Zwei Router hintereinander = DMZ für Arme?

[Bob.Dig]

Und für alle Server-Dienste auf dem Exposed-Host muss man das sogar zusätzlich machen …

Freigaben auf dem Host einrichten? Das sollte klar sein.

 

[norKoeri]

Nicht (nur) auf dem Host selbst. Für Server-Dienste auf dem Host – also in der FRITZ!Box, die den Exposed-Host erstellt hat –, muss man für alle Server-Dienste auch noch zusätzlich eine Freigabe anlegen.

 

[Bob.Dig]

@norKoeri Wenn der Exposed Host in der Fritte eingerichtet wurde, dann muss auf dieser Fritte nichts weiter eingerichtet werden.

Es darf halt keine Überscheidungen geben, also in der Fritte sollte man nicht den Fernzugriff über Port 443 erlaubt haben, wenn man diesen Port eigentlich am Exposed Host nutzen will.

 

[norKoeri]

Wenn der Exposed Host in der Fritte eingerichtet wurde, dann muss auf dieser Fritte nichts weiter eingerichtet werden.

Lies Dir bitte den verlinkten Thread durch.

 

[Bob.Dig]

@norKoeri Der Thread ist recht groß und ganz einig scheint man sich dort auch nicht zu sein. Könntest Du in eigenen Worten beschreiben, was genau das Problem ist?
Aus meiner Erfahrung ist es halt unnötig, allerdings beruht diese nur auf einer privathäuslichen Nutzung.

 

[norKoeri]

Steht alles im ersten Post und gab auch keine gegenteilige Meinung dort. Ich probiere es mal (aber der Thread dort ist wirklich besser). Das Problem ist, dass FRITZ!OS einen Port/Transport komplett blockiert, wenn irgendein Gerät aus Deinem Heimnetz heraus eine Verbindung aufbaut. FRITZ!OS blockiert immer den gesamten Port/Transport. Unabhängig von der IP-Adresse. Warum auch immer.

Hypothetisches Beispiel: Angenommen Du hast ein VoIP/SIP-Telefon, das abgehend 5060/udp nutzt und mit Sipgate verbunden ist. Angenommen Du hast auch noch einen VoIP/SIP-Server daheim. Der wäre dann für jeglichen eingehenden Verkehr gesperrt; nicht nur von Sipgate aus. Folglich kann jedes lokale Gerät Deine Server lahmlegen. Daher darfst Du nicht allein mit Exposed-Host sondern musst sogar mit einzelnen Port-Freigaben arbeiten.

privathäuslichen Nutzung

Nutze meine FRITZ!Box nicht anders. Aber das Problem fällt oft nicht auf, weil Geräte abgehend normalerweise Ephemeral-Ports nutzen, also zufälligerweise niemand den gleichen Port blockiert. Riesen Bock, weil man das nur dann merkt, wenn es nicht klappt. Und wenn man dann auf die Suche geht, muss man schnell sein oder das Szenario genau nachstellen können, weil AVM die Ports nur für 5 Minuten (UDP) bzw. 15 Minuten (TCP) blockiert.

 

[Grimba]

Dein Szenario ist hier aber kein Thema, denn meine Frage zielte ja darauf ab, dass die Server sowieso diejenigen mit den explizit freigebenen Ports sind, und der Exposed Host der zweite Router ist. Und ich habe deinen Post gelesen, und das erste, was man da sieht ist eine Diskussion eben wegen gegenteiliger Meinungen. Und die zieht sich weit und lange hin. Denn die anderen Diskussionsteilnehmer scheinen dein genanntes Problem nicht zu haben.

 

[Bob.Dig]

@norKoeri Jau, die SIP-Ports etc. sind speziell. Ist ja ein fairer Hinweis, dass es mit wenigen Ausnahmen Probleme machen kann, aber im Großen und Ganzen braucht man die Freigaben nur auf dem exposed Host machen.

 

[Bob.Dig]

@norKoeri Ich hab das Ganze jetzt mal nachgestellt. In der Fritte den Paketmitschnitt auf Internet gestellt und gestartet. Mit einem Rechner an der Fritte eine bestimmte Website aufgerufen und Capture beendet.
Aus dem Capture mittels Wireshark und der IP-Adresse der Site den Port ermittelt, in diesem Falle Source-Port 54115.

Dann mit dem Smartphone ohne WiFi oder VPN mittels Browser auf meine eigene DDNS-Adresse+Port 54115 gegangen. Davor hatte ich die Smartphone IP-Adresse bereits ermittel und für diese ein Logging in der pfSense (Exposed Host) auf dem WAN eingerichtet.

Tada, es gibt Treffer:

Dies sollte so nicht möglich sein, wenn es denn nach dem von dir verlinkten Thread ginge. Bei mir aber ist es heute kein Problem (FRITZ!OS:7.50).
Ich bin aber Laie und könnte theoretisch auch irgendwas falsch gemacht haben, aber davon gehe ich nicht aus. 😉