Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Elektroda.pl
PLFONPLFON
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

Funbox 2.0 - przekierowanie portów

31 Jul 2017 12:11 6159 7
  • Level 10  
    Szanowni Forumowicze,
    Przepraszam za długawy tekst, ale mam nadzieję, że dzięki Wam znajdę rozwiązanie mojego problemu a przy okazji inni oszczędzą sobie kłopotów. Przez kilka ostatnich lat zamiast wspaniałomyślnie podarowanego mi przez dostawcę usługi Liveboxa używałem Fritzboxa 7390. Niestety burze w końcu czerwca zrobiły swoje i pomimo przepięciowego zabezpieczenia linii wejście modemu zostało uszkodzone. Przy okazji padły jakieś urządzenia na centrali i wyciągnięty ze strychu Livebox też czekał na synchronizację przez ponad dwa tygodnie. Jak już się udało to po zalogowaniu się do usługi wieszał się przy pobieraniu jakiejś aktualizacji. Panowie z obsługi linii przyjechali z "nowym" LB, który zadziałał, jak się okazało uszczęśliwiając mnie adresowaniem IPv6 co odcięło mnie od usługi No-IP. Pokonanie tego problemu było stosunkowo łatwe, chociaż informacja o konieczności usunięcia "/ipv6" po nazwie użytkownika w loginie wcale nie "leży" na wierzchu strony dostawcy usługi. Jak już adresowanie IPv4 zadziałało przystąpiłem do przenoszenia ustawień z FB7390 związanych z przekierowaniem portów. Ustawienia zapory w LB zmieniłem na poziom "niski" i zrobiłem odpowiednie wpisy w części NAT/PAT. Sprawdzenie stanu portów na dostępnym w sieci portalu pokazało, że są one "closed". Doprowadziło to do konieczności kontaktu z BOK-iem. Jak zwykle po kilkunastominutowym oczekiwaniu dostałem standardowe porady "wyłączyć LB z zasilania", "twardy reset", "ponowne ustawienia zapory i NAT/PAT" - oczywiście bez efektu - porty pozostały zamknięte. Informacja od konsultanta "wie pan była seria LB gdzie to nie działało - trzeba wymienić modem, wymienimy go na FB 2.0 jest lepszy".
    Po kilku dniach udało mi się wymienić modem (oddzielna historia to jak zdobyć informację, w którym salonie mają modem na wymianę). Po podłączeniu i ciągle zamkniętych portach kolejne połączenie z BOK-iem i po kilkudziesięciu minutach kombinacji stwierdzenie konsultanta "ja nie potrafię pomóc, proszę zadzwonić na płatną linię *900 (1,99PLN/min)". Zanim tam zadzwoniłem zacząłem szukać pomocy w sieci i znalazłem informację, że usługodawca "dba o moje bezpieczeństwo" i filtruje ruch w sieci i aby się pozbyć tego "dobrodziejstwa" przed loginem należy dodać "BEZ_OCHRONY-". Szkoda, że na jego stronie www wcale niełatwo do tego się dokopać a na dodatek konsultanci o tym nie informują.
    Niestety dopisanie tego przedrostka niewiele pomogło i pół godziny płatnej linii "eksperckiej" nic nie zmieniło poza kolejną decyzją o wymianie modemu. Kolejny modem niczego nie zmienił dzisiaj wieczorem mam czekać na telefon od "eksperta" tym razem do mnie, ponieważ ośmieliłem się dodatkowo zadać pytanie dlaczego bramka VOIP podłączona do portu LAN pomimo zestawienia połączenia (w obie strony) natychmiast je zrywa a podłączenie telefonu bezpośrednio do gniazda TEL na FB działa prawidłowo. Wygląda mi to znowu na braku otwartych portów.
    Żeby bardziej to skomplikować to dodam, że porty 21, 37777, 5060 i 34567 udało się otworzyć. Żadne inne, losowo wybierane porty, nie zadziałały. Dodam, że wszystkie przekierowania dotyczą urządzeń na statycznych adresach IP.
    Obawiam się, że skończy się to na kupnie Fritza :(
    Dodam, że uszkodzony 7390 zachowuje się prawidłowo jako router i nadal obsługuje telefony DECT. Niestety AVM nie reperuje swoich urządzeń - wymienia tylko w ramach gwarancji.
    Będę wdzięczny za podpowiedzi co można jeszcze zrobić poza odłożeniem FB na strych.
  • PLFONPLFON
  • Computers FAQ editor
    Ja nawet w zakładkach mam: Link. Opcja bez ochrony umożliwia odblokowanie tylko portów 25, 135, 137, 138, 139, 445 których sensu za bardzo nie widzę przekierowywać, może ewentualnie port 25, ale z doświadczenia wiem, że serwera poczty nie ma co stawiać na neo, gdyż większość z puli dynamicznych IP jest na czarnej liście np. serwerów poczty na o2/wp. Przez co nie da się wysyłać wiadomości na konto np. @o2.pl gdyż serwer odrzuca połączenie.

    Ja nie potrzebuje odblokowania tych portów (wyżej wymienionych), a nawet nie radzę ich przekierowywać na lokalny komputer bo stwarza to zagrożenie. Inne porty da się bez problemu przekierować bez żadnych dopisków w loginie PPPoE. Zaporę mam ustawioną na "użytkownika" a porty które mam tam wpisane nawet nie muszą się pokrywać z regułami NAT. Wszystko działa bez zarzutu.

    PS. część stron do sprawdzania portów dobrze skanują tylko porty protokołu TCP.
  • PLFONPLFON
  • Level 10  
    Dziękuję za komentarz. Podany przez Ciebie link jest mi znany. Czytając jego fragment:
    Code: text
    Log in, to see the code

    rozumiem, że przy takim logowaniu zapora w FB (lub gdzieś dalej) nie filtruje żadnego portu. Nie próbowałem co prawda opcji ustawień zapory "użytkownika", ale w opisie opcja ustawień "niski" również powinna umożliwić otwarcie portów np. z zakresu 2231 do 2236 czego nie udaje się osiągnąć.
    Akurat mam potrzebę zdalnej kontroli kilku urządzeń bez żadnego wyrafinowanego interfejsu co bez problemu funkcjonowało na fritzboxie.
    Oczywiście podzielę się informacją od eksperckiej obsługi usługodawcy o ile rzeczywiście się odezwie.
    Pozdrawiam, E.
  • Helpful post
    Computers FAQ editor
    gunnpa wrote:
    rozumiem, że przy takim logowaniu zapora w FB (lub gdzieś dalej) nie filtruje żadnego portu


    Normalnie zablokowany jest całkowicie ruch na portach 25, 135, 137, 138, 139, 445 (nawet jak nie ma w zaporze tych wpisów) funkcja bez ochrony odblokuje tylko te porty. Opcja raczej nie powinna wpływać na inne porty.

    Jak pisałem u mnie przekierowane porty działają bez zarzutu i nie muszę nawet w zaporze ich dodawać jako dozwolonych.
  • Level 10  
    Powtórnie dziękuję :).
    Przekonany Twoim zapewnieniem, że u Ciebie wszystko działa podjąłem jeszcze raz desperacką próbę. Reset do ustawień fabrycznych, logowanie z dopiskiem "bez_ochrony-", zapora w stanie niskim. Ponieważ poprzednio miałem problemy z ustawieniem stałych IP (w tabeli dynamicznych IP nie pojawiały mi się wszystkie urządzenia) tym razem zrobiłem to "ręcznie" tzn. wpisywałem pożądany adres IP a MAC przepisywałem z informacji uzyskanej z arp -a. Jak już było to ustawione przeszedłem do ustawień NAT/PAT i po wpisaniu portów jak w poprzednich podejściach o dziwo przekierowanie zadziałało. Brak mi pomysłu na wyjaśnienie tego fenomenu. Ale żeby nie było tak różowo to pojawiła się niespodzianka. Otóż jedno z przekierowań, które uznałem za zbędne nie da się usunąć jak i wyłączyć (usunięcie ptaszka w okienku) niezależnie od tego czy urządzenie jest podłączone do routera czy nie, usunięcie go z tabeli stałych IP też nie pomaga, brak jego adresu w tabeli dynamicznych IP po resecie routera też nie zmienia sytuacji.
    Ekspert z BOK-u zgodnie z umową zadzwonił ale niestety nie dotarłem jeszcze do domu, poproszony o telefon za godzinę już się nie odezwał, pozostał zatem problem uruchomienia zewnętrznej bramki VOIP bo chyba ta, która jest zintegrowana z FB nie da się wyłączyć i na razie pogodzenie ich jednoczesnego funkcjonowania się nie udaje.
    Pozdrawiam, E.
  • Computers FAQ editor
    Z tym usuwaniem wpisów w tabeli NAT to nie dziwię się. Ja chyba miałem problem z dodaniem ich kiedyś, ale już nie pamiętam. Niestety ten soft to bolączka sprzętu od Orange. Ja nawet serwer DHCP na tym czymś mam wyłączony i korzystam ze swojego :P W zasadzie już na ten moment jest duży wybór sprzętu pod VDSL.
  • Level 10  
    Zastanawia mnie dlaczego to oprogramowanie jest na takim słabym poziomie. Przecież jest sporo urządzeń wygodnych w obsłudze, stabilnych i to nawet z otwartym oprogramowaniem. Gdyby nie trochę zaporowa cena to bez zastanowienia zamieniłbym fb na fritzbox'a. Zewnętrzna bramka VOIP (ta z 7390) loguje się poprawnie, połączenie jest zestawiane w obie strony ale po odebraniu wywołania natychmiast następuje rozłączenie. Konsultant z eksperckiej linii poddał się, nie potrafił odpowiedzieć czy potrzebne są oprócz 5060 inne otwarte porty.
    Dzisiaj ma do mnie dzwonić, miał szukać pomocy na wyższym szczeblu.
    Pozdrawiam, E.
  • Level 10  
    Żeby zamknąć temat i może komuś ułatwić życie odpowiadam sam sobie. Oczywiście obietnica zwrotnego telefonu od "ekspertów" z linii *900 nie została spełniona. Kilka dni poświęconych na próby znalezienia odpowiednich przekierowań portów sugerowanych na różnych forach nie dały rezultatu. Zestawione połączenie było natychmiast przerywane po jego odebraniu. Jako ostatnią deskę ratunku ustawiłem adres bramki jako DMZ i to pomogło. Wyciągam stąd wniosek (proszę o sprostowanie jeśli się mylę), że jednak to zapora w FB jest wszystkiemu winna, szkoda tylko, że nikt z BOK-u nie jest w stanie powiedzieć jakie powinny być ustawienia NAT/PAT żeby to zadziałało bez chwytania się lewą ręką za prawe ucho.
    Teraz zobaczę jak usługodawca potraktuje moje rozmowy ze słono płatną linią "ekspercką", które do niczego nie doprowadziły.
    Pozdrawiam wszystkich czytających i życzę braku kłopotów z konfigurowaniem tego urządzenia.
    E.