Öppna en specifik port i en Router utan adressöversättning

Vi har i Brf garaget 10 laddboxar som behöver kommunicera till en molntjänst.

Alla 10 laddboxarna har egna IP-adresser från routern, nu ska TCP trafik för port 80 tillåtas in och ut.

Det är alltså inte "port forward in a NAT" vi är ute efter, utan att istället kunna öppna en specifik port i en routern utan adressöversättning.

Men det verkar inte funka i den Telia router vi har: Telia Wi-Fi router TG 799VAC

https://www.telia.se/privat/support/...outer-tg799vac

Förmodar att enklast är att köpa en ny router, men vilken bör vi välja isåfall?

Ser att Telias nyare routrar har något som kallas "trigger port" är det vad vi ska ha?

Hej Robbe-64,

Tänkte svara på din fråga så enkelt som möjligt.

Till er Telia router har du 1 publik IP address som man utifrån på internet kan nå, bakom routern har du troligtvis ca 250 ip addresser för saker du ansluter till routern så som laddboxarna men som inte går att nå via den publika ip addressen telia ger routern utan en portpekning / nat då routern är en brandvägg mellan dina saker bakom routern och internet.

Om alla boxarna ska gå att surfa till med port 80 som är http "http://publika ip telia" behöver du göra en nat pekning där du säger att till exempel port 8080 är port 80 till box 1 s interna ip och 8081 är port 80 till box 2s interna ip och så vidare för att sedan kunna nå dom utifrån på den publika ip:n "http://publika ip telia:8080" "http://publika ip telia:8081".

En fråga du ska ställa till installatören av boxarna är varför port 80 "http" ska vara öppen in mot boxarna ifrån hela internet, detta öppnar upp för säkerhetshål.
Utgående trafik brukar alltid vara öppen i alla internet leverantörers routrar som standard så boxarna kan redan nå internet och deras molntjänst.

Fråga även installatören om det är en molntjänst dom ska prata mot så borde boxarna ansluta till den utan port öppning in till routern alternativt att dom bygger ett open vpn nät ifrån box till molntjänst för framtida kunder ska slippa problem.

Annars är ju ett alternativ om dom nu ska ligga rakt ut på internet oskyddade att be telia om 10 publika ip addresser och sätta en switch istället för deras router där ni manuellt sätter respektive publik ip direkt i boxarna, då ligger dom rakt ut på internet och portpekning / brandväggar och säkerhet är ur bilden.

Skulle gissa att installatören vill ha port 80 öppen mot boxarna enbart för config / övervakning remote, och isåfall borde man installera en router som klarar vpn klienter där ni ger installatören en vpn användare i routern för att nå boxarna på insidan.

Lycka till och kräv svar ifrån installatör då det känns som man bara kastar upp boxar utan säkerhetstänk.

Ja tyvärr lovar ju säljarna av laddboxar att det är hur enkelt som helst. Elektrikern som gör installationen är ju ingen nätverkstekniker, och leverantören av laddboxarna säger bara att öppna port 80 så funkar allt.

Det är övervakning och remote inställningar som ska gå att göra från molntjänsten.

Vi har en separat anslutning från Telia som de kallar för fastighetsägartjänster, den är på 10Mbit/s.

Loggar jag in i routern ser jag att alla 10 laddboxarna har fått en IP-adress tilldelad på LAN-nätet.

Är det då adressöversättning med pekning i en NAT som ska göras?

Det går inte att sätta fasta IP-adresser på laddboxarna, men det kanske inte spelsar någon roll?

WAN Port 8080 destination LAN port 80 på 192.168.1.60
WAN Port 8081 destination LAN port 80 på 192.168.1.61
WAN Port 8082 destination LAN port 80 på 192.168.1.62
WAN Port 8083 destination LAN port 80 på 192.168.1.63
WAN Port 8084 destination LAN port 80 på 192.168.1.64
WAN Port 8085 destination LAN port 80 på 192.168.1.65
WAN Port 8086 destination LAN port 80 på 192.168.1.66
WAN Port 8087 destination LAN port 80 på 192.168.1.67
WAN Port 8088 destination LAN port 80 på 192.168.1.68

Hej,

Precis, då kommer dom nå boxarna på den publika ip:n till routern och respektive port över http.

Det man kan göra är att sätta fast ip via DHCP tjänsten i routern som delar ut ip adresserna till boxarna, så även om boxarna alltid frågar efter ny ip "DHCP" varje gång dom fått elavbrott så kommer routern ge respektive box samma ip baserat på Mac adressen den har, mac adress är unik för respektive box och du bör se dom i DHCP listan i routern med vilken IP dom nu har. En mac adress ser ut xx:xx:xx:xx:xx " med bokstäver och siffror vilket man brukar behöva ange för att sätta fast/statisk DHCP.

Kanske inte är så mycket man kan göra i config delen på boxarna som gör att det är känsligt att någon tar sig in i dom men ändå aldrig bra att lägga rakt ut på internet och med en osäker port som 80.
Beroende på om den telia routern klarar det och leverantörens molntjänst har för adress så skulle man i brandväggen kunna säga att enbart leverantörens molntjänst ip får nå dessa nat portar.

Det jag ville lyfta lite är att leverantören ska ha produkter som sina installatörer kan sätta upp på en säkert sätt, förstår att dom bara säger "öppna port 80 så funkar allt". Ungefär som låssmeden skulle säga att låt dörren vara olåst så funkar den att öppna.

Lycka till och bra jobbat

Mycket bra tråd. Det där känns som om leverantören bara vill komma undan en kostnad när de installerar laddboxarna genom att inte skicka ut en egen tekniker. Skulle inte alls förvåna mig att de säljer laddboxarna som "installerade och klara", i alla fall låter det lite så när TS beskriver det hela då leverantören sagt att det "är hur lätt som helst". För en som är invigd i leverantörens set up så visst, men det är ju knappast gemene man.

Jag jobbat själv med rätt avancerad bildintervention (röntgen) och jag tycker mitt jobb är rätt lätt, men å andra sidan har jag jobbat med det i +10 år samt har lång universitetsutbildning plus utbildning för de system jag jobbar i. Men för gemene man är det inte lätt då de inte har kunskap om hur det funkar.

Har du provat att se om tjänsten fungerar utan några specifika inställningar? Har svårt att se varför leverantören skulle behöva ha ingående anslutningar till boxarna, det borde räcka med att de kan initiera en anslutning ut till molnet, vilket de kan göra utan några speciella inställningar i routern.

Hur gick det sen då?