ComputerBase Menü
Aktuelles

Portforwarding an 7490 funktioniert nicht sauber

Wie gesagt, teste am besten mit Telnet. Wenn FTP nicht funktioniert, kann das noch andere Ursachen haben wie zB active vs passive mode.

Setze die Portweiterleitung auf 443 --> 443, öffne cmd und mache telnet öffentlicheIP 443. Wenn telnet in einen Timeout läuft, kommt eine Fehlermeldung, wenn die Verbindung hergestellt werden konnte (nur das TCP-Handshake), sollte das Fenster geflusht werden und oben links blinkt nur der Cursor. An dieser Stelle erwartet der https-Server den eigentlichen https-Request. Enter drücken und man fliegt aus dem Fenster wieder raus, weil nix https und so.

Stelle nun die Portweiterleitung wieder auf 49666 --> 443 und wiederhole den Test mit telnet öffentlicheIP 49666.

Idealerweise testest du verschiedene Ports, zB auch sowas wie 22 --> 443, um etwaigen Blocks vom Provider aus dem Weg zu gehen.
 
443 --> 443 funktioniert bestens per Telnet.
49666 --> 443 funktioniert nicht. "konnte keine Verbindung hergestellt werden auf Port 49666"

auch auf einem anderen Ports klappts nicht. Nur wenn ich 1:1 weiterleite komme ich durch
 
Dann geh bitte mal in der Fritzbox in den Expertenmodus und mach einen tcpdump. Dort schneidest du eingehenden Traffic am WAN-Port auf dem jeweiligen externen Port mit. So kannst du sehen ob die Verbindung auf 49666 überhaupt bei der Fritzbox ankommt oder ob sie bereits vorher rausgefiltert wurde, sei es bei deinem Provider, dem Provider des Clients oder dem Client selbst.
 
  • Gefällt mir
Reaktionen: Bob.Dig
Raijin schrieb:
Dann geh bitte mal in der Fritzbox in den Expertenmodus und mach einen tcpdump. Dort schneidest du eingehenden Traffic am WAN-Port auf dem jeweiligen externen Port mit. So kannst du sehen ob die Verbindung auf 49666 überhaupt bei der Fritzbox ankommt oder ob sie bereits vorher rausgefiltert wurde, sei es bei deinem Provider, dem Provider des Clients oder dem Client selbst.
Zum Vergrößern anklicken....
Jetzt wirds interessant. Über die Einstellung 4966 --> 443 keine Verbindung, egal ob Mobilfunk, privates DSL oder Firmenrechner.

Mit der Einstellung 443 --> 443 alles bestens.
Mit der Einstellung 8080 --> 443 alles bestens
Mit der Einstellung 995 --> 443 (POP3-Port) erhalte ich die Fehlermeldung "unsafe Port" Ebenso mit anderen "missbrauchten" Ports

So wie es also aktuell aussieht kommt Port 49666 gar nicht erst zu meiner FB durch. Bei einem "Missbrauch" von 995 zum Beispiel scheint erkannt zu werden, dass die falschen Pakete kommen, die dann direkt als unsafe blockiert werden.

edit: Witzigerweise gerade gefunden... die FB gibt sich selbst Port 42793 für die Oberfläche per HTTPS. Auch mit diesem Port ist von extern nichts erreichbar. Läuft ebenfalls in einen Timeout wie auch die Weiterleitung.
 
Zuletzt bearbeitet:
Hast du das jetzt mittels capture an der Fritzbox bzw. Auswertung in WireShark festgestellt oder nach wie vor über Real-Life-Tests im Browser?

Wenn die Verbindungen auf den fraglichen Ports gar nicht erst an der Fritzbox ankommen, werden sie auf dem Weg zu dir geblockt. Passiert dies unabhängig davon von wo aus du testest (Mobilfunk, Nachbar-WLAN, etc), kann man davon ausgehen, dass dies bei deinem Provider geschieht.



$ch4pse schrieb:
Mit der Einstellung 995 --> 443 (POP3-Port) erhalte ich die Fehlermeldung "unsafe Port" Ebenso mit anderen "missbrauchten" Ports
Zum Vergrößern anklicken....
Das ist durchaus nicht unüblich, da 995 zu den "well known ports" gehört und eben POP3 zugeordnet ist. Da kann es passieren, dass an dieser Stelle der Browser sogar die Fehlermeldung ausspuckt, weil er bemerkt, dass man versucht, den POP3-Port mittels https anzusurfen. Die Ports <1024 sind zudem in vielen Betriebssystemen nur mit Admin-Rechten zu öffnen, weil sie gewissermaßen als System-Ports gelten. Dementsprechend kann da auch mal eine Warnung kommen, wenn der Port augenscheinlich zweckentfremdet wird, was schlimmstenfalls auf einen Manipulationsversuch hindeuten kann. Aber das nur mal so am Rande.
 
Raijin schrieb:
Hast du das jetzt mittels capture an der Fritzbox bzw. Auswertung in WireShark festgestellt oder nach wie vor über Real-Life-Tests im Browser?

Wenn die Verbindungen auf den fraglichen Ports gar nicht erst an der Fritzbox ankommen, werden sie auf dem Weg zu dir geblockt. Passiert dies unabhängig davon von wo aus du testest (Mobilfunk, Nachbar-WLAN, etc), kann man davon ausgehen, dass dies bei deinem Provider geschieht.




Das ist durchaus nicht unüblich, da 995 zu den "well known ports" gehört und eben POP3 zugeordnet ist. Da kann es passieren, dass an dieser Stelle der Browser sogar die Fehlermeldung ausspuckt, weil er bemerkt, dass man versucht, den POP3-Port mittels https anzusurfen. Die Ports <1024 sind zudem in vielen Betriebssystemen nur mit Admin-Rechten zu öffnen, weil sie gewissermaßen als System-Ports gelten. Dementsprechend kann da auch mal eine Warnung kommen, wenn der Port augenscheinlich zweckentfremdet wird, was schlimmstenfalls auf einen Manipulationsversuch hindeuten kann. Aber das nur mal so am Rande.
Zum Vergrößern anklicken....
das kam über den Capture an der FB. Da kam nichts an. Egal von wo. Über den direkten Weg 443 --> 443 kommt alles an und es findet rege Kommunikation zwischen der FB und meinem Client im Büro statt.

Das 995 ein well known port ist, ist mir bekannt. Ich hatte nur die Vermutung, dass eben die höheren Ports teilweise geblockt werden. So scheint es ja im Moment auch.
Daher kam mir die Idee das mal zu versuchen, wohlwissentlich, das da vermutlich nichts gehen wird. Ausprobieren kann mans ja mal, da ja die 8080 --> 443 Umleitung schon geklappt hatte. Nun ja, 8080 und 443 ist aber halt beides Webtraffic und Webtraffic ist eben kein POP3-Paket :)

Ich denke ich werde mich mal mit Vodafone unterhalten. Eine wirklich zufriedenstellende Antwort oder gar Lösung des Problems erhoffe ich mir auch damit nicht. Mal schauen ob ich einen Workaround basteln kann.

Danke für deine Hilfe @Raijin
 
Wenn 8080 - der offizielle Alternativport für http auf TCP 80 - funktioniert, kannst du natürlich auch mal 8443 für https versuchen. Das ist mehr oder weniger der inoffizielle Alternativport für https TCP 443.


Ansonsten kann man natürlich nicht oft genug erwähnen, dass man nach Möglichkeit nur über einen VPN -Client Verbindung ins Heimnetz herstellt und darüber dann sämtliche potentielle Webserver im gesamten Heimnetzwerk mit Standard-Port nutzen kann, ohne Krücken wie mehrfache x --> 443 Portweiterleitungen einrichten zu müssen. Letztendlich besteht nämlich immer die Gefahr, dass unterwegs alles außer den bekannten Standardports (zB 22/80/443/etc) im dortigen Internetrouter bzw. dessen Firewall geblockt wird, ganz unabhängig vom Provider. Einige Hotspots und viele Firmennetzwerke sind nämlich so zugenagelt, um etwaige Sicherheitsprobleme bzw. Missbrauch zu vermeiden.


Wenn alle Stricke reißen, solltest du mit einem Proxy weiterkommen, der eben über 443 erreichbar ist und dann URL- bzw. Domain-abhängig im lokalen Netzwerk an den jeweiligen Webserver durchreicht. Da du aber explizit auf einen SAT-Receiver verwiesen hast, möchte ich dennoch erneut davor warnen, beliebige Geräte offen aus dem www zugreifbar zu machen. Bei einem aktuell gepatchten Server, der fachgerecht aufgesetzt wurde, ist das noch vertretbar, aber bei Web-GUIs von x-beliebigen Endgeräten, die in 99 von 100 Fällen ausschließlich für die Nutzung aus dem lokalen Netzwerk vorgesehen sind, wäre ich mächtig vorsichtig.
 
$ch4pse schrieb:
Ich denke ich werde mich mal mit Vodafone unterhalten.
Zum Vergrößern anklicken....
Kabel oder DSL?
$ch4pse schrieb:
Mal schauen ob ich einen Workaround basteln kann.
Zum Vergrößern anklicken....
Das wäre z.B. ein OpenVPN Server über TCP 443. Richtig konfiguriert (tls-crypt) funktioniert das dann weltweit (außer evtl. Länder in die man eh nicht sollte/will)
 
till69 schrieb:
Kabel oder DSL?

Das wäre z.B. ein OpenVPN Server über TCP 443. Richtig konfiguriert (tls-crypt) funktioniert das dann weltweit (außer evtl. Länder in die man eh nicht sollte/will)
Zum Vergrößern anklicken....
Ist ein DSL Anschluss.
OpenVPN wäre das Mittel der Wahl oder eben wie von Raijin erwähnt ein Proxy. Muss jetzt einfach mal schauen was ich da wie machen. Fakt ist auf jeden Fall so wie es jetzt scheint, dass es rein über eine Portweiterleitung nicht geht wie ich mir das vorstelle. Offizielles Statement von VF steht noch aus, man versprach mir aber nen Rückruf.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Brati23
Fritzbox 7490 DSL an Sunrise Internet Box Fiber
Antworten
12
Aufrufe
500
Sykehouse
Sykehouse
A
  • Frage
Wie mach ich ein Gerät über Umwege aus dem Internet erreichbar?
2 3
Antworten
50
Aufrufe
4.735
Raijin
Raijin
Grimba
Nextcloud: VPN vs. Portforwarding + Routerkaskade
Antworten
11
Aufrufe
567
qiller
Q
T
nginx Proxy Manager für Newbie
Antworten
16
Aufrufe
608
the-grosser
T
L
  • Frage
Probleme bei Portforwarding für einen Minecraft Server
Antworten
14
Aufrufe
2.881
NatokWa
N
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz