Port Weiterleitung in Subnet funktionert nicht

Ganz toll ... Du ich hab hier mittlerweile eine Firewall laufen und ja ich kann eine UI bedienen und ja, ich hatte deswegen bereits Kontakt mit AVM, die Einstellung gibt es bei mir nicht!! Du hast eine 7490 und ich eine 5490 und das ist ein Himmel weiter Unterschied! Und der Vollständigkeit halber, das sind meine Einstellungsmöglichkeiten:

2021-12-22.png

P.S.: Meine Fritte wurde vom Anbieter (lokale Stadtwerke) nicht verdengelt, da ich sie selbst gekauft habe. Ergo: die Funktion wird von AVM nicht bereitgestellt ...
 
Ich frag jetzt einfach mal ganz doof, weil ich es wirklich nicht weiß, aber…

… ist die Geschichte mit der Zwangstrennung, grade in Verbindung mit einem Glasfaseranschluss, überhaupt noch gegeben? Könnte das nicht der Grund dafür sein, das in deiner Fritzbox 5490 diese Option garnicht mehr verfügbar ist, eben weil keine Zwangstennung mehr stattfindet?

Sicherlich wirst du mir jetzt deine Fritzbox Protokolle um die Ohren hauen um mir zu beweisen, das die Zwangstrennung immer noch nicht abgeschafft wurde. Ich hatte aber eigentlich die Vision, das sich das Thema Zwangstrennung bei meinem zukünftigen Glasfaseranschluss bei der Telekom erledigt hätte? Vielleicht mag jemand meine möglichen Wissenslücken schließen.

Tommes
 
… ist die Geschichte mit der Zwangstrennung, grade in Verbindung mit einem Glasfaseranschluss, überhaupt noch gegeben?
Da wurde ich auch schon im Qnap Forum drauf aufmerksam gemacht. Für die großen Anbieter mag das sicherlich auch so sein, ich bin wie gesagt bei den lokalen Stadtwerken und welchen Anbieter die jetzt verwenden, kann ich gerade nicht mehr sagen, da ich es vergessen habe.
Bei mir ist es "leider" noch der Fall, dass die Verbindung alle 24h zwangsgetrennt wird. Anfangs war das immer Abends, wenn wir vorm Fernseher saßen und wir nutzen nur noch Streaming Dienste, ganz toll. Dann zu Pandemie- und HomeOffice-Zeiten war es immer während unserem täglichen Meeting, noch besser!
Ich habe die Stadtwerke auch auf den Umstand hingewiesen, dass das bei Glasfaser nicht mehr üblich sei, die konnten da aber auch nix machen...

P.S.: Eine whois-Anfrage auf meine öffentliche IP hat mir "Plusnet GmbH" als Anbieter ausgegeben.
 
Das ist natürlich alles sehr ärgerlich. Jedoch sehe ich her eher die Schuld bei deinem Anbieter und nicht bei der Fritzbox - um den Kreis wieder zu schließen. Ich vermute, das AVM die Zwangstrennungsoption eben nicht mehr eingebaut hat, da das bei einem Glasfaseranschluss als obsulet betrachtet werden kann. Aber selbst wenn du die Option hättest, den Zeitpunkt der Zwangstrennung frei zu wählen, bleibt halt die Frage, ob dein Anbieter das so auch akzeptiert. Da wäre es wohl egal ob du ein Modem von AVM, Netgear, Asus, Linksys, Draytek oder wem auch immer nutzen würdest. Vielleicht solltest du deinem Anbieter nochmal auf dem Zahn fühlen. Aber wie gesagt… ich kann da keine fundierten Aussagen treffen, sondern nur gut gemeinte Ratschläge. Keine Ahnung ob ich damit richtig oder falsch liege.

Tommes
 
Da es i.d.R. nie ohne Grund "24h"-Disconnect heisst, könntest Du einfach mal versuchen, zu einer Dir passenden Zeit, eine Neueinwahl vorzunehmen (alternativ einfach kurz Router neustarten). Mitunter orientiert sich die ganze Geschichte dann am letzten Einwahlzeitpunkt. Sobald allerdings "irgendwas" dazwischen funkt (Störung, Reboot des Routers, etc.), beginnt das Spielchen quasi von vorne. Einen Wikipedia-Artikel zum Thema Zwangstrennung gibt es natürlich auch noch 🙃
 
Das wäre aber mehr als dämlich.
Das "ist" aber oftmals so... Bevor es solche Möglichkeiten in der Fritzbox gab, wurde es so gemacht und was meinste, was die Fritzbox zu der von Dir voreingestellten Zeit denn dann macht? Richtig... die Verbindung wird von der Fritzbox getrennt und wieder neu aufgebaut, um den Start des Intervalls neu zu setzen.

Das wurde eigentlich nur gemacht um zuverhindern das der User zu lange die selbe IP hatte.
Das kann man so sehen, oder einfach anderer Meinung sein (Gründe dafür gibt es viele, wie z.B. die knappen IP-Adressen, zu lange Lease-Times, usw.) ☺️
 
Gab es auch nicht einmal die Problematik, als es noch keine Flatrates gab, das die Nutzer tagelang eingeloggt waren und saftige Rechnungen bekamen?
Spielt das evtl. auch in die Zwangstrennung rein? Das das ein Relikt mit alten Wurzeln ist?

Gruss
 
Das das ein Relikt mit alten Wurzeln ist?
Das ist es auf jeden Fall, teilweise haben die Provider gar keine Zwangstrennung mehr (Cable-Anbieter z.B.). Damals war das auch etwas anders mit den "Standleitungen" als heute mit den "Flatrates" (ich finde Flatrates sowieso gruselig, seitdem es den Mist gab, hingen Leute ohne Bouncer auch 24/7 im IRC und waren trotzdem nicht anwesend 🤣). Wenn man es dann auf IP-Adressen ummünzt, ist es definitiv uralter Kram, aber auf der anderen Seite bringt das halt auch immer noch Vorteile mit sich...

Ist zwar alles ein bisschen doof wegen der VoIP-Geschichte, aber "irgendwie" hat man sich da wohl "herausgewunden". Als VoIP damals noch total frisch war, wollte ich mal die Zugangsdaten vom ISP haben... Gab es nicht... Begründung? Wenn die Telefonie von mir falsch konfiguriert werden würde, würde der Notruf nicht funktionieren und der ISP wäre in der Haftung.... Mittlerweile fallen ständig irgendwelche Netzbereiche aus, nix geht mehr, aber...: "Wenn Sie eine Störung mit der Telefonie haben, rufen Sie doch einfach die Hotline an!"... :unsure: Mir persönlich ist es ja "relativ" egal, aber wie man voraussetzen konnte, dass heutzutage jeder ein Handy hat, ist mir völlig unbegreiflich. Also meine Großmutter hatte kein Handy und soweit ich weiss, ist das noch oftmals so bei der älteren Generation, aber naja, vermutlich sind einem die ISPs da sowieso voraus, die die wissen schon, dass die Dinosaurier aussterben, wozu also noch Rücksicht nehmen... (kostenlose Handys für Senioren gibt's ja auch nicht umsonst zum VoIP-Tarif dazu, sonst hätte ich ja nix gesagt 😉).
 
Mein Problem habe ich dahingehend gelöst, dass ich die Portfreigabe auf eine unbenutze IP im Subnet eingetragen habe und anschließend dem Gerät die entsprechende IP vergeben habe. Umständlicher geht es echt nicht. Vielen Dank AVM
Ich bin bisher immer davon ausgegangen, dass die Fritzbox den Fehler grundsätzlich zeigt, wenn man versucht eine IP aus einem anderen Subnetz zu verwenden.

Wenn man unter "Heimnetz" -> "Netzwerk" -> Button "Gerät hinzufügen" kommt die Fehlermeldung "Die IPV4-Adresse liegt nicht innerhalb des IPV4-Netwerks der FRITZ!Box", deswegen bin ich davon ausgegangen das es beim Portforwarding "dasselbe Problem" nur mit falscher Fehlermeldung ist. In der Vergangenheit habe ich über diesen Weg lokale Failover-IPs (VRRP: keepalived, metallb) registriert - auch wenn die Fritzbox dabei gelegentlich ausflippt und der Hostname zwischen dem Hostnamen der Failover-IP und dem Hostnamen hin und her springt... laut AVM-Support ist es kein supportetes Szenario und man plant es auch nicht zu supporten.

Deinen Post verstehe ich nun so, dass Du in der Lage warst eine IP aus einem Subnetz anzugeben. nur das diese IP zu dem Zeitpunkt noch nicht vergeben sein durfte. Ich frage mich, ob es einfach reicht die Maschine mit der Ziel-IP herunterzufahren? Denn wenn man sich die Support-Dateien anschaut (http://fritz.box/support.lua -> "Support Dateien erstellen" > "Speichern"), dann ist da nichts von der Ziel-IP zu finden.

Update: ich hab jetzt mal ein Support-Ticket wegen dem inkonsistenten Verhalten beim Portforwarding aufgemacht. Wenn der Verhinderungsgrund sein sollte, dass es aktive Sessions gibt für eine IP, oder sie als Neigbour bekannt ist, dann sollten diese IP's doch wenigstens in der Liste der Ziel-Geräte aufgelistet werden?!.
 
Zuletzt bearbeitet:
Deinen Post verstehe ich nun so, dass Du in der Lage warst eine IP aus einem Subnetz anzugeben. nur das diese IP zu dem Zeitpunkt noch nicht vergeben sein durfte. Ich frage mich, ob es einfach reicht die Maschine mit der Ziel-IP herunterzufahren?

Ich habe hier einen Weg beschrieben, wie man ein Gerät aus dem Fritzbox Universum entfernen kann, damit man im Anschluss eine Weiterleitung an das gleiche Gerät, jedoch in einem anderen Subnetz über die Fritzbox herstellen kann. Dabei geht es meines Wissens weniger um die IP, sondern eher um die MAC-Adresse, die die Fritzbox nicht löschen will. Ob das auch so ist, kann ich nicht mit Sicherheit sagen, es schreit aber alles danach. Das wäre auf jeden Fall mal eine Frage an den Support.

Ich bin bisher immer davon ausgegangen, dass die Fritzbox den Fehler grundsätzlich zeigt, wenn man versucht eine IP aus einem anderen Subnetz zu verwenden.
Ich glaube das passiert nur, wenn man in der Fritzbox keine statische Route zu dem Subnetz angelegt hat. Bin mir aber auch hier nicht sicher.

Tommes
 
Dabei geht es meines Wissens weniger um die IP, sondern eher um die MAC-Adresse, die die Fritzbox nicht löschen will
Die MAC-Adresse vom Ziel-Gerät ist in der Support-Datei nicht zu finden. Allerdings sind sämtliche IP's aus dem anderen Subnet als Neighbour mit der MAC von OPNsense im Bereich "BEGIN SECTION PA showpainfo" aufgeführt.

Zusätzlich ist es noch unterhalb von "BEGIN SECTION landevices LAN devices" in der Form zu finden:

Code:
 landevice27/
  UID=landevice1974985
  ip=192.168.199.251
  mac=XX:XX:XX:XX:XX:XX
  name=opnsense1
  parentuid=
  vendorname=
  manu_name=1
  dhcp=1
  static_dhcp=1
  modelname=
  maclist=
  flags=ethernet
  interface=Ethernet
  wlan_station_type=default
  ethernetport=LAN:1
  active=1
  online=1
  blocked=0
  speed=1000
  deleteable=1
  wakeup=0
  auto_wakeup=0
  source=0x121c
  parentsource=0x0
  allow_pcp_and_upnp=0
  neighbour_name=OPNsense
  ipv6_ifid=::????:????:???:??
  iplist0/
   entry0/
    ...
   entry5/
    ip=192.168.200.19
    lastused=1640686712
    addrtype=IPv4
    dhcp=0
    portforwarding=0
   ...

Allerdings ist die 192.168.200.251, nicht als Gateways für 192.168.200.0/24 eingetragen, sondern die Virtual-IP 192.168.200.250.
Die OPNsense wird als reiner Router zwischen den Netzen genutzt und als ipv6 Reverse Proxy mit HAProxy - die mit CloudFlare DDNS einen Zugriff auf Traefik im "hinteren Netz" erlaubt (war notwendig, weil die VRRP bei ipv6 einen Prefix verwendet, der in der Fritzbox nicht adressierbar ist).

Ich glaube das passiert nur, wenn man in der Fritzbox keine statische Route zu dem Subnetz angelegt hat.
Die ist angelegt, siehe Absatz vorher.

Najo, Support-Anfrage ist raus. Ein inkonsistentes Verhalten kann kaum "works as designed" sein.
 
Zuletzt bearbeitet:
AVM schlägt folgenden Workaround vor:
Zielgerät von der FRITZ!Box trennen und ca. 15 Minuten warten. (Ich habe hier stattdessen das Managed-Switch an dem das Zielgerät hängt von der FB abgeklemmt)
Dann bitte mal unter "Heimnetz->Netzwerk->Netzwerkverbindungen" alle ungenutzten Verbindungen löschen und FRITZ!Box neu starten.
Danach unter "Internet"->"Freigaben"->"Portfreigaben" auf die gewünschte IP-Adresse den Port freigeben.
Dann Zielgerät wieder mit der FRITZ!Box verbinden.

Ich hab vergessen den Workaround zu testen. Sollte es funktionieren (ich teste es gerade erst), dann hätten wir die Wahl zwischen Not (der Workaround hier) und Elend (ungenutzte IP vergeben) - beides nicht akzeptabel.

Update: ich habe es gerade getestet, es funktioniert! Jetzt stellt sich die Frage, ob der Spass auch ohne den FB Neustart funktioniert hätte.
 
Zuletzt bearbeitet:
Es scheint für AVM ja echt verdammt schwer zu sein ein einfaches Löschen eines alten Gerätes zu ermöglichen. Echt traurig sowas ...
 
Das fürchte das hat nichts mit ARP-Cache zu tun,, sondern eher damit das die Fritzbox fälschlicherweise alle IP-Adressen, die über den Router erreichbar sind, als Alternativ-Adressen für dieses Gerät registriert.

Generiert euch eine Support-Datei und schaut mal nach: http://fritz.box/support.lua -> Radio-Button "Support Dateien erstellen" auswählen> Button "Support-Dateien speichern".

Dann sucht mal nach "BEGIN SECTION landevices LAN devices" und schaut euch die Einträge mal an.
Bei allen Geräten sind im Attribut iplist0 alle IPs die es zu dem Host gibt (ipv4+ipv6) aufgelistet.
Nur bei Routern sind im dem Attribut iplost0 auch alle IPs die über den Router in anderen Subnetzen erreichbar sind auch aufgelistet(!).

Daher funktioniert der Workaround den Router abzuklemmen, 15 Minuten zu warten, den Router aus der Liste zu löschen und dann für alle Geräte dahinter wieder die Portforwarding erneut anzulegen + für die neuen Geräte. Es ist der Eintrag des Routers selbst der verhindert, dass man Einträge aus den dahinterliegen Subnetzen eintragen kann..... Ungeil.
 
Zuletzt bearbeitet:
Letzte Antwort dazu von AVM:
Das Ganze ist aktuell erwartungskonform in FRITZ!OS, wenn es auch zu dieser Einschränkung (Fehlermeldung bei Erstellen der Portfreigabe) führt.
Hintergrund ist, dass alle Geräte hinter der DMZ aus Sicht der FRITZ!box ein und die selbe MAC-Adresse (der DMZ) haben.

So sieht das FRITZ!OS dies alles als ein physisches Gerät. Ihre Theorie zu der Ursache des Verhaltens ist somit korrekt gewesen.

Dafür ist eine Exposed-Host-Freigabe gedacht, dass dann alle Verbindungen von außen an der FRITZ!Box zur Exposed-Host-Freigabe (also hier dann die externe Firewall) weitergegeben werden. Sie haben dort dann den vollständigen Zugriff und können entsprechend in der OPN-Sense-Firewall Ihre Regeln erzeugen, was Sie an welches Gerät durchlassen möchten.

Im Zweifel können Sie auch entsprechende Portfreigaben für Geräte hinter der OPN-Sense auch auf die IP-Adresse der OPN-Sense freigeben und in dieser wiederum diese Ports auf die Geräte hinter der OPN-Sense freigeben.
 

Letzte Anleitungen

Statistik des Forums

Themen
4.384
Beiträge
45.268
Mitglieder
3.984
Neuestes Mitglied
Blitzkriegbob90
Zurück
Oben