Portfreigabe und DynDNS: Zugriff vom internen lokalen Netz auf DnyDNS-URL

All-Ex

Neuer User
Mitglied seit
8 Nov 2005
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Hi Leute!

Habe eine Fritzbox ATA mit der Firmware 11.03.90. DynDNS habe ich eingerichtet und funktioniert auch.
Ebenso habe ich folgende Portfreigabe eingerichtet zu einem Webserver (Linux) in meinem lokalen Netzwerk. Der Linux-Server hat 192.168.178.12 als feste IP-Adresse.

TCP Port 80 an 192.168.178.12 Port 80

Der Zugriff auf den Webserver funktioniert von außen (d.h. aus dem Internet) über die DynDNS-URL (http://xxx.dnsalias.net) auch tadellos. Aus dem lokalen Netz (hinter der Fritz-Box) kann ich den Webserver per http://192.168.178.12/ ebenfalls erreichen.

Leider kann ich aber aus dem lokalen Netz (hinter der Fritz-Box) den Webserver nicht über die DnyDNS-URL (also http://xxx.dnsalias.net/) erreichen. Das wäre natürlich toll, weil ich dann bei meinem Laptop vom Internet aus und von meinem lokalen Netz aus dieselben Bookmarks verwenden kann.

Das Laptop bekommt von der Fritzbox eine IP 192.168.178.20 oder höher per DHCP zugewiesen.

Weiß jemand einen Trick, damit Portfreigaben auch aus dem internen Netz klappen?

Habe die Fritzbox eben nochmal auf Werkeinstellungen zurückgesetzt und die Sache neu konfiguiert. Hat aber leider nichts geändert...

Vielen Dank,
Alex
 
Hallo,

am Siemens SE515 meines Vaters habe ich das gleiche Problem, da habe ich es absolut nicht hinbekommen.

Momentan betreibe ich eine FBF 7050 hinter einem Vigor 2500, da geht absolut problemlos. Die Ports werden durch beide Router durchgeleitet.

Wenn ich mich richtig erinnere, dann ging es auch, als ich die FBF noch direkt als Modem in Aktion hatte, da bin ich mir aber nicht mehr ganz sicher. Außerdem war das zu Firmwareziten mit irgendwas 03.7X, mittlerweile ist man bei 03.101, und z.B. wurde irgendwann die Weiterleitung aufs interne Webinterface der Box durch Umleitung auf 192.168.179.1 entfernt. Vielleicht hat sich diese Funktion inzwischen auch geändert.

So viel falsch machen kann man da ja eingentlich nicht, vor allem nicht, wenn es generell aus dem Netz schon funktioniert.

Einen Hack mit einem Eintrag in die hosts Datei (bei Windows in \windows\system32\drivers\etc) hilft wohl auch nicht, das würde dann außerhalb deines Heimnetzes die Verbindung killen.

Viele Grüße

Frank
 
es gibt einige provider (z.B. arcor), die anfragen mit identischer absender- und ziel-IP nicht routen. meiner machts und ich kann auch über meinen dyn-domainnamen auf lokale dienste zugreifen...
 
Guten Morgen all-ex,

hast Du es mal mit http://xxx.dnsalias.net:80 <-> (deine Portnummer)
probiert ? So funktioniert es bei mir.

Gruss Manu
 
Hi zusammen!

Vielen Dank schonmal für Eure Ideen!

frank_m24 schrieb:
Wenn ich mich richtig erinnere, dann ging es auch, als ich die FBF noch direkt als Modem in Aktion hatte, da bin ich mir aber nicht mehr ganz sicher. Außerdem war das zu Firmwareziten mit irgendwas 03.7X, mittlerweile ist man bei 03.101, und z.B. wurde irgendwann die Weiterleitung aufs interne Webinterface der Box durch Umleitung auf 192.168.179.1 entfernt. Vielleicht hat sich diese Funktion inzwischen auch geändert.
Ja, das könnte wohl sein. Ich werde mal ein downgrade auf eine 03.7x probieren...
frank_m24 schrieb:
Einen Hack mit einem Eintrag in die hosts Datei (bei Windows in \windows\system32\drivers\etc) hilft wohl auch nicht, das würde dann außerhalb deines Heimnetzes die Verbindung killen.
Ja, bei meinem Desktop-Rechner (der ist nicht viel unterwegs) hab ich das gemacht und das klappt auch, aber fürs Laptop...

semilla schrieb:
es gibt einige provider (z.B. arcor), die anfragen mit identischer absender- und ziel-IP nicht routen. meiner machts und ich kann auch über meinen dyn-domainnamen auf lokale dienste zugreifen...
Das wäre auch ein interessanter Grund! Bin bei iesy in Frankfurt und hab von denen ein Kabelmodem (ohne Router-Funktionen).

Hier der entsprechende traceroute aus dem lokalen Netz:

Code:
>tracert xxx.dnsalias.net

Routenverfolgung zu xxx.dnsalias.net [81.210.149.235]  über maximal 30 Abschnitte:
  1    <1 ms    <1 ms    <1 ms  fritz.fonata.box [192.168.178.1]
  2    <1 ms    <1 ms    <1 ms  cable-149-235.iesy.tv [81.210.149.235]
Ablaufverfolgung beendet.

Aber eigentlich sollte die Anfrage (sobald der DynDNS aufgelöst ist) gar nicht ins iesy-Netz gelangen oder? DynDNS gibt die öffentliche IP-Nr. der Fritz-Box (die lautet 81.210.149.235) zurück und die Anfrage läuft dann IMHO nur bis zur Fritz-Box und müsste von dort zu meinem Webserver laufen.
Daher könnten auch die kurzen Ping-Zeiten <1ms kommen. Wenn ich das iesy-Gateway pinge, bekomm ich immer 6-10 ms (dann gehts ja auf jeden Falls durchs iesy-Netz).

Kann man irgendwie testen, ob iesy Anfragen mit identischer Ziel- und Quelladresse verwirft?

Manuel schrieb:
hast Du es mal mit http://xxx.dnsalias.net:80 <-> (deine Portnummer) probiert ? So funktioniert es bei mir.
Das klappt hier leider auch nicht...

Werde euch auf dem laufenden halten.

Viele Grüße,
Alex
 
Hi nochmal!

frank_m24 schrieb:
Wenn ich mich richtig erinnere, dann ging es auch, als ich die FBF noch direkt als Modem in Aktion hatte, da bin ich mir aber nicht mehr ganz sicher. Außerdem war das zu Firmwareziten mit irgendwas 03.7X, mittlerweile ist man bei 03.101, und z.B. wurde irgendwann die Weiterleitung aufs interne Webinterface der Box durch Umleitung auf 192.168.179.1 entfernt. Vielleicht hat sich diese Funktion inzwischen auch geändert.

So, hab eben ein downgrade auf die 03.64 gemacht, hat aber leider auch nichts geändert. Eine ältere Firmwareversion hab ich nicht mehr & AVM bietet ja leider immer nur die neueste an...

Hat sonst noch jemand ne Idee?

Viele Grüße,
Alex
 
Also ich habe gerade bei meinem Netgear FVX538 ein Port-Forwarding mal zum Test eingerichtet: Inbound 80/tcp geht auf 10.0.0.2:80/tcp (mein Sipura 3000). Wenn ich von extern oder intern dann die externe IP-Adresse 85.216.40.162 (per DHCP von Kabel-BW vergeben) aufrufe, kommt die Seite des SPA-3000 nach Passworteingabe...

Das ist ja auch logisch richtig, denn die 85.216.40.162 ist eine externe IP, die über den Router gehen muß. Dieser stellt dann fest, daß er NAT anwenden muß und mappt den Port zurück auf den internen Server.

Ich nehme mal an, daß manche Router Zugriffe auf lokale IPs nicht korrekt mappen und dann Port 80 am eingehenden Interface verwenden. Das wäre dann ggf. der Webserver des Routers...

--gandalf.
 
Mein Provider ist schuld

Hallo!

Hab inzwischen eine Antwort vom AVM-Support zu meinem Problem bekommen, die ich euch nicht vorenthalten möchte:

-------------------------------------------------------------------------
Es handelt sich um keinen Fehler in FRITZ!Box - diese Art Loopback-Test
funktioniert mit FRITZ!Box prinzipiell.

Bisher konnten wir das von Ihnen beschriebene Problem nur mit Arcor
beobachten. Offenbar tritt dies aber auch bei Ihrem Anbieter auf.

Die IP-Pakete, die mit der von iesy zugewiesenen IP-Adresse als Absender
FRITZ!Box verlassen UND an dieselbe IP-Adresse gerichtet sind
(da LOOPBACK) werden vom Internetanbieter nicht wieder zurückgeschickt.
Diese IP-Pakete treffen also nicht mehr bei FRITZ!Box ein. iesey scheint
dies zu verhindern. Somit kommt es zu dem genannten Fehler.

Das Verhalten kann aus sicherheitstechnischen oder bandbreitenorientierten
Gründen von iesey gewollt sein, daß deren Router
die oben angesprochenen Pakete verwerfen und nicht weiterleiten.

Eine tatsächliche Lösung für dsieses Problem kann ich Ihnen nicht anbieten.
Ich kann Ihnen hier nur empfehleneinen Proxy zu verwenden. die Adresse des
Proxy-Server erhalten Sie von Ihrem Internetanbieter, da dann die
Ziel-IP-Adresse die des Proxys ist und die Quell-IP-Adresse die von iesey
zugewiesene.

-------------------------------------------------------------------------

Da hatte semilla wohl recht mit seiner Vermutung...
semilla schrieb:
es gibt einige provider (z.B. arcor), die anfragen mit identischer absender- und ziel-IP nicht routen. meiner machts und ich kann auch über meinen dyn-domainnamen auf lokale dienste zugreifen...
Werde jetzt also mal mit Proxy testen...

Viele Grüße,
Alex
 
Falsch. Das ist ein Bug, denn ein Router darf ein Paket, das an eins seiner Interfaces gerichtet ist und das nicht per Access Rules ausschließt, daß das Paket übertragen wird, das Paket als Loopback akzeptieren und darf es nicht auf das externe Netz routen.

Das Paket würde sonst das Netzinterface zum Provider zwar verlassen, jedoch die gleiche MAC-Adresse in src und dst tragen, d.h. sollte sofort wieder vom Router akzeptiert werden. Kein Routing via Provider...

--gandalf.
 
Hallo,

ich habe dasselbe Problem, und hier scheint nicht wirklich eine Lösung vorhanden zu sein?!?

Wäre es nicht möglich, dass dem DNS-Server der Fritzbox bekannt gegeben wird, dass die externe Adresse auf die interne IP aufgelöst werden soll? Wäre das irgendwie zu bewerkstelligen? Das Problem wäre dann in meinem Falle gelöst.

danke und Gruss
röne
 
Hallo,

@rpelosi: Na, da hast du dir ja zielstrebig einen der ältesten Threads zu dem Thema rausgesucht, die es gibt. Das wird nämlich ziemlich oft durchgekaut.

An den DNS Proxy der Box kommst du nicht dran. Bliebe ein Eintrag in der /etc/hosts Datei, aber ich meine mich erinnern zu können, dass das auch nicht funktioniert.
Wenn der Provider ein Routing auf die eigene IP verhindert, dann hast du wahrscheinlich sehr schlechte Karten.

Viele Grüße

Frank
 
Servus,

das ist der neuste den ich gefunden habe. Kannst du mir neuere zeigen oder die Suchbegriffe bekannt geben?

Das sind ja herrliche Aussichten... Ich habe ein Notebook und dieses ist logischerweise nicht immer intern am Netz sondern auch mal draussen und jedes mal überall den Server ändern zu gehen kackt mich ein bisschen an.

danke und Gruss
 
Hallo,

rpelosi schrieb:
das ist der neuste den ich gefunden habe. Kannst du mir neuere zeigen oder die Suchbegriffe bekannt geben?
Es sind immer die Threads mit einer Überschrift nach dem Motto "Portfreigaben funktionieren nicht". Da viele das nur vom eigenen Anschluss testen, bemerken sie gar nicht, dass es von außen funktioniert. Besonders häufig sind Kabel-Internet-Kunden betroffen, seltener DSL Kunden.

Viele Grüße

Frank
 
Lösung

Hi,

ich habe eine Lösung welche (zumindest für mich) akzeptabel ist:

Habe ein Batch geschrieben, welches mich fragt, ob ich intern oder extern bin. Dieses ersetzt dann die hosts-Datei entsprechend.

Code:
SET /P C=(i)ntern oder (e)xtern? 
ECHO.

IF /I "%C%"=="i" GOTO :INTERN
IF /I "%C%"=="e" GOTO :EXTERN


:INTERN
xcopy "C:\WINDOWS\system32\drivers\etc\hosts.intern" "C:\WINDOWS\system32\drivers\etc\hosts" /Y
GOTO :ENDE


:EXTERN
xcopy "C:\WINDOWS\system32\drivers\etc\hosts.extern" "C:\WINDOWS\system32\drivers\etc\hosts" /Y 
GOTO :ENDE


:ENDE
ECHO.
PAUSE

In der hosts.intern ist zusätzlich der Eintrag [interne IP] [externer Dyndns-Name], welcher in der hosts.extern nicht existiert.

Funktioniert bis jetzt ausgezeichnet.

Grüsse
röne
 
Komisch, dass dieser Thread so lange wurden und es so lange bis zu dieser Lösung gedauert hat.

Man macht sowas immer über eine hosts-Datei!
Es geht ja dabei darum, einem Rechner aus dem Privaten Netz einen Namen zu geben. Sowas macht man über die hosts-Datei!

Bei der Fritzbox kann man das auch in Ihrer hosts-Datei machen!!!!

Bei Windows:
C:\windows\system32\drivers\etc

In der FB:
/var/tmp

in der hosts Datei dann folgendes eintragen:
IP-Adresse Rechnername

Beispiel die hosts-Datei der FB:
# cat /var/tmp/hosts
127.0.0.1 localhost
192.168.178.2 fritz.box.nfs

fügt man dann die Zeile hinzu:
192.168.1.5 ABC.DYN-DNSprovider.XY

damit landet man beim Aufruf von "http://ABC.DYN-DNSprovider.XY" auf dem Rechner mit der IP-Adresse 192.168.1.5

erst mal experimentieren und gucken, ob es geht.
dann kann man es wie immer über die debug.cfg dauerhaft in die hosts-Datei einfügen.
Damit brauch man auch nicht mehr so wild rumkopieren und Änderungen an der hosts-Datei von WinDose oder Linux vornehmen, wenn man mit dem Rechner unterwegs ist... Da brauch man dann nichts mehr eingeben.

EDIT: KORREKTUR!!!
Die FB macht natürliche eine DNS-Auflösung per DNS-Server, dieser liefert dann bei bestehender Internetverbindung die IP des DYN-DNS-Accounts zurück und nicht direkt die lokale IP. Ich hab es leider noch nicht geschafft, diese zu umgehen. Jemand eine Idee???

VG JD.
 
Zuletzt bearbeitet:
moin,

ich habe diesen Thread nocheinmal ausgegraben, weil ich seit heute dasselbe Problem habe und durch diesen Thread auch nicht schlauer geworden bin. Darüberhinaus habe ich mit der Forensuche kein Glück gehabt.

Ich habe zwei quasi identische Setups:

1) Unitymedia->Kabelmodem->FritzBox 7270 v1
2) Unitymedia->Kabelmodem->FritzBox 7390

Bei 1) kann ich von intern über meine DynDns-Name auf interne Ressourcen zugreifen, bei 2) nicht. Vor allem bezgl. ssh ist das ziemlich unpraktisch :( Kann mir wenigstens jemand erklären, warum das so ist? Ein providerseitiges Ding scheint es ja irgendwie nicht zu sein, da ich an beiden Standorten den selben Provider habe, oder?

Für Input dankbar,
guy
 
Hallo,

Darüberhinaus habe ich mit der Forensuche kein Glück gehabt.
Das kann ich mir kaum vorstellen. Allein ich hab in mindestens 10 gleichlautenden Fällen exakt deine Fragen beantwortet. Gefühlt waren es eher 100.

Vor allem bezgl. ssh ist das ziemlich unpraktisch :(
Wieso? Wenn es eine Portweiterleitung gibt, gibt es doch auch einen internen Server.

Kann mir wenigstens jemand erklären, warum das so ist?
Routing auf die eigene externe IP ist ein Sicherheitsrisiko (Stichwort Spoofing). Details über die Suche, ich hab keine Lust, es nochmal zu erklären.

Ein providerseitiges Ding scheint es ja irgendwie nicht zu sein
Es ist auch providerseitig. Würde der das Routing auf deine IP erlauben, kämen die Daten bei dir an. Es muss sowohl von der Box als auch im Backbone des Providers unterbunden werden.
 
Das kann ich mir kaum vorstellen. Allein ich hab in mindestens 10 gleichlautenden Fällen exakt deine Fragen beantwortet. Gefühlt waren es eher 100.
Nun. Ich habe diese eine gefunden; im Prinzip reicht das ja. Ich fühle mich auch durch deine 10. Antwort noch nicht ausreichend informiert.

Wieso? Wenn es eine Portweiterleitung gibt, gibt es doch auch einen internen Server.
Was hat das damit zu tun? Es gibt intern mehrere Server. Und auf diese möchte ich per ssh zugreifen; am liebsten möchte ich denselben Server immer unter dem selben ssh-namen (.ssh/config) erreichen. Deswegen ist ein hostname pro host eben praktisch. Das kann ich aber nur erreichen, wenn ich über den 'externen' Namen auch interne Ressourcen ansprechen kann.

Routing auf die eigene externe IP ist ein Sicherheitsrisiko (Stichwort Spoofing). Details über die Suche, ich hab keine Lust, es nochmal zu erklären.
Ein einziger Link, hinter welchem sich eine brauchbare Erklärung verbirgt, wäre schon genug gewesen. Mich würde einfach interessieren warum die spoofing-Gefahr steigt. Wenn ich übrigens 'spoofing' oder 'dns spoofing' im Forum Suche kommt da imho kein besonders guter Ertrrag bei raus. Wenn du meinst, dass doch, dann gib mir doch einfach einen guten Link. (wikipedia habe ich übrigens schon gelesen)

Es ist auch providerseitig. Würde der das Routing auf deine IP erlauben, kämen die Daten bei dir an. Es muss sowohl von der Box als auch im Backbone des Providers unterbunden werden.
Also die Box kann das prinzipiell - bis vor kurzem hat sie es zumindest ja noch gemacht. Und der Provider unterbindet die Sache 2.1km weiter entfernt nicht. Das ist ja das merkwürdige. Wir haben an dem Standort, wo es nicht geht den Provider gewechselt: von DSL auf Kabel. Mit der DSL-Leitung war das interne Erreichen über externe DNS-Namen noch möglich. Nach dem Wechsel auf Kabel ('FritzBox-externe Leitung' von DSL auf LAN1 gesteckt) plötzlich nicht mehr. Ich hab' ja doch zuhause dasselbe Setup (mit demselben Kabelprovider) und da geht es; zwar hab' ich leicht unterschiedliche Boxen, aber die firmware ist auf beiden aktuell (7270 (geht) und 7390 (geht nicht)) und die 'Software Einstellungen' können ja nicht so grundsätzlich unterschiedlich sein? Wenn es denn eine Einstellungssache ist, wo finde ich die (meinetwegen auch in der ar7.cfg oder so)?

Darüber hinaus scheint eine Verbindungsaufbau auch irgendwie zu funktionieren, aber sobald es an den Austausch von 'Nutzdaten' geht, hörts es auf. Die ssh-Verbindung bleibt nach der zitierten Zeile so stehen; einloggen geht nicht.
Code:
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
debug1: Connecting to xxx.dyndns.info [109.91.221.xxx] port 22.
debug1: Connection established.
debug1: identity file /home/netzxx/.ssh/identity type -1
debug1: identity file /home/netzxx/.ssh/id_rsa type -1
debug1: identity file /home/netzxx/.ssh/id_dsa type -1

Gruss
guy
 
Bei meiner 7390 (UI) ging das noch, bei der jetzt wegen anderen Problemen geliehenen 7390 (AVM) geht es auch nicht mehr, trotz identischer FW ....
 
Ich habe zwei quasi identische Setups:

1) Unitymedia->Kabelmodem->FritzBox 7270 v1
2) Unitymedia->Kabelmodem->FritzBox 7390
Ob man von Intern über eine externe Adresse auf einen anderen internen Rechner zugreifen kann, hängt davon ab, wie die Weiterleitung realisiert wird. Da es sich hier um verschiedene Boxen handelt, haben diese auch zwangsläufig verschiedene Firmware.

Wenn Du schon Linux verwendest, kannst Du mal mit tcpdump die Pakete anschauen, die über die Leitung gehen. wenn es im einen Fall geht und im anderen nicht, muss es ja einen Grund für den Unterschied geben.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.

IPPF im Überblick

Neueste Beiträge