Port forwarding pe ONT si pe router

Salut, de ieri incerc sa fac port forwarding la niste porturi ( sa fiu mai exact cele necesare pentru a avea un Open NAT type ) dar nu reusesc. Sunt abonat Digi si folosesc echipamentul primit de la ei: un ONT F660RV1 si un router ZXHN H298N. ONT-ul este conectat prin portul GE al lui la portul LAN1 al router-ului.


Initial citisem ca trebuie sa setez port forwarding-ul pe ONT spre router si pe router spre PC. Am incercat si nu am avut succes. Dupa un timp am aflat ca am CGN si acesta impiedica posibilitatea de PF. Am dat ticket la Digi, m-au sunat inapoi si m-au anuntat ca l-am dezactivat si am reluat procedura.

Tin sa precizez ca am facut DHCP Binding pentru PC astfel incat sa aiba adresa 192.168.1.3 si router-ul are adresa 192.168.1.1.

Daca fac port forwarding spre router si dupa spre PC nu merge. Daca fac port forwarding direct din ONT spre PC merge, dar ceva tot nu pare la locul lui. De exemplu, portul de la BitComet (10NNN) arata ca este deschis atat in Simple Port Tester cat si pe yougetsignal ( pe site primesc confirmare numai daca BitComet este deschis ). Daca fac port forwarding la portul 80 in Simple Port Tester arata ca este deschis dar pe yougetsignal nu. Am pus toate porturile necesare in ONT spre PC si, la fel ca mai sus, pe site nu arata ca sunt deschise si nici NAT Type nu se schimba in Open. Am pus si DMZ pe PC dar este acelasi lucru ca setarea manuala a porturilor.

Am mai incercat sa pun si DMZ pe router si din router am activat UPnP si am incercat NAT-ul si din PC si de pe un laptop dar la fel, nu se schimba nimic si porturile necesare sunt inchise.

Ce este de facut in situatia asta ?

Te-ai cam pierdut in detalii. Port forward faci pe cel care are functie de router, adica unde e setat userul PPPoE. Daca le folosesti pe ambele ca routere aici e problema.

Edited by diZy, 02 January 2019 - 13:59.

Am fost in aceeasi situatie ca si tine, solutia a fost sa sun la ei sa puna ONT-ul in "bridge mode" si sa folosesc router-ul meu ca router principal. Mi-am luat unul mai "zdravan" de la Mikrotik si pot sa fac port forward cu usurinta la orice port vreau eu.

Initial trebuie sa exprimi clar nevoia.

Pentru torrent e suficient numai UPnP, fara dmz, bridge-uri si alte prostii. Totusi primul pas ar fi sa te asiguri ca routerul tau NU este conectat la ONT prin portul WAN!

Edited by MembruAnonim, 02 January 2019 - 16:41.

 Dorin1996, on 02 ianuarie 2019 - 16:18, said:

Trecandu-l in modul bridge ai pierdut din viteza ? Am FiberLink 300 si am vazut ca unele persoane s-au plans ca dupa ce l-au trecut in bridge viteza maxima era doar de 100 mbps.

 andynick, on 02 ianuarie 2019 - 16:51, said:

Nu pierzi viteza, eu am 500 Mbps banda si in teste ajunge la 490 Mbps, evident asta daca routerul tau e compatibil Gigabit. Ca sa nu fii limitat la 100 Mbps trebuie sa pui in portul GE nu in Fe(in cazul lui F660RV1) si apoi in portul WAN al router-ului tau si sa setezi PPoE pe el. Cum zicea si colegul mai sus, e suficient si UPnP pentru torrenti insa echipamentele lor sunt limitate, nu prea sunt configurabile, de aceea recomand sa treci in bridge mode si sa iti pui router-ul tau personal ca router principal iar echipamentele (ONT-ul ZTE) lor sa aiba rol doar de media convertor.

 Dorin1996, on 02 ianuarie 2019 - 17:23, said:

Okay, multumesc. Am facut ticket la ei si acum astept sa ma sune sa imi confirme ca l-au trecut in modul bridge. Router-ul pe care il am este tot de la ei si este Gigabit ( am 300mpbs in cap ) si o sa vad daca o sa cumpar unul nou. Si vreau sa fac PF pentru niste port-uri pentru ca jocurile de la Ubisoft sunt destul de pretentioase pentru online.

Cum s-a mentionat si mai sus (si de multe ori pana acum pe arie) foloseste upnp (achizitiomeaza un router ce stie upnp). Cu pfwd doar iti faci de lucru si, deobicei, se foloseste in cazuri ce n-au legatura cu jocurile (pt ca astea au prostul obicei sa deschida n porturi nu doar 1).

Am rezolvat. Mi-au trecut ONT-ul in bridge, am activat din router UPnP si am acum NAT Type open. Va multumesc pentru ajutor.

 ogo, on 02 ianuarie 2019 - 22:37, said:

nu...ce? sa-l pun acum sa-si ia router ce stie upnp2 cu secure mode? E îndeajuns de sigur pentru home use aka gaming. Daca are 2 console/pc-uri online ce face?

Activarea UPnP e cea mai "proasta" alegere dpdv a securitatii. Mai ales i  cazul homeuser-ilor. Orice alta solutie e mai buna / okay decat UPnP.

Edited by MembruAnonim, 03 January 2019 - 12:00.

upnp e o chestie de "incredere". daca n-ai incredere in programele locale (care singur le instalezi si le dai voie "pe net") atunci singura varianta corecta este sa nu fi conectat la internet.
Mai mult, mitul upnp s-a propagat "urat" datorita implementarii de 2 bani a producatorilor de echipamente (producatori ce au luat in calcul doar usurinta -deobicei un singur click- in defavoarea totala a securitatii/controlului).
Atata timp cat routerul accepta doar conexiunile ralated si established (asa cum e si normal), orice program, chiar daca foloseste upnp sau nu, atata timp cat este DESCHIS de utilizator, poate fi malware/etc.
Intr-un final problema este intre tastatura si scaun...nu in alta parte.

UPnP nu este de incredere cat timp da gauri in firewall dupa cum vrea el. Nu o zic doar eu  care sunt un nimeni pe un forum oarecare. O spus si alte persoane, profesionisti daca ne luam dupa CV-urile lor in domeniul InfoSec cu ani vechime in respectivul domeniu, UPnP permite oricerei balarii sa deschida porturi din LAN spre WAN fara ca user-ul sa aibe idee ca are o gaura cat casa in firewall. A deschide automat gauri in firewall e o greseala ce trebuie evitata cat de mult se poate. Orice joc sau soft are o lista de porturi folosite si se poate afla si apoi se pot deschide manual acele porturi (se face port-forward) ca un user are nevoie ca traficul din WAN sa ii ajunga in jucaria aflata in spatele router-ului.

upnp nu face pfwd inclusiv firewall pin holes dupa cum vrea el ci dupa cum vrea programul respectiv ce ruleaza pe un PC/consola/etc... e o chestie de nuanta... program care pana la urma este instalat de enduser nu de altcineva. Ca programele sunt "perverse" ca sa le zic asa, asta e alta treaba...
Iarasi, upnp poate folosi secure mode, poate folosi acl  in care poti seta local/external port range (exact ca un firewall/ pfwd) si tot asa.
Parerea mea e ca: toata lupta asta impotriva upnp e ceva de genul: un alcoolic face un accident => hai sa interzicem vanzarea de produse alcoolice.

Nu UPnP orice basina de soft, trebuia sa zic. Oricum UPnP e o aberatie, prefer sa deschid ce porturi vreau sau sa fac ce port-forward doresc fara sa stau sa ma gandesc ce bataie de cap am cu UPnP.

Quote

Nu are rost sa trec tot articolul aici. Insa QED. Deci UPnP nu se recomanda niciodata. Poate in cel mai bun caz sa fie folosit in LAN dar niciodata activat pe dispozitivul care leaga LAN de WAN.

Eu sunt oarecum de acord, si intr-adevar, upnp a fost gandit intra-lan nu lan-wan...dar tine totusi si cum este implementat de producator si folosit de user... dar atunci cand ai 2 device-uri in acelasi lan accesand acelasi joc online, fara upnp si nat-pmp nu e nicio sansa cu pfwd...

Firmware-ul de pe routere, cel de la producator e sub orice critica, depinde de producator, de asta prefer OpenWRT pentru ca pot face asa de exemplu:

0	 0 DNAT	 tcp -- *	 *	 !10.10.10.0/29	 172.20.10.10		 multiport dports 80,443 ctstate NEW to:10.10.10.2-10.10.10.6

E o regula scrisa cu spatele doar de dragul de a demonstra ceva. Si anume ca orice trafic cu sursa 0/0 destinat pe WAN (172.20.10.10/32) pe porturile 80/tcp si 443/tcp NEW se face DNAT catre adresele utilizabile din 10.10.10.0/29. Inlocuind NEW cu ESTABLISHED permit doar raspunsurile de la conexiunile stabilite de mine. Eu zic ca e mai elegant asa. Bine acum dupa preferinte.

LE:

 
	0	 0 DNAT	   tcp  --  *	  *	  !10.10.10.0/29		172.20.10.10		 multiport ports 60000:61000 ctstate NEW,ESTABLISHED to:10.10.10.2-10.10.10.6
	0	 0 DNAT	   udp  --  *	  *	  !10.10.10.0/29		172.20.10.10		 multiport ports 60000:61000 ctstate NEW,ESTABLISHED to:10.10.10.2-10.10.10.6

Edited by MembruAnonim, 03 January 2019 - 15:07.