Synology-Forum.nl
Synology Router => Synology Router => Topic gestart door: aliazzz op 11 mei 2024, 21:31:29
-
Hallo allemaal,
Ik heb een vraag, ik wil een device achter m'n (NAT) firewall "scannen".
Dit scannen wordt gedaan door een speciaal UDP pakket te broadcasten naar port 24576. Ieder device met die dienst zal dan antwoorden. Dit antwoorden gebeurt dan ook op zijn beurt middels een broadcast van een speciaal antwoord.
Is het mogelijk om dit verkeer zodanig te routeren door alsof er geen firewall / NAT tussen zit zonder ANY ANY achtige rules?
Ik wil best een portforward rule instellen dat al het verkeer op 24576 geforward wordt naar het achterliggende device, en het antwoord terug via de default gateway terug te sturen.
Ik ben er onzeker over of hoe ik een internet broadcast omleg naar een lokaal netwerk.Weet iemand hoe ik dit het beste kan aanpakken?
-
Ik had het moeten weten: een portforward kan altijd maar 1 IP adres worden doorgezet.
Dat is dus het antwoord (nee)
-
Dit scannen wordt gedaan door een speciaal UDP pakket te broadcasten naar port 24576. Ieder device met die dienst zal dan antwoorden. Dit antwoorden gebeurt dan ook op zijn beurt middels een broadcast van een speciaal antwoord.
En dat "speciaal pakket". Wat data broadcast, zit dat ook ergens in je eigen netwerk??
Indien dat inderdaad het geval is. Geldt het volgende helemaal niet:
Ik had het moeten weten: een portforward kan altijd maar 1 IP adres worden doorgezet.
Port forwarding geldt niet voor intern netwerkverkeer. Alleen voor extern binnenkomend dataverkeer.
Komt de broadcast als server wel vanuit een externe bron, (is het intern mogelijk al geen broadcast meer??).
Maar zou je misschien "port triggering" kunnen proberen??
(Werkt echter alleen voor één intern apparaat tegelijk, die met die "broadcast" data overweg kan).
Hierbij wat informatie wat de verschillen zijn "port triggering" versus "port forwarding":
https://en.wikipedia.org/wiki/Port_triggering
https://kb.netgear.com/24295/What-is-port-triggering
https://www.asus.com/nl/support/faq/114110/
https://www.purevpn.com/blog/port-triggering-vs-port-forwarding
-
Port triggering kan idd wel wat zijn ja, ik zal het morgen eens uitproberen
-
Ik noem het eerder "port-knocking" maar dat is meer gebruikt om een bepaalde firewall-rule te mogen gebruiken wanneer je op de firewall de juiste sequentie maakt.
Toch wel iets anders dan dat jij wil bereiken precies.
Ik heb het jaren op m'n firewall (Mikrotik) gebruikt gebruikt dat je vb enkel aan m'n Plex kan nadat je vb eerst TCP/100 , TCP/4563 en TCP/9812 hebt gedaan naar m'n firewall, en dit binnen een tijdspannen van 15 seconden en uiteraard in de juiste volgorde. Dan werd je (public) IP toegevoegd aan de whitelist en kan je een aantal services gebruiken (vb Plex)
Tegenwoordig werkt ik volledig op Wireguard of Zerotier om toegang te hebben tot "thuis" dingen. Ik "hang" niks zomaar aan Internet.
Nu wat jij wil kan niet echt ; er is niet zo iets als "een broadcast van Internet" die langs de WAN-poort zou moeten binnenkomen en dan doorgezet gaat worden naar de LAN-kant. Je kan enkel "gericht" je WAN-IP hitten eigenlijk.
-
Ik noem het eerder "port-knocking" maar dat is meer gebruikt om een bepaalde firewall-rule te mogen gebruiken wanneer je op de firewall de juiste sequentie maakt.
Het gaat eigenlijk niet zozeer om een firewall regel, wat jij dan mogelijk op een Microtik gebruikt en dat als "Port-knocking" benoemt?
Port-knocking is iets anders als Port Triggering. Het heeft wel verwantschappen, maar is toch anders.
"Port Triggering" zijn aparte functies in een router, met hun eigen menu's en instellingen.
Veel routers hebben helemaal geen functies voor Port Triggering. Even doorgezocht op internet voor Microtik.
Maar daar vind ik geen functie voor. Vandaar dat jij het eerder op die wijze had opgelost??
Bij een Synology router zijn Port Forwarding - Port Triggering en Firewall aparte menu's, die je onafhankelijk van elkaar kunt instellen.
(Afgaande op het onderschrift van @aliazzz gebruikt hij Synology routers).
En uiteraard is er wel samenhang in het gebruik van Port Forwarding / Port Triggering met een firewall.
-
De combinatie "broadcasting" en "forwarding" klopt niet. Dat suggereert dat je vanaf het internet wilt broadcasten. Dat werkt per definitie niet omdat je het hele internet zou platleggen als broadcasting daar ondersteunt zou worden door de hardware.
-
Okay ik snap dat zonder context er heel veel verwarring ontstaat, hieronder dus context.
Ik heb binnen mijn LAN een afgesloten mini prive netwerk X. Netwerkje X bevindt zicht achter een aparte Firewall / NAT.
Vanuit m'n reguliere LAN vuur ik een UDP broadcast af en nu is het de bedoeling dat die broadcast toch in X uitkomt, en dan dat antwoord weer terug naar het reguliere LAN. Ik ben echter geen superheld op dit vlak, maar het lijkt mij een leuke uitdaging dit op te lossen met instandhouding van die firewall / NAT ertussen.
Wat heb ik hiervoor nodig (behoudens een L3/4 managed switch, want ja dan gaat dat wel volgens mij)
Ik zou graag willen weten of het ook middels een ROUTER kan, zo ja hoe (beetje "hacken" mag ook -) ).
Uiteraard is een VPN aanleggen over beide netwerken heen een mogelijkheid, maar dat wil ik nu juist niet.
-
Owkee, dus dat mini intern netwerk heeft dus eigen fysieke firewall/router met een eigen Internet lijntje ?
De enige goede oplossing is beide netwerken verbinden met "een VPN" of tunnel-constructie, dat kan GRE, EoIP (ethernet-over-IP), Wireguard, you name it, maar dat hangt wat van de mogelijkheden van je routers/firewalls af eigenlijk.
-
Zo ziet het eruit (Ascii-art);
WAN | FIREWALL/NAT | LAN1 (192.168.168.0/24) | FIREWALL/NAT | LAN2 (192.168.0.0/24)
LAN 2 zit dus NIET direct aan internet maar is een eigen "separaat" micro-lan binnen LAN1, dit concept wordt vaak dubbel NAT genoemd.
Idee is dat ik dus van LAN1 een broadcast doe naar LAN2.
bijv
LAN1 - 192.68.168.250 > 255.255.255.255 UDP-24576 > LAN2 - 192.168.0.10 antwoord hierop.
Mischien moet ik de topic hernoemen: DubbelNAT icm broadcast
-
Inderdaad de functies van een "speciaal UDP" pakket in de eerste post, was voor mij ook wat vage informatie.
@aliazzz je zoekt mogelijk oplossingen op router niveau. Je maakt gebruik van Synology routers.
Daarin kun je tot maximaal 5 netwerken inrichten. Afhankelijk wat je precies wilt bereiken, en functies die mogelijk buitenom lopen.
(Via een externe server??) zijn daar verschillende opties in te bedenken.
Ook "haasje over" van het ene netwerk naar het andere. (Maar zou niet mijn voorkeur zijn).
Doorloop eens enkele recente reacties.
https://www.synology-forum.nl/synology-router/stb-nmc-400-na-toevoegen-extra-netwerk/msg328929/#msg328929
https://www.synology-forum.nl/synology-router/internet-of-things/msg328969/#msg328969
Overigens bij dubbel NAT (twee routers achter elkaar) en dan gebruik van dezelfde LAN IP-reeksen, gaat niet werken.
Maak je daarin niet een vergissing met de opgave van die IP-reeksen die je in je vorige reactie beschrijft?
[ EDIT ] Heb zelf niet goed gekeken. (Het zijn wel twee verschillende IP-reeksen) :o
-
Zijn beide routers onder je eigen controle ? Ik probeer te begrijpen waarom je zo'n constructie hebt gemaakt...
Dit soort dingen doe je meestal niet indien je beide routers zelf in beheer hebt, want dan hangt 192.168.0.0/24 gewoon als "poot" mee op de 1e router/fw.
Op een semi-pro/pro router/fw is het hebben van een 192.168.168.x/24 en 192.168.0.x/24 niet echt een probleem, but your mileage may vary....
-
Ik heb beide topics gelezen; Zou je mij kunnen helpen door wat uit te wijden betreffende ie verschillende opties die je aanhaalt?
Er staat tevens op semi-pro/pro router/fw is het hebben van een 192.168.168.x/24 en 192.168.0.x/24 niet zo'n probleem.
Helaas ben ik op dit punt in mijn kennis "slecht" met netwerk-routing. Altijd lastig voor mij geweest. Ik besef me dat ik niet alles kan weten, er is domweg teveel kennis in de wereld ;-)
-
Op een ander tijdstip / dag wil ik je best helpen. (Ga zo direct het huis uit, en vandaag niet meer aanspreekbaar voor het forum).
-
Goh daar is niet veel over te zeggen. Een router of firewall (=router met filtermogelijkheden) is in de basis een toestel waar verschillende IP-netwerken samenkomen. (en de "demarcatie" zeg maar van enkele broadcast-domains)
Ik heb geen ervaring met Synology/SRM routers, maar ik zou denken dat je gewoon interfaces (hetzij fysieke ethernet-poortjes, hetzij VLAN definities) gewoon kan "aanmaken" op het toestel ? Een "LAN" 192.168.168.0/24 kan vb op poortje ethernet1 zitten terwijl je 192.168.0.0/24 kan hebben zitten op ethernet2 als je toestel dit toelaat natuurlijk. Een Cisco-router bijvoorbeeld wel.
Nu dat gaat je probleem niet oplossen, want een router, zoals ik zei is het "koppelvlak" (en scheidingspunt) van broadcast-domains. Je kan dus niet zomaar een broadcast "over" een router heen gooien.
Is dit een academisch probleem ? Of spreken we hier over een echte applicatie ? Kan je daar meer details over kwijt ?
-
Is dit een academisch probleem ? Of spreken we hier over een echte applicatie ? Kan je daar meer details over kwijt ?
Jazekers kan ik meer detail kwijt. Dit is BEIDE, dus echte een applicatie maar ook semi-academisch, want ik wil er ook wat van leren natuurlijk ;-)
De usecase is als volgt: ik heb een programmeerpakket welke vrij te programmeren nodes op het netwerk kan scannen. Dit pakket (de IDE) draait in LAN 1, terwijl de vrij te programmeren nodes (een mix van fysieke en gevirtualiseerde nodes) in LAN 2 zitten. Normaliter boeide mij het "scannen" niet, ik stelde een portforward in naar een specifiek target IP in het achterliggende netwerk.
Nu begint het aantal vrij programmeerbare nodes in LAN 2 fors toe te nemen. Dit betekent dat ik heel wat poortjes/ip's moet gaan manueel forwarden, en die poorten moet onthouden, koppelen in de IDE etc.
Dit wilde ik eigenlijk "slimmer aanpakken" en nu dacht ik ineens aan die scan functionaliteit vanuit de IDE en zo is de vraag eigenlijk onstaan.
Als ik de vraag helemaal afpel naar de kern gaat het erom dat ik het dubbel NAT principe best wil afzwaaien, zolang over de nieuwe oplossing een broadcast gestuurd kan worden terwijl de netwerken toch "gescheiden" zijn. Daar zou in de hedendaagse wereld toch gewoon een oplossing voor moeten zijn. Ik wil ook investeren om mijn basis routing kennis uit te breiden om zodoende dit geheel zelf te onderhouden.
Elk advies hierover qua aanpak is welkom.
-
Ik kom beroepsmatig redelijk wat installaties tegen met modbus,knx,bacnet,scada,plc's en allemaal ander industrieel spul.
Daar heb je dikwijls "discovery" zaken met broadcast-achtige concepten inderdaad dat die techniekers gebruiken om hun devices te vinden op het LAN.
Het betreft daar een SDN die we ontworpen/gebouwd hebben (software-defined-network) met zaken als VXLAN, underlay/overlay netwerken en "een broadcast" is daar standaard zelfs onbestaande en je moet dat expliciet gaan enablen (L2 flooding) voor ze hun spullen werkend krijgen ;-)
Ik denk dat je gewoon op je IDE in LAN1 effectief 1 "poot" / interface bijkomend direct in LAN2 moet hangen en via die weg heb je "vrij zicht" op LAN2 en zullen je discoveries uiteraard allemaal werken als je die via die interface buiten gaat sturen.
Dit is echt iets dat men in de praktijk ook gewoon doet. Wat jij wil kan niet, zeker niet met 2 verschillende IP-ranges etc.
Meestal worden dan op zo'n "multi-homed" node (IDE in jouw geval) wat speciale maatregelen getrokken zodat die niet kan routen (vb op Linux kernel een aantal hardenings doen, routing flags afzetten etc)
-
Aha, dus wat je voorstelt is een 2e NIC in de IDE machine te zetten en die NIC op LAN2 in te stellen. Dit is inderdaad een valide optie.
Die doet me denken aan een bridge machine, wat het feitelijk dan ook kan doen, maar ik expliciet niet wil.
Een andere valide optie zal ongetwijfeld een L3/4 switch omvatten. Die heb ik ook nog liggen hier maar die is 48 ports en maakt een takkeherrie :-) Ik denk dat ik moet accepteren dat kiezen of delen is!
Ik ben in iedergeval een hoop wijzer.
Alhoewel iemand mij nog weleens een cursus IP routingtabellen invullen voor beginners mag geven ;-) Daar raak ik altijd de kluts kwijt.
-
>Aha, dus wat je voorstelt is een 2e NIC in de IDE machine te zetten en die NIC op LAN2 in te stellen. Dit is inderdaad een valide optie.
>Die doet me denken aan een bridge machine, wat het feitelijk dan ook kan doen, maar ik expliciet niet wil.
Je moet dan ook niet zo angstig zijn, er zal niks "gebridged" worden en er zal geen informatie "lekken". Als het een WINDOWS host is natuurlijk zal je wel wat "noise" zien rondstrooien, maar een goed geconfigged IDE Linux machine zal gewoon "stil" zijn op z'n 192.168.0.x 2e interface ;-)
Temeer omdat alle systemen sowieso hun "default gateway" hebben staan naar de router in 192.168.0.x (vb 192.168.0.1 of 192.168.0.254) gaan ze die LAN-interface van de IDE machine niet echt aanspreken "om naar buiten te kunnen". Een broadcast die je langs IDE "poot" gaat zal netjes beantwoord worden door allerlei spul in het 192.168.0.x omdat het "directly connected" is etc.
-
Datgene op programmeer gebied op dit vlak wat jullie bezigen gaat me boven de pet.
Vond op tweakers.net wel een vergelijkbare vraagstelling en discussie over mogelijkheden, maar vooral ook onmogelijkheden
om broadcast naar een ander netwerk heen te tillen.
https://gathering.tweakers.net/forum/list_messages/2141056
De mogelijkheden die wel werken, zijn eerder in dit onderwerp al aangetipt, zoals via een VPN verbinding.
(Hier geprobeerd, en kon met een smartphone en VPN over het mobiele netwerk, mijn spotify "casten" naar mijn media speler thuis.
Chromecast / Airplay / DLNA zijn multicast gerelateerde functies om apparaten onderling te kunnen vinden en data uit te wisselen).
Misschien andere optie is om een IGMP Proxy (host) op te zetten, en als multicast binnen een ander netwerk te verspreiden.
(2e router moet dan IGMP Proxy en IGMP Snooping ondersteunen. Wordt o.a. toegepast bij IPTV (KPN).