ComputerBase Menü
Aktuelles

Fritzbox Port Forwarding auf gleichen Port

H

Homoioteleuton

Lt. Commander
Registriert
Nov. 2008
Beiträge
1.592
Hey!

Ich habe neuerdings eine Fritzbox 7530AX mit FritzOS 7.31 laufen.
Hinter der Fritzbox läuft ein Raspi als OpenVPN Server auf Port 1194.
Leite ich den Port weiter, funktioniert auch alles gut.

Nun möchte ich aber zusätzlich Port 53 auf 1194 weiterleiten,da in öffentlichen WLANs/Hotels der Standard-Port regelmäßig blockiert wird. Allerdings lässt die Fritzbox das nicht zu und zeigt die Freigabe mit einen Ausrufezeichen an, zusätzlich wird ein falscher Port angezeigt.

Verbindungstechnisch ist es dann Zufall (oder liegt es an der Reihenfolge?), welcher Port dann geht...

Wie kann ich die Fritzbox überreden, beide Ports (1194 und 53) an den Raspi auf 1194 weiterzuleiten?
 
Wieso stellst du den VPN Server nicht um auf Port 53 statt ihn auf zwei Ports lauschen zu lassen?
 
Du könntest mithilfe von IPtables von Port 53 auf 1194 weiterleiten.
Ergänzung ()

Und machst eine separate Portfreigabe für Port 53.

Und warum eigentlich so einen niedrigen Port, welcher irgendeinem Dienst zugewiesen ist uns nicht einen im Bereich 40000-60000, welche meistens nicht geblockt werden?
Ergänzung ()

Auf Port 53 lauscht nämlich DNS.
https://de.m.wikipedia.org/wiki/Liste_der_standardisierten_Ports
 
wenn die Ports bereits freigegeben sind, musst du fürs 2te gerät wieder die ports extern vergeben wie gewollt jedoch intern statt 53 -> 54 und statt 1194 -> 1195, denn sofern eine portregel schon vorhanden ist kann diese keine 2tes mal vergeben werden
 
-Overlord- schrieb:
Wieso stellst du den VPN Server nicht um auf Port 53 statt ihn auf zwei Ports lauschen zu lassen?
Zum Vergrößern anklicken....
Der Server lauscht nur auf 1194

_anonymous0815_ schrieb:
Du könntest mithilfe von IPtables von Port 53 auf 1194 weiterleiten.

Auf Port 53 lauscht nämlich DNS.
https://de.m.wikipedia.org/wiki/Liste_der_standardisierten_Ports
Zum Vergrößern anklicken....
Meinst du mittels IP tables auf dem Raspi oder in der Fritzbox?
Gerade weil dort DNS lauscht, will ich ja den Port, da der deswegen idR nie gesperrt ist
sTyLzYo schrieb:
wenn die Ports bereits freigegeben sind, musst du fürs 2te gerät wieder die ports extern vergeben wie gewollt jedoch intern statt 53 -> 54 und statt 1194 -> 1195, denn sofern eine portregel schon vorhanden ist kann diese keine 2tes mal vergeben werden
Zum Vergrößern anklicken....
Hier verstehe ich nicht ganz, was du meinst. Ich habe kein zweites Gerät, nur den einen Raspi mit dem einen VPN-Server (auf 1194). Ich will nur, dass der Server von außen auf zwei Ports erreichbar ist.
Wie gesagt, mit dem alten Speedport hat das auch problemlos geklappt
 
Klingt machbar.
Auf dem Raspi läuft allerdings auch noch piHole. Verträgt sich das?
 
Es gibt keine technische Begründung warum das nicht gehen sollte. Wenn du willst, kannst du alle 65535 Ports auf 1194 umleiten. Die Frage ist nur was der Wizard der Fritzbox daraus macht. Man richtet nämlich streng genommen keine Portweiterleitung ein, sondern das macht der Wizard im Hintergrund, inkl. Freigabe in der Firewall. Wenn die Fritzbox das aus .. Gründen .. nicht mag, liegt es an AVM, nicht an der Technik als solcher.

Den Port am Server würde ich stets nur als allerletzte Option ändern. Man belässt die Serverkonfiguration soweit auf Standard wie möglich. Das erhöht die Wartbarkeit, weil der Server an sich mit einer 08/15 Konfiguration aufgesetzt wird.
Zudem ist es ziemlich sinnfrei, wenn sich früher oder später die Anforderungen an den externen Port ändern. Soll man dann jedes Mal den Server umkonfigurieren? Alternative Ports sind daher als PAT im Router am besten aufgehoben.


_anonymous0815_ schrieb:
Und warum eigentlich so einen niedrigen Port, welcher irgendeinem Dienst zugewiesen ist uns nicht einen im Bereich 40000-60000, welche meistens nicht geblockt werden?
Zum Vergrößern anklicken....
Es geht mutmaßlich darum, eine OpenVPN-Verbindung hinter einer restriktiven Firewall herzustellen, beispielsweise aus einem Firmen- oder Hotelnetzwerk. Da ist in der Regel alles geblockt außer einiger Standardports für http/https, DNS und vielleicht SMTP, o.ä. Also 80, 443, 53, etc. Ports wie 1194 oder gar 40000+ sind da geblockt, letztere sind für einen Server sowieso, unklug, wenn nicht gar dumm (no offense), da sie im dynamischen Portbereich liegen, der als Quell-Ports für Verbindungen genutzt wird (ab 49152).


_anonymous0815_ schrieb:
Auf Port 53 lauscht nämlich DNS.
Zum Vergrößern anklicken....
Genau das ist ja gerade der Witz dabei.
 
  • Gefällt mir
Reaktionen: Olunixus, Nilson, Homoioteleuton und 2 andere
Wieso sollten restriktive öffentliche WLANs die uneingeschränkte Kommunikation auf Port 53 zulassen? Die nutzen meist ein eigenes DNS und sperren den Rest. Auch ist es fraglich ob sie eine verschlüsselte Kommunikation auf Port 53 zu lassen.
 
DNS ist häufig freigeschaltet, zumindest in öffentlichen Netzwerken. Dort besteht wenig bis gar kein Interesse an DNS. In Firmennetzwerken ist das etwas anderes, weil dann zB geblockte Domains plötzlich wieder erreichbar sind oder - ganz banal - die lokale Namensauflösung nicht mehr sauber funktioniert.

Ich betreibe selbst OpenVPN u.a. auf Port 53 und 443, wobei 53 häufiger funktioniert, da DNS ebenfalls UDP ist wie mein OpenVPN auch. 443 ist nicht selten auf TCP beschränkt - https eben - und VPNs mit TCP sind bäh...


Und bezüglich der Verschlüsselung: Um das zu erkennen müsste die Firewall vor Ort schon mit DPI arbeiten. Auch hier wieder: In einem Hotel oder einem anderen Hotspot eher nein, in einer Firma vielleicht.
 
Also nach meinen Erfahrungen hat es im Notfall (wenn 1194 nicht geht) mit 53 immer noch geklappt.
Vielen Dank @Raijin für die schöne Zusammenfassung.
Ich werde jetzt wohl zwei Dinge testen:
a) AVM anschreiben, ob sich das (also die Sperre in der AVM GUI) irgendwie umgehen lässt. Vllt mit ner neuen Firmware etc,...
b) es sollte doch klappen, POrt 53 auf 1195 weiterzuleiten und dann auf dem Raspi mittels IP Tables au 1194 (so ähnlich wie bereits in #3 vorgeschlagen)
 
  • Gefällt mir
Reaktionen: Raijin
till69 schrieb:
Aber lieber "bäh" als keine Verbindung ;)
Zum Vergrößern anklicken....
Deswegen habe ich zwei Instanzen laufen. Eine auf UDP 53 für Standardszenarien und eime auf TCP 443 für Ausnahmefälle. Vorbereitung ist alles :D


Homoioteleuton schrieb:
b) es sollte doch klappen, POrt 53 auf 1195 weiterzuleiten
Zum Vergrößern anklicken....
Jein. Ich vermute, dass es eher an Port 53 liegt als an 1194. Einige Routerfirmwares stehen Portweiterleitungen von solchen Standardports .. sagen wir mal .. skeptisch gegenüber. Gerade UDP 53 aka DNS deutet zumindest tatsächlich auf den Einsatz eines öffentlich erreichbaren DNS-Server hin, zB wenn man seinen pihole auch von unterwegs nutzen möchte. Solche open dns resolver sind jedoch nicht unkritisch, da sie von Menschen mit krimineller Energie für DNS amplification attacks benutzt werden können. Eventuell hat AVM daher auf Port 53 eine Plausibilitätsprüfung laufen, die Portweiterleitungen verhindert.

Dazu kann ich im Detail aber wenig sagen, da ich keine Fritzboxxen einsetze. Ein versierter AVM-Nutzer kann hier vielleicht mehr dazu schreiben oder es bei sich selbst ausprobieren.
 
  • Gefällt mir
Reaktionen: Bob.Dig
An sich kann ich Port 53 in der Fritzbox weiterleiten, auch an 1194.
Nur in Kombination mit einer weiteren Weiterleitung 1194 auf 1194 gibt es Probleme.
Es scheint eher, dass die Fritzbox nicht zwei Freigaben auf den gleichen Port akzeptiert.

Notfalls muss ich auch eine zweite Instanz auf TCP 443 aufsetzen...
 
  • Gefällt mir
Reaktionen: Raijin
Raijin schrieb:
Eventuell hat AVM daher auf Port 53 eine Plausibilitätsprüfung laufen, die Portweiterleitungen verhindert.
Zum Vergrößern anklicken....
Habe es gerade mal selber mit meiner FB 7530 getestet und Port 53 an sich kann ich dort beliebig für Weiterleitungen nutzten. Es ging 53 -> 53 sowie 53 -> 1194 also auch 1194 -> 53, auch unabhängig davon, ob für UDP oder TCP.

Die Fritzbox dürfte sich also eher daran stören, dass man einen identischen Port bei 2 Weiterleitungen verwenden will.
 
  • Gefällt mir
Reaktionen: Raijin
mibbio schrieb:
Die Fritzbox dürfte sich also eher daran stören, dass man einen identischen Port bei 2 Weiterleitungen verwenden will.
Zum Vergrößern anklicken....
Kann ich auch reproduzieren. Sobald zwei Weiterleitungen auf den gleichen Port zeigen, lässt das die FB nicht zu.
 
  • Gefällt mir
Reaktionen: Raijin
Das ist ja strange. Danke für die Überprüfung. Andersherum wäre es nachvollziehbar. Denselben externen Port auf zwei verschiedene interne Ports weiterzuleiten ist technisch nicht möglich, da die Pakete dann dupliziert werden würden und zwei Server parallel dem Client Antworten schicken würden. Aber zwei externe Ports auf denselben Zielport ist technisch 100% machbar.

Muss man das in der Fritzbox evtl als Portrange bzw. Liste eingeben? Also sowas wie 53,1194 --> 1194?

Anaonsten ist das in meinen Augen ein handfester Fehler von AVM, weil sie ein technisch einwandfreies Szenario künstlich unterbinden, aus unerfindlichen Gründen. Ich würde mich diesbezüglich mal beim Support melden.

Zur Not muss man das wirklich so machen wie von @_anonymous0815_ vorgeschlagen mit iptables machen und direkt auf dem Server intern umleiten. Das ist zwar echtes Gefrickel, aber wenn's nicht anders geht.......

Dann rate ich aber dringend dazu, dies sauber zu dokumentieren und beispielsweise als Skript zu hinterlegen und zu archivieren. Sonst hat man das vergessen, wenn man den Server mal neu aufsetzen muss oder auf ein anderes System migriert. Solche Frickeleien hat man dann nicht mehr auf dem Zettel und wundert sich warum das nicht mehr läuft ;)
 
  • Gefällt mir
Reaktionen: _anonymous0815_
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

A
Verständnisproblem IPv6 Port Forwarding
2
Antworten
22
Aufrufe
2.733
riversource
R
N
Fritzbox 6590 Cable + PiHole: Hardcoded DNS umleiten
Antworten
12
Aufrufe
2.292
Merle
Merle
V
Port forwarding ipv6, Fritzbox und separate ip Bereiche...
2
Antworten
21
Aufrufe
8.934
snaxilian
S
T
Fritzbox 4040 openwrt und Openvpn Nordvpn und Einwahl von außen über openvpn client ...
Antworten
6
Aufrufe
2.998
tcash
T
J
iOS DNS Auflösung Zugriff auf Port Forwarding geht auf Fritz
Antworten
12
Aufrufe
3.460
jokakilla
J
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz