[Problem] Portforwarding in anderes Subnetz (VPN)

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
H

Human2000

Neuer User
Mitglied seit
1 Jun 2014
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich habe ein Problem -> Kabel BW und DS-Lite. Sprich ich bin von aussen nicht erreichbar.Kabel BW stellt sich noch etwas stur mich umzustellen, daher arbeite ich momentan an einem Workaround.

Momentan habe ich den Zugang zu einem Telekom Internetanschluss meiner Eltern (Box A 10.1.1.1) diese habe ich nun via VPN mit meiner Box B (10.1.3.1) verbunden. Soweit funktioniert auch alles.

Nun möchte ich gerne an Box A Ports ins Subnetz B umleiten. Eine Eintragung ist möglich leider funktioniert es nicht. Der AVM Support meint, dass dies nicht möglich ist, daher stellt sich mir die frage, ob dies via Freetz möglicherweise Realisierbar ist ?

Aktuell öffne ich eine Putty Session zu einem meiner Raspberry Pis in Netz A, via Putty forwarde ich Ports in Netz B. Das funktioniert und is gut, jedoch geht es nur vom Computer aus, Mobil ist dies leider nicht möglich.

Ich hoffe jemand kann mir hier bzgl Freetz einige Tipps, oder ander Tipps die es realisierbar machen, geben.


Vielen Dank
 
Human2000 schrieb:
Aktuell öffne ich eine Putty Session zu einem meiner Raspberry Pis in Netz A, via Putty forwarde ich Ports in Netz B. Das funktioniert und is gut, jedoch geht es nur vom Computer aus, Mobil ist dies leider nicht möglich.
Zum Vergrößern anklicken....
Was ist denn deine definition von "Mobil"?
Auf einem Android-Telefon/Tablet könnte die App "ConnectBot" genau das machen was Putty unter Windows macht.
www.conectbot.org
https://play.google.com/store/apps/details?id=org.connectbot
https://github.com/connectbot/connectbot/releases
https://code.google.com/p/connectbot/

Solche Portweiterleitungen habe ich noch nicht probiert. Ich könnte mir aber vorstellen, dass es Probleme dabei gibt, denn die eingehenden Pakete kommen von Box A, ausgehende Pakete gehen aber über die Box B durch die Default Route ins Internet. Sollten da Firewalls/NATs o.ä. dann irgendwo sein, könnten die sagen: Diese "Antwort" verwerfe ich, da ich die "Frage" dazu gar nicht kenne.
Aber ich glaube, dass da grundsätzlich nix dagegen spricht, was du machen willst. Ich denke aber, dass es erfolgsversprechender wäre, wenn der Eintrittspunkt in der Pakete in dein Netz identisch mit dem Austrittspunkt der Pakete aus dem Netz wäre.

genbian
 
Schon Probiert an Box A einfach den Port direkt an die IP im Netz B zu leiten?

Wenn die Box sich weigert, einfach noch ne Route eintragen, dann sollte Freigabe gehen.
 
Bescheidene Frage: Wieso willst Du Ports umleiten? Um welche Dienste geht es denn? Wenn die beiden Boxen per VPN verbunden sind und sich die beiden Subnetze "sehen", dann sind doch keine Portforwards notwendig, oder habe ich da was falsch verstanden? Dann müßtest Du nur das AVM-VPN auf dem Mobilgerät einrichten und das wars schon, wenn Du es korrekt konfigurierst.

Ich weiß, daß es mit manchen Mobil-Providern in den Nicht-Business-Tarifen nicht erlaubt ist, IPSEC-VPNs aufzubauen. Dann wäre Dein Workaround OpenVPN auf dem Raspi und dem Handy. Dann kannst Du routen oder bridgen und brauchst keine Port-Forwards.

Hoffe, das hilft.

Hawedieehre.
Fant.
 
Der TE hat nicht die Option Port freizugeben extern, daher der Umweg über den DSL Anschluss, da dort nicht dem Kunden vorgeschrieben wird was man zu nutzen hat und was man alles nicht darf, was bei allen anderen geht.
 
Ja, schon, aber wenn er übers DSL-Netz zu seinen Eltern kommt, dann braucht er, wenn er Teil des elterlichen VPNs ist, doch gar keine Forwards mehr. Er ist ja dann nominell Teil des Intranets. Man muß dann nur dem Client sagen, daß das Subnetz hinter KabelBW-Router auch erreichbar ist. Dann ist er doch schon fertig, oder irre ich mich da?

Hawedieehre.
Fant.
 
Er müsste bei Eltern Port freigeben an das Zielgerät im eigenen Netz.

Wenn die FB dann meckert von wegen sei nicht im Subnet, dann halt ne Route anlegen, dann sollte es passen.
 
@all:
Ihr diskutiert hier ein recht altes Thema, bei dem sich auch das Verhalten der AVM-Firmware (in der Folge auch das von Freetz, da dafür der kdsld-Treiber mit dem dsld-Daemon zuständig ist) in der Zwischenzeit massiv geändert hat, das ist Euch bewußt ? Warum das von genbian aus der Versenkung geholt wurde, ist imho etwas unklar ... aber die Vorschläge passen irgendwie auch alle nicht so richtig. Ehe dann spätere Leser vollkommen verwirrt werden, solltet Ihr Euch mal auf ein gemeinsames Thema einigen.

@HabNeFritzbox:
Ansonsten ist das Anlegen von Routen für entfernte Netze beim AVM-VPN an sich zwar eine gute Idee (käme doch AVM auch bloß mal auf eine solche, dann klappte sogar der automatische Aufbau eines IPSec-Tunnels, der in manchen Szenarien - speziell bei komplizierterem Routing im LAN - jetzt schief geht), aber diese Route muß für ein funktionierendes VPN auf "dev dsl" zeigen und genau dann verweigert die neue AVM-Firmwaregeneration das Einrichten einer Portweiterleitung.

@Human2000:
Ansonsten sollte sich so etwas mit dem tcpproxy auch direkt auf der FRITZ!Box ohne den Umweg über einen nachgelagerten RasPi realisieren lassen, solange es sich um einen TCP-basierten Dienst handelt. Bei einem UDP-basierten Dienst wird das dann komplizierter, wenn man weiterhin mit dem AVM-VPN arbeiten will oder muß, da könnte man dann auf eine Konstruktion mit "nc" und einem "FIFO" ausweichen, um von UDP auf TCP zu "übersetzen".

Alternative wäre ein SSH-Tunnel, der wäre aber bei ohnehin schon existierendem VPN doppelte Verschlüsselung auf Kosten von Performance und ob am Ende ein SSH-Client/-Server oder nur der TCP-Proxy auf einer Box installiert werden muß, nimmt sich sicherlich nicht so viel (wenn man ein funktionierendes VPN konfigurieren kann). Theoretisch sollte auf der DSL-Box sogar ein lokaler SSH-Tunnel (für einen IPv4-Port und unter der Annahme, daß der DSL-Anschluß DS ist) an eine Gegenstelle mit einer IPv6-Adresse funktionieren, da ja eigentlich nur die "Daten" getunnelt werden und die "Verpackung" (Encapsulation) egal ist, weil sie vor der Ausgabe der Daten an das auf dem Port "lauschende" Programm wieder entfernt wird. Das ist aber nur Theorie, so etwas mußte ich auch noch nie bauen.

Das ist sicherlich für Dich keine Überraschung, denn Du beschreibst das SSH-Tunnel-Szenario ja bereits selbst und wolltest nur Vorschläge für eine einfachere Umsetzung haben. Wenn der DSL-Anschluß inzwischen als DualStack-Anschluß arbeitet, könnte man wirklich versuchen, die über IPv4 eingehende Verbindung auf eine lokal auf der DSL-Box laufende SSH-Instanz weiterzuleiten und von diesem lokalen Port eine IPv6-Verbindung über das Internet auf Deinen DS-Lite-Anschluß zu realisieren. Wenn da aber ohnehin schon ein RasPi als Proxy existiert, dann ist das nicht unbedingt einfacher, es vermeidet nur die doppelte Verschlüsselung (ich nehme mal an, daß Dein RasPi-RasPi-Tunnel auch verschlüsselt, was man theoretisch auch unterdrücken könnte, solange die Daten ohnehin über die IPSec-Verbindung gehen).
Eine Frage quält mich da aber schon: Warum kannst Du nicht von der FRITZ!Box einen Port an den lokalen RasPi forwarden und wozu brauchst Du dabei die erste Putty-Session zum RasPi bei Deinen Eltern ? Die SSH-Session mit dem Tunnel vom RasPi bei den Eltern zu dem daheim kann man ja auch automatisch starten und dann aktiviert lassen.

Das löst dann auch das Problem mit dem fehlenden SSH-Client nicht für jedes beliebige Mobilgerät (wenn man den wirklich braucht, was ich - wie geschrieben - im Moment nicht verstehe), aber es gibt eigentlich für jedes Mobil-System inzwischen einen passenden SSH-Client. Für iOS-Geräte funktioniert bei mir "iSSH" eigentlich recht ordentlich, wenn es um das Einrichten von SSH-Tunneln zu anderen Endpunkten geht. Für die Umleitung "Mobil -> IPv4 zum DSL-Anschluß -> FB-Portweiterleitung zum RasPi" sollte es allemal funktionieren.

@fant:
Der TE wollte ja irgendwann mal einen eingehenden Port eines DSL-Anschlusses (der sich bei seinen Eltern befand) über eine Weiterleitung durch einen IPSec-Tunnel an seinen KabelBW-Anschluß "umleiten". Wo siehst Du da den Ansatzpunkt für den Vorschlag:
fant schrieb:
Dann müßtest Du nur das AVM-VPN auf dem Mobilgerät einrichten und das wars schon, wenn Du es korrekt konfigurierst.
Zum Vergrößern anklicken....
bzw. wo siehst Du da überhaupt ein Mobilgerät involviert ? Die Antwort von genbian bezog sich ja auf die Bemerkung
Human2000 schrieb:
Das funktioniert und is gut, jedoch geht es nur vom Computer aus, Mobil ist dies leider nicht möglich.
Zum Vergrößern anklicken....
und sollte ihm ein Programm für das Mobilgerät vorschlagen, mit dem sich auf einem Android-Gerät eine SSH-Portweiterleitung einrichten läßt. Auf ein Android-Gerät hatte sich der TE allerdings auch nicht genau festgelegt, daher wohl auch der Beginn
genbian schrieb:
Was ist denn deine definition von "Mobil"?
Zum Vergrößern anklicken....
in #2.
Wenn der TE bereits auf dem Mobilgerät eine IPv6-Adresse/-Verbindung hat und eine (AVM-)IPSec-Verbindung zu seiner eigenen FRITZ!Box einrichten könnte, bräuchte er sicherlich den Umweg über den DSL-Anschluß der Eltern gar nicht mehr ... da verstehe ich Deinen Vorschlag überhaupt nicht.
 
@PeterPawn:
Der TE schreibt
[Zitat]
Mobil ist dies leider nicht möglich.
[/Zitat]
Daraus schließe ich, daß er mit der Port-Umleitung per Putty auf dem PC zufrieden ist, Aber er bekommt es mit dem Mobilgerät nicht hin.

@all:
Wenn ich das korrekt verstanden habe, dann ist bei Eltern alles möglich, zu Hause aber nicht. Die Boxen sind per VPN verbunden. Also nochmals: Ich sehe kein Problem, weder bei PC noch bei Mobilgerät, wenn der TE auf dem Raspi, den er jetzt zur Putty/SSH-Einwahl nutzt (im NETZ A der Eltern, siehe erster Beitrag TE), OpenVPN einrichtet. Wenn er also statt des SSH-Zugangs OpenVPN nutzt und damit zum Intranet der Eltern (Netz A) gehört, das per AVM-VPN mit dem Zuhause-Netz (Netz B) verbunden ist, dann ist er fertig. OpenVPN gibt es für lau für Androiden und Äpfelchen sowie für alle Windosen und Linuxoiden, die man sich vorstellen kann.

@PeterPawn:
Der TE kann AVM-VPN zu Elternetz (Netz A). Aber FB will dann nicht ins Netz B routen. AVM will/kann/möchte/darf das nicht.

Darum mein Vorschlag: Lieber TE, mach Dich zum Teil des Intranets Deiner Eltern und laß AVM den Rest der Kommunikation machen. Doppelte Verschlüsselung hat Du jetzt gerade ohnehin - egal, ob Putty/SSH oder OpenVPN oder, wenn es denn ginge, 2xAVM-VPN.

Hawedieehre.
Fant.
 
Einfach mal abwarten ob sich TE überhaupt meldet, sonst kann man es hier auch sein lassen.
 
fant schrieb:
Der TE kann AVM-VPN zu Elternetz (Netz A). Aber FB will dann nicht ins Netz B routen. AVM will/kann/möchte/darf das nicht.
Zum Vergrößern anklicken....
Mit den richtigen "accesslisten" sollte das auch gehen.
 
@fant:
Auch wenn ich am Ende durch die Beschreibung nicht komplett durchsteige (muß aber auch nicht sein), sehe ich da nichts mehr von
fant schrieb:
Dann müßtest Du nur das AVM-VPN auf dem Mobilgerät einrichten und das wars schon, wenn Du es korrekt konfigurierst.
Zum Vergrößern anklicken....
und meine Frage zielte ja nur darauf ab, was ihm das AVM-IPSec auf dem Mobilgerät bringen sollte, wenn er damit dann bis zur FRITZ!Box der Eltern oder meinetwegen sogar noch bis zum dort befindlichen RasPi kommen sollte, da ja das AVM-VPN zu seiner eigenen FRITZ!Box mangels IPv6-Adresse auf dem Mobilgerät wohl nicht funktionierte. Ansonsten hätte er ja auch direkt IPSec über IPv6 zur eigenen Box machen können ... wobei ich das auch noch nicht selbst eingerichtet und getestet habe. Geht denn das AVM-IPSec-VPN überhaupt über eine IPv6-Verbindung ?

Ohne weitere Maßnahmen wäre da bei der IPv4-Variante jedenfalls auch wieder an der FRITZ!Box der Eltern oder am RasPi dort Sense und ich konnte den Nachsatz "das wars schon, wenn Du es korrekt konfigurierst" so ganz ohne Beispiel für eine "korrekte Konfiguration" nicht so recht einordnen. Genauer, ich war (bin) mir ziemlich sicher, daß er, so lapidar wie er da steht, spätere Leser ohnehin zu der Überlegung "Was könnte denn die korrekte Konfiguration dafür sein ?" veranlaßt hätte und da kann die Klarstellung durch Dich ja nicht schaden.

Die Alternative OpenVPN anstelle des AVM-IPSec-VPN ist sicherlich machbar, sogar die Verwendung von OpenVPN anstelle von SSH-Tunneln zwischen den RasPis an den Standorten. Aber das hat in meinen Augen - oder wo sehe ich den Zusammenhang da nicht - nun mal nichts mit dem AVM-VPN auf dem Mobil-Gerät zu tun. Und Du hast das auch nur als Alternative in den Raum gestellt, wenn der Mobilfunk-Provider keine IPSec-Verbindungen zulassen sollte ... den Vorschlag, OpenVPN einzusetzen (und dann auch auf den nachgelagerten RasPi anstelle der FRITZ!Box zu verbinden - die aber dann ihrerseits wieder die OpenVPN-Pakete über IPSec transportieren würde) hast Du selbst als "Workaround" bezeichnet und ein solcher ist - nach meinem Verständnis - nur "zweite Wahl". Daraus konnte ich also beim besten Willen keine Empfehlung für OpenVPN anstelle von SSH-Tunneln ablesen und erst recht nicht den Vorschlag, zwischen den RasPis eine OpenVPN-Verbindung einzurichten (und nicht zwischen den FRITZ!Boxen).

Eine komplette Routing-Architektur, bei der per AVM-IPSec ankommende Pakete (vom Mobilgerät, das bei Host-LAN-Verbindung ja dann Bestandteil des LANs am DSL-Standort wäre) wieder "ins Routing gesteckt" werden, damit sie über die passende Route nach "dev dsl" an den Standort des DOCSIS-Anschlusses geschickt werden (inkl. "Rückweg"), funktioniert meines Erachtens eben gerade nicht so einfach, wie man es aus "das wars schon" ablesen müßte. Wenn das jemand konfiguriert bekommt, ziehe ich den Hut vor ihm (bei originaler Firmware allerdings nur, ohne manuelles Editieren der vpn.cfg ist da aber auch wenig zu machen). Das dazu notwendige "Geflecht" aus passenden ACL-Einträgen auf beiden Seiten ist nicht zu unterschätzen, bei einer "Dreier-Konstellation" (2x FB, 1x Client und der auch nur an Box A möglich) ist das aber sicherlich noch machbar ... auch wenn ich es bei neuerer Firmware noch nicht selbst ausgeführt habe. Da könnte sich durchaus auch in der Firmware etwas geändert haben, so daß es jetzt gar nicht mehr möglich ist, eine FRITZ!Box als IPSec-Relay zu benutzen. Z.B. dann, wenn IPSec-Ingress-Traffic da direkt an die lan-Bridge und nicht ins Routing gehen sollte, damit eine "Abgrenzung" zwischen Hotspot und (W)LAN da nicht umgangen werden kann. [OT]Allerdings habe ich immer noch keine Gelegenheit gehabt, die konkrete Umsetzung des "Hotspot/Homespot"-Features mal unter die Lupe zu nehmen ... ich weiß nicht einmal, ob die Box dafür eine weitere "public IP" erhält oder ob nicht der gesamte Traffic zum Provider getunnelt (über L2TPv3) und erst dort veröffentlicht wird.[/OT]

Abgesehen davon ist eine bidrektionale zu initiierende Verbindung/Weiterleitung aber auch unter Sicherheitsaspekten nicht immer empfehlens- oder wünschenswert, genauso wenig wie eine Bridge ... es gibt also - sicherlich von Fall zu Fall zu beurteilen - auch nach wie vor gute Gründe für ein simples Portforwarding anstelle einer "kompletten" VPN-Verbindung. Aber solange Human2000 sich nicht zu seinem ursprünglichen Anliegen und den Motiven äußert, stochern wir da beide auch nur im Nebel ... insofern müssen wir das auch nicht unbedingt bis ins kleinste Detail ausdiskutieren.

Schönen Sonntag noch ...
 
Vielleicht ist es nicht klar geworden, wie ich das meine. Ich gebe einbaerin recht, wenn die VPN-Config händisch angepaßt wird, sollte das mit dem AVM-VPN direkt gehen. Ist das der Fall, dann kann der TE mit SSH ohne Probleme beliebige Ports an beliebige Rechner in Netz-A oder Netz-B weiterleiten - alles klar. Aber das AVM-VPN basiert auf IPSec und wird daher von vielen Handy-Internet-Billigtarifen geblockt (so auch mein Pro7-Internet). Daher bot ich als gangbaren Weg OpenVPN an. Und das ist darum eine Alternative, weil ich aus eigener Erfahrung weiß, daß es bei den Billig-Netzen eben nicht geblockt wird. Der TE wollte vom Mobilgerät aus zugreifen. Und eine funktionierende Config für OpenVPN kann ich dem TE nicht geben, weil ich seine Topologie nicht kenne.

Egal, wie es der TE realisiert, er wird dazu vermutlich die AVM-VPN-Config ebenfalls anpassen müssen. Und der TE hat sich nicht mehr gemeldet, also fischen wir im Trüben.

@eisbaerin: Wie klappt das dann wirklich? AVM-VPN-Login in Netz A und Zugriff auf Netz B? Reicht es also, händisch einfach in der Access-List für meinen Road Warrior das andere Netz mit einzutragen? Oder ist da mehr nötig? Hast Du das mal probiert?

Hawedieehre.
Fant.
 
guten morgen, da sich der originale te scheinbar nicht mehr meldet würde ich gern als ersatzmann einspringen. ich habe nämlich genau das gleiche problem. ich würde gern aus dem internet über station a durch ein avm-vpn über station b eine portweiterleitung einrichten. ich kann auch problemlos in der ersten fb eine weiterleitung in das entfernte netz einrichten, allerdings funktioniert der krempel nicht.


@fant
deine frage bezüglich avm-vpn-login im netz a mit zugriff auf netz b klappt bei händischer anpassung der access list hervorragend. obwohl avm steif und fest behauptet das es nicht geht
http://www.ip-phone-forum.de/showthread.php?t=270887
 
@elektrixxer: Danke.

Was mir noch als mögliche Lösung wegen der Port-Forwards einfällt: Wenn man einem Raspi oder einem anderen Linux-Rechner im erreichbaren LAN einen Pre-Routing verpaßt, dann könnte das doch gehen, oder? Also einen klassischen zweiten Port-Forward auf einen anderen Rechner im VPN. Das wäre dann eine doppelte Weiterleitung. Alternativ kann das ein anderer alter/neuer Router im LAN übernehmen.

Hawedieehre.
Fant.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 1,005 (Mitglieder: 44, Gäste: 961)

Neueste Beiträge

Statistik des Forums

Themen
246,493
Beiträge
2,253,018
Mitglieder
374,278
Neuestes Mitglied
Gymphil
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück