Eine Frage der Portweiterleitung

[Chuck Norris123]

Hallo Forum,

ich habe eine Frage, bei der mir hier sicher wer weiterhelfen kann:

Ich wollte gerne eine 3CX Telefonanlage bei mir lokal im Netzwerk betreiben. (Momentan auf einem Windows 10 PC, dann auf einem Raspberry Pi).
Nun habe ich aber ein Problem mit dem Firewall-Test und vermute, dass es sich dabei um ein Problem mit der Portweiterleitung vom Modem oder von meiner dahinter eingehängten USG (Firewall) handelt.

Vielleicht sieht jemand, wo ich den Fehler gemacht haben und kann mir das entsprechend ausdeutschen, was daran falsch ist:

Am Modem mit IP 10.0.0.139 hängt die USG (WAN 1), welche die IP 10.0.0.1 reserviert zieht.
- Daher dort die Weiterleitung von allem externen auf den Ports 5001 TCP, 5060 TCP/UDP, 5061 TCP, 5090 TCP/UDP, 9000-10999 UDP auf die IP 10.0.0.1.
Auf der Firewall gibt es ja dann nur die Oberfläche Internet IN, welche ich hierfür verwenden möchte und dort auf die interne IP des PC bzw. dann des Raspberry weiterleiten. In dem Fall 192.168.1.13.
Also z.B. Source 10.0.0.1 (Die IP des WAN-Ports) Port 5001 auf Destination 192.168.1.13 (Die IP des Telefon-Servers) Port 5001.

Nun kann ich aber auf dem Phone System Manager den Firewall-Test laufen lassen, bzw. auf canyouseeme.org einzelne Ports testen, was aber immer zu einem negativen Ergebnis führt.

Als kurze Erklärung wie das in der USG aussieht bzw. im Unifi Netzwerk, hier ein Screenshot von z.B. Port 5001.

Am Modem sieht das Ganze so aus, wobei sich hinter der "Anwendung" die Portzuordnung verbirgt.

Vielleicht kann mir hier jemand weiterhelfen, ich möchte das Ganze gerne im Laufe der Woche zum Laufen bringen.
Danke für eure Hilfe dazu im Voraus.

Lg
Chuck

 

[snaxilian]

Das gesamte 10.0.0.0/8 ist als private IP-Range gesetzt. Wenn das deine Config ist, dann ist dein Modem nicht nur ein Modem sondern Modem und Router in einem oder du hast einen Provider der private IP Ranges für sein ranziges CGN/DSlite verwendet.
Da du im Modem eine Weiterleitung definiert hast gehe ich eher davon aus, dass dein Modem nicht nur ein Modem ist sondern eben Modem + Router.

Im USG würde ich vermuten, dass dies nur die reine Firewall-Regel ist, afaik brauchst auch im USG eine Weiterleitung.

 

[freshprince2002]

1. Portweiterleitung vom Modem zur Firewall? Wozu, wieso?
Wer macht die Interneteinwahl? Das Modem oder die Firewall?
2. Portweiterleitungen für den Betrieb eines ITSP in einer TK-Anlage ist in 99% der Fälle nicht nötig, da alles technisch bedingt abgehende Verbindungen sind.
3. Die Source 10.0.0.1 ist falsch.
Wenn es schon Portweiterleitungen sind, dann ist die Source immer die öffentlich IP der genutzen SIP Server und RTP Gateways. Bei VoIP sind das große Adresspools, die sich auch immer wieder ändern. Da wären wir auch weider bei Punkt 2.

 

[Chuck Norris123]

Hallo,

erstmal danke für die Antwort, wobei das Ganze so aussieht:

Die Firewall hängt hinter dem Modem und erhält von diesem auch per DHCP eine zugewiesene Adresse 10.0.0.1. Dieses Modem macht auch die Einwahl. Die Firewall baut dann hinter sich ein eigenes Netz auf im Adressbereich 192.168.1.X, wobei darin dann der Windows 10 PC mit der installierten 3CX Software laufen soll.
Daher dachte ich, ich müsste selber erst die entsprechenden Ports zur Verfügung stellen, wobei das ja falsch zu sein scheint.
Ich dachte nur, dass ja im Grunde in meiner Konfiguration das Modem nach außen hin für die Firewall sichtbar ist und nicht die public-IP?
Danke für eure Hilfe dazu.

Lg

 

[Raijin]

Die Firewall hängt hinter dem Modem und erhält von diesem auch per DHCP eine zugewiesene Adresse 10.0.0.1. Dieses Modem macht auch die Einwahl.

Vielleicht muss man die Frage nochmal präzisieren:

In welchem Gerät sind die Zugangsdaten gespeichert?


Ein Modem ist nämlich sinngemäß nur ein Telefon, es macht absolut gar nichts, wenn nicht irgendjemand den Hörer abnimmt und eine Nummer wählt. Ein Router mit internem Modem - Speedports, Fritzboxxen, easyboxxen, etc - ist beides in einem, Telefon und automatische Hörerabnehm- und Wählfunktion.

Ein USG ist hingegen ein reiner Router mit Firewall, braucht aber entweder ein externes Modem, dessen Hörer das USG abnimmt und anschließend mit den Zugangsdaten des Providers eine PPPoE-Verbindung herstellt oder es braucht am WAN ein Netzwerk, das bereits Internetzugang hat, beispielsweise durch einen Router mit Modem.


Im ersten Fall - reines Modem und PPPoE im USG - ist das USG auch tatsächlich das Gerät, welches im www steht, hier ist die WAN-IP, hier ist die äußere Firewall. Portweiterleitungen werden ausschließlich im USG eingerichtet.
Source IP : leer
Source Port : leer
Externer Port : aus dem www erreichbarer öffentlicher Port
Interner Port : Port am Zielgerät
Zielgerät : lokale IP des Servers


Im zweiten Fall - USG hinter einem Modemrouter - ist das USG aus Sicht des Modemrouters ein normales Endgerät. Der Modemrouter ist das Geröt, welches tatsächlich im Internet hängt, die öffentliche IP-Adresse sitzt hier inkl. äußerer Firewall. Portweiterleitungen müssen zunächst im Modemrouter eingerichtet werden - wie oben beschrieben mit Zielgerät = WAN-IP des USG - und anschließend analog dazu Portweiterleitungen im USG, die letztendlich zum lokalen Server weiterleiten.


Grundsätzliches zu Portweiterleitungen: Die Source IP lässt man normalerweise leer. Portweiterleitungen bestehen aus zwei Komponenten, dem Matching, dass die eingehenden Pakete per Filter identifiziert, und die Action, die letztendlich die eigentliche Weiterleitung darstellt. Spezifiziert man das Matching zu eng - beispielsweise durch eine Source-IP - funktioniert sie nicht mehr. Source IPs gibt man daher nur an, wenn die Portweiterleitung zB ausschließlich von der statischen IP der Firma offen sein soll, von woanders funktioniert die Weiterleitung dann nicht bzw sie wird einfach nicht getriggert.
Die Source-IP kann man sich also vorstellen wie die Rufnummernanzeige am Telefon inkl. Entscheidung "Gehe ich ran oder nicht"

 

[Chuck Norris123]

Hallo Raijin,

ich dachte ich hätte das verständlich ausgedrückt, daher zur Präzisierung:
Das Modem bzw. der A1 Router mit integriertem Modem von Huawei macht die Einwahl ins Internet und ist an sich als ganz normaler Router tätig. Es läuft darauf DHCP und ich könnte jedes andere Endgerät auch dahinter hängen.
Die USG bezieht davon auch für ihr WAN die Adresse und das bereits vorhandene Internet über das 10.0.0.x Netz des Router/Modems.
In ihrem LAN baut die USG dann eben das Netz mit 192.168.1.X Adressen auf.
Eigentlich müsste das daher ein doppeltes NAT sein, weshalb ich ja die Portweiterleitung auf beiden Geräten machen müsste?! - Wobei ich natürlich mal versuchen kann, jeweils die Source leer zu lassen und eventuell klappt es damit dann schon. - Ich würde das abends testen und mich inzwischen für eure Hilfe bedanken.
Natürlich wäre es besser das A1 Gerät als Bridge zu verwenden und die USG quasi direkt mit den Zugangsdaten auszustatten, damit habe ich mich aber bis jetzt nicht befasst und wollte das erstmal vermeiden.
Außer es würde wesentliche Vorteile mit sich bringen?

Lg

 

[Raijin]

SO ist es eindeutig, weil du jetzt von einem Router mit Modem sprichst und nicht mehr nur von einem Modem allein. Das sind einfach zwei verschiedene Dinge, die gänzlich andere Situationen darstellen und entsprechend andere Weiterleitungen benötigen.

Wie dem auch sei, so sollte es dann klappen:


A1 Router:

Port extern : 12345
Port intern : 12345 [*]
Ziel: 10.0.0.1 (USG WAN-IP)


USG:

Port extern : 12345
Port intern : 12345 [*]
Ziel: 192.168.1.x [**]



[*] Wenn der lokale Port des Server identisch ist, kann man das häufig auch leer lassen, je nachdem ob die GUI des Routers das automatisch vorbelegt (aus dem externen Port) oder auch implizit eine 1:1 Weiterleitung annimmt.
Sollte sich der lokale Port des Server unterscheiden - zB weil man zwei Webserver im Netzwerk laufen hat - muss man hier natürlich entsprechend anpassen.

[**] Hier die lokale IP des Servers angeben.


So sollte es funktionieren, gesetzt den Fall du hast überhaupt eine öffentliche IPv4 und hängst nicht hinter einem providerseitigen NAT (CGN). Mit dieser Konfiguration kommt die Verbindung am A1 Router an und wird an das USG weitergeleitet, das wiederum seinerseits an den Server weiterleitet.

Übrigens: Der Screenshot vom USG zeigt eine Firewall-Regel. Das hat mit einer Portweiterleitung nur indirekt zu tun. Eine Portweiterleitung wird über einen Wizard angelegt, der die dazugehörige Firewall-Regel automatisch erstellt. Bin gerade am Handy und kann nicht nachschauen, aber wenn du mal nach USG und port forwarding googelst, wirst du Anleitungen dazu finden.

Eine händische Firewall-Regel wird nur benötigt, wenn nan auch die eigentliche Weiterleitung - destination nat - zu Fuß erstellt. Dazu sollte man aber wissen was man tut und wie genau DNAT und Firewall miteinander interagieren.

 

[snaxilian]

ich dachte ich hätte das verständlich ausgedrückt

Offensichtlich ja nicht, sonst hätten nicht drei Leute nachgefragt. Ein Modem ist ein Modem und ein Router ist ein Router und und das was Provider an Endkunden ausgeben sind Multifunktionsboxen die Modem, Router, Firewall, Switch, Access Point, DNS-Resolver, DNS-Server, DHCP-Server und ggf. noch weitere Funktionen in sich vereinen.
Wenn du als Laie also nur Modem sagst aber so eine All-in-One Box meinst führt das zu Verwirrung weil Leute wie @Raijin oder ich eben nur mit den Infos arbeiten können die wir lesen können und für uns ist ein Modem eben ein Modem und keine AiO Box.

Adressbereich 192.168.1.X

Ein Adressbereich umfasst auch eine Subnetzmaske um eindeutig zu sein. Du meinst vermutlich /24 weil Laien nix anderes kennen.

Eigentlich müsste das daher ein doppeltes NAT sein

Korrekt, du brauchst auf beiden Geräten eine Portweiterleitung UND eine Firewallregel weil du ja eingehenden Traffic aus dem bösen Internet erlauben willst.
Consumergeräte kombinieren die beiden Dinge oder verstecken dies hinter irgendwelchen geführten Assistenzen/Wizards. Wenn du aber wie im Screenshot anfängst manuell sowas anzulegen dann musst du auch die passende Firewallregel dazu anlegen, wie ich bereits in #2 erwähnt habe.

 

[freshprince2002]

Natürlich wäre es besser das A1 Gerät als Bridge zu verwenden und die USG quasi direkt mit den Zugangsdaten auszustatten, damit habe ich mich aber bis jetzt nicht befasst und wollte das erstmal vermeiden.
Außer es würde wesentliche Vorteile mit sich bringen?

Wenn der A1 Router auch als reines Modem (Bridge) betrieben werden kann, dann mach das.
Vorteile:

• kein doppeltes NAT, kein Geschiss mit doppelten Portweiterleitungen
• kein eventuell nicht-abschaltbares SIP-ALG, was VoIP kaputt macht (oft in Consumer-Routern)
• alle Einstellungen finden in nur 1 Gerät statt (die USG) und nicht in 2 Geräten

Und nochmal: wenn an die Telefonanlage ein externer ITSP ran soll, brauchst du zu 99% Wahrscheinlichkeit keine Portweiterleitungen.
Hängt vom ITSP ab. Mir fällt aber grad keiner ein, der das bräuchte.

 

[Chuck Norris123]

Hallo,

das kann man zwar mit der Hybridbox machen, dann funktioniert aber zumindest lt. den A1 Foren die Hybridfunktion nicht mehr und über die Telefonleitung bekommt man nicht so berauschende 16Mbps.

Den Part mit dem externen ITSP verstehe ich leider nicht, da ich ja selber im Netz einen 3CX Server betreiben möchte, sprich keine gehostete Lösung und dafür würde 3CX die Portweiterleitungen vorschreiben.
Ich denke das ein eingehender Anruf ja irgendwie den Weg auf meinen Server finden muss?!
Danke für eure Hilfe inzwischen.

Natürlich möchte ich mich speziell auch bei snaxilian entschuldigen, dass ich alle bzw. speziell Dich mit dem irreführenden Wort Modem (Welches meiner Meinung nach jeder von seinem Serviceprovider als Multifunktionsgerät erhält?!) so lange an der Nase herumgeführt habe. Ich wusste nicht mal, dass man heutzutage noch ein Modem alleine erhält, wenn man als Einzelperson bei einem Serviceprovider etwas bestellt. - Kann ja in Deutschland anders sein. - Ich entschuldige mich für diese Laienhaftigkeit.

Meine Subnetzmaske ist übrigens 255.255.255.192 oder /26, da ich nie mehr als 50 Adressen brauchen werde.

Ich dachte jedenfalls, dass Foren dafür da sind, wenn man wo ansteht zu fragen, sonst müsste es ja Fachdiskussionsplattform heißen, in der jeder alles weis. - Eher sinnfrei also.

Lg

 

[bender_]

da ich ja selber im Netz einen 3CX Server betreiben möchte

Wenn der per IPv4 aus dem Internet erreichbar sein muss, kannst Du dein Vorhaben mit an Sicherheit grenzender Wahrscheinlichkeit begraben. Stichwort Carrier Grade NAT.
Möglichkeit wie es doch gehen kann:

• A1 um eine öffentliche IPv4 bitten. Ob das mit Hybrid möglich ist, weiß ich nicht. Ich vermute eher unwahrscheinlich.
• Tunnelbroker bezahlen
• IPv6 verwenden was aber 3CX leider nicht kann

 

[Raijin]

Meine Subnetzmaske ist übrigens 255.255.255.192 oder /26, da ich nie mehr als 50 Adressen brauchen werde.

Tu dir bitte selber einen Gefallen und belasse die Subnetzmaske bei 255.255.255.0 bzw /24. Es gibt keinen Grund, sich künstlich auf ein kleineres Subnetz als /24 zu beschränken.

Wenn man nicht regelmäßig mit Subnetzmasken zu tun hat und sie gewissermaßen im Schlaf lesen kann, sollte man nicht an ihnen rumschrauben. Du hast dadurch keinerlei Vorteil, es werden keine Ressourcen gespart, nichts läuft schneller, sondern du sorgst am Ende tendenziell nur für einem Knoten im Hirn...

Natürlich möchte ich mich speziell auch bei snaxilian entschuldigen, dass ich alle bzw. speziell Dich mit dem irreführenden Wort Modem (Welches meiner Meinung nach jeder von seinem Serviceprovider als Multifunktionsgerät erhält?!) so lange an der Nase herumgeführt habe. Ich wusste nicht mal, dass man heutzutage noch ein Modem alleine erhält, wenn man als Einzelperson bei einem Serviceprovider etwas bestellt. - Kann ja in Deutschland anders sein. - Ich entschuldige mich für diese Laienhaftigkeit.

Ich werde das Gefühl nicht los, dass dir der Unterschied immer noch nicht klar ist. Du hast kein separates Modem und es ist heutzutage auch nicht üblich, eines vom Provider zu bekommen.

So sollte es funktionieren, gesetzt den Fall du hast überhaupt eine öffentliche IPv4 und hängst nicht hinter einem providerseitigen NAT (CGN).

Wie auch immer, prüfe bitte mal ob das bei dir der Fall ist. Logge dich im A1 Router ein und sieh dir die WAN-IP an. Anschließend zB auf ping.eu gehen und die dort angezeigte IP vergleichen. Stimmen sie überein, ist alles gut, wenn nicht, wird eine Portweiterleitung eh nicht funktionieren, Router und Modem hin oder her.
Die WAN-IP im Huawei wird dann vermutlich im Bereich 100.64.0.0 - 100.127.255.255 liegen, das CCN-Subnetz.
Dann hängst du nämlich mit deinem A1 Router gar nicht direkt im www, sondern nur im Gästezimmer deines Providers inkl. dortigem NAT. Das hieße, dass A1 die gewünschten Ports erstmal zu dir weiterleiten müsste, was sie nicht tun werden.
Einzige Lösung: Bei A1 eine eigene öffentliche IPv4 beantragen, sofern sie das anbieten.

 

[Chuck Norris123]

Ich werde das Gefühl nicht los, dass dir der Unterschied immer noch nicht klar ist. Du hast kein separates Modem und es ist heutzutage auch nicht üblich, eines vom Provider zu bekommen.

Ok, vielleicht kann ich mich nicht richtig ausdrücken, aber Kern meiner Aussage sollte sein, dass man wohl heutzutage immer ein Multifunktionsgerät erhält, welches sowohl ein Modem als auch einen Route und einen WLAN Accesspoint und und und enthält bekommt. Das intern dann zwischen Router und Telefonleitung das Modem sitzt, da der Router mit dem Telefonsignal nichts anfangen kann und umgekehrt ist mir auch klar, es ist nur eigentlich vollkommen egal, welche Wortklauberei man teils betreibt.
Sprich wenn ich heute z.B. bei A1 anrufe und sage ich brauche ein neues Modem, dann erhalte ich wieder ein Gerät, welches ein Modem und all die anderen Komponenten enthält. Es wird mich keiner schulmeistern, weil ich ihn laienhaft nach einem Modem und nicht nach einem WLAN Router mit integriertem Modem gefragt habe. - soviel dazu.


A1 seitig habe ich eine öffentlich IPv4, welche zwar dynamisch vergeben wird, jedoch sollte sich das Problem ohnehin lösen, da ich ja genau aus dem Grund die Telefonanlage einrichten möchte, weil ich zu Magenta mit einer statischen IPv4 wechsle und dafür das ganze vorab testen möchte bzw. sollte.

Wobei ich denke, dass sich das Thema inzwischen etwas vom Kurs weg bewegt hat und daher momentan erledigt ist.
Danke jedenfalls an alle, die mir hier freundlicherweise weiter geholfen haben.

Lg

 

[Raijin]

Es wird mich keiner schulmeistern, weil ich ihn laienhaft nach einem Modem und nicht nach einem WLAN Router mit integriertem Modem gefragt habe. - soviel dazu.

Es geht doch nicht um Wortklauberei oder schulmeisterliche Belehrungen, sondern darum, dass es wie ich in #5 erklärt habe zwei verschiedene Szenarien sind, die unterschiedliche Einstellungen benötigen.

Streng genommen hätte die Antwort auf deine ursprüngliche Frage nämlich ausschließlich eine Portweiterleitung im USG enthalten, weil ein Modem rein gar nichts mit Ports am Hut hat. Das hätte dann aber niemals nie nich funktioniert, weil das vermeintliche Modem eben gar keines ist...

Deswegen kamen ja die Rückfragen, weil der Teufel im Detail steckt. Wenn du dich dadurch angegriffenen fühlst, ist das offen gestanden dein Bier und auch deine rein persönliche Interpretation, weil dir niemand hier im Thread irgendwie ans Bein pieseln wollte und es auch nicht getan hat. Aber um zielgerichtete Hilfe leisten zu können, muss man nun mal die Rahmenbedingungen kennen, weil du sonst mit einer einzelnen Portweiterleitung im USG niemals zum Ziel kommen würdest, da du eben nur von einem Modem sprichst - die Gründe, das potentielle Unwissen was was ist mal vollkommen außen vor....

 

[snaxilian]

dass man wohl heutzutage immer ein Multifunktionsgerät erhält

Nope, zumindest nicht in DE und das setze ich als Regelfall voraus auf computerbase.de. Es gibt Provider da bekommst du gar nix, andere (sehr sehr selten) geben nur ein Modem aus und wiederum andere stellen dir nur ein ONT hin und andere geben dir so eine AiO Box und wiederum andere geben dir eine abgespeckte AiO Box die keine TK-Anlage und/oder kein WLAN enthält oder haben keinen integrierten Switch und nur ein Netzwerkanschluss für kabelgebundene Geräte (Fritzbox 7412 beispielsweise).
Ohne ernsthaft darüber nachzudenken habe ich jetzt schon fünf verschiedene Varianten aufzählen können die unterschiedlichste Funktionen beinhalten. Jetzt konzentrieren wir uns alle mal kurz für zwei Minuten und stellen uns vor: Fünf Leute mit jeweils diesen unterschiedlichen Varianten eröffnen hier einen Thread, bitten um Hilfe und alle reden nur davon, sie hätten lediglich ein Modem. Naja einer der fünf hätte damit sogar eine korrekte Aussage getroffen. Bei den anderen hätte man unfassbar viel Energie und Zeit verschwendet um erst einmal heraus zu finden, was die jeweiligen TEs denn wirklich haben und nicht haben um das Problem nachvollziehen zu können.
Erst wenn man das Problem nachvollziehbar verstanden hat, kann man eine Lösung finden.

Sprich wenn ich heute z.B. bei A1 anrufe und sage ich brauche ein neues Modem, dann erhalte ich wieder ein Gerät, welches ein Modem und all die anderen Komponenten enthält.

Schön in deinem Fall aber ein klares Anzeichen von Confirmation Bias. Wenn ich meinen Provider anrufe dann schickt dieser mir nämlich ein Modem und zwar nur ein Modem.
Du rufst doch auch nicht bei einer Autovermietung an und sagst: "Schönen guten Tag, ich bräuchte gerne ein Auto." und im Zweifelsfall bekommst du das, was vermutlich bei 80% der Leute passt also irgendwas in der Golf-Klasse. Blöd denn du wolltest damit ja eigentlich in den dreiwöchigen Campingurlaub fahren also hättest du eigentlich einen Kombi inkl. Anhängerkupplung benötigt und eine Klimaanlage, Navi und Automatikgetriebe ist für dich ja eigentlich auch selbstverständlich.
Schön für dich aber dies ist nicht allgemein gültig und immer und überall für jeden selbstverständlich. Klare und eindeutige Kommunikation ist der Schlüssel um Missverständnisse zu vermeiden. Das gilt insbesondere wenn die Teilnehmer einer Diskussion oder eines Gesprächs sich nicht kennen, den Wissenshintergrund nicht kennen, die Intention unklar ist und vor allem niemand von den anderen weiß ob und welches Hintergrundwissen vorhanden ist.