Fritzbox 6490: Portfreigabe funktioniert nicht

[Metzgerr]

Hallo,

Ich habe in meiner Fritzbox 6490 eine Freigabe sowie einen dyndns Dienst eingerichtet, jedoch funktioniert nur der dyndns Dienst - nach Eingabe der URL lande ich immer auf der Anmeldeseite der Fritzbox und werde nicht zur freigegebenen IP weitergeleitet.

Zur Info: ich betreibe eine nextcloud in einem jail meiner freenas, wobei ich in dem virtuellen Netzwerkadapter die IPv6 selbstständig zuweisen musste. Dazu habe ich per IPv4 zu IPv6 converter die IPv6 Adresse anhand der v4 Adresse berechnet.


Danke!

 

[cricru]

Hast du es von extern versucht? Die Fbox erkennt interne Zugriffe und leitet dich dann darüber dahin...

heisst: die Box löst den Namen auf, erkennt dass es die eigene IP ist und schickt dich dann per LAN dahin, also auf die Config Seite...

 

[devVvon]

Du musst erstmal der Fritzbox sagen das sie nicht auf 443 antwortet, das macht sie standardmäßig, das musst du erst deaktivieren dann greift die eigene Portfreigabe.

 

[hellobello25]

https://www.computerbase.de/forum/threads/http-freigabe-fritzbox.1657669/

Intern einen anderen Port verwenden beim Webserver 92373 zb und außen 80

Wenn den Webserver von innen erreichen willst muss die Kiste Nat Loopback oder wie das heißt beherschen

 

[Metzgerr]

Du musst erstmal der Fritzbox sagen das sie nicht auf 443 antwortet

wo gebe ich das ein?

 

[devVvon]

Da!

 

[Metzgerr]

Bekomme dann jedoch folgende Fehlermeldung:
Der Port 443 wird bereits für eine Freigabe verwendet. Daher wurde Port 3642 gewählt.


Im vorherigen Reiter des Fritzbox Menüs habe ich die Freigabe, siehe Screenshot Eingangspost, für das Zielgerät ja eingerichtet?

Danke für eure Hilfe!

 

[Raijin]

Moment, deine Router-GUI ist von außen errreichbar?!? Ich hoffe man kann der Fritzbox das abgewöhnen. Eine Router-GUI darf nicht öffentlich erreichbar sein, wenn man nicht ganz sicher weiß was man da tut.

Erst wenn die Fritzbox selbst am WAN nicht mehr auf TCP 443 hört, kannst du ihn weiterleiten. Wenn sich dir Fritzbox querstellt, kannst du auch zB 8443 auf 443 weiterleiten. Natürlich musst du von außen dann immer :8443 angeben.

 

[spcqike]

es wäre mir neu, dass eine FB von außen auf Port 443 hört.
was hat es mit dem exposed host auf sich, was man da im bild noch sieht?

 

[Datax]

Bekomme dann jedoch folgende Fehlermeldung:
Der Port 443 wird bereits für eine Freigabe verwendet. Daher wurde Port 3642 gewählt.


Im vorherigen Reiter des Fritzbox Menüs habe ich die Freigabe, siehe Screenshot Eingangspost, für das Zielgerät ja eingerichtet?

Danke für eure Hilfe!

Was hast du denn jetzt eingestellt bei "TCP-Port für HTTPS"?

Wenn dort jetzt nicht mehr 443 eingestellt ist,
dann ignoriere doch erstmal diese Fehlermeldung.

Wichtig ist, dass dort kein 443 eingestellt ist. Andernfalls wird 443 nicht weitergeleitet,
da bereits in Verwendung durch die FritzBox selbst.

Ergänzung (3. Juli 2019)

Moment, deine Router-GUI ist von außen errreichbar?!? Ich hoffe man kann der Fritzbox das abgewöhnen. Eine Router-GUI darf nicht öffentlich erreichbar sein, wenn man nicht ganz sicher weiß was man da tut.

Standardmäßig ist das nicht der Fall.

Man kann das aber unter "Internet" --> "Freigaben" --> "FRITZ!Box-Dienste" durch die Option
"Internetzugriff auf die FRITZ!Box über HTTPS aktiviert" aktivieren. Auf der gleichen Konfigurationsseite kann man dann auch den TCP-Port für HTTPS konfigurieren, auf dem der WebServer der FritzBox "lauscht".

 

[Andreas_]

Moment, deine Router-GUI ist von außen errreichbar?!? Ich hoffe man kann der Fritzbox das abgewöhnen. Eine Router-GUI darf nicht öffentlich erreichbar sein, wenn man nicht ganz sicher weiß was man da tut.

Das lässt sich unter dem Punkt "Fritzbox-Dienste" konfigurieren ... ist aber per default aus.

/edit: zu langsam

 

[Metzgerr]

Der Haken bei Internetzugriff auf die FRITZ!Box über HTTPS aktiviert ist nicht aktiviert - und dennoch lande ich nicht bei der Portfreigabe sondern an der Anmeldeseite der Fritzbox :'(

 

[Datax]

Hallo,

Ich habe in meiner Fritzbox 6490 eine Freigabe sowie einen dyndns Dienst eingerichtet, jedoch funktioniert nur der dyndns Dienst - nach Eingabe der URL lande ich immer auf der Anmeldeseite der Fritzbox und werde nicht zur freigegebenen IP weitergeleitet.

Anhang anzeigen 796490


Zur Info: ich betreibe eine nextcloud in einem jail meiner freenas, wobei ich in dem virtuellen Netzwerkadapter die IPv6 selbstständig zuweisen musste. Dazu habe ich per IPv4 zu IPv6 converter die IPv6 Adresse anhand der v4 Adresse berechnet.


Danke!

Trotz des Problems, das du versuchst hier zusammen mit den Helfenden zu lösen,
solltest du nicht dauerhaft "Exposed Host" in der Freigabe stehen lassen.

Damit werden ALLE Ports an das betreffende Zielgerät durchgereicht,
die auf der externen IP-Adresse deiner FritzBox angesprochen werden.

In aller Regel möchte man das aus Sicherheitsgründen nicht,
da dann von außen Dienste erreichbar sind, die eigentlich gar nicht von außen erreichbar sein sollen.

Durch die "Exposed Host"-Konfiguration in der Portfreigabe der FritzBox werden diese Dienste dann aber trotzdem über das Internet erreichbar und so angreifbar gemacht.

Es sei denn es ist wirklich von dir gewollt, ist aber nicht mein Eindruck.

Vermute mal, dass du das nur aus Testzwecken so eingestellt hast,
weil die Portfreigabe bisher nicht wie gewünscht funktioniert.

Ergänzung (3. Juli 2019)

Der Haken bei Internetzugriff auf die FRITZ!Box über HTTPS aktiviert ist nicht aktiviert - und dennoch lande ich nicht bei der Portfreigabe sondern an der Anmeldeseite der Fritzbox :'(

Hm, und zuvor wurde der HTTPS-Port auf 3642 umgestellt?

Sprich, du hast den HTTPS-Port auf 3642 umgestellt und dann den Internetzugriff deaktiviert (Haken raus gemacht)!?

Ggf. mal die FritzBox neu starten!?

 

[Raijin]

Zum Thema exposed Host: Volle Zustimmung! Diese Einstellung ist gleichbedeutend mit dem Abschalten der Firewall des Routers und sollte ausschließlich genutzt werden, wenn dieser Host seinerseits zuverlässig mit seiner eigenen Firewall abgesichert ist. Ist das nicht der Fall, stellt der exposed host ein brandgefährliches Einfallstor ins Netzwerk dar.

@Metzgerr
Um die Frage von weiter oben zu wiederholen: Hast du es von extern versucht?

Wie testest du genau? Von innerhalb des Netzwerks? Vom Handy aus? Via Mobilfunk oder WLAN? Vom Nachbarn aus?

 

[hellobello25]

https://avm.de/service/fritzbox/fri...Auflosung-privater-IP-Adressen-nicht-moglich/

klingt sehr nach dem Phänomen
https://at.avm.de/service/fritzbox/...f-auf-HTTPS-Server-im-Heimnetz-nicht-moglich/

Mal eine blöde frage hab keinen Plan von IP6
Da hat doch jeder PC eine eigene öffentliche Adresse oder nicht? Da gibts doch kein NAT?

https://www.wieistmeineip.at/ipv6/
Müsste dann nicht Privacy Extension abgeschalten werden?
Bzw der dyndns dienst auf dem PC wo der Webserver läuft?

Wobei kann Dyndns überhaupt ip4 und ip6 gleichzeitig

oder
Bei einer Fritzbox muss die Domain in den Einstellungen als Ausnahme unter DNS-Rebind-Schutz eingetragen werden, damit der Aufruf im LAN/WLAN zugelassen wird.

Bei DS Lite wird doch IP4 über IP6 Getunnelt und eine Dynamische IP nicht öffentliche dynamische IP?

Zudem ist die IP4 CGN? Dann wird es auch schwer einen Webserver ....
oder wurde eine öffentliche Adresse beantragt?

 

[Mr. Robot]

Die interne Port der Fritzbox darf durchaus gleich sein wie der von extern weiter zu leitende. Die kommen sich nicht in die Quere, wenn es richtig eingestellt ist.

Aber prüfe doch bitte erst mal wie bereits erwähnt, ob du DS-Lite hast, oder wirklich eine öffentlich erreichbare IPv4 Adresse. Ohne die gibt es nichts zum weiter leiten. (Ipv6 braucht keine Weiterleitung, sondern nur eine geöffnete Firewall)

 

[Metzgerr]

Ich habe IPv6 und einen entsprechenden Dyn Dienst. Es gab in der Tat noch ein Problem mit der Netzwerkkonfiguration bzw der Konfiguration von nginx der nextcloud.

Nun ist es so, dass ich per direkter IP auf die nextcloud komme, auch aus dem wan, jedoch über die Dynurl weiterhin auf der Anmeldeseite der Fritzbox lande - und eine zusätzliche Portangabe hinter der URL wird zurückgewiesen.

 

[hellobello25]

Hat die Fritz eine Fernwartungs Funktion die auch von außen erreichbar ist?

Was ist mit dem DNS-Rebind-Schutz vielleicht leitete der automatisch auf die Fritz um?

 

[Datax]

Ich habe IPv6 und einen entsprechenden Dyn Dienst. Es gab in der Tat noch ein Problem mit der Netzwerkkonfiguration bzw der Konfiguration von nginx der nextcloud.

Nun ist es so, dass ich per direkter IP auf die nextcloud komme, auch aus dem wan, jedoch über die Dynurl weiterhin auf der Anmeldeseite der Fritzbox lande - und eine zusätzliche Portangabe hinter der URL wird zurückgewiesen.

Wie testest du denn?

Diese Frage hast du bisher nie hier im Thread beantwortet.

Was bekommst du denn als Ergebnis ausgegeben,
wenn du in einer Eingabeaufforderung (CMD) deinen MyFRITZ-Hostnamen auflöst?

Sprich "nslookup <Zeichenwirrwarrr>.myfritz.net" in der "CMD" eingeben.

Vermutlich wird dann deine IPv6- und deine IPv4-Adresse zurückgegeben,
das hast du einen DualStack-Anschluss.

Kann das sein?

Moderne Betriebssysteme von heute bevorzugen IPv6 gegenüber IPv4 zur Adressierung.

Wenn du also an denem Test-Client IPv6 mal ausschaltest, dann sollte es klappen.

Ist jetzt nur eine Vermutung, dass genau das dein Problem ist.

Liegt daran, dass du dich im gesamten bisherigen Thread sehr mit Informationen zurückhälst.

Eigenständig nennst du fast keinerlei Informationen und auf Rückfrage auch immer sehr wage und wenig genau e und vor allem unvollständige Infos. Die Frage WIE (von wo und mit was für einem Client, Betriebssystem etc.) du testest hast du beispielsweise bisher nicht beantwortet. Es ist sehr schwer nachzuvollziehen, was genau du machst. Da ist es immer eine Ratespiel den Istzustand zu erraten, um dann nach dem Raten dennoch weiterhelfen zu können.

 

[hellobello25]

Das mit der Priorität kann man doch ggf mit der Metrik lösen?