[Gelöst] 7560 + Powerline - Kein Zugriff aufs interne Netzwerk aus dem Internet

[Schlanu]

Hallo,

meine alte FB war vor ein paar Tagen plötzlich tot. Habe vom Provider jetzt eine 7560 bekommen. Leider kann ich nicht mehr aus dem Internet auf mein Netzwerk zugreifen. Mit der alten FB ging alles ohne Probleme.

Konfiguration:
[7560] --- [Fritz Powerline] --- Linux Server (FTP, HTTP), Windows Clients
DynDNS eingerichtet, IPV4 lößt korrekt auf
Linux Server versuchsweise als Exposed Host freigegeben (IPV4&6), Portfreigaben sind dazu noch eingerichtet

Was passiert:
Über die interne IP (192.168.178.123) kann ich per SSH, (S)FTP und HTTP auf den Linuxserver zugreifen, es ist aber wahnsinnig langsam. WinSSHFS funktioniert garnicht, weil es zum Timeout kommt.
Über die externe IP oder die dynamische Domain kann ich nicht auf den Linuxserver zugreifen - nur Timeouts.

Richte ich dagegen die FB selbst für den Zugang aus dem Internet ein (FritzNAS + FTP, Fritzbox Webinterface) kann ich per externer IP oder Domain sofort darauf zugreifen, alles geht superschnell.

Hat jemand eine Idee, wo es hängen könnte?

 

[Schlanu]

Moin

Nö, bei meiner 7560 mit Freigabe/Weiterleitung auf einen Raspberry (Linuxserver) klappt sowas problemlos.
...mit DDNS Anbieter: spdyn.de

Aber nur weil ich es extra getestet habe.
Normalerweise nutz ich für die Heimnetzverbindung: VPN

Tja hat bei mir auch jahrelang ohne Probleme funktioniert. Jetzt geht es einfach nicht mehr... ich weiß irgendwie nicht, wo ich anfangen soll zu suchen. Irgendeine Idee?

 

[MuP]

jahrelang ohne Probleme ... Irgendeine Idee?

ext. oder int. Zertifikat?
Firmware/Sicherheit?

 

[Schlanu]

Klaro, Infos aus der Nase ziehen...
1. Welcher Anschluss, natives Dual Stack oder DS-Lite oder nur IPv4 ?
(http://test-ipv6.com)
2. Screenshot der Freigabe in der Fritz!Box ?
3. Steht was im Ereignislog der Fritz!Box zu der Freigabe ?
4. Warum das Vollzitat ?

1. Dual Stack
2. Freigabe ist wie beschrieben, der Server ist als IPVP4 & 6 Exposed Host eingestellt, dazu sind die Ports 22 und 80 freigegeben, selbständige Portfreigaben erlaubt - Bei einem Screenshot müsste ich die Hälfte schwärzen.
3. Da steht nur, dass die Freigaben erfolgreich angelegt wurden
4. Habe ich mir nichts bei gedacht. Bin nicht hierher gekommen um jemanden zu ärgern, sondern um das Problem zu lösen.

 

[Schlanu]

ext. oder int. Zertifikat?
Firmware/Sicherheit?

Weiß nicht, was das mit den Zertifikaten zu tun haben soll. Auf der FB ist das Standartzertifikat, auf meinem Server habe ich eigene Zertifikate. Das Problem tritt aber genauso bei http (Port 80) oder FTP (21) auf - so wie jedem anderen Dienst. Ich komme nicht ins Netzwerk rein.

 

[Theo Tintensich]

Benutzt du einen Tunnel, oder hast du den ex-Host nur freigegeben?

Woher soll der Verkehr aus dem Internet wissen, dass er über den ex-Host (oder den Tunnelendpunkt) gehen soll?
Wenn du ein dem ex-Host einen VPN-Endpunkt eingerichtet hast, muss im Netz eine Route ind das Tunnel-Netz (bei OpenVPN 10.8.6.0 oder so) gesetzt werden, denn du kommst mit dieser IP in deinem Netz an.
Bei der F!B ist es am einfachsten, diese Route zu setzten, in dem man in der F!B eine statische Route setzt, die für das Tunnel-Netz auf die IP-Adresse des VPN-Endpunktes (bei die die 192.168.178.123) zeigt.

 

[Schlanu]

Benutzt du einen Tunnel, oder hast du den ex-Host nur freigegeben?

Woher soll der Verkehr aus dem Internet wissen, dass er über den ex-Host (oder den Tunnelendpunkt) gehen soll?
Wenn du ein dem ex-Host einen VPN-Endpunkt eingerichtet hast, muss im Netz eine Route ind das Tunnel-Netz (bei OpenVPN 10.8.6.0 oder so) gesetzt werden, denn du kommst mit dieser IP in deinem Netz an.
Bei der F!B ist es am einfachsten, diese Route zu setzten, in dem man in der F!B eine statische Route setzt, die für das Tunnel-Netz auf die IP-Adresse des VPN-Endpunktes (bei die die 192.168.178.123) zeigt.

Danke für die Erklärung. Leider ein Missverständnis, ich benutze kein VPN. Ich glaube langsam, dass das neue FritzOS noch verbuggt ist.
Mir ist neben meinem Problem aufgefallen, dass ich über meine öffentliche IPV6-Adresse über http(!) unverschlüsselt das FB-Login erreiche und das auch nicht abschalten kann. Ich kann mir nur schwer vorstellen, dass das so sein soll.

 

[Schlanu]

Also ich bin jetzt nochmal mit einem Portscan von aussen drangegangen. Egal was für Ports ich an beliebigen Geräten öffne, von außen haben sie den Status Closed / Filtered (Firewalled) - ausser ich aktiviere FritzBox-eigene Dienste, z.B. FritzNAS-FTP, schwupps ist Port 21 offen.
Ich habe die Tests sowohl für IPV4 als auch 6 laufen lassen.

Es stimmt dem entsprechend irgendetwas nicht. Habe ich einen Schalter übersehen? Muss man ausser der Portfreigabe evt. noch irgendetwas aktivieren? Die Filterregeln habe ich gecheckt, ebenso NetBIOS etc. daran liegt es nicht. Die FritzBox will einfach keine Ports nach aussen aufmachen.

 

[KunterBunter]

Habe vom Provider jetzt eine 7560 bekommen. Leider kann ich nicht mehr aus dem Internet auf mein Netzwerk zugreifen. Mit der alten FB ging alles ohne Probleme.

Wird diese Fritzbox auf irgendeine Weise vom Provider konfiguriert?
Hat dich hier schon jemand nach der Firmware-Version gefragt?
Was war denn die alte Fritzbox für eine und mit welcher alten Firmware?

Über die externe IP oder die dynamische Domain kann ich nicht auf den Linuxserver zugreifen - nur Timeouts.

Das liegt sicher daran: DNS-Rebind-Schutz
FRITZ!Box unterdrückt DNS-Antworten, die auf IP-Adressen im eigenen Heimnetz verweisen (DNS-Rebind-Schutz). Hier können Sie eine Liste von Domainnamen angeben, für die der DNS-Rebind-Schutz nicht gelten soll.

 

[Pom-Fritz!]

Die FritzBox will einfach keine Ports nach aussen aufmachen.

Hast du die Konfiguration von deiner alten Fritzbox auf die Neue überspielt? Alte FW, neue FW? Hast du bei Portweiterleitung 21 den FTP der Fritzbox deaktiviert? (Ich glaube das geht gar nicht anders, weil Box sonst meckert). Wenn dann während des Portscan beim umgeleiteten Port kein Dienst antwortet, bekommst du die Aussage "Port geschlossen oder filtered".

 

[Schlanu]

Danke für die Antworten.

Das ist die originale FW (149.06.90), im Auslieferungszustand, denke ich, habe nichts dran geschraubt. Bei der alten FB (7362 SL) auch nie, da weiß ich leider nicht mehr, welche FW Version das war.

Ja, ich habe ein Backup von der alten auf die neue aufgespielt, dachte mir dabei schon, ob das nicht ein Fehler ist. Aber ich habe hier halt ne Menge Geräte, die ganze Familie hängt dran, das wäre einiges an Arbeit alles neu zu konfigurieren.

Bei meinen Verbindungsversuchen habe ich das FTP von FritzNAS natürlich deaktiviert.

Ich habe auch Ports auf anderen Maschinen geöffnet und getestet, z.B. auf einem Windows-Rechner von NVIDIA-Gamestream (ging früher ebenfalls immer) - nix, alles dicht.

Wegen DNS-Rebind, das ist ja eigentlich dafür, wenn ich meinedomain.com auf eine interne IP mappen will, aber das tue ich nicht, die Domain lößt auf die öffentliche IP auf. Wenn ich statt Domain die öffentliche IP verwende, in Filezilla oder Firefox, geht es ebenfalls nicht. Nur die interne IP geht.

Nachtrag: Wird die Box vom Provider konfiguriert? Nicht wirklich, es gibt zwar einen Start-Code, der die Verbindungs-Basics einrichtet, aber mehr passiert da meines Wissens nicht.

 

[Pom-Fritz!]

Ja, ich habe ein Backup von der alten auf die neue aufgespielt, dachte mir dabei schon, ob das nicht ein Fehler ist.

Da wird dann wohl der Fehler liegen, so war es auch bei mir! Versuche mal folgendes: Backup aller Einstellungen. Dann alle Portfreigaben (auch Client selbst (in Portfreigaben)) löschen und neu einrichten. Wenn das nicht hilft, dann Werkseinstellungen laden und nur das Nötigste einrichten und testen. Sollte so eigentlich funktionieren, da es ja bei andern und bei mir funktioniert. Du kannst dann jederzeit wieder deine alte Konfig zurückspielen - aber mit dem vorhandenen Fehler!

PS: Bei mir laufen 13 Portfreigaben IPv4 + IPv6 ohne Probleme, nachdem ich alle Portfreigaben neu eingerichtet hatte - jetzt schon 7 Monate.

 

[Schlanu]

Da wird dann wohl der Fehler liegen, so war es auch bei mir! Versuche mal folgendes: Backup aller Einstellungen. Dann alle Portfreigaben (auch Client selbst (in Portfreigaben)) löschen und neu einrichten. Wenn das nicht hilft, dann Werkseinstellungen laden und nur das Nötigste einrichten und testen. Sollte so eigentlich funktionieren, da es ja bei andern und bei mir funktioniert. Du kannst dann jederzeit wieder deine alte Konfig zurückspielen - aber mit dem vorhandenen Fehler!

PS: Bei mir laufen 13 Portfreigaben IPv4 + IPv6 ohne Probleme, nachdem ich alle Portfreigaben neu eingerichtet hatte - jetzt schon 7 Monate.

Habe alle Portfreigaben gelöscht und nur die besprochenen neu angelegt. Hat leider nichts gebracht. Werde wohl als nächstes den Werksreset probieren, aber hier treten immer mehr Probleme auf. Seit dem jüngsten Update meiner Fritz Powerline Adapter sind diese mehrfach ausgefallen, einfach so. Musste beide aus der Wand ziehen, dann gingen sie wieder. Bin leicht genervt von AVM, am Telefon waren sie normal freundlich, haben mich dann aber auf den Emailsupport verwiesen und nie wieder gemeldet. Hab grad echt keine Zeit hier den Betatester zu spielen.

 

[Schlanu]

Es wird immer bunter... um schnell eine temporäre Lösung herbeizuführen, hatte ich beschlossen vorübergehend das NAS der FritzBox zusammen mit einem Online Speicher zu verwenden.
Den ganzen Tag rüberkopiert, seit heute Abend ist der Online Speicher plötzlich verschwunden (sowohl per SMB bei Fritz.NAS als auch direkt im Filebrowser der FritzBox), gecachte Dateien hängen auf dem USB Speichermedium, nichts geht mehr. Beim internen Speicher der FritzBox steht Fehler (Indizierung)

 

[Schlanu]

Auf Anraten von AVM und hier habe ich nun einen Werksreset aller beteiligten Geräte gemacht und danach nur die Grundeinstellungen (Internetverbindung, WLan & Telefon) aus einem aktuellen Backup von heute morgen zurückgespielt. Danach eine neue Portfreigabe testweise angelegt. Ergebnis ist das gleiche, die Ports sind aus Richtung Internet zu.

 

[Pom-Fritz!]

Auf Anraten von AVM und hier habe ich nun einen Werksreset aller beteiligten Geräte gemacht und danach nur die Grundeinstellungen (Internetverbindung, WLan & Telefon) aus einem aktuellen Backup von heute morgen zurückgespielt. Danach eine neue Portfreigabe testweise angelegt. Ergebnis ist das gleiche, die Ports sind aus Richtung Internet zu.

Nach Werksreset mal händisch nur die nötigten Einstellungen durchführen und Portfreigaben hiermit testen. Funktioniert mit meiner 7580 + Synology NAS doch auch!

 

[Schlanu]

Nach Werksreset mal händisch nur die nötigten Einstellungen durchführen und Portfreigaben hiermit testen. Funktioniert mit meiner 7580 + Synology NAS doch auch!

Ich weiß, ist ja nur nett gemeint, aber soll ich dabei auch noch einen Handstand machen? Die Prozedur bei Neumond ausführen, während ich eine Schnecke über meine Leber kriechen lasse?

Ich befürchte, das Ding ist ne Gurke. Entweder hat man beim Software-Update was verbockt oder ein Hardware-Defekt. Trotz allem werde ich die beschriebene Prozedur nochmal probieren, sobald ich wieder Zeit habe. Was vermutlich erst nächstes Wochenende ist.

 

[Schlanu]

Nach einem erneuten Werksreset und manuellem Einpflegen der Einstellungen scheint nun alles zu gehen. Hätte ich bloß gleich... Danke für eure Hilfe!

 

[stoney]

Ende gut Alles gut

Am besten noch den Präfix auf [gelöst] setzen.