firewall & UDP Broadcast

[aliazzz]

Hallo allemaal,

Ik heb een vraag, ik wil een device achter m'n (NAT) firewall "scannen".
Dit scannen wordt gedaan door een speciaal UDP pakket te broadcasten naar port 24576. Ieder device met die dienst zal dan antwoorden. Dit antwoorden gebeurt dan ook op zijn beurt middels een broadcast van een speciaal antwoord.

Is het mogelijk om dit verkeer zodanig te routeren door alsof er geen firewall / NAT tussen zit zonder ANY ANY achtige rules?
Ik wil best een portforward rule instellen dat al het verkeer op 24576 geforward wordt naar het achterliggende device, en het antwoord terug via de default gateway terug te sturen.


Ik ben er onzeker over of hoe ik een internet broadcast omleg naar een lokaal netwerk.Weet iemand hoe ik dit het beste kan aanpakken?

[aliazzz]

Ik had het moeten weten: een portforward kan altijd maar 1 IP adres worden doorgezet.
Dat is dus het antwoord (nee)

[Babylonia]

Dit scannen wordt gedaan door een speciaal UDP pakket te broadcasten naar port 24576. Ieder device met die dienst zal dan antwoorden. Dit antwoorden gebeurt dan ook op zijn beurt middels een broadcast van een speciaal antwoord.

En dat "speciaal pakket".   Wat data broadcast, zit dat ook ergens in je eigen netwerk??
Indien dat inderdaad het geval is.   Geldt het volgende helemaal niet:

Ik had het moeten weten: een portforward kan altijd maar 1 IP adres worden doorgezet.

Port forwarding geldt niet voor intern netwerkverkeer.  Alleen voor extern binnenkomend dataverkeer.
Komt de broadcast als server wel vanuit een externe bron, (is het intern mogelijk al geen broadcast meer??).
Maar zou je misschien "port triggering" kunnen proberen??
(Werkt echter alleen voor één intern apparaat tegelijk, die met die "broadcast" data overweg kan).

Hierbij wat informatie wat de verschillen zijn  "port triggering"  versus  "port forwarding":
https://en.wikipedia.org/wiki/Port_triggering
https://kb.netgear.com/24295/What-is-port-triggering
https://www.asus.com/nl/support/faq/114110/
https://www.purevpn.com/blog/port-triggering-vs-port-forwarding

[aliazzz]

Port triggering kan idd wel wat zijn ja, ik zal het morgen eens uitproberen

[DSGebruiker]

Ik noem het eerder "port-knocking" maar dat is meer gebruikt om een bepaalde firewall-rule te mogen gebruiken wanneer je op de firewall de juiste sequentie maakt.
Toch wel iets anders dan dat jij wil bereiken precies.

Ik heb het jaren op m'n firewall (Mikrotik) gebruikt gebruikt dat je vb enkel aan m'n Plex kan nadat je vb eerst TCP/100 , TCP/4563 en TCP/9812 hebt gedaan naar m'n firewall, en dit binnen een tijdspannen van 15 seconden en uiteraard in de juiste volgorde. Dan werd je (public) IP toegevoegd aan de whitelist en kan je een aantal services gebruiken (vb Plex)

Tegenwoordig werkt ik volledig op Wireguard of Zerotier om toegang te hebben tot "thuis" dingen. Ik "hang" niks zomaar aan Internet.

Nu wat jij wil kan niet echt ; er is niet zo iets als "een broadcast van Internet" die langs de WAN-poort zou moeten binnenkomen en dan doorgezet gaat worden naar de LAN-kant. Je kan enkel "gericht" je WAN-IP hitten eigenlijk.

[Babylonia]

Ik noem het eerder "port-knocking" maar dat is meer gebruikt om een bepaalde firewall-rule te mogen gebruiken wanneer je op de firewall de juiste sequentie maakt.

Het gaat eigenlijk niet zozeer om een firewall regel, wat jij dan mogelijk op een Microtik gebruikt en dat als "Port-knocking" benoemt?
Port-knocking is iets anders als Port Triggering.  Het heeft wel verwantschappen, maar is toch anders.

"Port Triggering" zijn aparte functies in een router, met hun eigen menu's en instellingen.
Veel routers hebben helemaal geen functies voor Port Triggering.  Even doorgezocht op internet voor Microtik.
Maar daar vind ik geen functie voor.  Vandaar dat jij het eerder op die wijze had opgelost??

Bij een Synology router zijn Port Forwarding - Port Triggering en Firewall aparte menu's, die je onafhankelijk van elkaar kunt instellen.
(Afgaande op het onderschrift van @aliazzz  gebruikt hij Synology routers).
En uiteraard is er wel samenhang in het gebruik van   Port Forwarding / Port Triggering  met een firewall.

[Briolet]

De combinatie "broadcasting" en "forwarding" klopt niet. Dat suggereert dat je vanaf het internet wilt broadcasten. Dat werkt per definitie niet omdat je het hele internet zou platleggen als broadcasting daar ondersteunt zou worden door de hardware.

[aliazzz]

Okay ik snap dat zonder context er heel veel verwarring ontstaat, hieronder dus context.

Ik heb binnen mijn LAN een afgesloten mini prive netwerk X. Netwerkje X bevindt zicht achter een aparte Firewall / NAT.
Vanuit m'n reguliere LAN vuur ik een UDP broadcast af en nu is het de bedoeling dat die broadcast toch in X uitkomt, en dan dat antwoord weer terug naar het reguliere LAN. Ik ben echter geen superheld op dit vlak, maar het lijkt mij een leuke uitdaging dit op te lossen met instandhouding van die firewall / NAT ertussen.

Wat heb ik hiervoor nodig (behoudens een L3/4 managed switch, want ja dan gaat dat wel volgens mij)
Ik zou graag willen weten of het ook middels een ROUTER kan, zo ja hoe (beetje "hacken" mag ook -) ).
Uiteraard is een VPN aanleggen over beide netwerken heen een mogelijkheid, maar dat wil ik nu juist niet.



   

[DSGebruiker]

Owkee, dus dat mini intern netwerk heeft dus eigen fysieke firewall/router met een eigen Internet lijntje ?
De enige goede oplossing is beide netwerken verbinden met "een VPN" of tunnel-constructie, dat kan GRE, EoIP (ethernet-over-IP), Wireguard, you name it, maar dat hangt wat van de mogelijkheden van je routers/firewalls af eigenlijk.

[aliazzz]

Zo ziet het eruit (Ascii-art);

WAN | FIREWALL/NAT | LAN1 (192.168.168.0/24)  | FIREWALL/NAT | LAN2 (192.168.0.0/24)

LAN 2 zit dus NIET direct aan internet maar is een eigen "separaat" micro-lan binnen LAN1, dit concept wordt vaak dubbel NAT genoemd.
Idee is dat ik dus van LAN1 een broadcast doe naar LAN2.

bijv

LAN1 - 192.68.168.250 > 255.255.255.255 UDP-24576 > LAN2 - 192.168.0.10 antwoord hierop.

Mischien moet ik de topic hernoemen: DubbelNAT icm broadcast
 

[Babylonia]

Inderdaad de functies van een "speciaal UDP" pakket in de eerste post, was voor mij ook wat vage informatie.

@aliazzz  je zoekt mogelijk oplossingen op router niveau.  Je maakt gebruik van Synology routers.
Daarin kun je tot maximaal 5 netwerken inrichten. Afhankelijk wat je precies wilt bereiken, en functies die mogelijk buitenom lopen.
(Via een externe server??)  zijn daar verschillende opties in te bedenken.
Ook "haasje over" van het ene netwerk naar het andere. (Maar zou niet mijn voorkeur zijn).

Doorloop eens enkele recente reacties.

https://www.synology-forum.nl/synology-router/stb-nmc-400-na-toevoegen-extra-netwerk/msg328929/#msg328929
https://www.synology-forum.nl/synology-router/internet-of-things/msg328969/#msg328969

Overigens bij dubbel NAT (twee routers achter elkaar) en dan gebruik van dezelfde LAN IP-reeksen, gaat niet werken.
Maak je daarin niet een vergissing met de opgave van die IP-reeksen die je in je vorige reactie beschrijft?
[ EDIT ]  Heb zelf niet goed gekeken. (Het zijn wel twee verschillende IP-reeksen) 

[DSGebruiker]

Zijn beide routers onder je eigen controle ? Ik probeer te begrijpen waarom je zo'n constructie hebt gemaakt...
Dit soort dingen doe je meestal niet indien je beide routers zelf in beheer hebt, want dan hangt 192.168.0.0/24 gewoon als "poot" mee op de 1e router/fw.
Op een semi-pro/pro router/fw is het hebben van een 192.168.168.x/24 en 192.168.0.x/24 niet echt een probleem, but your mileage may vary....

[aliazzz]

Ik heb beide topics gelezen; Zou je mij kunnen helpen door wat uit te wijden betreffende ie verschillende opties die je aanhaalt?

Er staat tevens op semi-pro/pro router/fw is het hebben van een 192.168.168.x/24 en 192.168.0.x/24 niet zo'n probleem.

Helaas ben ik op dit punt in mijn kennis "slecht" met netwerk-routing. Altijd lastig voor mij geweest. Ik besef me dat ik niet alles kan weten, er is domweg teveel kennis in de wereld ;-)

[Babylonia]

Op een ander tijdstip / dag wil ik je best helpen.  (Ga zo direct het huis uit, en vandaag niet meer aanspreekbaar voor het forum).

[DSGebruiker]

Goh daar is niet veel over te zeggen. Een router of firewall (=router met filtermogelijkheden) is in de basis een toestel waar verschillende IP-netwerken samenkomen. (en de "demarcatie" zeg maar van enkele broadcast-domains)

Ik heb geen ervaring met Synology/SRM routers, maar ik zou denken dat je gewoon interfaces (hetzij fysieke ethernet-poortjes, hetzij VLAN definities) gewoon kan "aanmaken" op het toestel ? Een "LAN" 192.168.168.0/24 kan vb op poortje ethernet1 zitten terwijl je 192.168.0.0/24 kan hebben zitten op ethernet2 als je toestel dit toelaat natuurlijk. Een Cisco-router bijvoorbeeld wel.

Nu dat gaat je probleem niet oplossen, want een router, zoals ik zei is het "koppelvlak" (en scheidingspunt) van broadcast-domains. Je kan dus niet zomaar een broadcast "over" een router heen gooien.

Is dit een academisch probleem ? Of spreken we hier over een echte applicatie ? Kan je daar meer details over kwijt ?