[Gelöst] FB7490 - Portfreigabe IPv4 nicht möglich

V the Streetkid

New member
Hallo,

ich habe das Problem, dass die FB7490 partout meine Portweiterleitungen blockiert. Es handelt sich um TCP 22, 80 und 443. Also SSH, HTTP und HTTPS. Hinter der FB befindet sich ein HyperV mit einer Sophos FW als VM. Hinter dieser VM befindet sich eine DMZ, in welcher der Server eingerichtet ist (ebenfalls VM).

Die Sophos FW arbeitet einwandfrei. Ich kann aus dem Netz der FB heraus alle drei Ports einwandfrei erreichen. Aber die FB blockiert / leitet nicht weiter. Die folgenden Gegebenheiten wurden bereits gecheckt:
  1. Es sind keine Fritz!Box-Dienste aktiviert.
  2. Die IPv4-Adresse, an welche die Ports weitergeleitet werden sollen, ist vorhanden.
  3. Die Sophos FW nimmt die Ports sauber an und leitet ihrerseits an den betreffenden Server in der DMZ weiter.
  4. Der Internetanschluss hat eine IPv4-Adresse sowie eine IPv6-Adresse.
  5. Das ganze Setup hat 1:1 an einem anderen Anschluss mit einem anderen Router sauber funktioniert. Es wurde am Setup nichts geändert. Einzig der Anschluss ist ein anderer jetzt, und es hängt eine FB7490 davor, statt eines anderen, sauber arbeitenden Routers.
Was bereits versucht worden ist:
  1. HyperV von der FB getrennt, aus der FB gelöscht (inaktive Verbindungen), anschließend Gerät neu finden lassen und Portfreigaben neu angelegt in der FB
  2. Der Sophos FW eine neue MAC vergeben und damit neues Gerät in FB-Liste forciert, die Portfreigaben in FB neu angelegt
  3. Sophos als Exposed Host eingerichtet
  4. Eintrag aus der FB-Liste wieder entfernt (zurückgesetzt) und Portfreigabe mit manueller IP eingetragen, der Sophos FW anschließend genau diese IP fest vergeben (siehe diesen Post in diesem Forum)
  5. FB Werksreset und, nachdem es auf dem Standard-Weg nicht funktioniert hat, die oberen Punkte erneut durchgespielt
Ich bin an einem Punkt angelangt, an dem ich AVM verfluche. Mit keinem anderen Router hatte ich jemals solche Probleme. Bevor wir jetzt AVM-Support einschalten, hat jemand eine wirklich zuverlässig funktionierende Lösung für dieses nicht nachvollziehbare Problem?

Vielen Dank und Grüße
 
Zuletzt bearbeitet:
Hi,

Sophos mal als exposed Host in der Fritzbox eingetragen (vgl. hier)? wie sieht es aus, wenn Du testweise auf der Sophos eine entsprechende DNAT-Regel erstellst und die Fritzbox-Portweiterleitung auf die Sophos setzt?
 
Hi blurrrr,

Sophos mal als exposed Host in der Fritzbox eingetragen (vgl. hier)?
Sorry, das hatte ich vergessen zu erwähnen. Ja, das wurde ebenfalls versucht. Habe ich oben ergänzt.

wie sieht es aus, wenn Du [...] Fritzbox-Portweiterleitung auf die Sophos setzt?
Ich gehe mal davon aus, dass du damit sagen willst, dass ich testweise das Webinterface der Sophos freigeben soll, statt den Server, der dahinter hängt.

Was genau soll das bringen, wenn ich bereits verifiziert habe, dass der Server hinter der Sophos aus dem Netz der FB heraus ordnungsgemäß erreichbar ist? In den DNAT-Regeln der Sophos FW ist auch das Quellnetz nicht weiter eingeschränkt, was noch theoretisch hätte stören können, an dieser Stelle. Insofern kann ich davon ausgehen, dass auch das nicht funktionieren würde.

Ich kann außerdem sagen, dass das Ganze 1:1 an einem anderen Anschluss mit einem anderen Router einwandfrei in Betrieb war. Das habe ich nur zu einem anderen Anschluss transportiert. Es handelt sich also auch nicht um eine Neuinstallation, in diesem Kontext, sondern um eine bereits funktionierende Installation. Das bedeutet: es kann nur die FritzBox sein, die hier der Störfaktor ist.

Hier einmal als Stütze ein Screenshot-Ausschnitt der DNAT auf der Sophos:
1672617508157.png
(Port2 ist WAN)
 
Zuletzt bearbeitet:
Ich gehe mal davon aus, dass du damit sagen willst, dass ich testweise das Webinterface der Sophos freigeben soll, statt den Server, der dahinter hängt.
Nein, das Webinterface meinte ich damit nicht.
Was genau soll das bringen, wenn ich bereits verifiziert habe, dass der Server hinter der Sophos aus dem Netz der FB heraus ordnungsgemäß erreichbar ist? In den DNAT-Regeln der Sophos FW ist auch das Quellnetz nicht weiter eingeschränkt, was noch theoretisch hätte stören können, an dieser Stelle. Insofern kann ich davon ausgehen, dass auch das nicht funktionieren würde.
Von was für einer DNAT-Regel redest Du jetzt? Eine die schon vorhanden war, bzw. welche sind überhaupt vorhanden(?), oder von der, die ich grade erwähnte? So wie ich das bisher verstanden habe - die Portweiterleitung auf der Fritzbox ging ja direkt an den Zielhost, ergo wirst Du ja sowieso statische Routen für die Netze hinter der Sophos erstellt haben, somit dürfte auch keine entsprechende DNAT-Regel vorhanden gewesen sein. Bzgl. Internetzugang... IPv4, Dual-Stack, DS-Lite?
 
DNAT siehe Ergänzung meiner vorherigen Antwort. Also doch, die ist vorhanden und funktioniert ohne Probleme. Das hat das Setup auch zuvor an einem anderen Internetanschluss unter Beweis gestellt.

Die Sophos FW, sowie auch der Server dahinter, sind beide virtuelle Maschinen auf einem Hyper-V in einem rein virtuellen Netzwerk. Auch der Hyper-V selbst ist übrigens von der FB abgeschottet in einem anderen VLAN. Sämtlicher Internet-Traffic läuft über die Sophos. Der Switch, der die VLANs bereitstellt, ist Teil des Pakets, das ich ausgeliefert habe. D. h. auch hier ist alles bereits verifiziert.

Internet von der DMZ und vom LAN aus funktionieren auch ohne Probleme. D. h. die Sophos arbeitet. Und in Richtung Outbound auch die Fritzbox. Inbound scheint sie sich einfach zu weigern die Ports weiterzuleiten, auch wenn sie grün (also aktiv) angezeigt werden:

1672618150085.png
 
Das muss nix heissen, wenn die Portfreigaben als aktiv angezeigt werden (jedenfalls meine Erfahrung)... Portfreigaben rausschmeissen, Fritzbox rebooten, Portfreigaben wieder rein haste mal versucht?

Eventuell auch mal das Logging für den eingehenden Traffic zur Owncloud einschalten.
 
Das ist alles im obersten Post nachzulesen, dass das bereits versucht wurde. Und in den Sophos-Logs taucht auch keine Anfrage dazu auf - außer die, die ich selbst aus dem Netz der FB heraus getätigt habe.
 
Hier mal ein grobes Schema der Installation, damit das evtl. verständlicher ist:
Code:
╔════════════════╗ ╔══════════════════════════════════╗
║ Fritz!Box 7490 ║ ║ Hyper-V                          ║
╟─────┬─────┐    ║ ║ ┌─────────────────┐ ┌──────────┐ ║
║ WAN │ LAN │    ║ ║ │ Sophos FW       │ │ OwnCloud │ ║
╚══╪══╧══╪══╧════╝ ║ ├─────┬─────┬─────┤ ├─────┐    │ ║
───┘     │         ║ │ WAN │ LAN │ DMZ │ │ LAN │    │ ║
         │         ║ └──┼──┴──┼──┴──┼──┘ └──┼──┴────┘ ║
         │         ║    │     │     └───────┘   ┌─────╢
         │         ║    │     │                 │ LAN ║
         │         ╚════╪═════╪═════════════════╧══╪══╝
         └──────────┐┌──┘     │      ┌─────────────┘
╔════════════════╤══╪╪═══╤════╪══╤═══╪═══╗
║ Managed Switch │ VLAN3 │ VLAN2 │ VLAN1 ║
╚════════════════╧═══════╧═══════╧═══════╝
 
Moin … und frohes Neues!

Die Sophos FW arbeitet einwandfrei. Ich kann aus dem Netz der FB heraus alle drei Ports einwandfrei erreichen. Aber die FB blockiert / leitet nicht weiter.

Für mein Verständnis. Du kannst die Ports aus dem Fritzbox LAN heraus erreichen, also anpingen (was ein Wort). Kannst du denn aus dem Fritzbox LAN heraus, lokal auf OwnCloud in der DMZ zugreifen bzw. das Webinterface aufrufen? Oder funktioniert der Zugriff nur über das Internet nicht?

Tommes
 
Bei DualStack reicht es nicht, nur Portfreigaben für ipv4 zu konfigurieren, wenn der Domain-Name sowohl auf ipv4, als auch ipv6 aufgelöst werden kann. Wenn bspw. die myfritz-Domain, oder ein CNAME-Record auf die myfritz-Domain verwendet wird, dann wäre es der Fall.

Alle Clients, die über ipv6 reinkommen würden, würde ins Leere schauen....
 
Hi,

danke, ebenfalls ein frohes neues Jahr.
Kannst du denn aus dem Fritzbox LAN heraus, lokal auf OwnCloud in der DMZ zugreifen bzw. das Webinterface aufrufen? Oder funktioniert der Zugriff nur über das Internet nicht?
Ganz genau das. Aus dem Fritz!Box-LAN heraus kann ich die OwnCloud erreichen (Webinterface und SSH). Aus dem Internet geht das nicht.
Bei DualStack reicht es nicht, nur Portfreigaben für ipv4 zu konfigurieren, wenn der Domain-Name sowohl auf ipv4, als auch ipv6 aufgelöst werden kann.
[...]
Alle Clients, die über ipv6 reinkommen würden, würde ins Leere schauen....
Das ist mir bewusst. Der Domainname wird aber nur auf IPv4 aufgelöst. Dafür ist gesorgt. Insofern sollte die Konfiguration wohl ausreichen. Aber DualStack wurde ebenfalls bereits ausprobiert (also Weiterleitung auch auf IPv6, die FW wurde ebenfalls hierfür auf DualStack konfiguriert). Das hat auch nicht funktioniert, also wurde das wieder zurück gebaut.
 
Mahlzeit! Wie sieht das denn mit einem Paketmitschnitt des Traffics der WAN/LAN-Seite der Fritzbox aus? Da müsste ja zumindestens das eingehende Paket sichtbar sein (und theoretisch sollte auch ein ausgehendes).
 
Wie sieht das denn mit einem Paketmitschnitt des Traffics der WAN/LAN-Seite der Fritzbox aus?
Die entsprechenden Anfragen tauchen in den Mitschnitten nicht auf. Weder, wenn die Freigaben aktiv sind, noch ohne Freigaben. Auch als Exposed Host nicht. Ich sehe allerdings anderen Internet-Traffic.

Versuche enden mit Timeout.

Ja, es handelt sich um die korrekte öffentliche IPv4-Adresse, die aufgerufen wird. Und zwar sowohl als Namensauflösung, wie auch Direktaufrufe per IP - und beides natürlich auch von außen.

So befinde ich mich z. B. ganz woanders und bin aber per Anydesk mit dem Server verbunden und kann so diverse Versuche durchführen. Ich weiß also, welche IP es ist und DynDNS funktioniert einwandfrei.

was wäre denn, wenn du es mal über eine MyFRITZ DDNS Adresse versuchst?
Mir erklärt sich nicht, was genau das ändern sollte. Warum soll es sich mit einem anderen DynDNS anders verhalten als mit dem vorhandenen bzw. mit IP-Aufrufen?
 
Die entsprechenden Anfragen tauchen in den Mitschnitten nicht auf. Weder, wenn die Freigaben aktiv sind, noch ohne Freigaben. Auch als Exposed Host nicht. Ich sehe allerdings anderen Internet-Traffic.
Die IPv4-Anfragen - sofern es sich nicht um DS-Lite handelt und wirklich um die korrekte öffentliche IPv4-Adresse (WAN Fritzbox), "müssen" im Fritzbox-WAN-Mitschnitt auftauchen. Andernfalls würde das bedeuten, dass die Pakete noch nichtmals dort ankommen, was wiederum div. Gründe haben kann (DS-Lite, ISP blockt schon vorher irgendwas, etc.).
 
Das werde ich in Erfahrung bringen, ob es sich um DS-Lite handelt. Das würde bedeuten, dass IPv6-Freigaben allerdings funktionieren müssten. Das werde ich noch prüfen. Dafür muss ich nochmal die Firewall umstellen. Ich melde mich.
 
Ja, das Thema DS-Lite hatte ich gar nicht auf dem Schirm. Und tatsächlich:

1672672482890.png

Demzufolge beantragen wir bei 1&1 mal einen richtigen DualStack und schauen dann weiter.

Falls danach noch etwas ist, melde ich mich. Ansonsten kann das Thema damit wohl als gelöst betrachtet werden. Danke.
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
4.383
Beiträge
45.248
Mitglieder
3.984
Neuestes Mitglied
Blitzkriegbob90
Zurück
Oben