Fritzbox-Webinterface 24/7 im Web erreichbar - warum?

[Gekko]

Hi meine Lieben,

ich habe eine FritzBox 7530 AX und ein Riesenproblem: ihr Webinterface ist permanent im Internet erreichbar.

• MyFritz ist ausgeschaltet
• Es existiert eine Portweiterleitung 80/443 auf einen Linux-Server in den Box-eigenen Portfreigaben. Die Ziel-IP und MAC-Adresse des Servers sind natürlich konfiguriert und trotzdem funktionieren die Portfreigaben nicht. Egal, wie ich die Box von draußen adressiere, ich bekomme immer nur das FritzBox-Webinterface zu sehen.
• Auch wenn ich die Portfreigabe des Servers entferne, bleibt das Webinterface der Box permanent nach draußen online.

Was passiert hier und warum?

Vielen Dank für Tipps,
Gekko

 

[the other]

Moinsen,
hast du die Box erreichbar gemacht unter
Internet > Freigaben > Fritzbox Dienste > Haken unter "Internetzugriff"?
Welchen Anschlussart hast du? Hört sich auf den ersten Blick (äh, also...) fast an, als wenn du per IPv6 unterwegs bist und die DynDNS für den Server auf der Fritzbox eingerichtet hast...also: IPv6 oder v4?
Die Portfreigabe des Servers hat erstmal wenig mit der aktuellen Erreichbarkeit der Fritzbox zu tun....

 

[Barungar]

Was hast Du denn unter Internet / Freigaben bei Internetzugriff eingestellt?



Falls dort ein Haken drin ist, dann hat das eine "höhere" Priorität als eine Portfreigabe.

 

[Gekko]

Nein, da ist kein Haken und da war auch nie einer.

 

[the other]

Moinsen,
und wie sind die Einstellungen unter
Internet > MyFritzkonto > hier dann bei MyFritz-Internetzugriff? Ist da der Haken dran (Internetzugriff aktiviert)?

 

[Barungar]

@Gekko Kannst Du mal einen Screenshot einstellen, von dem was Du siehst, wenn Du auf Deinen Linux-Server zugreifen willst und sich stattdessen die FritzBox meldet?!

Ich habe da eine Vermutung, dass es in Richtung von dem hier ( https://forum.heimnetz.de/threads/t...webserver-etc-bei-ipv6-mit-der-fritzbox.2186/ ) geht.

und wie sind die Einstellungen unter
Internet > MyFritzkonto > hier dann bei MyFritz-Internetzugriff? Ist da der Haken dran (Internetzugriff aktiviert)?

Wurde schon im ersten Post dokumentiert, dass das nicht der Fall ist.
Oder liege ich da falsch?

 

[Gekko]

Welchen Anschlussart hast du? Hört sich auf den ersten Blick (äh, also...) fast an, als wenn du per IPv6 unterwegs bist und die DynDNS für den Server auf der Fritzbox eingerichtet hast...also: IPv6 oder v4?

Ich benutze grad DDNS mit Auflösung A, kann aber nicht ausschließen, ob auch AAAA weitergeleitet wird.

Die Portfreigabe des Servers hat erstmal wenig mit der aktuellen Erreichbarkeit der Fritzbox zu tun....

Doch, da die Freigabe quasi vom FB-eigenen Port 80/443 blockiert wird, den sie benutzt und damit nicht weiterleitet.

 

[the other]

Moinsen,
du hast also Dualstack? Kannst also sowohl v4 als auch v6 nutzen...ok.
Da hast du dann natürlich recht, wenn die Ports unter der Eingabe von DynDNS + Port schon belegt sind, dann doof.
Schau nochmal, ob alles unter den https für Fritzbox deaktiviert ist.
Hast du ggf. per DynDNS Dienst etwas eingerichtet für die Aktualisierung der ssl Zertifikate (zB von LetsEncrypt), das nutzt ja auch gerne diese Ports...

 

[Gekko]

@Gekko Kannst Du mal einen Screenshot einstellen, von dem was Du siehst, wenn Du auf Deinen Linux-Server zugreifen willst und sich stattdessen die FritzBox meldet?!

Klaro!

Ich habe da eine Vermutung, dass es in Richtung von dem hier ( https://forum.heimnetz.de/threads/t...webserver-etc-bei-ipv6-mit-der-fritzbox.2186/ ) geht.

Ich kann nicht ausschließen, dass der DynDNS-Dienst auch IPv6 weiterreicht.

 

[Gekko]

Moinsen,
du hast also Dualstack? Kannst also sowohl v4 als auch v6 nutzen...ok.

Japp, aber es wird sicher nicht mehr lange dauern, bis ipv6 übernimmt. Ich wäre auch total offen dafür, alles extern (und damit auch intern) auf ipv6 umzustellen.

Grundsätzlich habe ich da aber damit noch ein paar Verständnisprobleme. Als ich hinter einer anderen FritzBox (eine 7590, anderer Ort) einen unraid-Server aufgesetzt hatte, war das unraid-Login-Interface permanent online, obwohl es auf der Fritzbox keine Weiterleitung an das Gerät gab. Ich hatte bis dahin immer gedacht, dass die FB-eigene Firewall grundsätzlich für jedes Gerät hinter ihr greifen würde, aber das war dort nicht so. Ich konnte die öffentliche ipv6-Adresse (edit: des unraid-Servers) eingeben und landete ohne irgendeinen Umweg auf dem Heiligtum eines Servers: dem direkten Login.

Ich dachte erst, das sei irgendwie nur möglich, weil ich ja quasi an einem Browser hinter der Box saß. Ich hab mich also mit dem Laptop über das Handynetz eingewählt und es von dort probiert: Das Login war immer noch erreichbar. Das ist für mich der absolute Horror. Und seit ich jetzt gesehen habe, dass meine Fritzbox fröhlich für jedermann im Netz steht, frage ich mich, wie das grundsätzlich mit der Sicherheit von ipv6 zu bewerten ist.

Da hast du dann natürlich recht, wenn die Ports unter der Eingabe von DynDNS + Port schon belegt sind, dann doof.
Schau nochmal, ob alles unter den https für Fritzbox deaktiviert ist.
Hast du ggf. per DynDNS Dienst etwas eingerichtet für die Aktualisierung der ssl Zertifikate (zB von LetsEncrypt), das nutzt ja auch gerne diese Ports...

Ich hatte noch keine Zertifizierungen vorgenommen, weil meine statische Subdomain noch in Bearbeitung beim Registrator ist.

 

[Barungar]

Und seit ich jetzt gesehen habe, dass meine Fritzbox fröhlich für jedermann im Netz steht, frage ich mich, wie das grundsätzlich mit der Sicherheit von ipv6 zu bewerten ist.

IPv6 ist mindestens genau so sicher wie IPv4, in meinen Auffassung sogar noch sicherer, weil es Mechanismen im Grunddesign hat, die IPv4 fehlen.

Die "Herausforderung" ist eher, dass sehr viele "Admins" keinen Schimmer von IPv6 haben und daher grundlegende Fehler bei diesen Einrichtung bzw. Betrieb machen. Und daher dann "Sicherheitslücken" entstehen, dafür träg aber das IPv6 keine Schuld sondern die "Dummheit" des Betreibers.

@Gekko Du hast übrigens noch keinen Screenshot geliefert, der zeigt was passiert, wenn sich die FritzBox anstatt Deines Servers meldet. Ist es ggf. der Screenshot der auch in dem von mir verlinkten Thread ist? Falls ja, steht in diesem anderen Thread alles notwendige drin um Dein Problem "theoretisch" zu beseiten. Falls es Dir praktisch nicht hilft, müsstest Du mit "Echtdaten" (per PN) rausrücken (DNS-Name, IPs, usw.) dann kann ich Dir gerne helfen.

 

[Gekko]

Falls es Dir praktisch nicht hilft, müsstest Du mit "Echtdaten" (per PN) rausrücken (DNS-Name, IPs, usw.) dann kann ich Dir gerne helfen.

Mensch, das ist so unfassbar nett, ich meine das ernst: wirklich, wirklich danke dafür!
Das Doofe daran wäre aber, dass für alle künfitgen User, die in die gleichen Fallen tappen, später ein weiterer Thread existiert, der einfach an der Stelle aufhört, an der es anfängt interessant und hilfreich zu werden. Ich glaube deshalb, wir können auch ohne konkrete Daten vielleicht das Phänomen hinter dem Problem einkreisen.

Also, der Hinweis von the other, dass ich im Dualstack durchs Netz tunnele, bedeutet ja auch, dass ich keine eigene, echte IPv4-Adresse im Web habe, sondern nur eine echte IPv6. Ist das soweit richtig? Weil, das heisst ja, dass mein Router also IPv6 verrarbeiten MUSS, weil es das Kommunikationsprotokoll ist, das zwischen meinem Provider und mir existiert - über die DS-Lite-IPv4-Adresse ist ja von außen quasi nur mein Provider erreichbar, nicht aber mein Router. Auch richtig?

 

[the other]

Moinsen,

Also, der Hinweis von the other, dass ich im Dualstack durchs Netz tunnele, bedeutet ja auch, dass ich keine eigene, echte IPv4-Adresse im Web habe, sondern nur eine echte IPv6. Ist das soweit richtig?

Nein, so wie ich deine Beiträge bisher verstanden habe zumindest, das ist nicht richtig.

Dualstack bringt dir
- eine echte öffentlich erreichbare IPv4, darunter KANNST du die Fritzbox dann erreichen (und für andere Server auch Portweiterleitungen einrichten)
- eine echte öffentlich erreichbare IPv6 samt (je nach Provider) Präfix für die anderen Geräte im Heimnetz, die v6 nutzen sollen

Dagegen hast du bei Dualstack lite (DSlite, CGNAT)
- eine echte öffentlich erreichbare v6 aber
- keine echte öffentlich erreichbare IPv4. Diese liegen hinter einem CGNAT (Carrier grade NAT des ISPs) und ist somit eben gerade NICHT erreichbar von außen (weil eben hinter dem NAT deines Anbieters verborgen)

Schau also mal:
- was für einen Anschluss hast du (zeigt dir idR deine Fritzbox unter Internet > Online Monitor zu sehen oder eben in den Vertragsdaten zum Provider)?
- dass du den gewünschten screenshots machst und hier zeigst, wie von @Barungar vorgeschlagen

 

[Gekko]

Ich habe jetzt einen DynDns-Anbieter genommen, der wirklich-wirklich-wirklich nur IPv6 verarbeitet. Meine Fritzbox ist noch immer in voller Breitseite im Internet, bietet ihr Login-Fenster an und DIREKTE IPv6-Adressierung an den Server werden von der Box nicht weitergereicht. Ich benutze den Provider-Präfix und die IPv6-Geräte-ID des Servers - diese Gesamtkette wird mir auch im Heimnetz bei Server unter IPv6 angezeigt in genau der Zusammensetzung.

• Gebe ich die Provider-IPv6 ein: Fritzbox-Web-UI ist im Netz sichtbar (wo kannn man das zum Henker AUSSCHALTEN!)
• Gebe ich die IPv6-Server-Adresse ein: Fehler - Netzwerk-Zeitüberschreitung. Beim Verbinden mit [meine Server-IPv6-Adresse] trat ein Fehler auf.

 

[Gekko]

Schau also mal:
- was für einen Anschluss hast du (zeigt dir idR deine Fritzbox unter Internet > Online Monitor zu sehen oder eben in den Vertragsdaten zum Provider)?
- dass du den gewünschten screenshots machst und hier zeigst, wie von @Barungar vorgeschlagen

Meine Verbindung ist DSLite, wie Du schon richtig vermutet hast.

In FRITZBOX -> INTERNET -> ONLINE-MONITOR

Internet, IPv4
FRITZ!Box verwendet einen DS-Lite-Tunnel, Vodafone
AFTR-Gateway: xxxx:xxxx:xxxx:xxxx::1 (Das ist ein IPv6-Präfix!)

Internet, IPv6
verbunden seit 20.07.2024, 12:30 Uhr, Vodafone
IPv6-Adresse: xxxx:xxxx:xxxx:xxxx::1/64, Gültigkeit: 6952/3352s
IPv6-Präfix: xxxx:xxxx:xxxx:xxxx::/56, Gültigkeit: 6952/3352s

 

[the other]

Moinsen,
und wo zeigt (unter v6) der dynDNS Eintrag hin? Auf die IP der Fritzbox? Oder auf die des zu erreichenden Servers?
Unter v6 sind die dynDNS Einträge je auf den Endgeräten einzurichten. Das ist EINER der Unterschiede zu v4.

Da du aber nun (Katze aus dem sack...) ja "nur" dslite hast: vergiss die Erreichbarkeit von extern via v4. Das geht eben dann nicht (ohne wesentliche Klimmzüge).
Ergo: um von EXTERN deine Geräte zu erreichen muss v6 genutzt werden. Also: den DynDNS Eintrag auf den Server zeigen lassen und auch dort einrichten. Dazu die Portfreigabe für dieses Gerät in der Fritzbox anlegen.
Und eben nochmal schauen, ob alle (unnötigen) Fritzdienste deaktiviert sind.

Bekommen denn alle Geräte im Heimnetz auch die Globale IPv6 (GUA, beginnend mit 200x:fe..:? Dort auch so eingerichtet.
Deine Fritz bekommt die IPv6 Adresse, dazu aber eben auch das Präfix mit der /56er Größe. Dieses wird dann (bei korrekter Konfiguration) von der Fritzbox ins LAN weitergereicht, die Geräte bauen dann aus Präfix und ihrer MAC Adresse eine vollständige IPv6 Adresse, unter der sie dann erreichbar sind (wenn eben die Freigabe besteht).

 

[Gekko]

Ergo: um von EXTERN deine Geräte zu erreichen muss v6 genutzt werden. Also: den DynDNS Eintrag auf den Server zeigen lassen und auch dort einrichten. Dazu die Portfreigabe für dieses Gerät in der Fritzbox anlegen.
Und eben nochmal schauen, ob alle (unnötigen) Fritzdienste deaktiviert sind.

• Der DynDNS-Eintrag richtet sich natürlich direkt an den Gateway, sprich an die FritzBox - dafür sorgt ja das DynDNS-Plugin der FritzBox selbst, das lässt sich von dort (also vom Plugin) aus auch nicht auf ein anderes Gerät im Netz lenken.
• Wie Du oben in einem Screenshot sehen konntest, ist der Server mit seiner ÖFFENTLICHEN IPv6-Adresse mit Freigaben versehen.
• Sämtliche Möglichkeiten, das Webinterface der Fritzbox online (extern) zu stellen, sind deaktiviert.

Bekommen denn alle Geräte im Heimnetz auch die Globale IPv6 (GUA, beginnend mit 200x:fe..:? Dort auch so eingerichtet.
Deine Fritz bekommt die IPv6 Adresse, dazu aber eben auch das Präfix mit der /56er Größe. Dieses wird dann (bei korrekter Konfiguration) von der Fritzbox ins LAN weitergereicht, die Geräte bauen dann aus Präfix und ihrer MAC Adresse eine vollständige IPv6 Adresse, unter der sie dann erreichbar sind (wenn eben die Freigabe besteht).

• Die FritzBox vergibt (ohne jede Möglichkeit, das zu unterbinden!) jedem Gerät im eigenen Netz u.a. auch eine öffentliche IPv6-Adresse.

 

[the other]

Moinsen,
schau dir den link von @Barungar nochmals an:
da steht dann nämlich, was ich hier auch schon einige Male schrieb...der DynDNS Eintrag muss am zu erreichenden Gerät eingerichtet sein.
In dem Link steht u.a.:
"In Bezug auf das DynDNS muss man entweder den kompletten DynDNS-Anteil von der FritzBox weg auf das "Server"-System verlagern, oder aber zumindest wenigstens den IPv6-Teil. Im Fall von IPv6 macht die FritzBox nämlich keine Portweiterleitung, wie bei IPv4, sondern eine Portfreischaltung. Das heißt, die FritzBox lässt im Fall von IPv6 den konfigurierten Port für die öffentliche IPv6 des "Servers" zu und nicht, wie noch bei IPv4, für ihre eigene, öffentliche IPv4."

Das ist eben auch der oft gesehene Fehler: eine Vermischung von v4 mit v6 Konzepten.
Unter v4 zeigt das immer auf den Router, der dann per Portweiterleitung zum eigentlichen Gerät weiterleitet.
Unter v6 stehen aber alle Geräte mit ihrer IPv6 direkt zur Verfügung (point to point), daher muss der DynDNS Eintrag eben auch am zu erreichenden Gerät eingerichtet werden. Also AUF DEM SERVER! Die Fritzbox leitet da nic weiter, da unter v6 keine PortWEITERLEITUNG. Stattdessen erlaubst mit der PortFREIGABE unter v6, dass Anfragen dorthin erlaubt sind...

 

[Gekko]

Ach...und wegen des Screenshots: Ist es das, was ihr haben wolltet? Das zeigt wie gesagt, was passiert, wenn ich die öffentliche IPv6-Adresse des Servers eingebe, dessen 80/8080/443-Ports freigegeben sind. Ich wüsste sonst nicht, wie man ein Gerät an einer FritzBox freigeben könnte außer über Portfreigaben.

 

[the other]

Moinsen,
ich würde erstmal alles an Freigaben wieder löschen. Du hast da ja auch noch v4 Freigaben im screenshot stehen, die du eh nicht benötigst. Also alles raus.
Dann eben sicher sein, dass der zu erreichende Server
- eine v6 aus dem Präfix Bereich bekommt (bist du ja anscheinend)
- auf dem Server nicht irgendeine Firewall aktiv ist (die dann vielleicht einfach den korrekt eingerichteten Port blockiert)
- dann mal nachschauen auf dem Gerät, wie die Adresse ist. Da sich diese aber vermutlich auch bei dir alle x Stunden/Tage/Wochen ändert > DynDNS einirchten auf dem Server selbst!
- mit der aktuellen gültigen v6 des Servers mal den Zugriff versuchen NACHDEM du die Freigabe neu an der Fritzbox eingerichtet hast.