exposed host

C

CarstenDeLellis

New member
Hallo

Ich habe ein komisches Phänomen und kann mir momentan nicht erklären, woran es liegt.
Vielleicht weiß hier ja jemand was zu tun ist.

Zunächst mein Heimnetz:

Ich habe ein FritzBox 7590 und einen DSL Anschluß von Vodafone. Hinter der FritzBox befindet sich eine Netgear Switch und eine pfSense Firewall. Ich nutze IP4 und IP6.
Darüberhinaus habe ich auch noch verschiedene Server bei Hostern, wie 1blu und contabo.

Meine Fritzbox Einstellungen sind in den angehängten Bildern zu erkennen. Auf exposedHost_2 habe ich nur die ersten 3 Portfreigaben aus Platzgründen eingefügt.

Nun das Phänomen, dass ich mir nicht erklären kann. Ohne dass ich an der anderen Umgebung eine Änderung vornehme, kann ich von Außen eine IPv6 in meinem Netz nicht mehr erreichen. Weder den eigentlichen Zielport 8006 noch kann ich sie anpingen. Wenn ich dann die Einstellung "Selbstständige Portfreigaben für dieses Gerät erlauben." ändere von an -> aus und umgekehrt und aktualisiere funktioniert wieder alles.

Hat hierfür jemand eine Erklärung?

Gruß
Carsten
 

Anhänge

  • exposedHost_1.png
    exposedHost_1.png
    28,8 KB · Aufrufe: 10
  • exposedHost_2.png
    exposedHost_2.png
    60 KB · Aufrufe: 10
Das Erste was mir spontan auffällt: Warum machst Du noch Freigaben?
Du hast das Device doch als "exposed host" konfiguriert!?
Das ist irgendwie "doppelt-gemoppelt".
 
Hallo Barungar

Gebe ich Dir vollkommen recht.

Hatte es zuerst ohne Freigaben, da hat es aber überhaupt nicht funktioniert.

Mein ursprüngliches Verständnis war, dass exposed eigentlich im Internet "hängt". Ich bin davon ausgegangen, dass alles auf den exposed host weitergeleitet wird, ohne Firewallfunktionalität auf der Fritzbox. Scheint aber irgendwie etwas anders zu funktionieren.

Da gab es auch mal einen Beitrag in der IPTelefonie Community.

Trotzdem. Vielen Dank für Deinen Hinweis.

Vielleicht probiere ich es einfach nochmal.

Gruß
Carsten
 
Als Test würde ich auch mal versuchen das Gerät direkt ohne Switch und Firewall anzuschließen und zu testen ob es hier geht.
 
Ist schwierig. Die pfSense ist auf einer virtuellen Maschine installiert, auf der auch alle meine anderen VMs laufen. In der VM sind 5 Netzwerkkarten verbaut und entsprechenden VLANs zugeordnet. Entsprechend ist auch die Konfiguration auf der Switch. Müsste dann alles umbauen und umziehen in den Raum in der die Fritzbox steht.

Werde ich aber wohl tun müssen, wenn das mit dem exposed host ohne separate Freigaben nicht funktioniert.

Gruß
Carsten
 
@Spielebernd Das betroffene Gerät ist die Firewall... es also ohne den Switch und die Firewall anzuschließen ausprobiern klingt komisch. ;) Zumindest aus der Konfigurationssicht der FritzBox.
 
Ich hatte es so verstanden, dass das betroffene Gerät die Maschine ist, auf die ich letztendlich zugreifen möchte. Das Verhalten für die pfSense ist aber genauso. Trifft auch nur für IP6 zu.

Ich werde am Wochenende noch mal das zusätzliche portforwarding rausnehmen.

Werde dann am Montag berichten.

Gruß
Carsten
 
Also ich versteh das Problem irgendwo nicht so recht... Die "Strecke" - auch wenn etwas konfus formuliert - ist ja relativ klar (Router <-> vFirewall <-> vServer). Für IPv4 braucht es halt NAT und statische Routen (nur am Router), für v6 eben nicht (dafür halt v6-PD) und für beide Dinge braucht es Firewall-Regeln auf der pfSense.

Exposed Host leitet eigentlich alles an den exposed Host weiter, die Sache mit den Portfreigaben macht somit keinen Sinn. Das Ding ist allerdings, dass die pfSense als exposed Host in Sachen v6 eigentlich so "gar keinen" Sinn macht, wenn Du ein System "dahinter" erreichen willst (ausser auf der pfSense läuft ein Reverse-Proxy o.ä.).

Oder hast Du versucht, in der Fritzbox eine Portweiterleitung an eine IPv6-Adresse "hinter" der pfSense zu erstellen?

EDIT: Keine Ahnung, ob es von Belang ist, aber - einfach nur der Vollständigkeit halber - seien diese beiden Threads mal erwähnt:

- https://forum.heimnetz.de/threads/port-weiterleitung-in-subnet-funktionert-nicht.302/
- https://forum.heimnetz.de/threads/ipv6-portfreigaben-dual-stack-ds-lite.371/

Vielleicht hilft es ja... bei der v4/v6-Thematik wäre auch noch immer darauf zu achten, von was für einem Anschluss der Client kommt (danach richtet sich dann auch der "interne" Weg bei Dir).

Und noch als kleinen Nachtrag... Wenn Du vorher alles händisch gemacht hast (was ja durchaus seine Gründe gehabt haben wird), dann "bleib" auch dabei. Kein UPnP, kein exposed Host. Wenn etwas nicht funktioniert, hat das seine Gründe. Mitunter heisst es auch ganz einfach: Traffic-Mitschnitt und/oder Firewall-Log (beides jeweils mit entsprechender Filterung).
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 100 (Mitglieder: 2, Gäste: 98)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
6.595
Beiträge
63.356
Mitglieder
6.829
Neuestes Mitglied
christin

Teilen

Zurück
Oben