Discussion:
UDP poort testen
(te oud om op te antwoorden)
Paul van der Vlis
2008-12-11 11:25:02 UTC
Permalink
Hallo,

Hoe kan ik testen of een UDP poort openstaat?
Er zou een openVPN server achter moeten zitten.

Normaal doe ik zoiets met telnet, maar bij UDP wil dat niet voor zover
ik weet.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Huub Reuver
2008-12-11 11:32:18 UTC
Permalink
Post by Paul van der Vlis
Hallo,
Hoe kan ik testen of een UDP poort openstaat?
Er zou een openVPN server achter moeten zitten.
Normaal doe ik zoiets met telnet, maar bij UDP wil dat niet voor zover
ik weet.
Met vriendelijke groet,
Paul van der Vlis.
Heb je al geprobeerd met netcat (man nc)?

Omdat UDP-connectionless is kan het noodzakelijk zijn een inetd-job aan
te maken welke een connectie terug kan opvangen. Maar misschien heb jij
aan een ipfilteri genoeg.

Met vriendelijke groet,
Huub Reuver
Paul van der Vlis
2008-12-12 09:47:23 UTC
Permalink
Post by Huub Reuver
Post by Paul van der Vlis
Hallo,
Hoe kan ik testen of een UDP poort openstaat?
Er zou een openVPN server achter moeten zitten.
Normaal doe ik zoiets met telnet, maar bij UDP wil dat niet voor zover
ik weet.
Met vriendelijke groet,
Paul van der Vlis.
Heb je al geprobeerd met netcat (man nc)?
Ik ben er na jouw mailtje een beetje mee aan het spelen geweest, maar
heb nog geen goede methode gevonden.
Post by Huub Reuver
Omdat UDP-connectionless is kan het noodzakelijk zijn een inetd-job aan
te maken welke een connectie terug kan opvangen. Maar misschien heb jij
aan een ipfilteri genoeg.
Ik heb de firewall op "alles loggen" ingesteld en zie geen verkeer
binnenkomen op mijn pogingen om te connecten. Ik verdenk daarom dat de
router niet goed geforward is (die router regelt iemand anders).

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Philip Paeps
2008-12-12 09:59:16 UTC
Permalink
Post by Paul van der Vlis
Post by Huub Reuver
Post by Paul van der Vlis
Hallo,
Hoe kan ik testen of een UDP poort openstaat?
Er zou een openVPN server achter moeten zitten.
Normaal doe ik zoiets met telnet, maar bij UDP wil dat niet voor zover
ik weet.
Met vriendelijke groet,
Paul van der Vlis.
Heb je al geprobeerd met netcat (man nc)?
Ik ben er na jouw mailtje een beetje mee aan het spelen geweest, maar
heb nog geen goede methode gevonden.
Post by Huub Reuver
Omdat UDP-connectionless is kan het noodzakelijk zijn een inetd-job aan
te maken welke een connectie terug kan opvangen. Maar misschien heb jij
aan een ipfilteri genoeg.
Ik heb de firewall op "alles loggen" ingesteld en zie geen verkeer
binnenkomen op mijn pogingen om te connecten. Ik verdenk daarom dat de
router niet goed geforward is (die router regelt iemand anders).
UDP is connectionless. Een connect(2) op een datagram socket vult enkel een
paar veldjes in de pcb structuur in. Je zult effectief een datagram moeten
sturen om de poort te testen.

nmap stuurt datagrams met een herkenbare IP header en gaat dan kijken naar
ICMP port unreachable responses.

De versie van netcat die ik heb (er zijn er verschillende, kijk die van jou
na) luistert niet naar ICMP messages waardoor je niet veel gaat zien.

- Philip
--
Philip Paeps Please don't email any replies
***@paeps.cx I follow the newsgroup.

"I like the idea of democracy. You have to have someone everyone
distrusts," said Brutha. "That way, everyone's happy."
-- (Terry Pratchett, Small Gods)
richard lucassen
2008-12-12 10:25:25 UTC
Permalink
On 12 Dec 2008 09:59:16 GMT
Post by Philip Paeps
De versie van netcat die ik heb (er zijn er verschillende, kijk die
van jou na) luistert niet naar ICMP messages waardoor je niet veel
gaat zien.
Met nc kun je makkelijk tetsen of de router roet in het eten gooit:

op de client:

nc -u 192.168.64.1 5000
tik hier tekst<enter>

en op de server 192.168.64.1:

nc -l -u -p 5000
tik hier tekst
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Ruben van der Leij
2008-12-11 18:25:30 UTC
Permalink
Post by Paul van der Vlis
Hoe kan ik testen of een UDP poort openstaat?
Er zou een openVPN server achter moeten zitten.
$ sudo nmap -sU 127.0.0.1
Password:

Starting Nmap 4.20 ( http://insecure.org ) at 2008-12-11 19:24 CET
Interesting ports on localhost.localdomain (127.0.0.1):
Not shown: 1486 closed ports
PORT STATE SERVICE
53/udp open|filtered domain
123/udp open|filtered ntp

Nmap finished: 1 IP address (1 host up) scanned in 1.249 seconds
--
Ruben

Harrison's Postulate: For every action, there is an equal and opposite criticism.
Ximinez
2008-12-11 18:59:48 UTC
Permalink
Post by Ruben van der Leij
Post by Paul van der Vlis
Hoe kan ik testen of een UDP poort openstaat?
Er zou een openVPN server achter moeten zitten.
$ sudo nmap -sU 127.0.0.1
Starting Nmap 4.20 ( http://insecure.org ) at 2008-12-11 19:24 CET
Not shown: 1486 closed ports
PORT STATE SERVICE
53/udp open|filtered domain
123/udp open|filtered ntp
Nmap finished: 1 IP address (1 host up) scanned in 1.249 seconds
Hoe werkt een UDP scan eigenlijk? Een tcp scan begrijp ik wel, je stuurt
een pakketje en je krijgt er een terug. Maar een UDP service kan toch
alleen luisteren en geen antwoord geven, zeker als de ontvangen data
niet in het juiste formaat zijn.

Hoe scan je zoiets dan?

X.
Philip Paeps
2008-12-11 21:04:51 UTC
Permalink
Post by Ximinez
Post by Ruben van der Leij
Post by Paul van der Vlis
Hoe kan ik testen of een UDP poort openstaat?
Er zou een openVPN server achter moeten zitten.
$ sudo nmap -sU 127.0.0.1
Starting Nmap 4.20 ( http://insecure.org ) at 2008-12-11 19:24 CET
Not shown: 1486 closed ports
PORT STATE SERVICE
53/udp open|filtered domain
123/udp open|filtered ntp
Nmap finished: 1 IP address (1 host up) scanned in 1.249 seconds
Hoe werkt een UDP scan eigenlijk? Een tcp scan begrijp ik wel, je stuurt
een pakketje en je krijgt er een terug. Maar een UDP service kan toch
alleen luisteren en geen antwoord geven, zeker als de ontvangen data
niet in het juiste formaat zijn.
Hoe scan je zoiets dan?
Door naar ICMP te luisteren.

Lees ook section 6.5 in volume 1 van de Verplichte Literatuur.

- Philip
--
Philip Paeps Please don't email any replies
***@paeps.cx I follow the newsgroup.

If you smile when everything goes wrong, you are
either a nitwit or a repairman.
Ruben van der Leij
2008-12-12 00:30:54 UTC
Permalink
Post by Philip Paeps
Post by Ximinez
Post by Ruben van der Leij
53/udp open|filtered domain
123/udp open|filtered ntp
Hoe werkt een UDP scan eigenlijk? Een tcp scan begrijp ik wel, je stuurt
een pakketje en je krijgt er een terug. Maar een UDP service kan toch
alleen luisteren en geen antwoord geven, zeker als de ontvangen data
niet in het juiste formaat zijn.
Hoe scan je zoiets dan?
Door naar ICMP te luisteren.
Inderdaad. UDP naar een *gesloten* UDP-poort geeft je een ICMP destination
port unreachable, en als je goed kijkt zie je dat nmap het verschil tussen
'open' en filtered niet kan maken. Die poorten antwoorden niet, dus ze zijn
open of gefiltert. :)
--
Ruben

Harrison's Postulate: For every action, there is an equal and opposite criticism.
Paul van der Vlis
2008-12-12 09:58:43 UTC
Permalink
Post by Ruben van der Leij
Post by Philip Paeps
Post by Ximinez
Post by Ruben van der Leij
53/udp open|filtered domain
123/udp open|filtered ntp
Hoe werkt een UDP scan eigenlijk? Een tcp scan begrijp ik wel, je stuurt
een pakketje en je krijgt er een terug. Maar een UDP service kan toch
alleen luisteren en geen antwoord geven, zeker als de ontvangen data
niet in het juiste formaat zijn.
Hoe scan je zoiets dan?
Door naar ICMP te luisteren.
Inderdaad. UDP naar een *gesloten* UDP-poort geeft je een ICMP destination
port unreachable, en als je goed kijkt zie je dat nmap het verschil tussen
'open' en filtered niet kan maken. Die poorten antwoorden niet, dus ze zijn
open of gefiltert. :)
Ha, door de poort dicht te zetten en een specifieke poort op te geven
zie ik wel een verschil:

---------------------
linuxserver:~# nmap -sU -p 1194 127.0.0.1

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2008-12-12 10:50 CET
Interesting ports on localhost.localdomain (127.0.0.1):
PORT STATE SERVICE
1194/udp open|filtered unknown

Nmap finished: 1 IP address (1 host up) scanned in 2.049 seconds
linuxserver:~# /etc/init.d/openvpn stop
Stopping virtual private network daemon: server.
linuxserver:~# nmap -sU -p 1194 127.0.0.1

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2008-12-12 10:51 CET
Interesting ports on localhost.localdomain (127.0.0.1):
PORT STATE SERVICE
1194/udp closed unknown

Nmap finished: 1 IP address (1 host up) scanned in 0.034 seconds
---------------------

Datzelfde kon ik ook doen vanaf remote, waardoor ik zag dat een dichte
poort daar geen "closed" opleverde. Kortom, het signaal komt niet door.

Bedankt voor de tips en de uitleg.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Philip Paeps
2008-12-12 10:03:20 UTC
Permalink
Post by Ruben van der Leij
Post by Philip Paeps
Post by Ximinez
Post by Ruben van der Leij
53/udp open|filtered domain
123/udp open|filtered ntp
Hoe werkt een UDP scan eigenlijk? Een tcp scan begrijp ik wel, je stuurt
een pakketje en je krijgt er een terug. Maar een UDP service kan toch
alleen luisteren en geen antwoord geven, zeker als de ontvangen data
niet in het juiste formaat zijn.
Hoe scan je zoiets dan?
Door naar ICMP te luisteren.
Inderdaad. UDP naar een *gesloten* UDP-poort geeft je een ICMP destination
port unreachable, en als je goed kijkt zie je dat nmap het verschil tussen
'open' en filtered niet kan maken. Die poorten antwoorden niet, dus ze zijn
open of gefiltert. :)
Merk ook op dat er veel prutsers op het internet zitten die in de waan
verkeren dat ICMP gevaarlijk is (hackers, weet je wel, ze zouden je kunnen
pingen, en dat is vreselijk slecht!) en gewoon alle ICMP traffiek naar de
bitbucket sturen.

Ik blijf erbij dat er een toegangsexamen zou moeten zijn voor mensen een
firewall of iets dergelijks zouden mogen configureren.

Er zijn mensen die dat doen die nog NOOIT een RFC gelezen hebben of van wijlen
Stevens gehoord hebben. Beangstigend. Niet gehinderd door enige kennis van
zaken maken zij het internet gewoon kapot.

- Philip
--
Philip Paeps Please don't email any replies
***@paeps.cx I follow the newsgroup.

Nothing is impossible for the person who doesn't have
to do it himself/herself.
unknown
2008-12-12 10:16:20 UTC
Permalink
Post by Philip Paeps
Er zijn mensen die dat doen die nog NOOIT een RFC gelezen hebben of van
wijlen Stevens gehoord hebben. Beangstigend. Niet gehinderd door enige
kennis van zaken maken zij het internet gewoon kapot.
Ik snap ook niet hoe je het nog vol kunt houden, ik heb dat hele internet
al jaren geleden opgegeven!
--
robert
Ximinez
2008-12-12 18:29:27 UTC
Permalink
Post by Philip Paeps
Post by Ruben van der Leij
Post by Philip Paeps
Post by Ximinez
Post by Ruben van der Leij
53/udp open|filtered domain
123/udp open|filtered ntp
Hoe werkt een UDP scan eigenlijk? Een tcp scan begrijp ik wel, je stuurt
een pakketje en je krijgt er een terug. Maar een UDP service kan toch
alleen luisteren en geen antwoord geven, zeker als de ontvangen data
niet in het juiste formaat zijn.
Hoe scan je zoiets dan?
Door naar ICMP te luisteren.
Inderdaad. UDP naar een *gesloten* UDP-poort geeft je een ICMP destination
port unreachable, en als je goed kijkt zie je dat nmap het verschil tussen
'open' en filtered niet kan maken. Die poorten antwoorden niet, dus ze zijn
open of gefiltert. :)
Duidelijk. Op mijn systemen is er dus inderdaad geen verschil te zien,
die poorten zijn of open of gefilterd.
Post by Philip Paeps
Merk ook op dat er veel prutsers op het internet zitten die in de waan
verkeren dat ICMP gevaarlijk is (hackers, weet je wel, ze zouden je kunnen
pingen, en dat is vreselijk slecht!) en gewoon alle ICMP traffiek naar de
bitbucket sturen.
Ik blijf erbij dat er een toegangsexamen zou moeten zijn voor mensen een
firewall of iets dergelijks zouden mogen configureren.
Er zijn mensen die dat doen die nog NOOIT een RFC gelezen hebben of van wijlen
Stevens gehoord hebben. Beangstigend. Niet gehinderd door enige kennis van
zaken maken zij het internet gewoon kapot.
Verschrikkelijk inderdaad, bijna net zo erg als mensen die gefiltert met
een t schrijven. Die maken de taal gewoon kapot! En dan hebben we het
nog niet eens over onzorgvuldig quoten!

X.

Paul van der Vlis
2008-12-12 09:45:28 UTC
Permalink
Post by Ruben van der Leij
Post by Paul van der Vlis
Hoe kan ik testen of een UDP poort openstaat?
Er zou een openVPN server achter moeten zitten.
$ sudo nmap -sU 127.0.0.1
Starting Nmap 4.20 ( http://insecure.org ) at 2008-12-11 19:24 CET
Not shown: 1486 closed ports
PORT STATE SERVICE
53/udp open|filtered domain
123/udp open|filtered ntp
Nmap finished: 1 IP address (1 host up) scanned in 1.249 seconds
Ik zie met deze test naar localhost de poort van openVPN niet openstaan,
niet op het systeem waarmee ik problemen heb, maar ook niet op andere
systemen waar openVPN prima werkt.

Verder was ik eigenlijk op zoek naar een test die ik vanaf een remote
host kon uitvoeren, want ik verdenk de router.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
richard lucassen
2008-12-12 10:12:41 UTC
Permalink
On Fri, 12 Dec 2008 10:45:28 +0100
Post by Paul van der Vlis
Post by Ruben van der Leij
Starting Nmap 4.20 ( http://insecure.org ) at 2008-12-11 19:24 CET
Not shown: 1486 closed ports
PORT STATE SERVICE
53/udp open|filtered domain
123/udp open|filtered ntp
Nmap finished: 1 IP address (1 host up) scanned in 1.249 seconds
Ik zie met deze test naar localhost de poort van openVPN niet
openstaan, niet op het systeem waarmee ik problemen heb, maar ook niet
op andere systemen waar openVPN prima werkt.
Verder was ik eigenlijk op zoek naar een test die ik vanaf een remote
host kon uitvoeren, want ik verdenk de router.
Is het een openvpn server met meerdere gateways? Zo ja, dan moet je bij
OpenVPN de optie "multihome" aanzetten zodat de udp pakketten dezelfde
gateway uitgaan als waar ze op binnenkomen. Connectionmark-tracking
werkt daar niet mee namelijk (tcp wel uiteraard)

Overigens geeft OpenVPN bij "verb 3" al aardig wat info in syslog om te
weten wat er speelt.

Tip: zet 'm eens op tcp, dan weet je of het probleem een udp issue is.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
richard lucassen
2008-12-12 10:14:13 UTC
Permalink
On Fri, 12 Dec 2008 11:12:41 +0100
Post by richard lucassen
Tip: zet 'm eens op tcp, dan weet je of het probleem een udp issue is.
want sommige routers (Siemens 5890) gaan niet goed om met udp als er NAT
in het spel is. tcp is dan een workaround.

R.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Paul van der Vlis
2008-12-12 14:09:18 UTC
Permalink
Post by richard lucassen
On Fri, 12 Dec 2008 10:45:28 +0100
Post by Paul van der Vlis
Post by Ruben van der Leij
Starting Nmap 4.20 ( http://insecure.org ) at 2008-12-11 19:24 CET
Not shown: 1486 closed ports
PORT STATE SERVICE
53/udp open|filtered domain
123/udp open|filtered ntp
Nmap finished: 1 IP address (1 host up) scanned in 1.249 seconds
Ik zie met deze test naar localhost de poort van openVPN niet
openstaan, niet op het systeem waarmee ik problemen heb, maar ook niet
op andere systemen waar openVPN prima werkt.
Verder was ik eigenlijk op zoek naar een test die ik vanaf een remote
host kon uitvoeren, want ik verdenk de router.
Is het een openvpn server met meerdere gateways? Zo ja, dan moet je bij
OpenVPN de optie "multihome" aanzetten zodat de udp pakketten dezelfde
gateway uitgaan als waar ze op binnenkomen. Connectionmark-tracking
werkt daar niet mee namelijk (tcp wel uiteraard)
De VPN-server heeft maar 1 gateway, maar de router heeft wel 2 gateways,
want ze hebben daar 2 ADSL providers. Het werkt via beide niet.
Post by richard lucassen
Overigens geeft OpenVPN bij "verb 3" al aardig wat info in syslog om te
weten wat er speelt.
Zou ik nog kunnen proberen, maar ik heb het idee dat er gewoon niks
binnenkomt.
Post by richard lucassen
Tip: zet 'm eens op tcp, dan weet je of het probleem een udp issue is.
Zal ik gaan proberen als dit niet lukt.
Wat is ook alweer het nadeel van TCP?

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
richard lucassen
2008-12-12 14:47:54 UTC
Permalink
On Fri, 12 Dec 2008 15:09:18 +0100
Post by Paul van der Vlis
De VPN-server heeft maar 1 gateway, maar de router heeft wel 2
gateways, want ze hebben daar 2 ADSL providers. Het werkt via beide
niet.
Waarom laat je het die Linuxdoos niet oplossen?
Post by Paul van der Vlis
Post by richard lucassen
Overigens geeft OpenVPN bij "verb 3" al aardig wat info in syslog om
te weten wat er speelt.
Zou ik nog kunnen proberen, maar ik heb het idee dat er gewoon niks
binnenkomt.
Post by richard lucassen
Tip: zet 'm eens op tcp, dan weet je of het probleem een udp issue is.
Zal ik gaan proberen als dit niet lukt.
Wat is ook alweer het nadeel van TCP?
Als je met OpenVPN met de optie "float" en udp werkt kan de client van
ip wisselen met een kortstondige onderbreking van de tunnel. Geen idee
of je dat wilt. Udp houdt ook z'n smoel als je 'm aanspreekt, tcp geeft
een SYN-ACK na een SYN pakket. OpenVPN verraad zich min of meer ook met
een simpele telnet naar de tcp poort.

En met 443/tcp kun je de meeste proxies foppen ;-)

Heb je een speciale reden om udp te gebruiken?
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Paul van der Vlis
2008-12-12 15:53:36 UTC
Permalink
Post by richard lucassen
On Fri, 12 Dec 2008 15:09:18 +0100
Post by Paul van der Vlis
De VPN-server heeft maar 1 gateway, maar de router heeft wel 2
gateways, want ze hebben daar 2 ADSL providers. Het werkt via beide
niet.
Waarom laat je het die Linuxdoos niet oplossen?
Goeie vraag. Een punt is dat die Linuxdoos daar oud & gammel is, als hij
uitvalt zou ook het internet uitvallen.

Wat ik verder een punt vind (meer algemeen), dat ISP's totaal geen
support willen geven als er een Linux router staat. Daarom heb ik enige
voorkeur voor een router van hen. Als er dan problemen zijn met internet
hebben ze alles in de hand.
Post by richard lucassen
Post by Paul van der Vlis
Post by richard lucassen
Overigens geeft OpenVPN bij "verb 3" al aardig wat info in syslog om
te weten wat er speelt.
Zou ik nog kunnen proberen, maar ik heb het idee dat er gewoon niks
binnenkomt.
Post by richard lucassen
Tip: zet 'm eens op tcp, dan weet je of het probleem een udp issue is.
Zal ik gaan proberen als dit niet lukt.
Wat is ook alweer het nadeel van TCP?
Als je met OpenVPN met de optie "float" en udp werkt kan de client van
ip wisselen met een kortstondige onderbreking van de tunnel. Geen idee
of je dat wilt. Udp houdt ook z'n smoel als je 'm aanspreekt, tcp geeft
een SYN-ACK na een SYN pakket. OpenVPN verraad zich min of meer ook met
een simpele telnet naar de tcp poort.
En met 443/tcp kun je de meeste proxies foppen ;-)
Heb je een speciale reden om udp te gebruiken?
Ik weet niet meer waarom ik daar destijds voor gekozen heb, maar het was
een bewuste keuze. Verder is het ook het default van openVPN.

Ik denk dat het was omdat er toch al een error-controle in een hoger
gelegen protocol zit, of iets dergelijks. En UDP is wat sneller.

Overigens, het probleem is opgelost. Bleek inderdaad aan de router te
liggen.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Loading...