondersteunen.

Missende nat-loopback te verhelpen door thuis een dns server te installeren.

[Babylonia]

Dus: bla.domein.nl werkt wel extern, niet intern. Is dat nog te verhelpen?

Heb je firewall regels ingesteld in de RT6600ax ??
Heb je daarbij bijv. ook het eigen LAN sub-net ingesteld als "Toestaan" (en mogelijk een eindregel als "alles blokkeren") ??
Zet daarbij ook een firewall regel voor toestaan van het  KPN LAN sub-net.
Dan wordt daarbij de NAT loop-back functie van de KPN router wat als "intern netwerk" wordt afgehandeld, ook geaccepteerd.

Net even hier een testje gedaan, met een KPN Experia Box V10 als eerste router, een Synology RT2600ac als 2e router erachter NAT achter NAT.
Div. poorten doorgestuurd in de Experia Box V10 naar de 2e router - RT2600ac.
(Vanuit de RT2600ac zijn al port forwarding regels ingesteld naar bijv. een NAS)

NAT loop-back functioneert hier als zodanig, ook vanuit het eigen thuisnetwerk van de Synology router.
Kan zowel mijn NAS bereiken via domein-naam, alsook "intern" een VPN verbinding op domeinnaam met een VPN-server op de 2e router.

[bartmans99]

KPN LAN Subnet = 192.168.2.1 - 192.168.2.254, IP adres RT = 192.168.2.2
RT LAN Subnet = 192.168.178.1 - 192.168.178.254, IP adres RT = 192.168.178.2

In het modem forward ik port 443 naar 192.168.2.2
In de RT forward ik port 443 naar 192.168.178.20 (een NAS)

In de firewall van de RT accepteer ik alle verkeer van 192.168.2.1-254 en 192.168.178.1-254
In de firewall van de NAS ook

Als ik op IP adres naar 192.168.178.20:port ga, reageert de server die daar draait
Als ik op domeinnaam probeer via LAN, krijg ik 'Probleem bij het laden van de pagina'
Als ik op domeinnaam probeer buiten LAN om (bv. 5G), reageert de server die daar draait

Ik gebruik de reverse proxy van DSM om https://server.domein.nl:443 door te sturen naar http://192.168.178.20:4041 (bv)

Kan niet bedenken waar dit nu fout gaat. Helpdesk van KPN kom je ook geen steek verder mee.

[Babylonia]

Zelf gebruik ik helemaal geen reverse proxy.   Misschien is dat het probleem??

[Matr1x]

Vanuit extern (vanaf mobiel of werk VPN) kan ik de sites die ik host gewoon benaderen op domeinnaam. Intern kan ik de sites benaderen op IP. Maar niet op domeinnaam.

Dus: bla.domein.nl werkt wel extern, niet intern. Is dat nog te verhelpen?

Ik heb hetzelfde probleem maar dan met Ziggo ipv KPN. Het werkt prima als ik slechts één netwerkaansluiting in DiskStation gebruik. Gebruik in beide netwerkaansluitingen dan heb ik dat probleem wat jij hebt. Geen idee waarom en hoe ik dat moet oplossen zonder de standaardinstellingen te gaan veranderen.

[bartmans99]

@Babylonia zou jij een screenshot kunnen maken van de firewall regel in de RT voor het KPN LAN subnet? Of sowieso de relevante delen van de firewall in je Synology router?

[Babylonia]

Dat kan zeer uiteenlopen aan de hand van de persoonlijke netwerk situatie.
Loop eerst eens voorbeelden na met reeds voorhanden zijnde informatie, binnen de "sticky" onderwerpen van dit forum onderdeel:

https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/

https://www.synology-forum.nl/synology-router/rt6600ax-router-setup-en-zijn-mogelijkheden/msg312656/#msg312656

Bij die laatste URL,   < DIT plaatje >   en   < DIT plaatje >   de regels  A - B  en  C   als voorbeeld.
Voor KPN geldt dan    192.168.2.1    t/m   192.168.2.254    naast die van de bij de Synology router zelf gebruikte LAN netwerken.

Daarnaast de toegang van services die je van buitenaf wilt bereiken.  Poorten voor web services  80,443
En eventuele toegang voor het van buitenaf benaderen van  DSM interface van de NAS, poorten  5001 = https  (of alternatief daarvoor)
En poorten voor bijv. VPN e.d.

Volgens mij klopt je eerdere beschrijving bij  reactie #3  van op te nemen firewall regels prima.
Maar zou poort 80,443  ook gewoon naar de NAS port forwarden voor het bereik van gebruikte web services op domeinnaam.

(Heb vandaag en morgen geen tijd om daar nog aanvullende screenshots voor te maken. Ben met andere dingen bezig).

[bartmans99]

Voorlopig opgelost door de RT in de DMZ van het KPN modem te zetten.

Als ik goede oplossing heb voor telefonie ga ik het KPN modem er helemaal tussen uit halen. Maar voor nu, werkt TV, telefonie en internet, inclusief reverse proxy naar achterliggende NAS.

Dank voor t meedenken.

[Briolet]

Voorlopig opgelost door de RT in de DMZ van het KPN modem te zetten.

Deze info geeft in elk geval aan dat je het probleem niet in de synology router of je lan moet zoeken.  Het zal in de firewall van de KPN router zitten.

[Babylonia]

Lees wel vaker problemen met NAT loop-back functies van KPN routers.  Met name van de wat meer nieuwe modem/router modellen.
(Zelf heb ik hier nog modellen van diverse jaren terug.  Experia Box V10 en V10A ).

[bartmans99]

Ja, gemengde geluiden. Nat op nat werkt vaak wel op IP zo lijkt het op 't forum, maar niet met reverse proxy.

Maar reverse proxy is fijn omdat je meerdere FQDN's kunt gebruiken over https (443) met een Let's Encrypt certificaat.

Op zich lijkt de situatie nu op die ik had bij Ziggo met het modem in bridge. Modem van KPN doet ook niet veel meer dan signaal doorgeven (en telefonie).

[Briolet]

De aanwezigheid van NAT-loopback is een klein risico. Daarom zijn er steeds meer fabrikanten die dit standaard uit zetten. (Als het al instelbaar is). Voor de gemiddelde thuisgebruiker is die functie ook niet nodig.

Ik gebruik al dubbel nat sinds ik de nas het en heb er nooit problemen mee gehad.  Ook niet met VoIP, waar het vaak afgeraden wordt.

[Babylonia]

Maar reverse proxy is fijn omdat je meerdere FQDN's kunt gebruiken over https (443) met een Let's Encrypt certificaat.

Vorig jaar heb ik wel eens met reverse proxy gespeeld, maar had er eigenlijk alleen maar problemen mee.
Wel met de opmerking dat ik hier  "nog steeds"  met een gedeeltelijke NAT achter NAT werk.
(In mijn geval twee Synology routers achter elkaar).   Echter geen problemen met NAT loop-back.
Ook geen problemen met VoIP in combinatie met diverse VoIP providers en SIP-accounts.

M.b.t. VoIP  heb ik eerder zelfs wel eens uitgebreide "FAX" testen gedaan in combinatie met mijn all-in-one Brother printer.
Indertijd op het KPN forum daar uitgebreid verslag over gegeven.  Zie  < HIER >  en vervolgberichten.

Inzake een onderwerp waar werd gesuggereerd dat FAX na een bepaalde datum zou worden "opgeheven":
https://forum.kpn.com/vast-bellen-13/blijft-fax-bestaan-562084

[Briolet]

Vorig jaar heb ik wel eens met reverse proxy gespeeld, maar had er eigenlijk alleen maar problemen mee.

Dat hoeft niet. Je kunt het zelfs als een aparte veiligheidslaag gebruiken. 

Ik heb een reverse proxy die dsm.mijndomein.nl:443 doorstuurt naar poort 5001.  Dan kun je poort 5001 in de router dicht gooien en kun je van extern alleen via dat specifieke domein bij de inlogpagina komen. Met een botte scan van alle poorten vinden ze de inlogpagina niet. En alleen "mijndomein.nl:443" komt op de website uit.

In ervaar in elk geval geen probleem met de combinatie dubbel nat en reverse proxys.