DNS instellingen werken niet

Juist, dat is dus ook wat ik zou willen weten. Het is mij nog niet eens gelukt om NAS.mijndomein.NL aan te maken ;-( - Ik heb wel een NAS in huis, met een poortforwarding in mijn router staan, dus ik kan wel via mijn browser met mijn thuis IP met poort (thuisip:poortnummer) in mijn NAS. Maar dat blijkt niet veilig te zijn, want ik heb geen certificaat aangemaakt. Nu weet ik ook niet of ik dit dan moet doen in de NAS zelf hiervoor? Daarom een domeinnaam aangemaakt bij Freedom en dan wil ik het zo doorsturen en daarop dan een Let’s Encrypt certificaat aanmaken.

Zo moet dat toch lukken? Maar hoe? :slight_smile: En ook hier een nitwit hierin :frowning:

Voor Let’s Encrypt moet je een webserver op je domeinnaam van je huisaansluiting (b.v. home.[mijn_domein_bij_freedom].nl) hebben draaien. Let’s Encrypt verifieert namelijk via die webserver of jij het certificaat mag hebben. Zo’n certificaat is ook maar 90 dagen geldig dus je moet ook zeker eens in de 90 dagen het certificaat vernieuwen.
Dat certificaat geldt dan voor je webserver, maar nog niet voor alle ander apparaten die je via home.[mijn_domein_bij_freedom].nl:[poort_nummer] aanroept. Als dat bijvoorbeeld je Fritz!Box is, dan moet die ook zo’n certificaat hebben. Daartoe kopieer ik via een script, na het vernieuwen van het certificaat voor de webserver, dat certificaat naar de Fritz!Box. Zie script hieronder. Daartoe in dat script wel de username en password invullen en ook “—YOUR_HOSTNAME—.xs4all.space/” even aanpassen voor je domein bij freedom. Voor deze toepassing maak ik een aparte user aan in de Fritz!Box.
Hoe dat voor een NAS te regelen is, hangt van de NAS af.


#!/bin/bash

# parameters
USERNAME="--- SECRET USER ---"
PASSWORD="--- SECRET PW ---"
CERTPATH="/etc/letsencrypt/live/---YOUR_HOSTNAME---.xs4all.space/"
CERTPASSWORD=""
HOST=http://fritz.box

# make and secure a temporary file
TMP="$(mktemp -t XXXXXX)"
chmod 600 $TMP

# login to the box and get a valid SID
CHALLENGE=`wget -q -O - $HOST/login_sid.lua | sed -e 's/^.*<Challenge>//' -e 's/<\/Challenge>.*$//'`
HASH="`echo -n $CHALLENGE-$PASSWORD | iconv -f ASCII -t UTF16LE |md5sum|awk '{print $1}'`"
SID=`wget -q -O - "$HOST/login_sid.lua? 
sid=0000000000000000&username=$USERNAME&response=$CHALLENGE-$HASH"| sed -e 's/^.*<SID>//' -e 's/<\/SID>.*$//'`

# generate our upload request
BOUNDARY="---------------------------"`date +%Y%m%d%H%M%S`
printf -- "--$BOUNDARY\r\n" >> $TMP
printf "Content-Disposition: form-data; name=\"sid\"\r\n\r\n$SID\r\n" >> $TMP
printf -- "--$BOUNDARY\r\n" >> $TMP
printf "Content-Disposition: form-data; name=\"BoxCertPassword\"\r\n\r\n$CERTPASSWORD\r\n" >> $TMP
printf -- "--$BOUNDARY\r\n" >> $TMP
printf "Content-Disposition: form-data; name=\"BoxCertImportFile\"; filename=\"BoxCert.pem\"\r\n" >> $TMP
printf "Content-Type: application/octet-stream\r\n\r\n" >> $TMP
cat $CERTPATH/privkey.pem >> $TMP
cat $CERTPATH/fullchain.pem >> $TMP
printf "\r\n" >> $TMP
printf -- "--$BOUNDARY--" >> $TMP

# upload the certificate to the box
wget -q -O - $HOST/cgi-bin/firmwarecfg --header="Content-type: multipart/form-data boundary=$BOUNDARY" --post-file $TMP | grep SSL

# clean up
rm -f $TMP

Oh jee, en jij zegt een leek te zijn?!
Nou, je snapt er anders wel meer van dan ik :frowning:

Heb hier een Synology NAS staan en ik kan nu via MIJNHUISIP:INTERNIP via mijn browser op mijn NAS komen. Krijg nu wel meldingen dat het niet veilig is, daarom wil ik dit ook aanpassen. Kan ook via Quickconnect, maar dat is super traag!

Daarom heb ik een domeinnaam aangevraagd bij Freedom en zou ik eigenlijk via https://NAS.MIJNDOMEINNAAM.NL naar mijn NAS willen doorschakelen met HTTPS erin. Dus veilig!

Of ik denk er veel te moeilijk over of het is ingewikkelder dan ik had verwacht :frowning: - Via Freedom Helpdesk nog geen reactie gehad hoe ik een subdomein kan aanmaken voor mijn Freedom domeinnaam. Want dat is me ook nog niet gelukt :frowning:

Ik heb het dus op home.[mijn_domein_bij_freedom].nl:[poortnummer_NAS] dus niet op IP adressen.
Daartoe heb ik in de DNS instellingen in het dashboard de volgende regel gemaakt voor [mijn_domein_bij_freedom].nl:
home A [IPv4 adres_van_mijn_thuis_verbinding] 5 minutes

Ik weet dat dat ook met
home AAAA [IPv6 adres_van_mijn_thuis_verbinding] 5 minutes
zou moeten kunnen, maar heb geen idee wat ik dan precies bij [IPv6 adres_van_mijn_thuis_verbinding] moet invullen.
Mijn Fritz!Box zegt dat de IPv6 verbinding met internet zit op:
IPv6 Address: aaaa:bbb:cccc::1
IPv6 prefix: aaaa:bbb:cccc::/48

Is dat dan

  • aaaa:bbb:cccc
  • aaaa:bbb:cccc::1
  • aaaa:bbb:cccc::/48
  • of iets anders?

Weet ook niet goed hoe ik dan moet testen of het werkt. Voor zover ik weet kan ik mijn browser niet vragen om alleen via IPv6 verbinding te maken met home.[mijn_domein_bij_freedom].nl. Weet iemand daar iets voor? (via wget of curl?)

Wat je in eerste instantie moet doen, is je NAS thuis een statisch IPv4-adres (genat) en IPv6-adres (publiek routeerbaar) geven.

Bijvoorbeeld 192.168.1.10 en 2a10:3781:abcd::123. Dan zorg je dat 192.168.1.10:80 wordt geforward naar wan-ipv4:80 en 192.168.1.10:443 wordt geforward naar wan-ipv4:443.

Als DNS-records stel je dan een A-record in met als naam nas en als value je IPv4 WAN IP, en een AAAA-record met als naam nas en het IPv6-adres van je NAS.

Dan zorg je dat in de firewall op je router inkomend TCP-verkeer naar poorten 80 en 443 op het IPv4 WAN-IP en op het IPv6-adres van je NAS wordt toegestaan.

Vervolgens kan je op je NAS certbot draaien om een SSL-certificaat op te halen bij Let’s Encrypt.

Je router is eigenlijk altijd <prefix>::1. aaaa:bbb:cccc is geen valide adres, en aaaa:bbb:cccc::/48 is een subnet, geen IP. Je NAS zal een DHCPv6-lease of SLAAC-adres krijgen van je router thuis, wat je in een shell met ip a kunt bekijken.

Ik zou het IPv6-adres van die NAS statisch maken, dus iets als 2a10:3781:abcd::123. Dat kan je doen ofwel door in je router een statische lease te geven, of door in de firmware van je NAS een statisch IP in te geven.

curl -4 <adres>
curl -6 <adres>
wget -4 <adres>
wget -6 <adres>

Als ik dan
home AAAA * aaaa:bbb:cccc::1 instel, waar komt dan home.[mijn_domein_bij_freedom].nl met IPv6 op uit als ik dat in mijn browser opvraag? Op de webinterface van mijn router, of op mijn webserver die via poorten 80 en 443 is geforward

Op je router, maar je firewall houdt dat verkeer waarschijnlijk tegen.

Port forwarding is een IPv4-ding. Dat komt op IPv6 helemaal niet voor.

OK
maar hoe zorg ik er dan voor dat https://home.[mijn_domein_bij_freedom].nl zowel via IPv4 als via IPv6 op mijn webserver (Raspberry Pi) terecht komt?
Voor IPv4 is dat geregeld door de port forward van poort 80 naar de webserver.
Moet ik dan de webserver een statisch IPv6 adres (aaaa:bbb:cccc::456) geven en dan bij DNS
“home AAAA aaaa:bbb:cccc::456 5 minutes” invullen?

Als dat dan werkt, kan je denk ik ook de https://NAS.[mijn_domein_bij_freedom].nl via een AAAA (IPv6) record uit laten komen op je NAS. Maar dat lukt dan niet meer via een A record naar het IP adres van de thuisverbinding? Want die wijst immers via een poort forward al naar de webserver.

Exact, ervan uitgaande dat je <prefix>::456 als statisch IP voor je Raspberry Pi gebruikt. En dan in de firewall van je router inkomend verkeer vanaf de WAN-interface naar de LAN-interface op dat IP toestaan.

Die TTL hoeft niet per se 5 minuten te zijn uiteraard. Het is maar net wat je voorkeur heeft.

Inderdaad. Dan moet je één van de twee naar andere poorten forwarden, zoals 8080 en 4443 of zo. Dat zal je in je browser dan ook handmatig moeten intypen. Daar is echt niets aan te doen, anders dan meerdere IPv4-adressen hebben. Dit is dus één van de vele redenen waarom IPv4 afschuwelijk is en weg moet.

Wat je wel kunt doen, is dat je op je Raspberry Pi een reverse proxy draait, die je naar je NAS laat proxyen over je LAN-interface. Dan kan je wel meerdere A-records naar datzelfde IP wijzen, en met SNI je webserver die verschillende subdomeinen laten afhandelen.

Dus je laat nas.domein.nl ook naar home.domein.nl wijzen, maar maakt een virtuele host aan waarin je aangeeft dat nas.domein.nl moet proxyen naar het LAN-IP van je NAS. (Dat mag dan zelfs aan de achterkant van de proxy over IPv6 zijn, waarmee je effectief een 6-in-4-tunnel bouwt.)

Maar goed, dat werkt in principe alleen degelijk voor HTTP-verkeer. Voor SSH en rsync moet je dan wel heel veel noodgrepen uithalen, al kan je die poorten dan natuurlijk wel weer naar je IPv4 WAN-IP forwarden. 22/tcp zal nog vrij zijn.

1 like

Ik denk dat ik dit stap voor stap eens moet gaan doen want op het moment snap ik er niets van. Ik ben al blij dat ik nu met mijn eigen IP adres en poortnummer deze kan gebruiken en dat het me lukt. Maar hier begint het een beetje te turen. Je zou zeggen, begin er dan niet aan :slight_smile:

Beetje jammer, lees altijd van mensen dat ze het zo snel en makkelijk kunnen doen. Maar ja, die zijn vast ook wel meer in thuis dan ik.

Ik ben al sinds m’n 15e UNIX-systeem en -netwerkbeheerder. Dan is het makkelijk. Maar je moet ergens beginnen. Zeker niet opgeven, want het valt echt wel te leren.

1 like

Ik heb bij Synology onder Netwerkinterface de mogelijkheid om een vast IP adres te geven IPv4 (dat heb ik al wel gedaan, dus dat is gedaan). Zie ook dat ik zelf een IPv6 kan aanmaken, dat moet dan ook wel lukken.

Moet ik dan bij proxy-server iets invoeren en activeren?
Bij DDNS hoef ik dat niet te doen, dat is wat ik nu heb staan. Maar die kan ik volgens mij vergeten. Zie ik alleen nog iets met routeconfiguratie, maar als ik toch zelf een forwarding kan aanmaken in de router dan kan ik het beter zelf doen, lijkt me?!

Ik snap alleen nog niet wat nu wan-ipv4:80 is en waar dat moet, of is dat die proxy-server? Sorry dat ik zoveel vraag hoor…

Ja, als je maar iets binnen je /48 kiest. Dat zijn honderden miljarden adressen die je kunt kiezen.

Als je prefix 2a10:3781:abcd::/48 hebt, kan je dus alles kiezen tussen 2a10:3781:abcd:0000:0000:0000:0000:0000 en 2a10:3781:abcd:ffff:ffff:ffff:ffff:ffff. Voorgaande nullen hoef je daarbij niet te schrijven (:0345: wordt :345:), en opeenvolgende blokken van vier nullen kan je afkorten met ::

Nee.

We gaan hier geen dynamische DNS doen, maar statische DNS. Je gaat die IP’s immers ingeven in het klantenportaal van Freedom.

Voor IPv6 maak je geeneens een forwarding aan. Je moet alleen in je firewall inkomend verkeer op de gewenste poorten toestaan voor het IPv6-adres van je NAS. Waarschijnlijk dus poorten 80 en 443, en wellicht 22 als je wilt kunnen SSH’en van buiten.

Voor IPv4 moet je inderdaad de gewenste poorten op je NAS forwarden naar poorten op het IPv4-adres van je router, en in je firewall toestaan dat inkomend verkeer op die poorten op je router’s IPv4-adres is toegestaan. (Dat is weer iets anders dan de poorten alleen maar forwarden; je moet ze ook openzetten.)

Zoals ik hierboven beschreef: het IPv4-adres van je router; dat begint waarschijnlijk met 45.[...]. Dat is dus wat ik wan-ipv4 noem. Het IPv4-adres van de WAN-interface van je router. Alles daarachter wordt ge-NAT, en zit in een niet publiek routeerbare 192.168.0.0/16-range.

Ik vermoed dat je je NAS ook over IPv4 wilt kunnen bereiken over de standaard-poorten 80 voor http en 443 voor https. Dan wil je dus poort 80 op je NAS forwarden naar poort 80 op je WAN-interface, en poort 443 op je NAS naar poort 443 op je WAN-interface.

Bij IPv6 zijn dat twee hele verschillende IP’s. Je router is dan 2a10:3781:abcd::1 en je NAS is 2a10:3781:abcd::123, bijvoorbeeld. (Afhankelijk van welk statisch IP je hebt ingesteld.)

1 like

Ik zie het even niet en moet er maar even voor gaan zitten. Intern benader ik mijn NAS via een eigen IPadres (192.168.X.X) met daar achter een : en een getal. Dat heeft iemand voor mij gedaan omdat dit veiliger zou zijn. Deze heeft ook een portforwarding aangemaakt in mijn router zodat ik met MijnHuisIP:eennummer doorverwezen ben naar het IP adres van mijn NAS met daar achter :(eennummer). IP adres van mijn router begint niet met 45 maar ook gewoon met 192.168.X.X (of zeg ik nu iets heel stoms?).

Ik had eigenlijk gehoopt dat het ook zo makkelijk was met mijn domeinnaam en dan forwards naar MijnHuisIPvanFreedom:eennummer en dat ik dan op mijn NAS zit. Maar het tolt me nu en begrijp dat het niet zo makkelijk gaat.

Merk dat ik in mijn NAS geen routerconfigiratie aan heb staan met poorten 80 en/of 443. Dus ik moet dat nog even uitzoeken. Wel heel erg bedankt en ik hoop dat ik er uit ga komen en dat het me gaat lukken.

Dat is dus achter NAT. Alles wat begint met 192.168 is niet publiek routeerbaar. Van buitenaf kan je nooit bij zulke adressen komen. Die : met een getal betekent de poort. Wanneer je met je browser naar https://freedom.nl/ gaat, ga je in werkelijkheid naar https://freedom.nl:443/. Maar omdat HTTPS standaard over poort 443 gaat, wordt die poort in dat geval weggelaten. Je mag hem er overigens gerust achter zetten; dat zal gewoon werken. Probeer maar.

Dan draait de webserver van je NAS gewoon op niet-standaard poorten (80 voor http en 443 voor https). Ik vind dat eerder security by obscurity. Echt veiliger maakt het het niet. Die poorten zijn toch wel te vinden, dus het maakt het vooral onhandig. Die nummers mag je gewoon noemen hoor. Dat is geen privacykwestie of zo, en maakt het juist makkelijker voor me om het uit te leggen.

Je router heeft twee interfaces: WAN en LAN. Het IPv4-adres van de WAN-interface is 45.x.x.x, en het IPv4-adres van de LAN-interface is 192.168.x.1. Het proces daartussen heet netwerkadresvertaling (NAT), en is een hack om met IPv4 meerdere apparaten op één verbinding te kunnen gebruiken.

Zo makkelijk gaat het ook. Alleen kan je net zo goed dan gewoon poorten 80 en 443 gebruiken. Maar er is niets op tegen om te forwarden naar dezelfde poorten op je WAN-IP als die je NAS op z’n LAN-IP heeft. Je moet dan alleen steeds dat poortnummer typen, terwijl een port scanner die alternatieve poorten toch wel gaat vinden, dus voor je beveiliging is het echt een wassen neus om op alternatieve poorten te gaan draaien.

1 like

Dank dank Kevin voor het geduld dat je met me hebt. Ik denk dat ik het wel steeds meer en meer begin te begrijpen en merk dus dat ik die poorten gewoon op 80 en 443 kan zetten. In het begin stonden ze op 192.168.178.X.X:5300 (als ik me niet vergis) en voor https op :5301

Heb me altijd laten vertellen dat het veiliger is om dan zelf iets aan te maken dan zo te laten. En dan mijn HuisFreedom IP door te zetten naar de NASIP. Ik hoef dat dus niet te doen en gewoon 80 en 443 open te zetten. Ik begrijp je eerste deel over Freedom:443 nu wel een beetje :slight_smile:

Ik ga er morgen mee verder, moet zo gaan eten en dan werken dus kan ik er nu niet mee door. Wel jammer, denk het nu beetje te gaan begrijpen en dan moet ik er mee stoppen. Ga er morgen mee aan de slag en kijken of het me lukt. I Hope en dan het doorsturen van mijn (SUB)domein.mijndomein.nl - eens kijken of dat gaat lukken :slight_smile:

1 like

Kijk wel even welke adressen er al in je netwerk gebruikt worden. Want het eerste stuk na de 2a10:3781:abcd: moet wel hetzelfde zijn als andere systemen in je netwerk.
Want de fritzbox geeft standaard maar 1 /64 door aan het interne netwerk (als ik het goed onthouden heb).

Wat je met een reverse proxy kan bereiken is het volgende:
Op een adres (IPv4 bv.) laat je all hostnames (voor HTTP of ook andere poorten aanmelden).
Ik run thuis tbv. mensen die alleen IPv4 hebben een paar Nextcloud instances achter een adres.
Een voor een vereniging, een voor m’n werk, een voor een kennis, een Beta test site en m’n prive omgeving.
Voor document editing een CollaBorra / Only Office server. (Allen draaien in LXD containers). Daarnaast een piwigo site, een website voor een broer, en nog wat diverse proefjes.
Elke service heeft z’n eigen hostname. (xxxx.example.nl voor domain example.nl).

Iedereen komt als eerste een HAproxy tegen:

  • Die haproxy zorgt voor een publieke TLS terminatie met certificaat van letsencrypt (indien nodig) bij servers die een intern .local certificaat voeren.
  • Op basis van de hostname wordt in eerste instantie op basis van SNI veld in TLS een sessie naar een achterliggende server doorgegeven (die heeft dan ook het juiste letsencrypt certificaat). Voor die gevallen waar de backend dat niet kan of als er geen SNI geleverd wordt dan wordt de TLS op de HAProxy getermineerd en wordt op basis van het HTTP: Host header het werk verdeelt naar de juiste service.

Kortom:
HAproxy krijgt al het verkeer en verdeelt het naar specifieke systemen in het netwerk erachter op basis van hostname.
In DNS ieder service heeft z’n eigen naam met allemaal hetzelfde adres.

Haproxy (recente versies V2+) is behoorlijk efficient, het kan op een RPi draaien, al zal bij een behoorlijke bandbreedte gebruik de RPi beperkt zijn door z’n hardware layout.

Poorten kiezen om services op een andere poort te laten lopen is vrij zinloos. Dat gaat er vanuit dat kwaadwillenden gericht op poort 22 gaan zoeken in de hoop een SSH server aan te treffen. Het moderne scannen is gewoon ALLE 64K poorten scannen en als er een respons komt deze analyseren wat er achter zou kunnen zitten.
Veel protocollen zijn goed herkenbaar aan de hand van een eerste pakket SSH, TLS (bij TLS evt. HTTP, SMTP …)
Een andere misvatting is dat dat poorten vanuit een adres of achter elkaar gescanned worden. Er zijn er een aantal die maar een poll / 20 minuten doen voor een “random” poort. en als je het een beetje volgt dan blijkt dat een organisatie een compleet IPv6 /48 prefix net gebruikt. Een ander heeft een /22 netwerk en wisselt de poorten ook af.
Dus een poort wordt toch ontdekt, dus waarom zou je het voor jezelf moeilijk maken. Het is beter om te investeren in adequate beveiliging.

Voor jouw idee, de meeste zaken op internet werken ook heel goed ZONDER DNS. DNS is een voorziening om mensen te ondersteunen met een “meer” herkenbare vorm omdat mensen in symbolen denken en niet in nummer reeksen.
Je zult IP netwerk beheerders snel herkennen omdat die juist het omgekeerde hebben :wink:
Hoewel IPv6 ze mogelijk wat stress bezorgt.

Hieronder een scanreport voor een selectie van poorten.

Scan report

For 2021-08-14 you submitted 3556 packets from 1658 sources hitting 1 targets.

Port Summary

Port | Packets | Sources | Targets | Service | Name
------±----------±----------±----------±-------------------±------------
6379 | 228 | 219 | 1 | redis | Redis
23 | 210 | 121 | 1 | telnet | Telnet
445 | 139 | 118 | 1 | microsoft-ds | Win2k+ Server Message Block
22 | 129 | 89 | 1 | ssh | SSH Remote Login Protocol
53 | 401 | 88 | 1 | domain | Domain Name Server
2376 | 58 | 58 | 1 | s | Docker
2375 | 57 | 56 | 1 | docker | Docker
5060 | 135 | 46 | 1 | sip | SIP
8080 | 61 | 40 | 1 | http-alt | HTTP Alternate (see port 80)
3389 | 37 | 33 | 1 | ms-term-services | MS Terminal Services
81 | 86 | 19 | 1 | hosts2-ns | HOSTS2 Name Server
8443 | 24 | 19 | 1 | pcsync-ssl | PCSync SSL
8000 | 17 | 16 | 1 | irdmi | iRDMI
1433 | 13 | 13 | 1 | ms-sql-s | Microsoft-SQL-Server
5555 | 25 | 12 | 1 | ADB | Android Debug Bridge
8081 | 14 | 12 | 1 | blackice | BlackICE ICEcap
21 | 14 | 12 | 1 | ftp | File Transfer [Control]
8888 | 20 | 12 | 1 | ddi-tcp-1 | NewsEDGE server TCP (TCP 1)
8088 | 14 | 10 | 1 | http | Radan
4443 | 10 | 9 | 1 | pharos | Pharos

Port Scanners

source     | Ports Scanned | Host Name

---------------±--------------±-----------
89.248.165.202| 27 | recyber.net
45.227.255.66| 15 | hosting-by.web4net.org
45.146.165.96| 15 |
45.143.200.114| 14 |
78.128.113.34| 13 | ip-113-34.4vendeta.com
89.248.165.52| 13 | recyber.net
94.232.45.195| 13 | tabuchibits.meaningdeals.com
78.128.112.70| 13 | ip-112-70.4vendeta.com
206.189.98.190| 13 |
78.128.113.46| 12 | ip-113-46.4vendeta.com
161.35.158.17| 12 |
91.191.209.98| 11 |
125.64.94.144| 11 |
94.232.45.197| 10 | purchases.meaningdeals.com
161.35.158.82| 10 |
45.85.190.88| 10 | klqb.gotopmarketing.com
64.225.73.70| 10 |
46.161.27.99| 9 |
209.141.55.182| 9 | guzu.ca
89.248.165.38| 9 | recyber.net
198.98.51.101| 8 | smtp4.klickensiejetzt.info
170.106.115.15| 8 |
167.248.133.88| 8 | scanner-15.ch1.censys-scanner.com
185.142.236.38| 8 |
154.89.5.18| 8 |
170.106.115.55| 7 |
94.232.45.199| 7 | lenovo.meaningdeals.com
185.167.96.236| 7 |
162.142.125.65| 7 | scanner-10.ch1.censys-scanner.com
118.69.198.80| 7 |
45.146.165.19| 7 |
209.141.35.55| 7 | comi-gw.sjc.tomoyo.eu
89.248.165.199| 7 | recyber.net
167.248.133.64| 6 | scanner-12.ch1.censys-scanner.com
185.142.239.16| 6 | red2.census.shodan.io
218.79.233.45| 6 | 45.233.79.218.broad.xw.sh.dynamic.163data.com.cn
74.120.14.20| 6 | scanner-02.ch1.censys-scanner.com
162.142.125.161| 6 | scanner-23.ch1.censys-scanner.com
162.142.125.168| 6 | scanner-23.ch1.censys-scanner.com
45.143.203.3| 6 |
218.98.112.85| 6 |
203.159.80.27| 6 |
107.189.13.63| 6 |
185.220.205.106| 6 |
80.82.70.228| 6 | group-ib.ru
178.128.254.234| 6 |
125.64.94.138| 6 |
138.99.216.196| 5 |
107.189.3.45| 5 |
161.35.149.206| 5 |
74.120.14.75| 5 | scanner-11.ch1.censys-scanner.com
212.192.241.92| 5 |
170.106.115.151| 5 |
45.143.203.2| 5 |
162.142.125.95| 5 | scanner-13.ch1.censys-scanner.com
185.167.97.31| 5 |
45.148.10.241| 5 | edc43.app-autht.com
222.186.19.235| 5 |
170.106.115.253| 5 |
223.71.167.163| 5 |
193.27.229.184| 5 |
116.234.214.2| 5 |
162.142.125.92| 5 | scanner-13.ch1.censys-scanner.com
183.136.226.2| 5 |
185.167.97.229| 5 |
74.120.14.73| 5 | scanner-11.ch1.censys-scanner.com
132.232.75.27| 5 |
46.148.20.13| 5 | eddy2.zip
104.219.250.64| 4 | nc-ph-0776-26.web-hosting.com
80.82.77.139| 4 | dojo.census.shodan.io
185.189.167.15| 4 |
205.185.124.192| 4 | server.linwoodfood.com
162.142.125.70| 4 | scanner-10.ch1.censys-scanner.com
162.142.125.84| 4 | scanner-13.ch1.censys-scanner.com
203.159.80.153| 4 | slot0.pascals-audio.com
162.142.125.90| 4 | scanner-13.ch1.censys-scanner.com
162.142.125.80| 4 | scanner-13.ch1.censys-scanner.com
209.141.55.62| 4 |
162.142.125.71| 4 | scanner-10.ch1.censys-scanner.com
167.248.133.72| 4 | scanner-12.ch1.censys-scanner.com
74.120.14.71| 4 | scanner-11.ch1.censys-scanner.com
162.142.125.85| 4 | scanner-13.ch1.censys-scanner.com
79.124.62.90| 4 |
167.248.133.19| 4 | scanner-03.ch1.censys-scanner.com
43.130.10.173| 4 |
68.183.0.36| 4 |
185.216.140.31| 4 | security.criminalip.com
195.144.21.56| 4 | red3.census.shodan.io
88.214.24.148| 4 | hosting-by.4cloud.mobi
162.142.125.81| 4 | scanner-13.ch1.censys-scanner.com
161.35.158.31| 4 |
162.142.125.29| 4 | scanner-01.ch1.censys-scanner.com
167.248.133.73| 4 | scanner-12.ch1.censys-scanner.com
185.167.97.191| 4 |
91.239.130.30| 4 |
162.142.125.86| 4 | scanner-13.ch1.censys-scanner.com
23.148.145.7| 4 |
194.147.142.34| 4 |
74.120.14.31| 4 | scanner-02.ch1.censys-scanner.com
74.120.14.95| 4 | scanner-14.ch1.censys-scanner.com
185.189.167.7| 4 |
172.104.238.162| 4 | optout.scanopticon.com
68.183.14.99| 4 |
74.120.14.68| 4 | scanner-11.ch1.censys-scanner.com
162.142.125.82| 4 | scanner-13.ch1.censys-scanner.com
167.248.133.16| 4 | scanner-03.ch1.censys-scanner.com
203.159.80.53| 4 |
170.106.115.39| 4 |
23.148.145.29| 4 |
185.189.167.14| 4 |
74.120.14.78| 4 | scanner-11.ch1.censys-scanner.com
77.247.108.42| 4 |
162.142.125.26| 4 | scanner-01.ch1.censys-scanner.com
162.142.125.74| 4 | scanner-10.ch1.censys-scanner.com
162.142.125.31| 3 | scanner-01.ch1.censys-scanner.com
162.142.125.160| 3 | scanner-23.ch1.censys-scanner.com
192.241.207.66| 3 | zg-0729c-66.stretchoid.com
139.162.190.203| 3 | optout.scanopticon.com
5.181.80.9| 3 | ip-80-9-bullethost.net
66.240.236.119| 3 | census6.shodan.io
144.86.173.128| 3 |
167.248.133.23| 3 | scanner-03.ch1.censys-scanner.com
167.248.133.91| 3 | scanner-15.ch1.censys-scanner.com
193.37.255.114| 3 |
74.120.14.88| 3 | scanner-14.ch1.censys-scanner.com
89.248.168.176| 3 | security.criminalip.com
123.160.221.47| 3 |
74.201.28.229| 3 | fifa.impactflower.com
144.86.173.141| 3 |
188.166.54.165| 3 |
199.195.252.240| 3 |
161.35.158.107| 3 |
167.248.133.18| 3 | scanner-03.ch1.censys-scanner.com
167.248.133.86| 3 | scanner-15.ch1.censys-scanner.com
185.189.167.5| 3 |
192.241.212.227| 3 | zg-0729a-75.stretchoid.com
89.248.167.131| 3 | mason.census.shodan.io
146.88.240.4| 3 | www.arbor-observatory.com
162.142.125.64| 3 | scanner-10.ch1.censys-scanner.com
167.248.133.77| 3 | scanner-12.ch1.censys-scanner.com
82.102.173.66| 3 |
185.216.140.6| 3 | security.criminalip.com
61.153.110.33| 3 |
74.201.28.22| 3 | tewas.impactflower.com
80.82.77.227| 3 | security.criminalip.com
167.248.133.24| 3 | scanner-03.ch1.censys-scanner.com
89.248.168.220| 3 | security.criminalip.com
106.12.107.219| 3 |
142.93.230.136| 3 |
74.120.14.16| 3 | scanner-02.ch1.censys-scanner.com
205.185.116.49| 3 | mail7.dieverdammtecss.net
161.35.158.111| 3 |
162.142.125.76| 3 | scanner-10.ch1.censys-scanner.com
89.248.168.51| 3 | security.criminalip.com
180.76.107.5| 3 |
193.163.125.8| 3 | gorgeous.census.cyber.casa
203.159.80.208| 3 |
74.120.14.76| 3 | scanner-11.ch1.censys-scanner.com
167.248.133.67| 3 | scanner-12.ch1.censys-scanner.com
167.248.133.25| 3 | scanner-03.ch1.censys-scanner.com
167.248.133.93| 3 | scanner-15.ch1.censys-scanner.com
74.120.14.26| 3 | scanner-02.ch1.censys-scanner.com
162.142.125.169| 3 | scanner-23.ch1.censys-scanner.com
123.174.76.237| 3 |
162.142.125.19| 3 | scanner-01.ch1.censys-scanner.com
36.154.248.180| 3 |
162.142.125.77| 3 | scanner-10.ch1.censys-scanner.com
167.248.133.20| 3 | scanner-03.ch1.censys-scanner.com
71.6.146.130| 3 | refrigerator.census.shodan.io
162.142.125.66| 3 | scanner-10.ch1.censys-scanner.com
162.142.125.163| 3 | scanner-23.ch1.censys-scanner.com
167.248.133.79| 3 | scanner-12.ch1.censys-scanner.com
144.86.173.149| 3 |
162.142.125.25| 3 | scanner-01.ch1.censys-scanner.com
74.201.28.151| 3 | lib.impactflower.com
103.145.13.26| 3 |
162.142.125.73| 3 | scanner-10.ch1.censys-scanner.com
167.248.133.84| 3 | scanner-15.ch1.censys-scanner.com
162.142.125.30| 3 | scanner-01.ch1.censys-scanner.com
167.248.133.75| 3 | scanner-12.ch1.censys-scanner.com
162.142.125.88| 3 | scanner-13.ch1.censys-scanner.com
220.123.89.125| 3 |
167.248.133.22| 3 | scanner-03.ch1.censys-scanner.com
167.248.133.90| 3 | scanner-15.ch1.censys-scanner.com
74.120.14.23| 3 | scanner-02.ch1.censys-scanner.com
89.248.168.157| 3 | security.criminalip.com
142.93.132.241| 3 |
167.248.133.69| 3 | scanner-12.ch1.censys-scanner.com
170.106.176.49| 3 |
185.167.96.138| 3 |
185.220.205.196| 3 |
193.163.125.38| 3 | phenomenal.census.cyber.casa
74.201.28.216| 3 | removesite.impactflower.com
162.142.125.83| 3 | scanner-13.ch1.censys-scanner.com
167.248.133.27| 3 | scanner-03.ch1.censys-scanner.com
167.248.133.95| 3 | scanner-15.ch1.censys-scanner.com
74.120.14.28| 3 | scanner-02.ch1.censys-scanner.com
89.248.174.193| 3 | security.criminalip.com
161.35.158.83| 3 |
167.248.133.85| 3 | scanner-15.ch1.censys-scanner.com
74.120.14.19| 2 | scanner-02.ch1.censys-scanner.com
74.120.14.83| 2 | scanner-14.ch1.censys-scanner.com
144.86.173.66| 2 |
167.248.133.76| 2 | scanner-12.ch1.censys-scanner.com
8.134.91.59| 2 |
47.97.117.211| 2 |
193.163.125.6| 2 | famous.census.cyber.casa
101.132.143.149| 2 |
106.54.90.237| 2 |
162.142.125.21| 2 | scanner-01.ch1.censys-scanner.com
162.142.125.89| 2 | scanner-13.ch1.censys-scanner.com
47.93.117.129| 2 |
61.72.255.26| 2 |
74.120.14.65| 2 | scanner-11.ch1.censys-scanner.com
162.142.125.79| 2 | scanner-10.ch1.censys-scanner.com
176.106.46.91| 2 |
59.110.214.16| 2 |
74.120.14.24| 2 | scanner-02.ch1.censys-scanner.com
209.141.54.220| 2 |
121.5.252.20| 2 |
144.86.173.81| 2 |
162.142.125.167| 2 | scanner-23.ch1.censys-scanner.com
167.248.133.81| 2 | scanner-15.ch1.censys-scanner.com
180.76.231.209| 2 |
193.163.125.11| 2 | thrilling.census.cyber.casa
64.225.79.120| 2 |
162.142.125.94| 2 | scanner-13.ch1.censys-scanner.com
192.241.220.159| 2 | zg-0729d-149.stretchoid.com
195.230.103.242| 2 |
144.86.173.9| 2 |
162.142.125.17| 2 | scanner-01.ch1.censys-scanner.com
167.248.133.29| 2 | scanner-03.ch1.censys-scanner.com
192.241.213.231| 2 | zg-0729a-134.stretchoid.com
46.148.21.60| 2 | eddy1.zip
71.6.232.5| 2 | zx1.quadmetrics.com
74.120.14.29| 2 | scanner-02.ch1.censys-scanner.com
74.120.14.93| 2 | scanner-14.ch1.censys-scanner.com
103.145.13.243| 2 |
119.23.214.55| 2 |
121.40.16.77| 2 |
162.142.125.75| 2 | scanner-10.ch1.censys-scanner.com
162.142.125.172| 2 | scanner-23.ch1.censys-scanner.com
193.3.53.10| 2 |
209.141.51.176| 2 |
111.7.96.160| 2 |
222.161.223.54| 2 | 54.223.161.222.adsl-pool.jlccptt.net.cn
89.163.140.58| 2 | ve565.venus.dedi.server-hosting.expert
162.142.125.22| 2 | scanner-01.ch1.censys-scanner.com
185.156.73.109| 2 |
74.120.14.66| 2 | scanner-11.ch1.censys-scanner.com
192.35.168.178| 2 | worker-11.sfj.censys-scanner.com
192.241.215.83| 2 | zg-0729b-73.stretchoid.com
71.6.165.200| 2 | census12.shodan.io
74.120.14.25| 2 | scanner-02.ch1.censys-scanner.com
74.120.14.89| 2 | scanner-14.ch1.censys-scanner.com
134.209.86.81| 2 |
144.86.173.83| 2 |
184.105.247.247| 2 | scan-14m.shadowserver.org
167.71.13.196| 2 | synprobe001.leakix.net
39.99.32.11| 2 |
45.35.130.62| 2 |
192.241.205.116| 2 | zg-0729c-35.stretchoid.com
193.163.125.3| 2 | radiant.census.cyber.casa
74.201.28.251| 2 | clothes.impactflower.com
162.142.125.18| 2 | scanner-01.ch1.censys-scanner.com
167.248.133.30| 2 | scanner-03.ch1.censys-scanner.com
192.241.195.235| 2 | zg-0729a-11.stretchoid.com
192.241.213.243| 2 | zg-0729a-137.stretchoid.com
193.163.125.30| 2 | honourable.census.cyber.casa
74.120.14.30| 2 | scanner-02.ch1.censys-scanner.com
74.120.14.94| 2 | scanner-14.ch1.censys-scanner.com
167.248.133.87| 2 | scanner-15.ch1.censys-scanner.com
185.189.167.6| 2 |
192.241.213.57| 2 | zg-0729a-79.stretchoid.com
193.3.53.11| 2 |
71.6.135.131| 2 | soda.census.shodan.io
74.120.14.21| 2 | scanner-02.ch1.censys-scanner.com
74.120.14.85| 2 | scanner-14.ch1.censys-scanner.com
94.232.45.196| 2 | quand.meaningdeals.com
111.7.96.162| 2 |
167.99.97.96| 2 |
172.104.138.223| 2 | optout.scanopticon.com
212.192.241.212| 2 |
110.185.107.27| 2 |
162.142.125.91| 2 | scanner-13.ch1.censys-scanner.com
37.0.11.214| 2 |
47.94.139.162| 2 |
193.163.125.36| 2 | heartfelt.census.cyber.casa
74.120.14.67| 2 | scanner-11.ch1.censys-scanner.com
120.24.54.173| 2 |
123.160.221.8| 2 |
5.8.10.202| 2 |
193.163.125.63| 2 | enviable.census.cyber.casa
74.120.14.90| 2 | scanner-14.ch1.censys-scanner.com
106.12.218.175| 2 |
162.142.125.72| 2 | scanner-10.ch1.censys-scanner.com
39.105.147.202| 2 |
45.79.85.237| 2 | 45.79.85.237.li.binaryedge.ninja
192.241.210.45| 2 | zg-0729a-30.stretchoid.com
74.120.14.81| 2 | scanner-14.ch1.censys-scanner.com
159.75.134.227| 2 |
8.134.77.178| 2 |
193.163.125.41| 2 | lionhearted.census.cyber.casa
74.120.14.72| 2 | scanner-11.ch1.censys-scanner.com
106.15.190.91| 2 |
144.86.173.11| 2 |
188.166.254.212| 2 |
47.106.78.206| 2 |
66.240.205.34| 2 | malware-hunter.census.shodan.io
71.6.232.7| 2 | zx4.quadmetrics.com
209.141.59.157| 2 | exit08.oxds.org
144.86.173.93| 2 |
43.130.11.228| 2 |
89.248.168.112| 2 | security.criminalip.com
111.7.96.163| 2 |
185.180.143.98| 2 | sh-phx-us-gp1-wk110a.internet-census.org
45.155.193.79| 2 |
193.163.125.46| 2 | cool.census.cyber.casa
74.120.14.77| 2 | scanner-11.ch1.censys-scanner.com
101.133.155.225| 2 |
170.106.173.40| 2 |
178.73.215.171| 2 | 178-73-215-171-static.glesys.net
47.108.60.111| 2 |
121.43.54.204| 2 |
139.59.8.10| 2 |
71.6.199.23| 2 | einstein.census.shodan.io
74.120.14.91| 2 | scanner-14.ch1.censys-scanner.com
89.248.174.3| 2 | security.criminalip.com
125.64.94.136| 2 |
74.120.14.82| 2 | scanner-14.ch1.censys-scanner.com
167.71.234.134| 2 |
8.134.89.73| 2 |
47.97.40.214| 2 |
209.141.41.96| 2 |
144.86.173.13| 2 |
47.106.88.190| 2 |
49.235.75.101| 2 |
193.118.53.196| 2 | zl-ams-nl-gp3-wk101c.internet-census.org
193.163.125.33| 2 | virtuous.census.cyber.casa
66.240.219.146| 2 | burger.census.shodan.io
71.6.232.8| 2 | zx5.quadmetrics.com
162.142.125.78| 2 | scanner-10.ch1.censys-scanner.com
74.120.14.87| 2 | scanner-14.ch1.censys-scanner.com
94.232.45.198| 2 | tweeteconomy.meaningdeals.com
122.155.179.226| 2 |
144.86.173.79| 2 |
162.142.125.67| 2 | scanner-10.ch1.censys-scanner.com
162.142.125.165| 2 | scanner-23.ch1.censys-scanner.com
167.99.101.45| 2 |
167.248.133.80| 2 | scanner-15.ch1.censys-scanner.com
39.105.43.55| 2 |
192.241.214.162| 2 | zg-0729b-8.stretchoid.com
106.75.123.221| 2 |
120.78.195.201| 2 |
195.191.22.140| 2 |
74.120.14.69| 2 | scanner-11.ch1.censys-scanner.com
81.68.244.249| 2 |
221.130.106.5| 2 |
182.92.189.127| 2 |
188.166.8.133| 2 |
192.241.213.202| 2 | zg-0729a-124.stretchoid.com
47.105.69.122| 2 |
74.120.14.92| 2 | scanner-14.ch1.censys-scanner.com
79.124.62.25| 2 |
150.158.155.125| 2 |
185.189.167.4| 2 |
39.107.95.89| 2 |

Source Summary

source     | hostname  |packets|targets| all pkts | all trgs | first seen

---------------±----------±------±------±---------±---------±----------
222.161.223.54|cptt[.]net[.]cn| 52 | 1 | 5510 | 391 | 07-22-2021
96.33.208.248|pectrum[.]com| 40 | 1 | 51 | 2 | 08-14-2021
45.61.142.171|octovpn[.]net| 35 | 1 | 46 | 6 | 07-27-2021
73.201.166.193|comcast[.]net| 33 | 1 | 45 | 2 | 08-14-2021
103.145.13.80| | 28 | 1 | 64376 | 3716 | 07-26-2021
89.248.165.202|recyber[.]net| 27 | 1 | 339178 | 12758 | 07-08-2021
185.53.90.85| | 22 | 1 | 185139 | 7810 | 07-26-2021
45.155.150.74|[.]bialnet[.]pl| 22 | 1 | 2380 | 14 | 07-06-2021
205.185.116.49|mmtecss[.]net| 22 | 1 | 112814 | 1923 | 08-05-2021
141.98.10.123| | 21 | 1 | 828 | 144 | 07-29-2021
45.146.165.96| | 20 | 1 | 319992 | 12895 | 06-08-2021
104.219.250.64|hosting[.]com| 20 | 1 | 179061 | 2857 | 07-31-2021
193.107.216.129| | 19 | 1 | 311471 | 626 | 07-27-2021
103.145.13.25| | 19 | 1 | 52118 | 2638 | 07-26-2021
47.196.85.236| | 19 | 1 | 2 | 1 | 08-13-2021
90.24.76.240|[.]wanadoo[.]fr| 19 | 1 | 170 | 2 | 08-14-2021
64.227.11.251| | 18 | 1 | 3730 | 414 | 08-04-2021
89.248.165.38|recyber[.]net| 18 | 1 | 593 | 79 | 08-10-2021
177.124.98.188| | 18 | 1 | 76 | 3 | 08-14-2021
199.195.252.240| | 17 | 1 | 39501 | 852 | 08-06-2021

Om een en ander aan de praat te krijgen op IPv6 blijkt dat ik e.a. niet handig heb ingesteld.
Ik heb op de Raspberry Pi (hier verder afgekort als ‘Raspi’) twee websites draaien:

  • De hoofd-website (die gebruik ik ook voor het verkrijgen van de Let’s Encrypt certificaten):
    • Op IPv4 extern poort 80 naar Raspi poort 8085
    • Op IPv4 extern poort 443 naar Raspi poort 450
  • Een neven-website:
    • Op IPv4 intern op poort 80
    • Op IPv4 extern poort 8085 naar Raspi poort 443

Dat blijkt niet handig voor IPv6 omdat dan:

  • http: naar IPv6 adres dan zonder meer uitkomt op Raspi poort 80, de neven-website
  • https: naar IPv6 adres dan zonder meer uitkomt op Raspi poort 443, de neven-website

Op deze manier krijg ik dus IPv6 nooit naar de hoofdwebsite.
Dat ga ik dus veranderen denk ik.

  • Hoofdwebsite op de Raspi op poort 80 en 443, ook extern.
  • Neven-website op twee andere poorten b.v. 8085 en 455

En dan met reverse proxy op de Raspi webserver aan de gang om zaken als NAS.[mijn_domein_bij_freedom].nl of misschien beter NAS.home.[mijn_domein_bij_freedom].nl naar mijn NAS te laten wijzen.
Dat wordt nog wat google werk.
Als ik NAS.home.[mijn_domein_bij_freedom].nl, dan kan ik waarschijnlijk ook met HAproxy mogelijk in een keer met één certificaat (home.[mijn_domein_bij_freedom].nl) op één plek al mijn achterliggende apparatuur afdekken. Ten minste dat begrijp ik uit bovenstaand antwoord.
Of misschien wel home.[mijn_domein_bij_freedom].nl/NAS