FBF und Portfreigabe

[Gast]

Hallo,
habe mir grundsätzlich mal Gedanken gemacht,wie das überhaupt aussieht mit der Portfreigabe,wenn man so wie ich über einen Switch den Rechner und ein zusätzliches IP-telefon am LAN der Fritz box Fon WLAN angeschlossen hat!

Ich erhalte in der FBF die Anzeige (Netzwerkgeräte) zweier IP´s aus dem gleichen Bereich,z.B. 192.168.188.30 und 192.168.188.31.
Nun sind alle zusatzlichen Ports wie 5061-5065 u.s.w. für die 192.168.188.30 freigegeben,dadurch läuft auch VOIP auf dem Rechner! Nur will ich jetzt diese Ports auch für die 192.168.188.31 freigeben,läßt die box das nicht zu mit dem Hinweis,diese Ports würden bereits existieren!
Wie sieht das nun aus? Mein IP-Telefon hätte ja normalerweise diese Ports dann gar nicht zur Verfügung,oder stehen alle Ports,die einmal freigegeben worden sind,allen angeschlossenen Geräten zur Verfügung?
Das Telefon geht zumindestens mit den meisten Providern!
Mache ich da einen Denkfehler,oder irre ich mich total?
Wer weiß eine Antwort darauf?
Viele Grüße von Tom

 

[vali]

Du kannst Ports immer nur einer IP (=einem Endgerät) zuweisen. Das ist ja gerade der Sinn daran dies genau zu bestimmen. Willst Du mehere Endgeräte hinter einem Router betreiben so musst Du die Endgeräte dazu bringen auf Unterschiedlichen Ports zu arbeiten.

Beispiel
Gerät A : 5060 (sip-register), 7078+79 (transfer)
Gerät B : 5062 (sip-register), 7080+81 (transfer)
usw

Du kannst Dich in das Thema auch bequem einlesen. Suche bei google/wikipedia nach "ipmasqadm" und schau Dir dort die Funktionen von portfw und autofw an.

Vali

 

[Gast]

Danke,das ist ein guter Tipp! Das jeweils ein Port für nur eine IP ist,war mir ja bewußt,aber die Endgeräte dazu zubringen,auf unterschiedlichen SIP-Ports zu arbeiten,hört sich leichter an,wie es in Wirklichkeit ist!
Manchmal funktioniert das nicht so,wie man es will,oder sich denkt,deshalb scheitern ja soviele daran!
Viele Grüße von Tom

 

[Scotch85354]

Hallo zusammen,

ich habe da mal eine Frage:

Meine Frau spielt im Moment Splinter Cell übers Netz. Dazu benutzt sie ihr Laptop, welches entweder über WLAN oder LAN angeschlossen werden kann.

Wenn ich jetzt einen einzelnen Port, z.B. 9102, nur genau einer IP zuordnen kann, z.B. xxx.xxx.xxx.22, dann ist meine Frau gezwungen sich für entweder WLAN oder LAN zum Spielen zu entscheiden, denn ich kann ja bei ihrem Notebook nicht eine IP für WLAN und LAN gleichzeitig vergeben... Ich fände es aber natürlich schöner, wenn ich den Port 9102 der IP .22 UND der IP .21 zuweisen könnte, da sie ja entweder nur das eine oder das andere nutzen kann.

Wie sieht das dann eigentlich beim Muli aus, wenn zwei Rechner in einem Netz mit dem Esel betrieben werden? Muss ich dann zwangsläufig bei den beiden Mulis unterschiedliche Ports einstellen??

Das zweite Problem, dass ich habe ist, dass ich für die Online-Spielen eigentlich einen ganzen Port-Bereich von 40000 bis 43000 forwarden müsste (jedenfalls habe ich den Eindruck). Das lässt die FBF aber nicht zu (im Gegensatz zu meinem alten Zyxel-Router, bei dem das möglich war). Kann ich die FBF dazu bringen, auch ganze Port-Bereiche zu akzeptiere, vielleicht über den Telnet-Zugang? Ich habe nämlich überhaupt keine Lust, 3000 Ports von Hand einzugeben...

Danke im Voraus.

Schotch

 

[kawamoto]

**************************************************************
Scotch85354 hat geschrieben:
Kann ich die FBF dazu bringen, auch ganze Port-Bereiche zu akzeptiere, vielleicht über den Telnet-Zugang? Ich habe nämlich überhaupt keine Lust, 3000 Ports von Hand einzugeben..
**************************************************************

Und genau das würde mich auch interessieren !

mfg
kawamoto

 

[semilla]

auch hier ist UPnP die smarteste lösung:
entweder splinter cell (bzw. directPlay über DirectX) kann selber per UPnP die ports in der box dynamisch freigeben, oder du nimmst halt die neue fritzdsl-software und lässt das von fritzprotect erledigen. in beiden fällen müssen beide UPnP-optionen in der box aktiviert sein.

p.s. portranges können so auch freigegeben werden...

 

[vali]

denn ich kann ja bei ihrem Notebook nicht eine IP für WLAN und LAN gleichzeitig vergeben...

doch. Verwende für WLAN und LAN die gleiche IP-Adresse auf dem client (dhcp dann aus, zumindest in dem netzbereich). Wichtig ist dann nur, dass immer nur eine der beiden Netzwerkkarten am client aktiv sein dürfen - aber das lässt sich ja meistens mit der Mitgelieferten software machen. (per mausklick in der traybar)

Wie sieht das dann eigentlich beim Muli aus, wenn zwei Rechner in einem Netz mit dem Esel betrieben werden? Muss ich dann zwangsläufig bei den beiden Mulis unterschiedliche Ports einstellen??

Bei zwei unterschiedlichen clients ja.

Das zweite Problem, dass ich habe ist, dass ich für die Online-Spielen eigentlich einen ganzen Port-Bereich von 40000 bis 43000 forwarden müsste (jedenfalls habe ich den Eindruck).

Das muss eigentlich schon gehen - nur das webinterface scheint die Beschränkung zu sein. Ich hab mir grad anschauen wollen wie die fritzbox die portfw ueberhaupt macht. Leider gibts kein ipmasqadm daher hab ich mir gleich mal das webinterface angeschaut. die cgi's sind kompilierte (c?) anwendungen, daher find ich das grad nicht raus... Eventuell kann jemand sagen wie das die fritzbox tut, dann wirst Du sicher auch rausfinden wie man das manuell setzt.

Vali

 

[kossy]

du nimmst halt die neue fritzdsl-software und lässt das von fritzprotect erledigen.

Was ist denn das für eine Software und wo gibts die?
Was genau kann man damit machen?

Edit: Die war doch mal bei der Fritz DSL-Card dabei, soweit ich mich erinnern kann.
Aber wie soll das mit der FBF funktionieren?

 

[Gast]

Das interessiert mich jetzt auch mal,bin mit den Fritz-Angeboten nicht so bewandert!
Gruß von Tom

 

[semilla]

guckt mal hier...

 

[Gast]

Ja,alles schön und gut,aber ich kann mich nicht registrieren,da kein Bestätigungscode gesendet wird,die Email ist leer!
Ohne Registrierung kein Download!
Weißt Du einen Rat?
Gruß von Tom

 

[Scotch85354]

Tja, jetzt habe ich mal bei mir versuchsweise dieses AVM-DSL-Software-Teil installiert (FritzDSLProtect) und schon funktionieren einige meiner Programme nicht mehr richtig:

-Miranda stürzt ab.
-TOR/Provoxy funktioniert nicht mehr, daher dann auch kein Surfen mehr mit Anonnymisierung (Server nicht gefunden)

Außerdem gehen immer wieder die gleichen Abfragefenster auf und ich muss ständig den Zugriff der Programme erlauben, denen ich es schon beim letzten Mal gestattet hatte. Und nach Ports wird da auch nicht gefragt und die kann ich auch nicht gefragt. Irgendwie macht Firtz-Protect nur den Eindruck auf mich, dass es eine normale Firewall ist.

Dann findet diese Software meine FBF nicht:

"Info,Das UPnP-Gerät 'FRITZ!Box-00:04:0E:354:1E UPnP/1.0 AVM FRITZ!Box Fon WLAN 08.03.37' mit der IP-Adresse 192.168.178.1 wurde nicht mehr gefunden.,"

Das Ergebnis der Diagnose sieht so aus:

2005-04-22 19:56:27 - FBoxDiag - Debug - FBoxDiag started.
2005-04-22 19:56:27 - IGD - Trace - IGDHelper created.
2005-04-22 19:56:27 - IGD - Trace - we are now connected to avm-igd-ctrl-service.
2005-04-22 19:56:27 - IGD - Trace - we are now registered to igd-ctrl-service.
2005-04-22 19:56:27 - IGD - Debug - new device found: FRITZ!Box-00:04:0E:354:1E UPnP/1.0 AVM FRITZ!Box Fon WLAN 08.03.37
2005-04-22 19:56:27 - IGD - Debug - avm device added to list: FRITZ!Box-00:04:0E:354:1E UPnP/1.0 AVM FRITZ!Box Fon WLAN 08.03.37
2005-04-22 19:56:30 - DiagEngine - Trace - Engine created.
2005-04-22 19:56:31 - DiagEngine - Debug - Engine started.
2005-04-22 19:56:31 - DiagEngine - Debug - Task UPnP Service started.
2005-04-22 19:56:31 - DiagEngine - Debug - Task UPnP Service finished with 1. Result: IGD CTRL Dienst (UPnP) ist gestartet.. Hints:
2005-04-22 19:56:32 - DiagEngine - Debug - Task Netzwerk started.
2005-04-22 19:56:32 - FBoxDiag - Debug - Adapter:{3CA8BECD-D21E-4F79-9D56-F79AE9132F57}, IP:192.168.178.10, Mask: 255.255.255.0, DHCP Enabled: 0, Server: 255.255.255.255,
2005-04-22 19:56:32 - FBoxDiag - Debug - Gateway: 192.168.178.1
2005-04-22 19:56:32 - DiagEngine - Debug - Task Netzwerk finished with 1. Result: DHCP: Nein, IP: 192.168.178.10 255.255.255.0. Hints: Der Netzwerkkarte wurde manuell eine IP-Adresse zugewiesen.
2005-04-22 19:56:32 - DiagEngine - Debug - Task Internet Explorer started.
2005-04-22 19:56:32 - DiagEngine - Debug - Task Internet Explorer finished with 1. Result: Kein Proxy konfiguriert.. Hints:
2005-04-22 19:56:32 - IGD - Debug - An avm device has been removed from list.
2005-04-22 19:56:33 - DiagEngine - Debug - Task UPnP started.
2005-04-22 19:56:36 - DiagEngine - Debug - Task UPnP finished with 3. Result: Es ist keine FRITZ!Box per UPnP erreichbar.. Hints:
2005-04-22 19:56:36 - DiagEngine - Debug - Task Firmware skipped because dependend tasks failed.
2005-04-22 19:56:36 - DiagEngine - Debug - Task Lokale IP skipped because dependend tasks failed.
2005-04-22 19:56:36 - DiagEngine - Debug - Task Ping skipped because dependend tasks failed.
2005-04-22 19:56:36 - DiagEngine - Debug - Task DNS skipped because dependend tasks failed.
2005-04-22 19:56:36 - DiagEngine - Debug - Task Web GUI skipped because dependend tasks failed.
2005-04-22 19:56:36 - DiagEngine - Debug - Task DSL skipped because dependend tasks failed.
2005-04-22 19:56:36 - DiagEngine - Debug - Task DNS started.
2005-04-22 19:56:37 - DiagEngine - Debug - Task DNS finished with 1. Result: Der Name "www.avm.de" wurde aufgelöst zu 212.42.244.80.. Hints:
2005-04-22 19:56:37 - DiagEngine - Debug - Task Ping started.
2005-04-22 19:56:47 - DiagEngine - Debug - Task Ping finished with 4. Result: Ein Ping nach "www.avm.de" wurde nicht beantwortet.. Hints:
2005-04-22 19:56:47 - DiagEngine - Debug - Task Internet skipped because dependend tasks failed.
2005-04-22 19:56:47 - DiagEngine - Debug - Task Portfreigabe skipped because dependend tasks failed.
2005-04-22 19:56:48 - DiagEngine - Debug - Engine finished.

Tja, also trotz der ganzen Probleme mit dieser Software, kann ich wahrscheinlich immer noch keine Ports per UPnP freigeben.

Ich habe auch zwischendurch eine Anfrage meiner Firewall mit einer Erlaubnis beantwortet, ob Fritz-Protect Zugriff erlaubt werden darf. Das scheint aber auch nicht die Lösung des Problems zu sein.

Unterm Strich kommt es mir so vor, als wäre meine Abneigung gegen UPnP berechtigt gewesen und wenn ich da keine Lösung finde, dann verschwindet diese komische Software ganz schnell wieder von meinem Rechner.

Ach ja, seit ich das Programm installiert habe, mag mein Rechner nicht mehr ordentlich runterfahren. Da scheinen jetzt Programme zu hängen, die ich per "End-it-all" killen muss, damit es weiter geht...

Alles nicht so toll!

Hat jemand ein paar tröstende Worte und konstruktive Vorschläge für mich?

Danke im Voraus!

Gruß,
Olav

P.S.: die Taste "FritzBox" im Startcenter funktioniert auch nicht: Meldung meines Browsers: fritz.box nicht gefunden

Ist alles schon sehr seltsam!

 

[semilla]

P.S.: die Taste "FritzBox" im Startcenter funktioniert auch nicht: Meldung meines Browsers: fritz.box nicht gefunden
Ist alles schon sehr seltsam!

find ich gar nicht seltsam, denn da wird der hase im pfeffer liegen. wenn die fritzbox-taste nicht gefunden wird, dann besteht keine upnp-verbindung zwischen box und software (und somit ist auch keine portfreigabe möglich). dies kann entweder daran liegen, dass upnp in der box deaktiviert ist (bei dir eher unwahrscheinlich) oder das upnp von einer anderen firewall geblockt wird (bei dir sehr wahrscheinlich). versuchs doch mal ganz ohne die andere firewall, dann klappts bestimmt. :wink: eine zusätzliche firewall macht doch eh kaum noch sinn bei einsatz von der box UND fritzprotect.
ansonsten läuft das bei mir und offensichtlich auch bei einigen anderen problemlos...

 

[Scotch85354]

Guten Morgen!

Tja, wenn das an der anderen Firewall liegt, dann muss ich da wohl was nicht richtig für die UPnP-Benutztung konfiguriert haben. Allerdings meldet die sich automatisch, wenn ein Programm Zugriffe versucht. Das ist passiert und ich habe die entsprechende Zugriffe/Verbindungen erlaubt.

Trotzdem hat es nicht funktioniert.

Ich habe dann gestern abend noch eine Weile damit herum experimentiert und die Probleme, die mein Rechner nach der Installation von Fritz!DSL gemacht, hat, haben mich dann, zusammen mit den riesigen Sicherheitsproblemen, die man sich mit UPnP einhandeln kann, dazu bewogen, die Fritz!DSL-Software wieder zu deinstallieren.

Meine Firewall werde ich auch sicherlich nicht deaktiveren und nur auf Fritz!Protect und die Router-Firewall vertrauen, da mir da ein ganzer Haufen von Funktionalitäten fehlen (z.B. Überwachung von WLAN-Verbindungen oder Anti-Spyware-Funktion). Nene, die läuft schön weiter und passt auf!

Ich werde dann wohl mal eine Email an den AVM-Support schreiben und denen meine Probleme und Wünsche mitteilen. Vielleicht bauen die in einer der nächsten Firmware-Versionen eine ordentlichere manulle Konfiguration des Portforwarding ein, wie man es von anderen Routern (z.B. Zyxel) kennt und schätzt!

UPnP kommt für mich nicht in Frage.

Trotzdem vielen Dank für Eure Hilfe!

Schönes Wochenende!

Gruß,
Olav

 

[Scotch85354]

Nabend zusammen,

ich habe eine Antwort vom AVM-Support bekommen, die ich im Anschluß mal poste und zur Diskussione stelle:

---------------


Die von Ihnen beschriebenen Probleme bei dem Einsatz der FRITZ!DSL-Software
können verschiedene Ursachen haben. Einen Fehler auf der Seite der Software
kann ich auf Grund unserer Erfahrungen und den Rückmeldungen verschiedener
Anwender bei ähnlich gelagerten Fällen ausschließen.

Die Konfiguration von Port Ranges ist in der FRITZ!Box aktuell nicht
möglich, da bei der Firewall der FRITZ!Box auf eine maximale Sicherheit für
die Anwender geachtet wurde.

Wir setzen für solche Portfreigaben auf die Funktion Universal
Plug-and-Play (UPnP).

Ist diese Funktion in der FRITZ!Box aktiviert, ist es Anwendungen möglich,
beliebige erforderliche Ports über die FRITZ!Box eingehend automatisiert
freizuschalten. Alle DirectPlay-basierten Spiele und viele Anwendungen (z.
B. NetMeeting, MS-Messenger, Apple Quicktime) unterstützen diese Funktion.

FRITZ!DSL Protect erweitert diesen Mechanismus noch für nicht
UPnP-kompatible Programme, in dem FRITZ!DSL Protect auf dem PC alle
Internetanfragen "belauscht" und daher auch für eine nicht-UPnP-kompatible
Anwendung automatisch die von dieser Anwendung benötigten Ports freigeben
kann, ohne dass dazu eine Konfiguration der Anwendung oder eine Kenntnis
der von dieser benötigten Ports erforderlich wäre.

Dadurch können während der Laufzeit der Anwendung die von dieser aktuell
tatsächlich benötigten Ports für eingehende Verbindungen freigegeben
werden, ohne dass die öffnung einer ganzen Port Range erforderlich wäre (in
der Regel öffnen auch Anwendungen, die vermeintlich eine sehr große Port
Range benötigen, nur ein bis vier Ports, welche allerdings variierend aus
einer großen Port Range genommen werden, wodurch eine gezielte Freigabe der
real genutzten Ports nicht möglich ist).

Zur Nutzung dieser erweiterten Funktionen von FRITZ!DSL Protect muss die
Option "Portfreigabe verwenden (UPnP-Unterstützung muss in der FRITZ!!Box
aktiviert sein)" auf der Registerkarte "Einstellungen" von FRITZ!DSL
Protect aktiviert sein.

Hinweis: Wenngleich uns aktuell keine Trojaner, Würmer oder andere
"bösartige" Programme bekannt sind, die über UPnP die
Firewall-Konfiguration eines Systems oder Routers ändern, besteht diese
Möglichkeit theoretisch. Daher sollte die Option "Änderungen der
Sicherheitseinstellungen über UPnP gestatten" in der FRITZ!Box nur bei
parallelem Einsatz einer Personal Firewall wie FRITZ!DSL Protect auf den
angeschlossenen Systemen aktiviert werden.

--------------------

Was ich persönlich nicht verstehe, ist, warum die manuelle Freigabe von Portbereichen unsicherer sein soll, als die Benutzung von UPnP?

Immerhin ermögliche ich so jedem Programm, das UPnP verwendet, Löcher in meiner FBF-Firewall zu reissen und mit dem Programm auch noch allen anderen.

Das soll sicherer sein?

Besonders frage ich mich, wieso Fritz-Protect wie eine normale Freiwall arbeiten muss. Hier sind doch Konflikte zwischen einer normalen, sprich vollwertigen, Firewall und Fritz-Protect vorprogrammiert.

Gibt es keine andere Möglichkeit, sicher und problemarm UPnP zu nutzen? Muss man Fritz-Protect nutzen oder gibt es nicht auch anderen Programme, die das unterstützen?

Gruß,
Olav

 

[semilla]

Was ich persönlich nicht verstehe, ist, warum die manuelle Freigabe von Portbereichen unsicherer sein soll, als die Benutzung von UPnP?

steht doch in der mail vom avm-support:

1. im gegensatz zu statisch freigegebenen ranges werden die ports nur dann freigeschaltet, wenn die anwendung auch aktiv ist. (im übrigen kannst du mit fritzprotect ja bestimmen, welche anwendung die ports freigeben und somit nutzen kann - bei statischen ranges kann jede beliebige anwendung unbemerkt einen der freigegebenen ports nutzen)

2. es werden auch wirklich nur die ports freigegeben, die die anwendung auch wirklich als listen-ports startet. diese befinden sich zwar u.U. innerhalb eines ranges von 100 + x ports, aber sind in der tat meist nur eine handvoll.
du musst also nicht 100 ports freigeben, wenn effektiv nur 3-4 von der anwendung genutzt werden - aber du kannst gleichzeitig sichergehen, dass immer die von der anwendung aktuell dynamisch gewählten ports frei sind.

Immerhin ermögliche ich so jedem Programm, das UPnP verwendet, Löcher in meiner FBF-Firewall zu reissen und mit dem Programm auch noch allen anderen.

Das soll sicherer sein?

durch das aktivieren von UPnP in der box ermöglichst du tatsächlich jeder UPnP-fähigen anwendung den zugriff. aber das wird durch den einsatz von fritzprotect nicht unsicherer - eher wirds dadurch erst reglementierbar und kontrollierbar.

Besonders frage ich mich, wieso Fritz-Protect wie eine normale Freiwall arbeiten muss. Hier sind doch Konflikte zwischen einer normalen, sprich vollwertigen, Firewall und Fritz-Protect vorprogrammiert.

der begriff firewall beschreibt lediglich ein sicherheitskonzept und definiert nicht wie dieses umgesetzt wird. unter einer "normalen" und "vollwertigen" firewall kann ich mir nix vorstellen, was meinst du denn damit?
die kombi aus NAT und stateful packet inspection in der box sowie fritzprotect für kontrolle über ausgehende verbindungen und UPnP ist imo für den normalen anwender (und das sind wir hier alle, ansonsten hätten wir keine fritzbox) dicke ausreichend.

Gibt es keine andere Möglichkeit, sicher und problemarm UPnP zu nutzen? Muss man Fritz-Protect nutzen oder gibt es nicht auch anderen Programme, die das unterstützen?

steht auch in der mail:
andere anwendungen unterstützen auch UPnP (da brauchste dann theoretisch kein fritzprotect) - fritzprotect kann für die anwendungen eingesetzt werden, die das nicht selbstständig können.
aber ich dachte, dir sei UPnP zu unsicher!? :wink:
ob du nun fritzprotect oder eine andere anwendung nutzt - in der fritzbox musst du auf jeden fall UPnP vollständig aktivieren. DANN ist aber fritzprotect doch die sicherere wahl, da es auf die box abgestimmt ist und als einziges einen überblick über die freigegebenen ports verschafft...

gruss,
semilla <hicks> :lol:

 

[Gast]

Jetzt mal eine andere Frage,Fritz Protect sitzt auf dem Rechner,kann dort alle Anwendungen freigeben und die Ports zur Verfügung stellen,aber wie sieht es mit weiterer Hardware hinter der FBF aus?
Wird dies dann auch von Fritz Protect geregelt,oder eben nur Programme auf dem Rechner?
Gruß von Tom

 

[brummfondel]

Was ich persönlich nicht verstehe, ist, warum die manuelle Freigabe von Portbereichen unsicherer sein soll, als die Benutzung von UPnP?

Immerhin ermögliche ich so jedem Programm, das UPnP verwendet, Löcher in meiner FBF-Firewall zu reissen und mit dem Programm auch noch allen anderen.

Das soll sicherer sein?

So steht das ja auch nicht in der Antwort. Da steht, daß man Portranges nicht anbietet, weil es von Hand eingerichtet die Sicherheit aushebeln könnte. Weiter steht da, daß deshalb upnp besser ist, da so die Programme selbst ihre Ports freigeben statt eines riesigen Bereichs, der unnötig viele Ports freigibt, die möglicherweise schon anderweitig benutzt werden.

Gibt es keine andere Möglichkeit, sicher und problemarm UPnP zu nutzen?

Der ist gut, muß ich mir ausdrucken! Merke: Jedes Loch in einer Firewall erhöht das Risiko, jedes Loch, das man nicht selbst kontrolliert hat ist noch gefährlicher. Und wenn dann noch Würmer & Co Löcher aufreißen können, dann braucht man sich um Sicherheit keine Gedanken mehr zu machen.

 

[Gast]

Es gibt sowieso keine absolute Sicherheit,das ist ein riesiger Trugschluss!
All unsere Sicherheitsmaßnahmen schützen nur oberflächlich,das haben uns ja wohl schon so manche Situationen bewiesen!
Und umso höher die Sicherheit geschraubt wird,desto weniger Möglichkeiten gibt es,sich im Netz zu bewegen!
Gruß von Tom

 

[semilla]

das größte sicherheitsrisiko sitzt eh immer vor dem rechner... :wink: