Portforwarding an 7490 funktioniert nicht sauber

[$ch4pse]

Hallo zusammen,

ich bin mit meiner 7490 echt zufrieden, allerdings macht mir gerade das Portforwarding etwas zu schaffen.

Ich möchte über https://<dyndnseintrag>:49666 auf mein NAS zugreifen (der Port 49666 kann ein x-beliebiger freier Port sein).
Diesen Port 49666 möchte ich intern weiterleiten an mein NAS auf Port 443. Das macht die Fritzbox aber nicht so wirklich.
Wenn ich das NAS auf 49666 einstelle und den externen 49666 auf intern 49666 weiterleite, läuft es ebenfalls in einen Timeout.
Wenn ich extern 443 auf intern 443 weiterleite klappt alles bestens.

Dasselbe Phänomen habe ich mit http über 8080 ebenfalls nachstellen können.
Ob DynDNS oder direkt die IP spielt keine Rolle, der Fehler bleibt der Selbe.

Für mich sieht es so aus, als ob die FritzBox eingehende Ports nicht sauber "übersetzt".
Bei meinem SAT-Receiver lässt sich das Spiel problemlos reproduzieren, es scheint also tatsächlich an der FritzBox zu liegen.

Hat jemand eine Idee wie ich das korrigiert bekomme? Firmware auf der Box ist die aktuellste. Ebenso auf dem NAS

Danke vorab und Greetz
Phil

 

[Yuuri]

Du musst einfach 49666 extern auf 443 des NAS weiterleiten.

 

[poly123]

Besserer Vorschlag, dann ist das NAS nicht direkt über Internet "exponiert": Adresse via myFritz-Konto und für den Zugriff auf das NAS IP-SEC-Konten auf der FB einrichten? Oder soll auf dem NAS ein Webserver mit bspw. einem CMS (eigener Webseite) o. ä. public laufen? Sobald VPN aufgebaut, brauchst keine Portfreigaben mehr, da dein Gerät sich ja im lokalen Netz befindet.

 

[LieberNetterFlo]

der Trick dürfe sein dass wenn du es mit :443 machst dein Browser automatisch https annimmt ... wenn du es aber mit :49666 machst weiß er nicht dass das https sein soll ... schreib mal explizit im Browser:

https://<dyndnseintrag>:49666

Edit: oder du hast im NAS GUI eingestellt das https nur über 443 erlaubt ist. Da gibts bestimmt ne Regel für.

 

[$ch4pse]

Du musst einfach 49666 extern auf 443 des NAS weiterleiten.

Genau das funktioniert ja nicht, wie in Zeile 3 von mir beschrieben

Besserer Vorschlag, dann ist das NAS nicht direkt über Internet "erreichbar": Adresse via myFritz-Konto und für den Zugriff auf das NAS IP-SEC-Konten auf der FB einrichten? Oder soll auf dem NAS ein Webserver mit bspw. einem CMS (eigener Webseite) o. ä. public laufen?

Jaein, ich möchte das über kurz oder lang so realisieren, deswegen möchte ich jetzt nicht über myfritz oder sowas gehen sondern das direkt so vorbereiten wie es später laufen soll

Ergänzung (26. Juli 2021)

der Trick dürfe sein dass wenn du es mit :443 machst dein Browser automatisch https annimmt ... wenn du es aber mit :49666 machst weiß er nicht dass das https sein soll ... schreib mal explizit im Browser:

https://<dyndnseintrag>:49666

Edit: oder du hast im NAS GUI eingestellt das https nur über 443 erlaubt ist. Da gibts bestimmt ne Regel für.

hab ich genau so schon versucht, hilft leider nix. NAS steht zwar auf 443, aber nicht exklusiv.
Dazu kommt, dass es mit meinem SAT-Receiver ebenfalls mit demselben Fehlerbild nicht funktioniert und der nimmt alles an was so an Anfragen kommt

 

[poly123]

Wobei ja myFritz (nicht die App ^^) im Grunde dasselbe wie DynDNS bietet. Ansonsten Lösung wie #2 und #4

 

[$ch4pse]

Wobei ja myFritz (nicht die App ^^) im Grunde dasselbe wie DynDNS bietet. Ansonsten Lösung wie #2 und #4

Ja das ist mir schon klar. Es geht mir hier eher um meine eigene Domain, die ich bei myFritz nicht sauber eintragen kann. Und mit jedem redirect steigt natürlich auch die Anzahl möglicher Fehlerquellen. Daher mein Weg was dyndns angeht direkt über Strato in meinem Fall

 

[h00bi]

Genau das funktioniert ja nicht, wie in Zeile 3 von mir beschrieben

du hast dieses Szenario überhaupt nicht beschrieben außer:

Das macht die Fritzbox aber nicht so wirklich.

Leite 49666 extern doch einfach mal auf 443 intern auf deinem PC weiter und starte dort einen simplen FTP Server auf Port 443.

 

[till69]

Testest Du auch wirklich von extern?

 

[$ch4pse]

du hast dieses Szenario überhaupt nicht beschrieben außer:

Leite 49666 extern doch einfach mal auf 443 intern auf deinem PC weiter und starte dort einen simplen FTP Server auf Port 443.

Dann gerne ausführlich, wenn meine Beschreibung da scheinbar zu Verwirrungen führt.

Ich HABE 49666 (es kann auch jeder andere freie Port verwendet werden) von extern an Port 443 an meinem NAS weitergeleitet. Das läuft dann einfach auf einen Timeout. Dasselbe Verhalten lässt sich sowohl über die HTTP Verbindung provozieren, als auch bei HTTPS und HTTP auf anderen Geräten.

Die direkt "1:1" Weiterleitung (also 443 auf 443 oder 8080 auf 8080) funktioniert bestens. Ebenfalls reproduzierbar.

Ein gerade durchgeführter Test mit einem FTP führt zum exakt selben Ergebnis. Da bringt mich zurück zu meiner ursprünglichen Vermutung, dass die FritzBox hier nicht sauber "übersetzt".

Generell kann ich aber natürlich auch nicht ausschließen, dass Vodafone als Provider hier noch die Finger mit im Spiel hat.

edit: eben noch getestet: NAS auf 49666 für HTTPS umgestellt. Die 1:1 Weiterleitung von 49666 extern auf 49666 intern führt ebenfalls zu einem Timeout. Fragt die jetzt bleibt: FirtzBox oder Provider?

Ergänzung (26. Juli 2021)

Testest Du auch wirklich von extern?

Andere Hardware, anderer Standort, andere IP, anderer Provider.
mehr extern geht kaum

 

[h00bi]

Fragt die jetzt bleibt: FirtzBox oder Provider?

Teste es wie beschrieben mit einem FTP Server auf deinem PC, bei dem du beliebig den Port ändern kannst.

 

[till69]

mehr extern geht kaum

Ich teste immer erst den Verbindungsaufbau mit

telnet ip port     (z.B. telnet 8.8.8.8 53)

 

[Blindlinks]

Was läuft denn bei Dir auf Port 443 auf dem NAS? Wenn dort kein "Empfänger" die Anfrage beantwortet kommt es zum Timeout.

Evtl. musst Du dann auch noch einen reverse Proxy erstellen.

 

[till69]

Evtl. musst Du dann auch noch einen reverse Proxy erstellen.

Nein

 

[$ch4pse]

Teste es wie beschrieben mit einem FTP Server auf deinem PC, bei dem du beliebig den Port ändern kannst.

Da geht jetzt gar nichts mehr.
Weder auf Port 21 noch auf irgend einem anderen Port. Egal ob mit 1:1 Freigabe oder mit Weiterleitung.
FTP scheint generell nicht durch zu gehen.

 

[Raijin]

Die Ursachen können vielschichtig sein.

1. Der Client, von dem aus der fragliche Port angesteuert wird (zB 49666), muss dies ausgehend zulassen
2. Der Router am Client muss ausgehend den fraglichen Port zulassen
3. Der Provider des Clients muss ausgehend den fraglichen Port zulassen
4. Der Provider des Servers muss eingehend den fraglichen Port zulassen
5. Der Router des Servers muss eingehend den fraglichen Port zulassen
6. Der Server muss eingehend den fraglichen Port zulassen

Nu ist die Frage wie du von extern prüfst. Machst du das über einen Portscanner im Netz? Mittels Smartphone im Mobilfunk? Über WLAN vom Nachbarn? Über WLAN von einem öffentlichen Hotspot? Oder versuchst du es gar von innerhalb des eigenen Netzwerks einfach über die öffentliche IP-Adresse? All diese Szenarien können unterschiedliche Bedingungen bieten, allen voran der zuletzt genannte Test, lokal über die externe IP.

Ein Fehler in der Fritzbox bei PAT (PortAddressTranslation) ist arg unwahrscheinlich, weil das bei Portweiterleitungen eine triviale Funktion darstellt.


Am besten testest du es mal wie @till69 in #12 vorgeschlagen hat mit telnet. So ist zusätzlich sichergestellt, dass zB der Browser oder irgendein Plugin nicht noch dazwischenfunkt und https auf non-443-Ports blockt oder so.

 

[$ch4pse]

Die Prüfung von extern erfolgt teilweise per mobile Internet, über einen weiteren privaten DSL Anschluss am anderen Ende der Stadt oder aus dem Netzwerk in der Firma. Alles schlägt fehl.

Selbstverständlich teste ich NICHT von intern mit der öffentlichen IP. Hat man ja schließlich mal anders gelernt

Interessant ist nur, dass FTP egal auf welchem Port egal von welchem Testpunkt auch immer fehl schlägt. Aus der Firma kann ich mir das noch erklären, da hier FTP durchaus gesperrt ist für manche Netzbereiche, von privaten Anschlüssen oder mobilem Internet aus lässt sich aber aber imho nicht anders erklären, als dass das von Vodafone (mein Provider an dem die FB hängt an der die Freigaben eingestellt werden sollen) geblockt wird, oder eben an der FB direkt discarded werden. Letzteres, da gebe ich dir Recht @Raijin halte ich ebenfalls für relativ unwahrscheinlich

 

[Blindlinks]

Mal ganz blöd gefragt, bekommst Du von Vodafone überhaupt eine öffentliche IP?
Und schön wäre auch mal zu wissen, von welchem Hersteller das NAS ist. Bei Synology z. B. greift evtl. eine Zugriffssperre.

 

[chrigu]

Was ist das für ein nas?
Hast du ds-lite/gcn? (Wenn die wanport ip der Fritzbox nicht dieselbe ip ist wie bei wieistmeineip.de hast du keine Chance über ipv4 auf die nas zu gelangen)

 

[$ch4pse]

Mal ganz blöd gefragt, bekommst Du von Vodafone überhaupt eine öffentliche IP?
Und schön wäre auch mal zu wissen, von welchem Hersteller das NAS ist. Bei Synology z. B. greift evtl. eine Zugriffssperre.

Ja bekomme ich. Eine ganz normale klassische IPv4 Adresse. Zwar nicht fest, aber dafür gibt es ja über längere Sicht einen dynDNS Dienst

Das NAS ist hier meiner Ansicht nach weniger das Problem, denn wie oben schon steht habe ich das identische Problem auch bei einem SAT-Receiver oder aber auch bei FTP

Was ist das für ein nas?
Hast du ds-lite/gcn? (Wenn die wanport ip der Fritzbox nicht dieselbe ip ist wie bei wieistmeineip.de hast du keine Chance über ipv4 auf die nas zu gelangen)

Ist eine QNAP TurbsStation TS-673.
IP am WAN Interface stimmt mit der online ermittelten IP (die auch per dynDNS sauber zu Strato übermittelt wird) überein