Statisches IPV4 Subnetz von Vodafone

[Mr.Silent]

Hallo alle zusammen, ich quäle mich nun seit 1 woche mit einem problem umher und finde keine Lösung. Direkt vorab ich schreibe hier nicht die richtigen IP´s Da es Statische WAN IP´s sind und diese Forums beiträge öffentlich sichtbar sind wer sie für test´s benötigt bitte eine pn dann bekommt er sie.
Wer rechtschreibfehler/Tippfehler findet darf sie behalten XD.


Meine Hardware:
Fritzbox 6591 Cable
3 PC´s, 4 Handy´s ,A3mazon stick´s ect im Netzwerk
1 Server mit Windows Server standard 2019 (Selbst zusammen gebaut aus altem Pc auf anfrage hardware spezifikationen möglich)

Internetanschluss:
Business Red 1000 (bereits seit 2 Jahren bisher nur ohne Server)
1Gbit
Statisches IPV4 Subnetz


IP´s:
123.123.123.1 NETZ IP
123.123.123.2 Router IP (dahinter mein Heimnetzwerk)
123.123.123.3 Server
123.123.123.4 Broadcast IP

Fritzbox Einstellungen:
IPV4 subnetz
Präfix 123.123.123.1
Netzmaske 255.255.255.252

Dann in den Einstellungen Internet-->Zugangsart-->Portkonfiguration
den Lan port 4 ausgewählt wo der Server drin steckt

Server netzwerk adapter Einstellungen:

Server IP 123.123.123.3
netzmaske 255.255.255.252
Gateway 123.123.123.2

und halt noch die DNS IPS die mir Vodafone zur verfügung stellt

Zu meinem Problem:
Es laufen 1 Teamspeak Server und ein paar unterschiedliche Gameserver darauf.
Es funktioniert Alles einwandfrei von Außerhalb meines IPV4 subnetzes.
Mein kumpel sagte:"Das ist wie als hätte ich einen Server im Rechenzentrum gemietet"
Sobald allerdings jemand aus meinem Heimnetz versucht auf den Server zuzugreifen klappt dies nicht mit Fehlermeldung: Server nicht erreichbar/ Antwortet nicht

Jetzt habe ich hier in diesem Forum einen Beitrag gelesen zu einem ähnlichem fall da hat Jemand versucht seinen Web Server im Heimnetz aus dem Heimnetz zu erreichen aber über das Internet oder so ähnlich. Nicht weiter wichtig! dort war eine Antwort die mir geholfen hat und zwar: "um schleifen im netz zu verhindern schickt der router von VF keine pakete an einen router zurück von dem er sie erhalten hat.

Das bedeutet wenn ich aus meinem Heimnetz IP 123.123.123.2 zugriff auf einen meiner Game Server möchte gehen die pakete von meinem PC zum router mit der WAN IP 123.123.123.2 von dort aus ans Gateway seines WAN Netzwerkes (Router von Vodafone) und dieser router müsste die Pakete Zurück senden an meinen router um diese dann an den Server zu schicken. Das passiert aber nicht ich bekomme keine pakete zurück wegen der schleifen bildung.

Wenn ich einen VPN auf meinem PC benutze funktioniert es problemlos.

Was kann ich da machen?



Mit freundlichen grüßen
MR.Silent

 

[blurrrr]

Mahlzeit!

123.123.123.1 NETZ IP
123.123.123.2 Router IP (dahinter mein Heimnetzwerk)
123.123.123.3 Server
123.123.123.4 Broadcast IP

Sorry2say, aber das wird "so" nicht funktionieren und die Angaben sind so auch einfach falsch. Korrekt wäre etwas in diese Richtung:

0 = Netz-ID
1 = Gateway (z.B. vom ISP, oder Dein Router "hinter" dem das öffentliche Netz auftaucht)
2 = Host (i.d.R. ein weiterer Router/Firewall)
3 = Broadcast

Bei einem "/30" (255.255.255.252) hast Du genau "2" nutzbare IPs, wobei eine davon schon für das Gateway weg ist (irgendwo muss es aus diesem Netz ja auch rausgehen), somit bleibt genau "1" nutzbare IP für einen Host oder vermutlich eher 2. Router/Firewall übrig.

So, nachdem Du das jetzt (hoffentlich) verstanden hast (falls nicht, einfach fragen), wirst Du merken, dass Dein Setup "jetzt" schon nicht so das gelbe vom Ei ist. Jetzt zu Deinem - selbst entworfenen - Problem:

Dann in den Einstellungen Internet-->Zugangsart-->Portkonfiguration
den Lan port 4 ausgewählt wo der Server drin steckt

2 Möglichkeiten: a) Da geht es auch ins öffentliche Netz (wo aber keine IP mehr frei ist!), ergo wird das nix. b) Das "Gast-Netz" ist auf LAN 4 aktiviert. Wenn Du Dich im Gast-Netz befindest, darfst Du zwar "raus" (vor den Router), aber nicht "dahinter" (im Normalfall wäre es das "LAN", bei Dir ist es aber das öffentliche /30er Netz). Kurzum: Du darfst da nicht hin, ganz einfach.

Wenn ich einen VPN auf meinem PC benutze funktioniert es problemlos.

Natürlich, dann kommst Du ja auch von "aussen" und nicht von "innen" (aus dem Gastnetz).

Mein kumpel sagte:"Das ist wie als hätte ich einen Server im Rechenzentrum gemietet"

Ich sag einfach mal "nein".... Die Vorzüge im Rechenzentrum belaufen sich nicht primär auf "statische IPs"... und mit einem (anscheinend) "Cable"-Anschluss hast Du (nebst Funk) auch nicht den ersten Preis gewonnen. Vergiss dabei aber auch nicht, dass "Server im Internet" auch eine entsprechende Verantwortung und Sorgfaltspflicht mit sich bringt, ansonsten kann das (ziemlich schnell) in die Hose gehen.

Natürlich alles nur laienhafte Statements/Meinungen und so, weisst schon...

P.S.:

Business Red 1000

Game Server

... komische Mischung...

 

[Mr.Silent]

Danke für die schnelle Antwort ich glaube da gab es ein paar missverständnisse ich hoffe ich konnte diese aufklären

Sorry2say, aber das wird "so" nicht funktionieren und die Angaben sind so auch einfach falsch. Korrekt wäre etwas in diese Richtung:

0 = Netz-ID
1 = Gateway (z.B. vom ISP, oder Dein Router "hinter" dem das öffentliche Netz auftaucht)
2 = Host (i.d.R. ein weiterer Router/Firewall)
3 = Broadcast

Ja das ist Falsch was ich da geschrieben habe ich bin kein ITler
Sry da gibt es wohl noch lernbedarf bei mir über tips wo ich da am besten was finde wäre ich dankbar so hatte ich das durch das schreiben von Vodafone verstanden.

Hier mal ein auszug aus dem schreiben von Vodafone

Seitens Vodafone wurde dem Anschluss ein 30er-Subnet zugewiesen. Hier die Beschreibung der IPs aus dem Schreiben von Vodafone:

• Die 1. IP-Adresse ist reserviert als Vodafone Business-Netzwerk-Adresse.
• Die 2. IP-Adresse ist reserviert als Vodafone Business-Gateway-Adresse (Modem).
• Die 3. IP-Adresse ist frei und kann von Ihnen genutzt werden.
• Die 4. IP-Adresse ist reserviert als Vodafone Business-Broadcast-Adresse.

Bei einem "/30" (255.255.255.252) hast Du genau "2" nutzbare IPs, wobei eine davon schon für das Gateway weg ist (irgendwo muss es aus diesem Netz ja auch rausgehen), somit bleibt genau "1" nutzbare IP für einen Host oder vermutlich eher 2. Router/Firewall übrig.

genau 2 nutzbare IP´s 1 nutzt der Router dahinter befindet sich mein Heimnetzwerk

die andere IP Nutzt der Windows Server Erfolgreich da ich die IP und Gateway und Netzmaske dort im Netzwerk adapter eingetragen habe wie es in der anleitung von Vodafone steht(Der Server ist aber momentan nicht eingesteckt da er noch eine hardware firewall bekommt und ohne ist es mir zu gefährlich ihn am netz zu lassen.)

So, nachdem Du das jetzt (hoffentlich) verstanden hast (falls nicht, einfach fragen), wirst Du merken, dass Dein Setup "jetzt" schon nicht so das gelbe vom Ei ist.

Wieso? ich bin für verbesserungsvorschläge offen und dankbar

2 Möglichkeiten: a) Da geht es auch ins öffentliche Netz (wo aber keine IP mehr frei ist!), ergo wird das nix. b) Das "Gast-Netz" ist auf LAN 4 aktiviert. Wenn Du Dich im Gast-Netz befindest, darfst Du zwar "raus" (vor den Router), aber nicht "dahinter" (im Normalfall wäre es das "LAN", bei Dir ist es aber das öffentliche /30er Netz). Kurzum: Du darfst da nicht hin, ganz einfach.

möglichkeit a ins öffentliche Netz doch da ist doch die 2. IP frei.
Siehe anleitung von Vodafone im Anhang
Punkt 6 - 7

Ich sag einfach mal "nein".... Die Vorzüge im Rechenzentrum belaufen sich nicht primär auf "statische IPs"... und mit einem (anscheinend) "Cable"-Anschluss hast Du (nebst Funk) auch nicht den ersten Preis gewonnen. Vergiss dabei aber auch nicht, dass "Server im Internet" auch eine entsprechende Verantwortung und Sorgfaltspflicht mit sich bringt, ansonsten kann das (ziemlich schnell) in die Hose gehen.

Natürlich alles nur laienhafte Statements/Meinungen und so, weisst schon...

Ja ich hätte die aussage auch besser erklären müssen.

Mein kumpel sagte:"Das ist wie als hätte ich einen Server im Rechenzentrum gemietet"

Jetzt auf verbindungsaufbau bezogen klar ein rechenzentrum hat eine bedeutend besser anbindung was down sowieso upload angeht.

P.S.:

Business Red 1000

Game Server

... komische Mischung...

Ja ich habe zur corona zeit im Home office gearbeitet und dadurch konnte ich einnen business vertrag abschließen da mein privatkunden anschluss immer ausgefallen ist die gelegenheit habe ich genutzt und habe dann auch nach statischer IPV4 gefragt XDDD hat sich jetzt im nachinein ausgezahlt.

Vergiss dabei aber auch nicht, dass "Server im Internet" auch eine entsprechende Verantwortung und Sorgfaltspflicht mit sich bringt, ansonsten kann das (ziemlich schnell) in die Hose gehen.

Dessen bin ich mir bewusst und bin ja auch lernbereit aber wie sagt man es ist noch kein profi vom Himmel gefallen Jeder hat mal klein angefangen.

 

[blurrrr]

Mitunter hab ich mich auch geirrt... Ich habe ein /29er von Vodafone (LAN-seitig nur öffentlich) und dahinter eine Firewall, dahinter fängt erst der private IP-Adressraum an. Bei ist auch kein "öffentliches Netz" angegeben, sondern das steht einfach bei der Heimnetz-Config:



Firewall der Fritzbox ist derweil auch deaktiviert, läuft alles 1:1 durch bis zur Firewall. Bei Dir scheint das aber wohl noch etwas anders gelagert zu sein. In Deiner Anleitung steht auch etwas von "Zugangsart / Portkonfiguration", sowas habe ich bei mir garnicht:



Scheint also bei uns beiden doch etwas anderes gelagert zu sein

Sprichst Du den Server denn mit FQDN an? Dann könntest Du mal bzgl. DNS-Rebind/NAT-Loopback schauen. Findest Du unter Heimnetz / Netzwerk / Netzwerkeinstellungen und dann recht weit runter scrollen zum Punkt "DNS-Rebind-Schutz" und dort mal den FQDN eintragen

 

[Mr.Silent]

Bei mir sieht das ganz anders aus
Deswegen sprach ich von 4 IP´S am anfang ich trage die 1. der vier IP´s da ein



und die weiterleitung auf Port 4 ist Das hier die wollte ich aber für den Gastzugang umstellen auf Port 2 Aber ich dachte mir das brauch ich hier nicht erwähnen
Ich hoffe ich konnte mit den Bildern ein wenig Licht ins Dunkel bringen

 

[Barungar]

Es ist so, wie Ihr beide geschrieben habt. Ein /30er Netz hat vier theoretische Adressen, wovon zwei nutzbar sind. Da aber der Router ja auch selbst eine IP braucht, kannst Du praktisch bei Deinem /30er Netz genau eine IP frei verwenden. Nämlich die dritte IP in der Aufzählung. Diese dritte, frei verwendbare IP nutzt das Gerät an LAN 4. Das ist Dein Server.

Die Frage die @blurrrr gestellt hat, hat sich auch mir als erstes gestellt. Sprichst Du Deinen Server über seine IP oder über einen DNS-Namen an? Eventuell kommt ihr der Rebind-Schutz der FritzBox in die Quere.

 

[Spielebernd]

Ist nicht ganz mein Thema da ich mich hier nicht so auskenne aber ich denke wir sprechen über folgendes:

https://avm.de/service/wissensdaten...tliches-IPv4-Subnetz-in-FRITZ-Box-einrichten/

Wenn ich mich hier noch richtig erinnere (schon sehr lang her) baut das an LAN 4 angeschlossene Gerät eine eigene Verbindung zum Anbieter auf was die FB nicht beeinflusst sondern lediglich durchreicht. DNS Rebind spielt hier dann keine Rolle mehr.

 

[Barungar]

Das das Gerät an LAN 4 eine "eigene Verbindung" aufbaut halte ich nicht für plausibel. Dann müsste der Server ja PPPoE machen und sich dem Provider gegenüber authentifizieren. Ich habe mich mit dem Thema noch nie befasst, aber ich denke eher, dass das schon noch die FritzBox macht, die PPP-Strecke für das Subnetz zu machen.

 

[blurrrr]

da er noch eine hardware firewall bekommt

Router <-> Firewall <-> div. Netze für Server/Clients

So ein Konstrukt geht natürlich auch... So hab ich es dann halt bei mir laufen. Die gebuchten IPs laufen über das WAN-Interface der Firewall, dahinter befinden sich div. Netze und je nach Regeln auf der Firewall werden die öffentlichen IPs für das ein oder andere Szenario in Anspruch genommen.

Wenn ich mich hier noch richtig erinnere (schon sehr lang her) baut das an LAN 4 angeschlossene Gerät eine eigene Verbindung zum Anbieter auf was die FB nicht beeinflusst sondern lediglich durchreicht.

"schon sehr lang her"... genau seit so einem Zeitraum läuft das bei mir auch mit dem /29er Netz Von LAN4 war da aber nix zu sehen... einfach nur statt dem privaten Netz das öffentliche rein, NAT ist deaktiviert. Man muss aber auch fairerweise dazu sagen, dass es nicht die Historie "Arcor -> Vodafone" ist, sondern "Unitymedia -> Vodafone" und zum Zeitpunkt der Buchung war es auch noch lange Unitymedia

eine "eigene Verbindung" aufbaut halte ich nicht für plausibel

Jetzt mal ab von LAN4 und so... Vielleicht einfach eine zweite virtuelle Verbindung (VC), so wie das die ISPs früher gern für die VoIP-Geschichten gemacht haben (Arcor hat es damals definitiv mit den Easyboxen gemacht)?

 

[Barungar]

Jetzt mal ab von LAN4 und so... Vielleicht einfach eine zweite virtuelle Verbindung (VC), so wie das die ISPs früher gern für die VoIP-Geschichten gemacht haben (Arcor hat es damals definitiv mit den Easyboxen gemacht)?

Aber selbst dann - mein Provider baut streng genommen sogar drei Verbindungen auf - ein VCI für mein Internet, ein VCI für mein VoIP und ein VCI für Provider Management, steuert dann aber auch den Verbindungsaufbau und die Authenfizierung trotzdem immer noch die FritzBox und nicht das Gerät an LAN 4. Das zeigt die FritzBox sogar an, wieviele und welche VCIs sie aufbaut.

 

[Spielebernd]

Ob sein Gerät eine PPPoE Verbindung aufbauen kann bzw. ob es auch so eingerichtet ist kann ich nicht sagen. Ich bin hier auch definitiv nicht im Thema.

So wie ich es kenne ist z.B. ein weiterer Router hinter FB (an welchem LAN ist egal, die 4 hab ich nur genommen da er Sie ja verwendet) der nach Einrichtung wie gepostet bzw. wie im Schreiben von Vodafone Kapitel 7 eine eigene PPP Verbindung aufbaut. Dies geht dann an der FB mehr oder weniger vorbei. Wenn ich es richtig überflogen habe wäre das die Einrichtung von @blurrrr.

Wenn es keine eigene Verbindung ist dann sind die Sachen wie DNS-Rebind usw. relevant.

 

[Mr.Silent]

Hallo zusammen danke für die Vielen Antworten!
Ich habe in meinem startpost nochmal die einstellungen des Netzwerk adapters im windows server dazu geschrieben


Ich habe 1 Teamspeak Server und 1 Ark Game Server mit dem ich das alles Teste.
Ich Spreche den Game/TS Server mit ihrer IP und dem jeweiligen Port an
(Genau wie mein Kumpel der das ganze von außerhalb für mich testet)

bei Teamspeak direkt über den offiziellen teamspeak client auf meinem PC
Bei Ark über die Steam serverliste

Router <-> Firewall <-> div. Netze für Server/Clients

Nein das wollte ich nicht machen weil ich zu unerfahren bin!
Ich möchte das heimnetzwerk Hinter der router firewall lassen und die HWfirewall zwischen router und Server setzen und den Server damit zum Internet absichern weil die fritzbox lässt ja alles durch an den Server

Ich habe mal ein zeichnung gemacht wie die reguläre verkabelung aussieht (gerade zu testzwecken ist mein PC nicht über den switch sondern direkt am routerauf lan port 1 der Switch ist an lan port 2 Ich habe auch schon ausprobiert ob es klappt wenn mein pc auf port 3 ist da port 1 ja der service port ist oder wie man den nennt aber hat auch nicht geholfen)

Ich hoffe ich habe alle fragen beantwortet wenn ich eine übersehen habe tut es mir leid


Im Server ist die fritzbox als gateway eingetragen und wenn mein Server eine PPPoe verbindung aufbaut müsste ich dem Server doch sagen wo er sich anmelden muss laienhaft ausgedrückt und zugangsdaten oder nicht???
Ich Habe dem Server keine Zugangsdaten eingegeben. Davon ganz ab das ich ncihtmal welche von VF bekommen habe

 

[blurrrr]

Nein das wollte ich nicht machen weil ich zu unerfahren bin!

und die HWfirewall zwischen router und Server setzen

Okay...... Macht in meinen Augen nicht wirklich Sinn, aber wenn "die" Lösung für Dich ist, ok

die fritzbox lässt ja alles durch an den Server

Das wiederum verstehe ich nun so "garnicht", denn im Eingangspost stand:

Sobald allerdings jemand aus meinem Heimnetz versucht auf den Server zuzugreifen klappt dies nicht

Das war für mich jetzt erstmal das grundlegende Problem.... Vielleicht redet man auch aneinander vorbei... Die Fritzbox leitet nicht "nur" das weiter, was Du an der Fritzbox auch für den Server freigegeben hast (an Ports), sondern einfach "alles" (und somit auch solch extrem unsicheren Dinge wie z.B. RDP)?

Meiner Meinung nach wäre es durchaus den Aufwand wert, sich einfach ein bisschen einzuarbeiten bzgl. einer Hardware-Firewall (die kann unkonfiguriert nämlich auch keine Wunder vollbringen... (Hardware-)"Firewall" bedeutet nicht automatisch "sicherer", es will auch schon entsprechend konfiguriert werden.

Da die Fritzbox ansonsten (meiner Erfahrung nach, aber vielleicht liege ich da - wie schon zuvor - aber auch einfach falsch) keinerlei großartigen Einstellungsmöglichkeiten bietet, müsstest Du da ggf. mal bei Vodafone, oder direkt beim Hersteller AVM nachfragen.

 

[Spielebernd]

Die FB lässt auch nicht alles durch wenn es nicht genauso eingerichtet ist. Die FB ist hier sicher sehr begrenzt von den Einstellungen her sollte aber für deinen Zweck reichen insofern alles richtig eingerichtet ist.

Vom Kern verstehe ich es so das lediglich die FB die Internetverbindung aufbaut und die öffentliche Adresse hat. Der Server bekommt dann eine private von der FB. Das sollte dann ungefähr so aussehen:

WAN: 10.0.0.1 an die FB
Heimnetz 192.168.178.0
Server 192.168.178.30

Wenn es hier von extern geht nur von intern nicht wird hier der DNS-Rebind Schutz greifen oder kommt hier DynDNS und IPv6 noch dazu?

 

[Mr.Silent]

wenn ich am handy einen hotspot aufmache und mit dem laptop darein verbinde und dann nach dem server suche finde ich ihn mache ich dann wlan aus und stecke das kabel ein finde ich den server nicht mehr

Vom Kern verstehe ich es so das lediglich die FB die Internetverbindung aufbaut und die öffentliche Adresse hat. Der Server bekommt dann eine private von der FB. Das sollte dann ungefähr so aussehen:

WAN: 10.0.0.1 an die FB
Heimnetz 192.168.178.0
Server 192.168.178.30

Nein das ist falsch

Wan IP Der Fritzbox 123.123.123.2
Heimnetz 192.160.0.0
Server 123.123.123.3

Und in meinem Heim Netz finde ich den Server nicht

ja ich werde mal bei avm anrufen aber erst am Montag werde da heute keinen mehr erreichen.

Werde euch dann berichten was ich erfahren habe


VIELEN VIELEN DANK für eure Hilfe

 

[Mr.Silent]

mal ein Update für euch Der mitarbeiter von Fritzbox den ich am Telefon hatte war ein wenig überfordert ich habe mein Problem jetzt möglichst genau beschrieben und jetzt wird jemand aus der Technik drüber schauen und sich bei mir melden.
Die Antwort werde ich euch dann auch mitteilen