DNS instellingen werken niet

Juist, dat is dus ook wat ik zou willen weten. Het is mij nog niet eens gelukt om NAS.mijndomein.NL aan te maken ;-( - Ik heb wel een NAS in huis, met een poortforwarding in mijn router staan, dus ik kan wel via mijn browser met mijn thuis IP met poort (thuisip:poortnummer) in mijn NAS. Maar dat blijkt niet veilig te zijn, want ik heb geen certificaat aangemaakt. Nu weet ik ook niet of ik dit dan moet doen in de NAS zelf hiervoor? Daarom een domeinnaam aangemaakt bij Freedom en dan wil ik het zo doorsturen en daarop dan een Let’s Encrypt certificaat aanmaken.

Zo moet dat toch lukken? Maar hoe? :slight_smile: En ook hier een nitwit hierin :frowning:

Voor Let’s Encrypt moet je een webserver op je domeinnaam van je huisaansluiting (b.v. home.[mijn_domein_bij_freedom].nl) hebben draaien. Let’s Encrypt verifieert namelijk via die webserver of jij het certificaat mag hebben. Zo’n certificaat is ook maar 90 dagen geldig dus je moet ook zeker eens in de 90 dagen het certificaat vernieuwen.
Dat certificaat geldt dan voor je webserver, maar nog niet voor alle ander apparaten die je via home.[mijn_domein_bij_freedom].nl:[poort_nummer] aanroept. Als dat bijvoorbeeld je Fritz!Box is, dan moet die ook zo’n certificaat hebben. Daartoe kopieer ik via een script, na het vernieuwen van het certificaat voor de webserver, dat certificaat naar de Fritz!Box. Zie script hieronder. Daartoe in dat script wel de username en password invullen en ook “—YOUR_HOSTNAME—.xs4all.space/” even aanpassen voor je domein bij freedom. Voor deze toepassing maak ik een aparte user aan in de Fritz!Box.
Hoe dat voor een NAS te regelen is, hangt van de NAS af.


#!/bin/bash

# parameters
USERNAME="--- SECRET USER ---"
PASSWORD="--- SECRET PW ---"
CERTPATH="/etc/letsencrypt/live/---YOUR_HOSTNAME---.xs4all.space/"
CERTPASSWORD=""
HOST=http://fritz.box

# make and secure a temporary file
TMP="$(mktemp -t XXXXXX)"
chmod 600 $TMP

# login to the box and get a valid SID
CHALLENGE=`wget -q -O - $HOST/login_sid.lua | sed -e 's/^.*<Challenge>//' -e 's/<\/Challenge>.*$//'`
HASH="`echo -n $CHALLENGE-$PASSWORD | iconv -f ASCII -t UTF16LE |md5sum|awk '{print $1}'`"
SID=`wget -q -O - "$HOST/login_sid.lua? 
sid=0000000000000000&username=$USERNAME&response=$CHALLENGE-$HASH"| sed -e 's/^.*<SID>//' -e 's/<\/SID>.*$//'`

# generate our upload request
BOUNDARY="---------------------------"`date +%Y%m%d%H%M%S`
printf -- "--$BOUNDARY\r\n" >> $TMP
printf "Content-Disposition: form-data; name=\"sid\"\r\n\r\n$SID\r\n" >> $TMP
printf -- "--$BOUNDARY\r\n" >> $TMP
printf "Content-Disposition: form-data; name=\"BoxCertPassword\"\r\n\r\n$CERTPASSWORD\r\n" >> $TMP
printf -- "--$BOUNDARY\r\n" >> $TMP
printf "Content-Disposition: form-data; name=\"BoxCertImportFile\"; filename=\"BoxCert.pem\"\r\n" >> $TMP
printf "Content-Type: application/octet-stream\r\n\r\n" >> $TMP
cat $CERTPATH/privkey.pem >> $TMP
cat $CERTPATH/fullchain.pem >> $TMP
printf "\r\n" >> $TMP
printf -- "--$BOUNDARY--" >> $TMP

# upload the certificate to the box
wget -q -O - $HOST/cgi-bin/firmwarecfg --header="Content-type: multipart/form-data boundary=$BOUNDARY" --post-file $TMP | grep SSL

# clean up
rm -f $TMP

Oh jee, en jij zegt een leek te zijn?!
Nou, je snapt er anders wel meer van dan ik :frowning:

Heb hier een Synology NAS staan en ik kan nu via MIJNHUISIP:INTERNIP via mijn browser op mijn NAS komen. Krijg nu wel meldingen dat het niet veilig is, daarom wil ik dit ook aanpassen. Kan ook via Quickconnect, maar dat is super traag!

Daarom heb ik een domeinnaam aangevraagd bij Freedom en zou ik eigenlijk via https://NAS.MIJNDOMEINNAAM.NL naar mijn NAS willen doorschakelen met HTTPS erin. Dus veilig!

Of ik denk er veel te moeilijk over of het is ingewikkelder dan ik had verwacht :frowning: - Via Freedom Helpdesk nog geen reactie gehad hoe ik een subdomein kan aanmaken voor mijn Freedom domeinnaam. Want dat is me ook nog niet gelukt :frowning:

Ik heb het dus op home.[mijn_domein_bij_freedom].nl:[poortnummer_NAS] dus niet op IP adressen.
Daartoe heb ik in de DNS instellingen in het dashboard de volgende regel gemaakt voor [mijn_domein_bij_freedom].nl:
home A [IPv4 adres_van_mijn_thuis_verbinding] 5 minutes

Ik weet dat dat ook met
home AAAA [IPv6 adres_van_mijn_thuis_verbinding] 5 minutes
zou moeten kunnen, maar heb geen idee wat ik dan precies bij [IPv6 adres_van_mijn_thuis_verbinding] moet invullen.
Mijn Fritz!Box zegt dat de IPv6 verbinding met internet zit op:
IPv6 Address: aaaa:bbb:cccc::1
IPv6 prefix: aaaa:bbb:cccc::/48

Is dat dan

  • aaaa:bbb:cccc
  • aaaa:bbb:cccc::1
  • aaaa:bbb:cccc::/48
  • of iets anders?

Weet ook niet goed hoe ik dan moet testen of het werkt. Voor zover ik weet kan ik mijn browser niet vragen om alleen via IPv6 verbinding te maken met home.[mijn_domein_bij_freedom].nl. Weet iemand daar iets voor? (via wget of curl?)

Als ik dan
home AAAA * aaaa:bbb:cccc::1 instel, waar komt dan home.[mijn_domein_bij_freedom].nl met IPv6 op uit als ik dat in mijn browser opvraag? Op de webinterface van mijn router, of op mijn webserver die via poorten 80 en 443 is geforward

OK
maar hoe zorg ik er dan voor dat https://home.[mijn_domein_bij_freedom].nl zowel via IPv4 als via IPv6 op mijn webserver (Raspberry Pi) terecht komt?
Voor IPv4 is dat geregeld door de port forward van poort 80 naar de webserver.
Moet ik dan de webserver een statisch IPv6 adres (aaaa:bbb:cccc::456) geven en dan bij DNS
“home AAAA aaaa:bbb:cccc::456 5 minutes” invullen?

Als dat dan werkt, kan je denk ik ook de https://NAS.[mijn_domein_bij_freedom].nl via een AAAA (IPv6) record uit laten komen op je NAS. Maar dat lukt dan niet meer via een A record naar het IP adres van de thuisverbinding? Want die wijst immers via een poort forward al naar de webserver.

Ik denk dat ik dit stap voor stap eens moet gaan doen want op het moment snap ik er niets van. Ik ben al blij dat ik nu met mijn eigen IP adres en poortnummer deze kan gebruiken en dat het me lukt. Maar hier begint het een beetje te turen. Je zou zeggen, begin er dan niet aan :slight_smile:

Beetje jammer, lees altijd van mensen dat ze het zo snel en makkelijk kunnen doen. Maar ja, die zijn vast ook wel meer in thuis dan ik.

Ik heb bij Synology onder Netwerkinterface de mogelijkheid om een vast IP adres te geven IPv4 (dat heb ik al wel gedaan, dus dat is gedaan). Zie ook dat ik zelf een IPv6 kan aanmaken, dat moet dan ook wel lukken.

Moet ik dan bij proxy-server iets invoeren en activeren?
Bij DDNS hoef ik dat niet te doen, dat is wat ik nu heb staan. Maar die kan ik volgens mij vergeten. Zie ik alleen nog iets met routeconfiguratie, maar als ik toch zelf een forwarding kan aanmaken in de router dan kan ik het beter zelf doen, lijkt me?!

Ik snap alleen nog niet wat nu wan-ipv4:80 is en waar dat moet, of is dat die proxy-server? Sorry dat ik zoveel vraag hoor


Ik zie het even niet en moet er maar even voor gaan zitten. Intern benader ik mijn NAS via een eigen IPadres (192.168.X.X) met daar achter een : en een getal. Dat heeft iemand voor mij gedaan omdat dit veiliger zou zijn. Deze heeft ook een portforwarding aangemaakt in mijn router zodat ik met MijnHuisIP:eennummer doorverwezen ben naar het IP adres van mijn NAS met daar achter :(eennummer). IP adres van mijn router begint niet met 45 maar ook gewoon met 192.168.X.X (of zeg ik nu iets heel stoms?).

Ik had eigenlijk gehoopt dat het ook zo makkelijk was met mijn domeinnaam en dan forwards naar MijnHuisIPvanFreedom:eennummer en dat ik dan op mijn NAS zit. Maar het tolt me nu en begrijp dat het niet zo makkelijk gaat.

Merk dat ik in mijn NAS geen routerconfigiratie aan heb staan met poorten 80 en/of 443. Dus ik moet dat nog even uitzoeken. Wel heel erg bedankt en ik hoop dat ik er uit ga komen en dat het me gaat lukken.

Dank dank Kevin voor het geduld dat je met me hebt. Ik denk dat ik het wel steeds meer en meer begin te begrijpen en merk dus dat ik die poorten gewoon op 80 en 443 kan zetten. In het begin stonden ze op 192.168.178.X.X:5300 (als ik me niet vergis) en voor https op :5301

Heb me altijd laten vertellen dat het veiliger is om dan zelf iets aan te maken dan zo te laten. En dan mijn HuisFreedom IP door te zetten naar de NASIP. Ik hoef dat dus niet te doen en gewoon 80 en 443 open te zetten. Ik begrijp je eerste deel over Freedom:443 nu wel een beetje :slight_smile:

Ik ga er morgen mee verder, moet zo gaan eten en dan werken dus kan ik er nu niet mee door. Wel jammer, denk het nu beetje te gaan begrijpen en dan moet ik er mee stoppen. Ga er morgen mee aan de slag en kijken of het me lukt. I Hope en dan het doorsturen van mijn (SUB)domein.mijndomein.nl - eens kijken of dat gaat lukken :slight_smile:

1 like

Kijk wel even welke adressen er al in je netwerk gebruikt worden. Want het eerste stuk na de 2a10:3781:abcd: moet wel hetzelfde zijn als andere systemen in je netwerk.
Want de fritzbox geeft standaard maar 1 /64 door aan het interne netwerk (als ik het goed onthouden heb).

Wat je met een reverse proxy kan bereiken is het volgende:
Op een adres (IPv4 bv.) laat je all hostnames (voor HTTP of ook andere poorten aanmelden).
Ik run thuis tbv. mensen die alleen IPv4 hebben een paar Nextcloud instances achter een adres.
Een voor een vereniging, een voor m’n werk, een voor een kennis, een Beta test site en m’n prive omgeving.
Voor document editing een CollaBorra / Only Office server. (Allen draaien in LXD containers). Daarnaast een piwigo site, een website voor een broer, en nog wat diverse proefjes.
Elke service heeft z’n eigen hostname. (xxxx.example.nl voor domain example.nl).

Iedereen komt als eerste een HAproxy tegen:

  • Die haproxy zorgt voor een publieke TLS terminatie met certificaat van letsencrypt (indien nodig) bij servers die een intern .local certificaat voeren.
  • Op basis van de hostname wordt in eerste instantie op basis van SNI veld in TLS een sessie naar een achterliggende server doorgegeven (die heeft dan ook het juiste letsencrypt certificaat). Voor die gevallen waar de backend dat niet kan of als er geen SNI geleverd wordt dan wordt de TLS op de HAProxy getermineerd en wordt op basis van het HTTP: Host header het werk verdeelt naar de juiste service.

Kortom:
HAproxy krijgt al het verkeer en verdeelt het naar specifieke systemen in het netwerk erachter op basis van hostname.
In DNS ieder service heeft z’n eigen naam met allemaal hetzelfde adres.

Haproxy (recente versies V2+) is behoorlijk efficient, het kan op een RPi draaien, al zal bij een behoorlijke bandbreedte gebruik de RPi beperkt zijn door z’n hardware layout.

Poorten kiezen om services op een andere poort te laten lopen is vrij zinloos. Dat gaat er vanuit dat kwaadwillenden gericht op poort 22 gaan zoeken in de hoop een SSH server aan te treffen. Het moderne scannen is gewoon ALLE 64K poorten scannen en als er een respons komt deze analyseren wat er achter zou kunnen zitten.
Veel protocollen zijn goed herkenbaar aan de hand van een eerste pakket SSH, TLS (bij TLS evt. HTTP, SMTP 
)
Een andere misvatting is dat dat poorten vanuit een adres of achter elkaar gescanned worden. Er zijn er een aantal die maar een poll / 20 minuten doen voor een “random” poort. en als je het een beetje volgt dan blijkt dat een organisatie een compleet IPv6 /48 prefix net gebruikt. Een ander heeft een /22 netwerk en wisselt de poorten ook af.
Dus een poort wordt toch ontdekt, dus waarom zou je het voor jezelf moeilijk maken. Het is beter om te investeren in adequate beveiliging.

Voor jouw idee, de meeste zaken op internet werken ook heel goed ZONDER DNS. DNS is een voorziening om mensen te ondersteunen met een “meer” herkenbare vorm omdat mensen in symbolen denken en niet in nummer reeksen.
Je zult IP netwerk beheerders snel herkennen omdat die juist het omgekeerde hebben :wink:
Hoewel IPv6 ze mogelijk wat stress bezorgt.

Hieronder een scanreport voor een selectie van poorten.

Scan report

For 2021-08-14 you submitted 3556 packets from 1658 sources hitting 1 targets.

Port Summary

Port | Packets | Sources | Targets | Service | Name
------±----------±----------±----------±-------------------±------------
6379 | 228 | 219 | 1 | redis | Redis
23 | 210 | 121 | 1 | telnet | Telnet
445 | 139 | 118 | 1 | microsoft-ds | Win2k+ Server Message Block
22 | 129 | 89 | 1 | ssh | SSH Remote Login Protocol
53 | 401 | 88 | 1 | domain | Domain Name Server
2376 | 58 | 58 | 1 | s | Docker
2375 | 57 | 56 | 1 | docker | Docker
5060 | 135 | 46 | 1 | sip | SIP
8080 | 61 | 40 | 1 | http-alt | HTTP Alternate (see port 80)
3389 | 37 | 33 | 1 | ms-term-services | MS Terminal Services
81 | 86 | 19 | 1 | hosts2-ns | HOSTS2 Name Server
8443 | 24 | 19 | 1 | pcsync-ssl | PCSync SSL
8000 | 17 | 16 | 1 | irdmi | iRDMI
1433 | 13 | 13 | 1 | ms-sql-s | Microsoft-SQL-Server
5555 | 25 | 12 | 1 | ADB | Android Debug Bridge
8081 | 14 | 12 | 1 | blackice | BlackICE ICEcap
21 | 14 | 12 | 1 | ftp | File Transfer [Control]
8888 | 20 | 12 | 1 | ddi-tcp-1 | NewsEDGE server TCP (TCP 1)
8088 | 14 | 10 | 1 | http | Radan
4443 | 10 | 9 | 1 | pharos | Pharos

Port Scanners

source     | Ports Scanned | Host Name

---------------±--------------±-----------
89.248.165.202| 27 | recyber.net
45.227.255.66| 15 | hosting-by.web4net.org
45.146.165.96| 15 |
45.143.200.114| 14 |
78.128.113.34| 13 | ip-113-34.4vendeta.com
89.248.165.52| 13 | recyber.net
94.232.45.195| 13 | tabuchibits.meaningdeals.com
78.128.112.70| 13 | ip-112-70.4vendeta.com
206.189.98.190| 13 |
78.128.113.46| 12 | ip-113-46.4vendeta.com
161.35.158.17| 12 |
91.191.209.98| 11 |
125.64.94.144| 11 |
94.232.45.197| 10 | purchases.meaningdeals.com
161.35.158.82| 10 |
45.85.190.88| 10 | klqb.gotopmarketing.com
64.225.73.70| 10 |
46.161.27.99| 9 |
209.141.55.182| 9 | guzu.ca
89.248.165.38| 9 | recyber.net
198.98.51.101| 8 | smtp4.klickensiejetzt.info
170.106.115.15| 8 |
167.248.133.88| 8 | scanner-15.ch1.censys-scanner.com
185.142.236.38| 8 |
154.89.5.18| 8 |
170.106.115.55| 7 |
94.232.45.199| 7 | lenovo.meaningdeals.com
185.167.96.236| 7 |
162.142.125.65| 7 | scanner-10.ch1.censys-scanner.com
118.69.198.80| 7 |
45.146.165.19| 7 |
209.141.35.55| 7 | comi-gw.sjc.tomoyo.eu
89.248.165.199| 7 | recyber.net
167.248.133.64| 6 | scanner-12.ch1.censys-scanner.com
185.142.239.16| 6 | red2.census.shodan.io
218.79.233.45| 6 | 45.233.79.218.broad.xw.sh.dynamic.163data.com.cn
74.120.14.20| 6 | scanner-02.ch1.censys-scanner.com
162.142.125.161| 6 | scanner-23.ch1.censys-scanner.com
162.142.125.168| 6 | scanner-23.ch1.censys-scanner.com
45.143.203.3| 6 |
218.98.112.85| 6 |
203.159.80.27| 6 |
107.189.13.63| 6 |
185.220.205.106| 6 |
80.82.70.228| 6 | group-ib.ru
178.128.254.234| 6 |
125.64.94.138| 6 |
138.99.216.196| 5 |
107.189.3.45| 5 |
161.35.149.206| 5 |
74.120.14.75| 5 | scanner-11.ch1.censys-scanner.com
212.192.241.92| 5 |
170.106.115.151| 5 |
45.143.203.2| 5 |
162.142.125.95| 5 | scanner-13.ch1.censys-scanner.com
185.167.97.31| 5 |
45.148.10.241| 5 | edc43.app-autht.com
222.186.19.235| 5 |
170.106.115.253| 5 |
223.71.167.163| 5 |
193.27.229.184| 5 |
116.234.214.2| 5 |
162.142.125.92| 5 | scanner-13.ch1.censys-scanner.com
183.136.226.2| 5 |
185.167.97.229| 5 |
74.120.14.73| 5 | scanner-11.ch1.censys-scanner.com
132.232.75.27| 5 |
46.148.20.13| 5 | eddy2.zip
104.219.250.64| 4 | nc-ph-0776-26.web-hosting.com
80.82.77.139| 4 | dojo.census.shodan.io
185.189.167.15| 4 |
205.185.124.192| 4 | server.linwoodfood.com
162.142.125.70| 4 | scanner-10.ch1.censys-scanner.com
162.142.125.84| 4 | scanner-13.ch1.censys-scanner.com
203.159.80.153| 4 | slot0.pascals-audio.com
162.142.125.90| 4 | scanner-13.ch1.censys-scanner.com
162.142.125.80| 4 | scanner-13.ch1.censys-scanner.com
209.141.55.62| 4 |
162.142.125.71| 4 | scanner-10.ch1.censys-scanner.com
167.248.133.72| 4 | scanner-12.ch1.censys-scanner.com
74.120.14.71| 4 | scanner-11.ch1.censys-scanner.com
162.142.125.85| 4 | scanner-13.ch1.censys-scanner.com
79.124.62.90| 4 |
167.248.133.19| 4 | scanner-03.ch1.censys-scanner.com
43.130.10.173| 4 |
68.183.0.36| 4 |
185.216.140.31| 4 | security.criminalip.com
195.144.21.56| 4 | red3.census.shodan.io
88.214.24.148| 4 | hosting-by.4cloud.mobi
162.142.125.81| 4 | scanner-13.ch1.censys-scanner.com
161.35.158.31| 4 |
162.142.125.29| 4 | scanner-01.ch1.censys-scanner.com
167.248.133.73| 4 | scanner-12.ch1.censys-scanner.com
185.167.97.191| 4 |
91.239.130.30| 4 |
162.142.125.86| 4 | scanner-13.ch1.censys-scanner.com
23.148.145.7| 4 |
194.147.142.34| 4 |
74.120.14.31| 4 | scanner-02.ch1.censys-scanner.com
74.120.14.95| 4 | scanner-14.ch1.censys-scanner.com
185.189.167.7| 4 |
172.104.238.162| 4 | optout.scanopticon.com
68.183.14.99| 4 |
74.120.14.68| 4 | scanner-11.ch1.censys-scanner.com
162.142.125.82| 4 | scanner-13.ch1.censys-scanner.com
167.248.133.16| 4 | scanner-03.ch1.censys-scanner.com
203.159.80.53| 4 |
170.106.115.39| 4 |
23.148.145.29| 4 |
185.189.167.14| 4 |
74.120.14.78| 4 | scanner-11.ch1.censys-scanner.com
77.247.108.42| 4 |
162.142.125.26| 4 | scanner-01.ch1.censys-scanner.com
162.142.125.74| 4 | scanner-10.ch1.censys-scanner.com
162.142.125.31| 3 | scanner-01.ch1.censys-scanner.com
162.142.125.160| 3 | scanner-23.ch1.censys-scanner.com
192.241.207.66| 3 | zg-0729c-66.stretchoid.com
139.162.190.203| 3 | optout.scanopticon.com
5.181.80.9| 3 | ip-80-9-bullethost.net
66.240.236.119| 3 | census6.shodan.io
144.86.173.128| 3 |
167.248.133.23| 3 | scanner-03.ch1.censys-scanner.com
167.248.133.91| 3 | scanner-15.ch1.censys-scanner.com
193.37.255.114| 3 |
74.120.14.88| 3 | scanner-14.ch1.censys-scanner.com
89.248.168.176| 3 | security.criminalip.com
123.160.221.47| 3 |
74.201.28.229| 3 | fifa.impactflower.com
144.86.173.141| 3 |
188.166.54.165| 3 |
199.195.252.240| 3 |
161.35.158.107| 3 |
167.248.133.18| 3 | scanner-03.ch1.censys-scanner.com
167.248.133.86| 3 | scanner-15.ch1.censys-scanner.com
185.189.167.5| 3 |
192.241.212.227| 3 | zg-0729a-75.stretchoid.com
89.248.167.131| 3 | mason.census.shodan.io
146.88.240.4| 3 | www.arbor-observatory.com
162.142.125.64| 3 | scanner-10.ch1.censys-scanner.com
167.248.133.77| 3 | scanner-12.ch1.censys-scanner.com
82.102.173.66| 3 |
185.216.140.6| 3 | security.criminalip.com
61.153.110.33| 3 |
74.201.28.22| 3 | tewas.impactflower.com
80.82.77.227| 3 | security.criminalip.com
167.248.133.24| 3 | scanner-03.ch1.censys-scanner.com
89.248.168.220| 3 | security.criminalip.com
106.12.107.219| 3 |
142.93.230.136| 3 |
74.120.14.16| 3 | scanner-02.ch1.censys-scanner.com
205.185.116.49| 3 | mail7.dieverdammtecss.net
161.35.158.111| 3 |
162.142.125.76| 3 | scanner-10.ch1.censys-scanner.com
89.248.168.51| 3 | security.criminalip.com
180.76.107.5| 3 |
193.163.125.8| 3 | gorgeous.census.cyber.casa
203.159.80.208| 3 |
74.120.14.76| 3 | scanner-11.ch1.censys-scanner.com
167.248.133.67| 3 | scanner-12.ch1.censys-scanner.com
167.248.133.25| 3 | scanner-03.ch1.censys-scanner.com
167.248.133.93| 3 | scanner-15.ch1.censys-scanner.com
74.120.14.26| 3 | scanner-02.ch1.censys-scanner.com
162.142.125.169| 3 | scanner-23.ch1.censys-scanner.com
123.174.76.237| 3 |
162.142.125.19| 3 | scanner-01.ch1.censys-scanner.com
36.154.248.180| 3 |
162.142.125.77| 3 | scanner-10.ch1.censys-scanner.com
167.248.133.20| 3 | scanner-03.ch1.censys-scanner.com
71.6.146.130| 3 | refrigerator.census.shodan.io
162.142.125.66| 3 | scanner-10.ch1.censys-scanner.com
162.142.125.163| 3 | scanner-23.ch1.censys-scanner.com
167.248.133.79| 3 | scanner-12.ch1.censys-scanner.com
144.86.173.149| 3 |
162.142.125.25| 3 | scanner-01.ch1.censys-scanner.com
74.201.28.151| 3 | lib.impactflower.com
103.145.13.26| 3 |
162.142.125.73| 3 | scanner-10.ch1.censys-scanner.com
167.248.133.84| 3 | scanner-15.ch1.censys-scanner.com
162.142.125.30| 3 | scanner-01.ch1.censys-scanner.com
167.248.133.75| 3 | scanner-12.ch1.censys-scanner.com
162.142.125.88| 3 | scanner-13.ch1.censys-scanner.com
220.123.89.125| 3 |
167.248.133.22| 3 | scanner-03.ch1.censys-scanner.com
167.248.133.90| 3 | scanner-15.ch1.censys-scanner.com
74.120.14.23| 3 | scanner-02.ch1.censys-scanner.com
89.248.168.157| 3 | security.criminalip.com
142.93.132.241| 3 |
167.248.133.69| 3 | scanner-12.ch1.censys-scanner.com
170.106.176.49| 3 |
185.167.96.138| 3 |
185.220.205.196| 3 |
193.163.125.38| 3 | phenomenal.census.cyber.casa
74.201.28.216| 3 | removesite.impactflower.com
162.142.125.83| 3 | scanner-13.ch1.censys-scanner.com
167.248.133.27| 3 | scanner-03.ch1.censys-scanner.com
167.248.133.95| 3 | scanner-15.ch1.censys-scanner.com
74.120.14.28| 3 | scanner-02.ch1.censys-scanner.com
89.248.174.193| 3 | security.criminalip.com
161.35.158.83| 3 |
167.248.133.85| 3 | scanner-15.ch1.censys-scanner.com
74.120.14.19| 2 | scanner-02.ch1.censys-scanner.com
74.120.14.83| 2 | scanner-14.ch1.censys-scanner.com
144.86.173.66| 2 |
167.248.133.76| 2 | scanner-12.ch1.censys-scanner.com
8.134.91.59| 2 |
47.97.117.211| 2 |
193.163.125.6| 2 | famous.census.cyber.casa
101.132.143.149| 2 |
106.54.90.237| 2 |
162.142.125.21| 2 | scanner-01.ch1.censys-scanner.com
162.142.125.89| 2 | scanner-13.ch1.censys-scanner.com
47.93.117.129| 2 |
61.72.255.26| 2 |
74.120.14.65| 2 | scanner-11.ch1.censys-scanner.com
162.142.125.79| 2 | scanner-10.ch1.censys-scanner.com
176.106.46.91| 2 |
59.110.214.16| 2 |
74.120.14.24| 2 | scanner-02.ch1.censys-scanner.com
209.141.54.220| 2 |
121.5.252.20| 2 |
144.86.173.81| 2 |
162.142.125.167| 2 | scanner-23.ch1.censys-scanner.com
167.248.133.81| 2 | scanner-15.ch1.censys-scanner.com
180.76.231.209| 2 |
193.163.125.11| 2 | thrilling.census.cyber.casa
64.225.79.120| 2 |
162.142.125.94| 2 | scanner-13.ch1.censys-scanner.com
192.241.220.159| 2 | zg-0729d-149.stretchoid.com
195.230.103.242| 2 |
144.86.173.9| 2 |
162.142.125.17| 2 | scanner-01.ch1.censys-scanner.com
167.248.133.29| 2 | scanner-03.ch1.censys-scanner.com
192.241.213.231| 2 | zg-0729a-134.stretchoid.com
46.148.21.60| 2 | eddy1.zip
71.6.232.5| 2 | zx1.quadmetrics.com
74.120.14.29| 2 | scanner-02.ch1.censys-scanner.com
74.120.14.93| 2 | scanner-14.ch1.censys-scanner.com
103.145.13.243| 2 |
119.23.214.55| 2 |
121.40.16.77| 2 |
162.142.125.75| 2 | scanner-10.ch1.censys-scanner.com
162.142.125.172| 2 | scanner-23.ch1.censys-scanner.com
193.3.53.10| 2 |
209.141.51.176| 2 |
111.7.96.160| 2 |
222.161.223.54| 2 | 54.223.161.222.adsl-pool.jlccptt.net.cn
89.163.140.58| 2 | ve565.venus.dedi.server-hosting.expert
162.142.125.22| 2 | scanner-01.ch1.censys-scanner.com
185.156.73.109| 2 |
74.120.14.66| 2 | scanner-11.ch1.censys-scanner.com
192.35.168.178| 2 | worker-11.sfj.censys-scanner.com
192.241.215.83| 2 | zg-0729b-73.stretchoid.com
71.6.165.200| 2 | census12.shodan.io
74.120.14.25| 2 | scanner-02.ch1.censys-scanner.com
74.120.14.89| 2 | scanner-14.ch1.censys-scanner.com
134.209.86.81| 2 |
144.86.173.83| 2 |
184.105.247.247| 2 | scan-14m.shadowserver.org
167.71.13.196| 2 | synprobe001.leakix.net
39.99.32.11| 2 |
45.35.130.62| 2 |
192.241.205.116| 2 | zg-0729c-35.stretchoid.com
193.163.125.3| 2 | radiant.census.cyber.casa
74.201.28.251| 2 | clothes.impactflower.com
162.142.125.18| 2 | scanner-01.ch1.censys-scanner.com
167.248.133.30| 2 | scanner-03.ch1.censys-scanner.com
192.241.195.235| 2 | zg-0729a-11.stretchoid.com
192.241.213.243| 2 | zg-0729a-137.stretchoid.com
193.163.125.30| 2 | honourable.census.cyber.casa
74.120.14.30| 2 | scanner-02.ch1.censys-scanner.com
74.120.14.94| 2 | scanner-14.ch1.censys-scanner.com
167.248.133.87| 2 | scanner-15.ch1.censys-scanner.com
185.189.167.6| 2 |
192.241.213.57| 2 | zg-0729a-79.stretchoid.com
193.3.53.11| 2 |
71.6.135.131| 2 | soda.census.shodan.io
74.120.14.21| 2 | scanner-02.ch1.censys-scanner.com
74.120.14.85| 2 | scanner-14.ch1.censys-scanner.com
94.232.45.196| 2 | quand.meaningdeals.com
111.7.96.162| 2 |
167.99.97.96| 2 |
172.104.138.223| 2 | optout.scanopticon.com
212.192.241.212| 2 |
110.185.107.27| 2 |
162.142.125.91| 2 | scanner-13.ch1.censys-scanner.com
37.0.11.214| 2 |
47.94.139.162| 2 |
193.163.125.36| 2 | heartfelt.census.cyber.casa
74.120.14.67| 2 | scanner-11.ch1.censys-scanner.com
120.24.54.173| 2 |
123.160.221.8| 2 |
5.8.10.202| 2 |
193.163.125.63| 2 | enviable.census.cyber.casa
74.120.14.90| 2 | scanner-14.ch1.censys-scanner.com
106.12.218.175| 2 |
162.142.125.72| 2 | scanner-10.ch1.censys-scanner.com
39.105.147.202| 2 |
45.79.85.237| 2 | 45.79.85.237.li.binaryedge.ninja
192.241.210.45| 2 | zg-0729a-30.stretchoid.com
74.120.14.81| 2 | scanner-14.ch1.censys-scanner.com
159.75.134.227| 2 |
8.134.77.178| 2 |
193.163.125.41| 2 | lionhearted.census.cyber.casa
74.120.14.72| 2 | scanner-11.ch1.censys-scanner.com
106.15.190.91| 2 |
144.86.173.11| 2 |
188.166.254.212| 2 |
47.106.78.206| 2 |
66.240.205.34| 2 | malware-hunter.census.shodan.io
71.6.232.7| 2 | zx4.quadmetrics.com
209.141.59.157| 2 | exit08.oxds.org
144.86.173.93| 2 |
43.130.11.228| 2 |
89.248.168.112| 2 | security.criminalip.com
111.7.96.163| 2 |
185.180.143.98| 2 | sh-phx-us-gp1-wk110a.internet-census.org
45.155.193.79| 2 |
193.163.125.46| 2 | cool.census.cyber.casa
74.120.14.77| 2 | scanner-11.ch1.censys-scanner.com
101.133.155.225| 2 |
170.106.173.40| 2 |
178.73.215.171| 2 | 178-73-215-171-static.glesys.net
47.108.60.111| 2 |
121.43.54.204| 2 |
139.59.8.10| 2 |
71.6.199.23| 2 | einstein.census.shodan.io
74.120.14.91| 2 | scanner-14.ch1.censys-scanner.com
89.248.174.3| 2 | security.criminalip.com
125.64.94.136| 2 |
74.120.14.82| 2 | scanner-14.ch1.censys-scanner.com
167.71.234.134| 2 |
8.134.89.73| 2 |
47.97.40.214| 2 |
209.141.41.96| 2 |
144.86.173.13| 2 |
47.106.88.190| 2 |
49.235.75.101| 2 |
193.118.53.196| 2 | zl-ams-nl-gp3-wk101c.internet-census.org
193.163.125.33| 2 | virtuous.census.cyber.casa
66.240.219.146| 2 | burger.census.shodan.io
71.6.232.8| 2 | zx5.quadmetrics.com
162.142.125.78| 2 | scanner-10.ch1.censys-scanner.com
74.120.14.87| 2 | scanner-14.ch1.censys-scanner.com
94.232.45.198| 2 | tweeteconomy.meaningdeals.com
122.155.179.226| 2 |
144.86.173.79| 2 |
162.142.125.67| 2 | scanner-10.ch1.censys-scanner.com
162.142.125.165| 2 | scanner-23.ch1.censys-scanner.com
167.99.101.45| 2 |
167.248.133.80| 2 | scanner-15.ch1.censys-scanner.com
39.105.43.55| 2 |
192.241.214.162| 2 | zg-0729b-8.stretchoid.com
106.75.123.221| 2 |
120.78.195.201| 2 |
195.191.22.140| 2 |
74.120.14.69| 2 | scanner-11.ch1.censys-scanner.com
81.68.244.249| 2 |
221.130.106.5| 2 |
182.92.189.127| 2 |
188.166.8.133| 2 |
192.241.213.202| 2 | zg-0729a-124.stretchoid.com
47.105.69.122| 2 |
74.120.14.92| 2 | scanner-14.ch1.censys-scanner.com
79.124.62.25| 2 |
150.158.155.125| 2 |
185.189.167.4| 2 |
39.107.95.89| 2 |

Source Summary

source     | hostname  |packets|targets| all pkts | all trgs | first seen

---------------±----------±------±------±---------±---------±----------
222.161.223.54|cptt[.]net[.]cn| 52 | 1 | 5510 | 391 | 07-22-2021
96.33.208.248|pectrum[.]com| 40 | 1 | 51 | 2 | 08-14-2021
45.61.142.171|octovpn[.]net| 35 | 1 | 46 | 6 | 07-27-2021
73.201.166.193|comcast[.]net| 33 | 1 | 45 | 2 | 08-14-2021
103.145.13.80| | 28 | 1 | 64376 | 3716 | 07-26-2021
89.248.165.202|recyber[.]net| 27 | 1 | 339178 | 12758 | 07-08-2021
185.53.90.85| | 22 | 1 | 185139 | 7810 | 07-26-2021
45.155.150.74|[.]bialnet[.]pl| 22 | 1 | 2380 | 14 | 07-06-2021
205.185.116.49|mmtecss[.]net| 22 | 1 | 112814 | 1923 | 08-05-2021
141.98.10.123| | 21 | 1 | 828 | 144 | 07-29-2021
45.146.165.96| | 20 | 1 | 319992 | 12895 | 06-08-2021
104.219.250.64|hosting[.]com| 20 | 1 | 179061 | 2857 | 07-31-2021
193.107.216.129| | 19 | 1 | 311471 | 626 | 07-27-2021
103.145.13.25| | 19 | 1 | 52118 | 2638 | 07-26-2021
47.196.85.236| | 19 | 1 | 2 | 1 | 08-13-2021
90.24.76.240|[.]wanadoo[.]fr| 19 | 1 | 170 | 2 | 08-14-2021
64.227.11.251| | 18 | 1 | 3730 | 414 | 08-04-2021
89.248.165.38|recyber[.]net| 18 | 1 | 593 | 79 | 08-10-2021
177.124.98.188| | 18 | 1 | 76 | 3 | 08-14-2021
199.195.252.240| | 17 | 1 | 39501 | 852 | 08-06-2021

Om een en ander aan de praat te krijgen op IPv6 blijkt dat ik e.a. niet handig heb ingesteld.
Ik heb op de Raspberry Pi (hier verder afgekort als ‘Raspi’) twee websites draaien:

  • De hoofd-website (die gebruik ik ook voor het verkrijgen van de Let’s Encrypt certificaten):
    • Op IPv4 extern poort 80 naar Raspi poort 8085
    • Op IPv4 extern poort 443 naar Raspi poort 450
  • Een neven-website:
    • Op IPv4 intern op poort 80
    • Op IPv4 extern poort 8085 naar Raspi poort 443

Dat blijkt niet handig voor IPv6 omdat dan:

  • http: naar IPv6 adres dan zonder meer uitkomt op Raspi poort 80, de neven-website
  • https: naar IPv6 adres dan zonder meer uitkomt op Raspi poort 443, de neven-website

Op deze manier krijg ik dus IPv6 nooit naar de hoofdwebsite.
Dat ga ik dus veranderen denk ik.

  • Hoofdwebsite op de Raspi op poort 80 en 443, ook extern.
  • Neven-website op twee andere poorten b.v. 8085 en 455

En dan met reverse proxy op de Raspi webserver aan de gang om zaken als NAS.[mijn_domein_bij_freedom].nl of misschien beter NAS.home.[mijn_domein_bij_freedom].nl naar mijn NAS te laten wijzen.
Dat wordt nog wat google werk.
Als ik NAS.home.[mijn_domein_bij_freedom].nl, dan kan ik waarschijnlijk ook met HAproxy mogelijk in een keer met Ă©Ă©n certificaat (home.[mijn_domein_bij_freedom].nl) op Ă©Ă©n plek al mijn achterliggende apparatuur afdekken. Ten minste dat begrijp ik uit bovenstaand antwoord.
Of misschien wel home.[mijn_domein_bij_freedom].nl/NAS

Ja, dat kan werken, probeer als reverse proxy bij voorkeur HAProxy, die is een stuk efficienter dan anderen voor proxy verkeer en doet dat meestal ook veel beter.
Nginx kan het ook, maar is wat beperkter in het repertoire. Apache zou ik niet aan beginnen. (Nginx loopt qua performance overigens cirkels om Apache heen).

Let op dat sommige websites de poorten overnemen waarmee connectie gemaakt wordt terwijl de buiten wacht gewoon de naam zonder poort moet gebruiken. Dus ipv een andere poort gebruik alternatieve adressen op de loopback adapter. 127.0.1.1, 127.0.2.1, 127.0.3.1
 met als poort toch 443, 80 gebonden op IP adres.

Het omzetten van de poorten en het aanmaken van de A en AAAA records werkt.
De hoofdserver nu zowel extern als intern op 80 en 443.
wget op -6 moet ik wel met het https:// voorvoegsel doen. Maar werkt prima. Trouwens pas na paar uurtjes na aanmaken AAAA record en dan nog niet via alle verbindingen. Morgen weer eens proberen.

Hoef je blijkbaar ook niet moeilijk te doen met een vast IPv6 adres voor de Raspi te kiezen, zo te zien bestaat die optie niet eens in de Fritz!Box. Die optie is er alleen voor de IPv4 adressen.
Het IPv6 adres dat hij krijgt is simpel gebaseerd op het MAC adres van de Raspi, dus daarmee vast. Ik kan het dan gewoon bij het AAAA record invullen wat de Fritz!Box aangeeft:

  • abcd:efg:hijk:1:ABCD:EFGH:IJKL:MNOP
    samen is dat dan het IPv6 adres zoals dat genoemd staat als eerste lange adres bij ‘Home Network’, ‘Network’, [edit potlood], “IPv6 Addresses”
    waarbij:
    • abcd:efg:hijk:1
      IPv6 adres is van de huisaanluiting
    • ABCD:EFGH:IJKL:MNOP
      IPv6 interface ID van de Raspi

Volgende stap: proxy

Dat is niet helemaal juist, want je huisaansluiting heeft een /48 en de abcd:efg:hijk:1 is een /64.
Blijkbaar gebruikt de fritzbox standaard die 1 voor de IPv6 adressen die hij uitdeelt, maar je hebt dus nog 0xfffe van dat soort netwerken tot je beschikking :slight_smile:

Als je goed kijkt, dan komt ABCD:EFGH:IJKL:MNOP niet helemaal overeen. Want het MAC-adres is alleen maar in ABCD:EF [1] en KL:MNOP te herkennen en staat er voor GH:IJ altijd ff:fe.

[1] dit is ook niet helemaal waar, want er wordt nog 1 bit geflipt.

Dat is simpelweg wat de Fritz!Box me vertelt. Misschien dat met /48 bij XS4ALL wat anders is dan bij Freedom. En ik heb dat abcd:efg:hijk:1:ABCD:EFGH:IJKL:MNOP uit de Fritz!Box letterlijk in het AAAA record gekopieerd en dat werkt.
Verder schreef ik over MAC adres: “gebaseerd op”, dat is wat anders dan “is”,.
Het is WEL het IPv6 interface ID zoals dat genoemd staat in de Fritz!Box.

De belangrijkste boodschap was dat je het adres IPv6 adres niet kan wijzigen in de Fritz!Box en dat het blijkbaar al niet dymanisch is. Gewoon copy/paste naar het AAAA record.

Ik zie dat HAproxy echt iets voor specialisten is:
https://raspberry-hosting.com/en/faq/where-can-i-find-actual-haproxy-and-keepalived-deb-packages-raspberry-pi-and-how-i-install-high

Daar waag ik me maar even niet aan.

Het is me wel gelukt om via mijn huis IP direct op mijn NAS te komen. Echter, het lukt me nog niet om een (sub)domein aan te maken en die door te sturen naar mijn NAS. Dit kan ik volgens mij niet aanmaken via het systeem van Freedom (en antwoord op mijn mail heb ik nog altijd niet mogen ontvangen).

Had ook gezien, via een webpagina, wanneer ik mijn domein.nl verwijs naar mijn THUISIP dat mensen dit ook kunnen zien. Maar dat zal altijd wel zo zijn waarschijnlijk. Zou anders niet weten hoe ik die zou moeten verbergen. En dan nog de (sub)domein, die zou ik ook nog wel willen kunnen aanmaken.

Zie een persoonlijk bericht
Maar kort:

  • log in op je freedom hoofdaccount (@freedom.nl)
  • Kies in ‘Domeinen’ je domein
  • Kies ‘DNS instellingen’
  • Zet links bij ‘naam’ bijvoorbeeld: NAS
  • ‘Type’ A
  • Zet bij ‘Waarde’ het IPv4 adres van je thuisverbinding
  • Klik op “Domain DNS configuration toevoegen” rechts boven
  • Wacht eventueel een paar uur; dan zou het moeten werken. Type in je browser precies hetzelfde als je eerst deed, maar vervang dan alleen het IP adres door NAS.[je_domein].nl
1 like