Hilfe bei der Einrichtung FRITZ!Box 7590 als Mesh-Repeater für den Außenzugriff

[Kassiopeia]

Guten Abend,

heute ist nun meine langersehnte FRITZ!Box 7590 angekommen, die ich hinter einer FRITZ!Box 6860 5G als Mesh-Repeater betreiben möchte. Dies hat mehrere Gründe:

Alle Fensterscheiben dieser Wohnung sind beschichtet, was jegliches Signal, ob WLAN, DECT oder Mobilfunk stark abschirmt. Daher ist es mit der 7590 nun endlich störungsfrei möglich mit dem FRITZ!Fon C6 zu telefonieren, weil dieses nicht mehr mit der DECT-Basis der 6860 5G verbunden ist, sondern mit der 7590, die sich innerhalb der Wohnung befindet. Die 6860 5G wurde an einer Außenfensterscheibe befestigt.

Es kommt ein moderneres WLAN zum Einsatz. Bisher wurde ein FRITZ!WLAN-Repeater 1750E verwendet, welcher schon lange nicht mehr unterstützt wird und über ein sehr altes FRITZ!OS verfügt.

Last but not least wollte ich an die 7590 ein oder zwei Datenträger als private Cloud anschließen, auf die ich auch von unterwegs zugreifen kann, denn an der 6860 5G wurde der USB-Port wegrationalisiert.

Die Einrichtung als Mesh-Repeater habe ich soweit hinbekommen, DECT ist verbunden, PC, Smartphone und SmartTV sind online, allerdings verstehe ich nicht, wie ich so den Zugriff von Außen auf die Datenträger realisieren soll. Die 7590 erhält keine öffentliche IPv4, die 6860 5G hingegen schon. Das Feature "öffentliche IPv4-Adresse" habe ich bei o2 gebucht, hierfür wird der APN netpublic verwendet und das 5G NSA-Netz, mit 5G SA funktioniert dies auch technischen Gründen noch nicht.

Könnte mir hier jemand helfen den Außenzugriff auf die Datenträger zu konfigurieren? Ich habe mich heute stundenlang damit beschäftigt, die Box beinahe aus dem Fenster geworfen, weil es anfangs auch mit der Mesh-Einrichtung gehapert hat.

Ich danke euch.

 

[blurrrr]

Hi,

das einfachste wäre wohl ein Zugriff via VPN, was mit einer öffentlichen IP-Adresse auch kein Problem darstellen sollte. Somit ist die äussere Fritz!Box Dein Weg in Dein Heimnetz. Ich habe allerdings noch nie eine Fritz!Box mit Datenspeicher genutzt, von daher die erste und wichtigste Frage: Hast Du die interne Fritz!Box denn schon soweit, dass sie Dir die Daten zur Verfügung stellt (rein im lokalen Netz) und Du auch Zugriff darauf hast?

Du hast halt bisher nur geschrieben...

Die Einrichtung als Mesh-Repeater habe ich soweit hinbekommen, DECT ist verbunden, PC, Smartphone und SmartTV sind online, allerdings verstehe ich nicht, wie ich so den Zugriff von Außen auf die Datenträger realisieren soll.

Funktioniert denn der Zugriff von "intern"? Falls dem so sein sollte, bist Du schon fast am Ziel. Besteht allerdings intern auch noch kein Zugriff, musst Du Dich erstmal darum kümmern.

EDIT: Am einfachsten dürfte heutzutage wohl Wireguard sein, da Dir - soweit ich weiss - die Fritz!Box direkt nach der Einrichtung einen QR-Code unter die Nase hält, welche Du dann mit der Smartphone-App einfach scannen kannst. Schau einfach mal hier nach: https://fritz.com/service/vpn/wireguard-vpn-zur-fritzbox-am-smartphone-oder-tablet-einrichten/.

 

[Kassiopeia]

Ja, ich konnte gerade ein Netzlaufwerk auf den an der Box angeschlossenen USB-Datenträger mit der IP-Adresse der 7590 einrichten und bekomme auch Zugang dazu.

 

[Kassiopeia]

Darf ich Deiner Aussage @blurrrr entnehmen, dass ich nicht mehr über die MyFritz-Adresse auf diese Datenträger zugreifen kann? Ich hatte, bis ich mir die 6860 5G zugelegt habe, die 6850 5G betrieben und an dieser die Datenträger über USB verbunden. Damit war es mir auch immer möglich, Daten, die sich auf den Datenträgern befanden zu teilen, d.h. den Personen, denen ich diese Daten zur Verfügung stellen wollte, Links zuzusenden, damit sie diese darüber von meinen Datenträgern herunterladen oder ansehen konnten. Es ist mir ein Graus, jedem einen VPN-Zugang einrichten zu müssen, dem ich etwas teilen möchte. Die Person ist dann mit meiner IP nach außen hin sichtbar und kann damit auch Unfug betreiben.

 

[blurrrr]

Na das liest sich doch schon ganz gut. Wenn Du das via Netzlaufwerk "via IP" beibehälst, gehst Du auch direkt (möglichen) Problemen mit der Namensauflösung aus dem Weg. Bis hierhin alles imi grünen Bereich. Das einzige was jetzt noch fehlt, wäre der entsprechende VPN-Zugang. Ich bin erstmal von einem Smartphone ausgegangen, Du kannst das Wireguard-VPN aber auch von einem Rechner aus nutzen, dazu schaust Du einfach nochmal hier vorbei: https://fritz.com/service/vpn/wireguard-vpn-zur-fritzbox-am-computer-einrichten/.

 

[Kassiopeia]

An welcher Box, also 6860 5G oder 7590, muss ich den Wireguard-Zugang einrichten? Wie erhalte ich dann Zugriff auf die Daten, die am Datenträger der 7590 sind? Wenn ich einen VPN-Zugang an der 6860 5G konfiguriere, komme ich doch nur auf die 6860 5G, wie gelange ich dann an die Daten?

Eine Link-Freigabe der Daten ist nicht mehr möglich, sehe ich das richtig?

 

[blurrrr]

An welcher Box, also 6860 5G oder 7590, muss ich den Wireguard-Zugang einrichten?

An jener, die von extern "direkt" erreichbar ist, also nicht die 7590.

Wie erhalte ich dann Zugriff auf die Daten, die am Datenträger der 7590 sind?

Bei verbundenem VPN genau so, wie Du es auch schon eingerichtet hast. Netzlaufwerk via (interner) IP der 7590.

Stell Dir das einfach mal so vor: Du hast ein Haus. In Deinem Haus gibt es eine Küche mit Kühlschrank. Kannste halt nur dran, wenn Du im Haus bist. Soweit ja klar. Nun bist Du im Urlaub und willst an Deinen Kühlschrank. Was nun? Sagen wir einfach, dass so ein VPN-Tunnel wie so ein Kinderkrabbeltunnel ist. Niemand kann reinschauen und nur Du kannst durchkrabbeln. Nun sitzt Du im Urlaub in Deinem Hotelzimmer und willst an Deinen Kühlschrank. Nun kannst Du die VPN-Verbindung herstellen (Krabbeltunnel von Deinem Hotelzimmer bis hinter Deine Haustür legen) und kommst Du in Dein Haus. Da musst Du jetzt nicht mehr fragen, wie Du an Deinen Kühlschrank kommst, denn das weisst Du ja schon

Wenn ich einen VPN-Zugang an der 6860 5G konfiguriere, komme ich doch nur auf die 6860 5G, wie gelange ich dann an die Daten?

Falsch! Du kommst nicht "nur" auf die 6860, Du kommst in Dein "gesamtes Heimnetzwerk". Hast Du Zuhause z.B. einen Drucker, könntest Du ihn nutzen (sofern eingeschaltet). Hast Du Zuhause irgendwas anderes, was Du via interner IP ansprechen kannst, so kannst Du das auch von extern via aufgebautem VPN-Tunnel tun. Wie gesagt... Krabbeltunnel in Dein Haus. Wenn der Krabbeltunnel erstmal da ist und Du durchgegangen bist, kannst Du an alles im Haus und nicht nur an den Kühlschrank.

Eine Link-Freigabe der Daten ist nicht mehr möglich, sehe ich das richtig?

Das ist richtig, da die (rein interne) Fritz!Box dann nicht mehr direkt von extern erreichbar ist. Alternativ schiebt man die freizugebenden Dinge irgendwo in eine Cloud.

Nochmal ganz anders... ein vernünftiges NAS (z.B. Synology oder QNAP, ein kleines reicht da auch völlig) wäre vermutlich auch nicht verkehrt, die haben sich für solche Szenarien halt auch diverse Dinge ausgedacht. Ich persönlich habe hier noch einen Vorgänger (DS218j) des aktuellen Modells einer Synology DS223j stehen. Nutze ich allerdings nur rein intern (Datengrab) und ist sicherlich auch kein Rennschlitten. Gibt es bei Amazon derzeit für 190€, ist allerdings erstmal nur ein Gehäuse. Dort packt man dann 1-2 Festplatten rein (besser 2, da kann man das ganze im Raid1 laufen lassen, da werden die Platten zur Ausfallsicherheit gespiegelt (ist also effektiv nur der Speicherplatz von einer Festplatte nutzbar)). Wenn Du das mit dem VPN/Fritz!Box-Speicher wirklich ausgiebig nutzt und auch gern Freigabe-Links für Freunde/Bekannte/Kollegen nutzt, wäre sowas vermutlich noch eine ganz sinnvolle Erweiterung für Dich. Dazu kommt dann aber mindestens noch eine USB-Festplatte, damit man die Dinge vom NAS auch nochmal sichern kann. Kurzum: So ein Projekt kostet schon erstmal ein paar Mark, aber wenn man damit erstmal warm geworden ist, will man davon auch nicht mehr weg. Dazu kommt noch der Umstand, dass die besseren Geräte auch noch mehr können z.B. Virtualisierung:

Virtualisierung verwendet Software, um eine Abstraktionsschicht über Computerhardware zu erstellen, die es ermöglicht, die Hardwareelemente eines einzelnen Computers – Prozessoren, Arbeitsspeicher, Speicher und mehr – in mehrere virtuelle Computer zu unterteilen, die allgemein als virtuelle Maschinen (VMs) bezeichnet werden. Jede VM führt ihr eigenes Betriebssystem aus und verhält sich wie ein unabhängiger Computer, obwohl sie nur auf einem Teil der eigentlichen zugrunde liegenden Computerhardware ausgeführt wird.

(Quelle: https://www.ibm.com/de-de/topics/virtualization)

Ist aber nochmal ein ganz anderes Thema... Hier geht es ja erstmal nur um Zugriff auf Dateien Schau Dir mal die Sache mit dem VPN an und wenn Du ein Netzlaufwerk schon auf einem Laptop eingerichtet hast... Richte Dir mal ein VPN ein, danach kappst Du beim Laptop alle Netzwerkverbindungen zum heimischen Netzwerk, machst einen Hotspot mit dem Handy auf, verbindest den Laptop mit dem Handy-Hotspot (damit Du in diesem Moment auch von "extern" kommst), wählst Dich mit dem Laptop via VPN ein und greifst mal auf Dein zuvor eingerichtetes Netzlaufwerk zu

 

[Kassiopeia]

Ich habe es gerade genauso hinbekommen via VPN.

Diese 7590 wurde mir vonseiten AVM kostenfrei zur Verfügung gestellt, also geschenkt, weil ich mit der 6850 5G nur Ärger hatte was den Betrieb der Festplatten betrifft. Daher hatte ich einen netten Mitarbeiter, der mir für meine Mühen über mehrere Monate die 7590 schenken wollte. Diesem habe ich mein Vorhaben erklärt und auch, dass es für mich wichtig ist wieder Freigaben mit Links erteilen zu können. Er versprach mir, dass dies möglich sei, auch wenn die 7590 nicht direkt am Internetanschluss hängt. Kommerzielle Cloud habe ich bereits: OneDrives bei Microsoft.

Ich habe über die Jahre und Jahrzehnte viele Daten, Umfang etwa 22 TB, gesammelt, die sich nun auf diesen Clouds befinden, von mir in mühevoller Kleinstarbeit hochgeladen wurden, weil ich nicht wusste, wann ich die 7590 nun wirklich erhalte. Eine Sendung mit diesem Router wurde bereits von einem DHL-Boten geschnappt und nicht an mich ausgehändigt, gleichwohl er in der Sendungsverfolgung angab dieses Paket an mich persönlich ausgehändigt zu haben. An dem Tag war ich aber gar nicht vor Ort, daher kann ich die Box nicht angenommen haben. Eine von AVM veranlasste Nachforschung blieb ergebnislos, weswegen man mir eine zweite 7590 zusandte, die heute ankam. Diese Daten hätte ich gern wieder auf meinen Platten, da die OneDrives auf Dauer mächtig ins Geld gehen und eine private Cloud noch immer kostenfrei ist. Hierbei wollte ich auch verschiedenen Personen wieder Daten freigeben und das wurde mir vonseiten AVM versprochen dass das auch mit einer 7590 hinter der 6860 5G funktioniert.

Ein NAS ist natürlich eine Überlegung wert, allerdings sind mir kürzlich zwei der Festplatten, auf denen sich die Daten befanden über´n Jordan gegangen, d.h. ich muss mich hier auch erst einmal um Ersatz bemühen. 22 TB an Kapazität sind aber auch nicht gerade günstig, auch nicht bei klassischen HDDs (also nicht SSDs). Hier kommt man auf etwa 450 - 500 Euro. Dann noch ein NAS? Dann wäre ich locker bei 800 - 900 Euro, wenn nicht noch mehr. Das kann ich mir nun wirklich nicht erlauben. Daher war mein dringender Wunsch, dies über die Box zu realisieren und die Daten mit Links weiterhin über diese freizugeben.

 

[blurrrr]

Er versprach mir, dass dies möglich sei, auch wenn die 7590 nicht direkt am Internetanschluss hängt.

Naja, "vielleicht" geht es ja über die 7590, auch wenn die Fritz!Box nicht mit einem MyFritz!-Account gekoppelt ist. Dann wäre es nur eine Portfreigabe (vermutlich HTTP/HTTPS?), welche von der vorgeschalteten Fritz!Box auf die interne zeigen sollte.

Umfang etwa 22 TB

Das ist natürlich schon recht happig...

Diese Daten hätte ich gern wieder auf meinen Platten, da die OneDrives auf Dauer mächtig ins Geld gehen

Das auf jeden Fall, günstig ist sowas dann nicht mehr...

und eine private Cloud noch immer kostenfrei ist.

Kann man so jetzt auch nicht sagen, Anschaffungs- und Betriebskosten, aber zumindestens bleibt sowas dann auch intern.

Hierbei wollte ich auch verschiedenen Personen wieder Daten freigeben und das wurde mir vonseiten AVM versprochen dass das auch mit einer 7590 hinter der 6860 5G funktioniert.

Also wenn man mal hier nachschaut... https://fritz.com/service/wissensda...3_FRITZ-NAS-Inhalte-per-Download-Link-teilen/, dort steht nur etwas von "MyFritz! einrichten (empfohlen)". Also wird es auch ohne direkte Kopplung einer MyFritz!Adresse mit der Freigabe funktionieren. Es "könnte" allerdings etwas lästig werden, denn... Falls Du keinen alternativen FQDN (host.domain.tld) angeben kannst, so dürften die Links dann in der Form "https://192.168.x.x/...." erzeugt werden, was natürlich von extern nicht aufgerufen werden kann. So müsste man die Links immer händisch nachbearbeiten und die interne IP durch den externen FQDN ersetzen (MyFritz-Adresse, oder sonstige DynDNS-FQDNs).

Ich habe sowas nie genutzt, für mich war der Router immer nur eins: Die Brücke zwischen dem Internet und meinem privaten Netzwerk. Allerdings liest sich das schon so, als würde es funktionieren. Du wirst dann aber noch mit einem anderen (unschönen) Problem zu tun haben: Du wirst von extern eine Fehlermeldung bzgl. dem HTTPS-Zertifikat bekommen. Die Fritz!Box an der Front wird sowas vielleicht passend haben (da der FQDN auch auf diese Box zeigt). Die 7590 weiss von all dem allerdings nichts (sofern man da nicht händisch einen FQDN angeben kann wie oben erwähnt). Insofern wird https://fqdn/... (FQDN = Fritz!Box an der Front) dann mit einem Zertifikat antworten (7590), welches nicht für den FQDN ausgestellt ist. Da wird es dann eine Sicherheitswarnung geben:



Der dort aufgerufene FQDN ist mit einem Balken geschwärzt. Man kommt zwar "weiter" (Klick auf "Erweitert...", Klick auf "Risiko akzeptieren und fortfahren"), dennoch ist die Meldung nicht grade schön, insbesondere für externe, welche erstmal mit einer Warnung bzw. einer Meldung über ein Sicherheitsrisiko konfrontiert werden. Musste halt mal schauen, ob es so für Dich passt, oder ob man ggf. auch einen alternativen FQDN bei der 7590 eintragen kann.

Was die Sache mit dem NAS angeht... Du scheinst ja momentan alles via USB-HDDs abzuwickeln. Die sind lokal am Rechner natürlich auch um einiges flotter. Vielleicht wäre so als "Einstieg" auch erstmal nur ein kleines NAS mit einer kleinen Festplatte eine Lösung. Lösung im Hinblick den Zugriff auf einen "kleinen" Datenbestand. Also ich hab schon nicht "viel" an Daten (weniger als 4TB), aber ich muss sicherlich nicht immer an alles dran (insbesondere nicht an Sicherungen, welche noch auf dem NAS liegen und sowas von extern eh nicht). Wäre vielleicht auch eine Überlegung wert, aber ich kann auch nachvollziehen, dass man sowas lieber mit vorhandenen Mitteln realisieren will

Schau einfach mal nach, wie es sich bei der 7590 mit dem FQDN verhält und falls da nichts zu machen ist, einfach mal via Portweiterleitung von extern auf die interne IP der 7590 umleiten und den Zugriff von extern testen.

 

[Kassiopeia]

Also Portweiterleitungen und FQDN und dergleichen sind für mich Böhmische Dörfer. Ich kenne mich damit wirklich nicht aus, die Mesh-Einrichtung hat mich heute schon an den Rand der Verzweflung beinahe gebracht. Ich weiß bis jetzt nicht, wie ich das hinbekommen habe. Daher sind diese Konfigurationen für mich ohne Unterstützung durch Dritte nicht realistisch.

Ja, eine NAS wäre wirklich eine Lösung, aber wenn, dann muss ich alle Daten zurückholen, sonst zahle ich mich dennoch für die restlichen Daten auf der Cloud zum Schänzchen. Ich möchte die Clouds komplett wieder abstoßen und diese Kosten sparen. Daher denke ich, dass ich mir 22 TB an HDDs bei Otto mit Ratenplan besorge, denn die Raten sind immer noch niedriger, als das, was ich derzeit für die Clouds enrichten muss.

 

[blurrrr]

Also Portweiterleitungen und FQDN und dergleichen sind für mich Böhmische Dörfer.

Ist ja kein Problem FQDN steht einfach nur für "fully qualified domain name" und hat was mit DNS (Namensauflösung) zu tun. Es gibt halt i.d.R. "Namen" (www.example.com) statt IP-Adressen. Zumindestens für uns Menschen. Um diese Namen geht es dabei auch. In der Regel sieht es halt so aus: "host.domain.tld", wie eben z.B. "www.example.com". Wenn Du z.B. eine MyFritz!-Adresse hast, dann meine ich mit FQDN folgenden Teil "sdftedfbgetrbwfsg.myfritz.net" (beispielhaft). Die MyFritz!-Adressen haben ja immer einen dynamischen Teil (host) zzgl. dem statischen Teil (domain.tld). Mit FQDN ist das komplette Gebilde gemeint

Bzgl. der Portweiterleitung...

Als Grundlage besteht erstmal ein NAT. Jedes IP-Paket hat eine Quell- und eine Ziel-IP. Jedes Gerät im Netzwerk hat eine IP. Sprichst Du z.B. Deinen Router (Fritz!Box) von Deinem Client (beispielhaft 192.168.178.100) aus an, sieht es in so einem Paket wie folgt aus:

Ziel: 192.168.178.1
Quelle: 192.168.178.100

192.168.x.x ist ein "privater" IP-Bereich. IPs aus diesem Bereich werden im Internet nicht weitergeleitet. Diese "privaten" IP-Adressen können auch mehrfach vorkommen. Jeder der Zuhause eine Fritz!Box stehen hat (und das Netz nicht verändert), hat private IPs aus dem Bereich 192.168.178.x. Sprichst Du z.B. nun einen Google-Dienst an (8.8.8.8 = Google-DNS), "könnte" die Antwort zwar bis zum Ziel kommen, aber das Ziel weiss dann nicht, wohin es die Antwort schicken soll (192.168.x.x ist dem "Internet" nicht bekannt).

Also ist man hingegangen und hat NAT ins Leben gerufen. Angenommen Du rufst mit Deinem Client den Google-DNS-Dienst auf, sieht das Paket erstmal wie folgt aus:

Ziel: 8.8.8.8
Quelle: 192.168.178.100

Da die Pakete aus dem Netz 192.168.x.x nun im Internet sofort verworfen werden, muss also eine Lösung her. Die Lösung wurde in Deinem Router implementiert. Der Router nimmt nun eine "Network Address Translation" (NAT bzw. konkreter ein Quell-NAT) vor, was kurz gesagt bedeutet, dass die Quell-IP (zu diesem Zeitpunkt noch die interne "private" IP Deines Clients) mit der "öffentlichen" IP Deines Routers im Internet (beispielhaft 1.2.3.4) überschrieben wird:

Ziel: 8.8.8.8
Quelle: 1.2.3.4

Konkreter ist es sogar so, dass "alles" was hinter der Fritz!Box nach draussen will mit diesem Mechanismus umgeschrieben wird. Da nun als Quelle eine öffentlich erreichbare IP angegeben ist, kann das Zielsystem die Antwort auch wieder zurück an diese Adresse schicken. Der Router hat sich derweil gemerkt, was er umgeschrieben hat und wenn eine Antwort den Router erreicht, schaut er in seinen Tabellen nach (wo er sich die Umschreibungen gemerkt hat) und schreibt in diesem Fall die Ziel-IP wieder um. So wird dem originalen Antwort-Paket...

Quelle: 8.8.8.8
Ziel: 1.2.3.4

... beim Router dann ein ....

Quelle: 8.8.8.8
Ziel: 192.168.178.100

Oben drauf kommt nun noch die Portweiterleitung, sagen wir einfach mal für HTTPS (Port 443/tcp). Wenn es nun keine vorherige Anfrage aus dem internen Netz gab, darf erstmal nichts von aussen durch den Router in das interne Netz. Nehmen wir als IP des externen beispielhaften Clients einfach mal die IP 5.6.7.8. Grundsätzlich würde so eine Anfrage dann wie folgt aussehen:

Quelle: 5.6.7.8
Ziel: 1.2.3.4
Port: 443
Protokoll: TCP

Das Paket kommt zwar am Router an, wird dann aber sofort verworfen, weil... darf halt nicht (sonst könnte ja jeder). Eine Portweiterleitung (bei gleichbleibendem Port) sorgt dafür, dass Dinge, die am Router auf einem bestimmten Port ankommen, weiter nach nach innen weitergeleitet werden (daher auch die "Weiterleitung"). Nehmen wir einfach mal an, dass die 7590 die IP 192.168.178.50 hat. Eine Portweiterleitung verändert auch hier das oben stehende Paket wie folgt:

Quelle: 5.6.7.8
Ziel: 192.168.178.50
Port: 443
Protokoll: TCP

Wie man sieht, wird hier auch eine Adresse umgeschrieben, doch dieses mal ist es nicht die "Quelle", sondern das "Ziel". Hier handelt es sich auch wieder um ein NAT, diesese mal aber um ein "Ziel"-NAT (die Ziel-IP wird also umgeschrieben).

Wenn Du in Deiner Fritz!Box unter "Internet/Freigaben" schaust, wirst Du sehen, dass Du dort 3 Dinge eintragen kannst:

1) Ziel-IP
2) Port extern
3) Port intern

In so einem IP-Paket lassen sich nebst den IP-Adressen auch die Portnummern umschreiben. Bei einer "normalen" Weiterleitung wäre es z.B. so:

1) Ziel-IP: interner Webserver
2) Port extern: 443/TCP
3) Port intern: 443/TCP

Damit ist der HTTPS-Port auch ganz normal im Internet erreichbar via "https://<FQDN/IP>". Alternativ kann man aber auch hingehen und den externen Port auf einen höheren Port setzen, damit dieser bei Scans auf dem Port 443 nicht in Erscheinung tritt. Beispielhaft:

1) Ziel-IP: interner Webserver
2) Port extern: 9876/TCP
3) Port intern: 443/TCP

Somit wäre das ganze dann erreichbar über "https://<FQDN/IP>:9876", wobei man den Port halt immer händisch mit angeben müsste. Allerdings kann man sowas auch nicht immer machen, bei HTTP/HTTPS geht sowas noch, andere Dienste beharren mitunter auf ihren festgelegten Ports.

So... nun sollte klar sein, dass man nicht "einfach so" an die 7590 kommen "kann", weil die erste Fritz!Box sowas schon unterbindet. Die Lösung wäre hier eine entsprechende Portweiterleitung. Nun kommt es allerdings darauf an, welchen "Dienst" Du nutzt (HTTP, HTTPS, etc.). Jeder Dienst hat seine eigene/n Portnummer/n. Eine Übersicht findet man z.B. hier. Demnach definiert sich also, was Du an weiterzuleitenden Ports brauchst. Ziel-IP kann nur die interne IP der 7590 sein, was anderes würde hier ja auch keinen Sinn machen, Du willst ja die 7590 mit dem USB-Speicher ansprechen

 

[Kassiopeia]

Vielen Dank für diese sehr ausführliche Anleitung, die ich soweit begriffen habe. Herzlichen Dank für diese Mühe und Zeit!

Ich habe es nun geschafft, die 7590 von außen auch ohne VPN mittels Portweiterleitung erreichbar zu machen. Hierzu habe ich eine Weiterleitung auf die IP meiner 7590 (192.168.178.28) für den Port 49583 bis 49583 an dem Gerät (7590) mit dem gewünschten externen Port 7590 eingerichtet. Damit komme ich sowohl über MyFritz (xyz.myfritz.net:7590) über die 6860 5G als auch meine normale IP auf die 7590. Ich würde nun aber auch noch gern einen FTP-Server auf diese Art realisieren. Dazu habe ich den FTP-Server auf der 7591 aktiviert, diesem wurde der Port 45232 zugewiesen. Ich habe nun auf der 6860 5G eine weitere Portweiterleitung von Port 45232 bis 45232 an die 7590 mit dem gewünschten externen Port 7591 aktiviert. Ich komme aber von außem mit keinem FTP-Cllienten an die Daten, per VPN klappt das wunderbar. Woran kann das liegen? Die Portweiterleitung müsste korrekt sein. Ich müsste somit eigentlich mit meiner MyFritz-Adresse xyz.myfritz.net:7591 mittels eines FTP-Clienten darauf zugreifen können, aber das funktioniert nicht, auch nicht über meine normale IP sowie der Portangabe 7591.

Was mache ich falsch?

 

[Barungar]

FTP verwendet zwei Ports, einen Command- und einen Data-Port.
Oder meinst Du SFTP, dass kommt mit einem Port (nämlich den von SSH) aus.

 

[Kassiopeia]

Ich kenne mich damit überhaupt nicht aus. Ich weiß nicht welche Ports ich wie einrichten muss. Mein FTP-Client gibt folgende Meldungen aus:

"Status: Verbinde mit xx.xx.xx.xx:7591...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Status: Initialisiere TLS...
Status: TLS-Verbindung hergestellt.
Status: Angemeldet
Status: Empfange Verzeichnisinhalt...
Befehl: PWD
Antwort: 257 "/" is current directory.
Befehl: TYPE I
Antwort: 200 Type set to I.
Befehl: PORT 192,168,178,20,225,187
Antwort: 500 Illegal PORT Command
Befehl: PASV
Antwort: 425 Can't open passive connection (ERROR: error: not authorized)
Fehler: Verzeichnisinhalt konnte nicht empfangen werden"

Die FRITZ!Box 7590 (Mesh-Repeater) meldet im Log:

"Anmeldung des Benutzers Admin am FRITZ!Box FTP-Dienst von IP-Adresse XX.XX.XX.XX."

Ich komme aber dennoch nicht an meine Daten. Was läuft hier falsch?

 

[Barungar]

Japp, das ist eine FTP-Verbindung, wenn auch eine FTP/S (also verschlüsselt), und sie scheitert daran den Data-Port zu öffenen. Die Befehle, die man oben in Deinem Post sieht, laufen über den Command-Port. Den Command-Port hast Du durchgelassen.

Das Problem beginnt als der Stelle:
Befehl: PORT 192,168,178,20,225,187
Antwort: 500 Illegal PORT Command

Hier möchte er den Port für die Data-Verbindung nutzen und scheitert.

 

[Kassiopeia]

Ok, soweit verstanden und wie behebe ich dieses Problem? Wie gesagt, ich bin hier technischer Laie und verstehe nicht so viel davon. Was muss ich machen, um dieses Problem zu beseitigen?

 

[Barungar]

Puh, ich bin kein FTP-Experte... zumal das auch ein sehr "altes" Protokoll ist und meiner Meinung nach selbst als FTP/S dem SFTP nicht das Wasser reichen kann. Grundsätzlich braucht stets ZWEI Ports - das ist der Nachteil in meinen Augen. Es gibt den aktiven FTP-Modus und den passiven FTP-Modus.

Aktiver FTP-Modus: Client baut die Command-Verbindung auf und Server baut die Data-Verbindung auf. Dafür muss aber auf Client-Seite ein Port geöffnet werden, was oft durch Firewalls blockiert wird.
Passiver FTP-Modus: Client baut die Command-Verbindung auf und Client baut auch die Data-Verbindung auf.

Die Normalen FTP-Ports sind 20/tcp und 21/tcp.

Wenn Du sicherstellst, dass Du diese beiden Ports zu Deiner FritzBox freigibst, dann sollte eine passive Verbindung funktioneren.

 

[Kassiopeia]

Ich habe gerade nochmals alles, was mir an Portfreigaben in den Sinn kam versucht anzuwenden.

Nach außen kann ich aber nur einen Port freigeben, das soll der Port 7591 sein. Wie kann ich dann in den Portweiterleitungsregeln die beiden Ports auf die 7590 routen? In der Oberfläche der 7590 wird mir aber als "TCP-Port für FTP/FTPS" der Port 45232 angegeben, auf den ich auch weiterleite:

"Bezeichnung: FTP-Server
Protokoll: TCP
Port an Gerät: 45232 bis Port 45232
Port extern gewünscht: 7591"

Dennoch kommt keine Verbindung zustande.

 

[Spielebernd]

Setzt testweise mal „Exposed Host“ für die FB und schau ob die Verbindung dann klappt. Wenn nein liegt es zumindest nicht an einer Portfreigabe.

Wenn es klappt nimm den Port 187 hinzu oder erlaube das die FB selbst Ports öffnen und schließen darf.

 

[Kassiopeia]

Wie gesagt, ich bin hinsichtlich von Portfreigaben ein absoluter Laie, das ist nicht gelogen. Ich habe gestern lange gebraucht um die eine Freigabe hinzukriegen.

Sobald ich in "Port extern gewünscht" nochmals 7591 eintrage, erhalte ich in der Oberfläche eine Fehlermeldung, dass diese Freigabe bereits existiert. Wie soll ich da den Port 187 hinzunehmen? Das verstehe ich nicht. Ich habe eine Regel:

Bezeichnung: FTP-Server
Protokoll: TCP
Port an Gerät: 45232 bis 45232
Port extern gewünscht: 7590

Wie müsste dann die neue Freigabe mit dem Port 187 aussehen und wie erlaube ich dass die FRITZ!Box selbst Ports öffnen und schließen darf?