bloodstix
Goto Top

Fritzbox 6490 Cable - Portforward-Probleme und Domain-Name

Hallo zusammen,

wir haben heute eine "Fritzbox 6490 Cable" bekommen an einem UnityMedia-Anschluss, soweit so gut.
Nun hängt die FB an einem Switch, an dem auch unser VPN-Gateway und ein ADSL-GW und ein SDSL-GW und - für die PCs - ein Default-GW hängen. Alle Geräte haben fixe IP-Adressen.
Das Default-GW regelt halt, was über welches der anderen GW geht.

Probleme gibt es nun bei den Portforwardings. Ich kann das VPN-GW dort in dem Ziel-Dropdown nur auswählen, wenn ich vorher einen Ping von
diesem auf die FB mache, ansonsten ist das GW nicht unter "aktive Geräte" sondern "unbenutzte verbindungen" geführt und steht dort nicht zur Auswahl.
Ok, ping abgesetzt, VPN-GW in der Liste ausgewählt, ein Portforward für ESP darunter angelegt und mit Ok bestätigt.
Auf der Übersichtsseite steht nun aber plötzlich nicht die IP des VPN-GW als Ziel, so wie ausgewählt, sondern eine von einem anderen Gerät.
Klicke ich dann auf Aktualisieren, um die Ansicht zu aktualisieren, kann es sein das es wieder ein anderes Gerät ist. Setze ich dann wieder nen
Ping von VPN-GW richtung FB ab und klicke Aktualisieren, ist es - jedenfalls für wenige Sekunden - wieder korrekt.

Der AVM-Support schreibt mir nach Zusendung der Support-Daten folgendes:
Ich kann gut nachvollziehen, dass Sie die FRITZ!Box wie geplant verwenden möchten. Dies ist mit der FRITZ!Box und auch nachgelagerten VPN-Gatways sehr gut möglich.

In Ihrem Fall erkenne ich allerdings, dass das bintec Gerät mit der MAC-Adresse xx:xx:xx:xx:xx:xx innerhalb der letzten Viertelstunde vor Support-Daten Erstellung 12 unterschiedliche IP-Adressen hatte. Da wir nur Portfreigaben auf eine MAC-Adresse mit einer passender IP-Adresse unterstützen, ist das die Ursache für die Probleme mit den Portfreigaben. Ohne das Szenario genau zu kennen, gehe ich davon aus, dass der bintec nicht als NAT läuft, und es dadurch zu dieser Unordnung kommt. Legen Sie deshalb im bintec fest, dass dieser im NAT Modus nur mit einer IP-Adresse am WAN-Port mit der FRITZ!Box kommuniziert. Dann können Sie die Portfreigaben auf den bintec legen und im bintec dann die Portfreiagbe auf den Rechner hinter dem bintec.

Sollte sich das Fehlerbild anders darstellen, beschreiben Sie es bitte genauer und nennen Sie auch Ihre Zielkonfiguration. Beachten Sie bitte auch dabei, dass wir Portfreigaben nur dann gewährleisten können, wenn das Ziel der Portfreigabe direkt mit der FRITZ!Box verbunden ist. Hintergrund ist dabei, dass wir sicherstellen müssen, dass das Routing von FRITZ!Box kontrolliert wird. In Ihrem Fall sehe ich mehrere Geräte an LAN2 (vermutlich ein Switch) und kann nicht feststellen, was dieser Switch intern alles macht oder nicht macht. Deshalb ist es zumindest für die Untersuchung eines neuen Fehlerbilds erforderlich das Netzwerk auf die Geräte zu reduzieren, die wir kennen.

Die vom Support genannte MAC ist das "Default-GW". Die IP-Adressen der GW's wechseln definitiv nicht.
Ich komm da nicht ganz mit. Ist die Fritte wirklich so blöd das die durcheinander kommt, wenn das Ziel der Weiterleitung nicht direkt an ihr angeschlossen ist?
Die anderen GW sind "bintec"-Geräte, R232b/R1202.

Ein weiteres Problem - zugegeben ein Schönheitsfehler - ist folgendes: Wir haben eine interne Domain und ich habe in unserem DNS für die IP
der FB einen Namen vergeben. Wenn ich nun über diesen DNS-Namen die FB erreichen will meldet diese
400 Bad Request
ERR_INVALID_REQ
Auf fritz.box und die IP reagiert die ganz normal.
Ich habe leider keine Einstellungsmöglichkeit für den Hostname+Domain gefunden und auch bei Google wurde ich da nicht wirklich fündig.
Kann die Fritzbox das etwa nicht, weil im auf ihr laufenden Webserver nur fritz.box und die IP als Servername/Alias hinterlegt sind?


Ich hoffe ihr habt da ein paar Ideen für mich face-smile

Grüße
bloody

Content-Key: 471458

Url: https://administrator.de/contentid/471458

Ausgedruckt am: 29.03.2024 um 08:03 Uhr

Mitglied: tikayevent
Lösung tikayevent 10.07.2019 aktualisiert um 15:53:39 Uhr
Goto Top
Ganz doofe Idee vorweg: Jag die Fritzbox zum Teufel und besorg dir ein Technicolor TC4400. Damit hast du die IP-Adresse direkt am Router anliegen und sparst dir das Portforwarding und das NAT-T.

Du könntest jetzt einfach hingehen, dir eine pingbare IP im Internet raussuchen, diese über die Routingtabelle auf die Verbindung über die Fritzbox zwingen und diese IP alle paar Sekunden anpingen lassen.

Die korrekte Lösung wäre aber, einfach im Dropdown-Menü ganz unten "IP-Adresse manuell eingeben" auswählen und nur die IP einzutragen.

Den R232b solltest du über kurz oder lang mal ersetzen. Der ist schon etwas sehr alt. Selbst der Nachfolger ist seit einiger Zeit durch den RS-NG ersetzt worden, die es schon seit längerer Zeit am Markt gibt, seit 2014 glaube ich.

Kann die Fritzbox das etwa nicht, weil im auf ihr laufenden Webserver nur fritz.box und die IP als Servername/Alias hinterlegt sind?
Genau das wird es sein. Die Fritzbox ist halt Endkundenkacke und nicht für sowas ausgelegt.
Mitglied: aqui
aqui 10.07.2019 aktualisiert um 15:54:19 Uhr
Goto Top
Betreibst du das VPN Gateway und die FB als Router Kaskade wie hier beschrieben:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Kopplung von 2 Routern am DSL Port
Dein Aufbau ist etwas wirr und damit unklar beschrieben. face-sad Es ist in der Tat nicht ganz klar ersichtlich ob der davor plazierte Router/Firewall NAT (IP Adress Translation) macht oder ein öffentliches Subnetz transparent routet. Du machst da leider keinerlei hilfreiche Aussagen zur IP Adressierung.
Insofern hat der AVM Support mit seiner Antwort recht.
Ohne eine genaue Beschreibung des Netz Design bzw. Setups (ggf. kleine Skizze posten) kommen wir hier nicht weiter.... face-sad
Mitglied: bloodstix
bloodstix 10.07.2019 aktualisiert um 16:29:36 Uhr
Goto Top
Hallo ihr,

@tikayevent
Über das alter der Geräte brauchen wir hier nicht sprechen. Das ist mir bewusst, aber sie tun ihren Dienst und über die Ausgaben entscheide nicht ich ;D.
Wenn ich manuell die IP für den Forward angeben will meint die Fritzbox "Die IP-Adresse wird bereits von einem anderen Gerät benutzt".
Ähm ja Fritzbox, ich weiss, du sollst ja an das Gerät, welche diese benutzt, die Ports weiterleiten?!

@aqui Das Netz sieht wie folgt aus:
netz
Alle PCs und Server haben "Gate" als Default-GW.
Ist zugegeben absolut nicht schön, da die PCs/Server, wenn sie wollten, "Gate" einfach umgehen könnten und direkt die GW's ansprechen, aber das lassen wir mal außen vor.
Es hängen also diverse Gateways und unsere PCs und Server an einem Switch.
Nichts desto trotz sollte sich die FB doch nicht, nur weil sie an nem Switch hängt, mit den MAC/IP-Adressen verhaspeln?

Grüße
bloody
Mitglied: Ex0r2k16
Ex0r2k16 10.07.2019 um 16:39:18 Uhr
Goto Top
Zitat von @bloodstix:
Nichts desto trotz sollte sich die FB doch nicht, nur weil sie an nem Switch hängt, mit den MAC/IP-Adressen verhaspeln?

Grüße
bloody

Doch ich denke schon, da das Default GW noch vor der Fritte hängt und dadurch die MACs verfälscht. Ich denke daher kommt auch das Statement von AVM mit den wechselnden IP Adressen.

Aber Aqui tippt sich gerade vor Wut wahrscheinlich eh schon nen Wolf. Ich mach mal Platz :D
Mitglied: bloodstix
bloodstix 10.07.2019 um 16:42:13 Uhr
Goto Top
Hi,

@Ex0r2k16
Wieso sollte das default-GW die IP-Adressen verfälschen? Ist ja im selben Subnetz, da wird das doch eh außen vor gelassen.. Es macht ja kein NAT. Und die Bintecs haben im Gegensatz zu der Fritte kein Problem mit solch einer Konfiguration.

Grüße
bloody
Mitglied: tikayevent
Lösung tikayevent 10.07.2019 aktualisiert um 17:36:13 Uhr
Goto Top
Wenn ich manuell die IP für den Forward angeben will meint die Fritzbox "Die IP-Adresse wird bereits von einem anderen Gerät benutzt".
Dann nimm das Gerät einmal kurz aus dem Netz, lösch es dann aus der Geräteübersicht heraus und trag es dann ein.

Zum Gerätealter: Ja, aber du kümmerst dich um den Betrieb. Dann weise doch mal den Zahlmeister darauf hin, dass das Gerät seit 2012 keine Updates mehr erhalten hat und damit nicht mehr nur ein potentielles Risiko darstellt, sondern ein real existierendes, so real, dass man sich die Sache mit dem VPN fast schenken kann.
Mitglied: bloodstix
bloodstix 11.07.2019 um 09:27:47 Uhr
Goto Top
Hallo nochmal abschließend,

mit alle unbenutzen Verbindungen entfernen und Neustart konnte ich immerhin mit einem Trick den Port-Forward einrichten.
Habe einfach ein unbekanntes Gerät hinzufügen gemacht und dort dann MAC und IP eingegeben. Das hat die FB dann geschluckt,
aber da es keine richtige Kaskade ist, funktioniert das so eh nicht.

Da wir sowieso mehrere öffentliche IP gebucht haben, wird die FB nochmal gegen ein - vermutlich - Hitron ausgetauscht, was deutlich flexibler
zu konfigurieren ist.

Danke an alle

Grüße
bloody