Jump to content
  • 0
KNTC

UPnP: Открытие портов по UPnP

Question

За кинетиком стоит NAS QNAP, по UPnP он просит открыть себе порты управления 8080 и 443 для удаленного доступа.


В логе кинетика:

Май 29 16:17:51 ndm
UPnP::Manager: a new nat rule appended.
Май 29 16:17:51 ndm
UPnP::Manager: redirect rule added: tcp GigabitEthernet1:8080 -> 192.168.1.52:8080.
Май 29 16:17:51 ndm
UPnP::Manager: a new filter rule appended.
Май 29 16:17:51 ndm
UPnP::Manager: forward rule added: tcp GigabitEthernet1 -> 192.168.1.52:8080.
Май 29 16:17:51 ndm
UPnP::Manager: a new nat rule appended.
Май 29 16:17:51 ndm
UPnP::Manager: redirect rule added: tcp GigabitEthernet1:443 -> 192.168.1.52:443.
Май 29 16:17:51 ndm
UPnP::Manager: a new filter rule appended.
Май 29 16:17:51 ndm
UPnP::Manager: forward rule added: tcp GigabitEthernet1 -> 192.168.1.52:443.

Но доступ не работает.
Сделал правило для Межсетевого экрана - доступ не работает. Удалил.
Сделал правило в разделе Переадресация - доступ работает. Выключаю - доступ не работает.

Почему если порты просто открыты по UPnP, то доступ не работает?
Торрентокачалка работает без проблем.

На кинетике проверено с 3.4.1, 3.4.3 и 3.5 Alpha 3.

k-vs-q.png

Share this post


Link to post
Share on other sites

26 answers to this question

Recommended Posts

  • 0

Потому что 443 порт уже занят SSL-сервером, и мы специально не даем через UPnP его перехватить (как и 80). Иначе любой зловред в локалке мог бы перевести вас на поддельный адрес роутера, а вы бы не заметили. Ну и ситуация, когда два сервиса хотят использовать один порт должна решаться явно, руками, а не автоматикой.

Share this post


Link to post
Share on other sites
  • 0
8 часов назад, Le ecureuil сказал:

Потому что 443 порт уже занят SSL-сервером, и мы специально не даем через UPnP его перехватить (как и 80). Иначе любой зловред в локалке мог бы перевести вас на поддельный адрес роутера, а вы бы не заметили. Ну и ситуация, когда два сервиса хотят использовать один порт должна решаться явно, руками, а не автоматикой.

Спасибо за ответ, с 443-м понятно, а 80-й не используется -- http у qnap-а на 8080-м -- почему он то не прокинулся?

Edited by KNTC

Share this post


Link to post
Share on other sites
  • 0

С произвольным номером порта тоже не работает без активного ручного правила.
На кинетике 3.5 Alpha 5.
Пожалуйста, проверьте если не с qnap-ом, то с Xbox или каким-то другим устройством, которое себе много портов по UPnP открывает.

8578.png

Share this post


Link to post
Share on other sites
  • 0
3 минуты назад, KNTC сказал:

Xbox или каким-то другим устройством

C XBOX  у меня тоже не работает после OS v2. Помогает :

ip nat udp-port-preserve   

  

Share this post


Link to post
Share on other sites
  • 0
25 минут назад, r777ay сказал:

C XBOX  у меня тоже не работает после OS v2. Помогает :


ip nat udp-port-preserve   

  

Да, в базе знаний эта команда приведена в статьях. Но тут не работает и самый банальный вариант с TCP.

Share this post


Link to post
Share on other sites
  • 0
В 02.06.2020 в 20:10, KNTC сказал:

 или каким-то другим устройством, которое себе много портов по UPnP открывает.

Простое прокидывание портов, как работало начиная с 3.5 так и работает 35А16

NAS---LAN----KN10---LAN---KN19----Интернет
Скрытый текст

1532102571_-1.jpg.9bfcea2308e19a97648b6ea0deb82d29.jpg

По конф файлу

ip static tcp ISP 8xxx 192.168.xxx.xx2 8x !Dxxxx9

ip static tcp ISP 6xxxx 192.168.xxx.xx2 2x !Sxx

ip static tcp ISP 4xx 192.168.xxx.xx2 4xx !Dzzzz9 HTTPS

ip static tcp ISP 2xxxx 192.168.xxx.xx2 2xxx4 !S-conf

ip static tcp ISP 2xxxx 192.168.xxx.xx2 2xxx5 !S-play

ip static tcp ISP 2xxxx 192.168.xxx.xx2 2xxx6 !S-potok

ip static tcp ISP 6xxx6 192.168.xxx.xx2 6xxx6 !BTSync

ip static tcp ISP 6xxx6 192.168.xxx.xx2 2x !uT

ip static tcp ISP 6xxx1 192.168.xxx.xx2 21 !Fxxx32

 

 

 

 

Share this post


Link to post
Share on other sites
  • 0
15 часов назад, Константин Костин сказал:

Такие же проблемы начались с 3.5 Alpha 3 и до сих пор не работает на Beta 0. Перестал работать удалённый доступ к NAS QNAP.

На Xbox так же начались проблемы. Режим NAT строгий. Ручной проброс не помогает.

На Nintendo Switch после ручного проброса порта был тип NAT "A". Cейчас же "B"

Не много не понятно речь про QNAP и про ручной проброс не помогает, у вас по конф только

interface Bridge0
    rename Home
    description "Home network"
...
    mac access-list type none
    mac band 64:b5:c6:6c:89:5c 0
...


interface GigabitEthernet1
    rename ISP
    description Norcom
...
    ip global 65470
...
    up

known host "Nintendo Switch" 64:хх:хх:хх:хх:5c
known host "QNAP NasfromHell" 24:хх:хх:хх:хх:95
known host "QNAP NasfromHell #2" 24:хх:хх:хх:хх:96

ip dhcp host 64:хх:хх:хх:хх:5c 192.168.1.77
ip static GigabitEthernet1 64:хх:хх:хх:хх:5c !#1

 

Для вас принципиально в настройках Wifi сканирование каналов каждый час, если не принципиально то выберите стат.

interface WifiMaster1
    country-code RU
    compatibility AN+AC
    channel width 160
    channel auto-rescan 00:00 interval 1
    tx-burst
    rekey-interval 3600
    band-steering
    beamforming explicit
    atf inbound
    downlink-mumimo
    up

 

Share this post


Link to post
Share on other sites
  • 0
2 часа назад, vasek00 сказал:

Не много не понятно речь про QNAP и про ручной проброс не помогает, у вас по конф только


interface Bridge0
    rename Home
    description "Home network"
...
    mac access-list type none
    mac band 64:b5:c6:6c:89:5c 0
...


interface GigabitEthernet1
    rename ISP
    description Norcom
...
    ip global 65470
...
    up

known host "Nintendo Switch" 64:хх:хх:хх:хх:5c
known host "QNAP NasfromHell" 24:хх:хх:хх:хх:95
known host "QNAP NasfromHell #2" 24:хх:хх:хх:хх:96

ip dhcp host 64:хх:хх:хх:хх:5c 192.168.1.77
ip static GigabitEthernet1 64:хх:хх:хх:хх:5c !#1

 

Для вас принципиально в настройках Wifi сканирование каналов каждый час, если не принципиально то выберите стат.


interface WifiMaster1
    country-code RU
    compatibility AN+AC
    channel width 160
    channel auto-rescan 00:00 interval 1
    tx-burst
    rekey-interval 3600
    band-steering
    beamforming explicit
    atf inbound
    downlink-mumimo
    up

Когда снимался self test то QNAP был выключен. Ручной проброс был выполнен только для switch и он не работал. Проброс для QNAP я удалил так как он не работал и в self teste его нет. В self teste также есть Xbox и так же проброс (автоматически роутер определяет) не работает.

Проверил на другом роутере. Там всё корректно работает.

На счёт WiFi. К сожалению принципиально. 

Edited by Константин Костин

Share this post


Link to post
Share on other sites
  • 0
3 часа назад, vasek00 сказал:

Простое прокидывание портов, как работало начиная с 3.5 так и работает 35А16


NAS---LAN----KN10---LAN---KN19----Интернет
  Показать содержимое

1532102571_-1.jpg.9bfcea2308e19a97648b6ea0deb82d29.jpg

По конф файлу

ip static tcp ISP 8xxx 192.168.xxx.xx2 8x !Dxxxx9

ip static tcp ISP 6xxxx 192.168.xxx.xx2 2x !Sxx

ip static tcp ISP 4xx 192.168.xxx.xx2 4xx !Dzzzz9 HTTPS

ip static tcp ISP 2xxxx 192.168.xxx.xx2 2xxx4 !S-conf

ip static tcp ISP 2xxxx 192.168.xxx.xx2 2xxx5 !S-play

ip static tcp ISP 2xxxx 192.168.xxx.xx2 2xxx6 !S-potok

ip static tcp ISP 6xxx6 192.168.xxx.xx2 6xxx6 !BTSync

ip static tcp ISP 6xxx6 192.168.xxx.xx2 2x !uT

ip static tcp ISP 6xxx1 192.168.xxx.xx2 21 !Fxxx32

 

 

 

 

Проброс через UPnP как не работал, так и не работает. Тема об этом - о неработоспособности UPnP, а не о прокидывании порта вручную.
Читайте внимательнее - я всё написал сразу, что доступ есть только с включенным правилом переадресации порта. При открытых портах через UPnP - доступа нет.

Share this post


Link to post
Share on other sites
  • 0
12 минуты назад, KNTC сказал:

Проброс через UPnP как не работал, так и не работает. Тема об этом - о неработоспособности UPnP, а не о прокидывании порта вручную.

По поводу как не работал, берем клиента за роутером на нем запускаем торрент клиента

Скрытый текст

277493385_-3.thumb.jpg.26017ce469b4f79c11b3b1a39ca6c6a5.jpg255586118_-2.thumb.jpg.f5b0943be425198a69b81c812f64276c.jpg

 

 

 

 

Share this post


Link to post
Share on other sites
  • 0
19 минут назад, KNTC сказал:

Проброс через UPnP как не работал, так и не работает. Тема об этом - о неработоспособности UPnP, а не о прокидывании порта вручную.
Читайте внимательнее - я всё написал сразу, что доступ есть только с включенным правилом переадресации порта. При открытых портах через UPnP - доступа нет.

У меня нет доступа и так и так.

Снимок.PNG

Edited by Константин Костин

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, vasek00 сказал:

По поводу как не работал, берем клиента за роутером на нем запускаем торрент клиента

  Показать содержимое

277493385_-3.thumb.jpg.26017ce469b4f79c11b3b1a39ca6c6a5.jpg255586118_-2.thumb.jpg.f5b0943be425198a69b81c812f64276c.jpg

 

 

 

 

Внимательно читаем самое первое сообщение:

Цитата

Торрентокачалка работает без проблем.

 

Share this post


Link to post
Share on other sites
  • 0
8 минут назад, Константин Костин сказал:

У меня нет доступа и так и так.

Снимок.PNG

У меня сейчас тоже не было - проверил на последней 3.5 Beta 0 - доступ с ручником появился после перезагрузки роутера. Выключаю правило - доступа к вебке NASа сразу нет.

Edited by KNTC

Share this post


Link to post
Share on other sites
  • 0
23 минуты назад, KNTC сказал:

У меня сейчас тоже не было - проверил на последней 3.5 Beta 0 - доступ с ручником появился после перезагрузки роутера. Выключаю правило - доступа к вебке NASа сразу нет.

Пробовал так. Не помогает.

Share this post


Link to post
Share on other sites
  • 0
17 минут назад, Константин Костин сказал:

Пробовал так. Не помогает.

В правиле попробуйте указать конкретный порт - 3074. У меня так, но TCP и https.

Share this post


Link to post
Share on other sites
  • 0
1 час назад, KNTC сказал:

Внимательно читаем самое первое сообщение:

А так

Скрытый текст

2066952959_-3.jpg.d7f995e64d5b1eed2b22b59a51f6252b.jpg1420053370_-2.jpg.29c6c575ab2cfe3ca563cf9b218b3c63.jpg

 

 

Share this post


Link to post
Share on other sites
  • 0
2 часа назад, vasek00 сказал:

А так

  Показать содержимое

2066952959_-3.jpg.d7f995e64d5b1eed2b22b59a51f6252b.jpg1420053370_-2.jpg.29c6c575ab2cfe3ca563cf9b218b3c63.jpg

 

 

IP у NAS-а постоянный. Нерабочий пример в сообщении от 02.06.2020 20:10. Не работает доступ к веб-интерфейсу NAS-a без ручного правила, торрент-клиент же спокойно раздает без ручного правила.

 

ports.png

ports2.png

Edited by KNTC

Share this post


Link to post
Share on other sites
  • 0

Доступ к вебу кинетика есть. По доменному имени KeenDNS, прямой доступ. Адрес вида router.keeneric.pro. Он же открывается при обращении на nas.router.keeneric.pro.
Адрес вида nas.router.keeneric.pro:port - не открывается без включенного ручного правила. Открытого порта в UPnP недостаточно.

Share this post


Link to post
Share on other sites
  • 0
11 минуту назад, KNTC сказал:

Доступ к вебу кинетика есть. По доменному имени KeenDNS, прямой доступ. Адрес вида router.keeneric.pro. Он же открывается при обращении на nas.router.keeneric.pro.
Адрес вида nas.router.keeneric.pro:port - не открывается без включенного ручного правила. Открытого порта в UPnP недостаточно.

Здесь правило вообще бесполезно. Вместе с UPnP не даёт результата. Без него же доступ работает, если включить правило переадресации.

keen.png

Share this post


Link to post
Share on other sites
  • 0
1 час назад, KNTC сказал:

IP у NAS-а постоянный. Нерабочий пример в сообщении от 02.06.2020 20:10. Не работает доступ к веб-интерфейсу NAS-a без ручного правила, торрент-клиент же спокойно раздает без ручного правила.

При чем тут торрент клиент, у вас речь идет про UPnP. Другой пример работы UPnP.

Скрытый текст

468513518_-3.jpg.726cf2e134d28adc1924e3b527cf8e59.jpg

Теперь речь про доступ к веб-интерфейсу NAS-a.

Пример ниже и доступ к WEB NAS в лок.сети роутера, настройки WEB

Скрытый текст

183527163_-4.thumb.jpg.ce104bb588c9417e21ec36454003652d.jpg

В догонку разрешил https для данного устройства

Скрытый текст

1654965650_-5.jpg.64822a5d6f92090ab576948e7c978974.jpg

 

 

Edited by vasek00

Share this post


Link to post
Share on other sites
  • 0
11 минуту назад, vasek00 сказал:

При чем тут торрент клиент, у вас речь идет про UPnP. Другой пример работы UPnP.

  Показать содержимое

468513518_-3.jpg.726cf2e134d28adc1924e3b527cf8e59.jpg

Теперь речь про доступ к веб-интерфейсу NAS-a.

Пример ниже и доступ к WEB NAS в лок.сети роутера, настройки WEB

  Показать содержимое

183527163_-4.thumb.jpg.ce104bb588c9417e21ec36454003652d.jpg

 

При том, что он работает по UPnP. Вы сами предлагали - "берем клиента за роутером на нем запускаем торрент клиента". Он уже был запущен, о чём шла речь с самого первого сообщения. Веб на NASe на произвольном порту, не 80-й и не 8080-й (и не 443-й - его не дают перехватить со слов разработчиков выше). Этот же произвольный порт открывается через UPnP.

Edited by KNTC

Share this post


Link to post
Share on other sites
  • 0
6 минут назад, KNTC сказал:

При том, что он работает по UPnP. Вы сами предлагали - "берем клиента за роутером на нем запускаем торрент клиента". Всё уже запущено.

Я вам не чего не предлагал, просто проверил ваше утверждение что

Цитата

Проброс через UPnP как не работал, так и не работает.

В итоге в трех вариантах показал UPnP  :

1. вариант - торрент качалки на клиенте

2. вариант без торрент качалки два скрина выше, два клиента ПК использование UPnP ими

3. удаленный доступ к NAS при настройки в WEB (использование UPnP) по доступу к нему (последний пример по https)

 

Edited by vasek00

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, KNTC сказал:

Ну проверили и отлично, хорошо, что у вас работает.

Тогда вопрос - в чем разница данной реализации ПО у вас от моего на роутере - 3.5.Х

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...