Thuisnetwerk vanaf buitenaf benaderen
5 augustus 2021 - 19:23   
geplaatst door: Dutchyb
Goeden avond,

wil graag advies hoe ik mijn huisnetwerk van mijn vakantieadres kan benaderen. Ik ben feeder (met een raspberry) voor verschillende sites. Ik kan de site zien via 192.xxx.xxx.xx
Als ik buiten mijn netwerk ben, krijg ik de melding dat de server niet te bereiken is.

Is het mogelijk om via software of op een andere manier toch mijn sites te zien? Ik gebruik een Fritzbox 7490 als modem.
Of wil ik iets wat niet mogelijk is?

Dus graag advies en raad

Schermafbeelding klein.pngThuisnetwerk vanaf buitenaf benaderen
Thuisnetwerk vanaf buitenaf benaderen
5 augustus 2021 - 19:38    reactie #1
geplaatst door: nnsa
Wat voor Server is het ?
Thuisnetwerk vanaf buitenaf benaderen
5 augustus 2021 - 19:43    reactie #2
geplaatst door: Dutchyb
Dank je wel voor je snelle respons. Denk dat ik het niet omschreven heb. Als ik probeer de pagina te openen buiten mijn eigen netwerk.
Krijg de melding op die pagina:
Problem fetching data from the server. Can't connect to server, check your network.

Mijn Pi staat in het netwerk, dus denk ik dat de Pi als een soort server wordt gezien.
Thuisnetwerk vanaf buitenaf benaderen
5 augustus 2021 - 19:46    reactie #3
geplaatst door: Sypie
Zoek eens op "portforwarding" en hoe je dat in niet stellen op je Fritzbox.

Daarna heb je nog je externe ip-adres nodig, die kun je vinden via www.whatismyip.com

Wat je dan nog moet weten is het ip-adres van je Rpi en het poortnummer wat gebruikt wordt voor je server. Doorgaans is poort 80 voor een webserver en 21 voor ftp. Zo zijn er nog ruim 64000 andere poorten.

Na het instellen van Fritzbox kun je dan je site benaderen via : http://extern-ip-adres:poortnummer

Het kan zijn dat dit niet werkt vanaf je eigen netwerk, dan moet je dat even testen via een andere verbinding, bijvoorbeeld een telefoon. Dit is een veelvoorkomend probleem met apparatuur die geen nat-loopback aan kan.
Thuisnetwerk vanaf buitenaf benaderen
5 augustus 2021 - 19:53    reactie #4
geplaatst door: Dutchyb
Dank je wel.

Ga het proberen. M'n Ip adres weet ik.
Ga zoeken op portforwarding.

Thuisnetwerk vanaf buitenaf benaderen
5 augustus 2021 - 20:09    reactie #5
geplaatst door: nnsa
Zoek ook nog even op beveiling. Want als jij van buitenaf kan inloggen, kunnen ‘anderen’ dat ook…

Vandaar de vraag ‘wat voor server’ (maar dat weet je ook niet zeker ?).

“dus denk ik dat de Pi als een soort server wordt gezien.”
Thuisnetwerk vanaf buitenaf benaderen
5 augustus 2021 - 20:23    reactie #6
geplaatst door: MacFrankie
M'n Ip adres weet ik.
Dan heb ik een verrassing voor jou: dat IP adres is niet 192.168.x.y.

Dat adres moet je instellen bij port forwarding voor HTTPS requests. Het adres van buitenaf vind je onder andere middels de link die Sypie gaf.
Op mijn werk heb ik al Windows, thuis wil ik geen systeembeheerder meer zijn!
Thuisnetwerk vanaf buitenaf benaderen
5 augustus 2021 - 20:25    reactie #7
geplaatst door: jaco123
Alternatief is dat je de VPN-functie van je fritzbox gebruikt om op je thuisnetwerk te komen.

Maar de tip van nnsa is denk ik de belangrijkste. Je lijkt (op basis van je antwoorden, ik kan het dus mis hebben) slechts vrij basale netwerkkennis te hebben. Dan moet je dus niet zomaar je thuisnetwerk open gaan zetten van buitenaf. Het internet is echt het wilde westen en als je jouw raspberry pi niet voldoende beveiligd hebt, maar wel port-forwarding aan zet, dan is die binnen een dag compleet overgenomen door hackers die alle apparaten in jouw thuisnetwerk inlijven voor hun bot-netwerken.

Bezint eer gij begint...
Thuisnetwerk vanaf buitenaf benaderen
5 augustus 2021 - 20:37    reactie #8
geplaatst door: nnsa
Thuisnetwerk vanaf buitenaf benaderen
5 augustus 2021 - 21:31    reactie #9
geplaatst door: Dutchyb
Dan heb ik een verrassing voor jou: dat IP adres is niet 192.168.x.y.

Dat adres moet je instellen bij port forwarding voor HTTPS requests. Het adres van buitenaf vind je onder andere middels de link die Sypie gaf.

Heb ook niet gezegd dat 192.xxx.xxx.xx mijn ip adres is. Dat is alleen het adres waar ik mijn site op zie. 192.xxx.xxx.xx:XX
Thuisnetwerk vanaf buitenaf benaderen
5 augustus 2021 - 21:32    reactie #10
geplaatst door: Dutchyb
Alternatief is dat je de VPN-functie van je fritzbox gebruikt om op je thuisnetwerk te komen.

Maar de tip van nnsa is denk ik de belangrijkste. Je lijkt (op basis van je antwoorden, ik kan het dus mis hebben) slechts vrij basale netwerkkennis te hebben. Dan moet je dus niet zomaar je thuisnetwerk open gaan zetten van buitenaf. Het internet is echt het wilde westen en als je jouw raspberry pi niet voldoende beveiligd hebt, maar wel port-forwarding aan zet, dan is die binnen een dag compleet overgenomen door hackers die alle apparaten in jouw thuisnetwerk inlijven voor hun bot-netwerken.

Bezint eer gij begint...


Klopt heb geen kennis van netwerken. Dus lijkt het me beter dat ik mijn vingers er niet aan brand
Thuisnetwerk vanaf buitenaf benaderen
5 augustus 2021 - 22:04    reactie #11
geplaatst door: eoms
Ik zou lekker vakantie gaan vieren  :thumbs-up:
Thuisnetwerk vanaf buitenaf benaderen
5 augustus 2021 - 22:06    reactie #12
geplaatst door: Dutchyb
Oh maar dat ga ik ook zeker doen. Hoopte op een redelijk "eenvoudige" oplossing, in ieder geval voor een leek
Weg met de overheid weg met de mensheid.
Thuisnetwerk vanaf buitenaf benaderen
6 augustus 2021 - 14:21    reactie #14
geplaatst door: Dutchyb
Heb vanmorgen veel gelezen over port forwarding en zoals Jaco al zei. bezint eer gij begint. Hij heeft helemaal gelijk. Gevaar van hackers is me veel te groot, nadat ik veel gelezen heb.

Hardstikke bedankt allemaal voor de raad. Zie er vanaf
Thuisnetwerk vanaf buitenaf benaderen
6 augustus 2021 - 21:32    reactie #15
geplaatst door: jaco123
 :thumbs-up:
Thuisnetwerk vanaf buitenaf benaderen
6 augustus 2021 - 22:11    reactie #16
geplaatst door: JaVaWa
Zo spannend is het ook weer niet hoor, en met de software van Fritz! is het makkelijk apparaten te delen zonder je hele netwerk open te gooien voor de buitenwereld. Zelf heb ik de Fritz!Box 5490, maar bij de 7490 zal het hoogstwaarschijnlijk op dezelfde manier werken.
Open de beheerpagina van de Fritz!Box en doorloop dan volgende stappen:
"Internet" > "Permit Access" > "Port Sharing"
"Add Device for Sharing"
Kies gewenste apparaat bij "Device", dat is dan je Raspberry Pi.
"Permit independent port sharing for this device" NIET aanvinken

Nu kun je het apparaat helemaal open zetten naar het internet door "Open this device completely for internet sharing via IPv4 (exposed host)" aan te vinken, maar dat is niet zo veilig voor dat apparaat (het heeft overigens geen gevolgen voor de rest van je netwerk). Zou ik persoonlijk nooit doen. Verstandiger is het om alleen de gebruikte protocollen en poorten van de dienst die je wilt delen beschikbaar te stellen. Dat doe je via de knop "New Sharing", kies dan "Port Sharing". Wat je nu moet invullen is afhankelijk van hetgeen je wilt delen. Als dat een website is, dan kies je bij "Application" "HTTP server", de rest wordt automatisch ingevuld en zal doorgaans correct zijn. Vink "Enable sharing" aan.
Nu een paar keer op OK-knoppen klikken en het is geregeld.

Na het instellen van Fritzbox kun je dan je site benaderen via : http://extern-ip-adres:poortnummer
Als de webserver de standaard poort (80) gebruikt hoef je die niet in te vullen, http://extern-ip-adres is voldoende.

Of over gaan op een Nas.
Om een Nas te gebruiken moet je evengoed je router instellen om die van buiten beschikbaar te maken. In dit geval heeft een Nas geen toegevoegde waarde, het gaat om een webserver die TS al heeft (de Raspberry Pi).
Thuisnetwerk vanaf buitenaf benaderen
7 augustus 2021 - 00:52    reactie #17
geplaatst door: Mathy
Hallo Dutchyb

AVM, de maker van de FritzBox, heeft een knowledge base, waarin heel veel informatie staat.  Zie hier: https://nl.avm.de/service/fritzbox/knowledge-base/

groetjes

Mathy
Thuisnetwerk vanaf buitenaf benaderen
7 augustus 2021 - 09:23    reactie #18
geplaatst door: MacFrankie
Om een Nas te gebruiken moet je evengoed je router instellen om die van buiten beschikbaar te maken.
Nee, dit hoeft niet altijd als je (de bestanden van) je NAS van buitenaf wilt benaderen.

Synology heeft een QuickConnect optie, welke gebruik maakt van dat je NAS af en toe via de QuickConnect site checkt of iemand contact wil maken. Het initiatief komt van je NAS, er hoeft geen poort open te staan.
Op mijn werk heb ik al Windows, thuis wil ik geen systeembeheerder meer zijn!
Thuisnetwerk vanaf buitenaf benaderen
7 augustus 2021 - 10:11    reactie #19
geplaatst door: slechtkwast
Goed omschreven. 👍🏽
Weg met de overheid weg met de mensheid.
Thuisnetwerk vanaf buitenaf benaderen
7 augustus 2021 - 14:47    reactie #20
geplaatst door: jaco123
Nu kun je het apparaat helemaal open zetten naar het internet door "Open this device completely for internet sharing via IPv4 (exposed host)" aan te vinken, maar dat is niet zo veilig voor dat apparaat (het heeft overigens geen gevolgen voor de rest van je netwerk). Zou ik persoonlijk nooit doen. Verstandiger is het om alleen de gebruikte protocollen en poorten van de dienst die je wilt delen beschikbaar te stellen. Dat doe je via de knop "New Sharing", kies dan "Port Sharing". Wat je nu moet invullen is afhankelijk van hetgeen je wilt delen. Als dat een website is, dan kies je bij "Application" "HTTP server", de rest wordt automatisch ingevuld en zal doorgaans correct zijn. Vink "Enable sharing" aan.
Dat het geen gevolgen heeft voor de rest van je netwerk is in eerste instantie misschien wel waar, maar dat het daar bij zou blijven is wel erg optimistisch. Neem het volgende scenario:
- Raspberry Pi draait oude/lekke/onveilig geconfigureerde webserver
- Port forwarding staat open naar deze webserver
- hacker verschaft zichzelf middels bekende kwetsbaarheid toegang tot de raspberry pi

Wat denk je dat er dan gebeurt? Eerstvolgende wat de hacker gaat doen is onderzoeken waar hij terecht is gekomen. De raspberry pi heeft hoogstwaarschijnlijk toegang tot alle apparaten in je thuisnetwerk. Een hacker zal dan vanaf de raspberry pi gaan scannen op kwetsbare systemen in je hele thuisnetwerk en zo niet alleen je thuisnetwerk in kaart krijgen, maar ook precies weten welke systemen er kwetsbaar zijn omdat je er nog niet aan toegekomen was om de security-updates te installeren (of erger nog: de apparaten waar de leverancier al jaren geen updates meer voor uitbrengt...)

(een beetje script-kiddy doet bovenstaande sneller dan het mij kostte om het in te typen, dat is allemaal geautomatiseerd tegenwoordig...)

Kortom:
ALS je een apparaat via internet ontsluit, dan moet je óf:
- zorgen dat dat apparaat super-secure geconfigureerd is, liefst geïsoleerd van de rest van je thuisnetwerk en je moet security-patches direct installeren, of als je niet weet hoe dat moet en/of daar geen zin in hebt:
- zorgen dat alle andere apparaten in je thuisnetwerk altijd voorzien zijn van de laatste security-updates, zodat je nog een beetje beschermd wordt.

Bedenk dus: als je de deur op een klein kiertje openzet, dan denderen de hackers gelijk met een tank naar binnen...


Thuisnetwerk vanaf buitenaf benaderen
7 augustus 2021 - 16:46    reactie #21
geplaatst door: JaVaWa
Je maakt het wel dramatischer dan het in de praktijk is...
Ja, je moet zorgen dat de software op de Rpi actueel is, en ja, ze gaan proberen om in te breken. Ik heb zelf een Rpi al ruim 3 jaar draaien, en er wordt dagelijks tientallen keren een hackpoging ondernomen. Ze zijn echter nog nooit binnen gekomen (ik bedenk me dat het al een tijdje geleden is dat ik gecontroleerd heb op software updates; zo maar even doen).
Op de Fritz!Box heb ik de mogelijkheid om een apparaat in een DMZ te zetten niet ontdekt, maar je kunt natuurlijk wel zorgen dat de Rpi verbinding maakt met het gastnetwerk (kan zowel bedraad als draadloos). Er is een scheiding tussen het gewone en het gastnetwerk, zodat de andere apparaten nooit bereikt kunnen worden.
Thuisnetwerk vanaf buitenaf benaderen
7 augustus 2021 - 17:24    reactie #22
geplaatst door: Dutchyb
Pfff........,

het wordt voor mij nu wel erg ingewikkeld. Als ik de diverse sites lees, dan is het forwards inderdaad niet erg slim. Als ik nu hier alles lees, zou het wel. ogelijk zijn, mits......
IK ben zoals ik al aangaf een leek, en het lijkt me voor mij bijna onmogelijk het zo te structureren dat het veilig is.
M'n Pi draait op de software van Flightaware, natuurlijk mn password gewijzigd. Mn Fritzbox houd ik up tp date. Maar vanaf hier stopt mijn kennis. Zelfs met de handleiding vanAVM lijkt me het risico te hoog omdat ik wel alles kan doen wat er beschreven wordt, maar ik snap niet alles wat ik doe :sad:
Thuisnetwerk vanaf buitenaf benaderen
7 augustus 2021 - 23:45    reactie #23
geplaatst door: jaco123
Je maakt het wel dramatischer dan het in de praktijk is...
Misschien ben ik overmatig bezorgd, maar dat baseer ik dan op een stukje achtergrondkennis rondom security-aspecten en ethical hacking. De meeste mensen hebben geen idee hoe belachelijk krachtig de hedendaagse hack-tools zijn, waarbij ze ook nog eens simpel te bedienen en erg gebruikersvriendelijk zijn.....

Citaat
Ja, je moet zorgen dat de software op de Rpi actueel is, en ja, ze gaan proberen om in te breken.
Dat is dus iets wat 90% van de mensen niet tussen de oren hebben zitten die even een poortje openzetten omdat dat zo handig is. Je haalt jezelf een extra beheertaak op je hals waar de meeste mensen simpelweg niet de discipline en/of interesse voor hebben.

Citaat
Ik heb zelf een Rpi al ruim 3 jaar draaien, en er wordt dagelijks tientallen keren een hackpoging ondernomen. Ze zijn echter nog nooit binnen gekomen (ik bedenk me dat het al een tijdje geleden is dat ik gecontroleerd heb op software updates; zo maar even doen).
Hoe weet je dat ze nooit binnengekomen zijn?

Citaat
Op de Fritz!Box heb ik de mogelijkheid om een apparaat in een DMZ te zetten niet ontdekt,
Klopt, dat zit er ook niet in. Wat niet wil zeggen dat je je eigen netwerk zo in zou kunnen richten dat je een apart vlan hebt voor apparaten die via internet te benaderen zijn (maar dat gaat veel te ver voor Dutchyb).

Citaat
maar je kunt natuurlijk wel zorgen dat de Rpi verbinding maakt met het gastnetwerk (kan zowel bedraad als draadloos). Er is een scheiding tussen het gewone en het gastnetwerk, zodat de andere apparaten nooit bereikt kunnen worden.
Dat is een prima suggestie. Ik had me niet gerealiseerd dat je port-forwarding ook in het gastennetwerk kunt gebruiken.
Zorg dan ook dat je de instelling van je gastennetwerk zo instelt dat de gast-gebruikers elkaar niet kunnen bereiken. Dan is de fritz-box prima in staat om de routering zo te doen dat je de raspberry pi effectief geïsoleerd hebt.
(het betekent dan overigens wél dat je vanuit je thuisnetwerk je raspberry pi ook niet meer kunt bereiken (of misschien alleen via het externe adres, nooit geprobeerd), dat is misschien ook weer niet de bedoeling?)
Thuisnetwerk vanaf buitenaf benaderen
8 augustus 2021 - 02:02    reactie #24
geplaatst door: JaVaWa
Hmm, port-forwarding gaat helaas toch niet met clients in het gast-netwerk; da's jammer. Je zou het wel kunnen omdraaien (al de gewone clients in het gast-netwerk en alleen de Rpi in het gewone netwerk), maar dat maakt het toch lastiger; zeker als je de nodige bedrade clients hebt (je kunt maar één aansluiting voor het gast-netwerk gebruiken)
Je kunt zo de Rpi wel isoleren, maar je maakt het beheer ook lastiger. Nu staat bij mij alleen poort 80 open (die is trouwens prima vanaf je eigen netwerk bereikbaar via het externe IP-adres), en gaat al het andere (zoals SSH) via het interne netwerk. Als de Rpi geïsoleerd is van de rest moet alles via het externe IP lopen en moet je dus meer poorten open zetten. En dan ook beslist de standaard wachtwoorden aanpassen! Dat vergeten gebruikers nogal eens...

Aan de andere kant, dingen die voor mij logisch en simpel zijn, zullen voor veel anderen abracadabra lijken waar ze geen touw aan vast kunnen knopen. Dat maakt het risico op fouten beslist groter, en is het bij nader inzien misschien toch niet zo'n goed idee voor Dutchyb.

Andere benadering: als ik het goed heb is er sprake van een Rpi in combinatie met een ADS-B receiver (mogelijk zoiets als dit: https://www.sossolutions.nl/raspberry-fa-kit )
@Dutchyb: verzamel je die info voor jezelf, of wordt deze ook realtime naar elders gestuurd? (Ik weet niet precies wat je bedoelt met "Ik ben feeder ... voor verschillende sites")
Als het alleen voor jezelf is: misschien kun je de RPi gewoon meenemen? Dan maak je op lokatie gewoon een mini-netwerkje met bijv. een mifi-router...