Vodafone EasyBox 804 und DDNS - Geräte können nicht erreicht werden

Longtech

Lieutenant
Dabei seit
Nov. 2009
Beiträge
693
Hallo zusammen,

ich versuche hier vergebens eine EasyBox 804 mit einer dynamischen DNS einzurichten.

Mir ist bewusst, dass die EasyBox 804 ein Gerät der Einsteigerklasse ist, dennoch gibt es unter:
Internet->Experten-Modus die Option DNS und DDNS immerhin die Option 5 DDNS Anbieter auszuwählen.

Habe also eben einen kostenlosen ACC bei no-ip.com eingerichtet und in den Router eingetragen. Der DDNS Status steht auf Updated, was soviel wie verbunden heißt.

Jetzt versuche ich z.B. auf die Weboberfläche der EasyBox zu kommen. Also die IP: 192.168.2.1 für die Weiterleitung mit entsprechenden Ports eingerichtet und nichts passiert, die Adresse kann über den Domänen-Namen NICHT erreicht werden.


Mir scheint es, als wenn die Portweiterleitung nicht richtig arbeitet. Ich habe in den Logs der EasyBox nachgesehen und auch hier gibt es keine Fehler. Es ist zum Verzweifeln...

Einzig wenn ich über die Funktion Exposed Host die lokale IP-Adresse eintrage, dann kann ich tatsächlich auf die Weboberfläche eines Gerät zugreifen (z.B. Synology NAS). Dann ist die Kiste jedoch offen wie ein Scheunentor.

Wer kann mir helfen?

Danke und Gruß
 

maexn

Cadet 1st Year
Dabei seit
Sep. 2009
Beiträge
14
Hallo Longtech,

sorry hier stand Quatsch..

Das du auf diesem Weg das Webinterface des Routers nicht erreichbar machen kannst ist vermutlich so gewollt.. In der Regel haben Router für die Fernwartung einen eigenen Service oder Menüpunkt.

Evtl. musst du den Router nach einer Portweiterleitung neu starten, oder das entsprechende Gerät lauscht auf einem anderen Port? Um dir an der Stelle weiter zu helfen, wären zusätzliche Informationen nötig - z. B. Informationen zum entsprechenden Gerät und was genau du da freigeben möchtest.

Bezüglich des Synology NAS gibt es in deren Wiki eine u. U. ganz nützliche Seite. Auch wenn diese vermutlich nicht speziell dein Gerät betrifft, könnte die die unten stehende Tabelle evtl. weiter helfen. Link

Um die Funktion des DNS Dienstes zu testen reicht es ja vermutlich schon einen Ping an die entsprechende Domain zu senden, ich halte ich es für keine gute Idee das Webinterface des Routers freizugeben.. :)

Grüße!
 
Zuletzt bearbeitet:

Raijin

Fleet Admiral
Dabei seit
Nov. 2007
Beiträge
10.645
Es grenzt an Wahnsinn, die Weboberfläche eines Routers über das Internet erreichbar zu machen. Insbesondere bei 08/15 Heimroutern. Deswegen wird auch jeder halbwegs vernünftige Hersteller den Zugriff aus dem www blockieren, indem die GUI schlicht und ergreifend nicht auf der WAN-IP läuft und/oder die Firewall sämtliche Zugriffe von externen IPs blockt.

Es gibt außerdem keinen Grund, das überhaupt zu wollen. Oder was fummelst du am Router zu Hause rum, wenn du unterwegs bist?

Fazit : Selbst wenn die Easybox den Zugriff erlauben würde, ist es gefährlich und geradezu dumm, die GUI des Routers ins www zu stellen.

Für sicheren Zugriff auf das Heimnetzwerk - inkl Router - nutze bitte ein VPN. Die Synology hat bereits einen VPN-Server an Bord. Einschalten, konfigurieren, ausschließlich den/die VPN-Ports im Router weiterleiten und los geht's. So macht man das und nicht anders.
 

bender_

Commodore
Dabei seit
Nov. 2012
Beiträge
4.531
Und die obligatorische Frage ob Du überhaupt eine eigene IPv4 hast oder nur nen DS-Lite Anschluss...
 

Raijin

Fleet Admiral
Dabei seit
Nov. 2007
Beiträge
10.645
Einzig wenn ich über die Funktion Exposed Host die lokale IP-Adresse eintrage, dann kann ich tatsächlich auf die Weboberfläche eines Gerät zugreifen (z.B. Synology NAS).
Das deutet darauf hin, dass er eine eigene IPv4 hat, weil er ja offenbar auf die Diskstation draufkommt. Wobei ich nicht nachvollziehen kann wieso man bei einer potentiell nicht funktionierenden Portweiterleitung plötzlich mit exposed host testet.
 

Longtech

Lieutenant
Ersteller dieses Themas
Dabei seit
Nov. 2009
Beiträge
693
Guten Morgen,

zunächst vielen Dank für die Nachrichten.

Ich habe mich nicht gut genug ausgedrückt, auch weil ich etwas genervt war und die Verbindung nicht funktionieren wollte.
Ich habe gestern eben nur drei Netzwerkgeräte mit einer festen IP-Adresse getestet:
-EasyBox 804
-Synology NAS
-BananaPi M2

Vor einigen Jahren hatte ich eine Fritzbox und konnte die Verbindungen schmerzbefreit über Port Forwarding einrichten.
Nur bei der EasyBox 804 will es nicht funktionieren.

Einen Punkt wie Fernwartung scheint es zu geben, hier hat jedoch nur der Vodafone Support Zugriff.
Das Rebooten der EasyBox wäre natürlich eine Option, jedoch kann ich nicht nach jeder gesetzten Einstellung die Kiste durchstarten (Dauer ca. 5min).

Die DDNS Adresse ist definitiv anpingbar, so habe ich es bereits gestern schon von extern mit einem einfachen Pingtest erfolgreich getestet.
Eine VPN Verbindung über IPsec würde ich natürlich noch einrichten. Aber erstmal will ich die Geräte irgendwie halbwegs sicher erreichen.

Wie gesagt, über den Exposed Host kann ich z.B. das Synology NAS erreichen. Ich habe eine IPv4 Adresse.

Auch habe ich mal in google gesucht und habe gesehen, dass tatsächlich noch andere User mit der EasyBox 804 Probleme mit der Port Forwarding Funktion und DDNS haben...
https://forum.vodafone.de/t5/Archiv...S-Port-Mapping-funktioniert-nicht/td-p/816308

Das Community Team bestätigt die Probleme und empfiehlt ne FritzBox für 2,99€/ Monat für die Anwender...
Das kann es eigentlich nicht sein. Ich überlege mir mittlerweise einen halbwegs gescheiten Router zu kaufen.
 

Raijin

Fleet Admiral
Dabei seit
Nov. 2007
Beiträge
10.645
Lass doch mal das DDNS aus dem Spiel. Das ist nix anderes als die Auskunft 11 88 0, nur dass eben Herr Müller aus Buxtehude heute die TelefonNummer 12345 hat, morgen die 54321 und übermorgen die 6232186 - anrufen musst du Herrn Müller trotzdem selbst, unter seiner heutigen Telefonnummer. Dasselbe gilt für DDNS. DDNS hat nichts mit der eigentlichen Verbindung und schon gar nichts mit der Portweiterleitung zu tun. Es gibt einen DNS-Request welche IP blabla.irgendein.ddns denn heute hat und danach wird ausschließlich direkt mit dieser IP kommuniziert und die DDNS-Domain hat nichts mehr damit am Hut.

Wenn der DDNS-Account korrekt aktualisiert wurde, ist die DDNS-Domain mit der aktuellen WAN-IP des Routers verknüpft. Das prüft man durch einen Blick in das Router-Interface auf die WAN-IP und anschließend ein DNS-Check ob die DDNS-Domain auch diese IP anzeigt (zB mit "nslookup blabla.dein.ddns"). Ein Ping eignet sich dazu nur bedingt bzw. es ist nur der Teil interessant, der dann anzeigt welche IP gepingt werden soll, weil ping.exe intern selbst erstmal einen DNS-Request absetzt. Nur weil der Ping auf die DDNS-Domain erfolgreich ist, heißt das aber noch lange nichts, es ist wie gesagt nur relevant welche IP im Ping steht (oder eben direkt einen DNS-Request absetzen mit nslookup wie oben beschrieben). Steht in dem DDNS-Account noch eine alte IP-Adresse, pingst du irgendeinen anderen Kunden deines Providers, der eben nach dir diese IP bekommen hat.


Exposed host ist im übrigen nichts anderes als eine Portweiterleitung, die Port TCP+UDP 1 bis 65535 weiterleitet, also buchstäblich alles. Wenn das geht, sollte auch eine explizite Portweiterleitung mit zB TCP 80, o.ä. funktionieren. Wenn der Support von Vodafone aber schon etwaige Bugs in der Easybox einräumt, kann das natürlich auch reine Zeitverschwendung sein.

Eine VPN Verbindung über IPsec würde ich natürlich noch einrichten. Aber erstmal will ich die Geräte irgendwie halbwegs sicher erreichen.
Portweiterleitungen sind nicht "irgendwie halbwegs sicher", sondern nur so sicher wie der Dienst, der am Ende der Weiterleitung sitzt. Bei x-beliebigen Geräten und y-beliebigen Diensten, ist das ein z-beliebiges Risiko. Beispiel FTP-Server. In seiner Urform ist ein reiner FTP-Server komplett unverschlüsselt und überträgt sogar Logins in Klartext. Das ist maximale Unsicherheit und mit einer Portweiterleitung öffnet man einem Angreifer, der googlen kann, Tür und Tor. https, also TCP 443 ist verschlüsselt und weitestgehend als sicher einzustufen. Dennoch rate ich davon ab, beispielsweise die GUI des NAS oder eben des Routers so ins www zu stellen. Oder ist dein Passwort 20 Zeichen lang, hat Groß-/Klein, Sonderzeichen, Zahlen, etc? Oder ist das Passwort doch nur "ventilator17"? ;)

VPN von Anfang an. Portweiterleitungen sind ein nogo, wenn man nicht weiß was man tut. "Nur zum Test" braucht man das auch nicht. Teste dann gleich mit dem aktivierten VPN-Server in der Synology und dann einer Portweiterleitung dafür, aber nicht für die GUI..................................
 

Longtech

Lieutenant
Ersteller dieses Themas
Dabei seit
Nov. 2009
Beiträge
693
Ich habe es mit der Vodafone EasyBox 804 aufgegeben und mir einen TP-Link VR600v besorgt. Der Preis und die Spezifikationen sind ganz nett.
Mit der Easybox 804 hatte ich trotz Reset und FW-Update noch andere Probleme im Netz, welche ich jetzt nicht mehr habe.

Also auf deinen Rat habe ich mir einen VPN Zugang mit OpenVPN eingerichtet. Als Verschlüsselung habe ich es bei AES-256 belassen und die Authentifizierung ist SHA512.
Anschließend habe ich in der Synology Firewall den Port 1194 für den VPN-Server mit dem Protokoll UDP aktiviert. Die Berechtigungen für den User erteilt und die DDNS Verbindung angelegt.

Zuletzt noch den Port 1194 am neuen VR600v freigegeben und voilà, ich habe von extern Zugriff auf meine Freigaben von extern.

Meine Kennwörter sind schon wesentlich komplexer als "ventilator17". In der Regel bestehen diese bei mir aus über 20 Zeichen und sind nie logische Wörter, Namen ...
Jetzt würde mich noch ein Remote-Server interessieren, so dass ich auf meinen BPI zugreifen kann.
 

bender_

Commodore
Dabei seit
Nov. 2012
Beiträge
4.531
@cool18
Danke für die Info. Das scheint tatsächlich immer noch so zu sein. Damit ist mein Beitrag oben natürlich hinfällig.
 

Longtech

Lieutenant
Ersteller dieses Themas
Dabei seit
Nov. 2009
Beiträge
693
Im Post #6 habe ich geschrieben, dass ich einen IPv4 Anschluss habe.
 
Top