Porttiohjaus

[Tavaroshki]

Olis tämmönen vähän ehkä erikoinen vika, pitäisi porttiohjaukset saada tehtyä reitittimelle. Asetukset on tehty oikein reitittimeen ja kaikenlaisiamahdollisia eri kombinaatioita on yritetty (VAIKKA nämä ei nyt saatakkaan näkyä enää kyseisissä asetuksissa). Reititin sanoo että asetusten muuttaminen ei ole mahdollista, on yritetty eri reitittimellä, otettu yhteyttä palveluntarjoajaan vastauksena "liittymät ovat avoimia ja julkisia." eivätkä käytä CGNAT:tia. On yritetty pingata eikä canyouseeme.org löydä myöskään serveriä. Plex serveri toimii kyllä talon sisällä, eri laitteilla mutta ei eri verkkoa käyttävillä laitteilla.

Voisiko joku viisampi neuvoa mitä tässä voisi nyt yrittää vielä? Kaikki tutorialit, ohjeistukset ja neuvot on käytetty ja todettu että ei toimi. Pitääkö käydä ostamassa parempi reititin? Cudy WR1300 käytössä tällä hetkellä, joka ei ole palveluntarjoajan asentama ja he tarjoavat asiassa eioota.

Toinen erikoinen vika että palveluntarjoajan asentamaan eri reitittimeen en voi edes kirjautua sisään sen ollessa yhteydessä nettiin, nettikaapeli irti ja kirjautuminen toimii normaalisti mutta yhteydessä nettiin ei voi kirjautua sisään.

Spoileri

Tähän vastauksena oli että päätelaitteen pitää olla yhteydessä reitittimeen. Kiitos suuresta avusta.

Kiitoksia neuvoista ja avuista jo etukäteen!

 

[Prefect]

Tuossa sanotaan että ulkoinen ip osoite ei ole julkinen, eli onko sulla jokin toinen reititin ennen tuota minne olet tekemässä porttiohjausta? Jos on niin se ensimmäinen reititin pitäisi laittaa siltaavaksi että tämä jälkimmäinen reititin saisi julkisen osoitteen.

Toki et myöskään voi tehdä samasta ulkoisesta portista kahta porttiohjausta (tuosaa 32400 ohjattu sekä .1 että .90).

Enkä nyt tiedä onko tuollaista plexiä kovin fiksu ohjata julkisen verkon läpi. Melkein suosittelisin että tuo paketoitaisiin vpn tunnelin läpi mistä tulee toki oma säätönsä.

 

[Tavaroshki]

Tuossa sanotaan että ulkoinen ip osoite ei ole julkinen, eli onko sulla jokin toinen reititin ennen tuota minne olet tekemässä porttiohjausta? Jos on niin se ensimmäinen reititin pitäisi laittaa siltaavaksi että tämä jälkimmäinen reititin saisi julkisen osoitteen.

Toki et myöskään voi tehdä samasta ulkoisesta portista kahta porttiohjausta (tuosaa 32400 ohjattu sekä .1 että .90).

Enkä nyt tiedä onko tuollaista plexiä kovin fiksu ohjata julkisen verkon läpi. Melkein suosittelisin että tuo paketoitaisiin vpn tunnelin läpi mistä tulee toki oma säätönsä.

Ei oo toisia reitittimiä, kulkee reittiä ISP>ONT>ROUTER>PC. ONT:ssä ei pitäis olla mitään sen kummempia.

Asetuksissa saattaa toki olla jotain tällä hetkellä erikoista kun on tullut testailtua kaikkia mahdollisia vaihtoehtoja ja nuo vaan jääneet tämänhetkisiksi.

Tarkennatko miksi ei fiksua? Ei ole tällä hetkellä tarkoituksena edes hostaa plex serveriä, tuli vain testailtua sitäkin.

 

[hsalonen]

Tarkennatko miksi ei fiksua? Ei ole tällä hetkellä tarkoituksena edes hostaa plex serveriä, tuli vain testailtua sitäkin.

Ensiksi, sinulla on kaksi 32400 ohjausta ekassa kuvassa..Se ei ole hyvä ja suositeltava. Ja nyt en neuvo itse asian kanssa, kun näistä viritelmistä tulee vaarallisia. Arvaa vaan, miksi jotkut ISP:t sulkee portit 80 ja 443??

--

Se on vaan tyhmää hostata plexiä ulkoisessa portissa 32400. Se on se default portti. Sinne pääsee , kun tietää sinun IP:n - ja jotkut voi näitäkin ihan vaan kokeilla. Sinun IP voidaan saada pahantahtoisesta Plex-sivustolta tai mainoksesta. Sitten vaan käytetään jotain tunnettua plexin haavoittuvuutta -> ja kaikilla on pääsy sisäverkkoosi ja sinä olet pahimmassa tapauksessa pian tor exit node - ja sitten tulee poliisit. Tämä nyt pahin skenaario, mutta ihan normaalissa skenaariossa joku tulee sinne palvelimelle, kryptaa levyn sisällön ja pyytää 0.1 BTC sen avaamisesta.

Kannattaa laittaa se ulkoisen portti niin, että pitää vähintään ajaa porttiskanneria, että saa tietää Plexin portin. Ja sittenkin pitää tunnistaa se portti Plexin portiksi. Ja tämmöiset touhut ISP:t näkee liikenteestä, jos niitä kiinnostaa. Sen takia oikeat hyökkääjät eivät tee mitään suuria skannausoperaatioita, vaan tuommoista pientä opportunista kokeilua.

--

Toivottavasti tuo kirjautumisongelma oikeasti johtuu siitä, että on estetty käyttäjää tekemästä tyhmyyksiä. Routerin hallintapuolen avaaminen WAN:iin on taas hyvin huono idea.

--

Tuo peliserverin hostaus tuskin houkuttelee vaarallisia ihmisiä, mutta jos hostaa vähänkin suosituimpia palveluita, niin pitää ensin miettiä se tietoturva ja sen jälkeen vasta lähteä tekemään. Vastaamon murto oli seurausta siitä, että tietokantapalvelimen tietoturva oli tällä tasolla ja se oli avoinna julkiseen verkkoon oletusportissa. Ei näin. Älkää tehkö näin.

 

[Prefect]

Jaa miksi ei ole fiksua. Koska tuollaisissa palveluissa on aina jotain turvallisuusreikiä ja palvelun tietoturvan tasoa on joskus jopa ammattilaisen vaikea arvioida ja ylläpitää. Tuollaisen palvelun tietoturvan ylläpitäminen vaatii aktiivista jatkuvaa seuraamista ja melko syvällistä tietoa ko. palvelusta.

Ei millään pahalla, hienoa että harjoittelet asioita, mutta koska tarvit apua jo porttiohjauksen selvittämisessä niin se kertoo että sinulla ei ole riittävää osaamista tuollaisen palvelun turvallisuuden seuraamiseen. Jonkin vpn palvelun tietoturva on huomattavasti paremmin testattu kuin jokin alunperin sisäverkkoon tarkoitettu plex (mediapalvelin). Ilmeisesti plexille sai päälle sertifikaatti pohjaisen kirjautumisen joka on jo hyvä alku.

Se käyttääkö palvelulle oletusporttia vai jotain muuta porttia on pieni hidaste. Joskus se voi riittää mutta ei sen varaan voi tietoturvaa laskea.

Reitittimen status sivulta näkee sen wan osoitteen. Reitittimen antaman punaisen nootin mukaan se on ns. sisäverkon osoite joten homma tyssää jo siihen. Vertaa reitittimen status sivun wan osoitetta jonkin whatsmyip sivuston antamaan osoitteeseen. Jos ne on samat niin sitten voidaan jatkaa, jos ne on eri niin reitittimesi saama osoite ei todennäköisesti ole julkinen ja pitäisi selvittää miksi.

Ilmeisesti kyseessä on kuituliittymä, mikä operaattori on kyseessä? Lukeeko siinä ONT boksissa jotain mikä laite se on eli valmistaja ja malli?

 

[Marquette]

Veikkaisin että on cgnat, kun se sanoo että wan-ip ei ole julkinen.